Internet-Anbieter müssen auf Grund der IPv4-Adressknappheit NAT implementieren, um so langfristig die Migration auf IPv6 zu erleichtern. Wegen der großen Anzahl gleichzeitiger IP-Verbindungen gibt es hardwarebasierte Lösungen verschiedener Hersteller, um private IP Adressen auf eine limitierte Anzahl öffentlicher IPv4-Adressen abzubilden.

Unter anderem wegen gesetzlicher Regulierung ist es notwendig, diese NAT Übersetzungen zu protokollieren, um nachvollziehen zu können, welche öffentliche IP Adresse zu einem bestimmten Zeitpunkt durch eine private IP Adresse in Verwendung war.

Deshalb implementieren NAT Gateways die Möglichkeit, in Echtzeit NAT ADD und NAT DELETE Events zu loggen. Die Eventraten in typischen Providernetzen sind sehr hoch, wodurch man häufig von Highspeed-Logging spricht.

Als Protokoll für Highspeed-Logging haben sich NetFlow v9 und IPFIX bewährt, da diese im Unterschied zu Syslog sehr effiziente Datenübermittlung erlauben.

Neben IsarFlow zur Verkehrsanalyse ist IsarFlow CGN die maßgeschneiderte, hochperformante Lösung, um NAT Bindings langfristig zu speichern und einfach durchsuchbar zu machen.

IsarFlow CGN bietet zusätzlich Integration mit Radius-Accounting-Servern. Radius-Accounting-Logs mehrerer Radius-Server können hochverfügbar empfangen und für eine konfigurierbare Vorhaltezeit gespeichert werden.

Um gespeicherten NAT und Radiusdaten zu durchsuchen und zu korrelieren, bietet IsarFlow CGN ein Webinterface zur Ad-hoc Suche und eine REST API zur Integration in Kundenumgebungen.

Folgende NAT-Varianten werden durch IsarFlow CGN unterstützt:

• NAT44
• NAT44 DBL (Destination Based Logging)
• NAT44 BPA (Bul Port Allocation)
• weitere NAT Varianten wie z.B. NAT64 und DS-Lite auf Anfrage

IsarFlow CGN ist nicht auf einzelne Hersteller limitiert - der IsarFlow CGN Kollektor verarbeitet NetFlow und IPFIX von Produkten unterschiedlichster Hersteller, wie z.B.

• CISCO (CGSE, ASR1k, Firepower, ...)
• Huawei
• A10
• Fortinet
• Nokia
• ...

Der IsarFlow CGN Kollektor unterstützt herstellerspezifische NetFlow v9 / IPFIX Templates. Es ist nicht notwendig, Templates vorab im IsarFlow Kollektor zu hinterlegen - ein ausgefeilter Mapping Algorithmus extrahiert die für CGN notwendigen Information Elements aus den herstellerspezifischen Templates zur Speicherung in der IsarFlow Datenbank. IsarFlow CGN ist dabei nicht auf das Logging Format gemäß RFC 8158 beschränkt, sondern bietet darüber hinaus die Fähigkeit, herstellerspezifische Templates in ein einheitliches Datenmodell zu überführen. Dadurch ist es auch möglich, gleichzeitig NAT Daten verschiedener Hersteller in einer einheitlichen Datenbank zu speichern und transparent zu durchsuchen.

In typischen Providernetzen entsteht eine sehr hohe Zahl an NAT Bindings, die für das Highspeed-Logging in Echtzeit zu hohen Eventraten führt. IsarFlow CGN bietet einen leistungsfähigen CGN Kollektor, der bereits auf einem einzelnen Server Eventraten von bis zu 3.000.000 Events/Sekunde verarbeiten kann.

Passend zur hohen Perfomance bei der Datenerfassung ist in IsarFlow CGN ein performanter Suchalgorithmus implementiert. Auch Milliarden von gespeicherten NAT Bindings werden effizient durchsucht. Die Vorhaltezeit hat auf die Geschwindigkeit der Suche keinen Einfluss, egal ob ein NAT Binding für gestern oder vor 18 Monaten gesucht wird.

Die Skalierungsmöglichkeit ist eine Kernfunktionalität von IsarFlow. Durch die Installation weiterer IsarFlow kann die Leistungsfähigkeit durch ein verteilten Systems linear erweitert werden.

Um den hohen Anforderungen an die Verfügbarkeit in Providernetzen gerecht zu werden, können sie Netflow/IPFIX- und Radius-Accounting-Daten hochverfügbar erfasst werden.

HA kann sowohl im active/active oder active/standby Modus konfiguriert werden.

IsarFlow CGN ist aufgrund der Datenmengen für den on-premise Betrieb optimiert.

Optional kann IsarFlow CGN-Accounting-Logs von Radius-Servern empfangen und speichern. Die Radius-Attribute (z.B. subscriberId, phone-number, etc) zur Speicherung sind dabei frei konfigurierbar.

IsarFlow CGN erlaubt beliebige Vorhaltezeiten von NAT- und Radius-Daten, um den jeweiligen Anforderungen Rechnung zu tragen. Die Speicherung erfolgt hocheffizient. Vorhaltezeiten von mehreren Monaten oder sogar Jahren sind dabei möglich.

Mit jedem NAT- und Radius-Event werden sekundengenaue Zeitstempel gespeichert.

Die Daten werden in einem mehrschichtigen Modell abgelegt, was einerseits eine schnelle Suche und andererseits geringen Speicherplatzbedarf durch starke Kompression in der Langzeitarchivierung erlaubt.

Bei erweiterten Verfügbarkeitsanforderungen erlaubt IsarFlow CGN ein einfaches Backup der Daten durch dieses mehrschichtige Speicherungsverfahren das ebenfalls für unkomplizierte Backups optimiert ist.

Die gespeicherten NAT- und Radius-Daten können mit Hilfe eines robusten Suchalgorithmus nach Private IP und Public IP durchsucht werden. Im Ergebnis werden dabei nicht nur die jeweiligen NAT Bindings gelistet. Der in IsarFlow CGN implementierte Algorithmus verknüpft NAT ADD, NAT DELETE, Radius Start und Radius Stop Events miteinander, daher sind im Ergebnis zusätzlich zu den IP Adressen aus den NAT Bindings die Subscriber-Informationen direkt ablesbar.

Die Suche ist zeitbasiert, deshalb benötigt jede Anfrage mindestens zwei Parameter: einen Zeitstempel und entweder Private oder Public IP.

Um die Ergebnismenge bei der Suche einzugrenzen, können Suchparametern wie Destination IP, Destination Port, Public Port und Private Port optional mit angegeben werden.

Als Schnittstelle für die Suche steht ein Webinterface und eine REST API zur Verfügung. Die REST API ist authentisiert. Die Ergebnisse im maschinenlesbaren JSON Format erlauben die Integration in die Providerinfrastruktur.

Durch die jahrelange Erfahrung im Bereich CGN können wir unsere Kunden optimal bei der Dimensionierung und Integration von IsarFlow CGN in die Kundenumgebung unterstützen.