Juniper scalable NAT-solution

МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО
СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ
JUNIPER NETWORKS

Пинаев Андрей
apinaev@juniper.net
18 октября 2012 года

ТЕМЫ ВСТРЕЧИ

Основные темы
 Проблема исчерпания адресов
 Переход на IPv6, возможное решение проблемы
 Трансляция адресов – неизбежное решение
проблемы исчерпания IPv4
– Устройства Juniper и решения на их основе
– Данные с реальных сетей, расчёт
масштабируемости

2 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

СВОБОДНЫЕ БЛОКИ АДРЕСОВ ЗАКОНЧИЛИСЬ

Последний адресный блок IANA
выделен 1 Февраля 2011
Пулы региональных
регистраторов закончатся чуть
позже

Последствия кризиса 2008
Прогноз до кризиса 2008
После кризиса 2008

0%

Самый популярный слайд 2011 года!


КТО ЗАИНТЕРЕСОВАН В ПЕРЕХОДЕ К IPV6?

Операторы
 Многие крайне заинтересованы, адресов не хватает,
трансляция стоит денег
 Для операторов, обслуживающих корпоративных
абонентов, наличие адресов IPv4 – вопрос
выживания
Абоненты
 Заинтересованы очень слабо, некоторые
приложения работали бы лучше или бы проще
настраивались (P2P)
Контент-провайдеры
 Практически не заинтересованы


ПОПУЛЯРНОСТЬ IPV6: КОЛИЧЕСТВО МАРШРУТОВ

IPv4 маршрутов: 443315 IPv6 маршрутов: 10923

Источник: Geoff Houston http://bgp.potaroo.net/v6/as6447/ IPv6/IPv4 = 2,46%
16 Октября 2012


ПРОВЕРКА СЕРЬЁЗНОСТИ НАМЕРЕНИЙ КОНТЕНТ-
ПРОВАЙДЕРОВ
Время загрузки страницы по IPv6 по сравнению со
временем загрузки по IPv4
Сайт Рейтинг Время загрузки Время загрузки Разница Качество работы с IPv6,
(Первые 1000) Alexa IPv4, мс IPv6, мс IPv6/IPv4
google.com 1 196 344 76%
по времени загрузки,
google.com.hk 18 205 331 61% не сравнимо с IPv4.
google.co.jp 28 200 369 85%
google.cn 87 519 1333 157%
netflix.com 121 287 322 12%
free.fr 167 1192 1165 -2%
comcast.net 186 838 528 -37%
scribd.com 252 419 667 59%
seznam.cz 286 1083 1015 -6%
comcast.com 390 338 478 42%
nu.nl 524 964 2627 173%
softlayer.com 578 188 306 63%
sapo.pt 647 1814 6722 271%
opera.com 753 758 1054 39%
telegraaf.nl 802 4106 6903 68%
novinky.cz 901 1216 3634 199%
doctissimo.fr 906 1352 3199 137%
01net.com 939 1212 2397 98%

Источник: Comcast IPv6 Monitor, http://ipv6monitor.comcast.net


ДАННЫЕ ПО ОБЪЁМАМ ТРАФИКА
Трафик IPv6 составляет
менее 0,2% от всего
объёма

Источник: Arbor Networks, 19 Апреля 2011, Six Months, Six Providers and IPv6,
http://asert.arbornetworks.com/2011/04/six-months-six-providers-and-ipv6/

ПОЧЕМУ ВАЖНО ЗНАТЬ ДИНАМИКУ РОСТА
ТРАФИКА IPV6

 Влияет на дизайн новых сетей
 Оптимизировать сеть под IPv4?
 Оптимизировать сеть под IPv6?
 Влияет на решения по инвестициям в
существующие сети
 Переделывать существующую сеть?
 Или делать временные решения для обеспечения
IPv6-доступа?


ПОЧЕМУ НЕЛЬЗЯ ПРЕДОСТАВЛЯТЬ АБОНЕНТУ
ТОЛЬКО IPV6?
Из-за абонентских систем и приложений
 Поддержка в устройствах и ОС отсутствует или не настроена
 Терминальные устройства (CPE, мобильные телефоны)
 ОС (Windows 95/98/2000/XP)
 Программное обеспечение
 Skype
 Онлайн-игры
 Системы удалённого доступа в корпоративную сеть
 Системы банк-клиент
 Сети корпоративных абонентов
 Оборудование не имеет поддержки IPv6
 Или не настроено
 Или нет денег на его настройку

По этим же причинам, вряд ли в ближайшем времени появится
востребованный ресурс, доступный только по IPv6

НЕСКОЛЬКО ПРОСТЫХ ВЫВОДОВ..
Выводы
 IPv4 для абонента нужно поддерживать обязательно – ещё
много лет
 По сути, IPv6 не спасает от исчерпания IPv4 адресов, от
исчерпания IPv4-адресов спасает NAT
 На IPv6 пока спроса нет, поддержка оператором нужна только
для страховки


МАСШТАБИРУЕМОЕ РЕШЕНИЕ ПО
СЕТЕВОЙ ТРАНСЛЯЦИИ АДРЕСОВ
JUNIPER NETWORKS

ОПЫТ JUNIPER NETWORKS

Существующие инсталляции NAT
 4 крупных проекта на территории России
 Самый крупный – 350 тыс. одновременных абонентов
 Примерно 600-700 тыс. активных ШПД абонентов в России
обслуживаются NAT-устройствами Juniper Networks
Технология развивалась на протяжении последних 8 лет
 Широкий набор Application Layer Gateway
 Балансировка нагрузки и отказоустойчивость
 Масштабируемость
 Поддержка DS-Lite, различных режимов NAT-traversal,
распределения портов и протоколирования сессий


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Варианты NAT
Вид трансляции Описание
NAT44 Трансляция 1:1, IPv4<->IPv4
NAPT44 Трансляция N:1, IPv4<->IPv4
Twice NAT, RFC 2663 Двойная трансляция, IPv4 <-> IPv4
NAT66 Трансляция 1:1, IPv6<->IPv6


НАИБОЛЕЕ ПОЛНАЯ РЕАЛИЗАЦИЯ NAT
Средства NAT
Функция Комментарий
Endpoint Independent Mapping Средство NAT-traversal, позволяющее абонентским системам
функционировать в обход NAT. Паре адрес/порт назначается одна пара
внешний адрес/порт для множества сессий.
Распределение портов с См. RFC 4787. Обеспечивает устойчивую работу голосовых приложений
сохранением чётности, с (семантика чётности портов для RTP/RTCP) и диапазона портов (порты из
сохранением диапазона диапазона 0-1023 транслируются в порты из того же диапазона).
Ограничение на количество сессий Возможность ограничить число сессий от одного абонента
на адрес источника
Протоколирование сессий, syslog Протоколирование без влияния на производительность. Возможность
протоколирования только начала сессии. Протоколирование распределения
блока портов.
Блочное распределение портов Уменьшает количество событий для протоколирования.
Address Pooling Внешний адрес не меняется всё время активности абонента.
Распределение нагрузки между Гибкое выделение трафика и распределение нагрузки между модулями
модулями
ALG Порядка 20 ALG, среди них наиболее популярные: FTP, RTSP, PPTP

Но одних функций недостаточно, нужно иметь хорошее решение


ТРЕБОВАНИЯ К СОВРЕМЕННЫМ РЕШЕНИЯМ NAT

Основные цели
 Снижение стоимости решения
 Резервирование элементов, выполняющих обработку пакетов по
схеме N+1 (ценой stateful-failover)
 Улучшение утилизации устройств
 Простая интеграция в сеть
 Масштабирование
 Линейное масштабирование до сотен миллионов сессий
 Минимум действий при перенастройке


СТРОИТЕЛЬНЫЙ МАТЕРИАЛ
Маршрутизаторы MX240, MX480, MX960
Параметр MX240 MX480 MX960
Слотов 2+1 6 11+1
Пропускная способность 480 Гбит/c 1,44 ТБит/c 2,64 ТБит/c
Портов 10GE (на скорости канала) 24 72 132

Карта MS-DPC
NAPT44(4) – блочное
Значение NAPT44(4)
выделение портов
Всего потоков 17М 17М
Максимальная скорость 600 тыс/сек 1,2 млн/сек
установления потоков
Пропускная способность (IMIX) 19 Гбит/c 19 Гбит/c
Число абонентов 8,5 М 8,5 М
Задержка 60 мкс 60 мкс
Влияние протоколирования на Нет Нет
скорость создания новых потоков
Время создания 4М потоков 7 секунд 7 секунд


СХЕМ ОРГАНИЗАЦИИ СВЯЗИ, NAT-ФЕРМА ИЗ 3-Х И
БОЛЕЕ УСТРОЙСТВ

MX
CPE BNG Магистраль
сети
Интернет

CPE MX

BNG
MX
1 2 3
На MX фермы трафик
Трафик поступает с расходится по трём На каждом из устройств в
PE/BNG устройств и устройствам (за каждым отдельности выполняется
отправляется по одному закреплены свои адресные балансировка нагрузки
маршруту по умолчанию блоки) через 6 между NPU MS-DPC (по
в технологическом VRF технологических VRF (всего адресу источника)
6 разных пар active/backup)
Кстати, схему балансировки можно использовать не только для NAT, но
и для других приложений.

БАЛАНСИРОВКА НАГРУЗКИ МЕЖДУ УСТРОЙСТВАМИ
[edit firewall filter flt-spray] Фильтром распределяется
term t00 { трафик между N * (N-1) = 6
from { технологическими VRF.
//5 последних бит – 00000 Трафик выделяется по
source-address 0.0.0.0/0.0.0.31; последним битам адреса.
} Фильтр меняется только с
then { увеличением числа устройств
routing-instance ri-r1_primary-r2_backup; (N) в NAT-ферме – очень редко!
}
…

term t31 {
from {
//5 последних бит – 11111
source-address 0.0.0.31/0.0.0.31;
}
then {
routing-instance ri-r2_primary-r3_backup;
}


ОДНО УСТРОЙСТВО ПОДМЕНЯЕТ ДРУГОЕ
Настройка маршрутизатора R1
В таблице маршрутизации
[edit routing-instances]
apply-groups vrf-commmon;
VRF всегда два маршрута
// R1 – основной, R2 - запасной по умолчанию – один от
ri-r1_primary-r2_secondary { основного устройства, а
vrf-target target:100:101;
routing-options {
другой от резервного.
static { Выбирается только один с
route 0.0.0.0/0 next-hop [sp-1/3/0.1 sp-1/3/1.1]; лучшим preference – он
}
}
определяет основное
} устройство
// R1 – запасной, R2 - основной
ri-r2_primary-r1_secondary {
routing-options { Список sp- интерфейсов,
static { между которыми происходит
route 0.0.0.0/0 { балансировка в рамках
next-hop [sp-1/3/0.1 sp-1/3/1.1];
no-readvertise; одного устройства (хеш по
preference 180; source-адресу –
} настраивается отдельно)
}
}
}
// R2 – основной, R3 - запасной
ri-r2_primary-r3_secondary {
}

ПРОТОКОЛИРОВАНИЕ АБОНЕНТСКИХ
СЕССИЙ

ИЗБИРАТЕЛЬНОЕ ПРОТОКОЛИРОВАНИЕ

 Ограничение по числу regress@kevlar# show services
service-set ss1 {
сообщений в секунду syslog {
host local;
 Выборочная отправка options {
сообщений об + session-open;
+ session-close;
открытии/закрытии сессии + packet-logs;
 Уменьшение объёма + stateful-firewall-logs;
+ alg-logs;
сообщений с 200 байт до 80 + nat-logs;
байт +
}
ids-logs;

}
}
}


НЕСКОЛЬКО СЛОВ О СТАНДАРТНОМ
РАСПРЕДЕЛЕНИИ ПОРТОВ

Высокий
Поведение по умолчанию – случайное
распределение портов
Объём протоколирования

Оценка:
Утилизация пула
Безопасность

 Хорошая утилизация пула
 Одна запись в журнале на сессию
 Никаких проблем с безопасностью

Низкий

Распределение портов (цвет обозначает абонента)

NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
При создании сессии, для абонента выделяется целый блок
Высокий
портов. Порт выбирается случайным образом из этого блока.
Последующие запросы на распределение порта
обслуживаются из этого блока. Неактивные блоки (без

занятых портов) освобождаются.

Записи генерируются только для события выделения и
освобождения блока.
Оценка:
 Можно подстраивать размер блока/степень
безопасности/протоколирования
 Сокращает существенно объём протоколирования
Низкий

Распределение портов (цвет обозначает абонента)

NAT С БЛОЧНЫМ РАСПРЕДЕЛЕНИЕМ ПОРТОВ
Параметры, которые можно менять
 Размер блока
Высокий
 Число блоков на абонента
 Для повышенной безопасности, таймаут распределения блоков

Блочное распределение работает для TCP/UDP/ICMP, как и обычный NAPT44.

ALG также поддерживаются

services {
nat {
pool pool1 {
address-range low 32.32.32.1 high 32.32.32.32;
port {
automatic {
random-allocation;
}
+ block-allocation {
+ block-size 256; /* Min 64, Max 64512, default 128 */
+ max-blocks-per-user 8; /* Max 2048, default 8 */
Низкий + active-block-timeout 300; /* 0(default), Min 120secs, Max MAX_UINT */
+ }
}
address-allocation round-robin;
}
}
}


ДОСТУП К IPV4 РЕСУРСАМ ЧЕРЕЗ
IPV6

ПРЕДОСТАВЛЕНИЕ IPV6 УСЛУГ НА БАЗЕ IPV6
СЕРВЕРОВ
Нельзя предоставить IPv6 услуги до тех пока все сети не будут
поддерживать IPv6

IPv6 IPv4 IPv6
IPv4

LB4 LB6 LB4/6

IPv6 сервера IPv6 сервера
Выделенные Комбинированные
IPv6-балансировщики IPv4/IPv6-балансировщики

ПРЕДОСТАВЛЕНИЕ IPV6-УСЛУГ НА БАЗЕ IPV4-
СЕРВЕРОВ
Задача: отделить IPv6-внедрение на сети
от внедрения IPv6 на серверах
IPv6
IPv4
IPv4 IPv6

LB4 NAT64

LB4/6
NAT64

IPv4 сервера
IPv4 балансировщик
IPv4 сервера NAT64 в перед балансировщиком
IPv4/IPv6 инфраструктура (позволяет постепенно внедрять IPv6)
(балансировка) Хорошо, что пока IPv6-трафика не так
c NAT64 много

ДОСТУП К WWW.JUNIPER.NET ПО IPV6

http://ipv6.juniper.net доступен по IPv6 с 8-го Января 2010 г.
 Используется NAT64 трансляция
 Используется тот же IPv4-сервер


ПОСТАНОВКА ЗАДАЧИ:
СДЕЛАТЬ БЫСТРО ДОСТУПНЫМ КОНТЕНТ ЧЕРЕЗ IPV6

Как обеспечить доступность сервера example.com через IPv6
быстро и с минимальными затратами?
☐ Сделать все Dual-Stack (сеть, инфраструктура, сервера)

☐ Сделать сеть dual-stack и оставить сервер IPv4
(проще, поскольку часто департаменты ИТ и сети отделены)

 Ничего не трогать и ждать пока кто-то решит проблему...

IPv6->IPv4 транслятор может существенно
упростить переход


ПРОЧИЕ ТЕХНОЛОГИЧЕСКИЕ ДЕТАЛИ

CARRIER GRADE NAT (CGN) 444
Пакет IPv4 Пакет IPv4
Пакет IPv4
IPv4 src: 10.6.7.8 IPv4 src: 1.2.3.4
IPv4 src: 192.168.1.3
(серые адреса RFC1918) (адрес из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 dst: 88.221.183.148 IPv4 dst: 88.221.183.148
IPv4 src порт: 12345
IPv4 src порт: 23456 IPv4 src порт: 45678
IPv4 dst порт: 80
IPv4 dst порт: 80 IPv4 dst порт: 80

Интернет
IPv4
192.168.1.3 IPv4 CPE
CGN www.juniper.net
NAT 88.221.183.148
NAT

Таблица CPE NAT Таблица CGN NAT
ВХ: 192.168.1.3 + порт 12345 ВХ: 10.6.7.8 + порт 23456
ВЫХ: 10.6.7.8 + порт: 23456 ВЫХ: 1.2.3.4 + порт 45678


NAT 64

Пакет IPv6 Пакет IPv4
IPv6 src: 2001:db8::1 IPv4 src: 1.2.3.4
IPv6 dst: 2009:db9:7 (из пула ISP)
(AAAA имя через DNS64 www.juniper.net) IPv4 dst: 88.221.183.148
IPv6 src порт: 12345 IPv4 src порт: 45678
IPv6 dst порт: 80 IPv4 dst порт: 80

Интернет
IPv4
2001:db8::1 IPv6 CPE
NAT64 www.juniper.net
88.221.183.148

Таблица трансляции NAT64
ВХ: 2001:db8::1 + порт 12345
ВЫХ: 1.2.3.4 + порт 45678


ВАРИАНТЫ ПЕРЕХОДА НА IPV6

ВАРИАНТ 1. МАРКЕТИНГ + СТРАХОВКА.
 По прежнему в основном предоставляем услугу IPv4
 Туннелируем через сеть трафик IPv6 с помощью технологии 6RD
– для желающих
 Минимум вложений
 Правда, нужен 6RD-клиент на CPE
 В стандарте описан случай автоматической настройки CPE по
DHCP
Интернет
IPv6

IPv4-сеть 6rd relay
оператора
IPv4 CPE
Адресация IPv4
Адресация IPv6 Интернет
ASBR
Двойной стек IPv4
Туннель с трафиком IPv6

КАК РАБОТАЕТ IPV6 RAPID DEPLOYMENT (6RD)
Пакет IPv4
IPv4 src: 10.10.100.1
Пакет IPv6 IPv4 dst: Адрес 6rd relay Пакет IPv6
IPv6 src: 2001:db8:6464:100:1 IPv6 src: 2001:db8::1
IPv6 dst: 2620:12:0:102::10 Пакет IPv6 IPv6 dst: 2620:12:0:102::10 IPv6
IPv6 src порт: 12345 IPv6 src: 2001:db8:6464:100:1 src порт: 12345
IPv6 dst порт: 80 IPv6 dst: 2620:12:0:102::10 IPv6 dst порт: 80

Интернет
IPv6
2001:db8:6464:100::1 IPv4 CPE
6rd relay ipv6.juniper.net
6rd
2620:12:0:102::10
10.100.100.1

Таблица трансляции отсутствует
6rd не хранит состояния сессий – адрес IPv4 CPE
кодируется внутри адреса IPv6 абонентской машины.


ВАРИАНТ 2. IPV4+IPV6 В КАЖДЫЙ ДОМ.
 Предоставляем IPv4 и IPv6 адресацию – двойной стек
 PPPoE двойной стек
 DHCPv4 + DHCPv6
 Вообще, в обычной модели, конечно терминируем L3 на
BRAS/BSR

Интернет
IPv6
IPv4/IPv6 - сеть
оператора
CPE (если есть)
ASBR Интернет
Адресация IPv4 IPv4
Двойной стек


ВАРИАНТ 3. МЫ ВЕРИМ В IPV6. И У НАС КОНЧИЛИСЬ
АДРЕСА IPV4.
 Предоставляем IPv4 и IPv6 адресацию – двойной стек но только
между абонентом и CPE
 Вся внутренняя инфраструктура оператора – IPv6
 Трафик IPv4 туннелируем до т.н. Address Family Translation Router
с помощью технологии Dual Stack Lite (DS-Lite)
 DS-Lite = IPinIP туннелирование + NAT 44
 Правда, трафик IPv4 скрыт от BRAS/BSR –
Интернет
нельзя применять IPv4-политики IPv6

IPv6-сеть ASBR
оператора
IPv6 CPE
Адресация IPv6 Интернет
AFTR
Двойной стек IPv4
Туннель с трафиком IPv4

DUAL STACK LITE (DS-LITE)
Пакет IPv6
IPv6 src: IPv6 адрес CPE Пакет IPv4
Пакет IPv4 IPv6 dst: IPv6 адрес AFTR IPv4 src: 1.2.3.4
IPv4 src: 192.168.1.3
Пакет IPv4 (из пула оператора)
IPv4 dst: 88.221.183.148
IPv4 src: 192.168.1.3 IPv4 dst: 88.221.183.148
IPv4 dst: 88.221.183.148 IPv4 src порт: 45678
IPv4 src порт: 12345 IPv4 dst порт: 80

Интернет
IPv4
192.168.1.3 IPv6 CPE
AFTR www.juniper.net
DS-Lite 88.221.183.148

Таблица трансляции AFTR
ВХ: IPv6 адрес CPE + 192.168.1.3 + порт 12345
ВЫХ: 1.2.3.4 + порт 45678


Juniper scalable NAT-solution

More Related Content

What's hot (20)

Viewers also liked (20)

Similar to Juniper scalable NAT-solution (20)

More from Sergii Liventsev (7)

Juniper scalable NAT-solution