CG-NAT — como começar a usar e por que você precisa dele

Como funciona o CG-NAT

Com a solução CG-NAT, o ISP tem a capacidade de alocar um endereço IPv4 público para vários clientes. Assim, é mais fácil implementar o IPv6, estendendo o uso do IPv4. O sistema de monitoramento e análise de tráfego The Stingray Service Getaway foi desenvolvido para ISPs, mas você também pode usá-lo para substituir dispositivos NAT em sua infraestrutura de TI. A solução foi projetada para funcionar de forma eficaz em qualquer ambiente: caso sua infraestrutura de rede cresça ou mude, é fácil ajustá-la às suas necessidades.

Alternativas

Aqui estão algumas soluções alternativas ao CG-NAT e suas vantagens e desvantagens do ponto de vista dos usuários.

• A10 Networks Thunder. Como vantagens, os usuários observam preços acessíveis sem mudanças repentinas, alta confiabilidade da solução, bem como raras falhas, facilidade de uso, interface gráfica intuitiva e documentação detalhada. Entre as desvantagens, os usuários citam os problemas da solução com o rastreamento do uso simultâneo de múltiplas portas.
• F5 BIG-IP. Os usuários apreciam a facilidade de uso, um bom sistema de proteção contra intrusão externa e um grande número de funções disponíveis e flexíveis. Por outro lado, existem os pontos fracos da solução, como a velocidade lenta, problemas ocasionais de conexão e o fato de fornecer poucas informações em caso de problemas (por isso, às vezes, não fica muito claro como exatamente a situação pode ser resolvida).
• Cisco ASR 9000. Os usuários apreciam o ecossistema familiar da Cisco, a confiabilidade e a facilidade de uso. Quanto às desvantagens, eles observam problemas com a documentação e bugs ocasionais na arquitetura interna.

Além disso, você pode implementar o CG-NAT de forma independente, com a ajuda de seus especialistas técnicos. Há exemplos de casos de sucesso em recursos relacionados a telecomunicações. Uma vantagem neste caso é a possibilidade de controle total da solução por você (seus engenheiros entenderiam a arquitetura exata da solução). A principal desvantagem é que criar a funcionalidade CG-NAT por conta própria é um trabalho árduo e constante e exige recursos . Portanto, é mais provável que muitas empresas simplesmente utilizem uma solução pronta para uso.

Prós do CG-NAT como parte do Stingray SG

1. Ele torna o uso do espaço de endereços IPv4 o mais eficiente possível.
2. Atende aos requisitos especificados na RFC 4787 (Requisitos Comportamentais de Tradução de Endereços de Rede (NAT) para UDP Unicast) e na RFC 6888 (Requisitos Comuns para NATs de Nível de Operadora), o que garante a operação estável do sistema.
3. O Stingray Service Getaway pode executar 128 milhões de sessões simultaneamente.
4. Você pode escalar a solução dinamicamente e aumentar a taxa de transferência sem interrupção do tráfego.
5. Gerenciamento unificado de todas as funcionalidades da plataforma.
6. As traduções são registradas e disponibilizadas como logs ou podem ser transferidas para um coletor externo via NetFlow v10 (IPFIX).

Como configurar o NAT no Stingray SG

Ele pode ser facilmente configurado com apenas dois comandos.

Crie um perfil com um único comando, aqui está:

fdpi_ctrl load profile --service 11  --profile.name test_nat
--profile.json '{ "nat_ip_pool" : "5.200.43.0/24,5.200.44/25",
"nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

O outro comando para ligá-lo:

fdpi_ctrl load --service 11 --profile.name test_nat --ip 192.168.0.1

ou:

fdpi_ctrl load --service 11 --profile.name test_nat --login test_subs

ou:

fdpi_ctrl load --service 11 --profile.name test_nat --cidr 192.168.1.0/24

Gerenciamento CG-NAT via interface gráfica

• Carregar em perfis e pool de endereços NAT

  

• Estatísticas NAT (carga de porta)

  

• Estatísticas sobre a conversão de endereços IP privados em públicos

  

Característicos

O Stingray Service Getaway possui uma opção NAT Full Cone integrada que permite o envio de pacotes de qualquer fonte em uma porta TCP/UDP externa mapeada. Isso facilita o monitoramento da atividade de serviços ponto a ponto (como torrents, jogos, etc.). Todas as conexões de clientes de um endereço IP interno são vinculadas a um endereço IP externo devido ao pool de endereços IP pareados.

Há também proteção básica contra ataques DDoS . Funciona simplesmente assim: se houver uma tentativa de conexão a um endereço externo em uma determinada porta, o dispositivo NAT verifica se há alguma conexão configurada para essa porta. Caso contrário, a conexão será encerrada.

Além disso, caso um dos assinantes seja infectado por malware, podemos limitar o número de portas UDP e TCP utilizadas, para que não ocupe todos os recursos da rede. Nesse caso, nem todos os assinantes serão infectados, mas apenas um deles.

Além disso, existe uma tecnologia chamada Hairpinning . Ela permite que todos os assinantes por trás de um NAT acessem os endereços públicos uns dos outros sem encaminhar pacotes para fora do dispositivo e traduzi-los para fora do dispositivo.

Observação

O Stingray SG deve operar em modo em linha para que a função CG-NAT funcione corretamente.

A Stingray SG BRAS or Complete license is also required for this. Address translation speed depends on the selected license and hardware platform: it can be from 6 to 200 Gbit/s . We also recommend installing a backup platform in case of emergency situations.