祁鈺+孫加余+黃英波

【摘要】 采用NAT技術(shù)可以有效解決運(yùn)營(yíng)商目前在城域網(wǎng)WLAN和家寬業(yè)務(wù)中IP地址緊缺的問(wèn)題。本文詳細(xì)闡述了NAT部署方案，并對(duì)關(guān)鍵問(wèn)題進(jìn)行了分析。

【關(guān)鍵詞】 NAT IPV6過(guò)渡 溯源

一、引言

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，各運(yùn)營(yíng)商已邁出IPv6演進(jìn)的腳步，但目前無(wú)法短期內(nèi)完成IPv4到IPv6的過(guò)渡。當(dāng)前解決IP地址短缺的有效方法就是做NAT轉(zhuǎn)換，該技術(shù)的核心就是要把一個(gè)私有地址域里的地址轉(zhuǎn)換為可路由的全局因特網(wǎng)地址。

二、NAT 技術(shù)

NAT （Network Address Translation）即網(wǎng)絡(luò)地址轉(zhuǎn)換，通過(guò)改變IP報(bào)文中的源或目的地址，使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少量的合法地址訪問(wèn)外網(wǎng)資源；也可應(yīng)用到防火墻技術(shù)里，把個(gè)別IP隱藏起來(lái)不被外界發(fā)現(xiàn)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備，起到安全保護(hù)的作用。NAT 技術(shù)的類型主要有以下三種：

靜態(tài)NAT：

一個(gè)私網(wǎng)IP只能被永久映射成外網(wǎng)中的一個(gè)合法的地址。

PAT（Port Address Translation）：

多對(duì)一的地址轉(zhuǎn)換，通過(guò) “地址+端口”的映射實(shí)現(xiàn)，使用TCP/UDP協(xié)議端口號(hào)，區(qū)分不同的內(nèi)部網(wǎng)地址，使內(nèi)網(wǎng)的多個(gè)主機(jī)共用一個(gè)公網(wǎng)IP訪問(wèn)外部網(wǎng)絡(luò)。

NPAT（Nat &PAT）：

多對(duì)多的地址轉(zhuǎn)換，使用TCP/UDP協(xié)議的端口號(hào)，私網(wǎng)地址和公網(wǎng)地址之間建立了多對(duì)多的映射關(guān)系，內(nèi)網(wǎng)中多個(gè)主機(jī)共享多個(gè)公網(wǎng)IP訪問(wèn)外部網(wǎng)絡(luò)。

三、NAT 技術(shù)在運(yùn)營(yíng)商城域網(wǎng)中的應(yīng)用

在運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境，NAT必須支持網(wǎng)絡(luò)流量的大規(guī)模NAT轉(zhuǎn)換及上網(wǎng)日志的溯源，支持對(duì)TCP、UDP等報(bào)文的網(wǎng)絡(luò)地址轉(zhuǎn)換，支持限制并發(fā)session數(shù)。運(yùn)營(yíng)商在NAT功能實(shí)現(xiàn)時(shí)，通常采用動(dòng)態(tài)端口分配或靜態(tài)端口分配。

采用動(dòng)態(tài)端口分配方式時(shí)，用戶的每個(gè)session都隨機(jī)分配公網(wǎng)地址的端口，先來(lái)先得。但該方案一方面對(duì)用戶端口占用缺乏合理控制，少數(shù)用戶可能會(huì)占用大量公網(wǎng)端口；另一方面用戶的地址端口分配不連續(xù)，造成用戶溯源困難，且日志量較大。

靜態(tài)端口分配方式為每用戶分配300左右的端口，同時(shí)為便于溯源，為每個(gè)用戶分配固定的公網(wǎng)地址和端口號(hào)，用戶上網(wǎng)時(shí)使用唯一的公網(wǎng)地址及端口段，該方式無(wú)需基于每Session記錄日志信息，可大幅減少日志量，降低志系統(tǒng)壓力。

根據(jù)NAT設(shè)備所處的位置，有集中式和分布式兩種部署方案可以選擇。

3.1建設(shè)方案一 ：集中式

在某省移動(dòng)CMNET省網(wǎng)出口部署一套NAT，集中為全網(wǎng)提供地址轉(zhuǎn)換功能。當(dāng)私有地址的業(yè)務(wù)數(shù)據(jù)到達(dá)省網(wǎng)核心后，會(huì)通過(guò)配置的策略路由到達(dá)NAT設(shè)備，經(jīng)NAT設(shè)備將私網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP，使用公網(wǎng)的業(yè)務(wù)數(shù)據(jù)路由保持現(xiàn)狀，不經(jīng)過(guò)NAT設(shè)備進(jìn)行路由的迂回。

3.1.1對(duì)DPI系統(tǒng)的影響及解決方案

DPI系統(tǒng)部署在省網(wǎng)出口時(shí)，通過(guò)IP地址識(shí)別用戶，實(shí)現(xiàn)各種業(yè)務(wù)功能。NAT引入后，現(xiàn)有網(wǎng)絡(luò)中將同時(shí)存在NAT用戶和非NAT用戶，DPI系統(tǒng)采集到的用戶數(shù)據(jù)是已經(jīng)經(jīng)過(guò)地址轉(zhuǎn)換后的數(shù)據(jù)，系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶建立一一對(duì)應(yīng)關(guān)系，VOIP監(jiān)控、用戶行為分析、網(wǎng)站訪問(wèn)分析功能、廣告推送等單用戶業(yè)務(wù)將受到影響。為此，需要考慮解決方案：修改系統(tǒng)軟件，通過(guò)靜態(tài)地址塊分配，與AAA，NAT設(shè)備同步，建立私網(wǎng)地址、用戶帳號(hào)、公網(wǎng)地址 +端口號(hào)之間的對(duì)應(yīng)關(guān)系。

3.1.2溯源方案

離線溯源，且需建設(shè)syslog日志系統(tǒng)，留存NAT設(shè)備的日志。安全機(jī)構(gòu)通過(guò)查詢log server和AAA，獲取用戶上網(wǎng)訪問(wèn)信息，定位用戶。用戶上網(wǎng)流程和溯源方案如下：

用戶通過(guò)認(rèn)證后，BRAS為用戶分配私網(wǎng)IPV4地址，并上報(bào)地址信息給AAA系統(tǒng)。AAA系統(tǒng)維護(hù)用戶的私網(wǎng)地址、用戶名、域名、所屬BRAS等信息。用戶要訪問(wèn)互聯(lián)網(wǎng)時(shí)，請(qǐng)求信息到達(dá)NAT設(shè)備，NAT設(shè)備為用戶分配公網(wǎng)IPV4地址及端口號(hào)，從而通過(guò)公網(wǎng)地址訪問(wèn)，NAT設(shè)備將地址轉(zhuǎn)換信息上報(bào)log server。

當(dāng)用戶的非法訪問(wèn)互聯(lián)網(wǎng)行為時(shí)，安全機(jī)構(gòu)能夠知道用戶的公網(wǎng)IP地址信息和端口號(hào)、時(shí)間段。根據(jù)這三個(gè)信息，再查詢log server，找出對(duì)應(yīng)的私網(wǎng)IP地址，然后根據(jù)私網(wǎng)IP地址和時(shí)間段信息，查詢AAA，找到私網(wǎng)地址跟用戶賬號(hào)的對(duì)應(yīng)關(guān)系，定位到具體用戶。

3.2建設(shè)方案二：分布式

采用BRAS插卡方式部署，兩臺(tái)BRAS之間啟用VRRP協(xié)議，跟蹤BRAS整機(jī)狀態(tài)、下行鏈路狀態(tài)、NAT板卡狀態(tài)切換。主備用公網(wǎng)地址向CR發(fā)布路由，主用COST值低，保證回程流量向主用BRAS轉(zhuǎn)發(fā)，切換后主設(shè)備會(huì)自動(dòng)增加COST值，保證流量到達(dá)，主用公網(wǎng)地址和備用公網(wǎng)地址一致。BRAS NAT可以負(fù)載均衡，規(guī)劃不同的OLT以不同的BRAS為主即可。

3.2.1省網(wǎng)DPI系統(tǒng)的影響及解決方案

分布式NAT方案部署的情況下，DPI系統(tǒng)采集到的用戶數(shù)據(jù)是已經(jīng)經(jīng)過(guò)地址轉(zhuǎn)換后的數(shù)據(jù)，系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶建立一一對(duì)應(yīng)關(guān)系，VOIP監(jiān)控、用戶行為分析、網(wǎng)站訪問(wèn)分析功能、廣告推送等故單用戶業(yè)務(wù)將受到影響。

不受影響的業(yè)務(wù)包括：流量流向分析、流量鏡像。為此，需要修改系統(tǒng)軟件，通過(guò)靜態(tài)地址塊分配，與AAA、NAT設(shè)備同步，建立私網(wǎng)地址、用戶帳號(hào)、公網(wǎng)地址 +端口號(hào)之間的對(duì)應(yīng)關(guān)系。

3.2.2溯源方案

首先對(duì)AAA進(jìn)行改造，使之能記錄公網(wǎng)IP +端口號(hào)信息，由BRAS 生成用戶地址映射關(guān)系，通過(guò)Port-range方式為用戶地址選擇公有地址及端口塊，創(chuàng)建用戶地址映射關(guān)系，并擴(kuò)展Radius屬性，在accounting-Request消息中上報(bào)用戶地址對(duì)應(yīng)的公有地址、端口塊等信息。AAA獲得用戶地址、公有地址、端口塊等信息，并維持與用戶信息的對(duì)應(yīng)關(guān)系，無(wú)需專用LOG Server。

當(dāng)某用戶非法訪問(wèn)互聯(lián)網(wǎng)時(shí)，通過(guò)查詢AAA，通過(guò)公網(wǎng)地址+端口號(hào)+時(shí)間段，查找到對(duì)應(yīng)的賬號(hào)，定位到具體用戶。

四、小結(jié)

在城域網(wǎng)部署NAT時(shí)，建議根據(jù)現(xiàn)網(wǎng)流量、用戶數(shù)、私網(wǎng)地址、用戶分布等等，選擇合理的網(wǎng)絡(luò)位置。在城域網(wǎng)小規(guī)模部署階段，可采用增加NAT業(yè)務(wù)插卡方式緩解局部區(qū)域IPv4地址不足的問(wèn)題。當(dāng)NAT部署規(guī)模的擴(kuò)大至整個(gè)寬帶城域網(wǎng)范圍，從設(shè)備性能、設(shè)備可擴(kuò)展能力、設(shè)備專業(yè)成熟度等多方面考慮，建議采用專業(yè)的獨(dú)立式大規(guī)模NAT設(shè)備。

參 考 文 獻(xiàn)

[1] 陳杰. IPv6過(guò)渡的NAT技術(shù)[D]. 南京郵電大學(xué) 2013

[2] 王明明. 運(yùn)營(yíng)商IPv4至IPv6過(guò)渡技術(shù)方案探討[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化. 2016（11）