Download - 2013 03 27 Juniper Scalable Nat Solution
УНИВЕРСАЛЬНАЯ СЕРВИСНАЯ ПЛАТФОРМА MX
CARRIER GRADE NAT
3 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ТЕМЫ
Основные темы
Проблема исчерпания адресов
Переход на IPv6, возможное решение проблемы
Трансляция адресов – неизбежное решение
проблемы исчерпания IPv4
– Устройства Juniper и решения на их основе
– Данные с реальных сетей, расчёт
масштабируемости
4 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
После кризиса 2008
Прогноз до кризиса 2008
Последствия кризиса 2008
СВОБОДНЫЕ БЛОКИ АДРЕСОВ ЗАКОНЧИЛИСЬ
Последний адресный блок IANA
выделен 1 Февраля 2011
Пулы региональных
регистраторов закончатся чуть
позже
0%
Самый популярный слайд 2011 года!
5 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
КТО ЗАИНТЕРЕСОВАН В ПЕРЕХОДЕ К IPV6?
Операторы Многие крайне заинтересованы, адресов не хватает,
трансляция стоит денег
Для операторов, обслуживающих корпоративных абонентов, наличие адресов IPv4 – вопрос выживания
Абоненты Заинтересованы очень слабо, некоторые
приложения работали бы лучше или бы проще настраивались (P2P)
Контент-провайдеры Практически не заинтересованы
6 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ПОПУЛЯРНОСТЬ IPV6: КОЛИЧЕСТВО МАРШРУТОВ
Источник: Geoff Houston http://bgp.potaroo.net/v6/as6447/
16 Октября 2012 IPv6/IPv4 = 2,46%
IPv6 маршрутов: 10923 IPv4 маршрутов: 443315
7 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ДАННЫЕ ПО ОБЪЁМАМ ТРАФИКА
Источник: Arbor Networks, 19 Апреля 2011, Six Months, Six Providers and IPv6,
http://asert.arbornetworks.com/2011/04/six-months-six-providers-and-ipv6/
Трафик IPv6 составляет
менее 0,2% от всего
объёма
8 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ПОЧЕМУ ВАЖНО ЗНАТЬ ДИНАМИКУ РОСТА ТРАФИКА IPV6
Влияет на дизайн новых сетей
Оптимизировать сеть под IPv4?
Оптимизировать сеть под IPv6?
Влияет на решения по инвестициям в
существующие сети
Переделывать существующую сеть?
Или делать временные решения для обеспечения
IPv6-доступа?
9 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ВЫВОДЫ
Выводы
IPv4 для абонента нужно поддерживать обязательно – ещё
много лет
По сути, IPv6 не спасает от исчерпания IPv4 адресов, от
исчерпания IPv4-адресов спасает NAT
На IPv6 пока спроса нет, поддержка оператором нужна только
для страховки
10 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ JUNIPER NETWORKS
11 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Существующие инсталляции NAT
4 крупных проекта на территории России
Самый крупный – 350 тыс. одновременных абонентов
Примерно 600-700 тыс. активных ШПД абонентов в России
обслуживаются NAT-устройствами Juniper Networks
Технология развивалась на протяжении последних 8 лет
Широкий набор Application Layer Gateway
Балансировка нагрузки и отказоустойчивость
Масштабируемость
Поддержка DS-Lite, различных режимов NAT-traversal,
распределения портов и протоколирования сессий
ОПЫТ JUNIPER NETWORKS
12 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Вид трансляции Описание
NAT44 Трансляция 1:1, IPv4<->IPv4
NAPT44 Трансляция N:1, IPv4<->IPv4
NAPT64 Трансляция N:1, IPv4<->IPv6
Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4
NAT66 Трансляция 1:1, IPv6<->IPv6
NAPT66 Трансляция N:1, IPv6<->IPv6
Варианты NAT
13 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Функция Комментарий
Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам
функционировать в обход NAT. Паре адрес/порт назначается одна пара
внешний адрес/порт для множества сессий.
Распределение портов с
сохранением чётности, с
сохранением диапазона
См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений
(семантика чётности портов для RTP/RTCP) и диапазона портов (порты из
диапазона 0-1023 транслируются в порты из того же диапазона).
Ограничение на количество сессий
на адрес источника
Возможность ограничить число сессий от одного абонента
Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность
протоколирования только начала сессии. Протоколирование распределения
блока портов.
Блочное распределение портов Уменьшает количество событий для протоколирования.
Address Pooling Внешний адрес не меняется всё время активности абонента.
Распределение нагрузки между
модулями
Гибкое выделение трафика и распределение нагрузки между модулями
ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP
Средства NAT
Но одних функций недостаточно, нужно иметь хорошее решение
14 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Основные цели
Снижение стоимости решения
Резервирование элементов, выполняющих обработку пакетов по
схеме N+1 (ценой stateful-failover)
Улучшение утилизации устройств
Простая интеграция в сеть
Масштабирование
Линейное масштабирование до сотен миллионов сессий
Минимум действий при перенастройке
ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT
15 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
СТРОИТЕЛЬНЫЙ МАТЕРИАЛ Маршрутизаторы MX240, MX480, MX960
Карта MS-DPC
Значение NAPT44(4) NAPT44(4) – блочное
выделение портов
Всего потоков 17М 17М
Максимальная скорость
установления потоков
600 тыс/сек 1,2 млн/сек
Пропускная способность (IMIX) 18 Гбит/c 18 Гбит/c
Число абонентов 8,5 М 8,5 М
Задержка 60 мкс 60 мкс
Влияние протоколирования на
скорость создания новых потоков
Нет Нет
Время создания 4М потоков 7 секунд 7 секунд
Параметр MX240 MX480 MX960
Слотов 2+1 6 11+1
Пропускная способность 480 Гбит/c 1,44 ТБит/c 2,64 ТБит/c
Портов 10GE (на скорости канала) 24 72 132
16 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ОБНОВЛЕНИЕ AS-MPC И AS-MIC
L4-7 Services IPSEC, Stateful Firewall, NAT, MLPPP, MLFR
AS-MPC Overview
4x NPUs
Inline Software Development Kit
Very high scale/feature performance for NG Mobility
Up to 60Gbps of services capacity
Trio based inline offload
AS-MIC Overview
One NPU per MIC
Compatible with MX80 family – services slot
Up to 10Gbps of services capacity
In addition to TRIO
Inline Services GRE, IPIP tunnels
JFLOW, NAT
BFD, Ethernet OAM
2H 2013
2H 2013
17 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ПРОИЗВОДИТЕЛЬНОСТЬ
For per MPC scaling, multiply by four.
Description
MS-DPC
MS- MIC - 16G MS-MPC - Per
NPU per NPU
NAT
Max flows*(Millions) 8 14 30
PPS(Mpps) 2 2 2
Throughput(Gbps) 9 9 14
Flow setup rate*(flows/sec) 200K 180K 240K
18 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
CPE
BNG
CPE
BNG Магистраль
сети
MX
MX
MX
Интернет
Трафик поступает с
PE/BNG устройств и
отправляется по одному
маршруту по умолчанию
в технологическом VRF
1 На MX фермы трафик
расходится по трём
устройствам (за каждым
закреплены свои адресные
блоки) через 6
технологических VRF (всего
6 разных пар active/backup)
2
На каждом из устройств в
отдельности выполняется
балансировка нагрузки
между NPU MS-DPC (по
адресу источника)
3
СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И БОЛЕЕ УСТРОЙСТВ
Кстати, схему балансировки можно использовать не только для NAT, но
и для других приложений.
19 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ СЕССИЙ
20 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ
regress@kevlar# show services service-set ss1 { syslog { host local; options { + session-open; + session-close; + packet-logs; + stateful-firewall-logs; + alg-logs; + nat-logs; + ids-logs; } } } }
Ограничение по числу
сообщений в секунду
Выборочная отправка
сообщений об
открытии/закрытии сессии
Уменьшение объёма
сообщений с 200 байт до 80
байт
21 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ РАСПРЕДЕЛЕНИИ ПОРТОВ
Поведение по умолчанию – случайное
распределение портов
Оценка:
Хорошая утилизация пула
Одна запись в журнале на сессию
Никаких проблем с безопасностью
Распределение портов (цвет обозначает абонента)
Высокий
Объ
ём
пр
ото
кол
ир
ова
ни
я
Безо
пасность
Ути
ли
зац
ия п
ула
Низкий
22 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
При создании сессии, для абонента выделяется целый блок
портов. Порт выбирается случайным образом из этого блока.
Последующие запросы на распределение порта
обслуживаются из этого блока. Неактивные блоки (без
занятых портов) освобождаются.
Записи генерируются только для события выделения и
освобождения блока.
Оценка:
Можно подстраивать размер блока/степень
безопасности/протоколирования
Сокращает существенно объём протоколирования
Высокий
Низкий
Объ
ём
пр
ото
кол
ир
ова
ни
я
Безо
пасность
Ути
ли
зац
ия п
ула
Распределение портов (цвет обозначает абонента)
23 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
Параметры, которые можно менять
Размер блока
Число блоков на абонента
Для повышенной безопасности, таймаут распределения блоков
Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.
ALG также поддерживаются
services { nat { pool pool1 { address-range low 32.32.32.1 high 32.32.32.32; port { automatic { random-allocation; } + block-allocation { + block-size 256; /* Min 64, Max 64512, default 128 */ + max-blocks-per-user 8; /* Max 2048, default 8 */ + active-block-timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */ + } } address-allocation round-robin; } } }
Высокий
Низкий
Объ
ём
пр
ото
кол
ир
ова
ни
я
Безо
пасность
Ути
ли
зац
ия п
ула
Спасибо!
25 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ДОСТУП К IPV4 РЕСУРСАМ ЧЕРЕЗ IPV6
26 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ПРЕДОСТАВЛЕНИЕ IPV6 УСЛУГ НА БАЗЕ IPV6 СЕРВЕРОВ
LB6 LB4 LB4/6
IPv6 сервера
Выделенные
IPv6-балансировщики
IPv6 сервера
Комбинированные
IPv4/IPv6-балансировщики
Нельзя предоставить IPv6 услуги до тех пока все сети не будут поддерживать IPv6
IPv4 IPv6 IPv4 IPv6
27 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ПРЕДОСТАВЛЕНИЕ IPV6-УСЛУГ НА БАЗЕ IPV4-СЕРВЕРОВ
LB4/6
NAT64
IPv4 сервера
IPv4/IPv6 инфраструктура
(балансировка)
c NAT64
IPv4 сервера
IPv4 балансировщик
NAT64 в перед балансировщиком
(позволяет постепенно внедрять IPv6)
Хорошо, что пока IPv6-трафика не так
много
NAT64 LB4
Задача: отделить IPv6-внедрение на сети от внедрения IPv6 на серверах
IPv4
IPv6
IPv4 IPv6
28 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ДОСТУП К WWW.JUNIPER.NET ПО IPV6
http://ipv6.juniper.net доступен по IPv6 с 8-го Января 2010 г.
Используется NAT64 трансляция
Используется тот же IPv4-сервер
29 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ПОСТАНОВКА ЗАДАЧИ: СДЕЛАТЬ БЫСТРО ДОСТУПНЫМ КОНТЕНТ ЧЕРЕЗ IPV6
Как обеспечить доступность сервера example.com через IPv6
быстро и с минимальными затратами?
☐ Сделать все Dual-Stack (сеть, инфраструктура, сервера)
☐ Сделать сеть dual-stack и оставить сервер IPv4
(проще, поскольку часто департаменты ИТ и сети отделены)
Ничего не трогать и ждать пока кто-то решит проблему...
IPv6->IPv4 транслятор может существенно
упростить переход
30 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
ПРОЧИЕ ТЕХНОЛОГИЧЕСКИЕ ДЕТАЛИ
31 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
CARRIER GRADE NAT (CGN) 444
Таблица CPE NAT Таблица CGN NAT
ВХ: 192.168.1.3 + порт 12345 ВХ: 10.6.7.8 + порт 23456 ВЫХ: 10.6.7.8 + порт: 23456 ВЫХ: 1.2.3.4 + порт 45678
Пакет IPv4
IPv4 src: 192.168.1.3
IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 dst порт: 80
Пакет IPv4
IPv4 src: 10.6.7.8
(серые адреса RFC1918)
IPv4 dst: 88.221.183.148
IPv4 src порт: 23456
IPv4 dst порт: 80
Пакет IPv4
IPv4 src: 1.2.3.4
(адрес из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 src порт: 45678
IPv4 dst порт: 80
www.juniper.net
88.221.183.148
IPv4 CPE
NAT
192.168.1.3
Интернет
IPv4
CGN
NAT
32 Copyright © 2009 Juniper Networks, Inc. www.juniper.net
NAT 64
Таблица трансляции NAT64
ВХ: 2001:db8::1 + порт 12345 ВЫХ: 1.2.3.4 + порт 45678
Пакет IPv6
IPv6 src: 2001:db8::1
IPv6 dst: 2009:db9:7
(AAAA имя через DNS64 www.juniper.net)
IPv6 src порт: 12345
IPv6 dst порт: 80
Пакет IPv4
IPv4 src: 1.2.3.4
(из пула ISP)
IPv4 dst: 88.221.183.148
IPv4 src порт: 45678
IPv4 dst порт: 80
www.juniper.net
88.221.183.148
IPv6 CPE 2001:db8::1
Интернет
IPv4
NAT64
33 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ВАРИАНТЫ ПЕРЕХОДА НА IPV6
34 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ВАРИАНТ 1. МАРКЕТИНГ + СТРАХОВКА.
По прежнему в основном предоставляем услугу IPv4
Туннелируем через сеть трафик IPv6 с помощью технологии 6RD
– для желающих
Минимум вложений
Правда, нужен 6RD-клиент на CPE
В стандарте описан случай автоматической настройки CPE по
DHCP
IPv4 CPE
Интернет
IPv6
6rd relay
Интернет
IPv4 ASBR
IPv4-сеть
оператора
Адресация IPv4
Адресация IPv6
Двойной стек
Туннель с трафиком IPv6
35 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
КАК РАБОТАЕТ IPV6 RAPID DEPLOYMENT (6RD)
Таблица трансляции отсутствует
6rd не хранит состояния сессий – адрес IPv4 CPE кодируется внутри адреса IPv6 абонентской машины.
ipv6.juniper.net
2620:12:0:102::10
IPv4 CPE
6rd
10.100.100.1
2001:db8:6464:100::1
Интернет
IPv6
6rd relay
Пакет IPv6 IPv6 src: 2001:db8:6464:100:1 IPv6 dst: 2620:12:0:102::10 IPv6 src порт: 12345 IPv6 dst порт: 80
Пакет IPv4
IPv4 src: 10.10.100.1
IPv4 dst: Адрес 6rd relay
Пакет IPv6
IPv6 src: 2001:db8::1
IPv6 dst: 2620:12:0:102::10 IPv6
src порт: 12345
IPv6 dst порт: 80
Пакет IPv6 IPv6 src: 2001:db8:6464:100:1
IPv6 dst: 2620:12:0:102::10
IPv6 src порт: 12345
IPv6 dst порт: 80
36 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ВАРИАНТ 2. IPV4+IPV6 В КАЖДЫЙ ДОМ.
Предоставляем IPv4 и IPv6 адресацию – двойной стек
PPPoE двойной стек
DHCPv4 + DHCPv6
Вообще, в обычной модели, конечно терминируем L3 на
BRAS/BSR
CPE (если есть)
Интернет
IPv6
Интернет
IPv4 ASBR
IPv4/IPv6 - сеть
оператора
Адресация IPv4
Адресация IPv6
Двойной стек
37 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
ВАРИАНТ 3. МЫ ВЕРИМ В IPV6. И У НАС КОНЧИЛИСЬ АДРЕСА IPV4.
Предоставляем IPv4 и IPv6 адресацию – двойной стек но только
между абонентом и CPE
Вся внутренняя инфраструктура оператора – IPv6
Трафик IPv4 туннелируем до т.н. Address Family Translation Router
с помощью технологии Dual Stack Lite (DS-Lite)
DS-Lite = IPinIP туннелирование + NAT 44
Правда, трафик IPv4 скрыт от BRAS/BSR –
нельзя применять IPv4-политики
IPv6 CPE
Интернет
IPv6
ASBR
Интернет
IPv4 AFTR
IPv6-сеть
оператора
Адресация IPv4
Адресация IPv6
Двойной стек Туннель с трафиком IPv4
38 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
DUAL STACK LITE (DS-LITE)
Таблица трансляции AFTR
ВХ: IPv6 адрес CPE + 192.168.1.3 + порт 12345 ВЫХ: 1.2.3.4 + порт 45678
www.juniper.net
88.221.183.148
IPv6 CPE
DS-Lite
192.168.1.3
Интернет
IPv4
AFTR
Пакет IPv4
IPv4 src: 192.168.1.3
IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 dst порт: 80
Пакет IPv6
IPv6 src: IPv6 адрес CPE
IPv6 dst: IPv6 адрес AFTR
Пакет IPv4
IPv4 src: 1.2.3.4
(из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 src порт: 45678
IPv4 dst порт: 80
Пакет IPv4
IPv4 src: 192.168.1.3
IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 dst порт: 80