運(yùn)營級NAT44系統(tǒng)部署探討

張鉦林

【摘要】 隨著全球IPv4地址分配完畢，IP地址短缺問題日益嚴(yán)重。鑒于IPv6的規(guī)模應(yīng)用尚需時日，為正常發(fā)展業(yè)務(wù)，運(yùn)營商在網(wǎng)絡(luò)中引入了NAT44部署。本文針對NAT44部署相關(guān)策略、路由策略、用戶溯源等進(jìn)行分析，并給出相應(yīng)的部署建議。

【關(guān)鍵詞】 IP地址 NAT44 用戶溯源

一、前言

隨著互聯(lián)網(wǎng)快速發(fā)展、智能終端的大量出現(xiàn)，對IP地址需求越來越大，現(xiàn)有IPv4地址已難以支撐網(wǎng)絡(luò)和業(yè)務(wù)發(fā)展需求，2011年2月互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）公布全球IPv4地址已分配完畢，由于歷史原因，中國所擁有的IPv4地址資源有限（截止2010年6月IPv4地址數(shù)量約2.5億，遠(yuǎn)落后于當(dāng)時4.2億網(wǎng)民的需求），IPv4地址不足已成為國內(nèi)各運(yùn)營商業(yè)務(wù)發(fā)展關(guān)鍵瓶頸。

由于IPv6規(guī)模商用尚需時日，為解決用戶發(fā)展與IP地址不足間的矛盾，運(yùn)營商需要在網(wǎng)絡(luò)內(nèi)部署NAT44，運(yùn)營級NAT44的部署可有效擴(kuò)展公有IP地址使用效率，解決用戶地址不足的問題。本文通過結(jié)合某運(yùn)營商現(xiàn)網(wǎng)運(yùn)維的經(jīng)驗(yàn)，對運(yùn)營級NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用戶溯源等進(jìn)行探討。

二、運(yùn)營級NAT44系統(tǒng)組成

在運(yùn)營級NAT44系統(tǒng)中，主要由NAT設(shè)備、BRAS（AC）、AAA、DPI、日志系統(tǒng)（Log Server）、等構(gòu)成如圖1的拓?fù)浣Y(jié)構(gòu)：

圖1 NAT44架構(gòu)

網(wǎng)絡(luò)設(shè)備：

NAT設(shè)備：提供運(yùn)營商級的NAT轉(zhuǎn)換功能，將用戶私有地址轉(zhuǎn)換為公有地址，同時需要將NAT轉(zhuǎn)換日志上傳給日志系統(tǒng)（Log Server）。

BRAS：負(fù)責(zé)接入終端，并配合AAA完成用戶認(rèn)證、授權(quán)和用戶計費(fèi)。

日志留存相關(guān)設(shè)備：

AAA：負(fù)責(zé)用戶認(rèn)證、授權(quán)和計費(fèi)，記錄和維護(hù)用戶計費(fèi)和賬號等信息。AAA服務(wù)器可記錄用戶私有地址與賬號的對應(yīng)關(guān)系。

DPI（Deep Packet Inspection，深度包檢測）：負(fù)責(zé)完成用戶URL記錄的抓取，并上傳給Log Server。

日志系統(tǒng)（Log Server）：接收和記錄用戶訪問信息、NAT日志和Radius日志，生成用戶溯源信息。

三、NAT設(shè)備主要部署方案

目前NAT44部署方式主要有獨(dú)立設(shè)備和插卡兩種方式：獨(dú)立NAT設(shè)備旁掛網(wǎng)絡(luò)設(shè)備，NAT插卡作為板卡插入現(xiàn)網(wǎng)設(shè)備。

在實(shí)際部署中，NAT設(shè)備部署在IP城域網(wǎng)網(wǎng)出口或省出口層面，形成集中式部署方式；部署在BRAS或AC層面，形成分布式部署方式。

NAT設(shè)備在運(yùn)營商網(wǎng)絡(luò)中有以下三種典型部署場景：（圖2）

省核心路由器旁掛NAT設(shè)備（適用于網(wǎng)絡(luò)未扁平化運(yùn)營商）：NAT設(shè)備作為獨(dú)立設(shè)備，集中式旁掛在省網(wǎng)核心路由器；

IP城域網(wǎng)核心路由器旁掛NAT設(shè)備：NAT設(shè)備作為獨(dú)立設(shè)備，集中式旁掛在IP城域網(wǎng)核心；

BRAS/AC分布式插NAT板卡：NAT設(shè)備作為板卡，插入B RAS、AC等設(shè)備。

三種方式特點(diǎn)及應(yīng)用場景如下：

表1 NAT設(shè)備部署方式對比

類別 集中部署（省網(wǎng)核心旁掛） 集中部署（城域核心旁掛） 分布式插卡

部署場景 用戶規(guī)模較小?。úl(fā)50萬以下），且網(wǎng)絡(luò)未扁平化 用戶規(guī)模較大地市（并發(fā)10萬以上） 少量地區(qū)需做NAT時（單點(diǎn)并發(fā)用戶在1萬以下）

對網(wǎng)絡(luò)路由影響 一般采用策略路由引導(dǎo)，僅對省核心路由器有影響 一般采用策略路由引導(dǎo)，僅對城域核心路由器有影響 無影響

可靠性 高，可實(shí)現(xiàn)session級備份，同時NAT設(shè)備間可實(shí)現(xiàn)

N：1備份 高，可實(shí)現(xiàn)session級備份，同時NAT設(shè)備間可實(shí)現(xiàn)

N：1備份 一般，需要同BRAS備份相結(jié)合

標(biāo)準(zhǔn)化程度 高，源于防火墻，各運(yùn)營商有相應(yīng)標(biāo)準(zhǔn)，且進(jìn)行了相應(yīng)集采 高，源于防火墻，各運(yùn)營商有相應(yīng)標(biāo)準(zhǔn)，且進(jìn)行了相應(yīng)集采 和BRAS設(shè)備捆綁，透明度不高

運(yùn)營商可根據(jù)自身網(wǎng)絡(luò)特點(diǎn)選擇相應(yīng)部署方式，隨著運(yùn)營商需要做NAT規(guī)模擴(kuò)展，以及網(wǎng)絡(luò)扁平化趨勢，方式二：集中部署（城域網(wǎng)核心旁掛）將是主流架構(gòu)。下述章節(jié)將對方式二：集中部署（城域網(wǎng)核心旁掛）相關(guān)組網(wǎng)細(xì)節(jié)進(jìn)行分析。

3.1 NAT設(shè)備組網(wǎng)方式

NAT設(shè)備旁掛于IP城域網(wǎng)核心（以下簡稱CR），在實(shí)際部署中，可根據(jù)傳輸資源選擇NAT雙歸部署或單歸屬部署，具體如下圖所示：

圖3 NAT設(shè)備組網(wǎng)示意

雙歸屬連接：2臺NAT設(shè)備建議分別雙歸連接到兩臺核心路由器，2臺NAT設(shè)備之間形成備份關(guān)系，此組網(wǎng)方式安全性較高，推薦采用；

單歸屬連接：在核心路由器之間光纖資源或傳輸資源不足的情況下，可以選擇NAT設(shè)備單歸連接到核心路由器的組網(wǎng)方式。

3.2 路由規(guī)劃建議

（1）對于出網(wǎng)流量：

對于出網(wǎng)流量，建議在CR上配置策略路由，對于源地址需要NAT轉(zhuǎn)換的流量，下一跳指向NAT設(shè)備，由NAT設(shè)備負(fù)責(zé)完成地址轉(zhuǎn)換；

對于NAT轉(zhuǎn)換后的流量，通過靜態(tài)路由回注到核心路由器；

如條件具備（現(xiàn)階段需要2臺NAT設(shè)備同廠家且同型號），建議兩臺NAT設(shè)備間開通會話同步；若兩臺NAT設(shè)備間未做會話同步，為避免同一用戶一個應(yīng)用出現(xiàn)不同公網(wǎng)IP以影響部分應(yīng)用正常使用（例如網(wǎng)銀業(yè)務(wù)），所有出網(wǎng)流量需根據(jù)源地址段（例如將各地市私網(wǎng)段劃分為2個，即IP1和IP2）在城域網(wǎng)中做流量牽引，設(shè)備正常工作時將源地址段為IP1的流量引向NAT1，源地址段為IP2的流量引向NAT2。

（2）對于入網(wǎng)流量：

建議動態(tài)引流方案：CR上將NAT后公網(wǎng)地址段注入到BGP路由中。

對于NAT轉(zhuǎn)換后的流量，通過靜態(tài)路由回注到核心路由器CR。

另外，NAT設(shè)備與核心路由器之間需要開啟IGP路由協(xié)議，僅用于通告設(shè)備Loopback地址以及內(nèi)部互聯(lián)地址。

（3）如采用單歸屬上連方式，為實(shí)現(xiàn)NAT設(shè)備間的安全備份，還需進(jìn)行以下配置：

NAT-1與CR1，CR2與NAT -2、CR1與CR2間互聯(lián)口起ISIS（假設(shè)IGP為ISIS）單獨(dú)進(jìn)程，NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 間增配一對互聯(lián)地址，NAT設(shè)備各增配1個32位的loopback地址；

NAT設(shè)備的上下行接口需同時關(guān)斷。

3.3 地址及端口使用規(guī)劃建議

建議采用端口塊固定大小方式，根據(jù)某運(yùn)營商現(xiàn)網(wǎng)統(tǒng)計，平均每用戶會話數(shù)在50～120之間，超過512會話的不到2%，因此建議每個私網(wǎng)IP固定分配512個端口號（各運(yùn)營商可根據(jù)實(shí)際情況調(diào)整）；

2臺NAT設(shè)備互為主備，其中正常工作時NAT-1負(fù)責(zé)IP1源地址段轉(zhuǎn)換，NAT-2負(fù)責(zé)IP2源地址段轉(zhuǎn)換；

為避免設(shè)備故障，單臺NAT設(shè)備工作時地公網(wǎng)地址不足，NAT-1設(shè)備需為IP2預(yù)留所需公網(wǎng)地址，NAT-2設(shè)備同樣需為IP1預(yù)留所需公網(wǎng)地址。

NAT-1和NAT-2采用不同公網(wǎng)地址段。

四、日志溯源方案

NAT44 部署后，用戶使用私有地址，而用戶報文在NAT轉(zhuǎn)換后的地址與實(shí)現(xiàn)源地址不同，應(yīng)用服務(wù)器只能獲得NAT轉(zhuǎn)換后的公網(wǎng)地址，且同一公網(wǎng)地址對應(yīng)多個私網(wǎng)地址，此時將無法對用戶進(jìn)行精確溯源。

根據(jù)《工業(yè)和信息化部印發(fā)<工業(yè)和信息化部關(guān)于進(jìn)一步深入整治手機(jī)淫穢色情專項行動工作方案>的通知》（工信部電管〔2009〕672號）和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（中華人民共和國國務(wù)院令2000年第292號）文件對運(yùn)營商上網(wǎng)日志留存的相關(guān)要求，運(yùn)營商需提供用戶完整的用戶上網(wǎng)日志。因此運(yùn)營商在進(jìn)行NAT44部署時，需同步部署NAT日志留存系統(tǒng)。

4.1 基于應(yīng)用層的用戶溯源系統(tǒng)工作原理

傳統(tǒng)用戶溯源方式一般采用Radius 日志和NAT日志合并溯源方案，采用該種方式可實(shí)現(xiàn)“用戶私網(wǎng)地址、私網(wǎng)端口號、公網(wǎng)地址、公網(wǎng)端口號、上下線時間、用戶賬號”信息的記錄，采用該方式對于現(xiàn)網(wǎng)改造較小，是運(yùn)營商普遍采用方案，但也存在嚴(yán)重不足：

該方式未記錄用戶上網(wǎng)信息（URL信息），而目前政府監(jiān)管部門一般僅提供源公網(wǎng)地址和時間段，此時運(yùn)營商將無法實(shí)現(xiàn)用戶精確溯源。

本文針對傳統(tǒng)用戶溯源方式存在不足，提出一種基于應(yīng)用層的用戶精確溯源方式，該工作原理如下：

圖4 NAT日志溯源原理

該方案通過在IP城域網(wǎng)出口部署DPI系統(tǒng)，為確保DPI日志信息的完整，DPI系統(tǒng)的部署位置應(yīng)置于NAT系統(tǒng)之后。（注：Deep Packet Inspection，深度包檢測，是一種基于應(yīng)用層的流量檢測和控制技術(shù)，通過深入讀取IP包載荷的內(nèi)容來對OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容。）

部署DPI系統(tǒng)后，相關(guān)系統(tǒng)輸出日志如下：

NAT44設(shè)備：輸出用戶私網(wǎng)地址、私網(wǎng)端口號、源公網(wǎng)地址、源公網(wǎng)端口號、上下線時間；

AAA系統(tǒng)：輸出用戶賬號、私網(wǎng)地址、私網(wǎng)端口號、上下線時間；

DPI系統(tǒng)：輸出用戶源公網(wǎng)地址、源公網(wǎng)地址端口號、目的公網(wǎng)地址、目的公網(wǎng)地址端口號、URL地址、上下線時間。

為實(shí)現(xiàn)日志的精確合成，所有系統(tǒng)必須從同一時鐘源獲取基準(zhǔn)時間。

NAT日志系統(tǒng)（Log Server），負(fù)責(zé)采集并解析以上三類日志，根據(jù)三類日志中兩兩共有的諸如IP地址、端口號、起止時間等關(guān)鍵字段將三者關(guān)聯(lián)生成用戶上網(wǎng)完整記錄，并提供相應(yīng)查詢服務(wù)。

其工作流程如下圖：

圖5 NAT日志系統(tǒng)（Log Server）工作原理

4.2 日志輸出方式建議

NAT44設(shè)備輸出日志分為會話（Session）級和用戶級（PBA），兩者區(qū)別在于：

在session級的日志輸出中，每新建一個session觸發(fā)日志信息輸出，拆除session時也會觸發(fā)日志信息輸出。

在用戶級（PBA）的日志輸出中，用戶新建第一個session時，發(fā)送一個日志消息，拆除用戶最后一個session或所有會話維持時間超出老化時間時，再發(fā)送一個日志消息，而中間無論新建和拆除session均不發(fā)送日志消息。

Session級為傳統(tǒng)方案，一般的防火墻均可實(shí)現(xiàn)，但若應(yīng)用在電信運(yùn)營商網(wǎng)絡(luò)中則有較大問題，Session級日志會產(chǎn)生巨大的日志量，例如以1萬用戶為例：

采用Session級日志輸出：根據(jù)某運(yùn)營商現(xiàn)網(wǎng)統(tǒng)計，單用戶平均產(chǎn)生會話為20個/秒，用戶平均在線率為50%，則一天24小時會產(chǎn)生24*3600*20*0.5=8，640，000萬條日志；

采用用戶級（PBA）日志輸出：同樣根據(jù)某運(yùn)營商現(xiàn)網(wǎng)統(tǒng)計，單用戶每天上線次數(shù)均為4次，則一天24小時僅產(chǎn)生4*2=8萬條日志。

由此可看出，采用Session級方式的日志量是用戶級的11萬倍，差距非常大。根據(jù)工信部相關(guān)要求，日志需留存60天，為節(jié)省大量存儲設(shè)備投資，建議電信運(yùn)營商應(yīng)采用用戶級（PBA）日志方案，在網(wǎng)絡(luò)規(guī)劃階段提前做好技術(shù)要求，并購置支持用戶級（PBA）日志輸出的NAT44設(shè)備。

五、結(jié)束語

運(yùn)營級NAT44系統(tǒng)是當(dāng)前電信運(yùn)營商解決IPv4地址不足的唯一途徑，它不僅僅是幾臺NAT設(shè)備，而是一個完整的體系，通過對NAT44設(shè)備、用戶溯源系統(tǒng)的合理部署以及網(wǎng)絡(luò)路由的合理規(guī)劃，不僅能有效解決運(yùn)營商業(yè)務(wù)發(fā)展中IP地址瓶頸，同時也能很好地解決NAT部署所帶來的各種安全問題。