DDoS-Erkennung, Mitigation, Management und Bedrohungsanalyse
Umfassende Sicherheit & CGNAT
TLS/SSL Inspection
Web-Application-Firewall
Anwendungssicherheit und Load Balancing
Analytik und Management
CGNAT und IPv6-Migration
In den Anfängen des Internets (in den 1980er Jahren) sollte jeder angeschlossene Computer eine eigene, eindeutige öffentliche IP-Adresse haben. Die IP-Adressierung war ursprünglich durch vier Oktette definiert - vier Gruppen von acht Bits, eine Standard namens IPv4-was zu mehr als vier Milliarden eindeutigen Werten führte (eigentlich 4.294.967.296), so dass es damals so aussah, als würden wir nie leer ausgehen.
In den späten 1980er Jahren wurde jedoch deutlich, dass die rasante Verbreitung des Internets diesen großen Adressenpool irgendwann erschöpfen würde. IPv6 war als Nachfolgeprotokoll von IPv4 vorgesehen und sollte das Problem des begrenzten Adressraums lösen. Allerdings war IPv6 nicht abwärtskompatibel, und das Problem der begrenzten Adressen blieb bestehen. Carrier Grade NAT (CGNAT) wurde als Lösung für dieses Problem entwickelt, in erster Linie für Dienstanbieter.
Im Juni 1992 wurde als Folge des erstaunlichen Wachstums des Internets RFC 1338, Supernetting: an Address Assignment and Aggregation Strategy, veröffentlicht. Dieses Memo war das erste, in dem die Folgen der "eventuellen Erschöpfung des 32-Bit-IP-Adressraums" erörtert wurden. Zwei Jahre später wurde RFC 1631, The IP Network Address Translator (NAT), veröffentlicht.
Ein Protokoll namens IPv6 wurde 1998 als Standardentwurf (RFC 2460) als Nachfolger von IPv4 und als langfristige Lösung für die Erschöpfung der IPv4-Adressen. Dieses Protokoll bot einen Adressraum von 128 Bit (insgesamt 3,4×1038 Adressen - etwa 340 Billionen Billionen), aber erst im Juli 2017, also 19 Jahre später, wurde es von der Internet Engineering Task Force (IETF) zum Internetstandard erklärt (RFC 8200).
LESEN SIE DAS EBOOK: IPv6 - Sind wir schon so weit?
Der ursprüngliche Entwurf der Netzwerkadressübersetzung ermöglicht es mehreren Endkunden, einen beliebigen privaten Adressbereich für ihre internen Netze zu verwenden. Um interne Hosts an externe Hosts weiterzuleiten, übersetzt ein NAT-Dienst private IP-Adressen in öffentliche IP-Adressen. Wenn das Routing zwischen IPv4-Netzen erfolgt, wird die Technologie als NAT44 für Network Address Translation von IPv4- zu IPv4-Adressen bezeichnet. Die nachstehende Abbildung zeigt ein vereinfachtes Diagramm eines Customer Premises Equipment (CPE)- Gateways mit NAT, das private Adressen in öffentliche Adressen übersetzt.
Standard-Netzwerkadressübersetzung - Umwandlung privater IP- in öffentliche IP-Adressen
Standard-NAT, bei dem mehrere interne Stub-Domain-Adressen auf eine einzige globale öffentliche Adresse abgebildet werden und umgekehrt, funktionierte gut für Verbraucher- und Unternehmenslösungen, aber NAT-Einsätze weiteten sich bald über Unternehmensnetze hinaus auf private und mobile Netze aus. Da jedes Kunden-CPE oder mobile Gerät eine öffentliche IP-Adresse benötigte und die Akzeptanz bei den Verbrauchern schnell zunahm, wurde das Problem der Erschöpfung des IPv4 im Internet immer drängender.Öffentliche Telekommunikation löst IPv4-Erschöpfung und spart ~ 2 Millionen Dollar
Infolgedessen benötigten Dienstanbieter, darunter Internetdienstanbieter, Breitbandkabel- und Mobilfunkbetreiber, bald eine Technologie, um den begrenzten Pool öffentlicher IP-Adressen noch weiter zu strecken und einige besondere Leistungs- und Funktionsanforderungen zu erfüllen. Die IETF Network Working Group begann mit der Analyse dieses Problems und veröffentlichte ab 2009 eine Reihe von "Request for Comment" (RFCs) zur Verbesserung der traditionellen Netzwerkadressübersetzung (NAT).
Die IETF-RFCs enthielten Empfehlungen, ermittelten Einsatzbeschränkungen und Anforderungen für "Carrier Grade NAT", auch Large Scale NAT (LSN) oder NAT 444 genannt. Heute ist Carrier Grade NAT (CGNAT) eine ausgereifte Technologie, deren Betrieb durch IETF-RFCs und Dokumententwürfe gut standardisiert ist.
Übliche Einsatzszenarien für NAT44 und NAT444
A10 NetworksIPv4-Konservierung mit Carrier-Grade-NAT (CGNAT) und IPv6-Migrationstechnologien sind bewährte Lösungen, um die Anforderungen Ihres wachsenden Teilnehmer- und IoT-Netzwerks zu erfüllen und Konnektivität sicherzustellen.
Erfahren Sie, wie sich unsere Lösung zur IPv4-Erhaltung und IPv6-Migration in den größten Netzwerken weltweit bewährt hat.
LESEN SIE DEN BERICHT: Einblicke für internationale Kommunikationsdienstleister
Während Standard-NAT eine private IPv4-Adresse in eine öffentliche IPv4-Adresse übersetzt, fügt Carrier Grade NAT (CGNAT) eine zusätzliche Übersetzungsschicht hinzu. Dadurch können ISPs ihre eigenen öffentlichen IPv4-Adressen beibehalten, den Teilnehmerverkehr über das private IPv4-Netz des Dienstanbieters abwickeln und Teilnehmer oder Unternehmen unterstützen, die ebenfalls ihre eigenen privaten IPv4-Netze und mehrere Standorte oder Geräte haben. Typischerweise wird Carrier Grade NAT (CGNAT) in einem NAT 444-Szenario verwendet, das die Übersetzung vornimmt:
Das Ergebnis einer NAT444-Einrichtung (von privat zu privat zu öffentlich) besteht darin, dass mehrere Kundennetze mit eigenem internem Netzwerkadressraum über den internen Netzwerkadressraum des ISP geleitet werden können und eine einzige öffentliche Internet-IPv4-Adresse des ISP für den Zugang zum Internet nutzen.
Das folgende Diagramm zeigt einen Einsatz von NAT444 (privat, privat, öffentlich) mit drei Kundennetzen, die alle denselben internen IPv4-Adressraum mit externen IPv4-Adressen verwenden, die für den ISP privat sind und sich eine einzige öffentliche IPv4-Adresse teilen.
CGNAT-Implementierung von NAT444 mit Network Address Translation von privat zu privat zu öffentlich
Während der Umgang mit der IPv4-Erschöpfung konzeptionell einfach ist, kann die Umsetzung im großen Maßstab kompliziert sein. Hier ist die Expertise von A10 im Bereich Carrier Grade NAT (CGNAT) von unschätzbarem Wert. Die Lösung von A10 entspricht den Industriestandards und bietet darüber hinaus Erweiterungen für einen vereinfachten Betrieb. Siehe die Fallstudie Uber löst IPv4-Exhaustion im großen Maßstab.
NAT64 ist eine Technologie, die es reinen IPv6-Clients ermöglicht, auf alte reine IPv4-Dienste zuzugreifen. Das NAT64-Gerät fungiert als Gateway für die DNS-Anfragen des Clients (unter Verwendung von DNS64) und übersetzt bei Bedarf IPv4-DNS-Antworten in IPv6-DNS-Antworten.
Weitere Informationen über die IPv6-Umstellung für Netzbetreiber finden Sie in der IETF-Spezifikation An Incremental Carrier-Grade NAT (CGN) for IPv6 Transition.
IP wurde ursprünglich nach dem End-to-End-Prinzip für die Vernetzung konzipiert. Dies bedeutet, dass Anwendungsprotokolle erwarten können, direkt zwischen Hosts zu kommunizieren, ohne dass Zwischensysteme die Paketköpfe oder die Nutzlast verändern. Da NAT zumindest die IP-Adressen ändert und manchmal auch andere Protokoll-Header und Nutzdaten verändert, kann NAT die Kommunikation unterbrechen. Carrier Grade NAT (CGNAT) löst dieses und andere Probleme, die mit der Verwendung von herkömmlichem NAT in großem Maßstab verbunden sind, durch die Einbeziehung der folgenden Funktionen:
Carrier-Netzwerke, große Unternehmen, Hochschulen und ISPs benötigen weitaus anspruchsvollere Carrier Grade NAT (CGNAT)-Funktionen als Privatkunden- und kleine Unternehmensnetzwerke, da auch sie kritische Anforderungen an Leistung, Zuverlässigkeit und Verwaltbarkeit haben.
IPv6 wurde im Dezember 1998 von der IETF als Standardentwurf eingeführt, um das Problem der IPv4-Erschöpfung zu lösen, und im Juli 2017 vollständig ratifiziert. Seit seiner Einführung hat sich IPv6 weltweit bei Geräten, Netzwerken von Dienstanbietern und Inhaltsanbietern zunehmend durchgesetzt, wobei es jedoch je nach Land erhebliche geografische Unterschiede gibt.
LESEN SIE DAS WHITE PAPER: Das Ende von IPv4? Migrationspfade zu IPv6
Mobilfunkbetreiber, Internetdiensteanbieter und Hersteller von Mobilgeräten haben die Einführung vorangetrieben, und die neueren Generationen von Mobilgeräten (4G/5G) unterstützen sowohl IPv4 als auch IPv6. Große Anbieter von Webinhalten wie Google, Alexa, Facebook, Yahoo, YouTube und andere haben IPv6 eingeführt. Unternehmen haben im Allgemeinen langsamer auf IPv6 umgestellt, was vor allem auf die Kosten für die Umstellung der bestehenden Netzinfrastruktur zurückzuführen ist, aber die Einführung wird immer schneller.
Es gibt jedoch immer noch eine große Anzahl von Websites, Geräten und Netzen, die hauptsächlich IPv4 verwenden, und die meisten Dienstanbieter, Bildungseinrichtungen und Unternehmen müssen für ihre Nutzer und Abonnenten die Konnektivität zwischen IPv4 und IPv6 unterstützen, selbst wenn ihre eigenen Netze vollständig auf IPv6 umgestellt wurden. Infolge dieser hybriden Umgebung sind mehrere Technologien entstanden, die diesen Übergangsprozess unterstützen und die Konnektivität zwischen IPv4- und IPv6-Geräten, -Netzen und -Zielen im Internet ermöglichen. Diese Technologien übersetzen entweder zwischen IPv4- und IPv6-Adressen oder kapseln den Datenverkehr ein, um ihn durch das inkompatible Netzwerk zu leiten. Diese Technologien sind im Folgenden aufgeführt:
Mobilfunknetzbetreiber kombinieren häufig Carrier Grade NAT (CGNAT) mit einer Firewall, um einen starken Schutz sowohl für ihre IPv4- als auch für ihre IPv6-Abonnenten zu gewährleisten. Siehe die Fallstudie "Middle East Telecom Giant Scales out Security with A10 Networks Thunder CFW ".
NAT64 ermöglicht es reinen IPv6-Geräten, auf alte reine IPv4-Dienste zuzugreifen, indem IPv6-Adressen transparent in IPv4-Adressen übersetzt werden und umgekehrt. Doch NAT64 ist nur ein Teil der Lösung, denn auch IPv6-Geräte müssen DNS-Anfragen stellen, um die IP-Adressen anderer Geräte aufzulösen. Die Lösung ist die Verwendung eines DNS64-Servers im internen IPv6-Netz.
NAT64/DNS64 verwendet einen Protokollübersetzungsansatz im Gegensatz zu einem Verkapselungsansatz, um IPv6-Nutzer mit IPv4-Diensten zu verbinden. Dadurch können Daten, die nur über IPv4 verfügbar sind, abgerufen und an einen IPv6-Client zurückgegeben werden.
Ein DNS64-Server nimmt eine IPv6-DNS-Anfrage entgegen und wandelt, falls keine IPv6-Adresse für den Zielhost verfügbar ist, die vorhandene IPv4-Adresse des Zielhosts in eine synthetische IPv6-Adresse um, die die IPv4-Adresse für die DNS-Anfragen des Clients (unter Verwendung von DNS64) einkapselt und IPv4-DNS-Antworten bei Bedarf in IPv6-DNS-Antworten umwandelt.
Der IPv6-Client kann sich dann über das NAT64-Gateway mit der synthetischen IPv6-Adresse verbinden, das die Anfrage in die korrekte IPv4-Adresse umwandelt und, wenn Daten über IPv4 zurückgegeben werden, die Antwort wieder in IPv6 umwandelt. Die IPv6-Clients sehen nichts als IPv6.
Service Provider müssen eine Strategie für die Netzwerkadressübersetzung implementieren, die sowohl einen kurzfristigen Plan für die Beibehaltung der bestehenden IPv4-Adresszuweisung als auch einen langfristigen Plan für die nahtlose Migration zu einer IPv6-Infrastruktur umfasst. Dies erfordert eine Lösung, die eine robuste Reihe von Carrier Grade Network Address Translation-Funktionen bietet und den gesamten Lebenszyklus des Übergangs von IPv4 zu IPv6 abdeckt.
LESEN SIE DAS WHITE PAPER: CGNAT ist keine Fähigkeit, es ist eine Lebenszyklusstrategie
Das A10-Whitepaper CGNAT Isn't a Capability, It's a Lifecycle Strategy (CGNAT ist keine Fähigkeit, sondern eine Lebenszyklusstrategie) bietet einen Überblick über die verschiedenen Komponenten, die für die Handhabung der IPv4-Erschöpfung und die Bereitstellung einer vollständigen Carrier Grade NAT (CGNAT)-Lösung erforderlich sind. Der Implementierungsleitfaden A10 Networks enthält auch Konfigurationsdetails zu den verschiedenen Konfigurationsoptionen für großflächiges NAT.
CGNAT oder LSN werden seit vielen Jahren erfolgreich in großen Netzwerken von Dienstleistern, Unternehmen und Hochschulen eingesetzt. Kombiniert mit den zuvor identifizierten IPv6-Migrationstechnologien in einer robusten CGN-Lösung, wie sie von A10 Networks angeboten wird, bietet Carrier Grade NAT (CGNAT) eine bewährte Methode zur Nutzung vorhandener Investitionen in IPv4 bei gleichzeitiger Bereitstellung eines nahtlosen Migrationspfads zu IPv6 für Abonnenten und Benutzer. Carrier Grade NAT (CGNAT) umfasst mehrere Funktionen, die die Beschränkungen von Standard-NAT überwinden und es für den Einsatz in großem Maßstab bei Netzbetreibern erfolgreich machen.
Durch die Arbeit der IETF Network Working Group und von CGN-Anbietern wie A10 Networks hat Carrier Grade NAT es Dienstanbietern ermöglicht, ihre knappen öffentlichen IPv4-Adressen auf mehrere und wachsende Abonnenten aufzuteilen und so die Erschöpfung und Erhaltung von IPv4 zu bewältigen und gleichzeitig einen Migrationspfad für IPv6 bereitzustellen. Diese und andere RFCs formalisieren das Verhalten von Carrier Grade NAT (CGNAT) und erleichtern die zukünftige Anwendungsentwicklung:
A10-Kunden auf der ganzen Welt haben A10 Thunder CGN für CGNAT sowie IPv6-Migrationsfunktionen erfolgreich eingesetzt. Diese Technologie ist in Bare-Metal-, Container-, virtuellen und physischen Formfaktoren verfügbar, um alle Netzwerkeinsatzszenarien in großem Umfang zu erfüllen. So nutzt beispielsweise einer der größten Mobilfunkbetreiber des Landes die CGNAT-Lösung von A10, um die IPv4-Konnektivität für die ständig wachsende Zahl von Mobilfunk- und Smartphone-Nutzern aufrechtzuerhalten. Ein weiterer führender Tier-One-Mobilfunkbetreiber in Südkorea setzt A10 Thunder CFW ein, einschließlich CGNAT als Teil seiner 5G-Einführung.
Die Lösungen von A10 Thunder CGN bieten eine funktionsreiche Carrier Grade NAT (CGNAT)-Lösung, die mit den Industriestandards konform ist und darüber hinaus Verbesserungen für einen vereinfachten Betrieb bietet. Zum Beispiel mit hoher Verfügbarkeit dank aktiver Sitzungssynchronisierungstechnologie (die Fähigkeit mehrerer Appliances, Sitzungen zu verfolgen, so dass im Falle eines DDoS-Angriffs oder eines Serviceausfalls ein Failover auf eine weniger stark frequentierte Route erfolgen kann).
A10 Thunder CGN bietet eine vollständige Carrier-Grade-NAT-Lösung mit überragender Verarbeitungsleistung und ist dabei extrem kosteneffizient (in der Regel 10- bis 100-mal niedrigere Kosten pro Teilnehmer im Vergleich zu herkömmlichen Netzwerkanbietern). Eine einzige A10-Hardware-Appliance bietet mehr Leistung als mehrere sehr teure gehäusebasierte Verarbeitungskarten, die Teil der NAT-Lösungen großer Netzwerkanbieter sind.
Zu den Standardfunktionen der Lösung A10 Networks Thunder CGN gehören:
Mehr Funktionen und mehr Leistung bedeuten, dass sich die A10 Thunder CGN Lösung in jedes wachsende Netzwerk einfügen und anpassen kann. A10 Geräte können in Clustern zusammengefasst werden und kombinieren so Verarbeitungsleistung mit einfacher Verwaltung. Erfahren Sie mehr über die A10 Thunder® Carrier Grade Networking (CGN)-Lösung für den Erhalt von IPv4 und die Migration zu IPv6.
Die Bereitstellung von Breitbandanschlüssen für unterversorgte Gemeinden ist nicht einfach und die Beschaffung von IP-Adressen kann kostspielig sein. Dieser Bericht hilft Dienstanbietern bei der Bewältigung der Schwierigkeiten, die IPv4, IPv6 und CGNAT mit sich bringen.