运营级NAT44系统部署的探讨.docVIP

运营级NAT44系统部署的探讨 　　【摘要】 随着全球IPv4地址分配完毕，IP地址短缺问题日益严重。鉴于IPv6的规模应用尚需时日，为正常发展业务，运营商在网络中引入了NAT44部署。本文针对NAT44部署相关策略、路由策略、用户溯源等进行分析，并给出相应的部署建议。 　　【关键词】 IP地址 NAT44 用户溯源 　　一、前言 　　随着互联网快速发展、智能终端的大量出现，对IP地址需求越来越大，现有IPv4地址已难以支撑网络和业务发展需求，2011年2月互联网名称与数字地址分配机构（ICANN）公布全球IPv4地址已分配完毕，由于历史原因，中国所拥有的IPv4地址资源有限（截止2010年6月IPv4地址数量约2.5亿，远落后于当时4.2亿网民的需求），IPv4地址不足已成为国内各运营商业务发展关键瓶颈。 　　由于IPv6规模商用尚需时日，为解决用户发展与IP地址不足间的矛盾，运营商需要在网络内部署NAT44，运营级NAT44的部署可有效扩展公有IP地址使用效率，解决用户地址不足的问题。本文通过结合某运营商现网运维的经验，对运营级NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用户溯源等进行探讨。 　　二、运营级NAT44系统组成 　　在运营级NAT44系统中，主要由NAT设备、BRAS（AC）、AAA、DPI、日志系统（Log Server）、等构成如图1的拓扑结构： 　　图1 NAT44架构 　　网络设备： 　　NAT设备：提供运营商级的NAT转换功能，将用户私有地址转换为公有地址，同时需要将NAT转换日志上传给日志系统（Log Server）。 　　BRAS：负责接入终端，并配合AAA完成用户认证、授权和用户计费。 　　日志留存相关设备： 　　AAA：负责用户认证、授权和计费，记录和维护用户计费和账号等信息。AAA服务器可记录用户私有地址与账号的对应关系。 　　DPI（Deep Packet Inspection，深度包检测）：负责完成用户URL记录的抓取，并上传给Log Server。 　　日志系统（Log Server）：接收和记录用户访问信息、NAT日志和Radius日志，生成用户溯源信息。 　　三、NAT设备主要部署方案 　　目前NAT44部署方式主要有独立设备和插卡两种方式：独立NAT设备旁挂网络设备，NAT插卡作为板卡插入现网设备。 　　在实际部署中，NAT设备部署在IP城域网网出口或省出口层面，形成集中式部署方式；部署在BRAS或AC层面，形成分布式部署方式。 　　NAT设备在运营商网络中有以下三种典型部署场景：（图2） 　　省核心路由器旁挂NAT设备（适用于网络未扁平化运营商）：NAT设备作为独立设备，集中式旁挂在省网核心路由器； 　　IP城域网核心路由器旁挂NAT设备：NAT设备作为独立设备，集中式旁挂在IP城域网核心； 　　BRAS/AC分布式插NAT板卡：NAT设备作为板卡，插入B RAS、AC等设备。 　　三种方式特点及应用场景如下： 　　表1 NAT设备部署方式对比 　　类别 集中部署（省网核心旁挂） 集中部署（城域核心旁挂） 分布式插卡 　　部署场景 用户规模较小省（并发50万以下），且网络未扁平化 用户规模较大地市（并发10万以上） 少量地区需做NAT时（单点并发用户在1万以下） 　　对网络路由影响 一般采用策略路由引导，仅对省核心路由器有影响 一般采用策略路由引导，仅对城域核心路由器有影响 无影响 　　可靠性 高，可实现session级备份，同时NAT设备间可实现 　　N：1备份 高，可实现session级备份，同时NAT设备间可实现 　　N：1备份 一般，需要同BRAS备份相结合 　　标准化程度 高，源于防火墙，各运营商有相应标准，且进行了相应集采 高，源于防火墙，各运营商有相应标准，且进行了相应集采 和BRAS设备捆绑，透明度不高 　　运营商可根据自身网络特点选择相应部署方式，随着运营商需要做NAT规模扩展，以及网络扁平化趋势，方式二：集中部署（城域网核心旁挂）将是主流架构。下述章节将对方式二：集中部署（城域网核心旁挂）相关组网细节进行分析。 　　3.1 NAT设备组网方式 　　NAT设备旁挂于IP城域网核心（以下简称CR），在实际部署中，可根据传输资源选择NAT双归部署或单归属部署，具体如下图所示： 　　图3 NAT设备组网示意 　　双归属连接：2台NAT设备建议分别双归连接到两台核心路由器，2台NAT设备之间形成备份关系，此组网方式安全性较高，推荐采用； 　　单归属连接：在核心路由器之间光纤资源或传输资源不足的情况下，可以选择NAT设备单归连接到核心路由器的组网方式。 　　3.2 路由规划建