Широкое распространение в мире беспроводных устройств, подключаемых
к Интернету, привело к быстрому истощению доступных адресов IPv4. У одного из пяти региональных интернет-регистраторов уже нет возможности выделять адреса IPv4, а у остальных, как ожидается, они закончатся в ближайшем будущем. В то
же время переход на стандарт IPv6 идет медленнее, чем ожидалось. Операторам необходимо решение, которое помогло бы решить проблему истощения адресов IPv4 и способствовало бы оптимизации сети путем плавного перехода на IPv6.
F5 Carrier-Grade NAT (CGNAT): техническое описание
1. Содержание
2 Трансляция сетевых
адресов
4 Туннелирование
4 Архитектура
7 Платформы BIG-IP CGNAT
7 Производительность
8 Услуги и консалтинг
с F5 Global Services
8 Дополнительные сведения
Широкое распространение в мире беспроводных устройств, подключаемых
к Интернету, привело к быстрому истощению доступных адресов IPv4. У одного из
пяти региональных интернет-регистраторов уже нет возможности выделять адреса
IPv4, а у остальных, как ожидается, они закончатся в ближайшем будущем. В то
же время переход на стандарт IPv6 идет медленнее, чем ожидалось. Операторам
необходимо решение, которое помогло бы решить проблему истощения адресов
IPv4 и способствовало бы оптимизации сети путем плавного перехода на IPv6.
Решение для трансляции сетевых адресов операторского класса F5® BIG-IP® Carrier-
Grade NAT (CGNAT) предлагает широкий спектр средств, позволяющих операторам
успешно мигрировать на IPv6, продолжая поддерживать имеющиеся устройства,
использующие IPv4, и обеспечивать взаимодействие с ними. BIG-IP CGNAT предла-
гает операторам решения для туннелирования на базе технологий Dual-Stack Lite
и 6RD, а также стандартные решения для преобразования сетевых адресов, такие
как NAT44 и NAT64. Решение обеспечивает масштабирование операторского класса,
предлагая большое количество трансляций IP-адресов, большую скорость установ-
ки сетевых соединений, высокую пропускную способность и гибкое протоколирова-
ние.
Основные преимущества
Производительность и масштабиру-
емость операторского класса позво-
ляют оптимизировать производитель-
ность сети
Данное решение обеспечивает оптимальную
(операторского класса) производительность
сети в ходе миграции на IPv6. BIG-IP CGNAT
имеет возможность масштабирования для
поддержки десятков миллионов трансляций
IP-адресов, скорости трансляций порядка
миллиона в секунду и пропускной способно-
сти, измеряемой десятками гигабит.
Снижение капитальных и операцион-
ных затрат
Оптимизация имеющейся сетевой инфра-
структуры и консолидация важнейших
элементов (управление реализацией политик,
межсетевой экран, оптимизация TCP
и интеллектуальное управление трафиком
с использованием единой простой в управле-
нии платформы) позволяют сократить капи-
тальные и текущие расходы, а также расходы
на электропитание и охлаждение.
Гибкие варианты развертывания для
решения задач, связанных с нехваткой
адресов, и миграцией на IPv6
Решение обеспечивает совместимость
устройств, использующих протоколы IPv4
и IPv6, в пределах сети, а также предлагает
разнообразные варианты решения задач,
вызванных нехваткой адресов IPv4, и мигра-
ции на IPv6. BIG-IP CGNAT обеспечивает мак-
симальную гибкость при выборе наиболее
подходящей стратегии миграции с учетом
имеющегося времени.
Борьба с исчерпанием адресов IPv4
и плавный переход на IPv6
Оператор связи
BIG-IP Carrier-Grade NAT
ТЕХНИЧЕСКОЕ ОПИСАНИЕ
2. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
2
Трансляция сетевых адресов
Трансляция сетевых адресов в BIG-IP CGNAT позволяет продолжать предоставлять
услуги IPv4 и транслировать большое количество сессий в процессе решения задач,
связанных с истощением адресов IPv4 и планирования плавной миграции на IPv6.
NAT44
Если вы еще не запланировали переход на IPv6 и думаете в первую очередь о продлении
сроков использования стандарта IPv4, функционал NAT44 решения BIG-IP CGNAT позволит
оконечным устройствам и далее использовать за абонентским оборудованием свои
собственные частные адреса IPv4. NAT44 выполняет трансляцию этих частных адресов
IPv4, выделяемых в сети доступа, в публичные адреса IPv4, входящие в общедоступный
пул IPv4, на платформе CGN. В дополнение BIG-IP CGNAT предоставляет возможность
детерминированного преобразования сетевых адресов для уменьшения размера
журналов и снижения требований к протоколированию.
При помощи функционала Endpoint Independent Mapping платформа BIG-IP CGNAT
обеспечивает привязку каждого абонента к комбинации транслированного адреса и порта.
Endpoint Independent Filtering задает критерии для соединений, инициированных интернет-
ресурсами к абонентам.
NAT64
Для операторов, в сетях которых развернуты оконечные устройства с поддержкой
только IPv6, BIG-IP CGNAT обеспечивает NAT64. Этот функционал позволяет операторам
обеспечить прозрачный доступ к содержимому и оконечным точкам с адресами IPv4,
выполняя трансляцию адресов IPv6 и IPv4.
Протокол PCP (Port Control Protocol)
Для работы приложений, которые используют одноранговые (пиринговые) сети, а также
службы многопользовательских игр, необходима возможность обмена данными через
домашние шлюзы и шлюзы компаний. Однако если оператор использует преобразование
сетевых адресов, эти приложения, использующие такие протоколы как UPnP, могут не ра-
ботать при наличии в сети решения для преобразования сетевых адресов операторского
класса. Имеющиеся в BIG-IP CGNAT функции PCP обеспечивают беспрепятственную рабо-
ту этих приложений. Использование протокола PCP позволяет преобразовывать и переда-
вать UPnP-сообщения на сервер PCP, обеспечивая передачу UPnP-трафика. PCP запускает
прямой диалог между приложениями и устройством CGNAT для открытия или перена-
правления портов TCP или UDP вне зависимости от местонахождения устройства CGNAT.
Приложения могут использовать PCP-клиент для прямого диалога с устройством CGNAT,
на котором работает PCP-сервер.
DNS64
Дополнением к NAT64 служит функционал DNS64, который обеспечивает F5®
BIG-IP®
Global
Traffic Manager™ (GTM). DNS64 позволяет хостам IPv6 взаимодействовать с оконечными
точками IPv4 при помощи адресов IPv6. Для DNS-серверов, которые получают запросы
на AAAA-записи доменов (IPv6), но находят только A-записи (IPv4), DNS64 синтезирует
AAAA-записи из A-записей и пересылает их конечному пользователю, обеспечивая сетям,
где имеются только конечные точки IPv6, сохранение доступа к содержимому IPv4 и IPv6.
В дополнение к поддержке DNS64 система BIG-IP CGNAT взаимодействует с внешними
шлюзами DNS64, предоставляя гибкие сценарии развертывания.
3. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
3
Поддержка ALG
Во многих IP-приложениях (например, VoIP, веб-камерах и других службах,
использующих протоколы SIP/RTSP) сообщения SIP или RTSP содержит IP-адреса,
необходимые для настройки потоков мультимедийных данных. Если в ходе трансляции се-
тевых адресов для службы SIP или RTSP эти IP-адреса не будут транслированы, это при-
ведет к нарушению отправки и получения сообщений и ошибкам в сеансах голосовой
и видеосвязи. BIG-IP CGNAT предлагает поддержку функционала прикладного шлюза
(Application Layer Gateway, ALG): решение изменяет IP‑адреса и порты в сообщениях и та-
ким образом открывает соответствующие каналы для потоков мультимедийных данных,
содержащих полезные данные приложения, создавая необходимое сопоставление пре-
образования сетевых адресов. Это позволяет прозрачно преобразовывать данные служб,
использующих протоколы SIP/RTSP, без перебоев в сеансах голосовой и видеосвязи.
BIG-IP CGNAT также предлагает поддержку ALG для протокола PPTP. Эта функция позво-
ляет передавать данные с использованием трансляции сетевых адресов, не разбивая их
и не используя расширения iRules и iApps
Протоколирование
Если нормативные требования предписывают фиксировать все преобразования сетевых
адресов в журнале, это может привести к накоплению огромного количества данных. BIG-IP
CGNAT предлагает широкий спектр гибких возможностей протоколирования и позволяет
сохранять различные данные, включая преобразование частных IP-адресов в публичные,
адрес назначения URL/URI, номера портов, время и другие сведения о сеансах (можно вы-
брать, какие данные необходимо фиксировать, чтобы одновременно обеспечить выполнение
требований и свести к минимуму количество места, необходимого для их хранения).
BIG-IP CGNAT теперь поддерживает Internet Protocol Flow Information Export (IPFIX) —
более сжатый по сравнению с Syslog метод протоколирования преобразования се-
тевых адресов. Используя его, операторы могут уменьшить количество данных,
содержащихся в каждой записи журнала, и, как следствие, сократить общие издержки.
Кроме того, в журналы можно добавлять еще некоторые сведения,
извлекаемые из учетных сообщений протокола RADIUS, например номер мобильного
(MSISDN). Возможность масштабирования BIG-IP CGNAT обеспечивает поддержку
создания миллионов регистрационных записей и их экспорта на сервер журналирования,
а также балансировку нагрузки и UDP-мониторинг серверов протоколирования.
Выделение блоков портов (PBA)
Предлагаемая BIG-IP CGNAT функция выделения блоков портов (PBA) позволяет умень-
шить объем необходимого протоколирования. При использовании PBA производится выде-
ление набора портов для частного IP-адреса. Сохранение журналов при этом производит-
ся только дважды для каждого набора портов: при создании набора и при его закрытии.
Детерминированное преобразование сетевых адресов
Ведение журнала может создать значительную нагрузку на инфраструктуру. И хотя мас-
штабирование решения BIG-IP CGNAT позволяет поддерживать журналы с миллионами
записей, оно обеспечивает функционал детерминированной трансляции сетевых адресов,
позволяющий снизить требования к инфраструктуре, связанные с протоколированием.
При использовании детерминированной трансляции сетевых адресов публичные IP-адреса
и порты для отдельных оконечных устройств определяются заранее, а выделение портов
для сессий выполняется динамически с использованием предварительно сформированных
блоков. В результате количество записей в журналах, которые необходимо создавать и со-
хранять, сводится к минимуму.
4. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
4
Hairpinning
Взаимодействующие друг с другом оконечные устройства, расположенные за одним и тем
же узлом трансляции адресов (NAT), должны проходить преобразование на CGNAT для
предотвращения блокировки частных адресов.
Hairpinning дает возможность двум таким оконечным устройствам взаимодействовать друг
с другом, позволяя преобразовывать приходящие на узел NAT пакеты, и затем возвращать
их в частную сеть, а не передавать в публичную. Это также позволяет уменьшить
количество трафика, проходящего через нижележащую инфраструктуру (например,
маршрутизаторы).
Туннелирование
Операторам, уже использующим IPv6, приходится поддерживать унаследованные
оконечные устройства стандарта IPv4. Для упрощения этой задачи BIG-IP CGNAT
предлагает технологии туннелирования, например Dual-Stack Lite. Это позволяет
обеспечить пользователям IPv4 сохранение доступа к содержимому IPv4.
Технология Dual-Stack Lite (DS-Lite)
DS-Lite позволяет развернуть сеть доступа и агрегирования стандарта IPv6,
продолжая при этом обслуживать оконечное оборудование и адресатов информации стан-
дарта IPv4. Это решение для туннелирования, в рамках которого пакеты IPv4 оконечных
устройств инкапсулируются в туннель IPv6 и отправляются через маршрутизатор преобра-
зования семейства адресов (AFTR) на внешний IPv4-адрес через вашу сеть. В AFTR пакет
туннеля декапсулируется и к частному туннелированному трафику IPv4 применяется NAT44,
после чего он отправляется в публичную конечную точку IPv4. На другом конце туннеля
DS-Lite на абонентском устройстве (например, домашнем шлюзе) выполняются функции
DS-Lite B4 (Basic Bridging Broadband). Во всех других случаях, связанных с оборудованием
стандарта IPv6, трафик IPv6 маршрутизируется по линиям IPv6 в точку назначения IPv6.
IPv6 Rapid Deployment (6RD)
BIG-IP CGNAT дает возможность использовать 6RD — службу туннелирования для сетей
стандарта IPv4. Эта служба позволяет сетям стандарта IPv4 взаимодействовать с адресами
стандарта IPv6 без обновления какого-либо оборудования. Данная функция облегчает опе-
раторам переход с сетей IPv4 на IPv6.
Архитектура
Современная архитектура системы BIG-IP обеспечивает непревзойденную гибкость и дает
возможность контролировать доставку приложений, не создавая узких мест для трафика.
TMOS
Важнейшим элементом BIG-IP CGNAT является операционная система TMOS®
. TMOS ана-
лизирует сложное взаимодействие приложений, сети и абонентов, обеспечивая интеллек-
туальный контроль над доставкой приложений, полную информацию обо всех сервисах
и возможность управления ими. TMOS также позволяет интегрировать BIG-IP CGNAT
и другие продукты компании F5, давая возможность системе BIG-IP CGNAT адаптировать-
ся к многообразным и постоянно меняющимся требованиям приложений и сетей.
5. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
5
iRules
F5 iRules®
— это язык скриптов, основанный на командах TCL, который можно использовать
для управления поведением устройств семейства BIG-IP и гибкой работы с трафиком
приложений в рамках сессий или транзакций приложений. Функции полной проверки
и трансформации полезных данных, язык iRules с управлением по событиям, а также
коммутация с учетом сеансов превращают систему BIG-IP в интеллектуальный пункт
управления, позволяющий решать различные проблемы с доставкой приложений на
скорости сети.
iApps
F5 iApps®
— это мощное решение, обеспечивающее новый способ проектирования и реали-
зации доставки приложений. iApps позволяет унифицировать, упростить и контролировать
всю сеть обеспечения доступа к приложениям, предоставляя информацию о контексте и под-
робную статистику для служб приложений, обеспечивающих работу вашей компании (вклю-
чая конфигурацию для преобразования, туннелирование и конфигурации двойного стека).
Ориентированное на приложения представление предполагает развертывание постоянно ра-
ботающих в сети прикладных служб (проверка подлинности, защита данных, управление тра-
фиком и т.д.) и их согласование с приложениями, для которых они используются.
iControl
F5 iControl®
— это открытый прикладной программный интерфейс (API), обеспечивающий со-
гласование работы приложений с используемой ими сетью. Используя для обеспечения
совместимости систем технологию SOAP/XML, iControl помогает поднять на новый уровень
эффективность автоматизации и управления конфигурацией. iControl дает возможность
отслеживать статистику трафика на уровне сети, автоматизировать конфигурацию сети
и управление сетью, а также облегчает использование сервис-ориентированных архитек-
тур нового поколения. Мощность и гибкость интерфейса iControl обеспечивают повышение
надежности, безопасности и производительности совместной работы приложений и сети.
Инфраструктура интеллектуальных служб
Система BIG-IP объединяет функции множества служб в рамках единой платформы.
Среди отличительных черт этой системы, основанной на модульной архитектуре TMOS,
следует назвать очень скорость работы, низкое время задержки, наличие полного
прокси-сервера с функциями межсетевого экрана и продвинутой защиты от DDoS-
атак более чем 30 типов, балансировку нагрузки, расширенный мониторинг состояния
сети, а также управление трафиком с использованием заранее определенных политик,
учитывающих доступность серверов. Все это помогает повысить надежность и уровень
готовности служб в сети.
BIG-IP®
Local Traffic Manager™ (LTM) — дополнение к системе BIG-IP CGNAT —
обеспечивает возможности интеллектуального управления трафиком, позволяющие ин-
спектировать трафик и направлять его на серверы дополнительных услуг (VAS), а также
маршрутизировать с учетом профиля абонента. BIG-IP CGNAT может выступать в качестве
дополнительного модуля для BIG-IP LTM и BIG-IP®
Policy Enforcement Manger™ (PEM). BIG-IP
PEM предлагает полный набор функций классификации трафика, которые дают возмож-
ность точно определять, что именно абоненты делают в сети, и на основе этой инфор-
мации предлагать им дифференцированные тарифные планы, обеспечивая повышение
прибыли и оптимизацию использования сети.
Кроме того, BIG-IP Advanced Firewall Manager™ (AFM) в сочетании с BIG-IP CGNAT обеспечи-
вает функционал высокопроизводительного межсетевого экрана, созданного для защиты
сети от внешних угроз, проникающих в нее с использованием широко используемых прото-
колов. Еще одной возможностью BIG-IP AFM является борьба с распределенными DoS-ата-
ками на уровне сети и сессий для предотвращения изощренных атак на сеть.
6. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
6
Устройства
IPv4/IPv6
Устройства IPv4
Устройства
IPv4/IPv6
GGSN/
PGW
Протоколирование/проверка
Предприятия/
приложения
IPv6
Предприятия/
приложения
IPv4
Сторона провайдера
Сторона провайдера
IPv4
IPv6
Шлюз-маршру-
тизатор
Интернета Интернет
IPv4
Интернет
IPv6Абонент-
ский
шлюз
BRAS/BNG/
CMTS
(только
IPv4)
BRAS/BNG/
CMTS
(только
IPv6)
RGW
Детерминированное
преобразование
сетевых адресов
DS-Lite
AFTR
NAT 44/4
NAT64
Узел
доступа
(только
IPv4)
Узел
доступа
(только
IPv6)
BIG-IP CGNAT обеспечивает органичную поддержку сетей IPv4 и IPv6, позволяя решать
проблему исчерпания адресов стандарта IPv4 и переходить на IPv6, прозрачно управляя до-
ставкой приложений, готовностью, производительностью и безопасностью в обеих сетевых
топологиях из одного места.
GGSN - узел поддержки шлюза GPRS
PGW - шлюз сети общего доступа
BRAS - широкополосный сервер удаленного доступа
BNG - широкополосный сетевой шлюз
CMTS - головная станция кабельных модемов
7. ТЕХНИЧЕСКОЕ ОПИСАНИЕ
BIG-IP Carrier-Grade NAT
7
Платформы BIG-IP CGNAT
BIG-IP CGNAT предлагает лучшую в своем классе производительность и масштабируе-
мость по таким показателям как общее число одновременных сессий, пропускная спо-
собность и количество транзакций в секунду. Система соответствует требованиям стан-
дарта NEBS и обеспечивает при масштабировании пропускную способность до 640 Гбит/с
на уровне приложений с количеством одновременных сеансов более 550 миллионов.
Эта платформа содержит высокотехнологичные средства мониторинга состояния доступ-
ности, обеспечивает быстрое переключение при сбоях и полное зеркальное дублирование
соединений, гарантируя бесперебойную работоспособность даже при пиковых нагрузках.
SuperVIP упрощает сеть
BIG-IP CGNAT, работая на платформе VIPRION®
, использует F5 SuperVIP™ — виртуальный IP,
объединяющий несколько линейных карт в рамках шасси VIPRION. Это позволяет обой-
тись без сегментирования требовательных к ресурсам приложений. Такие приложения
используют SuperVIP, чтобы задействовать вычислительную мощность всех линейных карт
в шасси.
Производительность
Пропускная способность на уровне приложений 320 Гбит/с
Соединений в секунду 10,4 млн
Одновременных соединений 480 млн
Шасси VIPRION 4480 Серия 10 000Шасси VIPRION 4800