Создание и управление Carrier Grade NAT на базе платформы EcoSGE

1.О Компании РДП
1.1.История, продукт линия, вехи и успехи
1.2.Базовые аппаратные платформы: x86, toffino

2.X86 network appliance платформа
2.1.Фасады, фиксированные интерфейсы, FAN, PSU, NICs
2.2.Включение в сеть (inband, onstick, mirror) и режимы функционирования (L2-transparent bridge)
2.3.Аппаратная линейка x86 и интерфейсы
2.4.Решения для операторов

3.Toffino programmable switch
3.1.Фасады, фиксированные интерфейсы, FAN, PSU
3.2.Включение в сеть (inband, onstick, mirror) и режимы функционирования (L2-transparent bridge)
3.3.Аппаратная линейка x86 и интерфейсы
3.4.Решения для операторов

4.CGNAT44/64
4.1.Проблематика исчерпания адресного пространства
4.2.История борьбы за адреса:
4.2.1.Отказ от классовой адресации
4.2.2.Private адресация + NAT
4.3.Виды NAT: NAT, PAT, NAPT, CGNAT, Static, port forwarding
4.4.#4787 CG-NAT44
4.4.1.Особенности CGNAT
4.4.1.1.Понятия mapping, translation(дырка), session
4.4.1.2.Endpoint-Independent Mapping/Filtering (EIM+EIF=ex Fillcone)
4.4.1.3.ADF/APDF, для чего нужны, примеры атаки на CGNAT
4.4.1.4.PBA
4.4.1.5.HairPinning
4.4.1.6.Трансляция старших/младших портов
4.4.1.7.Port-parity preservation
4.4.1.8.Port-limits
4.4.1.9.Session/translation/mapping timeouts
4.4.1.10.пропуск чувствительных к CGNAT приложений
4.4.1.10.1.ALG
4.4.1.10.2.NAT Traversal/Transparency
4.5.CGNAT64
4.5.1.Замена заголовков #6144 Framework for IPv4/IPv6 Translation
4.5.2.Что подлежит трансляции (WKP, NSP), алгоритмическая трансляция SRC
(#6052 Well-Known Prefix(64:ff9b::/96) + stateless CG-NAT64)
4.5.3.CGNAT для DST IPv6 (#6146 Stateful NAT64)
4.5.4.MTU, Traffic Class - TOS маппинг, Flow Label=0 (#6145 IP/ICMP Translation Algorithm)

5.EcoSGE – платформа для сетевых сервисов. Первичная настройка
5.1.Подключение в сеть, дефолтное поведение
5.2.Первоначальное подключение через serial
5.3.Первоначальное подключение через LAN/SSH
5.4.Основы управления конфигурациями, подсказки
5.5.Знакомство с CLI. Навигация по дереву конфигурации
5.6.Конфигурация: применение, сохранение, factory, загрузка, копирование
5.7.Работа с образами ПО
5.8.Обновление ПО:
5.8.1.online
5.8.2.offline
5.9.mng_if – настройка management port;
5.10.terminal – настройка терминала;
5.11.serial – серийного порта;
5.12.DNS;
5.13.TACACS;
5.14.Дата, время, timezone, NTP, настройка, диагностика;
5.15.Настройка пользователей прав и подключений;
5.16.Interfaces, настройка, глобальная настройка MTU;
5.17.Диагностика интерфейсов: просмотр трафика, счетчиков, ошибок, мониторинг…
5.18.OnStick;
5.19.LACP, настройка, диагностика;
5.20.Loopback, настройка, используется для отправки ICMP;
5.21.LLDP, настройка, диагностика;

6.EcoNAT на сети
6.1.Место EcoNAT на сети:
6.1.1.NAT между BRAS и ASBR,
6.1.2.NAT+BRAS между GW и ASBR,
6.1.3.NAT+BRAS непосредственно перед L2 абонентами в S/C-VLAN (вариант в разработке)
6.2.Схемы резервирования и распределения нагрузки
6.2.1.Средствами маршрутизации, active-active, active-bypass, требования к маршрутизаторам (per-src-ip)
6.2.2.Средствами сетевого пакетного брокера (EcoNPB), ограничения на кластер
6.3.Типовые варианты подключения
6.4.Особенности работы EcoNAT:
6.4.1.L2 прозрачность;
6.4.2.раздельные трансляции для TCP, UDP, ICMP;
6.4.3.трафик, который может быть подвергнут трансляции (ACL&IP&(TCP|UCP|ICMP)), прозрачный пропуск всего остального;
6.4.4.Пропуск фрагментированного трафика;
6.4.5.Проблемы с размером пакета на NAT64

7.Конфигурация CGNAT на EcoNAT
7.1.ACL, отличие от классических ACL
7.2.Пулы и типы CGNAT, как они работают, fake-пул для прозрачного пропуска трафика;
7.3.Явная фильтрация паразитного трафика (пока на вышестоящих устройствах, в разработке тип = drop/dropv6)
7.4.Настройка пулов под каждый тип: прозрачный пропуск трафика, cgnat44/64 для подсети, Static44/64, port-forward, default-nat всех оставшихся;
7.5.Управление поведением при фильтрации входящего трафика nat_filtering_mode:
7.5.1.EIF
7.5.2.ADF
7.5.3.APDF
7.6.Базовое поведение в: Nat-defaults, vlan….
7.6.1.Лимиты. Лимиты по портам, блокам, времени жизни сессий, трансляций, привязок адресов. Тонкий тюнинг.
7.6.1.1.sessions_per_translation;
7.6.1.2.port_block_size;
7.6.2.Настройка поведения для младших портов (portlimit_low, low_to_all_udp);
7.6.3.timeouts_inactivity (передается в pools, где возможна индивид настройка);
7.6.4.limits_peruser (передается в pools, где возможна индивид настройка);
7.6.5.udp_inbound_refresh
7.6.6.permit_invalid_flow
7.6.7.forward_traffic
7.6.8. l2mtu
7.7.Сессии, команды управления сессиями (просмотр, очистка);
7.8.Маппинги, команды управления маппингами (просмотр, очистка);
7.9.Трансляции, команды управления трансляциями (просмотр, очистка);
7.10.Поддерживаемые ALG и их активация
7.10.1. dns
7.10.2. dns64
7.10.3. ftp
7.10.4. ftp64
7.10.5. pptp
7.10.6. rtsp
7.10.7. sip
7.10.8. sip64
7.10.9. alg_on_bnat
7.10.10.alg64_on_bnat
7.11.Проблема с размером пакета при NAT64, управление размером через tcp-mss и ipv6-mtu
7.12.Диагностические команды CGNAT
7.12.1.Статистика NAT
7.12.1.1.Bindings
7.12.1.2.Translations
7.12.1.3.Sessions
7.12.2.CGNAT ошибки выделения портов
7.12.3.Сводка show-команд для диагностики cgnat. Подробности см в документации.
7.12.4.Счетчики EcoNAT
7.12.5.Мониторинг через SNMP (след. лаб. работа)
7.12.5.1.Знакомство с MIB
7.12.5.2.Рекомендованные для мониторинга объекты SNMP:

8.Конфигурация логирования и SNMP/SNMP-trap на EcoNAT, запись дампа
8.1.Соответствие счетчиков, OID, параметров в show
8.2.Логирование
8.2.1.Системное логирование
8.2.1.1.Логирование сессий через syslog
8.2.1.1.1.Управление составом логируемых данных по syslog
8.2.1.2.Логирование сессий через netflow
8.2.1.2.1.Параметры логирования NetFlow
8.2.1.2.2.Разбор шаблона
8.3.Передача дампа через TZSP