CGNAT proporciona capacidad de ampliación a la red conservando las direcciones IPv4 y facilitando la migración a IPv6. El puente entre IPv4 e IPv6 ayuda a garantizar que las aplicaciones nuevas y existentes sean fácilmente direccionables, incluso con las crecientes necesidades de conectividad de los consumidores y dispositivos.
Las asignaciones de direcciones IPv4 se han agotado en todo el mundo. Con las direcciones IPv4 globales al límite, los proveedores de servicios necesitan hacer el cambio a IPv6. F5 BIG-IP Carrier-Grade NAT (CGNAT) admite tanto direcciones IPv6 como IPv4 sin necesidad de realizar costosas actualizaciones de hardware.
Hoy en día, CGNAT se utiliza ampliamente como parte de una estrategia de seguridad. BIG-IP CGNAT a menudo se combina con BIG-IP Advanced Firewall Manager (AFM) , lo que proporciona un firewall de red de alto rendimiento que también puede enmascarar las direcciones de los suscriptores. Esta combinación permite que el proveedor de servicios monetice los servicios de seguridad de los suscriptores salientes. BIG-IP AFM proporciona una plataforma integral de seguridad al permitir CGNAT, protección distribuida contra denegación de servicio (DDoS), listas de control de acceso (ACL) y sistemas de prevención de intrusiones (IPS).
F5 consolida estos controles de seguridad junto con CGNAT en la N6/S/Gi-LAN o el centro de datos. Esto da como resultado una gestión y operación más sencillas, menores costos operativos y más oportunidades de monetizar funciones y servicios. Estas soluciones se pueden implementar como un dispositivo de hardware de alto rendimiento, una función de red virtual (VNF), una función de red nativa de la nube (CNF) o en un modo híbrido.
1. Amplíe su red gestionando la escasez de direcciones IPV4 y la migración a IPV6 con opciones de implantación flexibles
Los proveedores de servicios se enfrentan al reto de gestionar los dispositivos y contenidos IPv4 mientras realizan la transición a los nuevos dispositivos y aplicaciones IPv6. Dado que los dispositivos y contenidos IPv6 no son retrocompatibles con IPv4, las estrategias de migración a IPv6 deben soportar la coexistencia de ambos. BIG-IP CGNAT proporciona una capacidad de ampliación de nivel de operador con un elevado número de traducciones de direcciones IP, rápidas tasas de configuración de traducciones NAT, alto rendimiento y registro de alta velocidad.
BIG-IP CGNAT le permite seguir proporcionando conectividad IPv4 y gestionar un gran número de sesiones simultáneas mientras gestiona el agotamiento de las direcciones IPv4 y planifica la migración a IPv6 sin problemas. La funcionalidad incluye NAT a gran escala, NAT 44 (NAPT, PAT, asignación de bloques de puertos [PBA]), NAT 444, NAT64/DNS64, 464xlat, protocolo de control de puertos (PCP), persistencia de direcciones/puertos, mapeo y filtrado independiente del punto final (EIM/EIF), hairpinning, PIM-DM y varias pasarelas de capa de aplicación, como FTP, SIP, RTSP, PPTP, FTPS, FTP sobre TLS, FTPS explícito, TFTP, IP Sec IKEv2 y ESP. Una de las mayores ventajas de CGNAT en una red de proveedores de servicios es la capacidad de «reclamar» eficazmente grandes bloques de espacio de direcciones IPv4 enrutables públicamente desde la red «de borde» del cliente y hacerlos disponibles para su uso en otras partes de la red, o para hacer crecer el negocio más allá de las asignaciones IPv4 propias de una red. Cuando se utiliza la asignación de bloques de puertos (PBA), es posible ver hasta un rendimiento de 35 a 1 en un recurso común de NAT a gran escala (LSN) a través del sistema BIG-IP CGNAT.
BIG-IP CGNAT tiene una capacidad de NAT determinista que asigna direcciones IP privadas específicas a direcciones IP públicas y reduce los requisitos de registro. Al añadir BIG-IP Policy Enforcement Manager (PEM), las operadoras pueden conocer mejor lo que hacen los suscriptores en la red y pueden vincular las configuraciones de CGNAT a los planes de servicio con políticas conscientes del destino.
Figura 1: BIG-IP CGNAT ofrece soporte sin fisuras para redes IPv4 e IPv6, de modo que puede gestionar el agotamiento de IPv4 y migrar a IPv6 mientras gestiona de forma transparente la entrega de aplicaciones, la disponibilidad, el rendimiento y la seguridad entre ambas topologías de red en una única ubicación.
2. Escala para el Internet de las cosas (IoT)
Para 2025, según GSMA, habrá 24.600 millones de conexiones IoT , frente a los 12.000 millones de 2019. Para dar soporte a la IoT se necesita una escala masiva. Desde automóviles conectados hasta hogares inteligentes, medidores inteligentes y más, BIG-IP CGNAT ayuda a los proveedores de servicios a escalar de manera eficiente para soportar millones de dispositivos IoT, cada uno de los cuales requiere una dirección de red. BIG-IP CGNAT puede escalar a decenas de millones de traducciones de direcciones IP, proporcionar velocidades de configuración de traducción del orden de un millón por segundo y ofrecer decenas de gigabits de rendimiento. Las capacidades de registro de alta velocidad (HSL) mejoran aún más el rendimiento. Esto significa que puede reducir costos ya que puede manejar sus necesidades de migración con menos servidores en la red.
3. Seguridad de nivel de operador
CGNAT está ampliamente implantado como una parte importante de la estrategia de seguridad. Cuando se combina con BIG-IP AFM, BIG-IP CGNAT proporciona todas las ventajas de un firewall de alto rendimiento. Esto incluye un cortafuegos de red consciente de la identidad/suscripción con ACL integradas, IPS y protecciones DDoS. Además, las capacidades conscientes de la sesión proporcionan funciones de mitigación contra sofisticados ataques DoS de capa 7 que pasarían desapercibidos con una solución solo de capa 4. Trabajando juntos, BIG-IP AFM y BIG-IP CGNAT soportan la coincidencia de la lista de direcciones del firewall y la lista de puertos para la dirección de origen y destino, junto con un protocolo para seleccionar la política NAT.
El conocimiento de los suscriptores y los puntos finales permite conocer el tráfico de la red para su optimización y monetización, así como aplicar políticas de seguridad personalizadas y basadas en la clase de suscriptor. Por ejemplo, se puede proporcionar una política específica para una serie de dispositivos finales IoT concretos. El conocimiento del suscriptor para BIG-IP AFM y BIG-IP CGNAT permite el enriquecimiento de los registros con ID del suscriptor para el firewall y CGNAT (registros NAPT y PBA), el descubrimiento del suscriptor y el aprovisionamiento dinámico de políticas para los firewalls.
4. Consolidación de funciones para reducir los costes operativos y monetizar los servicios
La eficiencia es la clave para reducir los costos y aumentar los márgenes. La familia F5 BIG-IP permite consolidar eficazmente las funciones clave de los proveedores de servicios en una única solución de alto rendimiento. Por ejemplo, BIG-IP CGNAT puede desplegarse estratégicamente con BIG-IP Local Traffic Manager (LTM), BIG-IP PEM y BIG-IP DNS (caché de DNS). BIG-IP PEM proporciona capacidades de dirección de tráfico inteligentes que permiten la inspección del tráfico y la dirección a los servicios basados en los perfiles de los suscriptores (por ejemplo, niveles de servicio). También ofrece un conjunto completo de capacidades de clasificación del tráfico para garantizar que se pueda determinar con precisión qué hacen los suscriptores en la red y, basándose en esa información, ofrecer planes de servicio diferenciados, lo que en última instancia conduce a un aumento de los ingresos y al uso regulado de la red.
Una solución N6 LAN virtualizada, en contenedores y consolidada de F5 le ayuda a construir un modelo rentable, mejorando el tiempo de comercialización de nuevos servicios y disminuyendo la complejidad de la red. Las CNF y VNF de F5 son un componente central dentro de una N6 LAN eficiente y virtual, ofreciendo la más amplia gama de servicios disponibles en la N6 LAN.
Figura 2: La solución consolidada N6/S/Gi-LAN de F5 reduce las necesidades de CPU y simplifica la automatización, reduciendo los gastos de capital y los gastos operativos.
5. Registro eficiente, cumplimiento simplificado
BIG-IP CGNAT destaca en el registro de alto rendimiento, que es un requisito de cumplimiento normativo para muchos proveedores de servicios. Correlacionar las direcciones IP y el uso con los usuarios (y viceversa) puede ser tedioso, lento y caro. BIG-IP CGNAT ofrece amplias y flexibles capacidades de registro que pueden almacenar información como la traducción de direcciones IP privadas a públicas, direcciones de destino URL/URI, números de puerto, horas del día y otros detalles de sesión personalizados. CGNAT permite registros eficientes y personalizables, como la capacidad de insertar campos MSISDN/IMSI y URL/URI de destino en los registros.
BIG-IP CGNAT soporta el Internet Protocol Flow Information Export (IPFIX), un método de registro NAT más comprimido que el syslog, que reduce la cantidad de datos por entrada de registro, lo que a su vez reduce los costes. Se pueden examinar y filtrar las cabeceras de extensión de los paquetes IPv6. Esto aumenta las capacidades de visibilidad del tráfico IPv6 para la investigación de eventos o auditorías. BIG-IP CGNAT también gestiona eficazmente los conjuntos de PBA para gestionar de forma óptima las exclusiones y simplificar los flujos de trabajo. Los registros también pueden ampliarse con información de los suscriptores, como el MSISDN.
Las recientes innovaciones mejoran el rendimiento de CGNAT con la generación de registros de alta velocidad de eventos de seguridad individuales. Se controlan de forma independiente según la política de firewall, DDoS, inteligencia IP, uso indebido de puertos, inspección de protocolos, inteligencia de tráfico y NAT y destinos de registro y editores coherentes con el marco de registro de alta velocidad de BIG-IP. La capacidad de personalizar los campos de registro de cortafuegos y NAT reduce el coste de generar, transmitir, analizar y almacenar los mensajes de registro, aumentando el rendimiento al registrar únicamente los campos necesarios y manteniendo la información de los suscriptores para los registros de firewalls y NAT.
BIG-IP CGNAT puede escalar para soportar la generación de millones de registros y exportarlos a un servidor de registro del sistema. También puede proporcionar balanceo de carga y UDP. Las opciones flexibles admiten una amplia gama de recopiladores de registros que incluyen la limitación de la tasa de registros, el transporte UDP y TCP, las opciones de equilibrio de carga y replicación, y los formatos Syslog, IPFIX, Splunk y ArcSight.
6. Preparado para NFV y contenedores
BIG-IP CGNAT puede desplegarse en hardware de alto rendimiento, o en software como VNF (BIG-IP Virtual Edition), como parte de la solución empaquetada NFV S/Gi-LAN, Gi Firewall, o CGNAT de F5, o como CNF. F5 puede ayudar a su transición hacia las arquitecturas definidas por la nube y el software con plataformas de entrega de aplicaciones virtuales que proporcionan una forma ágil, flexible y eficiente de implantar servicios avanzados de aplicaciones y seguridad. El despliegue en software aumenta la agilidad y consigue la automatización y la orquestación en las arquitecturas en la nube.
El uso de estas soluciones como parte de la solución empaquetada F5 NFV para Gi Firewall, S/Gi LAN o CGNAT simplifica la compra, la implementación y la administración con la ayuda de F5 VNF Manager. Los paquetes se compran por 5, 10 o 50 Gbps y usted puede aprovechar la opción “Usar antes de comprar” a medida que aumentan los volúmenes de tráfico del servicio. Haga clic aquí para acceder a la descripción general de las soluciones empaquetadas NFV y obtener más información sobre esta opción.
Al ejecutar CGNAT, hay dos funciones principales que requieren una potencia de cálculo significativa: la ejecución de la traducción real de una dirección IP a otra y el registro de dicha traducción, tal y como exige la Communications Assistance for Law Enforcement Act (CALEA) de Estados Unidos. Las SmartNIC son la última incorporación a la familia de tarjetas de interfaz de red (NIC) y pueden ofrecer una solución para las implantaciones virtuales (VNF) de CGNAT.
Los SmartNIC cuentan con componentes programables integrados, como FPGA, NPU o SoC, y pueden realizar funciones de red especificadas por el usuario en nombre de las aplicações o servidores a los que están conectados, lo que alivia la tensión en los recursos de la CPU y mejora significativamente el rendimiento. Al descargar la funcionalidad CGNAT de un F5 BIG-IP VE a un Intel FPGA PAC N3000 SmartNIC, el rendimiento total del sistema se puede mejorar en aproximadamente un 30%. Lo que es más importante, la utilización de la CPU del BIG-IP VE también se puede reducir en aproximadamente un 80%, lo que ayuda a evitar que el VE se sobrecargue. Consulte la descripción general de BIG-IP VE para SmartNIC para obtener más información.
CGNAT ha demostrado ser una herramienta indispensable para respaldar las transiciones a IPv6 y continúa demostrando su valor en la red actual al ayudar a escalar y proteger las redes. Para los proveedores de servicios que desean optimizar la escalabilidad de su red para IPv6, IoT y 5G, BIG-IP CGNAT proporciona una estrategia de dirección IP segura y perfecta como parte de un conjunto de funciones de red consolidadas.