Comment ça fonctionne
Avec la solution CG-NAT, le FAI a la possibilité d’allouer une adresse IPv4 publique à plusieurs clients. De plus c’est plus facile de mettre en œuvre IPv6 en étendant l’utilisation d’IPv4. Le système de surveillance et d’analyse du trafic The Stingray Service Getaway est conçu pour les FAI, mais vous pouvez également l’utiliser pour remplacer les périphériques NAT de votre infrastructure informatique. La solution est conçue pour fonctionner efficacement dans n’importe quel environnement : au cas où votre infrastructure réseau se développerait ou changerait, il est facile de l’adapter à vos besoins.
Alternatives
Voici quelques-unes des solutions alternatives de CG-NAT et leurs avantages et inconvénients du point de vue de leurs utilisateurs.
- A10 Networks Thunder
Comme avantages, les utilisateurs remarquent une tarification démocratique sans changements soudains, une grande fiabilité de la solution, ainsi que des pannes rares, une facilité d’utilisation, une interface graphique intuitive et une documentation détaillée. Parmi les inconvénients, les utilisateurs citent les problèmes de la solution avec le suivi de l’utilisation simultanée de plusieurs ports.
- F5 BIG-IP
Les utilisateurs apprécient la facilité d’utilisation, un bon système de protection contre les intrusions extérieures, et un grand nombre de fonctions disponibles et flexibles. D’autre part, il y a des points faibles de la solution, telles que l’affaissement de la vitesse, les problèmes de connexion périodiques et le fait qu’elle donne peu d’informations en cas de problème (donc parfois, il n’est pas très clair comment corriger la situation).
- Cisco ASR 9000
Les utilisateurs apprécient l’écosystème Cisco familier, la fiabilité et la facilité d’utilisation. Quant aux inconvénients, ils remarquent des problèmes de documentation et des bugs occasionnels dans l’architecture interne.
De plus, vous pouvez implémenter CG-NAT par vous-même avec l’aide de vos spécialistes techniques. Il y a des exemples de cas réussis sur les ressources liées aux télécommunications. Comme avantage dans ce cas, la possibilité d’un contrôle total de la solution de votre côté (vos ingénieurs comprendraient l’architecture exacte de la solution). Le principal inconvénient est que la création de la fonctionnalité CG-NAT par vous-même est un travail permanent et nécessite des ressources. Il est donc plus probable que de nombreuses entreprises utilisent simplement une solution prête à l’emploi.
Avantages de CG-NAT dans le cadre de Stingray SG
- Il utilise l’espace d’adressage IPv4 de la manière la plus efficace.
- Il répond aux exigences spécifiées dans RFC 4787 (Exigences comportementales de Translation d’adresses réseau (NAT) pour Unicast UDP) et RFC 6888 (Exigences communes pour les NAT de classe porteur), ce qui garantit un fonctionnement stable du système.
- Stingray Service Getaway peut effectuer 128 millions de sessions à la fois.
- Vous pouvez faire évoluer la solution de manière dynamique et augmenter le débit sans interruption du trafic.
- Gestion unifiée de toutes les fonctionnalités de la plateforme.
- Les translations sont enregistrées et disponibles sous forme de registres ou peuvent être transférées vers un collecteur externe via NetFlow v10 (IPFIX).
Comment configurer NAT sur Stingray SG
Il peut être facilement configuré en seulement deux commandes.
Créez un profil avec une seule commande comme suit :
fdpi_ctrl load profile --service 11 --profile.name test_nat --profile.json '{ "nat_ip_pool" : "5.200.43.0/24,5.200.44/25", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'
L’autre commande pour l’activer :
fdpi_ctrl load --service 11 --profile.name test_nat --ip 192.168.0.1
ou :
fdpi_ctrl load --service 11 --profile.name test_nat --login test_subs
ou :
fdpi_ctrl load --service 11 --profile.name test_nat --cidr 192.168.1.0/24
Gestion CG-NAT via une interface graphique
- Charge sur les profils et le pool d’adresses NAT
- Statistiques NAT (charge de port)
- Statistiques sur la conversion d’adresses IP privées en adresses publiques
Caractéristiques
Stingray Service Getaway dispose d’une option NAT Full Cone intégrée qui permet d’envoyer des paquets depuis n’importe quelle source sur un port TCP/UDP mappé externe. Cela facilite la surveillance de l’activité des services peer-to-peer (tels que les torrents, les jeux, etc.). Toutes les connexions client à partir d’une adresse IP interne sont liées à une adresse IP externe en raison du regroupement d’adresses IP jumelées.
Il existe également une protection de base contre les attaques DDoS. Cela fonctionne simplement comme suit : si une tentative de connexion à une adresse externe est effectuée de l’extérieur sur un certain port, le périphérique NAT vérifie s’il y a des connexions configurées pour ce port. Dans le cas contraire, la connexion sera interrompue.
En plus de cela, dans la situation, si l’un des abonnés est infecté par un logiciel malveillant, nous pouvons limiter le nombre de ports UDP et TCP utilisés, de sorte qu’il ne prendra pas toutes les ressources du réseau. Dans ce cas, tous les abonnés ne seront pas infectés mais un seul d’entre eux.
En outre, il existe une technologie appelée Hairpinning. Il permet à tous les abonnés derrière un NAT d’accéder aux adresses publiques des autres sans transférer de paquets à l’extérieur de l’appareil et sans traduction à l’extérieur de l’appareil.
Remarque
Stingray SG doit fonctionner en mode en ligne pour que la fonction CG-NAT fonctionne correctement.
Une licence Stingray SG BRAS ou Complete est également requise pour cela. La vitesse de la translation des adresses dépend de la licence et de la plateforme matérielle sélectionnées : elle peut aller de 6 à 200 Gbit/s. Nous recommandons également d’installer une plateforme de sauvegarde en cas de situations d’urgence.