运营级NAT44系统部署探讨

2015-05-30张钲林

中国新通信 2015年2期

关键词：IP地址

张钲林

【摘要】随着全球IPv4地址分配完毕，IP地址短缺问题日益严重。鉴于IPv6的规模应用尚需时日，为正常发展业务，运营商在网络中引入了NAT44部署。本文针对NAT44部署相关策略、路由策略、用户溯源等进行分析，并给出相应的部署建议。

【关键词】 IP地址 NAT44 用户溯源

一、前言

随着互联网快速发展、智能终端的大量出现，对IP地址需求越来越大，现有IPv4地址已难以支撑网络和业务发展需求，2011年2月互联网名称与数字地址分配机构（ICANN）公布全球IPv4地址已分配完毕，由于历史原因，中国所拥有的IPv4地址资源有限（截止2010年6月IPv4地址数量约2.5亿，远落后于当时4.2亿网民的需求），IPv4地址不足已成为国内各运营商业务发展关键瓶颈。

由于IPv6规模商用尚需时日，为解决用户发展与IP地址不足间的矛盾，运营商需要在网络内部署NAT44，运营级NAT44的部署可有效扩展公有IP地址使用效率，解决用户地址不足的问题。本文通过结合某运营商现网运维的经验，对运营级NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用户溯源等进行探讨。

二、运营级NAT44系统组成

在运营级NAT44系统中，主要由NAT设备、BRAS（AC）、AAA、DPI、日志系统（Log Server）、等构成如图1的拓扑结构：

图1 NAT44架构

网络设备：

NAT设备：提供运营商级的NAT转换功能，将用户私有地址转换为公有地址，同时需要将NAT转换日志上传给日志系统（Log Server）。

BRAS：负责接入终端，并配合AAA完成用户认证、授权和用户计费。

日志留存相关设备：

AAA：负责用户认证、授权和计费，记录和维护用户计费和账号等信息。AAA服务器可记录用户私有地址与账号的对应关系。

DPI（Deep Packet Inspection，深度包检测）：负责完成用户URL记录的抓取，并上传给Log Server。

日志系统（Log Server）：接收和记录用户访问信息、NAT日志和Radius日志，生成用户溯源信息。

三、NAT设备主要部署方案

目前NAT44部署方式主要有独立设备和插卡两种方式：独立NAT设备旁挂网络设备，NAT插卡作为板卡插入现网设备。

在实际部署中，NAT设备部署在IP城域网网出口或省出口层面，形成集中式部署方式；部署在BRAS或AC层面，形成分布式部署方式。

NAT设备在运营商网络中有以下三种典型部署场景：（图2）

省核心路由器旁挂NAT设备（适用于网络未扁平化运营商）：NAT设备作为独立设备，集中式旁挂在省网核心路由器；

IP城域网核心路由器旁挂NAT设备：NAT设备作为独立设备，集中式旁挂在IP城域网核心；

BRAS/AC分布式插NAT板卡：NAT设备作为板卡，插入B RAS、AC等设备。

三种方式特点及应用场景如下：

表1 NAT设备部署方式对比

类别集中部署（省网核心旁挂）集中部署（城域核心旁挂）分布式插卡

部署场景用户规模较小省（并发50万以下），且网络未扁平化用户规模较大地市（并发10万以上）少量地区需做NAT时（单点并发用户在1万以下）

对网络路由影响一般采用策略路由引导，仅对省核心路由器有影响一般采用策略路由引导，仅对城域核心路由器有影响无影响

可靠性高，可实现session级备份，同时NAT设备间可实现

N：1备份高，可实现session级备份，同时NAT设备间可实现

N：1备份一般，需要同BRAS备份相结合

標准化程度高，源于防火墙，各运营商有相应标准，且进行了相应集采高，源于防火墙，各运营商有相应标准，且进行了相应集采和BRAS设备捆绑，透明度不高

运营商可根据自身网络特点选择相应部署方式，随着运营商需要做NAT规模扩展，以及网络扁平化趋势，方式二：集中部署（城域网核心旁挂）将是主流架构。下述章节将对方式二：集中部署（城域网核心旁挂）相关组网细节进行分析。

3.1 NAT设备组网方式

NAT设备旁挂于IP城域网核心（以下简称CR），在实际部署中，可根据传输资源选择NAT双归部署或单归属部署，具体如下图所示：

图3 NAT设备组网示意

双归属连接：2台NAT设备建议分别双归连接到两台核心路由器，2台NAT设备之间形成备份关系，此组网方式安全性较高，推荐采用；

单归属连接：在核心路由器之间光纤资源或传输资源不足的情况下，可以选择NAT设备单归连接到核心路由器的组网方式。

3.2 路由规划建议

（1）对于出网流量：

对于出网流量，建议在CR上配置策略路由，对于源地址需要NAT转换的流量，下一跳指向NAT设备，由NAT设备负责完成地址转换；

对于NAT转换后的流量，通过静态路由回注到核心路由器；

如条件具备（现阶段需要2台NAT设备同厂家且同型号），建议两台NAT设备间开通会话同步；若两台NAT设备间未做会话同步，为避免同一用户一个应用出现不同公网IP以影响部分应用正常使用（例如网银业务），所有出网流量需根据源地址段（例如将各地市私网段划分为2个，即IP1和IP2）在城域网中做流量牵引，设备正常工作时将源地址段为IP1的流量引向NAT1，源地址段为IP2的流量引向NAT2。

（2）对于入网流量：

建议动态引流方案：CR上将NAT后公网地址段注入到BGP路由中。

对于NAT转换后的流量，通过静态路由回注到核心路由器CR。

另外，NAT設备与核心路由器之间需要开启IGP路由协议，仅用于通告设备Loopback地址以及内部互联地址。

（3）如采用单归属上连方式，为实现NAT设备间的安全备份，还需进行以下配置：

NAT-1与CR1，CR2与NAT -2、CR1与CR2间互联口起ISIS（假设IGP为ISIS）单独进程，NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 间增配一对互联地址，NAT设备各增配1个32位的loopback地址；

NAT设备的上下行接口需同时关断。

3.3 地址及端口使用规划建议

建议采用端口块固定大小方式，根据某运营商现网统计，平均每用户会话数在50～120之间，超过512会话的不到2%，因此建议每个私网IP固定分配512个端口号（各运营商可根据实际情况调整）；

2台NAT设备互为主备，其中正常工作时NAT-1负责IP1源地址段转换，NAT-2负责IP2源地址段转换；

为避免设备故障，单台NAT设备工作时地公网地址不足，NAT-1设备需为IP2预留所需公网地址，NAT-2设备同样需为IP1预留所需公网地址。

NAT-1和NAT-2采用不同公网地址段。

四、日志溯源方案

NAT44 部署后，用户使用私有地址，而用户报文在NAT转换后的地址与实现源地址不同，应用服务器只能获得NAT转换后的公网地址，且同一公网地址对应多个私网地址，此时将无法对用户进行精确溯源。

根据《工业和信息化部印发<工业和信息化部关于进一步深入整治手机淫秽色情专项行动工作方案>的通知》（工信部电管〔2009〕672号）和《互联网信息服务管理办法》（中华人民共和国国务院令2000年第292号）文件对运营商上网日志留存的相关要求，运营商需提供用户完整的用户上网日志。因此运营商在进行NAT44部署时，需同步部署NAT日志留存系统。

4.1 基于应用层的用户溯源系统工作原理

传统用户溯源方式一般采用Radius 日志和NAT日志合并溯源方案，采用该种方式可实现“用户私网地址、私网端口号、公网地址、公网端口号、上下线时间、用户账号”信息的记录，采用该方式对于现网改造较小，是运营商普遍采用方案，但也存在严重不足：

该方式未记录用户上网信息（URL信息），而目前政府监管部门一般仅提供源公网地址和时间段，此时运营商将无法实现用户精确溯源。

本文针对传统用户溯源方式存在不足，提出一种基于应用层的用户精确溯源方式，该工作原理如下：

图4 NAT日志溯源原理

该方案通过在IP城域网出口部署DPI系统，为确保DPI日志信息的完整，DPI系统的部署位置应置于NAT系统之后。（注：Deep Packet Inspection，深度包检测，是一种基于应用层的流量检测和控制技术，通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组，从而得到整个应用程序的内容。）

部署DPI系统后，相关系统输出日志如下：

NAT44设备：输出用户私网地址、私网端口号、源公网地址、源公网端口号、上下线时间；

AAA系统：输出用户账号、私网地址、私网端口号、上下线时间；

DPI系统：输出用户源公网地址、源公网地址端口号、目的公网地址、目的公网地址端口号、URL地址、上下线时间。

为实现日志的精确合成，所有系统必须从同一时钟源获取基准时间。

NAT日志系统（Log Server），负责采集并解析以上三类日志，根据三类日志中两两共有的诸如IP地址、端口号、起止时间等关键字段将三者关联生成用户上网完整记录，并提供相应查询服务。

其工作流程如下图：

图5 NAT日志系统（Log Server）工作原理

4.2 日志输出方式建议

NAT44设备输出日志分为会话（Session）级和用户级（PBA），两者区别在于：

在session级的日志输出中，每新建一个session触发日志信息输出，拆除session时也会触发日志信息输出。

在用户级（PBA）的日志输出中，用户新建第一个session时，发送一个日志消息，拆除用户最后一个session或所有会话维持时间超出老化时间时，再发送一个日志消息，而中间无论新建和拆除session均不发送日志消息。