@wwbrfed #191 如果你有证据能表明这个系统存在安全问题，那你大可以新开一贴公布，说不定运营商看到了就会下线这套系统呢，这样刚好能如你所愿。
既然运营商已经选择也验证了这套系统进行部署，并且是大范围的部署，那么你也没法阻止运营商的决策，如果你有能力能阻止运营商这个决策，那我一定第一个支持你。
运营商对基础设施软硬件采购的安全要求不比你要求的低，第三方测试也不是随便过的，如果存在你说的低级安全问题那必然运营商不会采购，所以没必要对一个你觉得存在但实际不存在的问题较真。

@wwbrfed #191 厂商回复的部分从来都不是我自己的答复，我也只是好心帮你转发给厂商咨询后原封不动的回答你，我也没有给这个产品说任何好话。我始终是中立的态度，各自角度不同我也没法考虑到每个人。

@wwbfred #190 如果是某能 /某华的光猫，开全透传模式，你是可以抢答的

@Damn #188 你可以认为 PON 是无门槛抓包，运营商给的光猫要么打开镜像可以抓包，要么是小厂的光猫没有处理好过滤，直接打开桥接模式（透传）就可以抓包了。
至于四层广播，厂商回复说已经不采用这种方式了。

@laozhoubuluo #181 正如#183 @Archeb 说的那样，使用 pcp 在 cgnat 下映射端口的方案已经推进了 2-3 年，但是用户不买单，映射端口需要光猫路由模式，但是有端口映射需求的用户大部分都需要桥接，桥接后又无法使用 pcp 通讯来映射端口。

@wwbfred #185 就目前三家运营商的家宽接入配置来看，你的数据也会发送给你的邻居，你邻居的数据也会发送给你，完全明文无门槛抓包。家宽的链路安全在运营商来看从来都不是重点，所以对安全性有需求还是要用专线，物理链路来保障安全。

@Marionic0723 最早部署的已经 5 年了，陆陆续续都有运营商在采购，现在是普遍部署的状态，目前厂商给了一个特性可以用来判断是不是部署了：反复重新拨号，看分配到的 IP 是否是同一个，或者可分配的 IP 很少，来来回回就那么几个。当然部署后投诉率暴增的地区也有，比如广东电信 /深圳电信，改了这种公网反而不如 100 段内网 CGNAT 稳定。

@wwbfred #110 同样厂商回复：上面的图与包复制相关资料都已经过时，现网运行版本结构与上图结构完全不同，是新重构的版本。新版本不会采用包复制 /广播相关方案，故不存在相关安全问题。安全问题已通过相关测试，目前未表明存在相关安全问题。与其关心 CGNAT 的安全性不如关心 PON 接入的安全性，目前部署的 PON 也采用全明文数据广播分发的方式，各运营商为了最大接入数量也未开启加密，加上背反射的情况是完全可以获取整个 PON 下所有用户的上下行明文数据的。

@wwbfred #108 我就是个打工的，在通宵打游戏，恰好建维朋友在值班，恰好他那边厂商也在值班，恰好他们也在划水，就帮你问了。
安全性问题他们表示现网运行版本不存在，你说的问题初期版本就解决了。至于探测，老用户是没法探测的，只有新装宽带的用户在前一周内可以探测，并且经过多年迭代体验与真实 IP 无异。厂商并不想推这项技术，是某地运营商要他们做的，后来被各地运营商看中，并且已经已经部署了 40+城市。

@wwbfred 厂商回复：#104 具体看运营商配置，不会冲突，现网版本不会触发全部 syn 响应问题，已在 2018 年早期版本修复。
#99 具体看运营商配置，默认配置下用户无法探测，同一个用户分配到的地址池数量有限，用户无法遍历全部地址，并且用户短期重新拨号无法更换新 IP 。
#105 万分之一概率是指每一万次地址池分配出现端口冲突的概率约为一次。并且光猫已内置网络质量监测模块，频繁出现相关错误会及时通知后端处理。

@wwbfred #98 #99 经过建维朋友咨询厂商
对两个问题的回复：现网运行版本已经很好地解决了这些问题，遇到这些问题的概率低于万分之一，分配 IP 池时即尽可能确保了不会出现这些问题，该问题只会出现在用户首次入网首次拨号的情况。

@xxfye 厂商技术人员说不限制连接数的每个用户并发连接数都可以 20 万以上，同一个端口可以给多个用户复用，并且数据不会冲突。
同一个端口，既可以作为公开在公网的端口供访问，也可以作为多个用户访问公网的源端口。
举个例子，一个端口 12345
可以接受公网传入连接，
也可以复用给多个用户：
10.0.0.1:12345-1.1.1.1:80
10.0.0.2:12345-1.1.1.1:443
10.0.0.3:12345-1.1.1.2:80
10.0.0.4:12345-1.1.1.3:80
10.0.0.5:12345-1.1.1.4:80

只要同一批用户不同时使用同一个来源端口访问同一个目标地址同一个目标端口就不会冲突，冲突会 rst ，客户端自动重试更换新的源端口。
具体的技术没讲，也同样完全是一个黑箱产品。

@acbot #84 直接在光猫里给个界面，和上级网关联通，自行填开放端口。这个方案已有，现网可用，部分地区即使是 100 段 CGNAT 地址，也可以通过光猫路由的模式，在天翼网关那个界面配置端口映射向外开放端口，每个网关限制 20 个端口，内部端口自己定，外部端口动态分配，使用的是 PCP 协议，当然改桥接用路由模式就不能映射了。

@xxfye @Akariiin @fan88 @acbot @NSAgold @Marionic0723
无论如何也无法改变现状，运营商作为完全看中投诉量 kpi 的企业，如果因为这个方案导致运营商投诉量剧增的话，运营商也只会停止使用，就像前段时间投诉不给余量的结果一样，只能是大家都被改为内网没有公网可以用。

跟某运营商建维聊过，其实这个技术相当早了，最早在运营商现网部署的地区到现在已经 5 年多了，到现在已经有数十个省份接近四十个城市都在部署使用，经过现网反馈的各种问题也都已经解决，由于这套业务设计的相当巧妙，楼上提到的问题也都基本解决，当然作为厂商自己的机密也不会提供出具体的方案说明。如果不是这张图的流出，至今不会有人察觉到运营商使用了这项技术，也许你正在使用的公网地址已经就是这种方案改造过的，如果不是有人告诉你，根本不会发现，因为用起来与真正的公网没有明显差异，真公网能做到的共享 IP 95.0%能做到，楼上提到的一些判断方法也只能针对早期版本（图也很老了，不过由于这项技术某厂独有，如果你的 BRAS 不是该厂就无需担心，是 100%真公网）。

因为这套技术是实实在在的为运营商降低了投诉量，很受到运营商的欢迎，某些部门也默许了这种做法，各地纷纷效仿都在采购，而且现网部署后投诉率也很低，可以忽略到不计的程度，所以观望的那些运营商也在采购。

这种技术在按闹分配、用户动不动就投诉的情况下诞生也不奇怪，当然，最差的结果就是投诉直到运营商停用该系统，全都用 NAT444 私网地址，这样就平等了。

@Techzero 协议 50M 但是实际按照 261M 配置的，另外 ipoe 不支持多拨也不存在多拨

@qbqbqbqb prefix /60 ，后方设备正常分配 prefix /64 ，但是实际用下来 prefix 不会变，如果一直不变的话静态配置也没什么问题

@lxr760 4in6 接口一定是 192.0.0.2-192.0.0.6 中的其中一个，只能说要看运营商怎么配置了，如果是 1：1 NAT ，那与公网体验一致

@BloodBlade #71 两者都有，因为 4in6 限制接口地址只能是 192.0.0.2-192.0.0.6 ，所以不能直观的看到自己有没有公网 IP ，运营商具体要看配置方式。可以看下 op 的补充里面，有总结的三家运营商目前的情况。

@cbatch 根据运营商的实际统计，每一组用户里面有开端口需求的用户每 10 个里面平均 1.5 个，所以运营商会记录下有频繁固定端口入向连接的用户做标记，均匀的分到每个池里面，保障这个平均数，比如让两个有开端口访问标记的用户与 8 个从未开端口的用户共享同一个池，即使后期普遍开放端口，也可以按照每个用户开的端口号不同分配不同的地址池，所以冲突的概率是低上加地，实在倒霉遇到冲突了，运营商也只会让你重启光猫，换一个 IP 就通了。