CG-NAT
NAT/CG-NAT étend considérablement les capacités des réseaux existants. Comme aujourd’hui la limite des adresses IPv4 est presque dépassée, la transition vers IPv6 est inévitable. La croissance rapide des appareils mobiles et des services cloud utilisés rend cette tâche encore plus urgente.
Les adresses IPv4 des registres Internet régionaux (RIR) ne sont plus disponibles. Le seul moyen est d’acheter un grand pool d’adresses IPv4 auprès d’un courtier. Cela augmente constamment le coût des adresses IPv4 uniques.
La solution Stingray SG est conçue pour les opérateurs télécoms et les fournisseurs d’accès Internet; c’est également le remplacement approprié des équipements NAT dans les réseaux d’entreprise. En disposant d’une gamme de fonctions et de possibilités, Stingray est compatible à tout réseau croissant et s’y adapte.
En utilisant le NAT de classe porteur (CGN ou CG-NAT) ou le NAT à grande échelle (LSN), un FAI est capable de:
Fournir une adresse IPv4 publique à plusieurs abonnés sans perte de qualité de la connexion Internet d'une manière qu'une adresse IP publique peut accueillir jusqu'à 100 adresses privées (le rapport idéal est de 1:10) ;
Étendre utilisation de l'espace d'adressage IPv4 limité et réduire le coût d'achat des adresses IPv4 de 90%
Vous préparer à la mise en œuvre de l'adressage IPv6 en prenant en charge Double Pile v4-v6 (prise en charge simultanée des deux versions du protocole)
Caractéristiques
La fonction CG-NAT utilise la technologie Full Cone NAT, qui permet l’envoi de paquets provenant de n’importe quel système externe sur un port TCP/UDP mappé externe, qui est la source du trafic de l’abonné.
Les abonnés à l’intérieur du NAT accèdent aux adresses publiques les uns des autres sans diffuser et transférer des paquets à l’extérieur de l’appareil.
Pour chaque pool d’adresses IP, une limite est définie individuellement sur le nombre de connexions TCP et UDP pour l’abonné, ce qui permet à l’opérateur d’allouer économiquement les ressources d’espace d’adressage entre les entreprises et les clients privés. En l’absence d’activité, les connexions inutilisées se ferment en libérant ainsi des ports.
Toutes les connexions de l’abonné à partir d’une adresse privée sont liées à une adresse IP publique.
Les diffusions réseau sont enregistrées dans un fichier texte ou transmises à un collecteur externe via le protocole IPFIX (également appelé NetFlow v10).
La plateforme prend en charge jusqu’à 128 millions de sessions simultanées sur chaque système logiciel/matèriel et gère le trafic jusqu’à 120 Gbps.
Le comportement NAT prévisible est assuré par les fonctions Full Cone et HairPinning. Les quotas d’utilisateurs garantissent une répartition uniforme des ports IP publics entre les abonnés, et les virus et les logiciels malveillants ne peuvent pas épuiser leurs ressources.
Il est important que les opérateurs maintiennent la connectivité pour tous les services d’application et les utilisateurs tout en assurant l’intégrité des applications. Les ALG veillent à ce que les protocoles tels que FTP, TFTP, RTSP, PPTP, SIP, ICMP, H. 323, ESP, MGCP et DNS restent opérationnels. De nombreuses implémentations NAT héritées n’offrent pas ce niveau de transparence.
La protection intégrée empêche le passage d’une quantité anormale de trafic d’attaques DDoS multi-vecteurs. La solution CG-NAT offre une disponibilité maximale des ressources réseau pour gérer le trafic des abonnés et éviter les interruptions de service.
Dans CG-NAT, la prise en charge des VLAN permet d’économiser les ports dans l’équipement de l’opérateur et d’améliorer l’efficacité de l’utilisation de la carte réseau. Cela permet d’identifier le trafic entrant et sortant non pas par NIC, mais par VLAN ID, ce qui permet à son tour d’utiliser la même carte réseau pour le trafic entrant et sortant. Cette option est particulièrement efficace lorsqu’elle est utilisée avec LACP.
Le protocole de contrôle d’agrégation de liens permet de combiner plusieurs ports physiques pour former un seul canal logique et améliorer la tolérance aux pannes.
Avec l’augmentation du nombre d’abonnés et de la bande passante, il est possible de mettre à l’échelle dynamiquement et d’augmenter la bande passante en mettant à niveau le serveur ou en augmentant le nombre de NAT virtuels dans Telco Cloud.
La fiabilité de la solution est garantie avec les modes redondants Active-Standby et Active-Active. Dans les deux cas, deux appareils sont impliqués : si le premier (actif) tombe en panne, alors le trafic est commuté sur le second sans perte en utilisant les protocoles de routage.
Types
La solution VAS Experts prend en charge:
CG-NAT (NAT44)
La diffusion d'adresses réseau et de ports permet à plusieurs abonnés de partager une seule adresse IPv4 publique et étend l'utilisation de l'espace d'adressage IPv4 limité.
BiNAT (NAT1:1)
La diffusion d'adresses réseau 1-to-1 permet de fournir un service d'adresse IP publique statique sans modifier les paramètres du CPE en diffusant tous les ports d'adresse privée en une seule adresse publique.
Notes de mise en œuvre
- Pour pouvoir fonctionner en tant que CG-NAT, Stingray SG doit être commuté en mode en ligne.
- Pour activer la fonction CG-NAT, une licence Stingray BRAS ou COMPLETE est requise.
- Le système de réserve Stingray est recommandé pour garantir l’infaillibilité.
- Les performances factuelles de la fonction de translation d’adresses peuvent varier de 6 à 200 Gbit/s – cela dépend de la plateforme matérielle choisie et du type de licence du logiciel Stingray.
Options de mise en œuvre
Le schéma classique de connexion d’un appareil CG-NAT à un réseau : entre BNG et un routeur pour fournir une traduction d’adresse réseau. Le journal NAT est transmis via le protocole IPFIX (NetFlow v10) à un serveur dédié ou à une machine virtuelle où la base de données QoE Stor et l’interface graphique sont installées. Cette solution permet de stocker et de rechercher efficacement le journal NAT.
Nous proposons de combiner la fonctionnalité CG-NAT avec DPI sur un seul appareil pour obtenir la possibilité non seulement de diffuser des adresses, mais aussi de reconnaître et de classer le trafic selon les protocoles et les directions, d’utiliser la police de canal partagé, de marquer le trafic, de travailler avec des statistiques (Full NetFlow et Clickstream).
Des informations supplémentaires sur des abonnés sont utilisées par les équipes de vente, de marketing et de support technique.
L’option la plus rentable consiste à combiner les fonctionnalités de CG-NAT, DPI et BNG sur un seul appareil et ainsi créer ainsi un noyau de réseau flexible et facile à gérer, ce qui réduit considérablement le coût total de détention (TCO, coût total de possession) en raison de la compacité, haute performance, gestion et exploitation uniformes.
Dans ce schéma, en plus de la traduction des adresses réseau et de l’analyse approfondie du trafic, l’autorisation IPoE/PPPoE des abonnés, BGP/OSPF, l’intégration avec la facturation (AAA) est réalisée via PCRF.
Avantages du CG-NAT basé sur DPI
- Conforme aux normes de l’industrie définies dans la RFC 6888 (exigences communes pour les NAT de qualité opérateur (CGN)), RFC 4787 (exigences comportementales de translation d’adresses réseau (NAT) pour Unicast UDP)
- Utilise efficacement l’espace d’adressage IPv4 limité. L’infrastructure réseau IPv4 peut rester en service plus longtemps pour maintenir la disponibilité et la fiabilité continues des applications et des services d’importance critique
- Hautes performances: la plateforme prend en charge jusqu’à 128 millions de sessions simultanées
- Transition en douceur vers IPv6 est possible, via la prise en charge du tunneling entre les réseaux IPv4 et IPv6
- Le produit est facile à mettre à l’échelle dynamiquement et à augmenter le débit sans interrompre le trafic
- Permet de limiter le nombre de ports TCP et UDP pour l’abonné, offrant une protection DDoS et une sécurité réseau
- Un ensemble complet d’outils et d’options de la plateforme DPI avec une gestion centralisée, ce qui permet de réduire à la fois les OPEX et les CAPEX et d’exploiter efficacement le réseau.