• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      NAT技術(shù)在運(yùn)營(yíng)商城域網(wǎng)中的應(yīng)用研究

      2017-03-11 09:00:45祁鈺孫加余黃英波
      中國(guó)新通信 2017年3期
      關(guān)鍵詞:溯源

      祁鈺+孫加余+黃英波

      【摘要】 采用NAT技術(shù)可以有效解決運(yùn)營(yíng)商目前在城域網(wǎng)WLAN和家寬業(yè)務(wù)中IP地址緊缺的問(wèn)題。本文詳細(xì)闡述了NAT部署方案,并對(duì)關(guān)鍵問(wèn)題進(jìn)行了分析。

      【關(guān)鍵詞】 NAT IPV6過(guò)渡 溯源

      一、引言

      隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展,各運(yùn)營(yíng)商已邁出IPv6演進(jìn)的腳步,但目前無(wú)法短期內(nèi)完成IPv4到IPv6的過(guò)渡。當(dāng)前解決IP地址短缺的有效方法就是做NAT轉(zhuǎn)換,該技術(shù)的核心就是要把一個(gè)私有地址域里的地址轉(zhuǎn)換為可路由的全局因特網(wǎng)地址。

      二、NAT 技術(shù)

      NAT (Network Address Translation)即網(wǎng)絡(luò)地址轉(zhuǎn)換,通過(guò)改變IP報(bào)文中的源或目的地址,使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少量的合法地址訪(fǎng)問(wèn)外網(wǎng)資源;也可應(yīng)用到防火墻技術(shù)里,把個(gè)別IP隱藏起來(lái)不被外界發(fā)現(xiàn),使外界無(wú)法直接訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備,起到安全保護(hù)的作用。NAT 技術(shù)的類(lèi)型主要有以下三種:

      靜態(tài)NAT:

      一個(gè)私網(wǎng)IP只能被永久映射成外網(wǎng)中的一個(gè)合法的地址。

      PAT(Port Address Translation):

      多對(duì)一的地址轉(zhuǎn)換,通過(guò) “地址+端口”的映射實(shí)現(xiàn),使用TCP/UDP協(xié)議端口號(hào),區(qū)分不同的內(nèi)部網(wǎng)地址,使內(nèi)網(wǎng)的多個(gè)主機(jī)共用一個(gè)公網(wǎng)IP訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。

      NPAT(Nat &PAT):

      多對(duì)多的地址轉(zhuǎn)換,使用TCP/UDP協(xié)議的端口號(hào),私網(wǎng)地址和公網(wǎng)地址之間建立了多對(duì)多的映射關(guān)系,內(nèi)網(wǎng)中多個(gè)主機(jī)共享多個(gè)公網(wǎng)IP訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。

      三、NAT 技術(shù)在運(yùn)營(yíng)商城域網(wǎng)中的應(yīng)用

      在運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境,NAT必須支持網(wǎng)絡(luò)流量的大規(guī)模NAT轉(zhuǎn)換及上網(wǎng)日志的溯源,支持對(duì)TCP、UDP等報(bào)文的網(wǎng)絡(luò)地址轉(zhuǎn)換,支持限制并發(fā)session數(shù)。運(yùn)營(yíng)商在NAT功能實(shí)現(xiàn)時(shí),通常采用動(dòng)態(tài)端口分配或靜態(tài)端口分配。

      采用動(dòng)態(tài)端口分配方式時(shí),用戶(hù)的每個(gè)session都隨機(jī)分配公網(wǎng)地址的端口,先來(lái)先得。但該方案一方面對(duì)用戶(hù)端口占用缺乏合理控制,少數(shù)用戶(hù)可能會(huì)占用大量公網(wǎng)端口;另一方面用戶(hù)的地址端口分配不連續(xù),造成用戶(hù)溯源困難,且日志量較大。

      靜態(tài)端口分配方式為每用戶(hù)分配300左右的端口,同時(shí)為便于溯源,為每個(gè)用戶(hù)分配固定的公網(wǎng)地址和端口號(hào),用戶(hù)上網(wǎng)時(shí)使用唯一的公網(wǎng)地址及端口段,該方式無(wú)需基于每Session記錄日志信息,可大幅減少日志量,降低志系統(tǒng)壓力。

      根據(jù)NAT設(shè)備所處的位置,有集中式和分布式兩種部署方案可以選擇。

      3.1建設(shè)方案一 :集中式

      在某省移動(dòng)CMNET省網(wǎng)出口部署一套NAT,集中為全網(wǎng)提供地址轉(zhuǎn)換功能。當(dāng)私有地址的業(yè)務(wù)數(shù)據(jù)到達(dá)省網(wǎng)核心后,會(huì)通過(guò)配置的策略路由到達(dá)NAT設(shè)備,經(jīng)NAT設(shè)備將私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP,使用公網(wǎng)的業(yè)務(wù)數(shù)據(jù)路由保持現(xiàn)狀,不經(jīng)過(guò)NAT設(shè)備進(jìn)行路由的迂回。

      3.1.1對(duì)DPI系統(tǒng)的影響及解決方案

      DPI系統(tǒng)部署在省網(wǎng)出口時(shí),通過(guò)IP地址識(shí)別用戶(hù),實(shí)現(xiàn)各種業(yè)務(wù)功能。NAT引入后,現(xiàn)有網(wǎng)絡(luò)中將同時(shí)存在NAT用戶(hù)和非NAT用戶(hù),DPI系統(tǒng)采集到的用戶(hù)數(shù)據(jù)是已經(jīng)經(jīng)過(guò)地址轉(zhuǎn)換后的數(shù)據(jù),系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶(hù)建立一一對(duì)應(yīng)關(guān)系,VOIP監(jiān)控、用戶(hù)行為分析、網(wǎng)站訪(fǎng)問(wèn)分析功能、廣告推送等單用戶(hù)業(yè)務(wù)將受到影響。為此,需要考慮解決方案:修改系統(tǒng)軟件,通過(guò)靜態(tài)地址塊分配,與AAA,NAT設(shè)備同步,建立私網(wǎng)地址、用戶(hù)帳號(hào)、公網(wǎng)地址 +端口號(hào)之間的對(duì)應(yīng)關(guān)系。

      3.1.2溯源方案

      離線(xiàn)溯源,且需建設(shè)syslog日志系統(tǒng),留存NAT設(shè)備的日志。安全機(jī)構(gòu)通過(guò)查詢(xún)log server和AAA,獲取用戶(hù)上網(wǎng)訪(fǎng)問(wèn)信息,定位用戶(hù)。用戶(hù)上網(wǎng)流程和溯源方案如下:

      用戶(hù)通過(guò)認(rèn)證后,BRAS為用戶(hù)分配私網(wǎng)IPV4地址,并上報(bào)地址信息給AAA系統(tǒng)。AAA系統(tǒng)維護(hù)用戶(hù)的私網(wǎng)地址、用戶(hù)名、域名、所屬BRAS等信息。用戶(hù)要訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),請(qǐng)求信息到達(dá)NAT設(shè)備,NAT設(shè)備為用戶(hù)分配公網(wǎng)IPV4地址及端口號(hào),從而通過(guò)公網(wǎng)地址訪(fǎng)問(wèn),NAT設(shè)備將地址轉(zhuǎn)換信息上報(bào)log server。

      當(dāng)用戶(hù)的非法訪(fǎng)問(wèn)互聯(lián)網(wǎng)行為時(shí),安全機(jī)構(gòu)能夠知道用戶(hù)的公網(wǎng)IP地址信息和端口號(hào)、時(shí)間段。根據(jù)這三個(gè)信息,再查詢(xún)log server,找出對(duì)應(yīng)的私網(wǎng)IP地址,然后根據(jù)私網(wǎng)IP地址和時(shí)間段信息,查詢(xún)AAA,找到私網(wǎng)地址跟用戶(hù)賬號(hào)的對(duì)應(yīng)關(guān)系,定位到具體用戶(hù)。

      3.2建設(shè)方案二:分布式

      采用BRAS插卡方式部署,兩臺(tái)BRAS之間啟用VRRP協(xié)議,跟蹤BRAS整機(jī)狀態(tài)、下行鏈路狀態(tài)、NAT板卡狀態(tài)切換。主備用公網(wǎng)地址向CR發(fā)布路由,主用COST值低,保證回程流量向主用BRAS轉(zhuǎn)發(fā),切換后主設(shè)備會(huì)自動(dòng)增加COST值,保證流量到達(dá),主用公網(wǎng)地址和備用公網(wǎng)地址一致。BRAS NAT可以負(fù)載均衡,規(guī)劃不同的OLT以不同的BRAS為主即可。

      3.2.1省網(wǎng)DPI系統(tǒng)的影響及解決方案

      分布式NAT方案部署的情況下,DPI系統(tǒng)采集到的用戶(hù)數(shù)據(jù)是已經(jīng)經(jīng)過(guò)地址轉(zhuǎn)換后的數(shù)據(jù),系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶(hù)建立一一對(duì)應(yīng)關(guān)系,VOIP監(jiān)控、用戶(hù)行為分析、網(wǎng)站訪(fǎng)問(wèn)分析功能、廣告推送等故單用戶(hù)業(yè)務(wù)將受到影響。

      不受影響的業(yè)務(wù)包括:流量流向分析、流量鏡像。為此,需要修改系統(tǒng)軟件,通過(guò)靜態(tài)地址塊分配,與AAA、NAT設(shè)備同步,建立私網(wǎng)地址、用戶(hù)帳號(hào)、公網(wǎng)地址 +端口號(hào)之間的對(duì)應(yīng)關(guān)系。

      3.2.2溯源方案

      首先對(duì)AAA進(jìn)行改造,使之能記錄公網(wǎng)IP +端口號(hào)信息,由BRAS 生成用戶(hù)地址映射關(guān)系,通過(guò)Port-range方式為用戶(hù)地址選擇公有地址及端口塊,創(chuàng)建用戶(hù)地址映射關(guān)系,并擴(kuò)展Radius屬性,在accounting-Request消息中上報(bào)用戶(hù)地址對(duì)應(yīng)的公有地址、端口塊等信息。AAA獲得用戶(hù)地址、公有地址、端口塊等信息,并維持與用戶(hù)信息的對(duì)應(yīng)關(guān)系,無(wú)需專(zhuān)用LOG Server。

      當(dāng)某用戶(hù)非法訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),通過(guò)查詢(xún)AAA,通過(guò)公網(wǎng)地址+端口號(hào)+時(shí)間段,查找到對(duì)應(yīng)的賬號(hào),定位到具體用戶(hù)。

      四、小結(jié)

      在城域網(wǎng)部署NAT時(shí),建議根據(jù)現(xiàn)網(wǎng)流量、用戶(hù)數(shù)、私網(wǎng)地址、用戶(hù)分布等等,選擇合理的網(wǎng)絡(luò)位置。在城域網(wǎng)小規(guī)模部署階段,可采用增加NAT業(yè)務(wù)插卡方式緩解局部區(qū)域IPv4地址不足的問(wèn)題。當(dāng)NAT部署規(guī)模的擴(kuò)大至整個(gè)寬帶城域網(wǎng)范圍,從設(shè)備性能、設(shè)備可擴(kuò)展能力、設(shè)備專(zhuān)業(yè)成熟度等多方面考慮,建議采用專(zhuān)業(yè)的獨(dú)立式大規(guī)模NAT設(shè)備。

      參 考 文 獻(xiàn)

      [1] 陳杰. IPv6過(guò)渡的NAT技術(shù)[D]. 南京郵電大學(xué) 2013

      [2] 王明明. 運(yùn)營(yíng)商IPv4至IPv6過(guò)渡技術(shù)方案探討[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化. 2016(11)

      猜你喜歡
      溯源
      《曹劌論戰(zhàn)》中的幾個(gè)字詞
      敦煌藏醫(yī)文獻(xiàn)中的“達(dá)爾甘”病溯源
      毛澤東與黨的實(shí)事求是思想路線(xiàn)確立
      東方教育(2016年7期)2017-01-17 21:07:45
      有機(jī)RFID標(biāo)簽在農(nóng)產(chǎn)品食品溯源中的應(yīng)用
      “簞瓢陋巷”典故研究
      “時(shí)務(wù)文體”溯源
      新聞世界(2016年7期)2016-08-23 08:36:24
      NBA品牌管理智慧溯源
      大型航運(yùn)企業(yè)重組后文化的溯源傳承和弘揚(yáng)
      “中原書(shū)風(fēng)”溯源
      彭小明與語(yǔ)文“溯源教學(xué)法”
      会东县| 玉林市| 吉木萨尔县| 分宜县| 新郑市| 郸城县| 扶绥县| 泸西县| 长阳| 沙湾县| 柏乡县| 融水| 岳普湖县| 湟中县| 定结县| 新和县| 阿坝| 波密县| 炉霍县| 宁远县| 沂源县| 大丰市| 望都县| 正宁县| 普宁市| 赤壁市| 依安县| 凤山市| 闽侯县| 南投市| 马龙县| 凤阳县| 宁陕县| 泰和县| 门头沟区| 泸定县| 长丰县| 岑巩县| 杨浦区| 东兴市| 博湖县|