NAT44技術(shù)在天津城域網(wǎng)中的實(shí)際應(yīng)用

李健 等

摘要：隨著人們上網(wǎng)需求的不斷發(fā)展，IPv4向IPv6過(guò)渡已成為必然趨勢(shì)，NAT44技術(shù)是其中最為簡(jiǎn)單實(shí)現(xiàn)的方式之一。文中介紹了IPv4幾近枯竭的現(xiàn)狀，解決此問(wèn)題的技術(shù)方案，著重分析探討NAT44的網(wǎng)絡(luò)部署、城域網(wǎng)架構(gòu)、用戶溯源方式、相關(guān)系統(tǒng)改造等關(guān)鍵問(wèn)題，最后提出了幾點(diǎn)思考供參考。

關(guān)鍵詞：NAT44 溯源 城域網(wǎng)

1 背景介紹

對(duì)現(xiàn)代社會(huì)而言，網(wǎng)絡(luò)的普及和發(fā)展，已經(jīng)在社會(huì)生產(chǎn)和生活的各個(gè)領(lǐng)域都產(chǎn)生了十分巨大的影響，特別是網(wǎng)絡(luò)作為物流載體被百姓廣泛接納和使用之后，其作用將會(huì)變得更為深遠(yuǎn)。隨著信息技術(shù)、通信技術(shù)、軟件技術(shù)不斷演進(jìn)，如今涌現(xiàn)出網(wǎng)上購(gòu)物、網(wǎng)上游戲、網(wǎng)上投資理財(cái)、實(shí)時(shí)視頻、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等互聯(lián)網(wǎng)應(yīng)用，網(wǎng)絡(luò)服務(wù)與百姓生活已日益密不可分，甚至人們可以足不出戶的完成工作和學(xué)習(xí)任務(wù)，可以讓大家節(jié)約出更多的時(shí)間去處理一些其他的事，使人們?cè)谛袆?dòng)甚至是思想上都得到了解放。這也導(dǎo)致互聯(lián)網(wǎng)IPv4地址呈井噴式增長(zhǎng)，目前IPv4地址資源已近枯竭，急需找到快速有效解決方案來(lái)支撐互聯(lián)網(wǎng)的持續(xù)飛速發(fā)展需要。下面來(lái)介紹幾種解決方案，并結(jié)合天津網(wǎng)絡(luò)現(xiàn)狀重點(diǎn)討論NAT44技術(shù)的應(yīng)用。

2 天津聯(lián)通城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

天津聯(lián)通城域網(wǎng)絡(luò)分層：

天津聯(lián)通城域網(wǎng)基本分為三個(gè)層次：核心層、匯聚層、接入層。

核心層功能：核心層主要由高端核心路由器CR集群組成，提供路由交換、業(yè)務(wù)承載和傳輸，向上連接骨干網(wǎng)，向下與匯聚層設(shè)備互聯(lián)，其特征為寬帶傳輸和高速調(diào)度。

匯聚層功能：匯聚層主要由高端路由器BR組成，主要功能是匯聚業(yè)務(wù)路由器SR和寬帶接入服務(wù)器BRAS設(shè)備，提供用戶業(yè)務(wù)數(shù)據(jù)的匯聚和分發(fā)處理。

接入層功能：接入層主要由SR和BRAS及下聯(lián)DSLAM、AG、LAN交換機(jī)、OLT等接入設(shè)備組成。

BRAS設(shè)備功能：BRAS設(shè)備負(fù)責(zé)處理公眾上網(wǎng)用戶PPPOE的處理及IP地址的分配。SR主要負(fù)責(zé)集團(tuán)大客戶專線接入及IP地址分配。故BRAS設(shè)備占用了互聯(lián)網(wǎng)絕大部分的IP地址資源，且現(xiàn)BRAS設(shè)備IP地址占用率均較高，急需擴(kuò)充IP地址資源。

3 IPv4地址匱乏解決方案

為了解決IPv4地址緊缺的迫切問(wèn)題，保證業(yè)務(wù)發(fā)展不受影響，必須尋找合適的應(yīng)對(duì)技術(shù)，從理論上來(lái)說(shuō)，遷移到IPv6網(wǎng)絡(luò)是一勞永逸的解決方案。但是IPv6在設(shè)計(jì)上并沒(méi)有考慮與現(xiàn)有IPv4網(wǎng)絡(luò)的兼容問(wèn)題，二者基本上屬于各自獨(dú)立的狀態(tài)，而且由于所有的應(yīng)用都部署在現(xiàn)有的IPv4網(wǎng)絡(luò)內(nèi)，無(wú)論是寬帶用戶還是應(yīng)用服務(wù)器遷移到IPv6網(wǎng)絡(luò)都非一朝一夕可以完成。這就必須要經(jīng)歷一個(gè)漫長(zhǎng)的IPv4逐步向IPv6過(guò)渡過(guò)程。

IPv4向IPv6過(guò)渡的過(guò)程涉及終端、網(wǎng)絡(luò)和應(yīng)用等多方面的改造，不可能一蹴而就，為此出現(xiàn)了多種過(guò)渡技術(shù)，如DS-LITE、NAT64、6RD、雙棧和NAT444等。除NAT44技術(shù)外，其余幾種技術(shù)在配置上較為復(fù)雜，且對(duì)用戶終端及服務(wù)提供商應(yīng)用服務(wù)器要求較高，均不適合大規(guī)模長(zhǎng)期部署。只有NAT444技術(shù)僅需在運(yùn)營(yíng)商側(cè)引入二次NAT，并對(duì)終端、服務(wù)器的更改最小，所以建議NAT44為首選過(guò)渡方案。下面詳細(xì)討論NAT44（NAT444）技術(shù)。

4 NAT44（NAT444）技術(shù)特點(diǎn)

NAT44方案對(duì)Internet用戶分配IP地址的方式做了改變，由以前給每個(gè)寬帶用戶分配公網(wǎng)IP的方式，改為分配私網(wǎng)IP給每個(gè)用戶，統(tǒng)一在運(yùn)營(yíng)商一端部署NAT設(shè)備，在用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)，由運(yùn)營(yíng)商把用戶的私網(wǎng)地址翻譯成公網(wǎng)地址以節(jié)省公網(wǎng)地址的使用。NAT444主要是用戶撥號(hào)上網(wǎng)獲取私網(wǎng)IP地址，由運(yùn)營(yíng)商部署運(yùn)營(yíng)級(jí)地址轉(zhuǎn)換設(shè)備（CGN），同時(shí)與用戶側(cè)的NAT組成兩級(jí)地址轉(zhuǎn)換，形成三塊地址空間，即用戶側(cè)私有地址（路由方式）、用戶撥號(hào)獲取的運(yùn)營(yíng)商分配的私有地址、公網(wǎng)地址。

采用NAT44技術(shù)大大節(jié)省了IP地址資源，但也帶來(lái)了溯源方式的改變。這就要求AAA（計(jì)費(fèi)認(rèn)證系統(tǒng)）、SYSLOG服務(wù)器、測(cè)速系統(tǒng)、行為分析系統(tǒng)等周邊平臺(tái)網(wǎng)絡(luò)進(jìn)行相應(yīng)改造來(lái)支持NAT44功能。

由于NAT444在運(yùn)營(yíng)商側(cè)引入NAT，給用戶分配的是私網(wǎng)地址，所以可能會(huì)出現(xiàn)在同一時(shí)間段多個(gè)用戶采用同一個(gè)公網(wǎng)地址訪問(wèn)業(yè)務(wù)的情況，這樣就給用戶溯源帶來(lái)難度。NAT444提供的端口塊分配方式，可以從根本上解決用戶的溯源問(wèn)題。

5 NAT44技術(shù)在寬帶中的實(shí)際應(yīng)用

組網(wǎng)方式

在城域網(wǎng)中可以通過(guò)插卡方式分別和BRAS和CR進(jìn)行組網(wǎng)，以實(shí)現(xiàn)公私網(wǎng)地址的轉(zhuǎn)換。

分布式部署在每臺(tái)BRAS設(shè)備插入兩塊CGN板卡，CGN板卡不要求支持路由協(xié)議。此種方式由于私有地址路由信息不進(jìn)入城域網(wǎng)，故私有地址不要求城域網(wǎng)統(tǒng)一規(guī)劃。這種方式是一種實(shí)現(xiàn)簡(jiǎn)單、風(fēng)險(xiǎn)較小的方案，但網(wǎng)絡(luò)改造的投資成本較高。

集中式部署由在每臺(tái)CR可以插入兩塊CGN板卡，CGN板卡不要求支持路由協(xié)議。私有地址路由進(jìn)入了城域網(wǎng)，私有地址要求全網(wǎng)統(tǒng)一規(guī)劃。同時(shí)此方式要實(shí)現(xiàn)負(fù)載分擔(dān)較為麻煩，需要在CR配置復(fù)雜的策略路由。

綜合考慮天津城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)模以及網(wǎng)絡(luò)安全穩(wěn)定性提出如下建議：①建議先期采用分布式BRAS插CGN板卡來(lái)實(shí)現(xiàn)NAT44功能，且應(yīng)逐步分區(qū)域進(jìn)行部署，端口塊設(shè)為1024，且采用動(dòng)態(tài)地址端口映射方式，這樣可以實(shí)現(xiàn)1：64地址轉(zhuǎn)換。將節(jié)省下來(lái)的公網(wǎng)IP地址添加至老舊型號(hào)不支持NAT44功能的BRAS設(shè)備或城域網(wǎng)其他網(wǎng)絡(luò)設(shè)備上。②為保證網(wǎng)絡(luò)安全，建議采用Radius私有屬性擴(kuò)展實(shí)現(xiàn)溯源。且由BSS與AAA系統(tǒng)增加賬號(hào)字段屬性來(lái)標(biāo)識(shí)業(yè)務(wù)受理時(shí)是否需要進(jìn)行地址轉(zhuǎn)換。③BRAS應(yīng)通過(guò)SYSLOG或SNMP TRAP方式輸出告警信息，方便維護(hù)人員及時(shí)添加公私網(wǎng)IP地址，且在私有地址池滿時(shí)自動(dòng)由公網(wǎng)地址池繼續(xù)分地址。④BRAS通過(guò)用戶連接數(shù)限制功能，可以防止某一用戶會(huì)話過(guò)多從而占用設(shè)備大量資源的情況，同時(shí)有效可以防止外部發(fā)起的攻擊。

6 結(jié)束語(yǔ)

NAT44技術(shù)是目前緩解城域網(wǎng)IP地址緊缺問(wèn)題最行之有效的解決方案，但在實(shí)際部署中還有待試點(diǎn)運(yùn)行中不斷發(fā)現(xiàn)和解決問(wèn)題。特別是相關(guān)IP支撐系統(tǒng)和IT支撐系統(tǒng)的改造是一個(gè)復(fù)雜的系統(tǒng)工程，需要不斷總結(jié)經(jīng)驗(yàn)，逐步推進(jìn)網(wǎng)絡(luò)和業(yè)務(wù)的演進(jìn)，促進(jìn)互聯(lián)網(wǎng)全面健康發(fā)展。

參考文獻(xiàn)：

[1]Todd Lammle.CCNA學(xué)習(xí)指南[M].電子工業(yè)出版社.

[2]張耿，周璇.《華為接入網(wǎng)維護(hù)寶典》.華為技術(shù)有限公司.

[3]Mark A.Sportack.IP尋址技術(shù)[M].人民郵電出版社.

[4]張旺，王茹.華為寬帶接入服務(wù)器BRAS維護(hù)寶典.華為技術(shù)有限公司.