理解RFC6598 (CGN)

Question

我正在和一个ISP讨论我们是否应该在防火墙上接收来自100.64.0.0/10的流量。

在我看来，我们应该只从他们的NAT设备接收流量，而不是直接从共享地址空间接收流量。

RFC指出：

共享地址空间()是为服务提供者指定的IPv4地址空间，其目的是为了方便CGN的部署。此外，共享地址空间可以用作路由设备上的附加非全局可路由空间，当地址在两个不同的接口上相同时，该设备可以跨路由器接口进行地址转换。当在两个不同的接口上使用相同的共享地址空间范围时，设备必须能够执行地址转换。具有共享地址、空间地址或目标地址的数据包不得跨服务提供程序边界转发。服务提供商必须在入口链接上过滤此类数据包。本段禁止的一个例外是业务关系，例如托管的CGN服务。

我读到了上面的内容，因为共享地址空间只应该在客户CPE和ISPs设备之间使用，因此永远不应该到达我的防火墙。

这是一个拓扑图(简化)

我是误解了RFC还是ISP？

Answer 1

我不太理解你的论点。从网络的角度来看，共享地址就是您的公共地址。您的外部地址(通常在您的防火墙上)将在共享地址空间，然后您可以使用NAT将您的内部地址转换为共享地址(您的外部地址)。

如果ISP在其共享地址空间中有两个客户，那么这两个客户可以直接使用其外部(共享地址)地址进行通信。

基本上，ISP是使用共享地址空间作为其内部网络，而您正在连接到它的内部网络作为您的外部网络。

据我所知，ISP只为住宅用户使用共享地址空间，为其业务客户节省了公共地址池。