邱楊 傅岱松

【摘要】 介紹城域網(wǎng)部署了NAT444之后，城域網(wǎng)針對(duì)NAT444用戶運(yùn)維管理方案。

【關(guān)鍵字】 城域網(wǎng) NAT444 CGN 運(yùn)維管理

一、引言

全球公網(wǎng)IPV4 地址已經(jīng)在2011年分配殆盡，這幾年來我國(guó)幾大運(yùn)營(yíng)商已經(jīng)沒有可用的公網(wǎng)IPV4地址分配，當(dāng)前我國(guó)運(yùn)營(yíng)商解決IPV4地址不足的問題，主要通過NAT444、IPV6雙棧、DS-LITE等方法解決。

由于目前我國(guó)絕大部分互聯(lián)網(wǎng)應(yīng)用仍然以IPV4為主，所以IPV6雙棧以及DS-LITE解決方法從解決IPV4地址不足問題，因此NAT444成為各大運(yùn)營(yíng)商解決當(dāng)前IPV4地址不足問題的首選辦法。

NAT444部署之后，用戶的上網(wǎng)流量走向以及流程進(jìn)行了一定的變化，對(duì)城域網(wǎng)的運(yùn)維產(chǎn)生了新的要求。本文主要探討NAT444部署之后，城域網(wǎng)相關(guān)運(yùn)維管理方法，主要從NAT444用戶溯源、NAT端口塊大小臨時(shí)調(diào)整、私網(wǎng)用戶轉(zhuǎn)為公網(wǎng)用戶等幾個(gè)方面進(jìn)行研究。

二、用戶溯源

NAT444業(yè)務(wù)部署之后，用戶訪問internet，在internet上訪問記錄中留下的為NAT轉(zhuǎn)換后的公網(wǎng)IP地址信息，并非用戶的內(nèi)部私網(wǎng)IP地址信息，為了有效的跟蹤用戶信息，需要建設(shè)一套溯源系統(tǒng)。溯源系統(tǒng)需要從AAA搜集某個(gè)時(shí)刻用戶的帳號(hào)和分配的分配的私網(wǎng)IP地址信息，并從CGN設(shè)備上報(bào)的log上獲得這個(gè)時(shí)刻公網(wǎng)地址和私網(wǎng)地址的映射關(guān)系，結(jié)合以上2個(gè)步驟的信息，綜合判斷出這個(gè)時(shí)刻公網(wǎng)上某個(gè)IP+端口當(dāng)前為哪個(gè)帳戶在使用。

NAT444業(yè)務(wù)溯源方案有以下四種。

方案一：采用由CGN設(shè)備在建立端口映射關(guān)系后，發(fā)送syslog日志信息的方式，將端口/端口段映射關(guān)系發(fā)送到日志服務(wù)器，AAA系統(tǒng)在接收溯源請(qǐng)求后，通過syslog服務(wù)器查詢到動(dòng)態(tài)地址映射關(guān)系，從而完成地址溯源；

方案二：CGN設(shè)備通過Radius報(bào)文方式將用戶的動(dòng)態(tài)端口映射關(guān)系上報(bào)到AAA系統(tǒng)，由AAA系統(tǒng)記錄到用戶在線信息表和原始話單中，當(dāng)AAA系統(tǒng)接收到溯源請(qǐng)求后，直接查詢?cè)诰€用戶信息表或原始話單，返回溯源結(jié)果；

方案三：CGN設(shè)備采用Radius報(bào)文方式將用戶動(dòng)態(tài)端口映射關(guān)系上報(bào)到Log服務(wù)器，AAA系統(tǒng)在接收溯源請(qǐng)求后，通過syslog服務(wù)器查詢動(dòng)態(tài)地址映射關(guān)系，完成地址溯源；

方案四：AAA與CGN通過網(wǎng)管系統(tǒng)下發(fā)參數(shù)，并執(zhí)行相同的端口映射生成算法。在地址溯源過程中，CGN與AAA系統(tǒng)之間不需要傳遞映射關(guān)系，直接實(shí)現(xiàn)對(duì)地址的溯源。

在以上四種方案中，方案一和方案三需要新建溯源日志服務(wù)器。

三、端口塊大小臨時(shí)調(diào)整

當(dāng)用戶分配的公網(wǎng)端口耗盡時(shí)，如果用戶還有應(yīng)用流量需要訪問internet，則CGN會(huì)將這些流量Drop，用戶應(yīng)用不能使用，這時(shí)候部分用戶可能會(huì)投訴，為了解決這一問題，通過以下方法臨時(shí)增大其公網(wǎng)端口塊的長(zhǎng)度。

對(duì)于插卡式CGN設(shè)備，臨時(shí)調(diào)整公網(wǎng)端口塊的大小有兩種方式：

BRAS上的NAT配置和domain相關(guān)聯(lián)，可以在BRAS上直接修改NAT配置模板中用戶端口塊大小，不過這種方法會(huì)影響整個(gè)domain下所有用戶的端口塊大小。

通過AAA下發(fā)RADIUS擴(kuò)展屬性調(diào)整端口塊的大小，RADIUS擴(kuò)展屬性中有一項(xiàng)可以下發(fā)用戶的端口塊大小。

四、私網(wǎng)用戶調(diào)整為公網(wǎng)

NAT444業(yè)務(wù)模型中，CGN設(shè)備作為ALG網(wǎng)關(guān)，目前大部分應(yīng)用應(yīng)用比如HTTP、FTP、BT都可以順利穿透ALG網(wǎng)關(guān)，但是并非所有的業(yè)務(wù)都可以順利通過CGN ALG網(wǎng)關(guān)。當(dāng)用戶有某個(gè)應(yīng)用不能使用時(shí)候，可能會(huì)進(jìn)行投訴，在這種情況下需要臨時(shí)將用戶調(diào)整為公網(wǎng)用戶。

BRAS調(diào)整方法為：

如果用戶是通過PPPOE撥號(hào)，可以在AAA上停止在RADIUS報(bào)文中下發(fā)用戶的私網(wǎng)域信息，使BRAS按照原來用戶撥號(hào)的公網(wǎng)域進(jìn)行公網(wǎng)地址下發(fā)。對(duì)于DHCP獲取IP的WIFI用戶，只能引導(dǎo)其使用PPPOE撥號(hào)，通過AAA上停止在RADIUS報(bào)文中下發(fā)用戶的私網(wǎng)域信息方式調(diào)整。

五、結(jié)束語(yǔ)

NAT444的部署增加了城域網(wǎng)故障排障難度，必須要有一套合理的運(yùn)維管理方案，才可以保障NAT444用戶的平穩(wěn)運(yùn)行，以及在出現(xiàn)故障和投訴之后迅速解決問題。

參 考 文 獻(xiàn)

[1] RFC 7289文檔，Carrier-Grade NAT （CGN） Deployment

with BGP/MPLS IP VPNs，http：//www.ietf.org/rfc/rfc7289

[2]RFC7422文檔，Deterministic Address Mapping to Reduce Logging in Carrier-Grade NAT Deployments， http：//www.ietf.org/ rfc/rfc7422

[3]中國(guó)電信，NAT444獨(dú)立設(shè)備技術(shù)規(guī)范 2011