Leucom setzt in Sachen Network Address Translation auf Thunder CGN von A10 Networks

Mit Carrier-Grade-NAT gegen die IPv4-Knappheit

| Autor / Redakteur: Heiko Frank / Andreas Donner

CGN, Carrier Grade NAT, funktioniert ähnlich wie NAT im heimischen Netz und bringt viele Vorteile für Provider – aber auch Nachteile für Kunden.
CGN, Carrier Grade NAT, funktioniert ähnlich wie NAT im heimischen Netz und bringt viele Vorteile für Provider – aber auch Nachteile für Kunden. (Bild: © profit_image - stock.adobe.com)

Beim Thurgauer Internet-Provider Leucom werden, wie bei vielen ISPs, die IPv4-Adressen knapp. Carrier-Grade-NAT (CGN) ermöglicht es dort jedoch, mit der aufwendigen und komplexen Umstellung auf IPv6 noch zu warten.

Die Leucom-Gruppe mit Sitz in Frauenfeld und eigenen Kabel- und Glasfasernetzen zählt mit 18 000 Internet-Kunden zu den größeren Ostschweizer Internet-Service-Providern. Und wie IT-Leiter Christoph Tobler festhält, hat Leucom das gleiche Problem, das vielen ISPs das Leben schwer macht: „Wir kommen langsam ans Ende mit den IPv4-Adressen.“ Von den zuständigen Vergabestellen erhalte man keine neuen Adressblöcke mehr. Es wäre zwar möglich, so Tobler, auf dem Markt freie Adressen zu kaufen – aber die Preise seien exorbitant. Auch die Übernahme eines Unternehmens, das noch über freie IPv4-Adressen verfügt, sei nicht infrage gekommen.

Carrier-Grade-NAT löst Adressproblem

Leucom ist zu dem Schluss gekommen, dass Carrier-Grade-NAT (CGN) die optimale Lösung bringt: Der Provider teilt seinen Kunden dabei nicht mehr eine öffentliche, sondern nur eine private IPv4-Adresse zu. Ein CGN-Gateway beim Provider übersetzt diese private Adresse für den Zugriff aufs Internet in eine öffentliche Adresse, wobei sich mehrere Kunden eine der rar gewordenen öffentlichen Adressen teilen.

Auf der Suche nach der bestmöglichen CGN-Lösung sah sich Tobler zuerst die Umgebung eines Partners an, der CGN mit seiner bestehenden Netzwerkinfrastruktur implementiert hatte. Bei weiteren Recherchen stieß der IT-Leiter auf das CGN-Gateway Thunder CGN von A10 Networks. „Dieses Produkt hat mich überzeugt. Der Hersteller konzentriert sich ganz auf CGN und weitere spezialisierte Technologien wie Application Delivery, DDoS Protection und IPv6 Transition – A10 ist also kein Generalist, der nebenbei noch ein bisschen CGN ermöglicht.“

Rasanter Speed bei der Projektumsetzung

„Der A10-Distributor Boll hat auf unsere Anfrage sehr schnell reagiert – wir bekamen eine gute Präsentation und konnten in einem offenen Gespräch alles Nötige klären. Die Chemie hat von Anfang an gestimmt“, zeigt sich Tobler begeistert. Ein Proof-of-Concept, realisiert mit einem Testgerät und im Dialog mit dem Reseller ngworx.ag und den Experten von A10 Networks, hat Leucom vollends überzeugt, dass A10 die richtige Wahl war (siehe Anmerkungen am Ende des Beitrags).

Der erste Kontakt zu BOLL und ngworx.ag erfolgte Anfang 2017. Danach lief alles mit Höchstgeschwindigkeit ab: Ende März waren bereits 3.000 Kunden auf die neue CGN-Umgebung migriert. Der Speed der Umsetzung hat auch die ngworx.ag überrascht. Business Development Manager Noam Suisa sagt: „Alle Projekt-Partner waren sich sofort einig. Wir freuen uns, dass dieses Projekt so rasch und effizient zum Abschluss gebracht werden konnte.“

Die Umstellung hat Leucom schrittweise durchgezogen und dabei mit den preisgünstigsten, Ende 2016 eingeführten Abos begonnen. Christoph Tobler: „Wir haben langsam angefangen, erst mit 100, dann mit 500 Kunden pro Woche. Zwischen 100 und 200 Kunden teilen sich dabei eine öffentliche Adresse. So konnten wir Feedback einholen und die Kundenzufriedenheit prüfen.“

Probleme gab es bei weniger als einem Prozent der migrierten Kunden. Die meisten haben von der Umstellung überhaupt nichts mitbekommen. Das war auch das klare Ziel von Leucom: „Wir fühlen uns als Provider dazu verpflichtet, dass die CGN-Migration für die Kunden absolut transparent abläuft und kein Handicap auftaucht.“ Laut Christoph Tobler konnten einige kleinere Probleme bereits in einem ersten Test mit zehn Kunden, darunter er selbst, ausgeräumt werden (siehe Anmerkungen am Ende des Beitrags).

Ergänzendes zum Thema
 
Über Leucom
 
Über ngworx.ag

Als Kunde genießt man mit CGN sogar Vorteile: Auch, wenn im Backend-Bereich IPv6 im Einsatz steht, kann der Kunde dank CGN weiterhin seine bewährte IPv4-Infrastruktur unverändert nutzen. Und durch die providerseitige Adressübersetzung ist das Netz des Kunden besser gegen mögliche Hackerangriffe von außen geschützt. Insgesamt also eine runde Lösung, auch für den Provider. Denn die komplette Migration auf IPv6 mit seinem umfangreichen Adressraum würde das IPv4-Knappheitsproblem zwar lösen. Für Leucom wäre dies laut Christoph Tobler aber noch nicht opportun: „Die Umstellung wäre sehr komplex, und wir könnten mit den aktuellen Möglichkeiten noch nicht alles umsetzen, was wir brauchen.“

Hoch leistungsfähige CGN-Infrastruktur

Aktuell betreibt Leucom zwei Thunder-CGN-Geräte. Sollte eines ausfallen, übernimmt das andere kurzfristig das Routing der defekten Einheit. Die Appliances stehen am Standort in Zürich, wo auch die Anbindung des eigenen Netzes ans Internet-Backbone erfolgt. Für die Zukunft plant Leucom ein drittes Gerät am Standort Frauenfeld.

Nötig wäre dies aus Performance-Gründen allerdings noch lange nicht: Im Moment liegt die CPU-Last der Appliances bei gerade mal fünf Prozent. Laut A10 bewältigt eine Thunder-CGN-Appliance bis zu 15.000 Kunden – Leucom kann also problemlos weiter wachsen, bis die bestehenden CGN-Gateways an ihre Leistungsgrenze stoßen. Und mit den weiteren, von Leucom bisher nicht genutzten Funktionen der Thunder-CGN-Plattform ist der Provider auch für eine künftige Migration auf IPv6 bestens gerüstet.

Ergänzungen und Bemerkungen

Im Zuge der Vorstellung der CGN-Lösung erhielt Christoph Tobler ein Testgerät, mit dem er das System zunächst einen Monat lang ausprobieren konnte. Dazu stellte Tobler seinen privaten Anschluss zu Hause auf CGN um. Er nutzt privat etwa 20 Geräte, von Smartphones, Tablets und Laptops bis hin zu einer Lautsprecheranlage. Ziel war es, das System so einzustellen, dass sich die Umstellung nicht bemerkbar macht und er alle Geräte weiterhin mit der gewünschten Leistung nutzen kann.

In der ersten Testphase waren die Kapazitäten noch nicht ausreichend: beim gleichzeitigen Abspielen von Musik aus dem Internet und dem Abrufen mehrerer Webseiten kam es zu Störungen. Gemeinsam mit den Servicetechnikern von A10 Networks übernahm Tobler das Finetuning und konfigurierte die erforderlichen Ports neu. Erst nachdem die Lösung bei ihm zu Hause einwandfrei funktionierte, begann Tobler mit der CGN-Umstellung bei den Kunden.

Besonderes Augenmerk legte Tobler bei seinen Tests auf das Thema VPN. Tobler arbeitet auch zu Hause häufig mit VPN-Verbindungen, was auch nach der Umstellung noch problemlos und störungsfrei möglich war. Allerdings sind VPN-Dienste die vom Internet in das heimische Netz aufgebaut werden technologiebedingt auch mit CGN nicht möglich! Und so lagen die Hauptprobleme der Umstellung (insgesamt bei weniger als einem Prozent der Kunden) überwiegend genau an solchen Zugriffsszenarien aus dem Web in das eigene Netz. NAS-Systeme, die von Kunden mittels Fernzugriff auch aus dem Internet abgefragt wurden, waren hier ebenso betroffen, wie DynDNS-Dienste. Für diese Kunden wurde zusätzlich eine öffentliche IP-Adresse freigeschaltet. Nach dem Neustart der Firewall konnten auch diese Kunden ihre Services und Dienste wie gewohnt nutzen.

Das Telefon von Tobler ist ein SIP-Endgerät und läuft hinter der Firewall. Auch hier stellte die zweifache NAT-Umsetzung (vom privaten DSL-Router und von der CGN-Appliance) kein Problem dar.

Seit der Umstellung auf CGN können Leucom-Kunden zwischen verschiedenen Abonnement-Möglichkeiten wählen. Die kostengünstigen Basismodelle laufen alle über CGN. Kunden, die eine öffentliche IP-Adresse benötigen, können sich für die erweiterten Modelle entscheiden.

Teilen von öffentlichen Adressen

In Normalfall verwenden mehrere Geräte im Hausgebrauch dieselbe öffentliche IP-Adresse. Dieses Prinzip setzt Leucom für seine Kunden im größeren Stil um. Das CGN-Gateway Thunder CGN von A10 Networks weist jedem Dienst einen Port zu. So kann Leucom als Service-Provider nachvollziehen, welcher Kunde welchen Dienst über welchen Port nutzt. Dies ist beispielsweise im Rahmen von polizeilichen Ermittlungen offenzulegen. Zu Zeiten der IPv4-Adressen konnten diese einfach zugeordnet werden. Seit der Umstellung auf CGN teilen sich zwischen 100 und 200 Kunden eine öffentliche Adresse. Das CGN-Gateway muss also mit Hilfe der jeweiligen Ports die einzelnen Kunden und Aktivitäten erfassen, damit Transparenz hergestellt werden kann. Das Erstellen der Logdateien war ein wesentlicher Grund für die Wahl des Systems von A10 Networks. Damit können die rechtlichen Vorgaben in der Schweiz zur Überprüfung des Datenverkehrs umgesetzt werden.

Heiko Frank.
Heiko Frank. (Bild: A10 Networks)

Über den Autor

Heiko Frank ist Senior System Engineer Central Europe bei A10 Networks. In dieser Funktion betreut und berät er Reseller und Kunden in den deutschsprachigen Ländern sowie Osteuropa bei Projekten rund um Application Delivery, NAT und DDoS. Seine berufliche Expertise erarbeitete sich Frank durch seine Tätigkeit als Pre-Sales Consultant bei verschiedenen Netzwerk-Ausrüstern wie Cisco Systems, Nortel Networks und Allot Communications.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45045129 / Architektur)