Zum Hauptinhalt springen
Deutsch

Verwaltung der Erschöpfung öffentlicher IPs in Studentenwohnheimen

Dieser Leitfaden bietet eine definitive technische Referenz für Netzwerkarchitekten, die Carrier-Grade NAT (CGNAT) und Port Address Translation (PAT) einsetzen, um die IPv4-Erschöpfung in dichten Studentenwohnheimen und Multi-Tenant WiFi-Umgebungen zu verwalten. Er behandelt die NAT444-Architektur, den RFC 6598 Shared Address Space, die Dimensionierung der Port Block Allocation, GDPR-konforme Logging-Strategien und einen Dual-Stack IPv6-Migrationspfad. Der Leitfaden ist unerlässlich für jeden Betreiber, der Hunderte oder Tausende von gleichzeitigen Geräten in einem begrenzten öffentlichen IP-Pool verwaltet, und bietet umsetzbare Konfigurationsanleitungen, reale Fallstudien und eine ROI-Analyse.

📖 10 Min. Lesezeit📝 2,500 Wörter🔧 3 ausgearbeitete Beispiele3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Hello, and welcome to this technical briefing from Purple. I'm your host, and today we're tackling a critical infrastructure challenge for multi-tenant networks: Managing Public IP Exhaustion in Student Housing. If you're a network architect, CTO, or IT manager operating dense environments — whether that's student accommodation, hospitality, or large retail complexes — you know the pain of IPv4 depletion. You have thousands of concurrent devices, a shrinking pool of public IPs, and the constant pressure to maintain high throughput and seamless connectivity. Today, we're diving deep into Carrier-Grade NAT, or CGNAT, Port Address Translation, and how to architect a scalable solution that doesn't compromise performance or compliance. Let's set the context. In a typical student housing block, a single resident brings a smartphone, a laptop, a smart TV, a gaming console, and maybe a smart speaker. That's five to seven devices per user. Multiply that by five hundred or a thousand beds, and you're looking at a massive concurrent session load. Standard NAT or PAT — Port Address Translation — often breaks down at this scale. Why? Because a single public IP only has sixty-five thousand, five hundred and thirty-five TCP and UDP ports available. When thousands of devices are opening multiple background sessions for cloud sync, messaging apps, and streaming, port exhaustion happens fast. The result? Dropped connections, degraded user experience, and a spike in helpdesk tickets. This is where CGNAT, specifically NAT four-four-four, comes in. Unlike standard single-level NAT, CGNAT introduces a second layer of translation. The subscriber devices get private IPs from RFC 1918 space, like 192.168.x.x. These are translated by the access point or CPE to a shared carrier-grade address space — specifically RFC 6598, which is the 100.64.0.0 slash ten block. Finally, the CGNAT gateway translates these to public internet IPs. Let's get into the technical deep-dive. How do we deploy this effectively? First, Port Block Allocation, or PBA. This is the cornerstone of a stable CGNAT deployment. Instead of dynamically assigning ports one by one — which creates a massive logging overhead and fragments the port space — you assign a contiguous block of ports to each subscriber. Industry best practice, and what we typically recommend for dense environments, is allocating around five hundred ports per subscriber. This strikes the right balance. It's enough to handle modern web applications without starving the pool. At five hundred ports per user, a single public IPv4 address can support up to one hundred and twenty-eight subscribers. If you push it further, say to two hundred and fifty-six subscribers, you're dropping the port allocation to two-fifty, which significantly increases the risk of session drops during peak usage — like evening study hours or weekend gaming sessions. Now, let's talk about implementation recommendations and pitfalls. Pitfall number one: Ignoring Session Logging and Compliance. In the UK and Europe, under GDPR and lawful intercept regulations, you must be able to trace a public IP and port back to a specific user at a specific time. If you're using dynamic port allocation, your CGNAT gateway will generate a log entry for every single session setup and teardown. At scale, this is terabytes of syslog data per day. It will crush your logging infrastructure. The solution? Again, Port Block Allocation. With PBA, you only log when a block is assigned to a user and when it's released. This reduces logging volume by up to ninety-eight percent, making compliance manageable and cost-effective. Pitfall number two: The CAPTCHA problem. When one hundred and twenty-eight users share a single public IP, major content delivery networks and search engines might flag the traffic volume as suspicious, treating it like a botnet. Users start getting endless CAPTCHA prompts. To mitigate this, ensure your CGNAT gateways are distributed, and rotate the public IP pools if a specific address gets blacklisted. Let's move to a rapid-fire Q and A based on common questions we hear from lead architects. Question: Should we just skip CGNAT and move straight to IPv6? Answer: In an ideal world, yes. But the reality of student housing is that many legacy devices — older gaming consoles, cheap smart plugs — still only support IPv4. The recommended architecture is a Dual-Stack deployment. Run IPv6 natively alongside IPv4 with CGNAT. This offloads up to sixty to seventy percent of traffic — like YouTube, Netflix, and Facebook — directly to IPv6, drastically reducing the load on your IPv4 NAT pools. Question: How does this impact our Purple WiFi deployment? Answer: It integrates seamlessly. Purple acts as the identity provider and handles the authentication and analytics layer. The underlying IP routing, whether dual-stack or CGNAT, is transparent to the Purple portal. Just ensure your RADIUS accounting and syslog are correctly correlated if you need to trace user sessions for compliance. To summarise: IPv4 exhaustion is a reality, but it's manageable. One: Use NAT four-four-four with RFC 6598 shared address space. Two: Implement Port Block Allocation at roughly five hundred ports per subscriber. Three: Keep your subscriber-to-IP ratio at or below one hundred and twenty-eight to one. Four: Deploy IPv6 Dual-Stack to offload traffic. Five: Ensure your logging strategy aligns with lawful intercept requirements without overwhelming your SIEM. That concludes our technical briefing on Managing Public IP Exhaustion in Student Housing. For detailed architecture diagrams, configuration examples, and more insights on Multi-Tenant WiFi, be sure to check out the full technical reference guide on the Purple website. Thank you for listening.

header_image.png

Zusammenfassung

Da die Erschöpfung der IPv4-Adressen sich beschleunigt, stehen IT-Manager und Netzwerkarchitekten in dichten Multi-Tenant-Umgebungen – wie Studentenwohnheimen, Gastgewerbe und großen öffentlichen Veranstaltungsorten – vor erheblichen betrieblichen Herausforderungen. Ein einzelnes Studentenwohnheim mit 1.000 Bewohnern kann über 7.000 gleichzeitig IP-verbundene Geräte generieren. Standard-Port Address Translation (PAT)-Architekturen versagen in diesem Maßstab, was zu Port-Erschöpfung, Verbindungsabbrüchen und einer verschlechterten Benutzererfahrung führt.

Dieser technische Referenzleitfaden beschreibt die Architektur und den Einsatz von Carrier-Grade NAT (CGNAT) unter Verwendung des NAT444-Modells zur Verwaltung der IP-Erschöpfung. Durch die Nutzung des RFC 6598 Shared Address Space und die Implementierung einer strategischen Port Block Allocation (PBA) können Netzwerkbetreiber eine hohe Teilnehmerdichte – bis zu 128 Benutzer pro öffentlicher IP – erreichen, während sie gleichzeitig die Einhaltung der GDPR- und rechtlichen Abhörvorschriften gewährleisten. Für Veranstaltungsorte, die Plattformen wie Guest WiFi und WiFi Analytics nutzen, sorgt eine robuste CGNAT-Architektur für stabile Konnektivität und genaue Datenerfassung ohne die Kapitalausgaben für den Kauf zusätzlicher IPv4-Blöcke.

Technischer Deep-Dive

Das Skalierungsproblem in Studentenwohnheimen

Die Gerätedichte in modernen Studentenwohnheimen ist anders als in fast jeder anderen verwalteten Netzwerkumgebung. Ein einzelner Bewohner verbindet typischerweise ein Smartphone, einen Laptop, einen Smart TV, eine Spielekonsole und mindestens ein Smart Home-Gerät. Bei fünf bis sieben Geräten pro Bewohner stellt eine Entwicklung mit 1.000 Betten eine gleichzeitige Sitzungslast dar, die ein vergleichbar großes Hotel in den Schatten stellt. Die Herausforderung wird durch Nutzungsmuster noch verstärkt: In den abendlichen Spitzenzeiten (18:00–23:00 Uhr) kommt es zu nahezu gleichzeitiger High-Bandwidth-Aktivität bei Gaming, Video-Streaming und sozialen Medien, die alle persistente Hintergrundverbindungen aufrechterhalten.

Der IPv4-Adressraum ist auf Ebene der Regional Internet Registries (RIR) praktisch erschöpft. RIPE NCC, das die Zuweisungen in Europa und dem Nahen Osten verwaltet, erreichte seine letzte /8-Zuweisungsrichtlinie im Jahr 2019. Der Erwerb zusätzlicher öffentlicher IPv4-Blöcke auf dem freien Markt kostet jetzt zwischen 40 und 60 US-Dollar pro Adresse – eine prohibitive Investition (CapEx) für jeden Betreiber, der Hunderte von Subnetzen verwaltet.

Die Grenzen von Standard-PAT

In traditionellen Einzelstandort-Bereitstellungen bildet Port Address Translation (PAT) ein gesamtes privates LAN (RFC 1918-Bereich: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) auf eine einzige öffentliche IP-Adresse ab. Eine einzelne IPv4-Adresse verfügt über 65.535 verfügbare Ports über TCP und UDP. Während dies für ein kleines Büro ausreicht, bedeutet in dichten Studentenwohnheimen die Verbreitung von Hintergrundanwendungen – Cloud-Synchronisation, Messaging-Plattformen, Streaming-Dienste –, dass ein einzelner Benutzer problemlos Hunderte von Ports gleichzeitig belegen kann. Wenn der PAT-Edge-Router seine verfügbaren Ports erschöpft, werden neue Sitzungsanfragen stillschweigend verworfen. Dies äußert sich in Anwendungs-Timeouts, fehlgeschlagenen VoIP-Anrufen und einem Anstieg der Helpdesk-Tickets.

Die CGNAT (NAT444) Architektur

Um über die Grenzen von Single-Level NAT hinaus zu skalieren, müssen Unternehmensnetzwerke eine Carrier-Grade NAT-Architektur, insbesondere das NAT444-Modell, einführen. Der Name bezieht sich auf die drei Schichten des IPv4-Adressraums, die an der Übersetzungskette beteiligt sind.

Ebene 1 — CPE / Access Point-Schicht: Teilnehmergeräten werden private IP-Adressen aus dem RFC 1918-Bereich zugewiesen (z. B. 192.168.x.x). Der Access Point oder das Customer Premises Equipment (CPE) führt die erste NAT-Übersetzung durch.

Ebene 2 — CGNAT Gateway: Das CPE übersetzt private RFC 1918-Adressen in den RFC 6598 Shared Address Space (100.64.0.0/10). Dieser Zwischenbereich ist speziell für die Verwendung zwischen der Service Provider-Infrastruktur und dem CGNAT Gateway reserviert. Die Verwendung von RFC 6598 – anstelle eines anderen RFC 1918-Bereichs – verhindert Adressüberschneidungen und Routing-Konflikte in komplexen Multi-Tenant-Umgebungen.

Ebene 3 — Öffentliches Internet: Das CGNAT Gateway führt die endgültige Übersetzung von RFC 6598-Adressen in eine gemeinsam genutzte öffentliche IPv4-Adresse durch. Dies ist die Adresse, die für externe Dienste sichtbar ist.

cgnat_pat_architecture_comparison.png

Port Block Allocation: Die kritische Designentscheidung

Die wichtigste Konfigurationsentscheidung bei einer CGNAT-Bereitstellung ist die Port-Zuweisungsstrategie. Es gibt zwei Ansätze:

Dynamische Port-Zuweisung (DPA): Ports werden sitzungsweise aus einem gemeinsamen Pool zugewiesen. Dies maximiert die Effizienz der Port-Nutzung, erzeugt aber für jede einzelne Sitzungseinrichtung und -beendigung einen Log-Eintrag – was bei Skalierung eine Compliance- und Infrastrukturbelastung darstellt.

Port Block Allocation (PBA): Ein zusammenhängender Block von Ports wird jedem Teilnehmer bei seiner ersten Sitzungsinitiierung zugewiesen. Der Block bleibt zugewiesen, bis die Sitzung des Teilnehmers abläuft. Dieser Ansatz generiert Logs nur bei Blockzuweisung und -freigabe, wodurch das Log-Volumen um bis zu 98 % reduziert wird.

Konfigurationsparameter Empfohlener Wert Begründung
Ports pro Teilnehmer (PBA-Blockgröße) 500 Ausreichend für moderne Multi-App-Nutzung ohne Pool-Erschöpfung
Max. Teilnehmer pro öffentlicher IP 128 Hält 500+ Ports pro Benutzer bei 64.000 nutzbaren Ports pro IP aufrecht
Max. gleichzeitige Sitzungen pro Teilnehmer 2.000 Verhindert, dass ein einzelnes kompromittiertes Gerät den Block erschöpft
Sitzungs-Timeout (TCP established) 7.440 Sekunden (RFC 5382) Entspricht den IETF-Empfehlungen für NAT-Verhalten
Sitzungs-Timeout (UDP) 300 Sekunds Verhindert, dass veraltete UDP-Mappings Port-Speicherplatz belegen

Branchen-Benchmark: NFWare, ein spezialisierter CGNAT-Anbieter mit Implementierungen bei über 100 ISPs, empfiehlt maximal 128 Teilnehmer pro öffentlicher IP mit 500 zugewiesenen Ports pro Teilnehmer. Das Überschreiten dieser Schwelle – zum Beispiel die Erhöhung auf 256 Teilnehmer pro IP mit jeweils 250 Ports – erhöht das Risiko von Session-Abbrüchen bei Spitzenlast erheblich.

Dual-Stack IPv6 als langfristiger Migrationspfad

CGNAT ist eine Minderungsstrategie, keine dauerhafte Lösung. Der korrekte architektonische Weg ist eine Dual-Stack-Bereitstellung: natives IPv6 parallel zu IPv4 mit CGNAT zu betreiben. Moderne Geräte und große CDNs (Google, Netflix, Meta, Cloudflare) bevorzugen IPv6 stark, wenn verfügbar. In einer gut konfigurierten Dual-Stack-Umgebung können 60–70 % des gesamten Datenverkehrs auf IPv6 ausgelagert werden, was die Last auf den IPv4 CGNAT-Pool drastisch reduziert und dessen effektive Lebensdauer verlängert.

Für Gesundheitswesen und Transport -Umgebungen, in denen die Unterstützung älterer Geräte entscheidend ist, bietet Dual-Stack auch einen sauberen Migrationspfad: IPv6-fähige Geräte wechseln nativ, während ältere reine IPv4-Geräte weiterhin über CGNAT ohne benutzerseitige Unterbrechung betrieben werden.

ip_exhaustion_solution_matrix.png

Implementierungsleitfaden

Schritt 1: Überprüfen Sie Ihre aktuelle IP-Zuweisung und Gerätedichte

Bevor Sie CGNAT bereitstellen, legen Sie eine Basislinie fest. Sammeln Sie die folgenden Daten aus Ihrem bestehenden Netzwerkmanagementsystem:

  • Maximale Anzahl gleichzeitiger Geräte pro Subnetz
  • Durchschnittliche und maximale Sessions pro Gerät
  • Aktueller Auslastungsprozentsatz der öffentlichen IP
  • Bestehende NAT-Timeout-Konfigurationen

Diese Daten fließen direkt in die Dimensionierung Ihres PBA-Blocks und die Anforderungen an den öffentlichen IP-Pool ein.

Schritt 2: Entwerfen des RFC 6598 Zwischennetzwerks

Weisen Sie den 100.64.0.0/10-Block für das Carrier-Grade-Zwischennetzwerk zu. Planen Sie die Subnetzbildung passend zu Ihrer Campus-Topologie – typischerweise ein /24 oder /23 pro Gebäude oder Zugriffsschichtsegment. Stellen Sie sicher, dass Ihre Routing-Infrastruktur keine RFC 6598-Präfixe an das öffentliche Internet oder an Peering-Partner weitergibt.

Schritt 3: Bereitstellen und Konfigurieren des CGNAT Gateways

Das CGNAT Gateway ist typischerweise eine dedizierte Hardware-Appliance oder eine virtualisierte Netzwerkfunktion (VNF), die auf handelsüblicher Server-Hardware läuft. Wichtige Konfigurationsparameter:

  • NAT Pool: Weisen Sie Ihren öffentlichen IPv4-Block dem NAT Pool zu. Stellen Sie sicher, dass der Pool für Ihr Zielverhältnis von Teilnehmer zu IP dimensioniert ist.
  • PBA Configuration: Setzen Sie die Blockgröße auf 500 Ports. Konfigurieren Sie die maximale Anzahl von Blöcken pro Teilnehmer auf 1 (mit der Option, auf 2 zu erweitern, falls ein Teilnehmer seinen ursprünglichen Block erschöpft, anstatt die Basisblockgröße zu erhöhen).
  • Logging: Konfigurieren Sie die Syslog-Ausgabe an Ihr SIEM. Mit PBA zeichnet jeder Log-Eintrag auf: interne IP des Teilnehmers, zugewiesene öffentliche IP, Start des zugewiesenen Port-Blocks, Ende des Blocks, Zeitstempel der Zuweisung und Zeitstempel der Freigabe.
  • Session Limits: Erzwingen Sie ein Maximum von 2.000 gleichzeitigen Sessions pro Teilnehmer, um Missbrauch zu verhindern.

Schritt 4: Integration mit der Identitäts- und Authentifizierungsschicht

In Umgebungen, die Guest WiFi -Plattformen nutzen, muss die Captive Portal-Authentifizierung an oder vor der NAT-Grenze der Ebene 1 erfolgen. Dies stellt sicher, dass der Identitätsanbieter MAC-Adressen und Benutzeranmeldeinformationen genau bestimmten internen IP-Adressen zuordnen kann, bevor der Datenverkehr im CGNAT-Pool aggregiert wird. Die Plattform von Purple handhabt dies auf Access Point-Ebene und gewährleistet eine saubere Benutzer-zu-IP-Bindung, die über die NAT-Übersetzungskette hinweg bestehen bleibt.

Für passwortlose Zugriffs-Implementierungen – wie in How a wi fi assistant Enables Passwordless Access in 2026 beschrieben – gilt dasselbe Prinzip: Die Identitätsbindung muss vor dem CGNAT Gateway hergestellt werden, um eine genaue Session-Zuordnung zu gewährleisten.

Schritt 5: IPv6 Dual-Stack konfigurieren

Aktivieren Sie IPv6 auf allen Access Points und verteilen Sie ein /64-Präfix pro VLAN über DHCPv6 oder SLAAC. Kündigen Sie IPv6-Routen über Ihren Upstream-Anbieter an. Überprüfen Sie, ob der Haupt-CDN-Verkehr (Google, Netflix, YouTube) zu AAAA-Einträgen auflöst und über IPv6 geroutet wird, bevor Sie die Größe Ihres IPv4 NAT-Pools reduzieren.

Best Practices

Deterministisches NAT implementieren, wo möglich. Deterministisches NAT verwendet eine algorithmische Zuordnung zwischen der internen IP-Adresse des Teilnehmers und seiner zugewiesenen öffentlichen IP sowie dem Port-Block. Da die Zuordnung mathematisch berechenbar ist, ist es nicht erforderlich, eine Session-Tabelle zu führen oder zu protokollieren – die Zuordnung kann bei Bedarf für rechtmäßige Abfangzwecke rekonstruiert werden. Dies ist der Goldstandard für Compliance-bewusste Implementierungen.

CGNAT Gateway-Last verteilen. Vermeiden Sie es, den gesamten CGNAT-Verkehr über eine einzige Appliance zu zentralisieren. Verteilen Sie Gateways über den Campus oder über Gebäude, um einen Single Point of Failure zu verhindern. Verteilte Gateways mindern auch das IP-Reputationsrisiko: Wenn eine öffentliche IP im Pool von einem CDN wegen verdächtiger Datenverkehrsmuster (das CAPTCHA-Problem) markiert wird, ist nur ein Bruchteil der Benutzer betroffen.

IP-Reputation proaktiv überwachen. Abonnieren Sie IP-Reputations-Feeds (z.B. Spamhaus, SURBL) und überwachen Sie die IPs Ihres öffentlichen NAT-Pools. Halten Sie einen Reservepool sauberer IPs bereit, um diese einzusetzen, falls eine aktive Adresse auf die Blacklist gesetzt wird. Dies ist besonders wichtig in Studentenwohnheimen, wo eine kleine Anzahl von Benutzern Aktivitäten ausüben kann, die Missbrauchs-Flags auslösen.

Session-Limits pro Teilnehmer durchsetzen. Eine feste Grenze von 2.000 gleichzeitigen Sessions pro Teilnehmer verhindert, dass ein einzelnes kompromittiertes Gerät – zum Beispiel eines, das an einem DDoS-Verstärkungsangriff teilnimmt – den gesamten diesem öffentlichen IP zugewiesenen Port-Block erschöpft. Weitere Informationen zur Überwachung der Netzwerkleistung finden Sie in unserem Leitfaden zu How to Measure WiFi Signal Strength and Coverage .

An IEEE 802.1X für die Zugriffssteuerung anpassenl. Die Implementierung der IEEE 802.1X portbasierten Authentifizierung auf der Zugriffsebene stellt sicher, dass nur authentifizierte Geräte IP-Zuweisungen erhalten. Dies reduziert das Risiko, dass nicht autorisierte Geräte Port-Zuweisungen verbrauchen, und bietet eine saubere Prüfspur für rechtmäßige Abfangzwecke.

Fehlerbehebung & Risikominderung

Die Protokollierungs- und Compliance-Last

Im Vereinigten Königreich und in Europa müssen Netzbetreiber gemäß GDPR und dem Investigatory Powers Act 2016 in der Lage sein, eine öffentliche IP-Adresse und Portnummer zu einem bestimmten Zeitpunkt einem bestimmten Benutzer zuzuordnen. Dies ist eine nicht verhandelbare rechtliche Verpflichtung.

Das Risiko: Bei dynamischem CGNAT erzeugt die Protokollierung jedes Sitzungsaufbaus und -abbaus täglich Terabytes an Syslog-Daten. Eine Bereitstellung für 1.000 Benutzer mit dynamischer Zuweisung kann täglich 500 Millionen Protokolleinträge erzeugen. Dies überfordert die SIEM-Infrastruktur, erhöht die Speicherkosten und macht forensische Untersuchungen unpraktisch.

Die Minderung: Die Port Block Allocation (PBA) reduziert das Protokollierungsvolumen um bis zu 98 %. Mit PBA protokollieren Sie nur die Blockzuweisungs- und Freigabeereignisse – typischerweise zwei Protokolleinträge pro Benutzer und Sitzung, anstatt Hunderte oder Tausende. Stellen Sie sicher, dass Ihr SIEM diese Protokolle für mindestens 12 Monate aufbewahrt, um die britischen Anforderungen an die Datenaufbewahrung zu erfüllen.

Das CAPTCHA- und IP-Reputationsproblem

Wenn 128 Benutzer eine einzige öffentliche IP teilen, kann das aggregierte Verkehrsaufkommen auf großen Websites Ratenbegrenzungen oder Anti-Bot-Schutzmaßnahmen auslösen. Googles reCAPTCHA, Cloudflares Bot-Management und ähnliche Systeme verwenden IP-basierte Heuristiken, die eine gemeinsam genutzte CGNAT IP fälschlicherweise als Bot-Quelle klassifizieren können.

Die Minderung: Verteilen Sie Ihren CGNAT-Pool auf mehrere öffentliche IPs. Überwachen Sie proaktiv die Reputationswerte. Erwägen Sie die Bereitstellung von DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT), um DNS-basierte Reputationsprobleme zu vermeiden. Informieren Sie Benutzer darüber, dass gelegentliche CAPTCHA-Aufforderungen ein bekanntes Verhalten in Umgebungen mit gemeinsam genutzten IPs sind.

Probleme mit der Anwendungskompatibilität

Bestimmte Anwendungen – insbesondere Peer-to-Peer-Protokolle, einige VoIP-Implementierungen und ältere Gaming-Plattformen – basieren auf konsistenten Port-Mappings oder der Initiierung eingehender Verbindungen. Diese können bei Double NAT fehlschlagen.

Die Minderung: Stellen Sie für VoIP sicher, dass Ihr CGNAT-Gateway ALG (Application Layer Gateway) für SIP unterstützt. Für Gaming sollten Sie die Implementierung eines UPnP-Proxys oder eines dedizierten Gaming-VLANs mit einem separaten, weniger dichten NAT-Pool in Betracht ziehen. Für retail -Umgebungen, in denen Kassensysteme eingehende Konnektivität erfordern, platzieren Sie diese Geräte in einem separaten VLAN, das die CGNAT-Schicht vollständig umgeht.

ROI & Geschäftsauswirkungen

Einsparungen bei den Investitionsausgaben (CapEx)

Die Bereitstellung von CGNAT bietet sofortige und erhebliche CapEx-Einsparungen. Bei einem Marktpreis von 50 US-Dollar pro IPv4-Adresse müsste eine Universität mit 5.000 Betten, die ein 1:1-Gerät-zu-IP-Verhältnis benötigt, etwa 35.000 IP-Adressen erwerben – Kosten von 1,75 Millionen US-Dollar. Durch die Bereitstellung von CGNAT mit einem Verhältnis von 128:1 benötigt dieselbe Bereitstellung weniger als 300 öffentliche IPs, wodurch die Kosten für den IP-Erwerb auf etwa 15.000 US-Dollar sinken.

Selbst unter Berücksichtigung der Kosten für CGNAT-Gateway-Hardware oder virtualisierte Netzwerkfunktionen (typischerweise 20.000–80.000 US-Dollar für eine Bereitstellung im Campus-Maßstab) ist die Nettoersparnis erheblich.

Reduzierung der Betriebsausgaben (OpEx)

Stabile Konnektivität reduziert direkt den Helpdesk-Aufwand. Port-Erschöpfungsereignisse – der primäre Fehlerfall von Standard-PAT im großen Maßstab – erzeugen ein unverhältnismäßiges Volumen an Support-Tickets. Eine gut konfigurierte CGNAT-Bereitstellung mit geeigneten Sitzungslimits und PBA eliminiert diesen Fehlerfall und reduziert das netzwerkbezogene Helpdesk-Volumen um geschätzte 30–40 %.

Wettbewerbsdifferenzierung in Studentenwohnheimen

Auf dem wettbewerbsintensiven Markt für Studentenunterkünfte ist die Netzwerkqualität ein primäres Auswahlkriterium für potenzielle Mieter. Betreiber, die eine konsistente Konnektivität mit hohem Durchsatz demonstrieren können – validiert durch WiFi Analytics -Dashboards, die Verfügbarkeit, Sitzungsqualität und Gerätedichte-Metriken zeigen – können höhere Mietpreise verlangen und eine höhere Auslastung erzielen. Diese Infrastrukturstabilität ist auch die Grundlage für die Bereitstellung fortschrittlicher standortbasierter Dienste, wie in Purple Launches Offline Maps Mode for Seamless, Secure Navigation to WiFi Hotspots hervorgehoben.

Fallstudie 1: Universitätswohnheime mit 800 Betten

Eine britische Universität, die Studentenwohnheime mit 800 Betten betreibt, hatte während der abendlichen Spitzenzeiten chronische Konnektivitätsprobleme. Die Untersuchung ergab, dass ihre einstufige PAT-Konfiguration, die ein öffentliches Subnetz /29 (6 nutzbare IPs) verwendete, die verfügbaren Ports jeden Abend um 19:30 Uhr erschöpfte. Der Betreiber implementierte eine CGNAT-Lösung mit PBA (500 Ports pro Teilnehmer, 128 Teilnehmer pro IP), rüstete auf ein öffentliches Subnetz /27 (30 nutzbare IPs) auf und aktivierte IPv6 Dual-Stack. Die Metriken nach der Bereitstellung zeigten eine Reduzierung der Port-Erschöpfungsereignisse um 94 %, eine Reduzierung der netzwerkbezogenen Helpdesk-Tickets um 38 % und eine Reduzierung des CGNAT-Protokollvolumens um 65 % im Vergleich zu einem anfänglichen dynamischen Zuweisungspilotprojekt. Die IPv6-Offload-Rate erreichte innerhalb von 60 Tagen nach der Bereitstellung 62 %.

Fallstudie 2: Betreiber von zweckgebundenen Studentenunterkünften (PBSA) mit 1.200 Zimmern

Ein privater PBSA-Betreiber, der drei Standorte in zwei britischen Städten verwaltet, musste seine Netzwerkarchitektur vor der Eröffnung eines vierten Standorts standardisieren. Ihre bestehende Infrastruktur verwendete eine Mischung aus einstufigem NAT und Ad-hoc-VLAN-Segmentierung, ohne eine konsistente Protokollierungsstrategie. Eine CGNAT-Bereitstellung mit deterministischem NAT wurde an allen drei Standorten implementiert, was eine mathematisch berechenbare Teilnehmer-zu-IP-Zuordnung ohne jeglichen Overhead für die Sitzungsprotokollierung ermöglichte. Dieser Ansatz stellte das Rechtsteam des Betreibers hinsichtlich der Einhaltung der Vorschriften zur rechtmäßigen Abhörung zufrieden, eliminierte die SIEM-Speicherkosten für Sitzungsprotokolle und bot eine konsistente Architekturvorlage für den vierten Standort. Der Betreiber integrierte auch die Guest WiFi -Plattform von Purple für die Captive Portal-Authentifizierung, wobei die Identitätsbindung vorgelagert von tdas CGNAT-Gateway, um eine genaue Benutzerzuordnung in Analyseberichten sicherzustellen.

Schlüsseldefinitionen

CGNAT (Carrier-Grade NAT)

A network architecture in which an operator performs Network Address Translation at a centralised gateway, enabling multiple subscribers to share a single public IPv4 address. Defined in RFC 6264 and RFC 6888. Also known as Large-Scale NAT (LSN) or CGN.

IT teams encounter CGNAT when a single public IP is insufficient to serve all devices on a network. In student housing, CGNAT is the primary mechanism for managing IPv4 exhaustion without purchasing additional public address space.

NAT444

A specific CGNAT topology involving three layers of IPv4 address space: subscriber private addresses (RFC 1918), carrier-grade shared addresses (RFC 6598), and public internet addresses. The name refers to the three IPv4 networks traversed.

NAT444 is the standard architecture for CGNAT deployments in multi-tenant environments. Network architects must understand the three-layer model to correctly design the intermediate network and avoid address overlap.

RFC 6598 Shared Address Space

The 100.64.0.0/10 IPv4 address block (100.64.0.0 to 100.127.255.255) reserved by IANA for use in the intermediate network between a CPE and a CGNAT gateway. This space is not routable on the public internet and is specifically designed to prevent address conflicts in NAT444 deployments.

IT teams must use RFC 6598 — not RFC 1918 — for the intermediate CGNAT network. Using RFC 1918 for this segment creates address overlap risks when the same RFC 1918 ranges are used in subscriber networks.

Port Block Allocation (PBA)

A CGNAT port assignment strategy in which a contiguous block of ports (e.g., 500 ports) is assigned to each subscriber for the duration of their session, rather than allocating ports individually per connection. Defined in RFC 7422.

PBA is the recommended approach for GDPR-compliant CGNAT deployments. It reduces logging overhead by up to 98% compared to dynamic port allocation, making lawful intercept compliance operationally feasible at scale.

Deterministic NAT

A CGNAT configuration in which the mapping between a subscriber's internal IP address and their assigned public IP and port block is computed algorithmically, without maintaining a session table. The mapping is reversible mathematically, enabling subscriber identification without log retrieval.

Deterministic NAT is the gold standard for compliance-conscious deployments. It eliminates logging overhead entirely while satisfying lawful intercept requirements, as the subscriber can be identified from a public IP, port, and timestamp using the known algorithm.

PAT (Port Address Translation)

A form of Network Address Translation in which multiple private IP addresses are mapped to a single public IP address by differentiating connections using unique source port numbers. Also referred to as NAT overload or many-to-one NAT.

PAT is the standard single-level NAT used in most enterprise edge routers. It is the predecessor to CGNAT and is insufficient for dense multi-tenant environments due to port exhaustion at scale.

Session Table

A data structure maintained by a NAT gateway that records the mapping between internal (private) IP address and port, and external (public) IP address and port, for each active connection. The session table is the primary memory and processing resource consumed by CGNAT.

Session table sizing is a critical capacity planning parameter for CGNAT gateways. A 1,000-subscriber deployment with 2,000 max sessions per subscriber requires a session table capacity of at least 2 million entries. Undersizing the session table causes connection failures.

Dual-Stack

A network configuration in which both IPv4 and IPv6 protocols are simultaneously active on the same network infrastructure and end devices. Devices with dual-stack capability will prefer IPv6 for connections to IPv6-capable destinations.

Dual-stack is the recommended transition strategy for CGNAT deployments. By offloading IPv6-capable traffic to the native IPv6 path, dual-stack reduces the load on the IPv4 CGNAT pool and provides a migration path toward an IPv6-primary network.

RFC 1918 Private Address Space

The three IPv4 address ranges reserved for private network use: 10.0.0.0/8, 172.16.0.0/12, and 192.168.0.0/16. These addresses are not routable on the public internet and are used for internal network addressing.

RFC 1918 addresses are used for subscriber device addressing in CGNAT deployments. Network architects must ensure RFC 1918 ranges used in subscriber networks do not overlap with those used in the intermediate CGNAT network — which is why RFC 6598 is used for the intermediate layer.

Lawful Intercept

The legally authorised interception of communications by law enforcement agencies. In the UK, governed by the Investigatory Powers Act 2016. Network operators must be able to identify the subscriber associated with a specific public IP address, port, and timestamp upon receipt of a lawful intercept request.

Lawful intercept compliance is the primary driver of CGNAT logging requirements. Operators must retain sufficient logs to identify subscribers from public IP and port data. PBA and Deterministic NAT are the two architectures that make this feasible at scale without overwhelming logging infrastructure.

Ausgearbeitete Beispiele

A 600-bed student accommodation block currently uses a single /29 public subnet (6 usable IPs) with standard PAT. During evening peak hours (19:00–23:00), users report widespread connectivity failures. The network team has confirmed port exhaustion on the PAT router. The operator has a budget for CGNAT gateway hardware but cannot acquire additional public IPs beyond a /27 (30 usable IPs). Design a CGNAT deployment that eliminates the port exhaustion issue and supports future growth to 900 beds.

Step 1 — Baseline Assessment: With 600 beds at 5 devices per occupant, peak concurrent device count is approximately 3,000. At 500 ports per subscriber (PBA), each public IP supports 128 subscribers. With 30 usable IPs in the /27, the theoretical maximum subscriber capacity is 3,840 — sufficient for 900 beds at 4.3 devices per occupant. Step 2 — RFC 6598 Intermediate Network: Allocate 100.64.0.0/20 for the intermediate carrier-grade network, providing 4,096 addresses for CPE-to-CGNAT gateway traffic. Subnet per building wing: 100.64.0.0/24, 100.64.1.0/24, etc. Step 3 — CGNAT Gateway Sizing: Deploy a CGNAT gateway with a session table capacity of at least 768,000 entries (3,000 subscribers × 2,000 max sessions per subscriber, with 20% headroom). Configure PBA with 500-port blocks. Set max blocks per subscriber to 1, with overflow to 2 blocks permitted for subscribers exceeding 500 concurrent sessions. Step 4 — IPv6 Dual-Stack: Enable IPv6 on all access points. Distribute /64 prefixes via SLAAC. Target 60% IPv6 offload within 90 days, which effectively reduces the IPv4 CGNAT load to 1,200 concurrent IPv4 subscribers — well within the /27 capacity. Step 5 — Logging: Configure syslog to SIEM with PBA block assignment/release events only. Retain logs for 12 months minimum. Step 6 — Session Limits: Enforce 2,000 max sessions per subscriber at the CGNAT gateway to prevent abuse.

Kommentar des Prüfers: This solution correctly identifies that the /27 (30 IPs × 128 subscribers per IP = 3,840 capacity) is sufficient for the 900-bed growth target, avoiding the need for additional IP acquisition. The IPv6 dual-stack component is critical — without it, the IPv4 pool would be under sustained pressure. The PBA configuration at 500 ports per subscriber is the industry-standard recommendation and directly addresses the port exhaustion failure mode. The session table sizing calculation (3,000 × 2,000 × 1.2 headroom) is a practical engineering approach. An alternative approach — purchasing additional IPv4 space — would cost approximately $150,000 for a /24 on the open market and is not justified when CGNAT achieves the same outcome at a fraction of the cost.

A PBSA operator has deployed CGNAT across a 1,000-bed site using dynamic port allocation. Their legal team has flagged that the current logging approach generates 400GB of syslog data per day, which is overwhelming the SIEM and making lawful intercept requests from law enforcement impractical to fulfil. Redesign the logging strategy to meet UK lawful intercept obligations while reducing log volume to a manageable level.

Step 1 — Migrate to Port Block Allocation: Replace dynamic port allocation with PBA at 500 ports per subscriber. This immediately reduces log events from one-per-session to one-per-block-assignment and one-per-block-release. For a 1,000-user deployment with an average of 3 block assignment/release cycles per user per day, this generates approximately 6,000 log entries per day — a reduction of over 99% from the dynamic allocation baseline. Step 2 — Log Schema: Ensure each PBA log entry captures: (a) subscriber internal IP address, (b) assigned public IP address, (c) assigned port block start and end, (d) timestamp of block assignment (UTC), (e) timestamp of block release (UTC), (f) subscriber identifier (MAC address or RADIUS username). Step 3 — Deterministic NAT Option: If the CGNAT platform supports it, migrate to Deterministic NAT. This eliminates logging entirely for routine operations, as the mapping is mathematically computable. Retain PBA logs only for non-deterministic overflow cases. Step 4 — Retention Policy: Retain logs for 12 months in a tamper-evident log store (e.g., write-once S3-compatible object storage). Implement access controls so that log retrieval for lawful intercept requests requires dual authorisation. Step 5 — Incident Response Procedure: Document the procedure for responding to lawful intercept requests, including the formula for reverse-computing the subscriber from a public IP, port, and timestamp under Deterministic NAT.

Kommentar des Prüfers: The key insight here is that dynamic port allocation is the root cause of the logging problem, not CGNAT itself. The migration to PBA is the primary intervention. The reduction from 400GB/day to approximately 1MB/day (6,000 log entries) is realistic and aligns with published industry benchmarks. The Deterministic NAT option is the optimal long-term solution but requires platform support — not all CGNAT appliances implement it. The dual-authorisation requirement for log access is a GDPR best practice, ensuring that lawful intercept log retrieval is auditable. This approach satisfies both the Investigatory Powers Act 2016 requirements and GDPR data minimisation principles.

A university IT team reports that students are experiencing frequent CAPTCHA challenges and rate-limiting from Google, Netflix, and gaming platforms. Investigation reveals that 200 students are sharing a single public IP address through CGNAT. The team has been told that acquiring more public IPs is not possible in the short term. What immediate mitigations can be implemented without changing the IP allocation?

Step 1 — Reduce Subscriber Density: The 200:1 ratio is the primary cause. Even without additional public IPs, review whether the CGNAT pool is being used efficiently. Ensure IPv6 dual-stack is fully enabled — if 60% of traffic offloads to IPv6, the effective IPv4 subscriber count drops to approximately 80 per IP, well within the 128:1 recommended threshold. Step 2 — IP Rotation: Implement a rotation policy for the public IP pool. If the CGNAT gateway supports it, configure periodic rotation of the public IP assigned to each subscriber group. This prevents any single IP from accumulating a persistent negative reputation. Step 3 — DNS Optimisation: Ensure the DNS resolvers provided to clients return AAAA records preferentially. Many CAPTCHA triggers are DNS-based — if a client resolves a service to an IPv4 address unnecessarily, it routes through CGNAT when it could use IPv6 natively. Step 4 — Session Timeout Tuning: Reduce UDP session timeouts from the default (often 300 seconds) to 60 seconds for non-DNS UDP traffic. This frees up port space faster and reduces the apparent session volume from the perspective of external services. Step 5 — Communicate with Affected Platforms: For persistent blacklisting issues, submit delisting requests to major IP reputation databases (Spamhaus, SURBL). Document that the IP is a shared CGNAT address serving a legitimate educational institution.

Kommentar des Prüfers: This scenario tests the candidate's ability to mitigate the IP reputation problem without the primary lever of additional IP acquisition. The IPv6 dual-stack solution is the most impactful intervention and should be the first recommendation. The DNS AAAA preference configuration is a subtle but effective optimisation that many operators overlook. Session timeout tuning is a valid short-term measure but carries risk — overly aggressive timeouts can break stateful applications. The delisting request process is a legitimate operational procedure but is reactive rather than preventive. The correct long-term answer remains reducing the subscriber-to-IP ratio to 128:1 or below.

Übungsfragen

Q1. A 2,000-bed student accommodation campus has a /26 public subnet (62 usable IPs). The network team is planning a CGNAT deployment. Calculate: (a) the maximum number of subscribers supportable at the recommended 128:1 ratio, (b) the total port capacity available, (c) the recommended PBA block size, and (d) whether the existing /26 is sufficient or whether additional IPs are required.

Hinweis: Start with the total usable IPs in a /26, then apply the 128:1 subscriber ratio. Compare the result against the 2,000-bed device count at a realistic devices-per-occupant ratio. Consider IPv6 dual-stack offload in your final recommendation.

Musterlösung anzeigen

A /26 provides 62 usable public IPs. At 128 subscribers per IP, the maximum IPv4 CGNAT capacity is 62 × 128 = 7,936 subscribers. At 5 devices per occupant, 2,000 beds generates approximately 10,000 concurrent devices. Without IPv6, the /26 is insufficient (7,936 < 10,000). However, with IPv6 dual-stack achieving 60% offload, the effective IPv4 load drops to approximately 4,000 devices — well within the /26 capacity of 7,936. The recommended PBA block size is 500 ports per subscriber. Total port capacity: 62 IPs × 64,000 usable ports = 3,968,000 ports. At 500 ports per subscriber: 3,968,000 / 500 = 7,936 subscribers maximum. Recommendation: Deploy CGNAT with PBA at 500 ports/subscriber, enable IPv6 dual-stack as a prerequisite, and the existing /26 is sufficient. If IPv6 offload cannot be guaranteed above 50%, acquire an additional /27 as a buffer.

Q2. A CGNAT deployment at a 500-bed student hall is generating compliance concerns. The operator's legal team has received a lawful intercept request from law enforcement for a specific public IP address (203.0.113.45), port 51432, at timestamp 2025-11-15 21:47:33 UTC. The CGNAT gateway is configured with dynamic port allocation. The SIEM contains 180 days of logs but the forensic team reports that locating the specific subscriber from the logs is taking over 4 hours per request. Identify the root cause and propose a remediation that reduces response time to under 15 minutes.

Hinweis: The 4-hour response time is a symptom of the logging architecture, not a data retention problem. Consider what information is logged under dynamic allocation versus PBA, and how Deterministic NAT would change the response process entirely.

Musterlösung anzeigen

Root cause: Dynamic port allocation generates one log entry per session. With 500 users × hundreds of sessions per user per hour, the SIEM contains millions of log entries per day. Locating a single entry by IP, port, and timestamp requires a full-text search across potentially billions of records — hence the 4-hour response time. Remediation Option 1 (PBA): Migrate to Port Block Allocation. With PBA, the log entry for port 51432 would record the block assignment (e.g., ports 51001–51500 assigned to subscriber 192.168.1.23 at 21:30:00 UTC, released at 23:15:00 UTC). A single indexed query on public IP + port range + timestamp returns the result in seconds. Estimated response time: under 2 minutes. Remediation Option 2 (Deterministic NAT): If the platform supports it, migrate to Deterministic NAT. Port 51432 can be mathematically reverse-computed to the subscriber's internal IP without any log query. Response time: under 30 seconds. Immediate action: Index the existing SIEM logs on (public_ip, port, timestamp) to reduce current response time while the PBA migration is planned.

Q3. A network architect is designing the CGNAT infrastructure for a new 800-bed PBSA development. The upstream ISP has provided a /27 public subnet and confirmed that IPv6 transit is available. The operator also wants to deploy Purple's Guest WiFi platform for captive portal authentication. Describe the correct placement of the captive portal authentication relative to the CGNAT gateway, and explain why incorrect placement creates a compliance risk.

Hinweis: Consider what information the captive portal needs to capture (user identity, device MAC, internal IP) and at what point in the NAT translation chain this information is still available. Think about what happens to the internal IP address after it passes through the CGNAT gateway.

Musterlösung anzeigen

The captive portal authentication must occur at or before the Level 1 NAT boundary — that is, at the access point or CPE layer, before traffic enters the RFC 6598 intermediate network. Correct placement: Purple's Guest WiFi platform authenticates the user at the access point. The platform records the binding: user identity → MAC address → RFC 1918 internal IP → timestamp. This binding is established before the CGNAT gateway performs its translation. The CGNAT gateway then maps the RFC 1918 IP to a public IP and port block, and the PBA log records: RFC 1918 IP → public IP → port block → timestamp. The two log records can be joined on the RFC 1918 IP and timestamp to produce a complete chain: user identity → public IP + port. Incorrect placement (captive portal after CGNAT gateway): If authentication occurs after the CGNAT gateway, the platform only sees the public IP and port — not the internal IP. Multiple users behind the same CGNAT IP are indistinguishable at this point. The platform cannot create a reliable user-to-IP binding, making lawful intercept attribution impossible and violating GDPR accountability requirements. This is the compliance risk. With Purple's architecture, the identity binding is established upstream of the CGNAT layer, ensuring accurate user attribution in both the analytics platform and the compliance log chain.