1. Faites évoluer votre réseau en gérant l'épuisement des adresses IPV4 et la migration IPV6 avec des options de déploiement flexibles

Les fournisseurs de services sont confrontés au défi de gérer les appareils et le contenu IPv4 tout en effectuant la transition vers des appareils et des applications IPv6 plus récents. Étant donné que les appareils et le contenu IPv6 ne sont pas rétrocompatibles avec IPv4, les stratégies de migration IPv6 doivent prendre en charge la coexistence des deux. BIG-IP CGNAT offre une évolutivité de niveau opérateur avec un nombre élevé de traductions d'adresses IP, des taux de configuration de traduction NAT rapides, un débit élevé et une journalisation à grande vitesse.

BIG-IP CGNAT vous permet de continuer à fournir une connectivité IPv4 et de gérer un grand nombre de sessions simultanées pendant que vous gérez l'épuisement des adresses IPv4 et planifiez une migration transparente vers IPv6. Les fonctionnalités incluent le NAT à grande échelle, le NAT 44 (NAPT, PAT, l'allocation de blocs de ports [PBA]), le NAT 444, le NAT64/DNS64, le 464xlat, le protocole de contrôle de port (PCP), la persistance d'adresse/port, le mappage et le filtrage indépendants des points de terminaison (EIM/EIF), le hairpinning, le PIM-DM et plusieurs passerelles de couche applicative, notamment FTP, SIP, RTSP, PPTP, FTPS, FTP sur TLS, FTPS explicite, TFTP, IP Sec IKEv2 et ESP. L’un des principaux avantages de CGNAT dans un réseau de fournisseur de services est la capacité à « récupérer » efficacement de grands blocs d’espace d’adressage IPv4 routable publiquement à partir du réseau « périphérique » du client et à les rendre disponibles pour une utilisation dans d’autres parties du réseau, ou à développer l’activité au-delà des allocations IPv4 détenues par un réseau. Lors de l'utilisation de l'allocation de blocs de ports (PBA), il est possible d'obtenir un retour sur investissement allant jusqu'à 35 pour 1 sur une ressource de pool NAT à grande échelle (LSN) via le système BIG-IP CGNAT.

BIG-IP CGNAT dispose d'une capacité NAT déterministe qui mappe des adresses IP privées spécifiques à des adresses IP publiques et réduit les exigences de journalisation. L'ajout de BIG-IP Policy Enforcement Manager (PEM) signifie que les opérateurs peuvent avoir une meilleure compréhension de ce que font les abonnés sur le réseau et peuvent lier les configurations CGNAT aux plans de service avec des politiques tenant compte de la destination.

2. Échelle pour l'Internet des objets (IoT)

D'ici 2025, selon la GSMA, il y aura 24,6 milliards de connexions IoT , contre 12 milliards en 2019. La prise en charge de l’IoT nécessite une échelle massive. Des voitures connectées aux maisons intelligentes, en passant par les compteurs intelligents et bien plus encore, BIG-IP CGNAT aide les fournisseurs de services à évoluer efficacement pour prendre en charge les millions d'appareils IoT, chacun nécessitant une adresse réseau. BIG-IP CGNAT peut évoluer vers des dizaines de millions de traductions d'adresses IP, fournir des taux de configuration de traduction de l'ordre d'un million par seconde et offrir des dizaines de gigabits de performances. Les capacités de journalisation à grande vitesse (HSL) améliorent encore les performances. Cela signifie que vous pouvez réduire les coûts car vous pouvez gérer vos besoins de migration avec moins de serveurs sur le réseau.

3. Sécurité de niveau opérateur

CGNAT est largement déployé en tant qu’élément important de la stratégie de sécurité. Associé à BIG-IP AFM, BIG-IP CGNAT offre tous les avantages d'un pare-feu hautes performances. Il s'agit notamment d'un pare-feu réseau prenant en compte l'identité/l'abonné avec des protections ACL, IPS et DDoS intégrées. De plus, les capacités de détection de session offrent des capacités d'atténuation contre les attaques DoS sophistiquées de couche 7 qui passeraient inaperçues avec une solution de couche 4 uniquement. En travaillant ensemble, BIG-IP AFM et BIG-IP CGNAT prennent en charge la correspondance de la liste d'adresses du pare-feu et de la liste de ports pour l'adresse source et de destination, ainsi qu'un protocole pour sélectionner la politique NAT.

La connaissance des abonnés et des points de terminaison permet d'avoir un aperçu du trafic réseau à des fins d'optimisation et de monétisation et permet l'application de politiques de sécurité personnalisées et basées sur la classe d'abonnés. Par exemple, une politique spécifique pourrait être fournie pour une série de périphériques IoT spécifiques. La sensibilisation des abonnés pour BIG-IP AFM et BIG-IP CGNAT permet l'enrichissement des journaux avec l'ID d'abonné pour le pare-feu et CGNAT (journaux NAPT et PBA), la découverte des abonnés et le provisionnement de politiques dynamiques pour les pare-feu.

4. Consolidation des fonctions pour réduire les coûts opérationnels et monétiser les services

L’efficacité est la clé pour réduire les coûts et augmenter les marges. La famille F5 BIG-IP permet de consolider efficacement les fonctions clés des fournisseurs de services dans une solution unique et performante. Par exemple, BIG-IP CGNAT peut être déployé de manière stratégique avec BIG-IP Local Traffic Manager (LTM), BIG-IP PEM et BIG-IP DNS (mise en cache DNS). BIG-IP PEM fournit des fonctionnalités de pilotage du trafic intelligentes qui permettent l'inspection du trafic et le pilotage vers des services en fonction des profils des abonnés (par exemple, les niveaux de service). Il offre également un ensemble complet de fonctionnalités de classification du trafic pour vous permettre de déterminer avec précision ce que font les abonnés sur le réseau et, sur la base de ces informations, de proposer des plans de services différenciés, conduisant finalement à une augmentation des revenus et à une utilisation réglementée du réseau.

Une solution LAN N6 virtualisée, conteneurisée et consolidée de F5 vous aide à créer un modèle rentable, améliorant le délai de mise sur le marché de nouveaux services et réduisant la complexité du réseau. Les CNF et VNF de F5 sont un composant essentiel d’un LAN N6 virtuel efficace, offrant la plus large gamme de services disponibles sur le LAN N6.

5. Journalisation efficace, conformité simplifiée

BIG-IP CGNAT excelle dans la journalisation haute performance, ce qui constitue une exigence de conformité réglementaire pour de nombreux fournisseurs de services. La corrélation des adresses IP et de leur utilisation avec les utilisateurs (et vice versa) peut être fastidieuse, longue et coûteuse. BIG-IP CGNAT offre des capacités de journalisation étendues et flexibles qui peuvent stocker des informations telles que la traduction d'adresses IP privées vers publiques, les adresses de destination URL/URI, les numéros de port, les heures de la journée et d'autres détails de session personnalisés. CGNAT permet des journaux efficaces et personnalisables, tels que la possibilité d'insérer des champs MSISDN/IMSI et URL/URI de destination dans les journaux.

BIG-IP CGNAT prend en charge l'exportation d'informations de flux de protocole Internet (IPFIX), une méthode de journalisation NAT plus compressée que Syslog, réduisant ainsi la quantité de données par entrée de journal, ce qui, à son tour, réduit les coûts. Les en-têtes d’extension de paquets IPv6 peuvent être examinés et filtrés. Cela augmente les capacités de visibilité du trafic IPv6 pour les enquêtes ou les audits d'événements. BIG-IP CGNAT gère également efficacement les ensembles PBA pour gérer de manière optimale les exclusions et simplifier les flux de travail. Les journaux peuvent également être complétés par des informations sur les abonnés, telles que le MSISDN.

Les innovations récentes améliorent les performances de CGNAT grâce à la génération rapide de journaux d’événements de sécurité individuels. Ils sont contrôlés indépendamment pour la politique de pare-feu, les attaques DDoS, l'intelligence IP, l'utilisation abusive des ports, l'inspection des protocoles, l'intelligence du trafic et les destinations et éditeurs de NAT et de journaux compatibles avec le cadre de journalisation à haut débit BIG-IP. La possibilité de personnaliser les champs de journal du pare-feu et NAT réduit le coût de génération, de transmission, d'analyse et de stockage des messages de journal, augmentant ainsi les performances en enregistrant uniquement les champs nécessaires tout en conservant les informations sur les abonnés pour les journaux du pare-feu et NAT.

BIG-IP CGNAT peut évoluer pour prendre en charge la génération de millions d'enregistrements de journalisation et les exporter vers un serveur de journalisation système. Il peut également fournir un équilibrage de charge et UDP. Les options flexibles prennent en charge une large gamme de collecteurs de journaux, notamment la limitation du débit de journal, le transport UDP et TCP, les options d'équilibrage de charge et de réplication, ainsi que les formats Syslog, IPFIX, Splunk et ArcSight.

6. Compatible NFV et conteneur

BIG-IP CGNAT peut être déployé dans du matériel hautes performances ou dans un logiciel en tant que VNF (BIG-IP Virtual Edition), dans le cadre de la solution NFV S/Gi-LAN, Gi Firewall ou CGNAT packagée de F5, ou en tant que CNF. F5 peut vous aider dans votre transition vers des architectures définies par le cloud et par logiciel avec des plates-formes de distribution d'applications virtuelles qui offrent un moyen agile, flexible et efficace de déployer des services d'application et de sécurité avancés. Le déploiement dans le logiciel augmente l’agilité et permet l’automatisation et l’orchestration dans les architectures cloud.

L'utilisation de ces solutions dans le cadre de la solution packagée F5 NFV pour Gi Firewall, S/Gi LAN ou CGNAT simplifie l'achat, le déploiement et la gestion à l'aide de F5 VNF Manager. Les packages sont achetés sur une base de 5, 10 ou 50 Gbit/s, et vous pouvez tirer parti de l'option « Utiliser avant d'acheter » à mesure que les volumes de trafic du service augmentent. Cliquez ici pour accéder à l’aperçu des solutions packagées NFV et en savoir plus sur cette option.

Lors de l'exécution de CGNAT, deux fonctions principales nécessitent une puissance de calcul importante : l'exécution de la traduction réelle d'une adresse IP à une autre et la journalisation de cette traduction, comme l'exige la loi américaine sur les adresses IP. Loi sur l'assistance aux communications pour les forces de l'ordre (CALEA).  Les SmartNIC sont le dernier ajout à la famille des cartes d'interface réseau (NIC) et peuvent fournir une solution pour les déploiements CGNAT virtuels (VNF).

Dotés de composants programmables intégrés tels que des FPGA, des NPU ou des SoC, les SmartNIC peuvent exécuter des fonctions de mise en réseau spécifiées par l'utilisateur pour le compte des applications ou des serveurs auxquels ils sont connectés, allégeant ainsi la pression sur les ressources du processeur et améliorant considérablement les performances. En déchargeant la fonctionnalité CGNAT d'un F5 BIG-IP VE vers un Intel FPGA PAC N3000 SmartNIC, le débit total du système peut être amélioré d'environ 30 %. Plus important encore, l'utilisation du processeur du BIG-IP VE peut également être réduite d'environ 80 %, ce qui permet d'éviter que le VE ne soit surchargé ! Consultez la présentation de BIG-IP VE pour SmartNIC pour plus d’informations. 

CGNAT s'est avéré être un outil indispensable pour soutenir les transitions vers IPv6 et continue de prouver sa valeur dans le réseau actuel en aidant à faire évoluer et à sécuriser les réseaux. Pour les fournisseurs de services qui souhaitent optimiser l'évolutivité de leur réseau pour IPv6, IoT et 5G, BIG-IP CGNAT fournit une stratégie d'adresse IP transparente et sécurisée dans le cadre d'une suite de fonctions réseau consolidées.