Pruebenos

CG-NAT — ¿por qué es necesario y cómo empezar a usar?

September 21, 2021
CG-NAT
CG-NAT — ¿por qué es necesario y cómo empezar a usar?
La tecnología CG-NAT (Carrier Grade Network Address Translation) permite a un proveedor de servicios de Internet sustituir la dirección IP local de un usuario por una pública en las redes TCP/IP. Veamos cómo se implementa CG-NAT en Stingray SG y por qué es la mejor solución.

¿Cómo funciona?

El CG-NAT le permite a un proveedor de servicios de Internet emitir una dirección IPv4 pública para múltiples clientes. Esto facilita la implantación de IPv6 ampliando el uso de IPv4. El sistema de monitorización y análisis de tráfico Stingray SG está diseñado para los proveedores de servicios de Internet, pero puede utilizarlo para sustituir los dispositivos NAT en su infraestructura de red. La solución está diseñada para funcionar eficazmente en cualquier entorno. En caso de crecimiento o de cambios en la infraestructura, el Stingray SG puede adaptarse de forma flexible.

Soluciones alternativas

  • A10 Networks Thunder

    Entre las ventajas, los usuarios citan los precios democráticos sin cambios bruscos. Los clientes también valoran la alta fiabilidad de la solución, los escasos fallos, la facilidad de uso, la interfaz gráfica intuitiva y la documentación detallada y lógica. Entre las desventajas, los usuarios señalan que la solución tiene problemas para controlar el uso simultáneo de varios puertos.

  • F5 BIG-IP

    En este caso, los usuarios valoran la facilidad de uso, el buen sistema de protección contra toda interferencia exterior y el gran número de funciones disponibles y flexibles de configurar. Entre las desventajas destacan la ocasional ralentización de la velocidad y los ocasionales problemas de conexión. Asimismo, se observa que la solución proporciona poca información en caso de que surjan problemas: no está muy claro cómo se puede arreglar exactamente la situación.

  • Cisco ASR 9000

    Como ventaja, los usuarios señalan el ecosistema familiar y conocido de Cisco, la fiabilidad y la facilidad de uso. Como desventajas, la documentación no es muy buena, y en ocasiones se producen fallos en la arquitectura interna.

Soluciones alternativas a CG-NAT

Si lo desea, puede ocupar el tiempo de sus técnicos e implementar la CG-NAT usted mismo. Hay ejemplos de casos exitosos de este tipo en los recursos de información de actualidad. La ventaja es que usted tiene el control total de la solución: es probable que sus ingenieros entiendan su diseño con precisión. La principal desventaja, sin embargo, es que la creación de la funcionalidad CG-NAT por parte de los propios usuarios es un trabajo constante y requiere recursos. Es probable que para muchas empresas esté más justificado utilizar una solución lista para usar. Por ejemplo, Carrier Grade NAT de VAS Experts, que vamos a ver a continuación.

Ventajas que ofrece el CG-NAT como parte del Stingray SG

  1. Aprovecha al máximo el espacio de direcciones IPv4.
  2. Cumple los requisitos establecidos en los estándares RFC 4787 (Network Address Translation (NAT) Behavioral Requirements for Unicast UDP) y RFC 6888 (Common Requirements for Carrier-Grade NATs) para garantizar un funcionamiento estable.
  3. Stingray SG puede funcionar con 128 millones de sesiones simultáneas.
  4. Puede escalar dinámicamente la solución y aumentar el ancho de banda sin interrumpir el tráfico.
  5. Gestión unificada de todas las funciones de la plataforma.
  6. Las transmisiones se registran y están disponibles como registros o se pueden transferir a un colector externo a través del protocolo NetFlow v10 (IPFIX).

Cómo configurar el NAT en el Stingray SG

En nuestra solución, se puede configurar literalmente con dos comandos.

Un perfil puede ser creado con un comando, aquí está:

fdpi_ctrl load profile --service 11  --profile.name test_nat
--profile.json '{ "nat_ip_pool" : "5.200.43.0/24,5.200.44/25",
"nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

Y aquí está un comando para activarlo:

fdpi_ctrl load --service 11 --profile.name test_nat --ip 192.168.0.1

O:

fdpi_ctrl load --service 11 --profile.name test_nat --login test_subs

O:

fdpi_ctrl load --service 11 --profile.name test_nat --cidr 192.168.1.0/24

Control de CG-NAT a través de una interfaz gráfica

  • La carga del perfil y los grupos de direcciones

GUI Load on profiles and NAT address pool

  • Estadística de NAT (carga del puerto)

GUI NAT statistics (port load)

  • Estadísticas de conversión de direcciones IP privadas en direcciones IP públicas

GUI Statistics on the conversion of private IP addresses to public ones

Oportunidades adicionales

El Stingray SG tiene una opción integrada de Full Cone NAT que permite el envío de paquetes desde cualquier fuente a través de un puerto de visualización externo TCP/UDP. Esto facilita el control de la actividad de los servicios peer-to-peer como torrents, juegos y otros. Todas las conexiones de los clientes desde una dirección IP interna gris están vinculadas a una dirección IP externa blanca gracias a la función Paired IP address pooling.

Asimismo, existe una protección básica contra los ataques DDoS. Funciona así: cuando se intenta conectar a una dirección «blanca» desde el exterior en un determinado puerto, el dispositivo que realiza la función de NAT comprueba si hay alguna conexión establecida para ese puerto. Si no es así, la conexión se interrumpirá.

Además, si algún suscriptor está infectado con malware, podemos limitar el número de puertos UDP y TCP utilizados para que el software no ocupe todos los recursos de la red. En este caso sólo se verá afectado un suscriptor y no todos.

Entre las tecnologías utilizadas también se encuentra el Hairpinning. Esto permite que todos los suscriptores detrás de NAT accedan a las direcciones públicas de los demás sin reenviar paquetes fuera del dispositivo y sin transmitir fuera del dispositivo.

Algunas aclaraciones

Para que la función CG-NAT funcione correctamente, el Stingray SG debe operar bajo un esquema «en rotura» (ejemplo en el diagrama siguiente).

También se requiere una licencia Stingray SG BRAS o COMPLETE. La velocidad de transmisión de las direcciones depende de la plataforma de hardware seleccionada y de la licencia. Puede oscilar entre 6 y 200 Gbit/s. Además, recomendamos instalar una plataforma de respaldo en caso de emergencias.

Vota:
5 de 5
Valoración media : 5
Valorado por: 1
Limitación de la descarga de datos de los suscriptores: QoS y beneficio "La principal ventaja de las soluciones de software DPI es que no están vinculadas al hardware". Entrevista con Artem Tereschenko de VAS Experts
Utilizamos cookies para optimizar la funcionalidad del sitio y ofrecerle la mejor experiencia posible. Para saber más sobre las cookies que utilizamos, visite nuestra Política de Cookies. Al hacer clic en "Aceptar", aceptas el uso que hacemos de las cookies. Más información