CG-NAT — Трансляция сетевых адресов

NAT (Network Address Translation — трансляция сетевых адресов и портов) — это механизм, который применяется в TCP/IP сетях и позволяет заменять частный (серый) IP-адрес на публичный (белый).
Carrier Grade NAT от VAS Experts — гибкое и экономически выгодное решение для Интернет-провайдеров, проверенное уже более чем в 1500 сетях. Решение позволяет прозрачно заменять приватный IP-адрес на публичный, и с помощью Dual Stack v4-v6 нивелировать ограничения NAT44. 

Адреса IPv4 из региональных интернет-регистраторов (RIR) больше не доступны. Единственный выход: приобрести большой пул IPv4-адресов у брокера. Из-за этого стоимость одного IPv4-адреса постоянно растет.

NAT значительно расширяет возможности сети. Поскольку сегодня лимит адресов IPv4 практически исчерпан, переход на IPv6 неизбежен. Быстрый рост числа используемых мобильных устройств и облачных сервисов делает эту задачу еще более актуальной.

Решение VAS Experts предназначено для интернет-провайдеров и операторов связи, но также подходит для замены устройств NAT в корпоративных сетях. Больше функций и больше возможностей платформы означает, что решение может вписаться в любую растущую сеть и адаптироваться к ней.

Carrier Grade NAT схема

Применение Carrier Grade NAT (или Large Scale NAT – LSN) позволяет оператору связи:

Предоставлять один публичный IPv4-адрес несколькими абонентами без потери качества интернет соединения — за одним публичным IP-адресом может разместить до 100 приватных (идеальное соотношение — 1:10)

Продлить использование ограниченного адресного пространства IPv4 и сократить расходы на покупку IPv4-адресов на 90%

Подготовиться к внедрению IPv6-адресации за счет поддержки Dual Stack v4-v6 (поддержки обеих версий протокола одновременно)

Особенности

В функции CG-NAT используется технология Full Cone NAT, разрешающая отправку пакетов, приходящих с любой внешней системы, по внешнему отображаемому порту TCP/UDP, который представляет собой источник трафика от абонента.

Full Cone NAT обеспечивает прозрачную работу пиринговых протоколов (например, P2P, торренты и игры).

Абоненты внутри NAT обращаются к публичным адресам друг друга без трансляции и пересылки пакетов за пределы устройства.

Для каждого пула IP-адресов индивидуально устанавливается лимит на количество TCP- и UDP-соединений для абонента, что позволяет оператору экономно распределять ресурсы адресного пространства между корпоративными и частными клиентами. При отсутствии активности неиспользуемые соединения закрываются, высвобождая порты.

Все соединения абонента с одного приватного адреса привязываются к одному публичному IP-адресу.

Сетевые трансляции записываются в текстовый файл или передаются на внешний коллектор по протоколу IPFIX (известному также, как NetFlow v10).

Платформа поддерживает до 128 миллионов одновременных сессий на каждом АПК и обрабатывает трафик до 120 Гбит/с.

Предсказуемое поведение NAT обеспечивается функциями Full Cone и HairPinning. Пользовательские квоты обеспечивают равномерное распределение публичных IP-портов между абонентами, а вирусы и вредоносные программы не могут истощить их ресурсы.

Для операторов важно поддерживать связность для всех прикладных услуг и пользователей, обеспечивая при этом целостность приложений. ALG следят за тем, чтобы протоколы — такие как FTP, TFTP, RTSP, PPTP, SIP, ICMP, H.323, ESP, MGCP и DNS — оставались работоспособными. Многие устаревшие реализации NAT не обеспечивают такого уровня прозрачности.

Интегрированная защита предотвращает прохождение огромного объема трафика многовекторных DDoS-атак. Решение CG-NAT обеспечивает максимальную работоспособность сетевых ресурсов для обработки абонентского трафика и предотвращения перерывов в обслуживании.

В CG-NAT поддержка VLAN экономит порты в оборудовании оператора и повышает эффективность использования NIC. Благодаря этому возможно определение входящего и исходящего трафика не по NIC, а по VLAN ID, что в свою очередь создает возможность использовать одну и ту же сетевую карту и для входящего, и для исходящего трафика. Эта опция особенно эффективна, когда используется вместе с LACP.

Link Aggregation Control Protocol позволяет объединять несколько физических портов для формирования единого логического канала и повышения отказоустойчивости.

При росте числа абонентов и объема пропускаемого трафика есть возможность динамического масштабирования и увеличения пропускной способности путем апгрейда сервера или наращивания количества виртуальных NAT в Telco Cloud.

Надежность решения гарантируется при помощи резервных режимов Active-Standby и Active-Active. В обоих вариантах задействовано два устройства: если первое (активное) выходит из строя, то трафик переключается на второе без потерь с помощью протоколов маршрутизации.

Типы

Решение VAS Experts поддерживает:

CG-NAT (NAT44)

Трансляция сетевых адресов и портов позволяет нескольким абонентам совместно использовать один публичный адрес IPv4 и расширяет использование ограниченного адресного пространства IPv4.

BiNAT (NAT 1:1)

Трансляция сетевых адресов 1-к-1 позволяет предоставить услугу статического публичного IP адреса без изменения настроек на CPE через трансляцию всех портов приватного адреса в один публичный адрес.

Техническая реализация

 

Опция
Характеристика
Производительность
Пропускная способность до 200 Гбит/сек
Режимы
NAT44, NAT 1:1
Routing
BGP, OSPF
Application Service Gateways (ALG)
FTP, DNS, PPTP, ICMP, IPSec, SIP, RTSP
Логирование
IPFIX (NetFlow v10), локальные файлы
Безопасность
Ограничение количества портов на одного пользователя, Mini-Firewall для публичных IP
  • Для реализации функции CG-NAT требуется включение СКАТ DPI по схеме «в разрыв».
  • Для обеспечения отказоустойчивости рекомендуется установка резервной платформы.
  • Для включения функции CG-NAT необходима лицензия СКАТ DPI BRAS или COMPLETE.
  • Производительность функции трансляции адресов зависит от выбранной аппаратной платформы и лицензии на ПО СКАТ DPI (от 6 до 200Гбит/с).

Варианты внедрения

Схема CGNAT

Классическая схема включения устройства CG-NAT в сеть — между BNG и роутером для обеспечения трансляции сетевых адресов. NAT log передается по протоколу IPFIX (NetFlow v10) на выделенный сервер или VM, где установлена база данный QoE Stor и GUI. Данное решение позволяет эффективно хранить и осуществлять поиск в NAT log.

Схема CGNAT+DPI

Мы предлагаем совместить функционал CG-NAT с DPI на одном устройстве, чтобы получить возможность не только транслировать адреса, но также распознавать и классифицировать трафик по протоколам и направлениям, использовать полисинг общего канала, размечать трафик, работать со статистикой (Full NetFlow и Clickstream).

Дополнительная информация об абонентах используется в отделах продаж, маркетинга и технической поддержки.

Схема CGNAT+DPI+BRAS

Наиболее выгодный вариант — совместить функциональность CG-NAT, DPI и BRAS на одном устройстве и таким образом построить гибкое и легко управляемое ядро сети — это значительно сокращает совокупную стоимость владения (TCO, Total Cost of Ownership) за счет компактности, высокой производительности, единообразного управления и эксплуатации.

В данной схеме, помимо трансляции сетевых адресов и глубокого анализа трафика также реализована авторизация IPoE/PPPoE абонентов, BGP/OSPF, интеграция с биллингом (AAA) осуществляется через PCRF.

Преимущества CG-NAT на базе СКАТ

 

  • Соответствует отраслевым стандартам, закрепленным в RFC 6888, RFC 4787
  • Эффективно использует ограниченное адресное пространство IPv4
  • Высокая производительность: платформа поддерживает до 128 миллионов одновременных сессий
  • Плавный переход на IPv6 благодаря поддержке туннелирования между сетями IPv4 и IPv6
  • Возможность динамического масштабирования и увеличения пропускной способности без прерывания трафика
  • Позволяет ограничивать количество портов TCP и UDP для абонента (защита от DDoS)
  • Полный набор средств и опций платформы СКАТ с централизованным управлением.

Оставьте запрос

Заполните форму
Мы свяжемся с вами, обсудим ваши задачи, предоставим доступ к документации и ответим на вопросы.
Выберите решение
Определим исходную ситуацию: объем трафика, доступное оборудование, необходимую функциональность.
Протестируйте
Наши инженеры установят программное обеспечение в вашу сеть и помогут с настройками. Договор — только после успешного тестирования.

Отзывы клиентов

Однозначно могу сказать, что найти более гибкое и эффективное телеком-решение крайне сложно. A в сочетании с внимательной службой поддержки клиентов, пожалуй, невозможно.
В целом, после принятия «философии» СКАТ внедрение прошло безболезненно. Cпасибо инженерам и разработчикам VAS Experts за терпеливое и тщательное объяснение принципов работы BRAS и подсказки, как лучше настроить функционал.
Стоимость СКАТ DPI оказалась ниже новых устройств от Juniper или CISCO, а реализация была очень быстрой. Сложностей при настройке не возникло. Мы планируем расширение сети в следующем году. Положительные результаты внедрения и модернизации СКАТ DPI в 2018 году не оставляют сомнений в том, что смена производителя DPI, BRAS и CG-NAT не требуется.
Мы не столкнулись с какими-то особыми проблемами во время внедрения СКАТ DPI. Те непонятные моменты с конфигурацией, которые возникали, быстро исправляли с помощью техподдержки VAS Experts.
В компании VAS Experts очень грамотные специалисты техподдержки: разъясняют любые вопросы, помогают с настройкой ПО, разбираются в возникающих непредвиденных ситуациях и находят из них выход.
Основная задача, которую мы решаем используя СКАТ DPI, – высокая стоимость внешнего канала, у нас это по сути монополия государства. Поэтому в первую очередь мы реализовали приоритизацию трафика. Блокировку запрещённых сайтов можно было осуществлять по IP-адресу, как это делают многие крупные государственные провайдеры, но мы выбрали блокировку по домену с помощью СКАТ DPI, что показало большую эффективность и надежность.
Раньше у нас были SCE, CGN. Сейчас у нас две «коробки», которые работают в хорошем смысле как комбайны, и умеют сокращать все действия до минимального набора сущностей. Спасибо инженерам VAS Experts за обеспечение быстрой и динамичной работы.
Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.