CGNAT - počet domácností za jednou IP

LeosB

Re:CGNAT - počet domácností za jednou IP
« Odpověď #15 kdy: 02. 08. 2023, 12:51:59 »
Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).
Z pohledu dohledavani uzivatelu mezi tim je jen maly rozdil.
V pripade dynamickeho mapovani 1:1 musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni NAT session namapovanou na IP adresu X.
V pripade pridelovani bloku musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni pridel portu pro IP adresu X.
(V pripade pridelovani vetsich bloku samozrejme logujete nejen port "od-do", resp. "od+velikost pridelu", ale i IP.)

No vidíte - stejně je potřeba logovat všechna spojení. Takže v logování není mezi tou naivní alokací portů a tou sofistikovanější implementaci v Linuxu vlastně skoro žádný rozdíl. Proč by tedy nějaký dodavatel CGNAT vůbec měl implementovat tu naivní alokaci portů pro jednotlivé klienty ve vnitřní síti, a tím mít mnohem větší spotřebu veřejných IP adres pro obsloužení většího počtu klientů? Existuje vůbec dnes nějaká taková reálně používaná implementace?


Re:CGNAT - počet domácností za jednou IP
« Odpověď #16 kdy: 02. 08. 2023, 19:50:15 »
Neni potreba logovat kazde spojeni. Staci zalogovat datum a cas prideleni mapovani toho bloku portu (pripadne jeste uvolneni).

Implementace existuji a realne se pouzivaji. Napr. https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-28/nat-admin/21-28-nat-admin/m_natoverview.html#reference_B84136EA5C8947C092889E29BCBAD691

Re:CGNAT - počet domácností za jednou IP
« Odpověď #17 kdy: 03. 08. 2023, 06:49:29 »
V roce 2009, kdy jsem něco podobného měl na starosti, se běžně na 1 IPv4 veřejnou adresu (tenkrát to byl NAT na clusteru linux serverů) překládalo kolem 1 tisíce domácích uživatelů. Hlavním problémem tehdejší doby byl spíš počet paketů za sekundu než počet připojených zákazníků.

Dnes bych čekal, že se usilí bude směřovat do IPv6….