2013 03 27 Juniper Scalable Nat Solution

УНИВЕРСАЛЬНАЯ СЕРВИСНАЯ ПЛАТФОРМА MX

CARRIER GRADE NAT

3 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

ТЕМЫ

Основные темы

Проблема исчерпания адресов

Переход на IPv6, возможное решение проблемы

Трансляция адресов – неизбежное решение

проблемы исчерпания IPv4

– Устройства Juniper и решения на их основе

– Данные с реальных сетей, расчёт

масштабируемости


После кризиса 2008

Прогноз до кризиса 2008

Последствия кризиса 2008

СВОБОДНЫЕ БЛОКИ АДРЕСОВ ЗАКОНЧИЛИСЬ

Последний адресный блок IANA

выделен 1 Февраля 2011

Пулы региональных

регистраторов закончатся чуть

позже

0%

Самый популярный слайд 2011 года!


КТО ЗАИНТЕРЕСОВАН В ПЕРЕХОДЕ К IPV6?

Операторы Многие крайне заинтересованы, адресов не хватает,

трансляция стоит денег

Для операторов, обслуживающих корпоративных абонентов, наличие адресов IPv4 – вопрос выживания

Абоненты Заинтересованы очень слабо, некоторые

приложения работали бы лучше или бы проще настраивались (P2P)

Контент-провайдеры Практически не заинтересованы


ПОПУЛЯРНОСТЬ IPV6: КОЛИЧЕСТВО МАРШРУТОВ

Источник: Geoff Houston http://bgp.potaroo.net/v6/as6447/

16 Октября 2012 IPv6/IPv4 = 2,46%

IPv6 маршрутов: 10923 IPv4 маршрутов: 443315

http://bgp.potaroo.net/v6/as6447/


ДАННЫЕ ПО ОБЪЁМАМ ТРАФИКА

Источник: Arbor Networks, 19 Апреля 2011, Six Months, Six Providers and IPv6,

http://asert.arbornetworks.com/2011/04/six-months-six-providers-and-ipv6/

Трафик IPv6 составляет

менее 0,2% от всего

объёма













ПОЧЕМУ ВАЖНО ЗНАТЬ ДИНАМИКУ РОСТА ТРАФИКА IPV6

Влияет на дизайн новых сетей

Оптимизировать сеть под IPv4?

Оптимизировать сеть под IPv6?

Влияет на решения по инвестициям в

существующие сети

Переделывать существующую сеть?

Или делать временные решения для обеспечения

IPv6-доступа?


ВЫВОДЫ

Выводы

IPv4 для абонента нужно поддерживать обязательно – ещё

много лет

По сути, IPv6 не спасает от исчерпания IPv4 адресов, от

исчерпания IPv4-адресов спасает NAT

На IPv6 пока спроса нет, поддержка оператором нужна только

для страховки


МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ JUNIPER NETWORKS


Существующие инсталляции NAT

4 крупных проекта на территории России

Самый крупный – 350 тыс. одновременных абонентов

Примерно 600-700 тыс. активных ШПД абонентов в России

обслуживаются NAT-устройствами Juniper Networks

Технология развивалась на протяжении последних 8 лет

Широкий набор Application Layer Gateway

Балансировка нагрузки и отказоустойчивость

Масштабируемость

Поддержка DS-Lite, различных режимов NAT-traversal,

распределения портов и протоколирования сессий

ОПЫТ JUNIPER NETWORKS


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT

Вид трансляции Описание

NAT44 Трансляция 1:1, IPv4<->IPv4

NAPT44 Трансляция N:1, IPv4<->IPv4


Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4

NAT66 Трансляция 1:1, IPv6<->IPv6


Варианты NAT


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT

Функция Комментарий

Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам

функционировать в обход NAT. Паре адрес/порт назначается одна пара

внешний адрес/порт для множества сессий.

Распределение портов с

сохранением чётности, с

сохранением диапазона

См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений

(семантика чётности портов для RTP/RTCP) и диапазона портов (порты из

диапазона 0-1023 транслируются в порты из того же диапазона).

Ограничение на количество сессий

на адрес источника

Возможность ограничить число сессий от одного абонента

Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность

протоколирования только начала сессии. Протоколирование распределения

блока портов.

Блочное распределение портов Уменьшает количество событий для протоколирования.

Address Pooling Внешний адрес не меняется всё время активности абонента.

Распределение нагрузки между

модулями

Гибкое выделение трафика и распределение нагрузки между модулями

ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP

Средства NAT

Но одних функций недостаточно, нужно иметь хорошее решение


Основные цели

Снижение стоимости решения

Резервирование элементов, выполняющих обработку пакетов по

схеме N+1 (ценой stateful-failover)

Улучшение утилизации устройств

Простая интеграция в сеть

Масштабирование

Линейное масштабирование до сотен миллионов сессий

Минимум действий при перенастройке

ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT


СТРОИТЕЛЬНЫЙ МАТЕРИАЛ Маршрутизаторы MX240, MX480, MX960

Карта MS-DPC

Значение NAPT44(4) NAPT44(4) – блочное

выделение портов

Всего потоков 17М 17М

Максимальная скорость

установления потоков

600 тыс/сек 1,2 млн/сек

Пропускная способность (IMIX) 18 Гбит/c 18 Гбит/c

Число абонентов 8,5 М 8,5 М

Задержка 60 мкс 60 мкс

Влияние протоколирования на

скорость создания новых потоков

Нет Нет

Время создания 4М потоков 7 секунд 7 секунд

Параметр MX240 MX480 MX960

Слотов 2+1 6 11+1

Пропускная способность 480 Гбит/c 1,44 ТБит/c 2,64 ТБит/c

Портов 10GE (на скорости канала) 24 72 132


ОБНОВЛЕНИЕ AS-MPC И AS-MIC

L4-7 Services IPSEC, Stateful Firewall, NAT, MLPPP, MLFR

AS-MPC Overview

4x NPUs

Inline Software Development Kit

Very high scale/feature performance for NG Mobility

Up to 60Gbps of services capacity

Trio based inline offload

AS-MIC Overview

One NPU per MIC

Compatible with MX80 family – services slot

Up to 10Gbps of services capacity

In addition to TRIO

Inline Services GRE, IPIP tunnels

JFLOW, NAT

BFD, Ethernet OAM

2H 2013

2H 2013


ПРОИЗВОДИТЕЛЬНОСТЬ

For per MPC scaling, multiply by four.

Description

MS-DPC

MS- MIC - 16G MS-MPC - Per

NPU per NPU

NAT

Max flows*(Millions) 8 14 30

PPS(Mpps) 2 2 2

Throughput(Gbps) 9 9 14

Flow setup rate*(flows/sec) 200K 180K 240K


CPE

BNG

CPE

BNG Магистраль

сети

MX

MX

MX

Интернет

Трафик поступает с

PE/BNG устройств и

отправляется по одному

маршруту по умолчанию

в технологическом VRF

1 На MX фермы трафик

расходится по трём

устройствам (за каждым

закреплены свои адресные

блоки) через 6

технологических VRF (всего

6 разных пар active/backup)

2

На каждом из устройств в

отдельности выполняется

балансировка нагрузки

между NPU MS-DPC (по

адресу источника)

3

СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И БОЛЕЕ УСТРОЙСТВ

Кстати, схему балансировки можно использовать не только для NAT, но

и для других приложений.


ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ СЕССИЙ


ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ

regress@kevlar# show services service-set ss1 { syslog { host local; options { + session-open; + session-close; + packet-logs; + stateful-firewall-logs; + alg-logs; + nat-logs; + ids-logs; } } } }

Ограничение по числу

сообщений в секунду

Выборочная отправка

сообщений об

открытии/закрытии сессии

Уменьшение объёма

сообщений с 200 байт до 80

байт


НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ РАСПРЕДЕЛЕНИИ ПОРТОВ

Поведение по умолчанию – случайное

распределение портов

Оценка:

Хорошая утилизация пула

Одна запись в журнале на сессию

Никаких проблем с безопасностью

Распределение портов (цвет обозначает абонента)

Высокий

Объ

ём

пр

ото

кол

ир

ова

ни

я

Безо

пасность

Ути

ли

зац

ия п

ула

Низкий


NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ

При создании сессии, для абонента выделяется целый блок

портов. Порт выбирается случайным образом из этого блока.

Последующие запросы на распределение порта

обслуживаются из этого блока. Неактивные блоки (без

занятых портов) освобождаются.

Записи генерируются только для события выделения и

освобождения блока.

Оценка:

Можно подстраивать размер блока/степень

безопасности/протоколирования

Сокращает существенно объём протоколирования

Высокий

Низкий

Объ

ём

пр

ото

кол

ир

ова

ни

я

Безо

пасность

Ути

ли

зац

ия п

ула

Распределение портов (цвет обозначает абонента)


NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ

Параметры, которые можно менять

Размер блока

Число блоков на абонента

Для повышенной безопасности, таймаут распределения блоков

Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.

ALG также поддерживаются

services { nat { pool pool1 { address-range low 32.32.32.1 high 32.32.32.32; port { automatic { random-allocation; } + block-allocation { + block-size 256; /* Min 64, Max 64512, default 128 */ + max-blocks-per-user 8; /* Max 2048, default 8 */ + active-block-timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */ + } } address-allocation round-robin; } } }

Высокий

Низкий

Объ

ём

пр

ото

кол

ир

ова

ни

я

Безо

пасность

Ути

ли

зац

ия п

ула

Спасибо!


ДОСТУП К IPV4 РЕСУРСАМ ЧЕРЕЗ IPV6


ПРЕДОСТАВЛЕНИЕ IPV6 УСЛУГ НА БАЗЕ IPV6 СЕРВЕРОВ

LB6 LB4 LB4/6

IPv6 сервера

Выделенные

IPv6-балансировщики

IPv6 сервера

Комбинированные

IPv4/IPv6-балансировщики

Нельзя предоставить IPv6 услуги до тех пока все сети не будут поддерживать IPv6

IPv4 IPv6 IPv4 IPv6


ПРЕДОСТАВЛЕНИЕ IPV6-УСЛУГ НА БАЗЕ IPV4-СЕРВЕРОВ

LB4/6

NAT64

IPv4 сервера

IPv4/IPv6 инфраструктура

(балансировка)

c NAT64

IPv4 сервера

IPv4 балансировщик

NAT64 в перед балансировщиком

(позволяет постепенно внедрять IPv6)

Хорошо, что пока IPv6-трафика не так

много

NAT64 LB4

Задача: отделить IPv6-внедрение на сети от внедрения IPv6 на серверах

IPv4

IPv6

IPv4 IPv6


ДОСТУП К WWW.JUNIPER.NET ПО IPV6

http://ipv6.juniper.net доступен по IPv6 с 8-го Января 2010 г.

Используется NAT64 трансляция

Используется тот же IPv4-сервер

http://www.juniper.net/

http://ipv6.juniper.net

http://ipv6.juniper.net


ПОСТАНОВКА ЗАДАЧИ: СДЕЛАТЬ БЫСТРО ДОСТУПНЫМ КОНТЕНТ ЧЕРЕЗ IPV6

Как обеспечить доступность сервера example.com через IPv6

быстро и с минимальными затратами?

☐ Сделать все Dual-Stack (сеть, инфраструктура, сервера)

☐ Сделать сеть dual-stack и оставить сервер IPv4

(проще, поскольку часто департаменты ИТ и сети отделены)

Ничего не трогать и ждать пока кто-то решит проблему...

IPv6->IPv4 транслятор может существенно

упростить переход


ПРОЧИЕ ТЕХНОЛОГИЧЕСКИЕ ДЕТАЛИ


CARRIER GRADE NAT (CGN) 444

Таблица CPE NAT Таблица CGN NAT

ВХ: 192.168.1.3 + порт 12345 ВХ: 10.6.7.8 + порт 23456 ВЫХ: 10.6.7.8 + порт: 23456 ВЫХ: 1.2.3.4 + порт 45678

Пакет IPv4

IPv4 src: 192.168.1.3

IPv4 dst: 88.221.183.148

IPv4 src порт: 12345

IPv4 dst порт: 80

Пакет IPv4

IPv4 src: 10.6.7.8

(серые адреса RFC1918)

IPv4 dst: 88.221.183.148



Пакет IPv4

IPv4 src: 1.2.3.4

(адрес из пула оператора)

IPv4 dst: 88.221.183.148



www.juniper.net

88.221.183.148

IPv4 CPE

NAT

192.168.1.3

Интернет

IPv4

CGN

NAT



NAT 64

Таблица трансляции NAT64

ВХ: 2001:db8::1 + порт 12345 ВЫХ: 1.2.3.4 + порт 45678

Пакет IPv6

IPv6 src: 2001:db8::1

IPv6 dst: 2009:db9:7

(AAAA имя через DNS64 www.juniper.net)



Пакет IPv4

IPv4 src: 1.2.3.4

(из пула ISP)

IPv4 dst: 88.221.183.148



www.juniper.net

88.221.183.148

IPv6 CPE 2001:db8::1

Интернет

IPv4

NAT64




ВАРИАНТЫ ПЕРЕХОДА НА IPV6


ВАРИАНТ 1. МАРКЕТИНГ + СТРАХОВКА.

По прежнему в основном предоставляем услугу IPv4

Туннелируем через сеть трафик IPv6 с помощью технологии 6RD

– для желающих

Минимум вложений

Правда, нужен 6RD-клиент на CPE

В стандарте описан случай автоматической настройки CPE по

DHCP

IPv4 CPE

Интернет

IPv6

6rd relay

Интернет

IPv4 ASBR

IPv4-сеть

оператора

Адресация IPv4


Двойной стек

Туннель с трафиком IPv6


КАК РАБОТАЕТ IPV6 RAPID DEPLOYMENT (6RD)

Таблица трансляции отсутствует

6rd не хранит состояния сессий – адрес IPv4 CPE кодируется внутри адреса IPv6 абонентской машины.

ipv6.juniper.net

2620:12:0:102::10

IPv4 CPE

6rd

10.100.100.1

2001:db8:6464:100::1

Интернет

IPv6

6rd relay

Пакет IPv6 IPv6 src: 2001:db8:6464:100:1 IPv6 dst: 2620:12:0:102::10 IPv6 src порт: 12345 IPv6 dst порт: 80

Пакет IPv4

IPv4 src: 10.10.100.1

IPv4 dst: Адрес 6rd relay

Пакет IPv6

IPv6 src: 2001:db8::1

IPv6 dst: 2620:12:0:102::10 IPv6

src порт: 12345


Пакет IPv6 IPv6 src: 2001:db8:6464:100:1

IPv6 dst: 2620:12:0:102::10






ВАРИАНТ 2. IPV4+IPV6 В КАЖДЫЙ ДОМ.

Предоставляем IPv4 и IPv6 адресацию – двойной стек

PPPoE двойной стек

DHCPv4 + DHCPv6

Вообще, в обычной модели, конечно терминируем L3 на

BRAS/BSR

CPE (если есть)

Интернет

IPv6

Интернет

IPv4 ASBR

IPv4/IPv6 - сеть

оператора



Двойной стек


ВАРИАНТ 3. МЫ ВЕРИМ В IPV6. И У НАС КОНЧИЛИСЬ АДРЕСА IPV4.

Предоставляем IPv4 и IPv6 адресацию – двойной стек но только

между абонентом и CPE

Вся внутренняя инфраструктура оператора – IPv6

Трафик IPv4 туннелируем до т.н. Address Family Translation Router

с помощью технологии Dual Stack Lite (DS-Lite)

DS-Lite = IPinIP туннелирование + NAT 44

Правда, трафик IPv4 скрыт от BRAS/BSR –

нельзя применять IPv4-политики

IPv6 CPE

Интернет

IPv6

ASBR

Интернет

IPv4 AFTR

IPv6-сеть

оператора



Двойной стек Туннель с трафиком IPv4


DUAL STACK LITE (DS-LITE)

Таблица трансляции AFTR

ВХ: IPv6 адрес CPE + 192.168.1.3 + порт 12345 ВЫХ: 1.2.3.4 + порт 45678

www.juniper.net

88.221.183.148

IPv6 CPE

DS-Lite

192.168.1.3

Интернет

IPv4

AFTR

Пакет IPv4

IPv4 src: 192.168.1.3

IPv4 dst: 88.221.183.148



Пакет IPv6

IPv6 src: IPv6 адрес CPE

IPv6 dst: IPv6 адрес AFTR

Пакет IPv4

IPv4 src: 1.2.3.4

(из пула оператора)

IPv4 dst: 88.221.183.148



Пакет IPv4

IPv4 src: 192.168.1.3

IPv4 dst: 88.221.183.148




2013 03 27 Juniper Scalable Nat Solution

Documents

Transcript of 2013 03 27 Juniper Scalable Nat Solution