NATの問題点

情報処理学会創立50周年記念（第72回）全国大会 2010/3/8--12
学生セッション情報爆発時代における分散処理と運用技術 2ZP-6
i-Path Project
ネットワークの可視化によるNAT越え
NAT Traversal by i-Path Network Transparency
戸部和洋†, 下田晃弘‡, 後藤滋樹†‡
早稲田大学
†理工学部コンピュータ・ネットワーク工学科
‡基幹理工学研究科情報理工学専攻
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
1
研究の背景
Network Address Translator (NAT) の問題
NATの問題点
UDP Hole Punching
• NATは外側から接続できない
• NATの内側のホストではPeerto-Peer (P2P) モデルのアプリ
ケーションがうまく動作しない
NAT
• e.g. VoIP, オンラインゲーム
Traversal
private
address
network
global address
network
the
Internet
host-A
NAT-A
NAT-B
host-B
(1)host-Aの外部IP,
外部portがわかる
(2)host-Bの外部IP,
外部portがわかる
(3)host-Bと通信したい
(5)戻りパケットを
期待して穴が空く
NATは外側から
接続できない
rendezvous
server
(8)戻りパケットと
して転送される
(4) host-Bは(A, P)にいます
host-Bにもお知らせしますね
(6)要求していない
パケットは破棄
(7)戻りパケットを
期待して穴が空く
(9)戻りパケットと
して転送される
UDP
Hole
Punchingによって、NATを越えて直接通信（NAT越え
/ NAT Traversal）できる。
March
9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
2
※ただし、Cone NAT [RFC3489] に限る。 i.e. Symmetric NAT [RFC3489] は越えられない。
ポート予測 (Port Prediction)
Symmetric NAT越えの要素技術 (1)
• NATが割り当てるポートの規則性を調べ、
次に割り当てられるポートを予測する技術
• 成功すれば、Hole PunchingでSymmetric NATを越えられる
規則性あり
予測可能
e.g. 1ずつ増加、2ずつ増加
規則性なし
予測不可能（ランダム割り当て）
UDP Multi Hole Punching や
NAT Blaster は「最後の手段」
でSymmetric NAT越えを図る
最後の手段手当たり次第に大量のパケットを送信
95%の確率で成功するには、
PrG 
_
439パケット送信すればよい
n i T

ni
i 0
T 1
[NATBlaster] A. Biggadike, et al.,
NATBLASTER: Establishing TCP
Connections Between Hosts Behinds NATs, ACM SIGCOMM Asia
Workshop, Beijing, China, 2005.
UDP
Hole Punching や
NAT A.
Blaster
は、リレーサーバなしでSymmetric
NATを
MarchMulti
9, 2010
K. Tobe,
Shimoda,
S. Goto, Waseda University.
3
越えることができる ⇒ 低負荷、低遅延 cf. Interactive Connectivity Establishment (ICE)
既存手法の問題点 (1)
ポート予測 (Port Prediction) における問題
問題点1. 職人芸的な「推測」：非効率で信頼性が低い
• 非効率
• 複数のパケットを送信してNATのふるまいを調べる
• ポート予測ができない場合は大量のパケットを送信
• 成功率を95%にするためには、439パケット送信する必要
• 運が悪いと、もっと多くのパケットを送信しなくてはならない
• 低スペックのNATルータだと処理しきれない可能性も（？）
• ステートフル (stateful) なNATの処理による負荷が大きい
• 誤判定
• ポート予測中に、NATの内側のほかのホストが新しい通信
相手にパケットを送信すると、規則的なのに不規則に見える
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
4
「見える化」ルータ
i-Path
• ネットワークを可視化するフレームワーク
• http://i-path.goto.info.waseda.ac.jp/trac/i-Path/
• 通信パスに関する情報をエンドノードに提供
• エンドノードが取得可能な情報
• 既存のtraceroute/tracertの機能に加えて...
• 通信パス上に存在するルータの位置情報やスループット
• 提案手法 : NATに関する情報を通知 NEW!
• e.g. Cone NAT vs. Symmetric NAT, ポート割り当てアルゴリズム, etc
• 開示ポリシを尊重
• ISPと送受信者が合意した情報だけを開示する機構
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
5
Low TTL Value Determination
Symmetric NAT越えの要素技術 (2)
• UDP Multi Hole Punching や NAT Blasterは、パケット
のTTLを低く設定1) して送信することで、自分側のNAT
を越えて、相手側のNATに到達する前にパケットを破棄
• Low TTL Value Determination：1) の値を決めるアルゴリズム
• UDP Multi Hole Punching : 「決めうち」
• NAT Blaster :「traceroute の方法」（提案のみ、未実装）
• e.g. TTL = 2の場合 ※初期TTL値の条件 : 1 < TTL < 5
Time Exceeded
TTL => 0
TTL => 1
NAT router
(1st hop)
router
(4th hop)
router
(2nd hop)
router
(3rd hop)
NAT router
(5th hop)
6
多段NATの問題
[Huston] G. Huston, “IPv4 Address Report”,
http://www.potaroo.net/tools/ipv4/index.html
1. IPv4アドレスの在庫枯渇が迫る (IANA:2011, RIR:2012) [Huston]
• ISPは大規模NAT (Large Scale NAT/
Carrier Grade NAT) の配置を計画
2. 集合住宅のNAT
Large Scale
NAT
⇒ NATの多段接続
• Low TTL Value Determinationが困難になる
cf. Universal Plug and
Play (UPnP) はローカル
ネットワーク上のルータ
にしかアクセスできない
ため、NATが多段に接続
された環境で機能しない
private
address
realm
the
Internet
home
network
ISP
network
home
NAT
home
network
ISP shared
address
realm
global
address
realm
ISP
network
home NAT
home
network
home
network
既存手法の問題点 (2)
Low TTL Value Determination における問題
• NATが多段の場合、自分側の一番外側のNATを越
えて相手側の一番外側のNATに到達する前にTTL
が0になればよいが・・・
• 初期TTL値の条件 : 2 < TTL < 5
問題点2. NATがいくつ連なっているか判断できない
• Traceroute/Tracertで得たルーターのIPアドレスから、NAT
かどうか判断できることがあるが、ICMPを返さないルータがある
NAT router
(4th hop)
NAT router
(2nd hop)
NAT router
(1st hop)
router
(3rd hop)
NAT router
(5th hop)
8
提案手法
ネットワークの可視化によるNAT越え
• i-PathルータがNATの情報を提供する
• NATの「存在」：Low TTL Value Determinationが容易に
• NATの「特性」：ポート予測 (Port Prediction) の精度向上
• 経路上の全ルータの情報を取得することができる
• NATが多段に接続されたネットワークにも対応可能
cf. UPnP (Universal Plug and Play)
NAT : on
Type : Cone NAT
Timer : 60 [s]
NAT : on
Type : Symmetric NAT
Port : Incremental (1)
Timer : 60 [s]
i-Path router
(NAT : on)
i-Path router
(NAT : on)
NAT : off
NAT : off
NAT : on
Type : Cone NAT
Timer : 30 [s]
i-Path router
(NAT : off)
i-Path router
(NAT : off)
i-Path router
(NAT : on)
9
まとめ
既存手法
職人芸的な技法を駆使して「推測」するNAT越え
• ポート予測 (Port Prediction) : 非効率、信頼性が低い
• Low TTL Value Determination : 多段NATにより困難
提案手法
ネットワークの可視化 (i-Path) によるNAT越え
• エンドノードが経路上のNATの情報をi-Pathで得る
• 通信経路上でNATが多段になっていても対応可能
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
10
謝辞
• 本研究は情報通信研究機構の委託研究
「新世代ネットワークサービス基盤構築技術
に関する研究開発」の一環として行われた。
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
11
ご清聴ありがとうございました
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
12
Network Address Translator (NAT)
• NATの内側にあるホストの
<IP Address, port>と、NATの
外側の<IP Address, port> を
変換する装置
• たいていの家庭用BBルータ
に実装されている
• 複数のホストが同じグロー
バルIPアドレスを使用して
インターネットにアクセス可
• NAT内部ではプライベートIP
アドレスを使うことが多い
• e.g. 192.168.xxx.yyy
NATの問題点
• NATの内側のホストのアドレス
は外側からわからない
• NATは、知らない相手からの
パケット (unsolicited packet)
を破棄する
private
address
realm
Internet
global
address
realm
NAT
NATは外側から
接続できない
※IPアドレスだけでなくポート番号も変換する装置は、厳密にはNetwork Address and Port Translator
(NAPT) であるが、現在はほとんどがNAPTであるため、これらを区別せずにNATと呼ぶことが多い。
Hole Punchingのセキュリティ
• Hole Punchingで「穴を開ける」と言われると、
セキュリティを気にされる方が多いですが・・・
• NAT≠ファイアウォール
• Filtering Behavior (RFC4787) のおかげで、
ファイアウォール的にふるまうように見えるだけ
• 家庭用ルータには多くの機能が実装されている
• どの機能のおかげなのかわかりづらい
• NATとパケットフィルタ型ファイアウォールが混在
• セキュリティ対策はアプリケーションで行う
• 受信パケットの送信元チェックなどをアプリで行う
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
14
Javaの場合
• java.net.DatagramSocket.connect(InetAddress
host, int port)
• 指定されたリモートホストの指定されたポートだけにパ
ケットを送信（あるいはそのポートからだけパケットを受信
する）ようにDatagramSocketに指示する。
• 指定された以外のホストまたはポートにパケットを送信し
ようとすると、IlligalArgumentExceptionが発生する。
• 指定された以外のホストまたはポートから受信したパケッ
トは、黙って破棄され、例外やその他の通知はない。
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
15
NAT越え手法の比較（多段NAT環境）
×:UPnP
利点 Windows APIにある
欠点
• ローカルネットワークにある
NATルータしか操作できない
○:Relaying
利点どんなNAT環境でも機能
欠点
• 転送による遅延が発生
• リレーサーバの負荷大
• ISPのNATに届かない
• 認証機構が存在しない
• ISPのNATがUPnPを
許可してしまうと・・・
• 「全部、俺のポート！」
• 極一部のユーザが、大量の
ポートフォワーディング生成
March 9, 2010
◎:UDP Hole Punching
利点 NATが多段でも機能
欠点
• UDPのみ（TCPは難しい）
• Symmetric NATは難しい
K. Tobe, A. Shimoda, S. Goto, Waseda University.
16
UPnP IGD
(Universal Plug and Play Internet Gateway Device)
• NATを越えた通信を実現
• ローカルネットワーク上のUPnP対応ルーターを検出
• IPアドレスとポート番号の関連づけを取得
• ポートフォワーディングを自動的に設定
• 問題点
• UPnPに非対応のルータのNATは越えられない
• 多段のNATを越えられない
• 認証機構を持たない
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
17
エンドツーエンドNATとの比較
エンドツーエンドNAT
• (ルータが) 積極的にNAT
の存在と様態を知らせる
• エンドノードがNATの動作
を補完
March 9, 2010
本研究の提案手法
• ルータがNATの情報を公開
する
• エンドノードによるNAT越え
を補完
K. Tobe, A. Shimoda, S. Goto, Waseda University.
18
エンドツーエンドNATとの比較 (Cont.)
• 提案手法
• NAT越えをサポートするだけであり、アプリケー
ションにNAT越え手法を実装する必要がある
• エンドツーエンドNAT
• やはり、アプリケーションの修正は必要
• 「UNIXのpingやtracerouteコマンドではポート番
号やICMPの各フィールドをかなり気侭（きまま）
に扱っているが、その部分を以上の議論を踏ま
えて修正すれば、ゲートウェイ背後の端末相互で
太田昌孝, 森岡仁志, 藤川賢治,
も動作するようになる。」 [e2e-nat]
エンドツーエンドNAT, 信学技報, vol. 109,
no. 137, pp. 1--6, July, 2009.
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
19
TCP Hole Punching
※同時オープン (simultaneous open) の詳細は、
「詳解TCP/IP Vol.1 プロトコル」を参照して下さい。
• UDP Hole Punching
• 同時オープンする方法
NAT-B
host-B
のようにはいかない・・・ host-A SYNNAT-A rendezvous
server
SYN
SYN/ACK SYN/ACK
host-A
NAT-A
rendezvous
server
NAT-B
host-B
SYN
(1)戻りパケットを
期待して穴が空く
• TTLを低くして送る手法
(2)知らない相手
のパケットは破棄
(3)TCP RSTを
返してしまう
開いた穴が
閉じない
RST
(4)開いた穴が
閉じてしまう
SYN
RST
(6)穴が閉じてい
るので通らない
March 9, 2010
(7)開いた穴が
閉じてしまう
host-A
(5)戻りパケットを
期待して穴が空く
NAT-A
rendezvous
server
NAT-B
host-B
ICMP Time
Exceeded
SYN
(low TTL)
SYN
SYN/ACK
ACK
K. Tobe, A. Shimoda, S. Goto, Waseda University.
20
Interactive Connectivity Establishment (ICE)
• offer/answerモデルのプロ
トコル (e.g. SIP/SDP) が、
NATを越えてUDPベースの
マルチメディアセッションを
確立することをサポート
• STUNやTURNで通信可能
なエンドポイント <IP, port>
(candidate) を調べ、最適
なエンドポイントを選択して
通信する
• Symmetric NATはTURN
によるリレーで越えられる
March 9, 2010
TURN
server
Relayed Candidate
the Internet
K. Tobe, A. Shimoda, S. Goto, Waseda University.
Server-reflexive
Candidate
NAT router
Host
Candidate
21
Symmetric NAT越えの既存手法
UDP Multi Hole Punching / NAT Blaster
• UDP Multi Hole Punching
NAT-A
host-A (Cone NAT)
• 2台のサーバとの通信
によるポート予測
• 低いTTLに設定した
UDPパケットを大量送信
⇒ Symmetric NATをリレー
サーバなしで越えられる
• サーバに低負荷・低遅延
• cf. TURN, ICE, Teredo
• NAT Blaster
• UDP Multi Hole Punching
のTCP版
March 9, 2010
server-A server-B
NAT-B
(Symmetric NAT) host-B
(7)
Time
Exceeded
(8)
(9)
(10)
(11)
K. Tobe, A. Shimoda, S. Goto, Waseda University.
22
UDP Multi Hole Punching
Phase I
server-A
NAT-A
host-A (Cone NAT)
(1)
(2)
(3)
March 9, 2010
server-B
NAT-B
(Symmetric NAT) host-B
(1) Host-A sends a UDP packet to server-A.
Then, server-A gets host-A’s external endpoint <AA1, PA1> mapped by NAT-A.
(2) Server-A informs host-A
of the endpoint <AA1, PA1>.
(3) Host-A sends a UDP packet, which contains <AA1, PA1>
in the payload, to server-B. Then, server-B gets <AA1, PA1>
第1回論文ゼミ tobe
and the external endpoint <AA2, PA2> (usually AA1= AA2, PA1= PA2 if
NAT-A is Cone NAT). Server-B analyzes these endpoints.
K. Tobe, A. Shimoda, S. Goto, Waseda University.
23
UDP Multi Hole Punching
Phase II
NAT-A
server-A
host-A (Cone NAT)
server-B
NAT-B
(Symmetric NAT) host-B
(4) Host-B sends a UDP packet to server-B.
Then, server-B gets host-B’s external endpoint <AB1, PB1> mapped by NAT-B.
(4)
(5) Server-B informs host-B
of the endpoint <AB1, PB1>.
(6)
(5)
(6) Host-B sends a UDP packet, which contains <AB1, PB1>
in the payload, to server-B. Then, server-B gets <AB1, PB1>
第1回論文ゼミ tobe
and the external endpoint <AB2, PB2> (usually AB1= AB2, PB1≠PB2 if
NAT-B
is Symmetric
NAT). Server-B
analyzes
March
9, 2010
K. Tobe,
A. Shimoda,these
S. Goto,endpoints.
Waseda University.
24
UDP Multi Hole Punching
Phase III
NAT-A
server-A server-B
host-A (Cone NAT)
NAT-B
(Symmetric NAT) host-B
(7)
(7) Server-B predicts the next
external endpoint <AA3, PA3> or
the range NAT-A will map. and
then informs host-B of the info.
(9)
(8)
(9) Server-B informs host-A of the
info for UDP Multi Hole Punching.
(10) Host-A sends a lot of packets
to holes, opened at (9), of NAT-B.
March 9, 2010
Time
Exceeded
(8) Host-B sends a lot
of packets whose TTL
is set so low that they’ll
be dropped between
NAT-B and NAT-A.
(10)
K. Tobe, A. Shimoda,
第1回論文ゼミ
tobe S. Goto, Waseda University.
(11)
25
(11) UDP session is established.
NATの分類 (RFC 3489)
• Cone NAT
• Full Cone NAT
• Restricted Cone NAT
• Port Restricted Cone NAT
• Symmetric NAT
• あて先ごとに異なるマッピングを生成する
• cf. Address-Dependent Filtering/Address and PortDependent Filtering (RFC 4787)
• UDP Hole Punchingでは越えられない
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
26
NATの特性 (RFC 4787) (1/2)
• Address and Mapping Behavior
• Endpoint-Independent Mapping (Cone)
• Address-Dependent Mapping (Symmetric)
• Address and Port-Dependent Mapping (Symmetric)
• Port Assignment Behavior
• Port Preservation
• Port Overloading
• No Port Preservation
• Port Parity
• Port Contiguity
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
27
NATの特性 (RFC 4787) (2/2)
• Mapping Refresh
• Filtering Behavior
• Endpoint-Independent Filtering (Full Cone)
• Address-Dependent Filtering (Restricted Cone)
• Address and Port-Dependent Filtering
(Port Restricted Cone)
• Hairpinning Behavior
• ICMP Destination Unreachable Behavior
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
28
RFC 3489 と RFC 4787の対応表
Filtering Behavior
Address and
Mapping Behavior
EndpointIndependent
EndpointIndependent
AddressDependent
Address and
Port-Dependent
Full Cone
NAT
Restricted
Cone NAT
Port Restricted
Cone NAT
AddressDependent
Address and
PortDependent
March 9, 2010
Symmetric NAT
K. Tobe, A. Shimoda, S. Goto, Waseda University.
29
「最後の手段」に必要なパケット数
最後の手段手当たり次第に大量のパケットを送信
95%の確率で成功するには、
PrG 
439パケット送信すればよい
n i T

ni
i 0
T 1
[NATBlaster] A. Biggadike, et al.,
NATBLASTER: Establishing TCP
Connections Between Hosts Behinds NATs, ACM SIGCOMM Asia
Workshop, Beijing, China, 2005.
T : 送信するパケット数（＝オープンするポート数）
n : 取り得るポート番号の数 (e.g. 65535－1024)
成功率 p
0.5
0.6
0.7
0.8
0.9
0.95
0.99
パケット数 T 212
243
270
322
385
439
543
パケット数 T
10
50
成功率 p
0.016
0.038
March 9, 2010
100
150
200
250
300
0.144
0.295
0.463
0.622
0.754
K. Tobe, A. Shimoda, S. Goto, Waseda University.
30
Mapping Behavior (1)
• Endpoint-Independent Mapping (Cone NAT)
internal network
external network
Local
Global
Remote
<AL, PL> <AN, PN> <any, any>
Host-L
Addr: AL
PR
PR’
PL
Host-R
Addr: AR
PN
NAT
Addr: AN
PX
Host-X
Addr: AX (≠AR)
NAT maps the same endpoint whenever a local host (Host-L) sends a packet to
any external endpoints (Addr : any, Port : any), if the NAT behaves as
March
9, 2010
K. Tobe, A. This
Shimoda,
S. was
Goto, once
Waseda
University.
“Endpoint-Independent
Mapping”.
NAT
called
“Cone NAT”. 31
Mapping Behavior (2)
• Address-Dependent Mapping (Symmetric NAT)
internal network
external network
Local
Global
Remote
<AL, PL> <AN, PN> <AR, any>
<AL, PL> <AN, PN’> <AX, any>
Host-L
Addr: AL
PL
PN
PR
NAT
PN’ Addr: AN
PR’
mapped a new port (PN’)
PX
Host-R
Addr: AR
Host-X
Addr: AX (≠AR)
Hole Punching must predict this new port (PN’).
NAT maps a new endpoint when a local host (Host-L) sends a packet to any
external hosts (≠R) which Host-L hasn’t sent a packet, if the NAT behaves as
March
9, 2010
K. Tobe, A. This
Shimoda,
S. was
Goto, once
Waseda
University.
“Endpoint-Independent
Mapping”.
NAT
called
“Symmetric NAT”.
32
Mapping Behavior (3)
• Address and Port-Dependent Mapping (Symmetric NAT)
internal
network
Host-L
Addr: AL
Local
Global
Remote
<AL, PL> <AN, PN> <AR, PR>
<AL, PL> <AN, PN’> <AX, PR’>
<AL, PL> <AN, PN’’> <AX, PR’’>
PN
external network
PR
PN’ NAT
PN’’ Addr: Na
mapped a new port (PN’)
mapped a new port (PN’’)
PL
Hole Punching must predict this new port (PN’’).
PR’
PX
Host-R
Addr: AR
Host-X
Addr: AX (≠AR)
NAT maps a new endpoint when a local host (Host-L) sends a packet to any
external endpoints which Host-L hasn’t sent a packet, if the NAT behaves as
March
9, 2010
K. Tobe, A. This
Shimoda,
S. was
Goto, once
Waseda
University.
“Endpoint-Independent
Mapping”.
NAT
called
“Symmetric NAT”.
33
Filtering Behavior (1)
• Endpoint-Independent Filtering
internal network
external network
Local
Global
Remote
<AL, PL> <AN, PN> <any, any>
Host-L
Addr: AL
PR
PR’
PL
Host-R
Addr: AR
PN
NAT
Addr: AN
PX
Host-X
Addr: AX (≠AR)
NAT forwards all packets from any external endpoints (Addr : any, Port : any)
to a local host (Host-L) which has already sent a packet to the external network,
March
2010behaves as “Endpoint-Independent
K. Tobe, A. Shimoda, S. Goto,
Waseda University.
if the 9,
NAT
Filtering”.
34
Filtering Behavior (2)
• Address-Dependent Filtering
internal network
external network
Local
Global
<AL, PL> <AN, PN>
Host-L
Addr: AL
Remote
<AR, any>
PR
PR’
PL
Host-R
Addr: AR
PN
NAT
Addr: AN
PX
Host-X
Addr: AX (≠AR)
NAT forwards packets from the only remote Host-R (Addr : AR, Port : any) that
a local (Host-L) has already sent a packet to, but drops packets from any other
March
9, 2010
K. Tobe, A. as
Shimoda,
S. Goto, Waseda University.
remote
hosts, if the NAT behaves
“Endpoint-Independent
Filtering”.
35
Filtering Behavior (3)
• Address and Port-Dependent Filtering
internal network
external network
Local
Global
<AL, PL> <AN, PN>
Host-L
Addr: AL
Remote
< AR, PR>
PR
PR’
PL
Host-R
Addr: AR
PN
NAT
Addr: AN
PX
Host-X
Addr: AX (≠AR)
NAT forwards packets from the only endpoint (Addr : AR, Port : PR) that a local
(Host-L) has already sent a packet to, but drops packets from any other remote
March
Tobe,
A. Shimoda, S. Goto, Waseda
University.
hosts,9,if2010
the NAT behavesK.as
“Endpoint-Independent
Filtering”.
36
ポートフォワーディング／ポートマッピング
（Aterm DR203Cの設定画面）
（例）
UDP
5730
192.168.0.2
5730
37
パケットフィルタ
（Aterm DR203Cの設定画面）
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
38
IPアドレス管理の構造
【出典】IPアドレス管理の基礎知識, http://www.nic.ad.jp/ja/ip/admin-basic.html
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
39
IPアドレスが欲しい時は
【出典】IPアドレスが欲しい時は, http://www.nic.ad.jp/ja/ip/whereto/
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
40
Projected RIR and IANA
Consumption (/8s)
Projected IANA Unallocated Address Pool Exhaustion: 28-Sep-2011
Projected RIR Unallocated Address Pool Exhaustion: 16-Oct-2012
【出典】Geoff Huston, IPv4 Address Report, http://www.potaroo.net/tools/ipv4/index.html
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
41
IPv4 Address Status
【出典】Geoff Huston, IPv4 Address Report, http://www.potaroo.net/tools/ipv4/index.html
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
42
ISP規模のIPv4アドレス共有方式
• 大規模NAT (Large Scale NAT : LSN)
• NAT444
• DS-lite [Dual-stack lite broadband deployments post
IPv4 exhaustion]
• A+P [The A+P Approach to the IPv4 Address Shortage]
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
43
NAT444
•
NAT 444 model uses two Network Address and
Port Translators (NAPTs) with three types of
IPv4 address blocks.
The IPv4
The IPv6
1. Private Address inside CPE
2. an IPv4 Address block
between CPEs and LSN
3. IPv4 Global Addresses
that is outside LSN
•
The ISPs using NAT444
provide IPv6 connectivity
by dual stack model.
March 9, 2010
Internet
Internet
LSN
IPv4
Global Address
IPv4 IPv6
Dual Stack
IPv4 NAT /
IPv6 Dual Stack CPE
IPv4 Private Address /
IPv6 Dual Stack
IPv4/IPv6
Dual Stack host
44
NAT444 (Cont.)
• What type of IPv4 Address block should
we use between CPEs and LSN?
• Global Address
• RFC1918 Private Address (10/8)
could conflict with its customer's network address
• Class-E Address (240/4)
• ISP Shared Address
is intended to be assigned between CPE and LSN
in a NAT444
March 9, 2010
K. Tobe, A. Shimoda, S. Goto, Waseda University.
45
DS-lite
home
router
home
network
2001:0:0:1::1
ISP
core network (IPv6)
Address Family
Transfer Router
(AFTR)
B4
concentrator
10.0.0.2
IPv4 over IPv6
tunnel
2001:0:0:2::1
NAT-44
129.0.0.1
10.0.0.2
※B4 element = Basic Bridging BroadBand element
host
128.0.0.1
the Internet (IPv4)
host (IPv4)
46

Download Report