A10_LSN-IPv6过渡方案介绍_201103

1ClicktoeditMastertitlestyleIPv6迁移解决方案—A10Networks2IPv4简介设计于上世纪70/80年代良好的设计，协议简单、优雅Internet上的主流协议非常流行，应用广泛优于其它同类的技术42亿地址然而……3IPv4简介（续）最初的地址分配设计导致有效地址匮乏A,B,C,D,E类地址美国（大学，安全部分，联邦政府）获得大量的地址上世纪90年代早期（互联网开始飞速发展的时候)IPv4地址已经开始走低CIDR/VLSM=在一段时间内缓解了地址池危机上世纪90年代中期预计IPv4地址会在世纪末用完（当时NAT技术还未发明）IETF开始下一代IP协议的研究工作IPv6–救世主？4IPv6简介设计开发与上世纪90年代末针对IPv4做了一些重要的改善最重要的——拥有更多的地址想要在IPv4地址耗尽之前取而代之然而……1.设计时没有考虑与IPv4兼容和过渡的问题2.IPv4工作良好，大量的IPv4下的运维经验3.NAT技术的出现5IPv6简介（续）结果没有迫切的向IPv6迁移的需求IPv6使用率极低许多IPv6网络才刚刚开始建设TOP1M网站中支持IPv6的比例:0.15%*资料来源:ipv6monitor.comcast.net6严峻的现实！2011年2月1日，IANA地址池已全部分配完毕7IPv6IPv4向IPv6迁移过程图IPv4IPv4IPv4IPv4IPv4IPv6IPv4IPv4IPv4IPv4IPv6IPv4IPv6IPv4IPv4IPv6IPv6IPv4IPv6IPv4IPv6IPv6IPv4IPv6IPv6IPv6IPv6IPv6IPv6IPv4-IPv6TransitionScenariosAllIPv4AllIPv6IPv6IslandsIPv4IslandsIPv4/IPv6mixedcurrent10-15年！8IPv6迁移技术IPv4转换技术技术:LSN部署模式:NAT44(Mobile),NAT444(Wireline),DS-LiteIPv6/v4地址转换NAT64/DNS64(ServiceProviders)SLB-PT(Enterprises/ContentProviders)9LargeScaleNAT(LSN/CGN)什么是LargeScaleNAT?大量的用户共享“Public”IPv4地址也称为Carrier-GradeNAT(CGN)目前的部署模式每个客户分配单独的“public”IPv4地址客户自己在前端做NAT运营商网络域内并没有做NATLargeScaleNAT模式运营商在自已的网络中使用NAT不同的客户共享可用的“public”IPv4地址私网IPv4地址分配给客户的设备10LSN/CGN–Topology–NAT444IPv4InternetIPv4ContentProviderNATLSNDeviceProviderNetwork–IPv4LSNScopedAddressIPv4ClientsConsumerNATPublicIPv4AddressesNAT444Deployment(DoubleNAT)-ProviderNAT(IPv4-IPv4)-ConsumerNAT(IPv4-IPv4)11LSN/CGN–Topology–NAT44IPv4InternetIPv4ContentProviderNATLSNDeviceMobileProviderNetwork–IPv4+CellularTechnologiesLSNScopedAddressMobileDevicesPublicIPv4AddressesNAT44Deployment-ProviderNAT(IPv4-IPv4)12LargeScaleNAT(LSN/CGN)ISPNAT设备的要求?高度透明支持已有的应用类型对客户的影响最小化具有良好设计的NAT功能新用户应用可以容易部署一致性行为确定性资源共享的公平性用户资源使用保障和保护对于C/S(传统应用)和P2P应用都能较好支持13LargeScaleNAT(LSN/CGN)基于以下IETFRFC，DraftBEHAVE-TCP(RFC5382)BEHAVE-UDP(RFC4787)BEHAVE-ICMP(RFC5508)CGN(draft-nishitani-cgn-0x)主要特性内部IP和外部IP唯一性对应对端无关的映射和过滤(Endpoint-independentmapping&filtering)Hair-pinning公平的资源共享–用户配额兼容多种流量类型和协议行为14NAT地址映射唯一性15对端无关的映射和过滤16Hairpinning17LargeScaleNAT(LSN/CGN)优势–帮助ISP缓解IPv4危机，继续保持业务增长不利之处/要考虑的问题–DoubleNAT–两个层面的NATNATintheISPnetworkNATinthecustomerpremises地址分配问题客户私有地址的冲突问题运营商和客户端需要采用不同的IP子网受限于私有地址数量(RFC1918)无法提供到IPv6的迁移途径仅仅IPv4LSN还不够18Dual-StackLite(DS-Lite)IETFDraftdraft-ietf-softwire-dual-stack-lite-02利用LSN扩展IPv4地址的使用提供了一个迁移到IPv6的有效途径缓解了IPv4LSN的地址局限问题单一NAT设备(只需要部署在运行商网络中)推进IPv6部署简化运营商网络的管理只有一个层面的NAT可以为IPv6-only的设备提供服务19Dual-StackLite(DS-Lite)–核心概念LargeScaleNAT(LSN)设备处理运营商网络内的IPv4地址扩展ISP的接入网络采用IPv6ISP只需要为用户端设备(CPE)分配IPv6地址对终端用户透明(用户可以继续使用IPv4地址)CPE(B4element)与LSN设备(AFTRelement)之间的通信通过IPv4-in-IPv6方式进行处理同时支持原生IPv6和传统的IPv420DS-Lite-TopologyProviderNetwork–IPv6IPv6AddressIPv4ClientsIPv6ClientsIPv4CoreNetwork/InternetIPv6Network/InternetIPv4ContentIPv6ContentIPv4-in-IPv6TunneledPacketsNativeIPv4PacketsNativeIPv4PacketsDS-LiteISPDevice(AFTR)NativeIPv6PacketsCPE(B4)21NAT64连通IPv6客户端andIPv4目的地址在IPv6和IPv4之间进行转化使用DNS64技术仅仅用于IPv6迁移用户访问IPv4内容,以确保用户的体验支持IPv6clients&IPv4clients之间的P2P流量其它重要功能:Full-ConeNAT(Endpoint-independentmapping)Hair-pinningA10独有功能SessionSyncLoggingUserQuotas22NAT64&DNS64DNS64用来动态解析AAAArecordsforIPv4-only目的地址(Arecords)使得IPv6-clients能够通过域名访问IPv4目的地址DNS64和NAT64可以在同一台设备或分离在不同的设备上DNS64设备对于IPv6用户看起来就像一台IPv6DNSserversRFCS/Drafts:NAT64:draft-ietf-behave-v6v4-xlate-stateful-xxDNS64:draft-ietf-behave-dns64-xx23NAT64/LSN-TopologyProviderNetwork–IPv6IPv6ClientsIPv4CoreNetwork/InternetIPv6Network/InternetIPv4ContentIPv6ContentNativeIPv6PacketsNAT64+DNS64DeviceNAT64Packets24SLB-PT(SLB-withProtocolTranslation)高性能的SLB,具备IPv4-IPv6协议转换功能便于到IPv6网络的迁移企业内容提供商ICP支持多种部署方式IPv4VIP-IPv6RealServersIPv6VIP-IPv4RealServersIPv4VIP-IPv4&IPv6RealServers混合部署IPv6VIP-IPv4&IPv6RealServers混合部署25SLB-PT–TopologyIPv4ServersIPv4InternetIPv4ClientsIPv6InternetIPv6ClientsAXSLB-PTIPv6VIPIPv6ServersAXSLB-PTIPv4VIP26其他技术6rd4rd/SAMA+P6to4Relay6to4PMTIVI(IPv4(IV)-IPv6(VI))others……27多种技术？为何有这么多的IPv6迁移技术?客户网络环境是多种多样的没有一种技术适合所有情形相关的新技术针对不同的应用，对新技术进行评估太多的不确定性不同的技术满足于不同的需求不同的预算=没有任何一种技术能够适合于所有环境28A10优势AX产品的平台和架构能够非常理想的适应这些需求!!A10优势:灵活而性能强大的平台(AX+ACOS)FPGA+Software灵活，高性能，丰富的功能灵活而强大的优秀技术团队在NAT必须的Stateful技术上渊源深厚29A10优势业界领先的技术和成熟的应用部署InteropShownetAwards第一个商业化部署重量级用户成功案例高性能超高的新建连接速度(≥3MCPS)超大的并发会话表(128MConcurrentSession)极高的NAT包转发率和吞吐量(≥40Gbps)理想的(1U/2U)设备,绿色环保性价比优势经过验证的设备兼容性30AX在LSN的优势路由器初始设计无状态（stateless)，基于包的转发无独立NAT模块产品，并发连接数和新建速率极低内置独立NAT模块产品，类似外置防火墙，吞吐量取决于该模块到交换矩阵带宽，其它见防火墙比较。防火墙初始设计为企业用，低并发、低吞吐量、低新建速率高端产品价格昂贵，但并发和新建速率仍然不够理想根源为非共享内存和IPC（处理器间通信）AX设计之初即为面向互联网海量用户擅长基于状态（stateful）的处理NAT从ADC面世即是其强项（SLB流程中DNAT和SNAT是必须）但不是所有ADC产品都适合LSN，由于架构、OS、网络经验等。31AX相对于其它ADCAX产品从2008年就开始专注于LSN技术研发已有大规模用户部署个别ADC厂家2011年刚开始跟随，产品尚未完善AX产品已支持DS-Lite、NAT64/DNS64平滑从NAT44过渡到IPv6其它ADC厂家NAT44的LSN尚未完善AX极佳的性价比与高端防火墙相比性价比数倍之差其它ADC与防火墙相比性价比没有优势32AX（ACOS）的技术优势vs.所有产品64位操作系统运营商级别的并发连接数量其它所有产品均为32位系统，4G内存限制其并发不可太高共享内存无IPC（处理器间通信）每个CPU可独立查询所有会话，如LSN要求内部IP使用之前使用相同IP和TCP端口访问外部所有站点，需要查询会话表每个内部IP的连接数等统计只有一份，保证准确性，用于连接限制和配额控