Les porteurs utilisent CG-NAT car ils en ont autant besoin que la facturation. En raison de la pénurie d’adresses IPv4 et du changement lent vers IPv6, la translation des adresses locales vers les adresses publiques est le seul moyen de connecter de nouveaux abonnés à Internet. Le choix de la plateforme CG-NAT avec la capacité et les fonctions nécessaires est l’une des tâches les plus prioritaires. CG-NAT peut être implémenté sur une plateforme x86 standard, l’essentiel est de choisir une suite logicielle répondant aux exigences et aux performances.
Spécificités du CG-NAT
NAT
Carrier Grade NAT (CGN/CGNAT), alias Large Scale NAT (LSN), par rapport au NAT ordinaire, est conçu pour les porteurs en raison de ses performances élevées, de sa mise à l’échelle et de certaines fonctions supplémentaires:
- quota pour utilisateur
- durée limitée de la session
- Hairpinning – accès à l’intérieur du réseau à une adresse externe sans utiliser Internet)
- Full Cone NAT = EIM/EIF (Mappage Indépendant des points de terminaison/Filtrage Indépendant des points de terminaison) assure une compatibilité maximale des clients P2P situés en dehors du NAT de différents fournisseurs (jeux, téléphonie IP, vidéoconférences, torrents)
- enregistrement des analyses pour une interception légale.
Plateformes matérielles CG—NAT
Nous ne couvrons pas ici les solutions intégrées au système d’exploitation du serveur (Windows NAT, OpenBSD NAT, Linux iptables et autres), car elles n’ont pas assez de performances, d’émise à l’échelle et de capacités fonctionnelles pour les principaux réseaux des opérateurs et ne support pas le mode Full Cone NAT mode.
Les porteurs peuvent utiliser sur leurs réseaux plusieurs options d’execution matérielles CG-NAT:
- Modules d’extension pour routeurs ou périphériques matériels séparés (Cisco, Juniper, F5 Networks, Huawei, A10, Ericsson).
- Solutions logicielles ou virtualisées basées sur des serveurs x86 standard (VAS Experts, Brain4Net, NFWare).
Chaque option a des avantages et des inconvénients. Alors que nous concentrons sur les solutions x86 dans cet article, considérons-les correctement.
Mais tout d’abord, quelques informations sur les appareils et les modules.
Généralement, l’utilisation de modules d’extension pour le matériel réseau ou de périphériques séparés est une bonne option pour les principaux opérateurs disposant de suffisamment de matériel réseau en stock qui peut réaliser CG-NAT.
Par exemple, si votre réseau dispose de routeurs Cisco de la série ASR (1000, 5000, 9000), vous pouvez facilement ajouter des modules Moteur de services de classe porteur (CGSE) offrant des performances élevées allant jusqu’à 20 Gbit/s et prendre en charge:
- translation NAT44 et NAT64, 6-ème, DS-lite, 4-ème tunnellisation
- conformité totale avec RFC 4787, RFC 5382, RFC 5508
- CGv6 Bypass
- protocole Netflow9
- le contrôle du trafic sur la base de VRF
- sauvegarde intra-châssis et inter-châssis.
Mais pour ces fonctions standards et une forte confiance, Cisco fixe un prix assez élevé (Cisco CRS-16/S-B avec module CGSE coûte à partir de 7 millions de roubles) et suppose que vous continuiez à utiliser son écosystème dans votre réseau.
La même situation concerne les modules multiservices MS-DPC de Juniper pour routeurs MX. Capacité de bande passante jusqu’à 19 Gbit/s et jusqu’à 8,5 millions d’abonnés sont de bons indicateurs, mais le prix de la plateforme (bien que c’est inférieur à celui de Cisco) et la nécessité d’acheter des châssis et des modules supplémentaires pour la sauvegarde, rendent cette solution impraticable pour les petits opérateurs et fournisseurs.
Une option avec plus d’avantages pourrait être une solution implémentée séparément, comme Viprion par F5 Networks.
Les produits de cette société n’imposent pas d’exigences spécifiques pour l’organisation du réseau de l’opérateur, peu importe sur quoi le réseau est construit – qu’il s’agisse de Cisco, HP, Huawei ou autre. Ils effectuent une certaine tâche, c’est-à-dire transmettre les adresses réseau, et faire cela rapidement, sûre et pour un prix tout à fait raisonnable (F5 Networking Viprion Chassis CGNAT C2200 2-Slot Chassis AC Power avec une lame B2100 coûte 3 millions de roubles). Le logiciel de cet équipement est conçu pour certains composants de la plateforme matérielle, ce qui rend son fonctionnement combiné suffisamment stable. C’est comme Mac ou MacBook d’Apple: les composants sont standard, mais comme MacOS est optimisé exactement pour eux, le fonctionnement est parfait.
Cette option présente également des inconvénients: un dispositif séparé pour chaque fonction réseau signifie un espace supplémentaire dans la salle des serveurs et plus d’investissements en capital; le prix est inférieur à celui de Cisco et Juniper, mais reste élevé, en particulier pour les fournisseurs d’accès Internet régionaux; un grand nombre d’appareils de différents fournisseurs signifie que le contrôle et l’interaction sont plus complexes; l’évolutivité de ces solutions est possible, mais reste encore trop complexe et coûteuse.
Passons au programme et aux solutions virtualisées sur la plateforme x-86.
Tout d’abord, la virtualisation est une tendance des dernières années est d’exploiter le meilleur parti du matériel en lançant de nombreux processus de calcul différents. La virtualisation des serveurs est devenue populaire il y a de nombreuses années, et récemment, les réseaux virtuels gagnaient de la popularité, de sorte que la virtualisation de la fonction CG-NAT n’était pas difficile pour les développeurs.
Le CG-NAT virtualisé est construit sur la base de concept SDN / NFV – Contrôle de réseau centralisé et virtualisation des fonctions réseau. Parfois, cette solution est également appelée vCGNAT. Ses principaux avantages sont
- Utilisation de serveurs x86 standard comme plateforme de virtualisation. Il est bon marché et polyvalent, il existe de nombreux producteurs de prix moyen sur le marché, la maintenance de tels serveurs est également facile.
- Modèle de consommation des ressources Pay-as-you-Grow, qui assure plus de flexibilité grâce à la virtualisation de tous les composants de l’architecture de la solution.
- Mise à l’échelle facile – à tout moment et rapidement que possible, les performances du système peuvent être augmentées.
- Intégration avec d’autres solutions SDN et contrôle centralisé, de transférer d’autres fonctions réseau sur une plateforme virtuelle.
Malgré tous les avantages, la mise en œuvre de telles solutions est assez complexe et nécessite une qualification spécifique. Tout d’abord, le développement des technologies NFV/SDN et leur déploiement sur les réseaux des porteur nécessitent des investissements importants dans l’infrastructure des centres de données. Selon les estimations de certaines recherches, les coûts de développement NFV/SDN jusqu’à 2018 seront répartis comme suit:
- 4% – équipement NFVI: $1,4
- 23 % – logiciels NFV et MANO: $6,8
- 4 % – Équipement HW SDN: $1,3
- 5% – logiciel SDN: $1,5
- 64% – équipement des centres de données et des systèmes informatiques: $19,0.
Le NFV est une technologie assez jeune, il pourrait donc y avoir des difficultés de standardisation et de compatibilité. Beaucoup d’entreprises l’utilisent uniquement comme une zone de formation ne lui faisant pas confiance pour maintenir les services d’exploitation. En outre, il existe certaines complexités de justification de la décision de choisir des systèmes de réseau virtuel, car peu de cas réels peuvent être mentionnés comme exemples. Une plateforme inconnue signifie un risque pour l’entreprise.
Ainsi, nous arrivons à la décision la plus universelle et la plus simple – CG—NAT sur une plateforme multifonctionnelle du système de contrôle et d’analyse du trafic DPI. Pourquoi sur cette plateforme particulier?
Le logiciel DPI est un développement assez complexe, et seuls programmeurs hautement qualifiés avec une grande expérience peuvent programmer sur lui. C’est pourquoi cette version de la partie logicielle CG-NAT est fiable, optimisée et efficace. Les développeurs DPI russes utilisent des serveurs x-86 standard, y compris des experts VAS pour sa passerelle de service Stingray. De plus, vous pouvez choisir et acheter du matériel ou utiliser celui que vous possédez déjà, l’essentiel c’est que le matériel réponde à toutes les spécifications nécessaires (CPU, mémoire RW, cartes réseau avec Bypass) et ait des performances suffisantes. Nous avons mentionné ci-dessus tous les avantages de la plateforme x86 standard.
Outre le respect des normes de l’industrie définies par RFC 6888, RFC 4787, une telle solution CG-NAT présente tous les avantages des dispositifs séparés de producteurs réputés:
- Full Cone NAT (EIM/EIF)
- utilisation de la fonction de regroupement d’adresses IP appariées
- l’utilisation de la technologie Hairpinning
- définition de limites sur TCP et UDP-connexions pour les abonnés
- enregistrement de translations (protocole IPFIX) et exportation des données vers LESS-3.
Porteur ou fournisseur d’accès Internet obtient CG-NAT en version complète sans frais supplémentaires. Aujourd’hui, de nombreux porteur et fournisseurs d’accès Internet installent des systèmes DPI sur leurs réseaux. La raison en est la nécessité de filtrer les URL par listes de Roskomnadzor, la possibilité de contrôler le trafic en optimisant la bande passante disponible et d’analyser le réseau en temps réel. À cette fin, acheter du DPI et obtenir un CG-NAT haute performance semble en outre très difficile. En ce qui concerne les plateformes concurrentes, seule Procera propose CG-NAT dans le cadre de la plateforme DPI, mais cette solution est sous licence et coûteuse.
Un tel système se modernise facilement et les performances sont augmentées en achetant une licence, et non des modules matériels supplémentaires. Si l’on tient compte du fait que le Stingray Service Gateway est personnalisé à votre réseau par le producteur lui-même et que la fonction CG-NAT est activée par une commande de configuration, alors le processus d’intégration et de lancement est réduit au minimum. Puisque Stingray est un logiciel, le test de son fonctionnement est simple: il suffit de demander un package de distribution au développeur, de l’installer sur un serveur compatible, puis de prendre une décision.
Il faut mentionner qu’une telle option CG-NAT présente des inconvénients : le matériel choisi indépendamment peut affecter l’efficacité fonctionnelle de l’ensemble du système, CG-NAT est une fonction, en cas de défaillance, le réseau cesse de fonctionner, ce qui signifie qu’une sauvegarde est nécessaire et qu’il s’agit d’un dispositif Stingray supplémentaire.
Indépendamment de tous ces inconvénients, l’utilisation de CG-NAT intégré dans le Stingray Service Gateway sur la base de la plateforme x86 standard est une solution simple et efficace pour la translation des adresses réseau et des ports, qui permet aux opérateurs de fournir une adresse IPv4 publique à plus d’un abonné.
Pour obtenir des informations plus détaillées sur les avantages du Stingray Service Gateway et sur la façon de l’utiliser efficacement sur les réseaux des opérateurs, ainsi que sur la migration à partir d’autres plateformes, veuillez contacter les experts de VAS Experts – développeurs et fornisseur du système d’analyse de la plateforme Stingray..