• Share via AddThis

ソリューションの概要

BIG-IP CGNATによるネットワークのスケーラビリティの向上

一連の統合機能の一部として、シームレスで安全なIPアドレス戦略を実現。

BIG-IP CGNATによるネットワークのスケーラビリティの向上

キャリアグレードのネットワークのスケーラビリティ

CGNATは、IPv4アドレスを節約し、IPv6への移行を容易にすることで、ネットワークのスケーラビリティを提供します。IPv4とIPv6を橋渡しすることで、消費者やデバイスからの接続ニーズが急増しても、新規と既存のアプリケーションを簡単にアドレス指定できるようにします。

IPv4アドレスの割り当ては世界中で不足しています。グローバルIPv4アドレスが限界に達しているため、サービス プロバイダはIPv6への移行を迫られています。F5® BIG-IP® Carrier-Grade NAT(CGNAT)は、コストのかかるハードウェア アップグレードを必要とせずに、IPv6とIPv4の両方のアドレスをサポートします。

CGNATは、今日、セキュリティ戦略の一環として広く導入されています。BIG-IP CGNATの多くはF5® BIG-IP® Advanced Firewall Manager™(AFM)と組み合わされて、加入者のアドレスをマスクすることもできる高性能なネットワーク ファイアウォールを提供します。この組み合わせにより、発信される加入者のセキュリティ サービスをサービス プロバイダが収益化することができます。BIG-IP AFMは、CGNAT、分散型サービス拒否(DDoS)対策、アクセス コントロール リスト(ACL)、および侵入検知システム(IPS)を有効にすることで、セキュリティの包括的なプラットフォームを提供します。

F5では、これらのセキュリティ管理をCGNATと一緒にN6/S/Gi-LANやデータ センタに統合しています。これにより、管理と運用の簡素化、運用コストの削減、機能やサービスを収益化する機会の拡大を実現します。これらのソリューションは、高性能なハードウェア アプライアンス、仮想ネットワーク機能(VNF)、クラウドネイティブ ネットワーク機能(CNF)、またはハイブリッド モードで導入することができます。

BIG-IP CGNATの主なメリット

1. IPV4アドレスの枯渇とIPV6への移行を柔軟な導入オプションで管理することで、ネットワークを拡張



サービス プロバイダは、IPv4のデバイスやコンテンツを管理しながらより新しいIPv6のデバイスやアプリケーションに移行するという課題を抱えています。IPv6のデバイスやコンテンツは、IPv4との下位互換性がないため、IPv6移行戦略は、両者の共存をサポートする必要があります。BIG-IP CGNATは、多数のIPアドレス変換、高速のNAT変換設定速度、高スループット、高速ロギングにより、キャリアグレードのスケーラビリティを提供します。

BIG-IP CGNATを使用すると、IPv4アドレスの枯渇に対応し、IPv6へのシームレスな移行を計画する際に、IPv4接続の提供を継続しながら多数の同時セッションを処理することができます。機能としては、大規模なNAT、NAT 44(NAPT、PAT、ポート ブロックの割り当て[PBA])、NAT 444、NAT64/DNS64、464xlat、ポート制御プロトコル(PCP)、アドレス/ポート パーシステンス、Endpoint Independent Mapping/Filtering(EIM/EIF)、ヘアピン、PIM-DMのほか、FTP、SIP、RTSP、PPTP、FTPS、FTP over TLS、FTPS explicit、TFTP、IP Sec IKEv2、ESPなど複数のアプリケーション層ゲートウェイが含まれています。サービス プロバイダ ネットワークにおけるCGNATの最大のメリットの1つは、顧客の「エッジ」ネットワークからパブリック ルーティング可能なIPv4アドレス空間の大きなブロックを効果的に「有効活用」し、ネットワークの他の部分で使用できるようにすること、つまり、ネットワークが所有するIPv4割り当てを超えてビジネスを拡大できることです。ポート ブロック割り当て(PBA)を使用すると、BIG-IP CGNATシステムを介して大規模NAT(LSN)プール リソースに対して35対1という高いリターンを得ることができます。

BIG-IP CGNATには、特定のプライベートIPアドレスをパブリックIPアドレスにマッピングし、ロギング要件を軽減する、Deterministic NAT機能があります。F5® BIG-IP® Policy Enforcement Manager™(PEM)を追加することで、キャリアは加入者のネットワーク上での行動をより深く理解し、宛先認識型ポリシーでCGNATの構成をサービス プランに結びつけることができます。

BIG-IP Carrier Grade NAT

2. モノのインターネット(IoT)に対応した拡張

GSMAによると、2019年に120億であったIoT接続数は、2025年には246億になると予測されています。IoTのサポートは必然的に大規模になります。BIG-IP CGNATを利用すればサービス プロバイダは、コネクテッド カー、スマート ホーム、スマート メーターなど、それぞれがネットワーク アドレスを必要とする何百万ものIoTデバイスをサポートするために効率的に拡張することができます。BIG-IP CGNATは、数千万ものIPアドレス変換に合わせて拡張し、毎秒100万単位の変換設定速度を提供し、数十ギガビットのパフォーマンスを提供します。また、高速ロギング(HSL)機能により、さらにパフォーマンスを向上させます。つまり、ネットワーク上のより少ないサーバーで移行ニーズに対応できるため、コストを削減することができます。

3. キャリアグレードのセキュリティ

CGNATは、セキュリティ戦略の重要な要素として広く導入されています。BIG-IP CGNATは、BIG-IP AFMと組み合わせることで、高性能ファイアウォールのあらゆるメリットを提供します。これらのファイアウォールには、ACL、IPS、およびDDoS対策が統合されたID/加入者認識型ネットワーク ファイアウォールなどがあります。さらにセッション認識機能は、レイヤ4のみのソリューションでは検出されない高度なレイヤ7のDoS攻撃に対する緩和機能を提供します。BIG-IP AFMとBIG-IP CGNATを連携させることで、NATポリシーを選択するためのプロトコルとともに、送信元と送信先のアドレスのファイアウォール アドレス リストとポート リストの一致をサポートします。

加入者とエンドポイントを認識することにより、最適化と収益化に役立つネットワーク トラフィックのインサイトが得られ、加入者クラスベースのセキュリティ ポリシーやカスタム セキュリティ ポリシーの適用が可能となります。例えば、一連の特定のIoTエンド デバイスに対して特定のポリシーを提供することができます。BIG-IP AFMとBIG-IP CGNATの加入者認識は、ファイアウォールやCGNAT(NAPTおよびPBAログ)の加入者IDによるログの強化、加入者の検出、ファイアウォールの動的なポリシー プロビジョニングを可能にします。



4. 機能の統合による運用コストの削減とサービスの収益化

コストを削減し利益率を高める鍵は効率化です。F5 BIG-IPファミリは、主要なサービス プロバイダ機能を単一の高性能ソリューションに効率的に統合することができます。例えば、BIG-IP CGNATは、F5® BIG-IP® Local Traffic Manager™(LTM)、BIG-IP PEM、およびF5® BIG-IP® DNS(DNSキャッシング)とともに戦略的に導入することができます。BIG-IP PEMは、加入者のプロファイル(サービス層など)に基づいて、サービスのトラフィック検査やステアリングを可能にするインテリジェント トラフィック ステアリング機能を提供します。また、包括的なトラフィック分類機能セットを備えているため、加入者のネットワーク上での行動を正確に特定し、その情報に基づいて差別化されたサービス プランを提供することができ、最終的には収益を増加させネットワーク使用量を抑えることができます。

仮想化かつコンテナ化され、統合されたF5のN6 LANソリューションは、コスト効率の高いモデルを構築し、新サービスの市場投入までの時間を短縮して、ネットワークの複雑性を低減します。F5のCNFとVNFは、効率的な仮想N6 LAN内のコア コンポーネントであり、N6 LAN上で利用可能な幅広いサービスを提供します。

F5 Big IP Carrier Grade NATの図

5. 効率的なロギング、コンプライアンスの簡素化

BIG-IP CGNATは、多くのサービス プロバイダにとって規制コンプライアンス要件である、高性能ロギングに優れています。IPアドレスと使用状況をユーザーに関連付けること(またはその逆を行うこと)は、煩雑で時間とコストがかかります。BIG-IP CGNATは、プライベートからパブリックへのIPアドレス変換、URL/URIの宛先アドレス、ポート番号、時間帯、その他のカスタマイズされたセッションの詳細などの情報を保存できる、広範囲で柔軟なロギング機能を提供します。CGNATは、MSISDN/IMSIや宛先URL/URIのフィールドをログに挿入する機能など、効率的でカスタマイズ可能なログを実現します。

BIG-IP CGNATは、syslogよりも圧縮されたNATロギング方式であるInternet Protocol Flow Information Export(IPFIX)をサポートしてログ エントリあたりのデータ量を削減し、つまりはコストを削減します。また、IPv6パケット拡張ヘッダーを分析してフィルタリングすることができます。これにより、イベントの調査や監査のためのIPv6トラフィックの可視化機能が向上します。さらにBIG-IP CGNATは、PBAセットを効率的に管理して、除外を最適に管理し、ワークフローを簡素化します。ログは、MSISDNなどの加入者情報で強化することもできます。

最近のイノベーションにより、個々のセキュリティ イベントの高速ログ生成が可能になりCGNATのパフォーマンスが向上しています。これらは、ファイアウォール ポリシー、DDoS、IPインテリジェンス、ポートの不正使用、プロトコル検査、トラフィック インテリジェンス、さらにBIG-IP高速ロギング フレームワークに準拠したNATおよびログの宛先とパブリッシャに対して個別に制御されます。ファイアウォールとNATログのフィールドをカスタマイズできるため、ログ メッセージの生成、送信、解析、保存のコストが削減され、ファイアウォールとNATログの加入者情報を維持しながら必要なフィールドのみをロギングすることでパフォーマンスが向上します。

BIG-IP CGNATは、数百万件のロギング レコードの生成をサポートし、それらをシステム ロギング サーバーにエクスポートできるように拡張可能です。また、ロード バランシングとUDPも提供できます。柔軟なオプションは、ログ レート制限、UDPおよびTCPトランスポート、ロード バランシングおよび複製オプション、Syslog、IPFIX、Splunk、ArcSight形式を含む幅広いログ コレクタをサポートしています。



6. NFVとコンテナに対応

BIG-IP CGNATは、高性能ハードウェアで、またはソフトウェアでVNF(F5® BIG-IP® Virtual Edition(VE))として、パッケージ化されたF5のNFV S/Gi-LAN、Gi Firewall、またはCGNATソリューションの一部として、あるいはCNFとして導入できます。F5は、高度なアプリケーションやセキュリティ サービスを導入するための俊敏かつ柔軟で効率的な方法を提供する仮想アプリケーション デリバリ プラットフォームを使用して、クラウドおよびソフトウェアデファインド アーキテクチャへの移行をお手伝いします。ソフトウェアによる導入では、俊敏性が向上し、クラウド アーキテクチャの自動化とオーケストレーションが実現します。

これらのソリューションをGi Firewall、S/Gi LAN、またはCGNAT用のF5 NFVパッケージ ソリューションの一部として使用すると、F5® VNF Managerを使用した購入、導入、管理が簡素化されます。パッケージは5、10、または50 Gbps単位で購入でき、サービスのトラフィック量が増加した場合には「購入前に使用」オプションを利用できます。ここをクリックしてNFVパッケージ ソリューションの概要にアクセスし、このオプションの詳細をご確認ください。

BIG-IP VE向けSmartNICオフロード:CGNATパフォーマンスの向上とTCOの削減

CGNATの実行には、高い計算能力を必要とする2つの主要な機能が関与します。1つのIPアドレスから別のIPアドレスへの実際の変換を実行する機能と、その変換をロギングする機能であり、後者は米国のCommunications Assistance for Law Enforcement Act(CALEA)によって義務付けられています。SmartNICは、ネットワーク インターフェイス カード(NIC)ファミリに追加された最新の製品であり、仮想(VNF)CGNAT導入のソリューションを提供できます。

SmartNICは、FPGA、NPU、SoCなどのオンボード プログラマブル コンポーネントを搭載し、接続先のアプリケーションやサーバーに代わってユーザー指定のネットワーキング機能を実行できるため、CPUリソースの負担が軽減され、パフォーマンスが大幅に向上します。CGNAT機能をF5 BIG-IP VEからIntel FPGA PAC N3000 SmartNICにオフロードすることにより、システム全体のスループットを約30%向上させることができます。さらに重要なこととして、BIG-IP VEのCPU使用率も約80%削減でき、BIG-IP VEが過負荷になるのを防ぐことができます。詳細については、BIG-IP VE for SmartNICの概要をご覧ください。

まとめ

CGNATは、IPv6への移行をサポートするために不可欠なツールであることが実証されており、ネットワークの拡張と保護を支援することで、今日のネットワークでその価値を証明し続けています。IPv6、IoT、および5Gのネットワークのスケーラビリティを最適化したいと考えているサービス プロバイダ向けに、BIG-IP CGNATは一連の統合ネットワーク機能の一部として、シームレスで安全なIPアドレス戦略を提供します。

次のステップ

トライアル版をスタート

無償トライアルでF5 BIG-IP APMがどのように機能するかをご確認ください。

お問い合わせ

F5の製品とソリューションが、お客様の目標達成をどのように実現するかをご確認ください。