CG-NAT на стандартной x86-платформе

18 апреля 2017
CG-NAT
CG-NAT на стандартной x86-платформе
Использование CG-NAT операторами связи – такая же необходимость, как и использование биллинга. В связи с нехваткой адресов IPv4 и медленным переходом на IPv6 трансляция локальных адресов в «белые» – единственная возможноть подключать новых абонентов к сети Интернет. И выбор платформы CG-NAТ необходимой мощности и функциональности – одна из первостепенных задач.

Реализовать CG-NAT можно на стандартной x86-платформе, главное – выбрать программное решение, удовлетворяющее требованиям и производительности.

Особенности CG-NAT

Carrier Grade NAT (CGN/CGNAT), также известный как Large Scale NAT (LSN), в отличие от обычного NAT, рассчитан на операторов связи за счет своей высокой производительности, масштабируемости и наличия некоторых дополнительных функций:

  • квоты для пользователей;
  • ограниченное время жизни сессии;
  • Hairpinning – доступ внутри сети по внешнему адресу без выхода в Интернет);
  • Full Cone NAT = EIM/EIF (Endpoint-Independent Mapping/Endpoint-Independent Filtering) обеспечивает максимальную совместимость между P2P-клиентами, расположенными за NAT разных провайдеров (игры, IP-телефония, видеоконференции, торренты);
  • сбор статистики для СОРМ.

Схема cgnat

Более подробно о CG-NAT вы можете прочитать в нашей статье «Когда закончатся адреса IPv4 – CG-NAT». Теперь посмотрим, как его можно реализовать на сети оператора связи.

Аппаратные платформы CG-NAT

Мы не будем рассматривать решения, встроенные в серверные операционные системы (Windows NAT, OpenBSD NAT, Linux iptables и другие), так как они не имеют достаточной производительности, масштабируемости и функциональности для больших операторских сетей, а также не поддерживают режим Full Cone NAT.

Операторы связи могут использовать на своих сетях несколько вариантов аппаратных решений CG-NAT:

  1. Модули расширения для маршрутизаторов или отдельные аппаратные устройства (Cisco, Juniper, F5 Networks, Huawei, A10, Ericsson).
  2. Программные или виртуализированные решения на базе стандартных x86-серверов (VAS Experts, Brain4Net, NFWare, RDP).

У каждого из вариантов есть свои преимущества и недостатки, но так как в данной статье мы делаем акцент на решения x86, то на них остановимся подробнее.

Cisco ASR

Juniper MX

Но сначала немного об отдельных устройствах и модулях.

В целом использование модулей расширения для сетевого оборудования или отдельных устройств – довольно неплохой вариант для крупных операторов связи, имеющих в своем парке достаточно большое количество сетевого оборудования, на которое можно возложить задачу CG-NAT.

Так, например, если в вашей сети есть маршрутизаторы Cisco серий ASR (1000, 5000, 9000), вы легко сможете добавить к ним модули Carrier Grade Services Engine (CGSE), обладающие высокой производительностью до 20 Гбит/с на модуль, а также поддерживающие:

  • NAT44 и NAT64 трансляцию, 6rd, DS-lite, 4rd туннелированние;
  • полное соответствие RFC4787, RFC5382, RFC5508;
  • CGv6 Bypass;
  • Netflow9 протоколирование;
  • управление трафиком на основе VRF;
  • резервирование intra-chassis и inter-chassis.

Но за все эти стандартные функции и высокую надежность компания Cisco просит довольно большие суммы денег (Cisco CRS-16/S-B с модулем CGSE – от 7 млн рублей), а также подразумевает, что вы и дальше будете использовать их экосистему в своей сети.

Аналогичную картину можно увидеть и с мультисервисными модулями MS-DPC от Juniper для маршрутизаторов серии MX. Пропускная способность до 19 Гбит/с и до 8,5 миллионов абонентов – неплохие показатели, но стоимость самой платформы (пусть и ниже Cisco), а также необходимость покупки дополнительных шасси и модулей для резервирования делают такое решение неподъемным для небольших операторов связи и интернет-провайдеров.

Viprion

Более выгодным вариантом может стать отдельно устанавливаемое решение, например Viprion от F5 Networks.

Продукты этой компании не предъявляют особых требований к организации сети оператора связи, совершенно не важно, на чем построена сеть – на Cisco, HP, Huawei или чем-то еще. Они выполняют конкретную задачу по трансляции сетевых адресов, делают это быстро, надежно и сравнительно недорого (F5 Networking Viprion Chassis CGNAT C2200 2-Slot Chassis AC Power совместно с лезвием B2100 обойдется в 3 млн рублей). Программное обеспечение такого оборудования заточено под конкретные комплектующие аппаратной платформы, что делает их совместную работу очень стабильной. Это как iMac или MacBook от Apple: комплектующие подобраны стандартные, но за счет оптимизации MacOS конкретно под них – работа безупречная.

Минусов у такого варианта тоже хватает: отдельное устройство для каждой сетевой функции – это дополнительное место в серверной и дополнительные капитальные вложения; стоимость хоть и ниже Cisco и Juniper, но все равно высокая, особенно для региональных интернет-провайдеров; чем больше устройств разных вендоров в сети, тем сложнее ими управлять и осуществлять взаимодействие; масштабируемость таких решений хоть и возможна, но сложна и также дорога.

Перейдем к программным и виртуализированным решениям на платформе x86.

Начнем с виртуализации – тенденции последних лет выжать максимум из аппаратных средств путем запуска на них большого числа разнородных вычислительных процессов. Давно популярна виртуализация серверов, в последнее время набирают популярность виртуальные сети, поэтому виртуализировать функцию CG-NAT для разработчиков тоже не составило труда.

Виртуализация

Виртуализированный CG-NAT построен на базе концепции SDN/NFV – централизованное управление сетью и виртуализация сетевых функций. Иногда такое решение называют vCGNAT. К его основным достоинствам можно отнести:

  • Использование в качестве платформы виртуализации стандартных x86-серверов. Это недорого и универсально, на рынке присутствует довольно большое число производителей в разных ценовых категориях, ремонт и обслуживание таких серверов также не составляет проблем.
  • Модель потребления ресурсов Pay-as-you-Grow, которая дает высокую гибкость за счет виртуализации всех элементов архитектуры решения.
  • Легкая масштабируемость – в любой момент можно увеличить производительность системы, причем сделать это максимально быстро.
  • Интеграция с другими SDN-решениями и централизованное управление, если вы решили перевести на виртуальную платформу и другие сетевые функции.

Но не все так идеально. Несмотря на все преимущества, реализация решений такого типа довольно сложна и требует определенной подготовки. В первую очередь развитие технологий NFV/SDN и их внедрение на сетях операторов и сервис-провайдеров требуют больших инвестиций в инфраструктуру дата-центров. По оценке компании Infonetics, до 2018 года затраты на развитие NFV/SDN будут распределяться следующим образом:

NFV-SDN

Технология NFV достаточна молодая, поэтому могут возникнуть сложности со стандартизацией и совместимостью. Многие компании используют ее только как тестовый полигон, не доверяя обслуживание рабочих сервисов. Также возникают сложности в обосновании решения выбора виртуальных сетевых систем, так как в качестве примера сложно привести большое число реальных кейсов. Незнакомая платформа – риск для бизнеса.

Схема с резервным СКАТ

Так мы подошли к наиболее универсальному и простому решению – >CG-NAT на многофункциональной платформе системы управления и анализа трафиком DPI. Почему именно на ней?

Программное обеспечение DPI – довольно сложная разработка, для его написания требуются высококвалифицированные программисты с большим опытом. Поэтому программная часть CG-NAT в таком варианте надежна, оптимизированна и эффективна. Отечественные разработчики систем DPI, в частности и VAS Experts для своего СКАТ DPI используют стандартные x86-серверы. Более того, вы можете сами выбрать и купить оборудование либо использовать имеющееся, главное, чтобы оно удовлетворяло необходимым техническим требованиям (процессор, ОЗУ, сетевые платы с Bypass) и обладало достаточной производительностью. О преимуществе стандартной x86-платформы мы написали выше.

Помимо соответствия отраслевым стандартам, закрепленным в RFC 6888, RFC 4787, такое решение CG-NAT обладает всеми преимуществами отдельных устройств известных производителей:

  • Full Cone NAT (EIM/EIF);
  • использование функции Paired IP address pooling;
  • использование технологии Hairpinning;
  • установка лимитов на TCP- и UDP-соединений для абонента;
  • журналирование трансляций (протокол IPFIX) и экспорт данных в СОРМ-3.

Оператор связи или интернет-провайдер получает CG-NAT без дополнительной оплаты в составе версии Complete. Системы DPI сейчас устанавливают на свои сети многие операторы связи и интернет-провайдеры, это обусловлено необходимостью фильтрации URL по спискам Роскомнадзора, возможностью гибко управлять трафиком, оптимизируя доступную полосу пропускания, а также проводить аналитику сети в реальном времени. Исходя из этого возможность, купив DPI, получить в дополнение к нему высокопроизводительный CG-NAT выглядит очень интересным вариантом. Из конкурирующих платформ только Procera способна предложить CG-NAT в составе DPI-платформы, но их решение лицензируется отдельно и стоит дорого.

Такая система легко поддается модернизации, а производительность можно увеличить покупкой лицензий, а не дополнительных аппаратных модулей. А если учесть, что настройкой СКАТ DPI на вашей сети занимается сам производитель, а функция CG-NAT включается одной командой конфигурации, то процесс интеграции и запуска сокращается до минимума. Так как СКАТ DPI – это программное решение, то проверить его в работе достаточно просто: необходимо запросить дистрибутив у разработчика, установить на доступный совместимый сервер и только потом принимать решение.

Нельзя не упомянуть о минусах такого варианта CG-NAT: аппаратная платформа, выбираемая самостоятельно, может влиять на качество работы всей системы, CG-NAT – функция, в случае отказа которой сеть перестает работать, значит, требуется резервирование, а это дополнительное устройство СКАТ DPI.

Но даже несмотря на все эти минусы использование CG-NAT, встроенного в СКАТ DPI на базе стандартной x86-платформы, – простое и экономичное решение для трансляции сетевых адресов и портов, которое позволяет оператору связи предоставлять один публичный IPv4-адрес нескольким абонентами.

Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Experts – разработчика и поставщика системы анализа трафика СКАТ DPI.

Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.