Что такое CGNAT (Carrier-Grade NAT)?

CGNAT (NAT операторского класса), также называемый крупномасштабным NAT (LSN), представляет собой метод, который интернет-провайдеры используют в сетях IPv4 для совместного использования небольшого пула публичных IPv4-адресов сотнями абонентов, что позволяет продлить срок службы адресного пространства IPv4 (Википедия (NAT операторского уровня), 2025). Один публичный IP-адрес может одновременно обслуживать сотни клиентов. Такое объединение адресов незаметно для конечных пользователей, но влечет за собой реальные последствия для любой системы, которая использует IP-адреса для идентификации, геолокации или ограничения скорости доступа отдельных пользователей.

Как работает CGNAT

В документе IETF RFC 6598 блок адресов 100.64.0.0/10 (от 100.64.0.0 до 100.127.255.255) в качестве выделенного общего адресного пространства для соединения между устройствами CGN и абонентским оборудованием, отделив его от частных диапазонов, определённых в RFC 1918 (IETF RFC 6598, 2012). Когда абонент отправляет запрос, устройство CGN оператора связи заменяет исходный адрес из диапазона 100.64.x.x на общий публичный IP-адрес и регистрирует этот преобразование в журнале. Ответы проходят через то же устройство и подвергаются обратному преобразованию, чтобы достичь нужного абонента.

В результате создается схема с двойным NAT: один NAT внутри домашнего маршрутизатора, а второй — на уровне оператора связи. Номера портов позволяют различать сеансы связи между множеством пользователей, совместно использующих один и тот же публичный IP-адрес.

Как CGNAT влияет на системы, основанные на IP-адресах

Поскольку сотни пользователей используют один общедоступный IP-адрес, любая система, которая блокирует доступ или присваивает оценки по IP-адресу, рассматривает всех этих пользователей как единое целое. Блокировка, направленная против одного злоумышленника, затрагивает всех остальных абонентов из того же пула. Точность геолокации также снижается: общедоступный IP-адрес соотносится с местоположением инфраструктуры оператора связи, а не с фактическим городом или районом проживания абонента.

Репутация IP-адресов работает по тому же принципу. Один спамер в пуле CGNAT может ухудшить рейтинг сотен пользователей, не имеющих к нему никакого отношения. Наиболее активными пользователями CGNAT являются мобильные операторы, поскольку в большинстве сетей 4G и 5G мобильные устройства подключаются через эту технологию. Реальные устройства в домашних и мобильных прокси-сетях отражают данное поведение CGNAT, поэтому их модели трафика отличаются от моделей трафика IP-адресов центров обработки данных, которые используют выделенные публичные адреса.

Случаи использования

  • Анализ мобильных сетей. CGNAT объясняет, почему геолокация в Mobile IP носит приблизительный характер и почему многие сеансы используют один и тот же публичный адрес.
  • Поиск прокси-серверов и IP-адресов. Сети прокси-серверов для частных пользователей, такие как Massive, используют IP-адреса реальных потребительских устройств, многие из которых находятся за CGNAT. Их исходящий трафик в большей степени соответствует обычному поведению абонентов, а не исходящему трафику из центров обработки данных.
  • Выявление случаев мошенничества и злоупотреблений. Службы безопасности учитывают CGNAT перед массовой блокировкой общего IP-адреса, что позволяет снизить побочные последствия для законных пользователей из того же пула.
  • Планирование внедрения IPv6. CGNAT является временной мерой на период внедрения IPv6 операторами связи. В протоколе IPv6 каждому устройству присваивается уникальный публичный адрес, что полностью устраняет проблему совместного использования IP-адресов.

Часто задаваемые вопросы

CGNAT маскирует ваш частный адрес за общим публичным IP-адресом, однако это не является анонимностью. Ваш интернет-провайдер регистрирует состояние преобразования и может соотнести любой сеанс с вашей учетной записью. Многие интернет-провайдеры обязаны по закону хранить эти записи.

Внешние сервисы видят публичный IP-адрес оператора связи, а не адрес вашего устройства. Базы данных геолокации сопоставляют этот IP-адрес с местоположением инфраструктуры оператора связи, которое может находиться далеко от того места, где вы фактически находитесь.

Если один из абонентов, подключенный через пул CGNAT, вызывает срабатывание правил по борьбе со злоупотреблениями, общий публичный IP-адрес попадает в список с пометкой о нарушении. Другие пользователи, использующие этот же IP-адрес, наследуют плохую репутацию и могут столкнуться с ложноположительными блокировками или CAPTCHA.

Домашний маршрутизатор осуществляет преобразование NAT между вашими локальными устройствами и адресом, присвоенным вашим интернет-провайдером. CGNAT представляет собой второй уровень преобразования на стороне оператора связи, который преобразует адрес 100.64.x.x, присвоенный вашим интернет-провайдером, в публичный IP-адрес. В результате трафик проходит два последовательных преобразования NAT, прежде чем достигнет пункта назначения.