15. Carrier
Grade
Nat
˥ Carrier
Grade
Nat
(CGN),
also
knows
as
large-‐scale
NAT
(LSN),
is
an
approach
to
IPv4
network
design
in
which
end
sites,
in
parecular
resideneal
networks,
are
configured
with
private
network
addresses
that
are
translated
to
public
IPv4
addresses
by
middlebox
network
address
translator
devices
embedded
in
the
network
operator's
network,
permirng
the
sharing
of
small
pools
of
public
addresses
among
many
end
sites.
This
shiss
the
NAT
funceon
and
configuraeon
thereof
from
the
customer
premise
to
the
Internet
service
provider
network.
• Wikipedia
22. NAT64
v6 Internet
v6 Network
v6 Core Network
UE/HG
v6 Servers
v4 Internet
v6 Host
v6 Access/
Distribution
Router
NAT64
DNS64
23. NAT64
NAT
Binding
IN:
2001:db8::1
+
port
12345
OUT:
1.2.3.4
+
port:
45678
2001:db8::1
NAT
IPv6
CPE
IPv6
packet
IPv6
src:
2001:db8::1
IPv6
dst:
2009:db9:7
(AAAA
generated
by
DNS64
to
match
www.nanog.org)
IPv6
src
port:
12345
IPv6
dst
port:
80
IPv4
packet
IPv4
src:
1.2.3.4
(from
the
pool
of
the
ISP)
IPv4
dst:
198.108.95.21
IPv4
src
port:
45678
IPv4
dst
port:
80
NAT64 IPv4
24. DS-‐Lite
v6
Internet
v6
CPE/Device
with
DS-‐Lite
(B4)
Support
v6
Core
Network
UE/HG
Dual-‐Stack
v4
Internet
v6
Access/
Distribueon
Router
IPv6/IPv4
Soswire
IPv46IPv4
Soswire
IPv6
IPv6/IPv4
Soswire
AFTR
25. AFTR
NAT
Binding
IN:
IPv6
WAN
address
of
CPE
+
192.168.1.3
+
port
12345
OUT:
1.2.3.4
+
port:
45678
CPE
using
Protocol:
IP
in
IP
[encapsulaeon]
192.168.1.3
NAT
IPv6
CPE
DS-‐Lite
IPv4
packet
IPv4
src:
192.168.1.3
IPv4
dst:
198.108.95.21
IPv4
src
port:
12345
IPv4
dst
port:
80
IPv6
packet
IPv6
src:
CPE
IPv6
address
IPv6
dst:
AFTR
IPv6
address
IPv4
packet
IPv4
src:
1.2.3.4
(from
the
pool
of
the
ISP)
IPv4
dst:
198.108.95.21
IPv4
src
port:
45678
IPv4
dst
port:
80
IPv4
packet
IPv4
src:
192.168.1.3
IPv4
dst:
198.108.95.21
IPv4
src
port:
12345
IPv4
dst
port:
80
AFTR IPv4
26. Dodatkowe
informacje
z
ankiety
dotyczące
IPv6
˥ Szkolenie
dla
osób
technicznych
˥ Wymiana
oprogramowania
do
zarządzania
˥ Wprowadzenie
następnego
protokołu
do
sieci
(dual-‐stack)
˥ Urządzenia
klienckie
nieprzystosowane
do
IPv6
(stare
windowsy,
konsole)
˥ Wymiana
urządzeń
operatora
˥ Mała
liczba
contentu
IPv6
28. Przewodnik
sprzętowy
˥ SRX
5600,
5800
˥ Do
zastosowania
wraz
z
security
˥ MX
240,
480,
960
˥ Roueng,
switching
29. Przewodnik
sprzętowy
MX-‐series
Hardware
with
Junos
11.2
˥ 19
Gbps
throughput
per
MS-‐DPC
/Slot
(IMIX,
uni-‐direceonal)
˥ 17M
total
flows
per
MS-‐DPC
/Slot
(1
session
=
2
flows)
˥ 600k
flows/sec
ramp-‐up
rate
per
MS-‐DPC/
Slot
˥ 1.2M
flows/sec
with
PBA
˥ No
logging
ramp-‐up
rate
impact
2
NPUs
per
MS-‐
DPC
Up
to
8
MS-‐DPC
per
MX
chassis
30. NAT Type
Options available
Basic-NAT44 • Source Nat pool with address-range/ prefix
• translation type is source static
Basic-NAT66 • Nat pool with IPv6 address-range/prefix
• translation type source static
NAPT44 • Source Nat pool with address-range/ prefix and port range
• Translation type is source dynamic
NAPT66 • Source Nat pool with IPv6 address-range/prefix and port range
• Translation type is source dynamic
Dynamic-NAT44 • Source Nat pool with address-range/prefix
• translation type is source dynamic
Basic-NAT-PT • Source Nat pool with Ipv4 address-range/prefix
• Destination Nat pool with /96 prefix
• NAT match condition has IPv6 address/address-range
• translation type is source dynamic destination static
NAPT-PT • Source Nat pool with Ipv4 address-range/prefix and port-range
• Destination Nat pool with /96 prefix
• NAT match condition has IPv6 address/address-range
• translation type is source dynamic destination static
Twice-NAT44 • Source Nat pool with address-range/prefix
• Destination Nat pool with address-range/prefix
• translation type is source dynamic destination static
Stateful-nat64 • Source
Nat
pool
with
address-‐range/
prefix
and
port
range
• Translaeon
type
is
source
dynamic
• Translate between address families v6 to v4
31. Historia
pewnego
wdrożenia
˥ Blisko
rok
testów
˥ Nietypowe
konfiguracje
˥ 60000
linii
w
konfiguracji
˥ Nowe
EIM’y
dopasowane
do
użytkowników
˥ Współpraca
z
użytkownikami
w
zakresie
dziwnych
aplikacji
˥ ALG
–
Applicaeon
Layer
Gateway
˥ Address
pairing
˥ EIM
–
Endpoint
Independent
Mapping
˥ EIF
–
Endpoint
Independent
Forwarding
˥ Timery
˥ Address
allocaeon
32. A
teraz
z
innej
beczki
˥ Testy
miesięczne
˥ Wypracowana
konfiguracja
˥ Klient
zadowolony,
kilka
drobnych
poprawek
33. CGN
NAT44,
NAT444
˥ Zagadnienia
do
przemyślenia
˥ Ilu
użytkowników
per
1
adres
IP?
˥ Gdzie
ja
to
wszystko
zaloguje?
˥ Rozproszony
vs
na
brzegu
38. Ilu
użytkowników
per
IP?
˥ A
ile
zmieści?
˥ 1
adres
IP
to
65536
˥ 256
portów
per
użytkownik
=
256
użytkowników
na
adres
IP???
˥ Jak
najbardziej
równomierne
rozłożenie
po
puli
adresów
publicznych
39. Logowanie
˥ Wielkość
pakietu
–
adres
źródłowy,
docelowy,
porty,
czas,
informacje
dodatkowe,
ok.
32
bajty
˥ 10000/s
-‐>
320KB/s
˥ 100000/s
-‐>
3,2MB/s
˥ Przykładowe
obliczenia
dla
100000
użytkowników:
˥ 32
bajty
*
(liczba
sesji
dla
100000
na
dzień)
*
365
dni
=
32
bajty
*
0,86G
*
365
=
ok
90TB
41. Lokalizacja
CGNAT
˥ Rozproszona
˥ Potrzebna
większa
ilość
˥ Niekoniecznie
duża
wydajność
˥ Redundancja?
˥ Zcentralizowana
˥ Łatwiejsze
zarządzanie,
logowanie,
debugowanie
˥ Brak
zmian
w
strukturze
dystrybucyjnej
˥ Problem
z
wieloma
wyjściami
˥ Duża
wydajność
˥ Redundancja
42. Myśli
różne
˥ Nie
próbujcie
tego
w
labie
˥ IPv6
is
a
must
˥ CGN
pomaga
w
łagodnym
przejściu
do
IPv6
˥ CGN
wydłuża
życie
IPv4
˥ Kolejny
NAT
w
sieci