合法监听一个人,所有人可能都会被监听

集中的地址和端口会给合法监听需求带来极大的挑战,DHCP分配给传统NAT网络的IP地址在客户端很少改变,因此在这种情况下要实施合法监听相对比较容易,即便是在NAT444架构下,实施合法监听还是相当容易的,只要在LSN和CPE NAT之间监听即可。

在DS-Lite架构下,由于采用了IPv6中走IPv4的隧道模式,监听必须在LSN自身上进行,在LSN上必须维护地址和端口的映射的时间戳记录,但这样又会给LSN设备增加沉重的负担,记录到LSN范围之外的存储设备也将有助于减轻LSN网络的负载。

单一主题的监听可能意味着在单一地址上将用户静态映射到特定范围的端口,因此有些端口可能是为合法监听预留的,但在LSN环境中,所有用户的通信都将被监听。

反向追踪的资源消耗巨大

地址和端口映射的时间戳记录不仅可以用于合法监听,还可以用于追踪特殊用户,如垃圾邮件发送者,DoS源,或违反使用策略的偏激用户,如果没有地址和端口映射的时间戳记录,隐藏在LSN背后的行为不端者将会安然无恙。

但合法监听需要记录一或多个用户,如果要进行精准追踪,可能要对全体用户进行记录,至少要按照一定的采样率进行抽样记录,仅这一项就会造成大量的资源消耗,一个折中的办法是当检测到问题时开启追踪记录,但这需要不端行为持续时间长才行。

双重NAT问题

关于NAT444一直都有一个抱怨,它破坏了那些引用了IP地址的应用程序,理想情况下,应用程序应该与网络层无关,因此地址变化不应该对其有任何影响,但事实上,很多应用程序都引用了IP地址,或者说绑定了IP地址,一旦IP发生变化,应用程序很可能出现异常或不可用。

NAT444的双重NAT结构可能会破坏那些原本可以在单NAT环境下正常运行的应用程序,一些应用程序厂商已经在测试自己的应用程序是否会受NAT444架构的影响。

DS-Lite避免了NAT444的双重NAT问题,它已成为现今许多宽带运营商的首选方案,但有些LSN供应商只能在他们的路线图上看到DS-Lite的影子,而未正式部署,在DS-Lite基础上部署CPE的就更少了。

最终结论:LSN只是过渡性技术,IPv6不可替代

关于LSN还有其它许多值得关注的问题,如单点故障,潜在的地址池资源耗尽攻击,性能和扩展性,数据包碎片的影响,非对称通信流的影响,为满足配置系统需要的修改,为满足内部会计制度需要的修改等。

因为IPv6已经让我们等待太久了,在IPv4地址面临枯竭的背景下,LSN是不得已而为之的临时解决办法,但LSN的复杂性和它引起的问题注定它不会成为主流,它始终只是一个过渡性技术,IPv6是没有替代品的。

原文标题:Can Large Scale NAT Save IPv4?       原文作者:jdoyle

51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及作者!】


共3页: 上一页123下一页

相关内容