LÖSUNGSÜBERSICHT
Verbesserte Netzwerkskalierbarkeit mit BIG-IP CGNAT
Reibungslose und sichere IP-Adressenstrategie als Teil einer Folge von konsolidierten Funktionen.
Skalierbarkeit von Netzwerken der Carrier-Klasse
CGNAT sorgt für die Skalierbarkeit des Netzes, indem IPv4-Adressen erhalten bleiben und die IPv6-Migration erleichtert wird. Durch die Überbrückung von IPv4 und IPv6 wird sichergestellt, dass neue und bestehende Anwendungen auch bei steigendem Konnektivitätsbedarf von Verbrauchern und Geräten problemlos adressierbar sind.
Die Zuteilung von IPv4-Adressen ist überall auf der Welt zu Ende gegangen. Da die globalen IPv4-Adressen am Limit sind, müssen Service Provider auf IPv6 umsteigen. F5 BIG-IP Carrier-Grade NAT (CGNAT) unterstützt sowohl IPv6- als auch IPv4-Adressen ohne kostspielige Hardware-Upgrades.
CGNAT wird heute häufig als Teil einer Sicherheitsstrategie eingesetzt. BIG-IP CGNAT wird häufig mit BIG-IP Advanced Firewall Manager (AFM) kombiniert, um eine leistungsstarke Netzwerk-Firewall bereitzustellen, die auch Teilnehmeradressen maskieren kann. Diese Kombination ermöglicht es dem Service Provider, die Sicherheitsdienste für ausgehende Teilnehmer zu monetarisieren. BIG-IP AFM bietet eine umfassende Plattform für Sicherheit, indem es CGNAT, DDoS-Schutz (Distributed Denial-of-Service), ACLs (Access Control Lists) und IPS (Intrusion Prevention Systems) ermöglicht.
F5 konsolidiert diese Sicherheitskontrollen neben CGNAT im N6/S/Gi-LAN oder im Rechenzentrum. Dies führt zu einer einfacheren Verwaltung und einem einfacheren Betrieb, geringeren Betriebskosten und mehr Möglichkeiten zur Monetarisierung von Funktionen und Services. Diese Lösungen können als hochleistungsfähige Hardware-Appliance, als virtuelle Netzwerkfunktion (VNF), als Cloud-native Netzwerkfunktion (CNF) oder in einem hybriden Modus bereitgestellt werden.
Die wichtigsten Vorteile von BIG-IP CGNAT
1. Skalierung Ihres Netzwerks durch Verwaltung der IPV4-Adressenknappheit und IPV6-Migration mit flexiblen Bereitstellungsoptionen
Dienstanbieter stehen vor der Herausforderung, IPv4-Geräte und -Inhalte zu verwalten und gleichzeitig auf neuere IPv6-Geräte und -Anwendungen umzustellen. Da IPv6-Geräte und -Inhalte nicht rückwärtskompatibel mit IPv4 sind, müssen IPv6-Migrationsstrategien die Koexistenz beider unterstützen. BIG-IP CGNAT bietet Carrier-Grade-Skalierbarkeit mit einer hohen Anzahl von IP-Adressübersetzungen, schnellen NAT-Übersetzungs-Setup-Raten, hohem Durchsatz und Hochgeschwindigkeitsprotokollierung.
BIG-IP CGNAT ermöglicht es Ihnen, weiterhin IPv4-Konnektivität bereitzustellen und eine große Anzahl gleichzeitiger Sitzungen zu verarbeiten, während Sie die Erschöpfung von IPv4-Adressen verwalten und eine nahtlose Migration zu IPv6 planen. Die Funktionalität umfasst NAT im großen Maßstab, NAT 44 (NAPT, PAT, Port Block Allocation [PBA]), NAT 444, NAT64/DNS64, 464xlat, Port Control Protocol (PCP), Adress/Port Persistence, endpunkt-unabhängiges Mapping und Filtering (EIM/EIF), Hairpinning, PIM-DM und verschiedene Gateways der Anwendungsschicht, darunter FTP, SIP, RTSP, PPTP, FTPS, FTP über TLS, FTPS explicit, TFTP, IP Sec IKEv2 und ESP. Einer der größten Vorteile von CGNAT in einem Service-Provider-Netzwerk ist die Möglichkeit, große Blöcke von öffentlich routingfähigem IPv4-Adressraum aus dem Kunden-„Edge“-Netzwerk zurückzugewinnen und für die Nutzung in anderen Teilen des Netzwerks verfügbar zu machen – oder das Geschäft über die netzwerkeigenen IPv4-Zuweisungen hinaus zu erweitern. Bei der Verwendung von Port Block Allocation (PBA) ist es möglich, mit dem BIG-IP CGNAT-System eine Rendite von bis zu 35:1 für eine große NAT-Pool-Ressource (LSN) zu erzielen.
BIG-IP CGNAT verfügt über eine deterministische NAT-Funktion, die bestimmte private IP-Adressen auf öffentliche IP-Adressen abbildet und die Protokollierungsanforderungen reduziert. Durch die Hinzufügung des BIG-IP Policy Enforcement Manager (PEM) erhalten Netzbetreiber einen besseren Überblick darüber, was die Teilnehmer im Netzwerk tun, und können CGNAT-Konfigurationen mit Serviceplänen und zielgerichteten Richtlinien verknüpfen.
Abbildung 1: BIG-IP CGNAT bietet nahtlose Unterstützung für IPv4- und IPv6-Netzwerke, so dass Sie die Erschöpfung von IPv4 verwalten und auf IPv6 migrieren können, während Sie die Anwendungsbereitstellung, Verfügbarkeit, Leistung und Sicherheit zwischen beiden Netzwerktopologien an einem einzigen Standort transparent verwalten.
2. Skalierung für das Internet der Dinge (IoT)
Nach Angaben der GSMA wird es bis 2025 24,6 Milliarden IoT-Verbindungen geben, gegenüber 12 Milliarden im Jahr 2019. Die Unterstützung des IoT erfordert einen enormen Umfang. BIG-IP CGNAT hilft Dienstanbietern bei der effizienten Skalierung zur Unterstützung von Millionen von IoT-Geräten, die alle eine Netzwerkadresse benötigen – von vernetzten Autos über intelligente Häuser bis hin zu intelligenten Zählern. BIG-IP CGNAT kann auf mehrere Millionen IP-Adressübersetzungen skaliert werden, bietet Einrichtungsraten in der Größenordnung von einer Million pro Sekunde und bietet eine Leistung von mehreren Gigabit. Hochgeschwindigkeits-Protokollierungsfunktionen (HSL) verbessern die Leistung weiter. Das bedeutet, dass Sie Ihre Kosten senken können, da Sie Ihre Migrationsanforderungen mit weniger Servern im Netzwerk bewältigen können.
3. Sicherheit auf Carrier-Niveau
CGNAT wird weithin als wichtiger Teil der Sicherheitsstrategie eingesetzt. In Kombination mit BIG-IP AFM bietet BIG-IP CGNAT alle Vorteile einer Hochleistungs-Firewall. Dazu gehören eine identitäts- und teilnehmerbewusste Netzwerk-Firewall mit integrierten ACLs, IPS und DDoS-Schutz. Darüber hinaus bieten die sitzungsbewussten Funktionen Abwehrmöglichkeiten gegen ausgeklügelte DoS-Angriffe auf Layer 7, die mit einer reinen Layer-4-Lösung unentdeckt bleiben würden. BIG-IP AFM und BIG-IP CGNAT unterstützen gemeinsam den Abgleich der Firewall-Adressliste und der Portliste für die Quell- und Zieladresse sowie ein Protokoll zur Auswahl der NAT-Richtlinie.
Die Teilnehmer- und Endgeräteerkennung ermöglicht einen Einblick in den Netzwerkverkehr zur Optimierung und Monetarisierung und ermöglicht die Anwendung von teilnehmerklassenbasierten und benutzerdefinierten Sicherheitsrichtlinien. So könnte beispielsweise eine spezifische Richtlinie für eine Reihe bestimmter IoT-Endgeräte bereitgestellt werden. Subscriber Awareness für BIG-IP AFM und BIG-IP CGNAT ermöglicht die Anreicherung von Protokollen mit der Abonnenten-ID für Firewall und CGNAT (NAPT- und PBA-Protokolle), die Erkennung von Abonnenten und die dynamische Bereitstellung von Richtlinien für Firewalls.
4. Konsolidierung von Funktionen zur Senkung der Betriebskosten und Monetarisierung von Dienstleistungen
Effizienz ist der Schlüssel zur Kostensenkung und zur Steigerung der Gewinnspannen. Mit der F5 BIG-IP-Familie können wichtige Funktionen von Service Providern effizient in einer einzigen, leistungsstarken Lösung konsolidiert werden. BIG-IP CGNAT kann zum Beispiel strategisch mit BIG-IP Local Traffic Manager (LTM), BIG-IP PEM und BIG-IP DNS (DNS-Caching) eingesetzt werden. BIG-IP PEM bietet intelligente Verkehrslenkungsfunktionen, die eine Überprüfung des Datenverkehrs und eine Lenkung zu Diensten auf der Grundlage von Teilnehmerprofilen (z. B. Dienstebenen) ermöglichen. Darüber hinaus bietet die Lösung umfassende Funktionen zur Klassifizierung des Datenverkehrs, die sicherstellen, dass Sie genau bestimmen können, was die Teilnehmer im Netzwerk tun, und auf der Grundlage dieser Informationen differenzierte Servicepläne anbieten können, was letztlich zu höheren Einnahmen und einer geregelten Netzwerknutzung führt.
Eine virtualisierte, containerisierte und konsolidierte N6 LAN-Lösung von F5 hilft Ihnen, ein kosteneffizientes Modell aufzubauen, die Markteinführungszeit für neue Services zu verkürzen und die Netzwerkkomplexität zu verringern. Die CNFs und VNFs von F5 sind eine Kernkomponente in einem effizienten, virtuellen N6-LAN und bieten die größte verfügbare Bandbreite an Services im N6-LAN.
Abbildung 2: Die konsolidierte N6/S/Gi-LAN-Lösung von F5 senkt den CPU-Bedarf und vereinfacht die Automatisierung, wodurch die Investitions- und Betriebskosten gesenkt werden.
5. Effiziente Protokollierung, vereinfachte Einhaltung der Vorschriften
BIG-IP CGNAT zeichnet sich durch eine leistungsstarke Protokollierung aus, die für viele Service Provider eine Voraussetzung für die Einhaltung von Vorschriften ist. Die Zuordnung von IP-Adressen und Nutzung zu Benutzern (und umgekehrt) kann mühsam, zeitaufwändig und teuer sein. BIG-IP CGNAT bietet umfangreiche und flexible Protokollierungsfunktionen, die Informationen wie die Übersetzung von privaten in öffentliche IP-Adressen, URL/URI-Zieladressen, Portnummern, Tageszeiten und andere benutzerdefinierte Sitzungsdetails speichern können. CGNAT ermöglicht effiziente und anpassbare Protokolle, wie z. B. die Möglichkeit, MSISDN/IMSI- und Ziel-URL/URI-Felder in die Protokolle einzufügen.
BIG-IP CGNAT unterstützt Internet Protocol Flow Information Export (IPFIX), eine komprimiertere NAT-Protokollierungsmethode als Syslog, wodurch die Datenmenge pro Protokolleintrag reduziert wird, was wiederum die Kosten senkt. IPv6-Paketerweiterungs-Header können untersucht und gefiltert werden. Dies erhöht die Transparenz des IPv6-Verkehrs für die Untersuchung von Ereignissen oder Audits. BIG-IP CGNAT verwaltet außerdem effizient PBA-Sets, um Ausschlüsse optimal zu verwalten und Arbeitsabläufe zu vereinfachen. Die Protokolle können auch mit Teilnehmerinformationen wie MSISDN ergänzt werden.
Jüngste Innovationen verbessern die Leistung von CGNAT durch Hochgeschwindigkeits-Protokollierung einzelner Sicherheitsereignisse. Sie werden unabhängig voneinander für Firewall-Richtlinien, DDoS, IP-Intelligenz, Port-Missbrauch, Protokollinspektion, Traffic-Intelligenz und NAT sowie für Log-Ziele und -Veröffentlichungen gesteuert, die mit dem BIG-IP High-Speed-Logging-Framework konsistent sind. Die Möglichkeit, Firewall- und NAT-Protokollfelder anzupassen, reduziert die Kosten für die Erstellung, Übertragung, Analyse und Speicherung von Protokollnachrichten und erhöht die Leistung, indem nur die erforderlichen Felder protokolliert werden, während die Teilnehmerinformationen für Firewall- und NAT-Protokolle beibehalten werden.
BIG-IP CGNAT kann so skaliert werden, dass es die Generierung von Millionen von Protokollierungsdatensätzen unterstützt und diese an einen Systemprotokollierungsserver exportiert. Es kann auch Lastausgleich und UDP bereitstellen. Flexible Optionen unterstützen eine breite Palette von Protokollsammlern, darunter Protokollratenbegrenzung, UDP- und TCP-Transport, Lastausgleich und Replikationsoptionen sowie Syslog-, IPFIX-, Splunk- und ArcSight-Formate.
6. NFV- und Container-fähig
BIG-IP CGNAT kann in Hochleistungshardware oder in Software als VNF (BIG-IP Virtual Edition), als Teil der NFV S/Gi-LAN-, Gi-Firewall- oder CGNAT-Paketlösung von F5 oder als CNF bereitgestellt werden. F5 unterstützt Sie beim Übergang zu Cloud- und Software-definierten Architekturen mit virtuellen Anwendungsbereitstellungsplattformen, die eine agile, flexible und effiziente Möglichkeit zur Bereitstellung fortschrittlicher Anwendungs- und Sicherheitsdienste bieten. Die Bereitstellung in Software erhöht die Agilität und ermöglicht die Automatisierung und Orchestrierung in Cloud-Architekturen.
Die Verwendung dieser Lösungen als Teil der NFV Gi Firewall-, S/Gi LAN- oder CGNAT-Paketlösung von F5 vereinfacht den Kauf, die Bereitstellung und die Verwaltung mit Hilfe des F5 VNF Manager. Die Pakete werden auf einer Basis von 5, 10 oder 50 Gbit/s erworben, und Sie können die „Use-Before-Buy“-Option nutzen, wenn das Verkehrsvolumen für den Service steigt. Klicken Sie hier, um auf die Übersicht der NFV-Paketlösungen zuzugreifen und mehr über diese Option zu erfahren.
SmartNIC-Offload für BIG-IP VE: Höhere CGNAT-Leistung und niedrigere TCO
Bei der Durchführung von CGNAT gibt es zwei primäre Funktionen, die eine erhebliche Rechenleistung erfordern: die Ausführung der tatsächlichen Übersetzung von einer IP-Adresse in eine andere und die Protokollierung dieser Übersetzung – wie vom U.S. Communications Assistance for Law Enforcement Act (CALEA) gefordert. SmartNICs sind die neueste Ergänzung der Network Interface Card (NIC)-Familie und können eine Lösung für virtuelle (VNF) CGNAT-Bereitstellungen bieten.
Mit integrierten programmierbaren Komponenten wie FPGAs, NPUs oder SoCs können SmartNICs benutzerspezifische Netzwerkfunktionen im Auftrag der Anwendungen oder Server ausführen, mit denen sie verbunden sind, und so die CPU-Ressourcen entlasten und die Leistung erheblich verbessern. Durch die Auslagerung der CGNAT-Funktionalität von einem F5 BIG-IP VE auf einen Intel FPGA PAC N3000 SmartNIC kann der gesamte Systemdurchsatz um etwa 30 % verbessert werden. Noch wichtiger ist, dass die CPU-Auslastung der BIG-IP VE um ca. 80 % gesenkt werden kann, wodurch eine Überlastung der VE verhindert wird! Weitere Informationen finden Sie in der Übersicht BIG-IP VE für SmartNICs.
Fazit
CGNAT hat sich als unverzichtbares Tool für die Unterstützung der Umstellung auf IPv6 erwiesen und beweist weiterhin seinen Wert im heutigen Netzwerk, indem es zur Skalierung und Sicherheit von Netzwerken beiträgt. Für Dienstanbieter, die ihre Netzwerkskalierbarkeit für IPv6, IoT und 5G optimieren möchten, bietet BIG-IP CGNAT eine nahtlose und sichere IP-Adressen-Strategie als Teil einer Folge konsolidierter Netzwerkfunktionen.
Nächste Schritte
Testversion starten
Erfahren Sie im Rahmen einer kostenlosen Testversion, wie F5 BIG-IP APM funktioniert.
Kontaktieren Sie uns
Finden Sie heraus, wie die Produkte und Lösungen von F5 Ihnen helfen können, Ihre Ziele zu erreichen.