Carrier Grad NAT

1.
Carrier
Grade
NAT
Jacek
Skowyra

2. Agenda
˥ Co
było?
˥ Trochę
historii
˥ Co
jest?
˥ Czy
już
pora
się
obudzić?
˥ Co
będzie?
˥ IPv6
dla
każdego

3. ˥ D.
Clark
˥ L.
Chapin
˥ V.
Cerf
˥ R.
Braden
˥ R.
Hobby

5. Historia
˥ 1988
WWW
CERN
˥ 1991
RFC
1287
˥ 1995
RFC
1883
-­‐>
2460
IPv6
˥ Kwiecień
2003
ipv4
adresy
ip
wg
RIPE
skończą
się
w
2012
˥ Luty
2012
Infradata
Polska
˥ 14
wrzesień
2012
RIPE
ostatnie
/8
w
RIPE

6. Liczba
adresów
˥ IPv4
-­‐
4.294.967.295
˥ IPv5
-­‐
?
˥ IPv6
-­‐
340.282.366.920.938.463.463.374.607.431.768.211.456
˥ To
jest
4.8×1028
na
osobę

8. Kino
OKO
przedstawia

10. RIPE-­‐553
Seceon
5.6
˥ /22
per
LIR
-­‐
1024
˥ Zaprzestano
przydzielania
nowej
adresacji
PI
bezpośrednio
z
RIPE

11. Co
teraz?
˥ Damy
radę
!!!
˥ Od
jutra
tylko
IPv6
˥ Dolewać
zimnej
wody!!!
Zróbmy
to
płynnie

12. Damy
radę
˥ Ipv4
exchange
˥ hkp://tradeipv4.com
˥ NAT44
na
CE

13. IPv6

14. Carrier
Grade
NAT
˥ Translacja
˥ Nat
44
˥ Nat444
˥ 100.64.0.0/10
˥ NAT64,DNS64
˥ Tunelowanie
˥ 6rd
˥ Ds-­‐lite

15. Carrier
Grade
Nat
˥ Carrier
Grade
Nat
(CGN),
also
knows
as
large-­‐scale
NAT
(LSN),
is
an
approach
to
IPv4
network
design
in
which
end
sites,
in
parecular
resideneal
networks,
are
configured
with
private
network
addresses
that
are
translated
to
public
IPv4
addresses
by
middlebox
network
address
translator
devices
embedded
in
the
network
operator's
network,
permirng
the
sharing
of
small
pools
of
public
addresses
among
many
end
sites.
This
shiss
the
NAT
funceon
and
configuraeon
thereof
from
the
customer
premise
to
the
Internet
service
provider
network.
• Wikipedia

16. A
co
na
naszym
podwórku?
ANKIETA

17. Wyniki
ankiety”
˥ NAT44,
NAT444
˥ …
˥ 6rd
˥ NAT64
˥ Ds-­‐lite

18. NAT444
CGN
v4
Internet
v4
Access
Router
v4
CPE
NAT
RFC1918
UE/HG
RFC1918
v4
host
v4
hosts

19.
CPE
NAT
Binding
CGN
NAT
Binding
IN:
192.168.1.3
+
port
12345
IN:
10.6.7.8
+
port
23456
OUT:
10.6.7.8
+
port:
23456
OUT:
1.2.3.4
+
port:
45678
192.168.1.3
IPv4
CPE
NAT
IPv4
packet
IPv4
src:
192.168.1.3
IPv4
dst:
198.108.95.21
IPv4
src
port:
12345
IPv4
dst
port:
80
IPv4
packet
IPv4
src:
10.6.7.8
(ISP
RFC1918
internal)
IPv4
dst:
198.108.95.21
IPv4
src
port:
23456
IPv4
dst
port:
80
IPv4
packet
IPv4
src:
1.2.3.4
(from
the
pool
of
the
ISP)
IPv4
dst:
198.108.95.21
IPv4
src
port:
45678
IPv4
dst
port:
80
NAT
CGN
IPv4

20. CGN
6rd
v6
Internet
v4
CPE
with
6rd
Support
RFC1918
UE/HG
Dual-­‐Stack
v4
Internet
IPv4/NAT
v4
only
v4
Access
Router
IPv4/IPv6
Soswire
6rd
relay
IPv4/IPv6
Soswire
RFC1918

21. No
binding
table
on
6rd
relay
6rd
is
Stateless.
2001:db8::1 IPv6
CPE
6rd
IPv6
packet
IPv6
src:
2001:db8::1
IPv6
dst:
2001:4860:8010::63
IPv6
src
port:
12345
IPv6
dst
port:
80
IPv4
packet
IPv4
src:
CPE
IPv4
address
IPv4
dst:
6rd
relay
IPv6
packet
IPv6
src:
2001:db8::1
IPv6
dst:
2001:4860:8010::63
IPv6
src
port:
12345
IPv6
dst
port:
80
IPv6
packet
IPv6
src:
2001:db8::1
IPv6
dst:
2001:4860:8010::63
IPv6
src
port:
12345
IPv6
dst
port:
80
6rd IPv6
ipv6.google.com
2001:4860:8010::63

22. NAT64
v6 Internet
v6 Network
v6 Core Network
UE/HG
v6 Servers
v4 Internet
v6 Host
v6 Access/
Distribution
Router
NAT64
DNS64

23. NAT64
NAT
Binding
IN:
2001:db8::1
+
port
12345
OUT:
1.2.3.4
+
port:
45678
2001:db8::1
NAT
IPv6
CPE
IPv6
packet
IPv6
src:
2001:db8::1
IPv6
dst:
2009:db9:7
(AAAA
generated
by
DNS64
to
match
www.nanog.org)
IPv6
src
port:
12345
IPv6
dst
port:
80
IPv4
packet
IPv4
src:
1.2.3.4
(from
the
pool
of
the
ISP)
IPv4
dst:
198.108.95.21
IPv4
src
port:
45678
IPv4
dst
port:
80
NAT64 IPv4

24. DS-­‐Lite
v6
Internet
v6
CPE/Device
with
DS-­‐Lite
(B4)
Support
v6
Core
Network
UE/HG
Dual-­‐Stack
v4
Internet
v6
Access/
Distribueon
Router
IPv6/IPv4
Soswire
IPv46IPv4
Soswire
IPv6
IPv6/IPv4
Soswire
AFTR

25. AFTR
NAT
Binding
IN:
IPv6
WAN
address
of
CPE
+
192.168.1.3
+
port
12345
OUT:
1.2.3.4
+
port:
45678
CPE
using
Protocol:
IP
in
IP
[encapsulaeon]
192.168.1.3
NAT
IPv6
CPE
DS-­‐Lite
IPv4
packet
IPv4
src:
192.168.1.3
IPv4
dst:
198.108.95.21
IPv4
src
port:
12345
IPv4
dst
port:
80
IPv6
packet
IPv6
src:
CPE
IPv6
address
IPv6
dst:
AFTR
IPv6
address
IPv4
packet
IPv4
src:
1.2.3.4
(from
the
pool
of
the
ISP)
IPv4
dst:
198.108.95.21
IPv4
src
port:
45678
IPv4
dst
port:
80
IPv4
packet
IPv4
src:
192.168.1.3
IPv4
dst:
198.108.95.21
IPv4
src
port:
12345
IPv4
dst
port:
80
AFTR IPv4

26. Dodatkowe
informacje
z
ankiety
dotyczące
IPv6
˥ Szkolenie
dla
osób
technicznych
˥ Wymiana
oprogramowania
do
zarządzania
˥ Wprowadzenie
następnego
protokołu
do
sieci
(dual-­‐stack)
˥ Urządzenia
klienckie
nieprzystosowane
do
IPv6
(stare
windowsy,
konsole)
˥ Wymiana
urządzeń
operatora
˥ Mała
liczba
contentu
IPv6

27. ˥ DOŚWIADCZENIA

28. Przewodnik
sprzętowy
˥ SRX
5600,
5800
˥ Do
zastosowania
wraz
z
security
˥ MX
240,
480,
960
˥ Roueng,
switching

29. Przewodnik
sprzętowy
MX-­‐series
Hardware
with
Junos
11.2
˥ 19
Gbps
throughput
per
MS-­‐DPC
/Slot
(IMIX,
uni-­‐direceonal)
˥ 17M
total
flows
per
MS-­‐DPC
/Slot
(1
session
=
2
flows)
˥ 600k
flows/sec
ramp-­‐up
rate
per
MS-­‐DPC/
Slot
˥ 1.2M
flows/sec
with
PBA
˥ No
logging
ramp-­‐up
rate
impact
2
NPUs
per
MS-­‐
DPC
Up
to
8
MS-­‐DPC
per
MX
chassis

30. NAT Type
Options available
Basic-NAT44 • Source Nat pool with address-range/ prefix
• translation type is source static
Basic-NAT66 • Nat pool with IPv6 address-range/prefix
• translation type source static
NAPT44 • Source Nat pool with address-range/ prefix and port range
• Translation type is source dynamic
NAPT66 • Source Nat pool with IPv6 address-range/prefix and port range
• Translation type is source dynamic
Dynamic-NAT44 • Source Nat pool with address-range/prefix
• translation type is source dynamic
Basic-NAT-PT • Source Nat pool with Ipv4 address-range/prefix
• Destination Nat pool with /96 prefix
• NAT match condition has IPv6 address/address-range
• translation type is source dynamic destination static
NAPT-PT • Source Nat pool with Ipv4 address-range/prefix and port-range
• Destination Nat pool with /96 prefix
• NAT match condition has IPv6 address/address-range
• translation type is source dynamic destination static
Twice-NAT44 • Source Nat pool with address-range/prefix
• Destination Nat pool with address-range/prefix
• translation type is source dynamic destination static
Stateful-nat64 • Source
Nat
pool
with
address-­‐range/
prefix
and
port
range
• Translaeon
type
is
source
dynamic
• Translate between address families v6 to v4

31. Historia
pewnego
wdrożenia
˥ Blisko
rok
testów
˥ Nietypowe
konfiguracje
˥ 60000
linii
w
konfiguracji
˥ Nowe
EIM’y
dopasowane
do
użytkowników
˥ Współpraca
z
użytkownikami
w
zakresie
dziwnych
aplikacji
˥ ALG
–
Applicaeon
Layer
Gateway
˥ Address
pairing
˥ EIM
–
Endpoint
Independent
Mapping
˥ EIF
–
Endpoint
Independent
Forwarding
˥ Timery
˥ Address
allocaeon

32. A
teraz
z
innej
beczki
˥ Testy
miesięczne
˥ Wypracowana
konfiguracja
˥ Klient
zadowolony,
kilka
drobnych
poprawek

33. CGN
NAT44,
NAT444
˥ Zagadnienia
do
przemyślenia
˥ Ilu
użytkowników
per
1
adres
IP?
˥ Gdzie
ja
to
wszystko
zaloguje?
˥ Rozproszony
vs
na
brzegu

34. 30
połączeń

35. 20
połączeń

36. 15
połączeń

37. ˥ Podziękowania
dla
Shin’a
Miyakawa
z
NTT

38. Ilu
użytkowników
per
IP?
˥ A
ile
zmieści?
˥ 1
adres
IP
to
65536
˥ 256
portów
per
użytkownik
=
256
użytkowników
na
adres
IP???
˥ Jak
najbardziej
równomierne
rozłożenie
po
puli
adresów
publicznych

39. Logowanie
˥ Wielkość
pakietu
–
adres
źródłowy,
docelowy,
porty,
czas,
informacje
dodatkowe,
ok.
32
bajty
˥ 10000/s
-­‐>
320KB/s
˥ 100000/s
-­‐>
3,2MB/s
˥ Przykładowe
obliczenia
dla
100000
użytkowników:
˥ 32
bajty
*
(liczba
sesji
dla
100000
na
dzień)
*
365
dni
=
32
bajty
*
0,86G
*
365
=
ok
90TB

40. Logowanie
˥ Inline
NAT
˥ Determinisec
NAT
˥ Port
Block
Allocaeon

41. Lokalizacja
CGNAT
˥ Rozproszona
˥ Potrzebna
większa
ilość
˥ Niekoniecznie
duża
wydajność
˥ Redundancja?
˥ Zcentralizowana
˥ Łatwiejsze
zarządzanie,
logowanie,
debugowanie
˥ Brak
zmian
w
strukturze
dystrybucyjnej
˥ Problem
z
wieloma
wyjściami
˥ Duża
wydajność
˥ Redundancja

42. Myśli
różne
˥ Nie
próbujcie
tego
w
labie
˥ IPv6
is
a
must
˥ CGN
pomaga
w
łagodnym
przejściu
do
IPv6
˥ CGN
wydłuża
życie
IPv4
˥ Kolejny
NAT
w
sieci