PRÉSENTATION DE LA SOLUTION
Améliorer l’évolutivité du réseau avec BIG-IP CGNAT
Bénéficiez d’une stratégie d’adresses IP claire et sécurisée IP dans le cadre d’une suite de fonctions consolidées.
Évolutivité du réseau de niveau opérateur
CGNAT assure l’évolutivité du réseau en conservant les adresses IPv4 et en facilitant la migration vers IPv6. L’établissement d’un pont entre IPv4 et IPv6 permet de garantir que les applications nouvelles et existantes sont adressables aisément, même en cas d’augmentation des besoins de connectivité des consommateurs et des appareils.
Les attributions d’adresses IPv4 sont épuisées partout dans le monde. Les adresses IP mondiales ayant atteint leur limite, les fournisseurs de services doivent passer à l’IPv6. F5 BIG-IP Carrier-Grade NAT (CGNAT) prend en charge les adresses IPv6 et IPv4, sans mises à niveau matérielles coûteuses. Les paquets IPv4 sont encapsulés dans un tunnel IPv6 et envoyés vers une destination IPv4 externe.
CGNAT est largement déployé aujourd’hui dans le cadre d’une stratégie de sécurité. BIG-IP CGNAT est souvent combiné avec BIG-IP Advanced Firewall Manager (AFM), fournissant un pare-feu réseau haute performance également capable de masquer les adresses des abonnés. Cette combinaison permet fournisseur de services de monétisés aux abonnés des services de sécurité sortants. BIG-IP AFM fournit une plateforme complète pour la sécurité en activant CGNAT, la protection contre le déni de service distribué (DDoS), les listes de contrôle d’accès (ACL) et les systèmes de prévention des intrusions (IPS).
F5 consolide ces contrôles de sécurité aux côtés de CGNAT dans le N6/S/Gi-LAN ou le centre de données. Il en résulte une gestion et une exploitation plus simples, une réduction des coûts opérationnels et davantage de possibilités de monétisation des fonctions et des services. Ces solutions peuvent être déployées sous la forme d’une appliance matérielle haute performance, d’une fonction réseau virtuelle (VNF), d’une fonction réseau native en cloud (CNF) ou en mode hybride.
Principaux avantages de BIG-IP CGNAT
1. Faites évoluer votre réseau en gérant l’épuisement des adresses IPV4 et la migration IPV6 grâce à des options de déploiement flexibles
Les fournisseurs de services doivent relever le défi consistant à gérer les dispositifs et les contenus IPv4 tout en assurant la transition vers les dispositifs et des applications IPv6 plus récents. Ceux-ci n’étant pas rétrocompatibles avec IPv4, les stratégies de migration vers IPv6 doivent prendre en charge la coexistence des deux. BIG-IP CGNAT offre une évolutivité de niveau opérateur avec un nombre élevé de traductions d’adresses IP, des taux de configuration rapides des traductions NAT, un débit élevé et une journalisation rapide.
BIG-IP CGNAT vous permet de continuer à fournir une connectivité IPv4 et à traiter un grand nombre de sessions simultanées, tout en gérant l’épuisement des adresses IPv4 et en planifiant une migration transparente vers IPv6. Ses fonctionnalités comprennent le NAT à grande échelle, NAT 44 (NAPT, PAT, allocation de blocs de ports [PBA]), NAT 444, NAT64/DNS64, 464xlat, le protocole de contrôle des ports (PCP), la persistance des adresses/ports, le mappage et filtrage indépendants des points d’extrémité (EIM/EIF), le hairpinning, PIM-DM, et plusieurs passerelles en couche applicative, notamment FTP, SIP, RTSP, PPTP, FTPS, FTP sur TLS, FTPS explicite, TFTP, IP Sec IKEv2 et ESP. L’un des plus grands avantages de CGNAT dans un réseau de fournisseur de services est la possibilité de « récupérer » efficacement de grands blocs d’espace d’adressage IPv4 à routage public depuis le réseau périphérique du client et de les rendre disponibles pour une utilisation dans d’autres parties du réseau — ou pour développer l’activité au-delà des allocations IPv4 du réseau. En utilisant l’allocation de blocs de ports (PBA), il est possible d’obtenir un rendement allant jusqu’à 35 pour 1 sur un pool de ressources NAT à grande échelle (LSN) via le système BIG-IP CGNAT.
BIG-IP CGNAT dispose d’une capacité NAT déterministe qui mappe des adresses IP privées spécifiques vers des adresses IP publiques et réduit les exigences de journalisation. L’ajout de BIG-IP Policy Enforcement Manager (PEM) permet aux opérateurs d’obtenir une meilleure compréhension de ce que font les abonnés sur le réseau et de lier les configurations CGNAT aux plans de service avec des politiques par destination.
Figure 1 : BIG-IP CGNAT offre une prise en charge transparente des réseaux IPv4 et IPv6, ce qui vous permet de gérer l’épuisement de l’IPv4 et de migrer vers l’IPv6 tout en gérant de manière transparente la livraison, la disponibilité, la performance et la sécurité des applications entre les deux topologies de réseau en un seul endroit.
2. Évolutivité pour l’Internet des objets (IdO)
D’ici 2025, selon GSMA, il y aura 24,6 milliards de connexions IdO, contre 12 milliards en 2019. La prise en charge de l’IdO nécessite de passer à une échelle supérieure. Des voitures connectées aux maisons intelligentes, en passant par les compteurs intelligents, et plus encore, BIG-IP CGNAT aide les fournisseurs de services à évoluer efficacement pour prendre en charge les millions d’appareils IdO nécessitant chacun une adresse réseau. BIG-IP CGNAT est capable de traiter plusieurs dizaines de millions de traductions d’adresses IP, de fournir des taux de configuration de traduction de l’ordre d’un million par seconde, en offrant de performance atteignant plusieurs dizaines de gigabits. Ses capacités de journalisation à haut débit (HSL) améliorent encore les performances. Cela se traduit par une réduction des coûts, puisque vous pouvez gérer vos besoins de migration avec moins de serveurs dans le réseau.
3. Sécurité de niveau opérateur
CGNAT est largement déployé en tant qu’élément important de la stratégie de sécurité. Associé à BIG-IP AFM, il offre tous les avantages d’un pare-feu haute performance, notamment un pare-feu réseau sensible à l’identité/aux abonnés avec des ACL intégrées, des IPS et des protections DDoS. En outre, ses fonctionnalités contextualisées par session offrent des capacités d’atténuation contre les attaques DoS sophistiquées en couche 7 qui ne seraient pas détectées avec une solution en couche 4 uniquement. En travaillant ensemble, BIG-IP AFM et BIG-IP CGNAT prennent en charge la correspondance de la liste d’adresses du pare-feu et de la liste de ports pour l’adresse source et l’adresse de destination, ainsi qu’un protocole pour sélectionner la politique NAT.
La connaissance des abonnés et des points terminaux permet un aperçu du trafic réseau à des fins d’optimisation et de monétisation, ainsi que l’application de politiques de sécurité personnalisées et basées sur les classes d’abonnés. Par exemple, une politique spécifique peut être fournie pour une série de dispositifs finaux IdO spécifiques. La connaissance des abonnés pour BIG-IP AFM et BIG-IP CGNAT permet d’enrichir les journaux avec l’identifiant de l’abonné pour le pare-feu et le CGNAT (journaux NAPT et PBA), la découverte des abonnés et le provisionnement dynamique des politiques pour les pare-feu.
4. Consolidation des fonctions pour réduire les coûts opérationnels et monétiser les services
L’efficacité est essentielle pour réduire les coûts et augmenter les marges. La gamme F5 BIG-IP permet de consolider efficacement les fonctions clés des fournisseurs de services dans une solution unique et performante. Par exemple, BIG-IP CGNAT peut être déployé stratégiquement avec BIG-IP Local Traffic Manager (LTM), BIG-IP PEM et BIG-IP DNS (mise en cache du DNS). BIG-IP PEM offre des fonctionnalités de pilotage intelligent du trafic qui permettent d’inspecter le trafic et de le diriger vers des services en fonction des profils des abonnés (par exemple, des niveaux de service). Il offre également un ensemble complet de fonctionnalités de classification du trafic pour vous permettre de déterminer avec précision ce que font les abonnés sur le réseau et de proposer des plans de services différenciés sur la base de ces informations, ce qui se traduit en fin de compte par une augmentation des revenus et une utilisation régulée du réseau.
Une solution F5 de LAN N6 virtualisée, conteneurisée et consolidée vous aide à construire un modèle rentable, améliorant le temps de mise sur le marché des nouveaux services et réduisant la complexité du réseau. Les CNF et VNF de F5 constituent un élément central d’un LAN N6 efficace et virtuel, offrant la plus large gamme de services disponibles sur le LAN N6.
Figure 2 : la solution consolidée N6/S/Gi-LAN de F5 réduit les besoins en CPU et simplifie l’automatisation, réduisant ainsi les dépenses d’investissement et opérationnelles.
5. Journalisation efficace, conformité simplifiée
BIG-IP CGNAT excelle dans la journalisation haute performance, qui constitue une exigence de conformité réglementaire pour de nombreux fournisseurs de services. Effectuer la corrélation entre les adresses IP et leur utilisation et les utilisateurs (et vice versa) peut être fastidieux, long et coûteux. BIG-IP CGNAT offre des capacités de journalisation étendues et flexibles qui peuvent stocker des informations telles que la traduction d’adresses IP privées à publiques, les adresses de destination URL/URI, les numéros de port, les heures de la journée et d’autres détails de session personnalisés. CGNAT permet de créer des journaux efficaces et personnalisables, par exemple par l’insertion des champs MSISDN/IMSI et URL/URI de destination dans les journaux.
BIG-IP CGNAT prend en charge l’exportation d’informations sur les flux de protocole Internet (IPFIX), une méthode de journalisation NAT plus comprimée que syslog, ce qui réduit la quantité de données par entrée de journal et par conséquent les coûts. Les en-têtes d’extension des paquets IPv6 peuvent être examinés et filtrés. Cela augmente les capacités de visibilité du trafic IPv6 pour les enquêtes sur les événements ou les audits. BIG-IP CGNAT gère également de manière efficace les ensembles PBA afin de gérer de manière optimale les exclusions et de simplifier les flux de travail. Les journaux peuvent également être complétés par des informations sur les abonnés, comme MSISDN.
Des innovations récentes améliorent les performances de CGNAT avec la génération à grande vitesse de journaux d’événements de sécurité individuels. Ils sont contrôlés indépendamment pour la politique de pare-feu, les DDoS, l’intelligence IP, les utilisations abusives de ports, l’inspection des protocoles, l’intelligence du trafic et le NAT. Les destinations et les éditeurs des journaux sont conformes au cadre de journalisation à grande vitesse de BIG-IP. La possibilité de personnaliser les champs des journaux de pare-feu et de NAT réduit le coût de génération, de transmission, d’analyse et de stockage des messages de journal, ce qui augmente les performances en ne consignant que les champs nécessaires tout en conservant les informations relatives aux abonnés pour les journaux de pare-feu et de NAT.
BIG-IP CGNAT pour prendre en charge la génération de plusieurs millions d’enregistrements de journalisation avec exportation vers un serveur de journalisation système, l’équilibrage de charge et le protocole UDP. Des options flexibles prennent en charge un large éventail de collecteurs de journaux, notamment la limitation du débit des journaux, le transport UDP et TCP, l’équilibrage de charge et des options de réplication, ainsi que les formats Syslog, IPFIX, Splunk et ArcSight.
6. Compatible avec NFV et avec les conteneurs
BIG-IP CGNAT peut être déployé dans du matériel haute performance ou dans un logiciel en tant que VNF (BIG-IP Virtual Edition), dans le cadre d’une solution groupée F5 NFV S/Gi-LAN, Gi Firewall ou CGNAT, ou en tant que CNF. F5 peut faciliter votre transition vers les architectures définies en cloud ou définies par logiciel grâce à des plateformes de fourniture d’applications virtuelles qui constituent un moyen agile, flexible et efficace de déployer des services d’application et de sécurité avancés. Le déploiement en logiciel augmente l’agilité et permet l’automatisation et l’orchestration dans les architectures en cloud.
L’utilisation de ces solutions dans le cadre de la solution groupée F5 NFV pour Gi Firewall, S/Gi LAN ou CGNAT simplifie l’achat, le déploiement et la gestion à l’aide de F5 VNF Manager. Les packs sont achetés sur une base de 5, 10 ou 50 Gbps, et vous pouvez tirer parti de l’option « Use-Before-Buy » lorsque les volumes de trafic pour le service augmentent. Cliquez ici pour accéder à la présentation des solutions groupées NFV et pour en savoir plus sur cette option.
Décharge SmartNIC pour BIG-IP VE : amélioration des performances CGNAT et réduction du coût total de possession
Lors de l’exécution de CGNAT, deux fonctions principales nécessitent une puissance de calcul importante : l’exécution effective de la traduction d’une adresse IP à une autre et l’enregistrement de cette traduction, exigée par la loi américaine CALEA (Communications Assistance for Law Enforcement Act). Les SmartNIC sont la dernière nouveauté de la famille des cartes d’interface réseau (NIC) et peuvent constituer une solution pour les déploiements virtuels de CGNAT (VNF).
Dotées de composants programmables intégrés tels que des FPGA, NPU ou SoC, les SmartNIC peuvent exécuter certaines fonctions réseau spécifiées par l’utilisateur pour le compte des applications ou des serveurs auxquels elles sont connectées, ce qui allège la pression sur les ressources de processeur et améliore considérablement les performances. En déchargeant la fonctionnalité CGNAT d’un BIG-IP VE de F5 vers une SmartNIC Intel FPGA PAC N3000, le débit total du système peut être amélioré d’environ 30 %. Plus important encore, l’utilisation du CPU du BIG-IP VE peut également être réduite d’environ 80 %, ce qui permet d’éviter que le VE ne soit surchargé. Pour plus d’informations, consultez la présentation de BIG-IP VE for SmartNICs.
Conclusion
CGNAT s’est avéré un outil indispensable pour soutenir les transitions vers IPv6 et continue de prouver sa valeur dans les réseaux modernes en facilitant le dimensionnement et la sécurisation. Pour les fournisseurs de services qui souhaitent optimiser l’évolutivité de leur réseau vers IPv6, l’IdO et la 5G, BIG-IP CGNAT fournit une stratégie d’adresses IP transparente et sécurisée dans le cadre d’une suite de fonctions réseau consolidées.
Étapes suivantes
Commencez un essai
Découvrez comment fonctionne F5 BIG-IP APM grâce à un essai gratuit.
Nous contacter
Découvrez comment les produits et solutions de F5 peuvent vous permettre d’atteindre vos objectifs.