VISÃO GERAL DA SOLUÇÃO

Melhore a escalabilidade da rede com BIG-IP CGNAT

Obtenha uma estratégia de endereço IP perfeita e segura como parte de um conjunto de funções consolidadas.

Melhore a escalabilidade da rede com BIG-IP CGNAT

Escalabilidade de rede de nível de operadora

O CGNAT fornece escalabilidade de rede conservando endereços IPv4 e facilitando a migração para IPv6. A conexão entre IPv4 e IPv6 ajuda a garantir que aplicativos novos e existentes sejam facilmente endereçáveis, mesmo com as crescentes necessidades de conectividade de consumidores e dispositivos.

As cotas de endereços IPv4 acabaram em todo o mundo. Com os endereços IPv4 globais no limite, os provedores de serviços precisam migrar para o IPv6. O F5 BIG-IP Carrier-Grade NAT (CGNAT) oferece suporte a endereços IPv6 e IPv4 sem atualizações de hardware dispendiosas.

O CGNAT é amplamente implantado hoje como parte de uma estratégia de segurança. O BIG-IP CGNAT é frequentemente combinado com o BIG-IP Advanced Firewall Manager (AFM) , fornecendo um firewall de rede de alto desempenho que também pode mascarar endereços de assinantes. Essa combinação permite que os serviços de segurança de assinantes de saída sejam monetizados pelo provedor de serviços. O BIG-IP AFM fornece uma plataforma abrangente para segurança ao habilitar CGNAT, proteção contra negação de serviço distribuída (DDoS), listas de controle de acesso (ACLs) e sistemas de prevenção de intrusão (IPSs).

O F5 consolida esses controles de segurança junto com o CGNAT na N6/S/Gi-LAN ou no data center. Isso resulta em gerenciamento e operação mais simples, custos operacionais reduzidos e mais oportunidades de monetizar funções e serviços. Essas soluções podem ser implantadas como um dispositivo de hardware de alto desempenho, uma função de rede virtual (VNF), uma função de rede nativa da nuvem (CNF) ou em um modo híbrido.

Principais benefícios do BIG-IP CGNAT

1. Escale sua rede gerenciando o esgotamento de endereços IPV4 e a migração IPV6 com opções de implantação flexíveis

Os provedores de serviços enfrentam o desafio de gerenciar dispositivos e conteúdo IPv4 durante a transição para dispositivos e aplicativos IPv6 mais recentes. Como os dispositivos e conteúdos IPv6 não são compatíveis com versões anteriores do IPv4, as estratégias de migração do IPv6 precisam oferecer suporte à coexistência de ambos. O BIG-IP CGNAT oferece escalabilidade de nível de operadora com um alto número de conversões de endereços IP, taxas de configuração de conversão de NAT rápidas, alto rendimento e registro em alta velocidade.

O BIG-IP CGNAT permite que você continue a fornecer conectividade IPv4 e lide com um grande número de sessões simultâneas enquanto gerencia o esgotamento de endereços IPv4 e planeja uma migração perfeita para IPv6. A funcionalidade inclui NAT em larga escala, NAT 44 (NAPT, PAT, alocação de bloco de porta [PBA]), NAT 444, NAT64/DNS64, 464xlat, protocolo de controle de porta (PCP), persistência de endereço/porta, mapeamento e filtragem independentes de ponto de extremidade (EIM/EIF), hairpinning, PIM-DM e vários gateways de camada de aplicativo, incluindo FTP, SIP, RTSP, PPTP, FTPS, FTP sobre TLS, FTPS explícito, TFTP, IP Sec IKEv2 e ESP. Um dos maiores benefícios do CGNAT em uma rede de provedores de serviços é a capacidade de efetivamente “recuperar” grandes blocos de espaço de endereço IPv4 roteável publicamente da rede “de ponta” do cliente e disponibilizá-lo para uso em outras partes da rede — ou para expandir o negócio além das alocações de IPv4 de propriedade de uma rede. Ao usar a alocação de bloco de portas (PBA), é possível ver um retorno de até 35 para 1 em um recurso de pool NAT (LSN) de grande escala por meio do sistema BIG-IP CGNAT.

O BIG-IP CGNAT tem um recurso NAT determinístico que mapeia endereços IP privados específicos para endereços IP públicos e reduz os requisitos de registro. Adicionar o BIG-IP Policy Enforcement Manager (PEM) significa que as operadoras podem ter uma melhor compreensão do que os assinantes estão fazendo na rede e podem vincular as configurações do CGNAT aos planos de serviço com políticas com reconhecimento de destino.

2. Escala para a Internet das Coisas (IoT)

Até 2025, de acordo com a GSMA, haverá 24,6 bilhões de conexões de IoT , contra 12 bilhões em 2019. Dar suporte à IoT requer uma escala massiva. De carros conectados a casas inteligentes, medidores inteligentes e muito mais, o BIG-IP CGNAT ajuda os provedores de serviços a dimensionar com eficiência para dar suporte a milhões de dispositivos de IoT, cada um exigindo um endereço de rede. O BIG-IP CGNAT pode ser dimensionado para dezenas de milhões de traduções de endereços IP, fornecer taxas de configuração de tradução na ordem de um milhão por segundo e oferecer dezenas de gigabits de desempenho. Os recursos de registro de alta velocidade (HSL) melhoram ainda mais o desempenho. Isso significa que você pode reduzir custos, pois pode lidar com suas necessidades de migração com menos servidores na rede.

3. Segurança de nível de operadora

O CGNAT é amplamente implantado como uma parte importante da estratégia de segurança. Quando combinado com o BIG-IP AFM, o BIG-IP CGNAT oferece todos os benefícios de um firewall de alto desempenho. Isso inclui firewall de rede com reconhecimento de identidade/assinante com ACLs integradas, IPS e proteções DDoS. Além disso, os recursos de reconhecimento de sessão fornecem recursos de mitigação contra ataques DoS sofisticados de camada 7 que não seriam detectados com uma solução somente de camada 4. Trabalhando juntos, o BIG-IP AFM e o BIG-IP CGNAT oferecem suporte à correspondência da lista de endereços do firewall e da lista de portas para os endereços de origem e destino, juntamente com um protocolo para selecionar a política NAT.

A conscientização sobre assinantes e endpoints permite insights sobre o tráfego de rede para otimização e monetização, além de permitir a aplicação de políticas de segurança personalizadas e baseadas em classes de assinantes. Por exemplo, uma política específica poderia ser fornecida para uma série de dispositivos finais de IoT específicos. A conscientização do assinante para BIG-IP AFM e BIG-IP CGNAT permite o enriquecimento de log com ID do assinante para firewall e CGNAT (logs NAPT e PBA), descoberta de assinante e provisionamento de política dinâmica para firewalls.

4. Consolidação de funções para redução de custos operacionais e monetização de serviços

Eficiência é a chave para reduzir custos e aumentar as margens.A família F5 BIG-IP permite que as principais funções do provedor de serviços sejam consolidadas de forma eficiente em uma única solução de alto desempenho. Por exemplo, o BIG-IP CGNAT pode ser implantado estrategicamente com o BIG-IP Local Traffic Manager (LTM), o BIG-IP PEM e o BIG-IP DNS (cache de DNS). O BIG-IP PEM fornece recursos inteligentes de direcionamento de tráfego que permitem a inspeção de tráfego e direcionamento para serviços com base em perfis de assinantes (por exemplo, níveis de serviço). Ele também oferece um conjunto abrangente de recursos de classificação de tráfego para garantir que você possa determinar com precisão o que os assinantes estão fazendo na rede e, com base nessas informações, oferecer planos de serviço diferenciados, o que, em última análise, leva ao aumento das receitas e ao uso regulamentado da rede.

Uma solução N6 LAN virtualizada, conteinerizada e consolidada da F5 ajuda você a criar um modelo econômico, melhorando o tempo de colocação de novos serviços no mercado e diminuindo a complexidade da rede. Os CNFs e VNFs da F5 são um componente central dentro de uma LAN N6 virtual e eficiente, oferecendo a mais ampla gama de serviços disponíveis na LAN N6.

5. Registro eficiente, conformidade simplificada

O BIG-IP CGNAT se destaca no registro de alto desempenho, que é um requisito de conformidade regulatória para muitos provedores de serviços. Correlacionar endereços IP e uso para usuários (e vice-versa) pode ser tedioso, demorado e caro. O BIG-IP CGNAT oferece recursos de registro abrangentes e flexíveis que podem armazenar informações como tradução de endereços IP privados para públicos, endereços de destino de URL/URI, números de porta, horários do dia e outros detalhes de sessão personalizados. O CGNAT permite logs eficientes e personalizáveis, como a capacidade de inserir campos MSISDN/IMSI e URL/URI de destino nos logs.

O BIG-IP CGNAT oferece suporte ao Internet Protocol Flow Information Export (IPFIX), um método de registro NAT mais compactado que o syslog, reduzindo a quantidade de dados por entrada de registro, o que, por sua vez, reduz custos. Os cabeçalhos de extensão de pacotes IPv6 podem ser examinados e filtrados. Isso aumenta os recursos de visibilidade do tráfego IPv6 para investigações de eventos ou auditorias. O BIG-IP CGNAT também gerencia com eficiência conjuntos de PBA para gerenciar exclusões de forma otimizada e simplificar fluxos de trabalho. Os logs também podem ser complementados com informações do assinante, como MSISDN.

Inovações recentes melhoram o desempenho do CGNAT com geração de logs de alta velocidade de eventos de segurança individuais. Eles são controlados de forma independente para política de firewall, DDoS, inteligência de IP, uso indevido de porta, inspeção de protocolo, inteligência de tráfego e destinos de NAT e log e publicadores consistentes com a estrutura de registro de alta velocidade BIG-IP. A capacidade de personalizar campos de log de firewall e NAT reduz o custo de geração, transmissão, análise e armazenamento de mensagens de log, aumentando o desempenho ao registrar apenas os campos necessários e, ao mesmo tempo, mantendo as informações do assinante para logs de firewall e NAT.

O BIG-IP CGNAT pode ser dimensionado para comportar a geração de milhões de registros de log e exportá-los para um servidor de log do sistema.Ele também pode fornecer balanceamento de carga e UDP. As opções flexíveis oferecem suporte a uma ampla variedade de coletores de log, que incluem limitação de taxa de log, transporte UDP e TCP, opções de balanceamento de carga e replicação e formatos Syslog, IPFIX, Splunk e ArcSight.

6. Pronto para NFV e contêiner

O BIG-IP CGNAT pode ser implantado em hardware de alto desempenho ou em software como um VNF (BIG-IP Virtual Edition), como parte da solução NFV S/Gi-LAN, Gi Firewall ou CGNAT da F5, ou como um CNF. A F5 pode ajudar na sua transição para arquiteturas definidas por software e nuvem com plataformas de entrega de aplicativos virtuais que fornecem uma maneira ágil, flexível e eficiente de implantar serviços avançados de aplicativos e segurança. A implantação em software aumenta a agilidade e alcança automação e orquestração em arquiteturas de nuvem.

Usar essas soluções como parte da solução empacotada F5 NFV para Gi Firewall, S/Gi LAN ou CGNAT simplifica a compra, a implantação e o gerenciamento com o auxílio do F5 VNF Manager. Os pacotes são adquiridos em uma base de 5, 10 ou 50 Gbps, e você pode aproveitar a opção “Usar antes de comprar” conforme o volume de tráfego do serviço aumenta. Clique aqui para acessar a visão geral das Soluções em Pacote NFV e saber mais sobre esta opção.

Descarregamento SmartNIC para BIG-IP VE: Aumente o desempenho do CGNAT e reduza o TCO

Ao executar o CGNAT, há duas funções principais que exigem poder de computação significativo: executar a tradução real de um endereço IP para outro e registrar essa tradução, conforme exigido pelos EUA. Lei de Assistência de Comunicação para Aplicação da Lei (CALEA).  Os SmartNICs são a mais recente adição à família de placas de interface de rede (NIC) e podem fornecer uma solução para implantações CGNAT virtuais (VNF).

Com componentes programáveis integrados, como FPGAs, NPUs ou SoCs, os SmartNICs podem executar funções de rede especificadas pelo usuário em nome dos aplicativos ou servidores aos quais estão conectados, aliviando a pressão sobre os recursos da CPU e melhorando significativamente o desempenho. Ao transferir a funcionalidade CGNAT de um F5 BIG-IP VE para um Intel FPGA PAC N3000 SmartNIC, o rendimento total do sistema pode ser melhorado em cerca de 30%. Mais importante, a utilização da CPU do BIG-IP VE também pode ser reduzida em aproximadamente 80%, ajudando a evitar que o VE fique sobrecarregado! Veja a visão geral do BIG-IP VE para SmartNICs para mais informações. 

Conclusão

O CGNAT provou ser uma ferramenta indispensável para dar suporte às transições para o IPv6 e continua a provar seu valor nas redes atuais, ajudando a dimensionar e proteger redes. Para provedores de serviços que desejam otimizar a escalabilidade de sua rede para IPv6, IoT e 5G, o BIG-IP CGNAT fornece uma estratégia de endereço IP segura e integrada como parte de um conjunto de funções de rede consolidadas.