?

電信運(yùn)營(yíng)商IPv6 NAT444備份方案

黃鵬

（江西省郵電規(guī)劃設(shè)計(jì)院有限公司，南昌 330002）

摘 要分析了目前分布式NAT444部署方案的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)流程、溯源流程和安全備份機(jī)制，提出了幾種安全備份方案，并且對(duì)各種方案的實(shí)現(xiàn)原理和優(yōu)劣性等進(jìn)行分析，以便在今后的實(shí)際工程設(shè)計(jì)和部署中能夠提供參考。

關(guān)鍵詞IPv6；NAT444；備份；安全；建設(shè)成本

面對(duì)日益緊迫的地址需求，電信運(yùn)營(yíng)商均在2010年前后開(kāi)展了下一代互聯(lián)網(wǎng)過(guò)渡技術(shù)的試點(diǎn)工作，其中NAT444被認(rèn)為是首選的過(guò)渡方案，以其技術(shù)成熟度高、設(shè)備產(chǎn)業(yè)鏈豐富和部署周期短、效率高而在全國(guó)大規(guī)模部署。但考慮到安全問(wèn)題，部署分布式NAT444均采用1∶1或1+1備份方式，造成部署成本較高，而過(guò)渡技術(shù)在現(xiàn)階段暫未能衍生出新的增值收益，所以，如何在保證安全性的前提下，盡量減少建設(shè)成本是本次需要探討的問(wèn)題。

1　分布式NAT444方案

部署NAT444首先應(yīng)該開(kāi)啟雙棧路由，開(kāi)啟IPv4 與IPv6兩個(gè)轉(zhuǎn)發(fā)通道，在IPv4通道中，城域網(wǎng)的CGN將來(lái)自用戶或終端的數(shù)據(jù)報(bào)文進(jìn)行源地址翻譯，在運(yùn)營(yíng)商網(wǎng)內(nèi)實(shí)現(xiàn)公有源地址復(fù)用，滿足大量采用私有地址用戶接入網(wǎng)絡(luò)的需求。

NAT444是緩解IPv4公網(wǎng)地址緊張最直接的方式，同時(shí)可以推動(dòng)網(wǎng)絡(luò)對(duì)IPv6的支持。

目前，大多采用分布式NAT444部署方案，通過(guò)在BRAS上插入CGN板卡進(jìn)行地址翻譯，而一般會(huì)配置兩塊及以上的CGN板卡，各CGN板卡之間實(shí)現(xiàn)1+1 或1∶1、1∶1備份。

2　NAT444業(yè)務(wù)流程

部署NAT444后，對(duì)于用戶是透明無(wú)感知的，用戶終端或PC如支持雙棧，則可以被改造成NAT444用戶，下面舉例路由型的用戶，詳細(xì)說(shuō)明改造后的用戶撥號(hào)和上網(wǎng)流程。

（1）客戶家庭網(wǎng)關(guān)進(jìn)行撥號(hào)，與目前撥號(hào)流程一致，無(wú)需改動(dòng)。

（2）AAA查詢用戶的接入屬性（公網(wǎng)雙棧/NAT444/DS-Lite等），同時(shí)根據(jù)系統(tǒng)指定的規(guī)則，將結(jié)果返回給BRAS。

（3）BRAS根據(jù)AAA返回結(jié)果為家庭網(wǎng)關(guān)分配相應(yīng)的IP地址（如家庭網(wǎng)關(guān)開(kāi)啟雙棧，將會(huì)分配一個(gè)IPv4私網(wǎng)地址和一個(gè)IPv6地址前綴，如家庭網(wǎng)關(guān)未開(kāi)啟雙?；虿恢С蛛p棧，則只分配一個(gè)IPv4私網(wǎng)地址）。

（4）家庭網(wǎng)關(guān)則分配給PC一個(gè)IPv4私網(wǎng)地址和一個(gè)IPv6公網(wǎng)地址（如不支持雙棧，則PC只能獲取一個(gè)私網(wǎng)IPv4地址，與目前一致）。

（5）用戶上網(wǎng)過(guò)程中通過(guò)發(fā)送IPv4和IPv6的DNS查詢，根據(jù)DNS返回的結(jié)果去訪問(wèn)互聯(lián)網(wǎng)中的相關(guān)IPv4/IPv6資源。

但對(duì)于一些特殊應(yīng)用，則不適應(yīng)于NAT444，如用戶PC作為私服（游戲服務(wù)器、FTP服務(wù)器或語(yǔ)音服務(wù)器），主要是因?yàn)樵贜AT轉(zhuǎn)換時(shí)端口的變化是不受控制的，故在多級(jí)NAT轉(zhuǎn)換后，原有服務(wù)端無(wú)法繼續(xù)提供服務(wù)，遇到這種問(wèn)題，需要對(duì)用戶進(jìn)行回退處理。

3　現(xiàn)有安全備份機(jī)制及存在問(wèn)題

現(xiàn)階段主流的CGN設(shè)備的處理能力都比較大，單板吞吐量可達(dá)到40 Gbit/s，并發(fā)連接數(shù)可達(dá)16 Mbit/s，可接入用戶4～6萬(wàn)，完全可以滿足當(dāng)前及今后幾年內(nèi)的用戶需求。

而考慮到安全性問(wèn)題，目前在實(shí)際中統(tǒng)一設(shè)置兩塊CGN板卡，形成1+1或1∶1備份，當(dāng)其中一塊CGN板卡出現(xiàn)故障時(shí)，另外一塊CGN板卡可實(shí)時(shí)接管相應(yīng)的業(yè)務(wù)。隨著IPv6部署的持續(xù)推進(jìn)，而過(guò)渡技術(shù)在現(xiàn)階段暫未能衍生出新的增值收益，這種備份方式會(huì)造成大量的投資浪費(fèi)。

4　建設(shè)方案

根據(jù)上面的介紹,結(jié)合技術(shù)的成熟度、設(shè)備的支撐情況、對(duì)用戶的影響程度等因素，提出了兩種建設(shè)方案，分別為獨(dú)立式CGN集中備份方案和公網(wǎng)地址回退備份方案，這兩種備份方案下，每臺(tái)BRAS均只需要插入1 塊CGN板卡，下面將針對(duì)這兩種方案進(jìn)行介紹。

4.1 獨(dú)立式CGN集中備份方案

所謂集中備份方案，顧名思義就是專門部署獨(dú)立CGN設(shè)備，一旦BRAS上面的CGN板卡故障后，則由獨(dú)立的CGN設(shè)備承擔(dān)NAT444的功能。

4.1.1 方案介紹

在城域網(wǎng)CR側(cè)旁掛2臺(tái)獨(dú)立式CGN設(shè)備，一般采用BRAS設(shè)備插入CGN板卡或者使用防火墻等NAT設(shè)備，組網(wǎng)架構(gòu)圖如圖1所示。

CGN設(shè)備與CR之間支持運(yùn)行BGP路由協(xié)議，通告CGN配置的公有地址池信息，并由CR通告到互聯(lián)網(wǎng)。同時(shí)，CGN與CR之間支持運(yùn)行IGP路由協(xié)議，接收用戶路由。

4.1.2 策略部署

如圖2所示，使用策略路由的方式，在CR、BRAS、CGN設(shè)備上針對(duì)上下行流量分別手工配置。具體策略如下。

（1）針對(duì)上行流量（出城流量): CR用IBGP向CGN下發(fā)缺省路由，CGN上行公網(wǎng)流量通過(guò)缺省路由轉(zhuǎn)發(fā)到CR；在CR用戶側(cè)接口上配置策略路由，引導(dǎo)私網(wǎng)IPv4流量上行到CGN；CR用IBGP向BRAS下發(fā)缺省路由：BRAS1/BRAS2到CR1和CR2為等價(jià)路由，流量基于目的地址負(fù)載分擔(dān)。

圖1　獨(dú)立式CGN集中備份方案架構(gòu)圖

（2）針對(duì)下行流量（進(jìn)城流量）：BRAS用IBGP發(fā)布私網(wǎng)地址池路由，CR同時(shí)用IBGP將私網(wǎng)路由發(fā)布給CGN，引導(dǎo)下行流量到BRAS。

CGN用IBGP發(fā)布公網(wǎng)地址池路由，主CGN向外發(fā)布的網(wǎng)段路由Cost值??；備用CGN向外發(fā)布的網(wǎng)段路由Cost值大，確?；爻塘髁恳欢〞?huì)自動(dòng)選路到主用CGN上轉(zhuǎn)發(fā)。

4.1.3 存在的問(wèn)題

（1）每個(gè)BRAS設(shè)備上面的私網(wǎng)地址不能復(fù)用。

（2）CR設(shè)備需要時(shí)刻對(duì)流量進(jìn)行策略檢查，消耗大量的計(jì)算資源，增加設(shè)備的負(fù)擔(dān)，甚至?xí)绊懧酚赊D(zhuǎn)發(fā)性能。

（3）由于采用集中式方案，所以在CGN設(shè)備上沒(méi)有用戶的相應(yīng)信息，無(wú)法實(shí)現(xiàn)針對(duì)不同類型用戶分配不同端口數(shù)量和Session數(shù)量的配置。

（4）無(wú)法實(shí)現(xiàn)Radius動(dòng)態(tài)溯源，需要重新建設(shè)溯源平臺(tái)，增加總體建設(shè)成本，同時(shí)需要更改那些需要自動(dòng)識(shí)別用戶的業(yè)務(wù)系統(tǒng)的流程；原本系統(tǒng)均與AAA平臺(tái)有相應(yīng)接口，可根據(jù)用戶的IP地址自動(dòng)識(shí)別用戶賬號(hào)和權(quán)限，但采用集中式后，需要重新開(kāi)發(fā)接口，更改流程。

（5）對(duì)業(yè)務(wù)的影響：故障切換前后，用戶NAT轉(zhuǎn)換后，源IP公網(wǎng)地址會(huì)發(fā)生變化，NAT Session也有一個(gè)重建的過(guò)程，將會(huì)導(dǎo)致業(yè)務(wù)中斷，如網(wǎng)頁(yè)、游戲、視頻、網(wǎng)銀、VoIP等。

4.2 公網(wǎng)地址回退備份方案

采用公網(wǎng)地址回退實(shí)際上是一種妥協(xié)的應(yīng)對(duì)故障方案，一旦BRAS上面的CGN板卡故障，則自動(dòng)分配一個(gè)公網(wǎng)IPv4地址給用戶，保障業(yè)務(wù)正常運(yùn)行。

4.2.1 方案介紹

在BRAS上的唯一一塊CGN板卡發(fā)生故障后，BRAS不再轉(zhuǎn)發(fā)用戶流量到CGN板卡，而是強(qiáng)制用戶下線重?fù)?，再給用戶重新分配公網(wǎng)地址，通過(guò)公網(wǎng)地址上線，正常訪問(wèn)網(wǎng)絡(luò)，在CGN板卡故障恢復(fù)后，可以手動(dòng)切換回CGN，由于備用公網(wǎng)IPv4地址是共享的，因此，總體來(lái)說(shuō)可以實(shí)現(xiàn)IPv4地址的節(jié)省。

4.2.2 策略部署

該方案最主要的技術(shù)問(wèn)題在于公網(wǎng)地址的發(fā)布和路由發(fā)布，地址發(fā)布一般可選擇靜態(tài)配置和AAA動(dòng)態(tài)指定，具體操作如下。

4.2.2.1 靜態(tài)配置公網(wǎng)地址池

首先在所有的BRAS設(shè)備上配置一個(gè)公網(wǎng)IPv4地址池，但路由不對(duì)外發(fā)布。

一旦CGN板卡出現(xiàn)故障，BRAS設(shè)備可感知到，這時(shí)候可自動(dòng)生效公網(wǎng)IPv4地址池，同時(shí)對(duì)外發(fā)布這個(gè)特定的路由信息。

最后BRAS給用戶分配公網(wǎng)IPv4地址，用戶可通過(guò)公網(wǎng)IP地址上網(wǎng)。網(wǎng)絡(luò)架構(gòu)圖如圖3所示。

圖2　獨(dú)立式CGN集中備份方案策略部署

使用靜態(tài)配置的方式，不夠靈活，但實(shí)現(xiàn)原理簡(jiǎn)單，不需要AAA等平臺(tái)配合，但是這項(xiàng)功能并不是所有的BRAS設(shè)備都支持。

而且對(duì)于配置的公網(wǎng)IPv4地址池會(huì)出現(xiàn)一個(gè)矛盾，如果所有BRAS都配置相同的IPv4公網(wǎng)地址池，這樣可以節(jié)省公網(wǎng)地址，但是如果同時(shí)有超過(guò)一臺(tái)BRAS設(shè)備的CGN板卡出現(xiàn)故障，則不可行；如果所有BRAS配置不同的地址池，這樣安全系統(tǒng)提高，但卻起不到節(jié)省公網(wǎng)地址的效果。

4.2.2.2 AAA動(dòng)態(tài)指定公網(wǎng)地址池

首先需要在AAA平臺(tái)上配置一個(gè)公網(wǎng)IPv4地址池。

一旦BRAS的CGN板卡出現(xiàn)故障，BRAS設(shè)備可感知到，通過(guò)接口將信息上報(bào)給AAA平臺(tái)。

用戶再次撥號(hào)后，AAA自動(dòng)給BRAS設(shè)備分配公網(wǎng)地址池，同時(shí)BRAS可給用戶分配指定的地址池的公網(wǎng)IP地址，用戶可通過(guò)公網(wǎng)IP進(jìn)行上網(wǎng)。網(wǎng)絡(luò)架構(gòu)圖如圖4所示。

使用動(dòng)態(tài)指定的方案技術(shù)實(shí)現(xiàn)靈活，可在AAA在配置幾個(gè)公網(wǎng)地址池，以便當(dāng)出現(xiàn)故障的數(shù)量大于1時(shí)啟用，不會(huì)因?yàn)椴豢深A(yù)知的風(fēng)險(xiǎn)而像靜態(tài)配置方式那樣浪費(fèi)公網(wǎng)IP地址。

但是方案改造量較大，需要AAA與BRAS之間開(kāi)發(fā)新的接口傳遞故障信息，實(shí)現(xiàn)難度較大。

4.2.3 存在問(wèn)題

（1）對(duì)業(yè)務(wù)的影響：故障切換前后，用戶NAT轉(zhuǎn)換后，源IP公網(wǎng)地址會(huì)發(fā)生變化，NAT Session也有一個(gè)重建的過(guò)程，將會(huì)導(dǎo)致業(yè)務(wù)中斷。

（2）網(wǎng)頁(yè)、游戲、視頻、網(wǎng)銀、VoIP等與集中式備份方案一樣。

（3）技術(shù)實(shí)現(xiàn)復(fù)雜，改造工作量較大，而開(kāi)發(fā)新的接口也將增加總體工程投資。

（4）很多操作需要BRAS設(shè)備自動(dòng)實(shí)現(xiàn)，目前現(xiàn)網(wǎng)BRAS設(shè)備廠商和種類較多，軟件版本差異較大，設(shè)備總體支持率較差。

4.3 技術(shù)方案比較

4.3.1 故障回退

4.3.1.1 傳統(tǒng)方案

用戶無(wú)需斷線重連，業(yè)務(wù)無(wú)中斷，用戶無(wú)感知。

4.3.1.2 集中備份方案

該方案的核心主要在兩個(gè)方面，第一就在于策略路由的設(shè)置，需要在BRAS和CR的進(jìn)出端口均部署相應(yīng)的策略路由；第二是集中的CGN板卡的故障感知，從而觸發(fā)策略路由生效及流量轉(zhuǎn)發(fā)。

圖3　靜態(tài)配置公網(wǎng)地址池策略部署

圖4　AAA指定公網(wǎng)地址池策略部署

存在的技術(shù)問(wèn)題如下。

（1）策略路由的部署需手工完成，工作量較大，一旦涉及網(wǎng)絡(luò)割接等操作，需要排查故障，難度較大。

（2）CR側(cè)需要時(shí)刻開(kāi)啟策略路由，對(duì)進(jìn)出流量進(jìn)行ACL匹配，會(huì)消耗較大的CR資源，甚至影響到正常的流量路由轉(zhuǎn)發(fā)。

（3）CGN板卡故障感知：由于CGN板卡出現(xiàn)故障的現(xiàn)象多樣，BRAS設(shè)備如何能精確感知判斷，并且使能策略路由關(guān)系到用戶業(yè)務(wù)的正常接入。

4.3.1.3 公網(wǎng)地址回退方案

該方案的核心主要在兩個(gè)方面，第一就在需要定制開(kāi)發(fā)協(xié)議，如BRAS與AAA的接口、BRAS自動(dòng)下發(fā)配置；第二是集中的CGN板卡的故障感知，從而觸發(fā)策略路由生效及流量轉(zhuǎn)發(fā)。

存在的技術(shù)問(wèn)題如下。

（1）定制開(kāi)發(fā)難度較大，周期較長(zhǎng)。

（2）CGN板卡故障感知：由于CGN板卡出現(xiàn)故障的現(xiàn)象多樣，BRAS設(shè)備如何能精確感知判斷，并且使能策略路由關(guān)系到用戶業(yè)務(wù)的正常接入。

4.3.2 其它方面

綜合上面的技術(shù)介紹和故障回退比較，下面對(duì)3種安全備份方案進(jìn)行比較，主要從用戶體驗(yàn)、工程投資、改造難度、用戶溯源和對(duì)周邊系統(tǒng)改造情況進(jìn)行分析，如表1所示。

由于需要在現(xiàn)網(wǎng)中進(jìn)行改造部署，勢(shì)必會(huì)對(duì)現(xiàn)網(wǎng)業(yè)務(wù)造成影響，不能簡(jiǎn)單的通過(guò)上述的比較，而選擇出最佳方案，而是應(yīng)該根據(jù)實(shí)際的情況進(jìn)行綜合的分析判定。

5　結(jié)束語(yǔ)

為了滿足國(guó)家“十二五”IPv6商用部署的要求，積極推進(jìn)向下一代互聯(lián)網(wǎng)的演進(jìn)，各大運(yùn)營(yíng)商都已經(jīng)投入了大量的資金和人力，但是目前仍然沒(méi)有實(shí)際的IPv6業(yè)務(wù)應(yīng)用需求，在這種情況下，對(duì)于企業(yè)來(lái)說(shuō)，部署IPv6短期內(nèi)不會(huì)產(chǎn)生直接的經(jīng)濟(jì)收益，而且還不應(yīng)影響或降低現(xiàn)有用戶上網(wǎng)應(yīng)用的感知，保障用戶上網(wǎng)質(zhì)量。在這些約束條件下，如何進(jìn)行網(wǎng)絡(luò)改造，滿足用戶需求，除了選擇合適的技術(shù)方案，更需要密切關(guān)注IPv6的業(yè)務(wù)需求，開(kāi)創(chuàng)新的業(yè)務(wù)增值點(diǎn)。

表1　各種備份方案對(duì)比

參考文獻(xiàn)

[1]戴源，楊建，袁源，等. 下一代互聯(lián)網(wǎng)IPv6過(guò)渡技術(shù)與部署實(shí)例[M]. 北京：人民郵電出版社，2014.

[2]楊國(guó)良，李陽(yáng)春，伍估明. IPv6技術(shù)、部署與業(yè)務(wù)應(yīng)用[M].北京：人民郵電出版社，2011.

Discussion on telecom operators IPv6 NAT444 backup solutions

HUANG Peng

(Jiangxi Planning & Designing Institute of Post & Telecommunications Limited, Nanchang 330002, China)

Abstract First analysis of the current deployment scheme of distributed NAT444 network architecture, business process, traceability procedures and safety backup mechanism, then several safety backup scheme, and the implementation principle and advantages and disadvantages of various kinds of schemes are analyzed, in order to design and deploy can provide reference in practical engineering in the future.

Keywords IPv6; NAT444; backup; security; construction cost

收稿日期：2014-12-18

文章編號(hào)1008-5599（2015）04-0075-06

文獻(xiàn)標(biāo)識(shí)碼A

中圖分類號(hào)TN915