A10Networks

運營商級NAT(LSN)解決方案介紹大綱?A10公司介紹?現狀與挑戰?A10NAT(LSN)解決方案介紹?部署方式介紹和選擇?成功案例?總結A10Networks公司介紹目標:應用交付網絡、IPv6遷移和云計算技術領導者明星產品:AX系列–IPv6遷移和應用網絡平臺陳澧–創始人/CEO，Foundry和Centillion的共同創始人總部在美國加州硅谷;全球13個辦事處，中國設有北京、上海、廣州和成都辦事處北京設有研發和技術支持中心已經保持了18個季度的連續增長。2011獎項Rankedas#1Computer

Hardwarecompanyandwinner

fortwoconsecutiveyears3,786%threeyear

revenuegrowthTop10InternetCompanyTop10EastAsianEntrepreneurRankedas#6;andwinnerfortwoconsecutiveyears

ToptechnologycompanyincategoryAXSeriesIPv4ExhaustionandIPv6MigrationSolutionswinforSolution&ServiceSection–NetworkSolutionRankedas#2fastestgrowingprivatecompanyinSiliconValley1,352%3-yearpercentchangeinrevenueWinnerforthirdconsecutiveyear(#2in2011),(#4in2010),(#13in2009)市場專注：創新的平臺+領先的應用應用交付LargeScaleNATDual-StackLiteIPv4IPv6SoftAX&AX-VVirtualChassisMulti-tenancyAdvancedADC/SLBLeadingPerformance,Platform,EnergyEfficiencyIPv6遷移云和虛擬化未來….技術領先地位IPv6遷移市場領導者2007年起采用共享內存多CPU架構+FPGA最高的每秒新建連接速率、每秒交易速率最高的并發連接數量平均每連接成本最低運營商級硬件和杰出能效比介紹大綱?公司介紹?運營商NAT現狀與挑戰?A10NAT(LSN)解決方案介紹?部署方式介紹和選擇?成功案例?總結骨干網城域網接入網骨干網專網CRBRASBRASSRPTN普通用戶普通用戶集團用戶/政企接入手機/上網卡目前運營商主要采用的解決方案城域網核心：

集中部署防火墻做NAT轉換BRAS/SR：

部署防火墻做NAT轉換配置板卡做NAT轉換問題：部署和配置管理復雜性擴展能力P2P、ALG類型應用支持NAT日志和溯源與IPv6的銜接性能介紹大綱?公司介紹?現狀與挑戰?A10NAT(LSN)解決方案介紹?部署方式介紹和選擇?成功案例?總結A10網絡為運營商提供優秀的NAT解決方案特點：符合運營商級NAT需求高性能NAT透過性更好支持未來向IPv6演進全面的高性能Log功能IPv6遷移和IPv4耗盡應對技術6to4-PMTDraft-kuarsingh-v6ops-6to4-provider-managed-tunnel(2011)CGN(NAT44/NAT444)RFC4787(UDP,2007/1)RFC5382(TCP,2008/10)RFC5508(ICMP,2009/4)Draft-ietf-behave-lsn-requirements(2011/10)6rd(IPv6RapidDeployment)RCF5569(2010/1)Translator(NAT64/DNS64,Proxy,SLB,FW)RFC6144(Framework/2011/4)RFC6145(XLATE.,2011/4)RFC6146(NAT64,2011/4)CompliancetoRFC4787/5382/5508=CGN)RFC6147(DNS64,2011/4)IPv6遷移和IPv4耗盡應對技術4rdDraft-despres-intarea-4rd(2011)DS-LiteRFC6333(2011/8)dIVI(dualstatelessIPv4/IPv6Translation)StatelessNAT464Draft-xli-behave-divi(2011)DualStackIPv6遷移中的3個主要環節InternetISP/CarrierIDCContentProviderMobileCarrierCGN/LSN6rdDS-Lite4rdNAT64/

SLB-PTCGN/LSNIPv6

with

A10IPv4ExhaustionCGN（LSN）IPv6Migration+IPv4

ExhaustionDS-Lite/6rd+CGN（LSN）IPv6Migrationfor

ServersNAT64/SLB-PTIPv6,IPv4

IncompatibilityNAT64/DNS64IPv6Migrationonexisting

v4Network6RDLSN應用場景-NAT44IPv4InternetIPv4ContentProviderNATLSNDeviceMobileProviderNetwork–IPv4+CellularTechnologiesLSN

ScopedAddressMobileDevicesPublicIPv4AddressesNAT44Deployment

-ProviderNAT(IPv4-IPv4)LSN應用場景-NAT444IPv4InternetIPv4ContentProviderNATLSNDeviceProviderNetwork–IPv4LSN

ScopedAddressIPv4ClientsConsumerNATPublicIPv4AddressesNAT444Deployment

(DoubleNAT)-ProviderNAT(IPv4-IPv4)-ConsumerNAT(IPv4-IPv4)DS-Lite實現IPv4/IPv6網絡平滑過渡IPv4overIPv6隧道NAT44轉換私有IPv4

公有IPv4NAT64/LSN-TopologyProviderNetwork–IPv6IPv6ClientsIPv4CoreNetwork/InternetIPv6Network/InternetIPv4ContentIPv6ContentNativeIPv6PacketsNAT64+DNS64DeviceNAT64Packets6rdBasicTopologyIPv6/v4HostAIPv6/v4HostBIPv4Internet6rdBorderRelay6rdISPPrefix6rdISPPrefixIPv6inIPv4TunnelIPv6inIPv4Tunnel6rdCPE6rdCPEIPv6InternetIPv4AccessNetworkIPv4AccessNetworkISPBackboneSLB-PT–FullTopologyIPv4andIPv6ServersIPv4InternetIPv4ClientsIPv6InternetIPv6ClientsAXSLB-PTIPv6VIPAXSLB-PTIPv4VIPA10LSN關鍵技術介紹?Full-ConeNAT?StickyNAT?P2P應用的完美穿越?用戶配額?LogLSN/CGN解決方案支持的主要標準基于以下IETFRFC，DraftBEHAVE-TCP(RFC5382)BEHAVE-UDP(RFC4787)BEHAVE-ICMP(RFC5508)Draft-ietf-behave-lsn-requirements(2011/10)主要特性內部IP和外部IP唯一性對應(StickyNAT)NAT穿透(EIM/EIF，Full-ConeNAT)Hair-pinning公平的資源共享–用戶配額兼容多種流量類型和協議行為高性能NAT會話日志記錄StickyNATStickyNAT當內部終端選定了一個NAT地址后，后續的來自相同終端的NAT請求將都采用相同的NAT地址進行轉換適用于即時消息訪問，網銀訪問EIM

(End-pointIndependentMapping)Full-ConeNAT,節省NAT端口AX上默認開啟，可禁用當某終端通過LSN設備建立了一個NAT連接，后續的通過同一個[IP:Port]的會話將利用同一個[NAT

IP:Port]進行通信

EIF(End-pointIndependentFiltering)Full-ConeNAT,p2p穿越外部客戶端/服務器到[NATIP:Port]的初始會話流將會轉發到內部終端的[IP:Port]考慮到安全原因，可以與ACL，Black/WhiteList配合使用Hair-pinningHair-pinning，內網用戶之間的p2p穿越內部終端通過公網NAT地址/端口進行通信用戶配額UserQuotas防止內部終端占用大量地址/端口資源對每一個終端，可以限制以下協議類型的并發會話數量，以保證終端獲得地址/端口資源的公平性TCPUDPICMPNAT(LSN)日志記錄AX可以生成LSN運維日志和NAT流量日志會話日志

新建/刪除會話(TCP,UDP,ICMP)NAT端口映射日志

新建/釋放NAT端口映射(TCP,UDP,ICMP)高性能syslog記錄基于源IPhashing，可將syslog記錄至多臺syslog服務器LSN（CGN）相較傳統NAT(FW/Router)的優勢基于標準的NAT行為，Full-ConeNAT提供NAT雙向訪問和更有效的端口利用對端無關的NAT映射讓多個客戶端連接可共享同一NAT地址和端口對端無關的NAT過濾讓外部用戶可通過NAT地址訪問到內部主機傳統NAT設備廠家NAT行為各有不同，應用穿透可能會存在問題。NAT透明性更好P2P類應用透明，無需應用設計穿透功能準確支持電子商務，網銀，即時消息類應用穿透（StickyNAT）可管理的SLA用戶NAT端口配額用戶永遠可用應用（如DNS）與未來IPv6遷移技術集成NAT64DS-Lite滿足運營商的NAT需求部署簡易，維護簡單高性能基于用戶（NAT端口塊）發送log（2012.1）高性能logA10優勢-IPv6遷移統一網關無需硬件升級更換！無需License升級！CGN/LSNDS-Lite

NAT64/DNS646rdStatelessNAT464rd(Q12012)6to4PMT(2012)……A10的優勢-性能卓越的性能優勢每秒新建NAT會話:A10AX5200:

3,000,000

JuniperSRX5800:

350,000

并發會話:A10AX5200:

128M

JuniperSRX5800:

9M

性能源于設計-ACOS業界第一個并行計算操作系統多核CPU，共享內存架構高效率設計能耗、內存、空間及資源消耗可擴展對稱多處理(SSMP)靈活的設計32/64位ACOS產品L4-7CPUs–L4-7處理,安全性AXSMP

架構交換&路由ASIC–L2&L3處理和安全性流量加速ASIC(TAA)–分配流量到L4-7CPUs,高效的網絡層I/O,DDoS控制內核–CLI,GUI,管理任務和健康檢查SSL加速和壓縮模塊–SSL和壓縮處理應用內存–會話表,緩沖存儲,應用數據AXSeriesSharedMemoryIPCLogicalFlow共享內存vs.非共享內存Replicatetoeachcore’sdedicatedmemory非共享內存架構在CGN中面臨的挑戰每個CPU有自己獨立的會話表CPU交互間隔與數據準確性如何分配會話到多CPU？Port？-限制用戶端口配額需CPU交互IP地址？-不均勻，有涉及一組IP地址的策略時需CPU交互IP子網？-不合理，仍然無法避免CPU交互NAT地址在多CPU間如何分配？必須犧牲性能、均勻性或準確性未來其它更多特性會受到限制AX系列LSN設備AX250011

Gbps

250WMaxAX260019

Gbps

291WMaxAX303027

Gbps

188WMax2x10GbAX3000-1130

Gbps

315WMax4x10GbAX510040

Gbps

610WMax8x10GbAX5200-1140

Gbps

660WMax16x10Gb介紹大綱?公司介紹?現狀與挑戰?A10NAT(LSN)解決方案介紹?部署方式介紹和選擇?成功案例?總結部署方式集中式部署模型，LSN設備上聯或側掛城域網核心CR路由器，實現城域整網用戶NAT功能。一般選擇獨立式LSN設備。分布式部署模型，LSN設備側掛城域業務邊緣控制層設備BRAS/SR，實現下掛區域用戶NAT功能。一般選擇獨立式或者插卡式LSN設備。移動GGSN可選擇串聯LSN設備。

獨立型LSN設備和插卡式LSN比較設備類型平滑過渡可靠性實現部署成本網絡維護擴展性獨立型LSN設備BNG配置改動小，現網業務無影響設備簡單(專門實現NAT功能），可靠性高，設備容易實現HA熱備。成本低，新增設備占用一定的機架空間。LSN設備獨立維護，維護內容少且簡單。可根據用戶規模以及需求靈活部署和擴展設備,可以集中部署。融合于BNG網關（Bras)的插卡式LSNBNG增插LSN業務板，設備配置改動較大，存在設備宕機風險，會影響現網業務設備包含太多功能，提高了設備復雜性，可靠性低。BNG和LSN功能融合在一起，不容易實現HA熱備。如果是整體投資，設備成本高。BNG和LSN功能融合在一起，導致界面復雜。LSN占據BNG業務槽，一旦用戶規模增大，會導致BNG和LSN的業務槽不夠使用，且只能為BNG接入范圍的用戶實現LSN，只能分布部署，不夠靈活。部署方案1(集中部署，AX旁路雙線連接到兩臺CR)兩臺AX以雙Active方式工作，每臺AX通過兩根線直接連通兩臺CR。來自BRAS/SR的流量通過VRF路由設置優先到達指定一臺CR和AX。兩臺AX可以做HA同步會話，當某臺AX出現故障，所有流量會自動被轉發到另外一臺AX來處理，保證業務不中斷。BackboneMetroInternetCRBRASSRPTNHomeUserEnterpriseUserMobile部署方案2(分布部署，AX旁掛在每臺BRAS/SR)BRAS/SR做VRF或PBR.每臺BRAS可以掛一到多臺AX.BackboneMetroInternetCRBRASSRPTNHomeUserEnterpriseUserMobile部署方案3(混合部署)BackboneMetroInternetCRBRASSRPTNHomeUserEnterpriseUserMobile該方案是方案1和方案2的整合。Bras/SR分布部署AX做各自區域的NAT。CR集中部署AX做Bras/SR的冗余，當某Bras/SR旁掛的AX出現問題，Bras/SR可把流量發向CR旁掛的AX做NAT.隨著業務發展，在Bras/SR旁掛的AX性能出現瓶頸的時候，可以把部分流量交由CR連接的AX做NAT轉換，以解決業務壓力。介紹大綱?公司介紹?現狀與挑戰?A10NAT(LSN)解決方案介紹?部署方式介紹和選擇?成功案例?總結——北美著名移動運營商成功案例介紹面臨的挑戰智能終端用戶快速增長缺乏足夠的IPv4公網地址，未來計劃遷移到IPv6現有JuniperSRX5600的性能和價格無法滿足業務要求JuniperSRX5600不支持IPv6演進解決方案（NAT64/DNS64)JuniperMX系列性能低缺乏四層高可用性成本高A10解決方案的優勢業界唯一具有實際部署案例的NAT(LSN)平臺高性能的硬件平臺支持NAT64/DNS64等多種IPv6演進方案產品型號A10AX5200JuniperSRX5600每秒新建NAT連接3,020,000350,000最大并發會話128M9MNAT吞吐量40Gbps20Gbps——日本最大的移動運營商NTTDocomo面臨的挑戰以及對LSN的要求智能手機用戶增長迅猛，但IPv4地址資源嚴重不足對LSN解決方案的要求：高擴展和高可用平臺，應對未來用戶的增長利用已有的IPv4地址資源解決IPv4地址不足的問題確保高效使用地址/端口資源提供其它演進到IPv6的途徑更少的空間和能源消耗NTT

CGN/LSNAX520040GbpsA10為NTT專門設計的LSN解決方案相較傳統NAT解決方案的區別和優勢高級LSN特性（Full-coneNAT，UserQuota)為千萬級會話提供高擴展性和高可靠性支持IPv6（IPv4/v6雙棧，OSPFv3，IPv6-TCS）可靠、環保、緊湊的硬件平臺A10解決方案的優勢為什么選擇A10？CGN/LSN解決方案的領導廠商高性能、高擴展硬件平臺

concurrentsession=about22millionsessionsononebox.throughput=about30Gpsononeboxuser=2.8millionuserononeboxcpu