Large Scale NAT – O que é CGNAT?

Large Scale NAT – O que é CGNAT?

Veja como funciona e o que é CGNAT , entenda os benefícios e as implicações do uso desse serviço.

Para entender melhor o que é CGNAT, precisamos antes falar sobre o Network Address Translation (NAT).

HISTÓRICO DO NAT

O Network Address Translation (NAT) é uma tecnologia que tem sido utilizada por um longo período de tempo e agora tem uma presença omnipresente em firewalls e gateways de internet. Carrier Grade NAT (CGN), também conhecido como Large Scale NAT (LSN), agora está se tornando o novo padrão.

Inicialmente, o NAT tradicional foi usado para traduzir os intervalos de endereços entre duas redes. Na última década, o NAT foi usado para praticamente todas as conexões domésticas ou corporativas, como parte de um roteador Internet doméstico. O principal contributo para a popularidade do NAT é a capacidade de compartilhar um endereço IP global (público) entre múltiplos endereços IP locais (privados).

Os endereços de IP tornaram-se cada vez mais escassos na última década. Os ISPs distribuiriam apenas um endereço IP por assinante doméstico. O esgotamento ficou ainda pior recentemente: em 2011, a Autoridade de Números Atribuídos da Internet (IANA) emitiu os últimos blocos restantes de endereços /8 para os Registros Regionais de Internet (RIR). O NAT pode ajudar a aliviar a falta de endereço IPv4 ao ultrapassar os endereços IP globais remanescentes.

EVOLUÇÃO PARA CGNAT ou CGN

Carrier Grade NAT (CGNAT/ CGNAT), também conhecido como NAT de grande escala (LSN), é o próximo nível para implementações NAT; Ele pretende fornecer uma solução para provedores de serviços de Internet (ISPs) e operadoras, mas também é um bom substituto para dispositivos NAT em uma rede corporativa. O CGNAT permite que essas organizações entreguem conectividade IPv4 transparente e uma experiência de usuário perfeita. As operadoras podem atribuir endereços IPv4 locais (privados) em sua rede de acesso e usar um dispositivo centralizado para gerenciar a tradução de endereços para a Internet global (pública). Esta configuração possui um nível de NAT e também é designado como NAT44. Os dispositivos CPE NAT criam uma segunda camada de tradução; Esta configuração também é conhecida como NAT444.

IMPLICAÇÕES DO USO DE CGNAT

O problema com o NAT é que ele quebra o princípio de end-to-end da rede. Aplicações como peer-to-peer (P2P), VoIP, transmissão de vídeo, tunelamento ou qualquer aplicativo que usa endereços IP na carga útil, sofrem com isso. O comportamento NAT não está totalmente padronizado entre os fornecedores de equipamentos de rede, embora existam RFCs IETF que ajudem a tornar um NAT mais transparente e determinista.

Veja nesse vídeo realizado pelo NIC.BR sobre o funcionamento e implicações no uso de CGNAT:

 

 

BENEFÍCIOS CGNAT

  • Conectividade transparente (EIM / EIF)
  • Hairpinning
  • Quotas de usuários

Conectividade transparente

O CGNAT fornece a conectividade NAT mais transparente para um dispositivo, porque possui recursos como Endpoint Independent Mapping (EIM), Endpoint Independent Filtering (EIF) e Hairpinning. As implementações de NATs tradicionais não permitem quaisquer tráfegos iniciados a partir do exterior (EIM, EIF), ou para protocolos internos para encaminhar o tráfego de volta para dentro (Hairpinning).

Quotas de usuários

Outro aspecto importante do CGNAT é a capacidade de um administrador limitar a quantidade de portas TCP e UDP que podem ser usadas por um único assinante. Isso é crucial para manter a equidade na partilha de recursos e porta entre os assinantes. As “Botnets” usadas nos ataques de Negação Distribuída de Serviço (DDoS) usam uma grande quantidade de conexões por dispositivo final, o que esvazia rapidamente a disponibilidade da porta. Se não for regulado, a conectividade geral para outros assinantes pode ser facilmente comprometida por indivíduos externos.

Controle de dados IP

Enquanto o CGNAT fornece a conectividade NAT mais transparente, alguns protocolos requerem uma consideração especial, por exemplo, eles podem usar combinações de controle e dados IP / porta separadas em suas comunicações, que devem ser traduzidas. Um Application Layer Gateway (ALG) fornece inspeção de pacotes profundos para identificar e permitir a passagem de NAT correta para esses aplicativos.

Técnicas avançadas de registro

Como o endereço IP privado local não é mostrado para a Internet pública, os registros são outro aspecto importante do CGNAT que devem ser considerados. Todos os dispositivos que se conectam à Internet produzem uma infinidade de sessões. O rastreamento de todas as sessões produz uma grande quantidade de mensagens de log. Um dispositivo CGNAT deve fornecer várias técnicas avançadas que ajudam a reduzir o volume de logs, como portagem de portas, Zero-Logging, registro compacto e outros.

Manipulação de grandes quantidades de conexão

O CGNAT é projetado para oversubscription global de endereço IP de grande escala, ao mesmo tempo que fornece a conectividade mais transparente para um usuário. Isso significa que não é apenas uma solução para ISPs e operadoras, mas para empresas também. É por isso que o LSN e o CGNAT são termos que são frequentemente usados ​​indistintamente. A indústria está gravitando em relação ao CGN. Normalmente, os dispositivos CGNAT manipulam grandes quantidades de conexões simultâneas e alta taxa de transferência de banda larga. Observe que, quando um dispositivo NAT (como um firewall ou um balanceador de carga legado) afirma ser de qualidade de operadora, porque ele é capaz de lidar com grandes volumes de tráfego, não significa que seja um dispositivo NAT de categoria de carrier, como alguns fornecedores tentam fazer seus clientes acreditarem.

CASOS DE USO DE CGNAT

A A10 tem muitos clientes em todo o mundo que implantaram com sucesso o CGNAT como parte de sua estratégia de migração IPv6. Por exemplo, uma implantação em uma das maiores operadoras de telefonia móvel do país usa a solução CGNAT da A10 para manter a conectividade IPv4 para o crescente mercado móvel e de smartphones.

Os dispositivos A10 fornecem uma solução CGNAT rica em recursos e alta disponibilidade superior (HA) por causa da sincronização de sessão ativa. Os dispositivos A10 deixam a concorrência com grande quantidade de recursos suportados, poder de processamento superior, sendo extremamente econômico (geralmente 10x a 100x menos por custo de assinante versus fornecedores de rede tradicionais). Um único dispositivo A10 fornece mais energia do que múltiplos cartões de processamento com base em chassi que são parte das soluções NAT do fornecedor de redes grandes. Mais recursos e mais energia fora da caixa significa que a solução CGNAT da A10 pode caber e se adaptar a qualquer rede crescente. Os dispositivos A10 podem ser facilmente agrupados, combinando o poder de processamento de forma fácil de administrar.

Ficou alguma dúvida? A Tripla é parceiro A10 e pode auxiliá-lo no planejamento e implantação da solução de CGNAT, garantindo o funcionamento e rastreabilidade das conexões de seus clientes! Fale conosco através do blog@triplait.com.

Gostaríamos de sugerir a leitura de um post relacionado ao assunto: O que é Clean Pipe.

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

 

 

Powered by WP Review

About the Author

Hugo Bär
Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação
  • alex tchobo

    Alguma ideia sobre o PBR(Policy based routing)??? para que serve??? como e aonde dever ser um usado??

    • Alex tudo bem? PBR sao utilizadas para fazer roteamento baseado em politicas, por exemplo, quando a origem de um pacote é o endereço X envie para o endereço W, quando for o endereço T envie para H. ou seja você consegue roteador nao apenas baseado em destino, mas também em outras informações, por exemplo como endereço de origem.