CG-NAT (Carrier-grade NAT) на платформе EcoSGE

Программное обеспечение EcoNAT внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных 05.09.2016 № 1675

Основная функциональность

EcoNAT поддерживает различные типы преобразования адресов одновременно: CG-NAT/PAT, Basic NAT, статическую трансляцию 1:1.

Carrier-grade NAT (CG-NAT) 

Основным и наиболее современным видом трансляции сетевых адресов является CG-NAT (IETF RFC 6888), позволяющий разделять использование публичного адреса IPv4 между несколькими абонентами.

Главной особенностью CG-NAT является Full Cone NAT — подход, который сочетает применение технологий Endpoint Independent Mapping (EIM) и Endpoint Independent Filtering (EIF). Любые внешние системы могут устанавливать соединения с абонентом по тем внешним портам TCP/UDP, в которые преобразованы порты источника трафика, ранее инициированного самим абонентом. Благодаря Full Cone NAT решение выгодно отличается от традиционных видов NAT/PAT и обеспечивает максимальную прозрачность CG-NAT для различных приложений, в том числе мобильных, P2P, игр и др.

Port Block Allocation (PBA)

Для уменьшения количества статистических данных, которые необходимо передавать во внешние системы (прежде всего, при интеграции с системами СОРМ), на устройствах EcoNAT используется технология Port Block Allocation (PBA). При применении этого подхода порты для трансляции абонентам выделяются не по одному, а непрерывными блоками. Максимальное количество блоков для одного абонента регулируется. В этом случае для всего блока портов добавляются лишь две записи в лог: при выделении блока портов и при высвобождении этого блока.

IP pairing

Для обеспечения наилучшей прозрачности CG-NAT все соединения абонента, относящиеся к одному внешнему пулу, транслируются в один и тот же IP-адрес.

Basic NAT (BNAT)

Помимо CG-NAT, устройства EcoNAT поддерживают режим Basic NAT (BNAT) — NAT-режим, при котором абоненту на время работы выделяется временный публичный адрес IPv4 и транслируются только адреса (порты остаются неизменными). У этого режима преобразования адресов есть два варианта: прозрачный, разрешающий входящие внешние соединения к данному адресу по любым портам, и закрытый, допускающий соединения извне лишь к портам, соединения с которых инициированы изнутри абонентом.

Static NAT (1:1)

В дополнение к CG-NAT и BNAT возможен вариант трансляции адресов, при котором за каждым абонентским IP-адресом административно закреплен публичный IP-адрес. Таким образом оператор может реализовать предоставление услуги «статический публичный IP».

Преимущества и особенности

Российский продукт

EcoNAT является российским продуктом, что официально подтверждено решением межведомственного экспертного совета (МЭС).

Высокая производительность

Производительность решения достигает 160 Гбит/с на одну монтажную единицу (rack unit), что превосходит зарубежные аналоги.

Скорость создания новых соединений — 8 млн/с с блочным логированием или 2,5 млн/с с логированием каждой сессии. Общее число обрабатываемых соединений достигает 150 миллионов. Это лучший результат в отрасли.

Smart Wire™

Устройство EcoNAT прозрачно для всех видов служебного трафика, в том числе протоколов маршрутизации BGP, OSPF, IS-IS, STP, LACP, BFD.

Поддержка множества типов трансляции

Устройства EcoNAT поддерживают одновременную работу различных типов преобразования адресов. При этом возможна настройка до 32 одновременно работающих NAT-пулов, которые могут отличаться типом трансляции, диапазонами публичных адресов IPv4, лимитами числа соединений для абонентов и диапазонами выделяемых при трансляции портов UDP и TCP.

Критерием для выбора пула являются Access Control Lists (ACL), связанные с каждым пулом. ACL анализируются в порядке приоритетов пулов и могут включать в себя как Source адрес, так и Destination адрес IP-пакета. Данное решение может использоваться для участия в пиринговых сетях с пересекающимися диапазонами IP-адресов.

Механизм hairpinning позволяет абонентам, подключенным через EcoNAT, взаимодействовать с публичными адресами друг друга, не посылая пакеты за пределы устройства.

Application Layer Gateway (ALG)

Современные протоколы разрабатываются с учетом работы через системы NAT, однако некоторые широко используемые протоколы, например FTP, PPTP, RTSP, SIP, требуют специальной обработки при преобразовании адресов. Для поддержки работы абонентов, использующих эти протоколы, в EcoNAT реализована функциональность Application Layer Gateway (ALG).

Aging

При длительной неактивности (период зависит он настроек пула и состояния соединения) неиспользуемые соединения закрываются, высвобождая порты. Таким образом, возможна дополнительная экономия адресного пространства из-за не очень активных абонентов.

User quotas

ЕсоNAT позволяет индивидуально для каждого пула устанавливать ограничения на количество портов и соединений для абонента. Вместе с горячей реконфигурацией и поддержкой множества пулов эта возможность позволяет оператору гибко распределять ресурсы IPv4 между корпоративными и частными абонентами.

Логирование трансляций

Устройства EcoNAT позволяют экспортировать информацию обо всех трансляциях и соединениях абонентов (Local_IP, Local_Port, Global_IP, Global_Port, Destination_IP, Destination_Port, Protocol), используя стандартные интерфейсы Syslog и Netflow v9. При применении механизма Port Block Allocation (PBA) объем экспортируемой информации снижается в десятки раз.

Управление

Решения EcoNAT оснащены удобным интерфейсом командной строки (CLI), позволяющим производить изменения настроек, работать со структурированным файлом конфигурации и просматривать параметры системы.

Для доступа к устройству используется выделенный управляющий сетевой интерфейс (доступ к устройству через SSH) или консольный порт (RS-232C). Идентификация пользователей осуществляется локально или с использованием протокола TACACS+.

Информация о состоянии оборудования доступна по протоколу SNMP (v1/v2c). Для экспорта системных сообщений и сообщения о событиях используются протоколы Syslog и SNMP Trap.