Tag Archives: NAT
Adresy IPv4 dla ISP
Szybki rozwój Internetu wyczerpał wolne bloki adresów IP (IPv4), które są niezbędne do świadczenia usług abonenckich na profesjonalnym poziomie. Internet Assigned Numbers Authority (IANA), która globalnie zarządza przestrzenią adresową IP, oraz regionalne rejestry internetowe (RIR) w czterech piątych wyczerpały już swoje bloki alokacyjne. Alternatywne metody pozyskiwania adresów IPv4 nie tylko nie są idealne, ale także niezwykle kosztowne i skomplikowane a dodatkowo skomplikowane przez konieczność zatwierdzania transferów bloków adresów. Pozyskane w ten sposób bloki nie są wolne od wad – mogły być używane do wysyłania SPAM czy też ataków DDoS, co nakłada dodatkowe obowiązki na ISP. Rozwiązaniem jest CG-NAT, który nie tylko zabezpiecza inwestycję, ale oferuje opcje bezproblemowego przejścia na IPv6 w przyszłości.
Internet dla abonenta – pogarszająca się jakość usługi
Oczekiwania abonentów w dzisiejszym, zawsze aktywnym i połączonym świecie wymagają bardzo płynnej obsługi wszystkich urządzeń oraz wszystkich usług. Tradycyjnie technologie translacji adresów sieciowych – network address translation (NAT) mogą zmieniać zachowanie sieci i często powodować upośledzenie działania określonych aplikacji. Szczególnym problemem są połączenia WiFi z telefonów komórkowych oraz gry sieciowe, które wymagają specjalnej obsługi – a obie aplikacje są bardzo wrażliwe na nieregularność opóźnień zestawiania połączeń sieciowych. Wymagana jest integralność aplikacji poprzez wysoce przejrzystą translację adresów i protokołów (w tym ALG). Ponadto aktywne sesje muszą być utrzymywane podczas przełączania awaryjnego, aby mieć pewność, że użytkownicy końcowi nie będą świadomi jakichkolwiek awarii lub zakończenia połączenia.
Cel: utrzymanie stałego wzrostu liczby abonentów
Podczas gdy ilości bloków IPv4 maleją, popyt na usługi rośnie. Aby zapewnić stałe tempo wzrostu i wynikające z tego zapotrzebowanie sieci, systemy Carrier Grade Network Address Translation (CG-NAT) i mechanizmy przejścia z IPv4 na IPv6 muszą utrzymywać wysoką przepustowość, liczbę połączeń na sekundę, szybkość jednoczesnych połączeń i więcej w środowiskach produkcyjnych na stałym poziomie klasy operatorskiej. Utrzymanie wzrostu pomoże zmniejszyć odpływ klientów i uniknąć zwiększonych kosztów pozyskania klienta.
Rozwiązanie Carrier Grade Network Address Translation od A10 Thunder
Zabezpieczenie inwestycji w bloki adresów IPv4
Translacja adresów sieciowych klasy operatorskiej (CG-NAT) wydłuża żywotność infrastruktury IPv4,
daje czas na zaplanowanie przejścia na IPv6 i ostatecznie zmniejsza koszty, unikając zakłóceń w operacjach biznesowych.
operacji biznesowych.
Zaawansowane funkcje Carrier Grade Network Address Translation (CG-NAT)
A10 Thunder to oparty na standardach mechanizm odzyskiwania istniejącej publicznej przestrzeni adresowej IPv4. CG-NAT skaluje sieci w celu przezwyciężenia wyczerpania bloków IPv4 dzięki wysokowydajnej, wysoce przezroczystej translacji adresów i protokołów translacji adresów i protokołów, zapewniając NAT44(4) i ALG do obsługi wzrostu sieci i płynnego doświadczenia użytkownika.
Miliony jednoczesnych sesji
Thunder CGN obsługuje do 512 milionów jednoczesnych sesji translacji z bezprecedensową szybkością konfiguracji i odłączania w kompaktowej obudowie. w kompaktowej obudowie. Konkurencyjne rozwiązania wymagają produktu o dużej obudowie z wieloma aplikacji, aby osiągnąć podobną wydajność.
Zaawansowane rejestrowanie
Kompleksowe opcje rejestrowania, aby spełnić rygorystyczne wymogi zgodności oraz zapisy prawa telekomunikacyjnego. Zwiększa szczegółowość logowania i korzystaj z funkcji i technik kompresji logów, takich jak deterministyczny lub stały NAT.
Kompleksowe opcje migracji z IPv4 na IPv6
Ponieważ protokół IPv6 nie jest wstecznie kompatybilny z IPv4, dostępne są różne rozwiązania pozwalające uzyskać pełną łączność, niezależnie od źródłowego lub docelowego protokołu IP.
Powszechna łączność protokołów
Technologie przejściowe, takie jak Dual-Stack Lite (DS-Lite) lub Light Weight 4 over 6 (Lw4o6), umożliwiają operatorom sieci na uruchomienie sieci core opartej wyłącznie na protokole IPv6, podczas gdy urządzenia korzystające wyłącznie z protokołu IPv4 mogą nadal łączyć się z Internetem mogą nadal łączyć się z Internetem za pomocą softwires (lub tuneli) poprzez infrastrukturę IPv6-only. Szybkie przejście na IPv6 (6rd) zapewnia podobną opcję – umożliwiając dostęp do IPv6 za pośrednictwem sieci IPv4. MAP-T jest techniką translacji która opiera się na metodzie adres plus port bezstanowego NAT w celu tłumaczenia pakietów między sieciami IPv4 i IPv6.
Dostęp klienta IPv6 do treści IPv4
IPv6 nie został zbudowany tak, aby był wstecznie zgodny z IPv4, co bardzo komplikuje wdrażanie klientów IPv6. Dostępny z Thunder CGN, NAT64/DNS64 rozwiązuje ten problem, umożliwiając urządzeniom IPv6 tylko dostęp do treści IPv4. Jest to kluczowe, gdyż abonenta nie interesuje problem np: DNSv6.
Współpraca przy stopniowej migracji IPv6
Jednoczesne wdrażanie wszystkich technologii migracji – umożliwić osiągnięcie tzw. pełnego cyklu życia przejścia do IPv6. Na przykład używając CG-NAT, możemy złagodzić wyczerpanie adresów IPv4 i stopniowo wprowadzać NAT64/DNS64, aby umożliwić klientom IPv6 dostęp do treści IPv4.
Zapewnienie dostępności i niezawodności aplikacji
Mimo, że zasada warstwy sieciowej OSI powinna zapewniać separację między zachowaniem aplikacji i sieci – nie zawsze tak jest. Wiele aplikacji polega na informacjach o transporcie sieciowym do poprawnego działania, co może prowadzić do problemów, gdy tłumaczona jest tylko część sieciowa. Niezawodność połączenia jest również kluczowa dla aplikacji, które muszą być dostępne przez cały czas.
Przejrzystość CG-NAT
Ułatwienie przewidywalnego zachowania NAT i zapewnienie przejrzystych doświadczeń użytkownika końcowego dzięki zaawansowanym funkcjom CG-NAT, takim jak mapowanie niezależne od punktu końcowego (EIM), filtrowanie niezależne od punktu końcowego (EIF) i hairpinning. Limity nałożone na abonentów zapewniają, że wykorzystanie publicznych portów IP jest sprawiedliwie rozdzielone między użytkowników końcowych, a wirusy i złośliwe oprogramowanie, na przykład, nie mogą wyczerpać zasobów innych użytkowników.
Obsługa protokołów ALG
Dla operatorów sieci kluczowe znaczenie ma utrzymanie łączności dla wszystkich usług aplikacji i użytkowników, przy jednoczesnym zapewnienie integralności aplikacji. ALG dbają o to, aby protokoły – takie jak FTP, TFTP, RTSP, PPTP, SIP, ICMP, H.323, ESP, MGCP i DNS – pozostają w pełni funkcjonalne. Wiele starszych implementacji NAT nie zapewnia takiego poziomu przejrzystości.
Pełnostanowa synchronizacja sesji
Nieprzerwane działanie możemy osiągnąć dzięki pełnostanowej synchronizacji sesji o wysokiej dostępności (HA). Po wdrożeniu w trybie HA Thunder CGN utrzymuje aktywne sesje podczas przełączania awaryjnego, aby zapewnić płynne wrażenia użytkownika i zapewnić, że użytkownicy końcowi nie będą świadomi żadnych awarii lub przerwania połączenia.
Zapobiega to na przykład konieczności ponownego uruchamiania pobierania dużych plików i zwiększa zadowolenie użytkowników.
Zintegrowana ochrona przed atakami DDoS
Zintegrowana ochrona DDoS pozwala zabezpieczyć pule NAT IP i zapobiec ogromnym ilościom ruchu związanego z wielowektorowymi atakami DDoS. Modele Thunder SPE zapewniają dodatkową akcelerację sprzętową w celu egzekwowania zasad. Oferują maksymalny czas sprawności zasobów sieciowych do przetwarzania ruchu abonenckiego i unikania przerw w świadczeniu usług.
Zarządzanie i integracja
Wdrożeniami Thunder CGN można zarządzać za pomocą scentralizowanego systemu zarządzania urządzeniami i integracji z platformami innych firm. Oparte na oprogramowaniu opcje Thunder CGN umożliwiają szybkie wdrożenie i elastyczne działanie obok dostępnymi opcjami sprzętowymi o wysokiej wydajności.
Globalne zarządzanie i analityka
Wgląd w usługi abonenckie i sieciowe realizowany jest dzięki kontrolerowi A10 Harmony® Controller. Wykorzystaj ruch i analizy bezpieczeństwa do wykrywania anomalnych trendów i uzyskać konfigurowalne alerty oparte na konfigurowalnych metrykach. Centralna konfiguracja i zarządzanie zasadami dostępna jest w różnych usługach w środowisku wielochmurowym. Thunder CGN można również zintegrować z procesami DevOps DevOps za pomocą interfejsu API aXAPI RESTful dla pełnej kontroli i automatyzacji. kontroli i automatyzacji.
Sprzęt i oprogramowanie
Opcje integracji i konfiguracji w sieciach ISP
Appliance
Rozwiązania appliance to skalowalne urządzenia 1RU, które zaczynają się od rozwiązań o przepustowości 10Gbps, a następnie rosną przez 20, 40 etc. aż do 370Gbps i 370 milionów jednoczesnych translacji. Oto przykład:
- 300Gbps przepustowości
- 2,3 miliona pełnych translacji TCP na sekundę
- 256 milionów jednoczesnych sesji translacji
- 4 porty 100G
- 4 porty 25G
- zarządzanie Ethernet oraz konsola RJ-45
- 1 RU
- 361Watt podczas pracy, maksymalnie 451Watt
vThunder CGN
Rozwiązanie programowe, wirtualna maszyna – uruchamiane na własnym hypervisorze: VMware ESXi (VMXNET3, SR-IOV, PCI Passthrough), KVM QEMU (VirtIO, OvS with DPDK, SR-IOV, PCI Passthrough), Microsoft Hyper-V (nie rekomendowany)
vThunder w kontenerze
Obraz dla Dockera, referencyjny system to Ubuntu 16.04.3 LTS lub Red Hat Enterprise Linux 7.6
- minimalnie jeden interfejs sieciowy
- 4GB RAM
- CPU
- skalowalny według potrzeb, na przykład 24 vCore zapewnia IMIX na poziomie 75Gbps
Thunder na Bare Metal
Minimalne wymagania:
- Intel x86-based CPUs z minimalnie 4 rdzeniami
- 16 GB RAM,
- 80 GB wolnej przestrzeni dyskowej
- Dwa interfejsy Ethernet, zalecane trzy
- Intel Network Adapter: igb, ixgbe, lub i40e.
- Przykładowe platformy:
- Dell PowerEdge, Cisco UCS