了解 RFC6598 (CGN)

网络工程 射频
2022-02-22 02:13:54

我正在与 ISP 讨论我们是否应该从100.64.0.0/10我们的防火墙接收流量。

在我看来,我们应该只从他们的 NAT 设备接收流量,而不是直接从共享地址空间接收流量。

RFC 规定:

共享地址空间是指定给服务提供商使用的 IPv4 地址空间,目的是促进 CGN 部署。此外,共享地址空间可用作路由设备上的附加非全局可路由空间,当两个不同接口上的地址相同时,该设备能够跨路由器接口进行地址转换。

当在两个不同的接口上使用相同的共享地址空间范围时,设备必须能够执行地址转换。

具有共享地址空间源或目标地址的数据包不得跨服务提供商边界转发。服务提供商必须在入口链接上过滤此类数据包。本段禁止的一个例外是在业务关系的情况下,例如托管的 CGN 服务。

我读了上面的内容,因为共享地址空间只能在客户 CPE 和 ISP NAT 设备之间使用,因此永远不应该到达我的防火墙。

这是拓扑图(简化) 在此处输入图像描述

我误解了 RFC 还是 ISP?

1个回答

我不太赞同你的论点。从您的网络角度来看,共享地址是您的公共地址。您的外部地址(通常在您的防火墙上)将位于共享地址空间中,然后您可以使用 NAT 将您的内部地址转换为共享地址(您的外部地址)。

如果 ISP 在其共享地址空间内有两个客户,那么这两个客户可以使用他们的外部(共享地址)地址直接通信。

基本上,ISP 将共享地址空间用作其内部网络,而您将连接到其内部网络作为外部网络。

据我所知,ISP 只为住宅客户使用共享地址空间,为他们的商业客户节省了公共地址池。

其它你可能感兴趣的问题
上一篇令牌环拓扑和令牌传递概念 下一篇使用 ASA 和 L3 交换机的分支机构配置