More Related Content
Similar to Juniper scalable NAT-solution
Similar to Juniper scalable NAT-solution (20)
More from Sergii Liventsev
More from Sergii Liventsev (7)
Juniper scalable NAT-solution
- 2. ТЕМЫ ВСТРЕЧИ
Основные темы
Проблема исчерпания адресов
Переход на IPv6, возможное решение проблемы
Трансляция адресов – неизбежное решение
проблемы исчерпания IPv4
– Устройства Juniper и решения на их основе
– Данные с реальных сетей, расчёт
масштабируемости
2 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 3. СВОБОДНЫЕ БЛОКИ АДРЕСОВ ЗАКОНЧИЛИСЬ
Последний адресный блок IANA
выделен 1 Февраля 2011
Пулы региональных
регистраторов закончатся чуть
позже
Последствия кризиса 2008
Прогноз до кризиса 2008
После кризиса 2008
0%
Самый популярный слайд 2011 года!
3 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 4. КТО ЗАИНТЕРЕСОВАН В ПЕРЕХОДЕ К IPV6?
Операторы
Многие крайне заинтересованы, адресов не хватает,
трансляция стоит денег
Для операторов, обслуживающих корпоративных
абонентов, наличие адресов IPv4 – вопрос
выживания
Абоненты
Заинтересованы очень слабо, некоторые
приложения работали бы лучше или бы проще
настраивались (P2P)
Контент-провайдеры
Практически не заинтересованы
4 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 5. ПОПУЛЯРНОСТЬ IPV6: КОЛИЧЕСТВО МАРШРУТОВ
IPv4 маршрутов: 443315 IPv6 маршрутов: 10923
Источник: Geoff Houston http://bgp.potaroo.net/v6/as6447/ IPv6/IPv4 = 2,46%
16 Октября 2012
5 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 6. ПРОВЕРКА СЕРЬЁЗНОСТИ НАМЕРЕНИЙ КОНТЕНТ-
ПРОВАЙДЕРОВ
Время загрузки страницы по IPv6 по сравнению со
временем загрузки по IPv4
Сайт Рейтинг Время загрузки Время загрузки Разница Качество работы с IPv6,
(Первые 1000) Alexa IPv4, мс IPv6, мс IPv6/IPv4
google.com 1 196 344 76%
по времени загрузки,
google.com.hk 18 205 331 61% не сравнимо с IPv4.
google.co.jp 28 200 369 85%
google.cn 87 519 1333 157%
netflix.com 121 287 322 12%
free.fr 167 1192 1165 -2%
comcast.net 186 838 528 -37%
scribd.com 252 419 667 59%
seznam.cz 286 1083 1015 -6%
comcast.com 390 338 478 42%
nu.nl 524 964 2627 173%
softlayer.com 578 188 306 63%
sapo.pt 647 1814 6722 271%
opera.com 753 758 1054 39%
telegraaf.nl 802 4106 6903 68%
novinky.cz 901 1216 3634 199%
doctissimo.fr 906 1352 3199 137%
01net.com 939 1212 2397 98%
Источник: Comcast IPv6 Monitor, http://ipv6monitor.comcast.net
6 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 7. ДАННЫЕ ПО ОБЪЁМАМ ТРАФИКА
Трафик IPv6 составляет
менее 0,2% от всего
объёма
Источник: Arbor Networks, 19 Апреля 2011, Six Months, Six Providers and IPv6,
http://asert.arbornetworks.com/2011/04/six-months-six-providers-and-ipv6/
7 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 8. ПОЧЕМУ ВАЖНО ЗНАТЬ ДИНАМИКУ РОСТА
ТРАФИКА IPV6
Влияет на дизайн новых сетей
Оптимизировать сеть под IPv4?
Оптимизировать сеть под IPv6?
Влияет на решения по инвестициям в
существующие сети
Переделывать существующую сеть?
Или делать временные решения для обеспечения
IPv6-доступа?
8 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 9. ПОЧЕМУ НЕЛЬЗЯ ПРЕДОСТАВЛЯТЬ АБОНЕНТУ
ТОЛЬКО IPV6?
Из-за абонентских систем и приложений
Поддержка в устройствах и ОС отсутствует или не настроена
Терминальные устройства (CPE, мобильные телефоны)
ОС (Windows 95/98/2000/XP)
Программное обеспечение
Skype
Онлайн-игры
Системы удалённого доступа в корпоративную сеть
Системы банк-клиент
Сети корпоративных абонентов
Оборудование не имеет поддержки IPv6
Или не настроено
Или нет денег на его настройку
По этим же причинам, вряд ли в ближайшем времени появится
востребованный ресурс, доступный только по IPv6
9 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 10. НЕСКОЛЬКО ПРОСТЫХ ВЫВОДОВ..
Выводы
IPv4 для абонента нужно поддерживать обязательно – ещё
много лет
По сути, IPv6 не спасает от исчерпания IPv4 адресов, от
исчерпания IPv4-адресов спасает NAT
На IPv6 пока спроса нет, поддержка оператором нужна только
для страховки
10 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 11. МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО
СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ
JUNIPER NETWORKS
11 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 12. ОПЫТ JUNIPER NETWORKS
Существующие инсталляции NAT
4 крупных проекта на территории России
Самый крупный – 350 тыс. одновременных абонентов
Примерно 600-700 тыс. активных ШПД абонентов в России
обслуживаются NAT-устройствами Juniper Networks
Технология развивалась на протяжении последних 8 лет
Широкий набор Application Layer Gateway
Балансировка нагрузки и отказоустойчивость
Масштабируемость
Поддержка DS-Lite, различных режимов NAT-traversal,
распределения портов и протоколирования сессий
12 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 13. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Варианты NAT
Вид трансляции Описание
NAT44 Трансляция 1:1, IPv4<->IPv4
NAPT44 Трансляция N:1, IPv4<->IPv4
NAPT64 Трансляция N:1, IPv4<->IPv6
Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4
NAT66 Трансляция 1:1, IPv6<->IPv6
NAPT66 Трансляция N:1, IPv6<->IPv6
13 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 14. НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Средства NAT
Функция Комментарий
Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам
функционировать в обход NAT. Паре адрес/порт назначается одна пара
внешний адрес/порт для множества сессий.
Распределение портов с См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений
сохранением чётности, с (семантика чётности портов для RTP/RTCP) и диапазона портов (порты из
сохранением диапазона диапазона 0-1023 транслируются в порты из того же диапазона).
Ограничение на количество сессий Возможность ограничить число сессий от одного абонента
на адрес источника
Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность
протоколирования только начала сессии. Протоколирование распределения
блока портов.
Блочное распределение портов Уменьшает количество событий для протоколирования.
Address Pooling Внешний адрес не меняется всё время активности абонента.
Распределение нагрузки между Гибкое выделение трафика и распределение нагрузки между модулями
модулями
ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP
Но одних функций недостаточно, нужно иметь хорошее решение
14 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 15. ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT
Основные цели
Снижение стоимости решения
Резервирование элементов, выполняющих обработку пакетов по
схеме N+1 (ценой stateful-failover)
Улучшение утилизации устройств
Простая интеграция в сеть
Масштабирование
Линейное масштабирование до сотен миллионов сессий
Минимум действий при перенастройке
15 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 16. СТРОИТЕЛЬНЫЙ МАТЕРИАЛ
Маршрутизаторы MX240, MX480, MX960
Параметр MX240 MX480 MX960
Слотов 2+1 6 11+1
Пропускная способность 480 Гбит/c 1,44 ТБит/c 2,64 ТБит/c
Портов 10GE (на скорости канала) 24 72 132
Карта MS-DPC
NAPT44(4) – блочное
Значение NAPT44(4)
выделение портов
Всего потоков 17М 17М
Максимальная скорость 600 тыс/сек 1,2 млн/сек
установления потоков
Пропускная способность (IMIX) 19 Гбит/c 19 Гбит/c
Число абонентов 8,5 М 8,5 М
Задержка 60 мкс 60 мкс
Влияние протоколирования на Нет Нет
скорость создания новых потоков
Время создания 4М потоков 7 секунд 7 секунд
16 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 17. СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И
БОЛЕЕ УСТРОЙСТВ
MX
CPE BNG Магистраль
сети
Интернет
CPE MX
BNG
MX
1 2 3
На MX фермы трафик
Трафик поступает с расходится по трём На каждом из устройств в
PE/BNG устройств и устройствам (за каждым отдельности выполняется
отправляется по одному закреплены свои адресные балансировка нагрузки
маршруту по умолчанию блоки) через 6 между NPU MS-DPC (по
в технологическом VRF технологических VRF (всего адресу источника)
6 разных пар active/backup)
Кстати, схему балансировки можно использовать не только для NAT, но
и для других приложений.
17 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 18. БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ
[edit firewall filter flt-spray] Фильтром распределяется
term t00 { трафик между N * (N-1) = 6
from { технологическими VRF.
//5 последних бит – 00000 Трафик выделяется по
source-address 0.0.0.0/0.0.0.31; последним битам адреса.
} Фильтр меняется только с
then { увеличением числа устройств
routing-instance ri-r1_primary-r2_backup; (N) в NAT-ферме – очень редко!
}
…
term t31 {
from {
//5 последних бит – 11111
source-address 0.0.0.31/0.0.0.31;
}
then {
routing-instance ri-r2_primary-r3_backup;
}
18 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 19. ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ
Настройка маршрутизатора R1
В таблице маршрутизации
[edit routing-instances]
apply-groups vrf-commmon;
VRF всегда два маршрута
// R1 – основной, R2 - запасной по умолчанию – один от
ri-r1_primary-r2_secondary { основного устройства, а
vrf-target target:100:101;
routing-options {
другой от резервного.
static { Выбирается только один с
route 0.0.0.0/0 next-hop [sp-1/3/0.1 sp-1/3/1.1]; лучшим preference – он
}
}
определяет основное
} устройство
// R1 – запасной, R2 - основной
ri-r2_primary-r1_secondary {
vrf-target target:100:103;
routing-options { Список sp- интерфейсов,
static { между которыми происходит
route 0.0.0.0/0 { балансировка в рамках
next-hop [sp-1/3/0.1 sp-1/3/1.1];
no-readvertise; одного устройства (хеш по
preference 180; source-адресу –
} настраивается отдельно)
}
}
}
// R2 – основной, R3 - запасной
ri-r2_primary-r3_secondary {
vrf-target target:100:104;
}
19 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 21. ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ
Ограничение по числу regress@kevlar# show services
service-set ss1 {
сообщений в секунду syslog {
host local;
Выборочная отправка options {
сообщений об + session-open;
+ session-close;
открытии/закрытии сессии + packet-logs;
Уменьшение объёма + stateful-firewall-logs;
+ alg-logs;
сообщений с 200 байт до 80 + nat-logs;
байт +
}
ids-logs;
}
}
}
21 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 22. НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ
РАСПРЕДЕЛЕНИИ ПОРТОВ
Высокий
Поведение по умолчанию – случайное
распределение портов
Объём протоколирования
Оценка:
Утилизация пула
Безопасность
Хорошая утилизация пула
Одна запись в журнале на сессию
Никаких проблем с безопасностью
Низкий
Распределение портов (цвет обозначает абонента)
22 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 23. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
При создании сессии, для абонента выделяется целый блок
Высокий
портов. Порт выбирается случайным образом из этого блока.
Последующие запросы на распределение порта
обслуживаются из этого блока. Неактивные блоки (без
Объём протоколирования
занятых портов) освобождаются.
Утилизация пула
Безопасность
Записи генерируются только для события выделения и
освобождения блока.
Оценка:
Можно подстраивать размер блока/степень
безопасности/протоколирования
Сокращает существенно объём протоколирования
Низкий
Распределение портов (цвет обозначает абонента)
23 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 24. NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
Параметры, которые можно менять
Размер блока
Высокий
Число блоков на абонента
Для повышенной безопасности, таймаут распределения блоков
Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.
Объём протоколирования
ALG также поддерживаются
Утилизация пула
Безопасность
services {
nat {
pool pool1 {
address-range low 32.32.32.1 high 32.32.32.32;
port {
automatic {
random-allocation;
}
+ block-allocation {
+ block-size 256; /* Min 64, Max 64512, default 128 */
+ max-blocks-per-user 8; /* Max 2048, default 8 */
Низкий + active-block-timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */
+ }
}
address-allocation round-robin;
}
}
}
24 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 26. ДОСТУП К IPV4 РЕСУРСАМ ЧЕРЕЗ
IPV6
26 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 27. ПРЕДОСТАВЛЕНИЕ IPV6 УСЛУГ НА БАЗЕ IPV6
СЕРВЕРОВ
Нельзя предоставить IPv6 услуги до тех пока все сети не будут
поддерживать IPv6
IPv6 IPv4 IPv6
IPv4
LB4 LB6 LB4/6
IPv6 сервера IPv6 сервера
Выделенные Комбинированные
IPv6-балансировщики IPv4/IPv6-балансировщики
27 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 28. ПРЕДОСТАВЛЕНИЕ IPV6-УСЛУГ НА БАЗЕ IPV4-
СЕРВЕРОВ
Задача: отделить IPv6-внедрение на сети
от внедрения IPv6 на серверах
IPv6
IPv4
IPv4 IPv6
LB4 NAT64
LB4/6
NAT64
IPv4 сервера
IPv4 балансировщик
IPv4 сервера NAT64 в перед балансировщиком
IPv4/IPv6 инфраструктура (позволяет постепенно внедрять IPv6)
(балансировка) Хорошо, что пока IPv6-трафика не так
c NAT64 много
28 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 29. ДОСТУП К WWW.JUNIPER.NET ПО IPV6
http://ipv6.juniper.net доступен по IPv6 с 8-го Января 2010 г.
Используется NAT64 трансляция
Используется тот же IPv4-сервер
29 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 30. ПОСТАНОВКА ЗАДАЧИ:
СДЕЛАТЬ БЫСТРО ДОСТУПНЫМ КОНТЕНТ ЧЕРЕЗ IPV6
Как обеспечить доступность сервера example.com через IPv6
быстро и с минимальными затратами?
☐ Сделать все Dual-Stack (сеть, инфраструктура, сервера)
☐ Сделать сеть dual-stack и оставить сервер IPv4
(проще, поскольку часто департаменты ИТ и сети отделены)
Ничего не трогать и ждать пока кто-то решит проблему...
IPv6->IPv4 транслятор может существенно
упростить переход
30 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 32. CARRIER GRADE NAT (CGN) 444
Пакет IPv4 Пакет IPv4
Пакет IPv4
IPv4 src: 10.6.7.8 IPv4 src: 1.2.3.4
IPv4 src: 192.168.1.3
(серые адреса RFC1918) (адрес из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 dst: 88.221.183.148 IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 src порт: 23456 IPv4 src порт: 45678
IPv4 dst порт: 80
IPv4 dst порт: 80 IPv4 dst порт: 80
Интернет
IPv4
192.168.1.3 IPv4 CPE
CGN www.juniper.net
NAT 88.221.183.148
NAT
Таблица CPE NAT Таблица CGN NAT
ВХ: 192.168.1.3 + порт 12345 ВХ: 10.6.7.8 + порт 23456
ВЫХ: 10.6.7.8 + порт: 23456 ВЫХ: 1.2.3.4 + порт 45678
32 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 33. NAT 64
Пакет IPv6 Пакет IPv4
IPv6 src: 2001:db8::1 IPv4 src: 1.2.3.4
IPv6 dst: 2009:db9:7 (из пула ISP)
(AAAA имя через DNS64 www.juniper.net) IPv4 dst: 88.221.183.148
IPv6 src порт: 12345 IPv4 src порт: 45678
IPv6 dst порт: 80 IPv4 dst порт: 80
Интернет
IPv4
2001:db8::1 IPv6 CPE
NAT64 www.juniper.net
88.221.183.148
Таблица трансляции NAT64
ВХ: 2001:db8::1 + порт 12345
ВЫХ: 1.2.3.4 + порт 45678
33 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
- 35. ВАРИАНТ 1. МАРКЕТИНГ + СТРАХОВКА.
По прежнему в основном предоставляем услугу IPv4
Туннелируем через сеть трафик IPv6 с помощью технологии 6RD
– для желающих
Минимум вложений
Правда, нужен 6RD-клиент на CPE
В стандарте описан случай автоматической настройки CPE по
DHCP
Интернет
IPv6
IPv4-сеть 6rd relay
оператора
IPv4 CPE
Адресация IPv4
Адресация IPv6 Интернет
ASBR
Двойной стек IPv4
Туннель с трафиком IPv6
35 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 36. КАК РАБОТАЕТ IPV6 RAPID DEPLOYMENT (6RD)
Пакет IPv4
IPv4 src: 10.10.100.1
Пакет IPv6 IPv4 dst: Адрес 6rd relay Пакет IPv6
IPv6 src: 2001:db8:6464:100:1 IPv6 src: 2001:db8::1
IPv6 dst: 2620:12:0:102::10 Пакет IPv6 IPv6 dst: 2620:12:0:102::10 IPv6
IPv6 src порт: 12345 IPv6 src: 2001:db8:6464:100:1 src порт: 12345
IPv6 dst порт: 80 IPv6 dst: 2620:12:0:102::10 IPv6 dst порт: 80
IPv6 src порт: 12345
IPv6 dst порт: 80
Интернет
IPv6
2001:db8:6464:100::1 IPv4 CPE
6rd relay ipv6.juniper.net
6rd
2620:12:0:102::10
10.100.100.1
Таблица трансляции отсутствует
6rd не хранит состояния сессий – адрес IPv4 CPE
кодируется внутри адреса IPv6 абонентской машины.
36 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 37. ВАРИАНТ 2. IPV4+IPV6 В КАЖДЫЙ ДОМ.
Предоставляем IPv4 и IPv6 адресацию – двойной стек
PPPoE двойной стек
DHCPv4 + DHCPv6
Вообще, в обычной модели, конечно терминируем L3 на
BRAS/BSR
Интернет
IPv6
IPv4/IPv6 - сеть
оператора
CPE (если есть)
ASBR Интернет
Адресация IPv4 IPv4
Адресация IPv6
Двойной стек
37 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 38. ВАРИАНТ 3. МЫ ВЕРИМ В IPV6. И У НАС КОНЧИЛИСЬ
АДРЕСА IPV4.
Предоставляем IPv4 и IPv6 адресацию – двойной стек но только
между абонентом и CPE
Вся внутренняя инфраструктура оператора – IPv6
Трафик IPv4 туннелируем до т.н. Address Family Translation Router
с помощью технологии Dual Stack Lite (DS-Lite)
DS-Lite = IPinIP туннелирование + NAT 44
Правда, трафик IPv4 скрыт от BRAS/BSR –
Интернет
нельзя применять IPv4-политики IPv6
IPv6-сеть ASBR
оператора
IPv6 CPE
Адресация IPv4
Адресация IPv6 Интернет
AFTR
Двойной стек IPv4
Туннель с трафиком IPv4
38 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
- 39. DUAL STACK LITE (DS-LITE)
Пакет IPv6
IPv6 src: IPv6 адрес CPE Пакет IPv4
Пакет IPv4 IPv6 dst: IPv6 адрес AFTR IPv4 src: 1.2.3.4
IPv4 src: 192.168.1.3
Пакет IPv4 (из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 src: 192.168.1.3 IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 dst: 88.221.183.148 IPv4 src порт: 45678
IPv4 dst порт: 80
IPv4 src порт: 12345 IPv4 dst порт: 80
IPv4 dst порт: 80
Интернет
IPv4
192.168.1.3 IPv6 CPE
AFTR www.juniper.net
DS-Lite 88.221.183.148
Таблица трансляции AFTR
ВХ: IPv6 адрес CPE + 192.168.1.3 + порт 12345
ВЫХ: 1.2.3.4 + порт 45678
39 Copyright © 2010 Juniper Networks, Inc. www.juniper.net