A10-运营商LSN解决方案-v1-YL.doc

Performance by Design　 第 PAGE 12页 A10 Networks 运营商LSN解决方案 A10 Networks, Inc. 2011-11-21 目录 TOC \o 1-3 \h \z \u 1. LSN/CGN-大规模地址翻译 2 1.1. LSN主要技术要求 2 1.2. LSN设备性能要求 3 2. LSN设备部署模式 3 2.1. 在线模式 3 2.2. 旁路模式 4 2.3. 在线模式与旁路模式比较 4 3. A10网络AX系列LSN解决方案 5 3.1. 更灵活会话资源控制 5 3.2. 更透明NAT穿越 6 3.3. 更强大 NAT会话日志记录 7 3.4. 更可靠实时会话同步热备 8 3.5. 更灵活多样的IPv6迁移技术 8 3.6. AX系列旁路模式参考 8 4. A10网络与其它厂商LSN方案竞争比较 10 4.1. LSN方案主要生产厂商 10 4.2. 功能比较 10 4.3. 性能比较 11 4.4. 总结 12 LSN/CGN-大规模地址翻译 随着IANA在2011年2月宣布IPv4地址分配完毕，以及APNIC表示未来3-6个月IPv4地址即将枯竭，众多运营商、厂家等开始重视并准备相关解决方案，其中LSN大规模地址翻译（又名CGN-电信级地址翻译）是一种相对简单、低成本的解决方案，可以帮助减慢IPv4地址消耗速度，争取更多的IPv6迁移部署时间。 LSN相关规范和草案如下： IETF draft - draft-nishitani-cgn-05 RFC 4787- Network Address Translation (NAT) Behavioral Requirements for Unicast UDP RFC 5382 - NAT Behavioral Requirements for TCP RFC5508 - NAT Behavioral Requirements for ICMP LSN主要技术要求 LSN负责把来自用户或终端的数据报文进行源地址翻译(NAT444/NAT44)，目的是实现大量私有源地址复用成少量公有源地址，主要部署于城域网内部。 经过NAT地址翻译复用后，IP地址溯源、应用透明互联、用户配额管理等将成为新的难点，LSN设备必须解决以下关键技术要求： 公平性：由于大量用户共享有限的公共合法地址，为防止个别用户大量抢占有限的tcp/udp/icmp会话资源，保证合法用户的正常访问连接请求，LSN设备必须要进行会话资源配额管理，针对tcp/udp/icmp等共享会话资源预留和限额 应用透明穿越NAT：针对P2P、动态端口协商等应用 IP stickness：内网用户活动会话翻译为同一公网IP地址 Hairpinning: 内网用户通过公网IP地址互访 Full-Cone NAT: Endport independent mapping and filtering ALG应用网关：针对FTP, TFTP, RTSP, PPTP,IPsec等动态端口协商应用 IP地址溯源：为配合互联网安全访问审计，LSN必面能够够生成详细NAT会话日志记录，提供内网用户翻译为公网IP地址的详细信息。 严格安全审计要求，每个用户访问会话创建和释放都必须产生对应syslog日志，因此产生的数据量非常大，单台日志服务器一般难以负担，必须配套服务器集群接收贮存日志。 为优化海量日志记录处理，业界正在研究相关解决方案，预先产生内网IP地址与公网IP会话端口的静态映射关系，大大减少实时日志传输要求。 主备设备冗余和会话表实时同步： LSN网关设备接入超大规模用户，影响面广，为保证服务质量，要求主备冗余之间实时同步会话表，LSN设备故障切换时，用户通信平滑迁移到备机，无需重新发起连接。这对一些关键的电子商务应用至关重要。 IPv6平滑升级：APNIC曾表示：“APNIC重申，转向IPv6是维持互联网持续增长的唯一方式。APNIC呼吁所有互联网行业的成员都向部署IPv6发展。” LSN只是减缓IPv4地址的消耗速度过渡方案，帮助争取更多时间用于将来IPv6迁移。 严格意义而言，LSN技术只是帮助减缓IPv4地址消耗，并未真正实现迁移。为保证将来更平滑升级，要求LSN设备支持更广泛的IPv6迁移技术，如：DS-Lite、6RD、NAT64/DNS64等技术。 LSN设备性能要求 LSN设备作为网关设备，将接入超大规模的用户数量，其处理性能将成为关键因素。LSN设备性能考核需从以下几方面进行考虑： 吞吐量：应提供设备网络端口带宽相对应线速包转发。 NAT