Carrier Grade NAT. Jacek Skowyra

Carrier Grade NAT Jacek Skowyra

Agenda Co było? Trochę historii Co jest? Czy już pora się obudzić? Co będzie? IPv6 dla każdego

D. Clark L. Chapin V. Cerf R. Braden R. Hobby

Historia 1988 WWW CERN 1991 RFC 1287 1995 RFC 1883 - > 2460 IPv6 Kwiecień 2003 ipv4 adresy ip wg RIPE skończą się w 2012 Luty 2012 Infradata Polska 14 wrzesień 2012 RIPE ostatnie /8 w RIPE

Liczba adresów IPv4-4.294.967.295 IPv5 -? IPv6-340.282.366.920.938.463.463.374.607.431.768.211.456 To jest 4.8 10 28 na osobę

Kino OKO przedstawia

RIPE- 553 Seceon 5.6 /22 per LIR - 1024 Zaprzestano przydzielania nowej adresacji PI bezpośrednio z RIPE

Co teraz? Damy radę!!! Od jutra tylko IPv6 Dolewać zimnej wody!!! Zróbmy to płynnie

Damy radę Ipv4 exchange hkp://tradeipv4.com NAT44 na CE

IPv6

Carrier Grade NAT Translacja Nat 44 Nat444 100.64.0.0/10 NAT64,DNS64 Tunelowanie 6rd Ds- lite

Carrier Grade Nat Carrier Grade Nat (CGN), also knows as large- scale NAT (LSN), is an approach to IPv4 network design in which end sites, in parecular resideneal networks, are configured with private network addresses that are translated to public IPv4 addresses by middlebox network address translator devices embedded in the network operator's network, permirng the sharing of small pools of public addresses among many end sites. This shiss the NAT funceon and configuraeon thereof from the customer premise to the Internet service provider network. Wikipedia

A co na naszym podwórku? ANKIETA

Wyniki ankiety NAT44, NAT444 6rd NAT64 Ds- lite

NAT444 RFC1918 v4 hosts RFC1918 v4 Internet UE/HG CGN v4 host v4 Access Router v4 CPE NAT

IPv4 packet IPv4 src: 192.168.1.3 IPv4 dst: 198.108.95.21 IPv4 src port: 12345 IPv4 dst port: 80 IPv4 packet IPv4 src: 10.6.7.8 (ISP RFC1918 internal) IPv4 dst: 198.108.95.21 IPv4 src port: 23456 IPv4 dst port: 80 IPv4 packet IPv4 src: 1.2.3.4 (from the pool of the ISP) IPv4 dst: 198.108.95.21 IPv4 src port: 45678 IPv4 dst port: 80 192.168.1.3 IPv4 CPE NAT CGN NAT IPv4 CPE NAT Binding CGN NAT Binding IN: 192.168.1.3 + port 12345 IN: 10.6.7.8 + port 23456 OUT: 10.6.7.8 + port: 23456 OUT: 1.2.3.4 + port: 45678

CGN 6rd RFC1918 Dual- Stack RFC1918 v6 Internet UE/HG IPv4/IPv6 Soswire IPv4/IPv6 Soswire 6rd relay v4 only v4 Access Router IPv4/NAT v4 Internet v4 CPE with 6rd Support

IPv6 packet IPv6 src: 2001:db8::1 IPv6 dst: 2001:4860:8010::63 IPv6 src port: 12345 IPv6 dst port: 80 IPv4 packet IPv4 src: CPE IPv4 address IPv4 dst: 6rd relay IPv6 packet IPv6 src: 2001:db8::1 IPv6 dst: 2001:4860:8010::63 IPv6 src port: 12345 IPv6 dst port: 80 IPv6 packet IPv6 src: 2001:db8::1 IPv6 dst: 2001:4860:8010::63 IPv6 src port: 12345 IPv6 dst port: 80 2001:db8::1 IPv6 CPE 6rd 6rd IPv6 ipv6.google.com 2001:4860:8010::63 No binding table on 6rd relay 6rd is Stateless.

NAT64 v6 Servers v6 Internet NAT64 v6 Host UE/HG v6 Network v6 Access/ Distribution Router DNS64 v4 Internet v6 Core Network

IPv6 packet IPv6 src: 2001:db8::1 IPv6 dst: 2009:db9:7 (AAAA generated by DNS64 to match www.nanog.org) IPv6 src port: 12345 IPv6 dst port: 80 IPv4 packet IPv4 src: 1.2.3.4 (from the pool of the ISP) IPv4 dst: 198.108.95.21 IPv4 src port: 45678 IPv4 dst port: 80 2001:db8::1 IPv6 CPE NAT64 IPv4 NAT64 NAT Binding NAT IN: 2001:db8::1 + port 12345 OUT: 1.2.3.4 + port: 45678

DS- Lite Dual- Stack v6 Internet IPv46IPv4 Soswire IPv6 UE/HG IPv6/IPv4 Soswire v6 Access/ Distribueon Router IPv6/IPv4 Soswire AFTR v4 Internet v6 CPE/Device with DS- Lite (B4) Support v6 Core Network

IPv4 packet IPv4 src: 192.168.1.3 IPv4 dst: 198.108.95.21 IPv4 src port: 12345 IPv4 dst port: 80 IPv6 packet IPv6 src: CPE IPv6 address IPv6 dst: AFTR IPv6 address IPv4 packet IPv4 src: 192.168.1.3 IPv4 dst: 198.108.95.21 IPv4 src port: 12345 IPv4 dst port: 80 IPv4 packet IPv4 src: 1.2.3.4 (from the pool of the ISP) IPv4 dst: 198.108.95.21 IPv4 src port: 45678 IPv4 dst port: 80 192.168.1.3 IPv6 CPE DS- Lite AFTR NAT Binding AFTR NAT IPv4 IN: IPv6 WAN address of CPE + 192.168.1.3 + port 12345 OUT: 1.2.3.4 + port: 45678 CPE using Protocol: IP in IP [encapsulaeon]

Dodatkowe informacje z ankiety dotyczące IPv6 Szkolenie dla osób technicznych Wymiana oprogramowania do zarządzania Wprowadzenie następnego protokołu do sieci (dual- stack) Urządzenia klienckie nieprzystosowane do IPv6 (stare windowsy, konsole) Wymiana urządzeń operatora Mała liczba contentu IPv6

DOŚWIADCZENIA

Przewodnik sprzętowy SRX 5600, 5800 Do zastosowania wraz z security MX 240, 480, 960 Roueng, switching

Przewodnik sprzętowy MX- series Hardware with Junos 11.2 19 Gbps throughput per MS- DPC /Slot (IMIX, uni- direceonal) 17M total flows per MS- DPC /Slot (1 session = 2 flows) 600k flows/sec ramp- up rate per MS- DPC/ Slot 1.2M flows/sec with PBA No logging ramp- up rate impact Up to 8 MS- DPC per MX chassis 2 NPUs per MS- DPC

NAT Type Options available Basic-NAT44 Source Nat pool with address-range/ prefix translation type is source static Basic-NAT66 Nat pool with IPv6 address-range/prefix translation type source static NAPT44 Source Nat pool with address-range/ prefix and port range Translation type is source dynamic NAPT66 Source Nat pool with IPv6 address-range/prefix and port range Translation type is source dynamic Dynamic-NAT44 Source Nat pool with address-range/prefix translation type is source dynamic Basic-NAT-PT Source Nat pool with Ipv4 address-range/prefix Destination Nat pool with /96 prefix NAT match condition has IPv6 address/address-range translation type is source dynamic destination static NAPT-PT Source Nat pool with Ipv4 address-range/prefix and port-range Destination Nat pool with /96 prefix NAT match condition has IPv6 address/address-range translation type is source dynamic destination static Twice-NAT44 Source Nat pool with address-range/prefix Destination Nat pool with address-range/prefix translation type is source dynamic destination static Stateful-nat64 Source Nat pool with address- range/ prefix and port range Translaeon type is source dynamic Translate between address families v6 to v4

Historia pewnego wdrożenia Blisko rok testów Nietypowe konfiguracje 60000 linii w konfiguracji Nowe EIM y dopasowane do użytkowników Współpraca z użytkownikami w zakresie dziwnych aplikacji ALG Applicaeon Layer Gateway Address pairing EIM Endpoint Independent Mapping EIF Endpoint Independent Forwarding Timery Address allocaeon

A teraz z innej beczki Testy miesięczne Wypracowana konfiguracja Klient zadowolony, kilka drobnych poprawek

CGN NAT44, NAT444 Zagadnienia do przemyślenia Ilu użytkowników per 1 adres IP? Gdzie ja to wszystko zaloguje? Rozproszony vs na brzegu

30 połączeń

20 połączeń

15 połączeń

Podziękowania dla Shin a Miyakawa z NTT

Ilu użytkowników per IP? A ile zmieści? 1 adres IP to 65536 256 portów per użytkownik = 256 użytkowników na adres IP??? Jak najbardziej równomierne rozłożenie po puli adresów publicznych

Logowanie Wielkość pakietu adres źródłowy, docelowy, porty, czas, informacje dodatkowe, ok. 32 bajty 10000/s - > 320KB/s 100000/s - > 3,2MB/s Przykładowe obliczenia dla 100000 użytkowników: 32 bajty * (liczba sesji dla 100000 na dzień) * 365 dni = 32 bajty * 0,86G * 365 = ok 90TB

Logowanie Inline NAT Determinisec NAT Port Block Allocaeon

Lokalizacja CGNAT Rozproszona Potrzebna większa ilość Niekoniecznie duża wydajność Redundancja? Zcentralizowana Łatwiejsze zarządzanie, logowanie, debugowanie Brak zmian w strukturze dystrybucyjnej Problem z wieloma wyjściami Duża wydajność Redundancja

Myśli różne Nie próbujcie tego w labie IPv6 is a must CGN pomaga w łagodnym przejściu do IPv6 CGN wydłuża życie IPv4 Kolejny NAT w sieci