キャリア・グレードNAT装置は,ルーターなど他の通信機器と異なる性質を持ちます。それは,大量のユーザーとサーバー間の通信を仲立ちしていることです。インターネット上のユーザーからは,「ポート番号が大量に開いた複数のサーバー」のように見えるわけです。
このような特性から,キャリア・グレードNATはDDoS(distributed denial of service)攻撃などの標的になりやすいとも言われています(図1)。利用者が大量におりダウンさせられないシステムですので,今後プロバイダなどの事業者がキャリア・グレードNAT装置を大規模に展開する際のサービス妨害や攻撃への対策は不可欠だといえます。
ユーザーからのアクセス集中への対処も必要
「セッション・バースト」という現象に対処することも必要です。セッション・バーストは,ネットワークが一時的な切断から回復した際,あるいはユーザーのPPPoEを終端する「コンセントレータ」という装置が一時的な通信遮断状態から回復した際に,キャリア・グレードNAT装置に一気にユーザーからのアクセスが集中することです(図2)。過負荷になるといった影響が考えられます。
本連載の第4回で触れましたが,キャリア・グレードNAT装置は一気に押し寄せるユーザー・トラフィックをすべてNAT処理し,セッション・テーブルを構築していきます。そのため膨大な作業負荷がかかります。それに加えセッション・バースト対策も考慮すると,キャリア・グレードNAT装置でセッションを作る性能は,さらに向上させていかなくてはならないでしょう。
帯域制御や利用ユーザー数の削減で対応
それでは,DDoS攻撃やセッション・バーストには,どのように対処すればよいのでしょうか。この問題は,集中するトラフィックの輻輳(ふくそう)を制御することによって改善されることが知られています。例えば,キャリア・グレードNATを通過するすべてのパケット,それからすべてのユーザーの通信に適切に帯域制御を実施することで,問題を小さくできると考えられます。これらの制限は,通信事業者が検討したうえで必要と判断した場合に実施することになるでしょう。制限とは別に,1台のキャリア・グレードNAT装置に集約されるユーザーの規模を少なくすることで,影響範囲を小さくするという手法も考えられます。
さて次回は,キャリア・グレードNATのサービスが始まったときに,ユーザーとしてどのような選択をすべきかを考えてみることにします。
ネットワークバリューコンポネンツ ニュービジネスチーム