熊晶晶　糜正琨

摘要：

文章從IP地址分配的角度，分析了在建設(shè)寬帶城域網(wǎng)時(shí)存在的地址問題，介紹了與解決這些問題相關(guān)的技術(shù)——應(yīng)用級網(wǎng)關(guān)技術(shù)和特定域IP協(xié)議技術(shù)，并提出了解決問題的初步思路。

關(guān)鍵詞：

寬帶城域網(wǎng)；地址分配；網(wǎng)絡(luò)地址翻譯協(xié)議；應(yīng)用級網(wǎng)關(guān)；特定域IP協(xié)議

ABSTRACT:

InviewofIPaddressallocation,thepaperanalyzessomeexistin

gproblemsintheconstructionofbroadbandMAN,andgivesintroductionstotheapplicat

ionlevelgatewaytechniqueandtheRSIPtechnique.Bothofthemarerelatedtot

hesolutionoftheabove-mentionedproblems.Attheendofthepapertheauthor‘

spreliminaryconsiderationonsolvingtheseproblemsisalsonoted.

KEYWORDS:

BroadbandMAN;Addressallocation;NAT;ALG;RSIP

1引言

進(jìn)入21世紀(jì)，中國的寬帶城域網(wǎng)建設(shè)達(dá)到了高潮。當(dāng)人們在欣喜地享受寬帶帶給人們的種種快捷、高效、便利時(shí)，也不無遺憾地發(fā)現(xiàn)它所帶來的種種問題。其中如何有效地分配和規(guī)劃IP地址以解決IP地址資源緊張的問題突出地呈現(xiàn)在我們的面前。

2城域網(wǎng)IP地址規(guī)劃

由于IPv4地址大部分已被分配，而Internet的用戶數(shù)目仍然保持著快速增長，使得IPv4的地址資源越來越緊張，因此城域網(wǎng)內(nèi)不能全部采用公有IP地址，必須避免耗用寶貴的地址資源。較好的折衷方案是在網(wǎng)內(nèi)同時(shí)使用公有地址和私有地址這兩類地址。當(dāng)然，在公有地址有保證的前提下，應(yīng)盡量使用公有地址。

根據(jù)RFC1918規(guī)定，私有IP地址包括：

10.0.0.0—10.255.255.255，一個(gè)A類地址包含256個(gè)B類或65536個(gè)C類，共約1677萬個(gè)IP地址；

172.16.0.0—172.31.255.255，一個(gè)B類地址包含4096個(gè)C類，約104萬個(gè)IP地址；

192.168.0.0—192.168.255.255，一個(gè)B類地址包含256個(gè)C類，約65536個(gè)IP地址。

由此得出采用兩類地址的城域網(wǎng)結(jié)構(gòu)如圖1所示。

在圖1中，核心層為混合地址域，公有地址和私有地址混合使用。核心層內(nèi)部公有地址和私有地址之間不需進(jìn)行地址轉(zhuǎn)換，路由設(shè)備要能夠同時(shí)處理公有和私有地址路由。

對于小區(qū)內(nèi)個(gè)人用戶，缺省分配私有地址，并可訪問網(wǎng)內(nèi)寬帶業(yè)務(wù)。

對于企業(yè)內(nèi)部網(wǎng)和校園網(wǎng)用戶，一般分配若干個(gè)公有IP地址，至于其內(nèi)部的IP地址由其自行分配。

采用混合地址方案解決了寬帶接入小區(qū)和個(gè)人用戶永遠(yuǎn)在線占用大量地址的問題，從而有力地緩解了地址資源短缺的壓力。使用私有地址的用戶在享受城域服務(wù)時(shí)不需經(jīng)過任何變換，因此對城域網(wǎng)內(nèi)諸如VoIP、VoD、Netconference等增值業(yè)務(wù)的訪問不受限制。但是如果使用私有地址的用戶需要訪問外部資源時(shí)，由于內(nèi)部網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的相對隔離性，則需要運(yùn)用NAT(網(wǎng)絡(luò)地址變換)技術(shù)進(jìn)行地址變換。

3NAT技術(shù)和存在的問題

由于網(wǎng)絡(luò)內(nèi)部IP地址不是合法地址,或者為了保證網(wǎng)絡(luò)內(nèi)部IP地址私有性造成了內(nèi)部地址無法在公共網(wǎng)絡(luò)使用，為了解決這一問題提出了NAT技術(shù)。通過地址翻譯，可以使內(nèi)部網(wǎng)絡(luò)的主機(jī)透明地訪問外部網(wǎng)絡(luò)。其工作機(jī)制為當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí)，邊緣路由器或者防火墻根據(jù)預(yù)先建立好的靜態(tài)或動態(tài)地址映射表，將數(shù)據(jù)包的IP包頭進(jìn)行相應(yīng)的轉(zhuǎn)換。如數(shù)據(jù)包是從內(nèi)部發(fā)往外部，則將包頭的內(nèi)部地址替換成全局地址(合法地址，可路由)，而從外部進(jìn)入內(nèi)部的數(shù)據(jù)包則將包頭的全局地址轉(zhuǎn)換成內(nèi)部的私有地址，從而在內(nèi)網(wǎng)與公網(wǎng)間順利地建立通信。

一般來說，NAT地址轉(zhuǎn)換有兩種類型：靜態(tài)轉(zhuǎn)換(StaticTranslation)和動態(tài)轉(zhuǎn)換(DynamicTranslations)。

靜態(tài)轉(zhuǎn)換是在NAT表中事先為每一個(gè)需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建固定的映射表，建立內(nèi)部地址與全局地址的一一對應(yīng)關(guān)系。這樣每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí)，邊緣路由器或者防火墻可以作相應(yīng)的變換。

動態(tài)轉(zhuǎn)換是將可用的全局地址集定義成NATPool(NAT池)。對于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn)，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇一個(gè)全局地址替換其內(nèi)部地址，而在連接終止時(shí)再將此地址回收。

NAPT(端口地址轉(zhuǎn)換)是動態(tài)轉(zhuǎn)換的另一種形式，它使多個(gè)內(nèi)部節(jié)點(diǎn)共享一個(gè)全局IP地址，用源和目的地址的TCP/UDP端口號來區(qū)分NAT表中的轉(zhuǎn)換條目。

雖然NAT可以有效地解決地址短缺的問題，但是實(shí)際上IP地址在許多應(yīng)用中不僅僅只是數(shù)據(jù)包的傳輸?shù)刂?，往往還作為用戶的身份標(biāo)識封裝在應(yīng)用層的數(shù)據(jù)信息中，這樣勢必會造成一些網(wǎng)絡(luò)應(yīng)用由于NAT的阻隔而無法成功地實(shí)現(xiàn)。因此僅僅依靠NAT設(shè)備無法為所有的應(yīng)用提供必要的透明性，此時(shí)需要借助ALG(應(yīng)用級網(wǎng)關(guān))的幫助或者采用RSIP(特定域IP協(xié)議)。下面列出一些由于使用NAT設(shè)備進(jìn)行路由而使網(wǎng)絡(luò)應(yīng)用受到影響的情況。

(1)凈荷中含有特定域的IP地址信息

由于采用NAT設(shè)備進(jìn)行路由，使得大量在消息凈荷中包含特定域的IP地址或端口號的應(yīng)用失敗。在某些情況下，可以使用ALG來彌補(bǔ)。

(2)捆綁式的會話應(yīng)用

FTP、H.323、SIP、RTSP等采用控制信令建立聯(lián)系的捆綁式的會話應(yīng)用由于NAT的阻隔也會被中斷。因?yàn)檫@些應(yīng)用都是在控制信令中交換地址和端口參數(shù)以實(shí)現(xiàn)數(shù)據(jù)流的建立，NAT設(shè)備并不清楚他們之間的相互聯(lián)系，從而導(dǎo)致應(yīng)用的失敗。在這種情況下失敗的原因可能有兩種：一是控制信令中的地址信息是屬于特定域的非法IP地址，二是NAT設(shè)備不允許通過控制信息中創(chuàng)建數(shù)據(jù)流方向的信息。

(3)端到端應(yīng)用

與Client/Server應(yīng)用不同，端到端應(yīng)用可以由任何一方發(fā)起，因而更容易被NAT破壞。當(dāng)端點(diǎn)分別位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)時(shí)，由于從外部網(wǎng)絡(luò)發(fā)起的會話事先并不知道位于內(nèi)部網(wǎng)絡(luò)的端點(diǎn)所對應(yīng)的全局IP地址，因此就無法建立聯(lián)系。

(4)需保留地址映射關(guān)系的應(yīng)用

NAT很有可能中斷那些需要將地址映射保留到下一次會話的應(yīng)用。因?yàn)檫@些應(yīng)用要求保留內(nèi)部地址到外部地址的映射關(guān)系以便后續(xù)的通信可以重復(fù)使用這些外部地址，而NAT并不了解這一要求，就有可能會將此外部地址回收，分配給其它需要與外部通信的主機(jī)。為了防止NAT設(shè)備丟棄相關(guān)的信息，需要另行制定協(xié)議以確保NAT設(shè)備保留地址映射關(guān)系，或者可以采用應(yīng)用級網(wǎng)關(guān)技術(shù)來實(shí)現(xiàn)此類應(yīng)用。

從以上所列的幾種情況，可以清楚地看出單純依靠NAT并不能解決混合地址變換問題，當(dāng)消息凈荷中包含IP地址和TCP/UDP端口信息時(shí)，尤其如此。因此我們必須考慮采用其它輔助技術(shù)，在這里我們討論兩種技術(shù)：一是建立應(yīng)用級網(wǎng)關(guān)技術(shù)，使之與網(wǎng)絡(luò)地址變換設(shè)備相互作用，通過互相協(xié)調(diào)支持特定應(yīng)用；二是采用專門制訂的RSIP（特定域IP協(xié)議）。

4應(yīng)用級網(wǎng)關(guān)技術(shù)

ALG是針對特定應(yīng)用進(jìn)行處理轉(zhuǎn)換的代理設(shè)備，通過ALG，可以使在某一地址域的主機(jī)與處在不同域的對端透明地建立聯(lián)系，創(chuàng)建應(yīng)用。ALG可以與NAT相互作用，建立狀態(tài)，利用NAT的狀態(tài)信息，修改特定的應(yīng)用層數(shù)據(jù)信息以及執(zhí)行某些必要的任務(wù)以實(shí)現(xiàn)跨越不同地址區(qū)域的應(yīng)用業(yè)務(wù)。ALG不僅僅只是利用NAT的狀態(tài)信息，在某些情況下它會收集應(yīng)用層的負(fù)載信息，提醒NAT設(shè)備增加額外的狀態(tài)消息。在工作方式上，ALG與Proxy(代理服務(wù)器)十分類似，兩者都是為了方便客戶端與服務(wù)器建立特定的應(yīng)用連接。但是，Proxy在與代理客戶端取得聯(lián)系時(shí)是通過另外的通信協(xié)議，然后再將所得到的客戶端數(shù)據(jù)傳遞給服務(wù)器，相反方向的數(shù)據(jù)流亦如此。與Proxy不同，ALG沒有使用任何協(xié)議與應(yīng)用客戶端聯(lián)系，同時(shí)也不需要客戶端加裝額外的軟件。

在這里我們以在VoIP應(yīng)用中廣泛運(yùn)用的H.323協(xié)議為例來說明ALG的作用。H.323協(xié)議包括若干個(gè)TCP、UDP數(shù)據(jù)流，端口動態(tài)分配。H.323協(xié)議的信令過程可分為3個(gè)步驟：RAS(登記、接納和狀態(tài))消息用于H.323終端與關(guān)守(H.323協(xié)議中的網(wǎng)絡(luò)管理點(diǎn))之間的注冊、鑒權(quán)、申請發(fā)起業(yè)務(wù)等信息的交互；Q.931消息用于建立呼叫的控制信令，以實(shí)現(xiàn)主叫用戶到被叫用戶的端到端連接的建立、維護(hù)和釋放；H.245消息用于建立邏輯通道，交換主叫與被叫能力，確定主從關(guān)系等。根據(jù)協(xié)議，下一級信令地址和端口參數(shù)值在上一級信令中交換，如被叫H.245控制信道地址參數(shù)是在Q.931的Alerting、CallProceeding或者Connect消息中指明的，因此，

H.323-ALG必須能夠檢測H.323包，解釋各種H.323控制信令，根據(jù)NAT地址變換修改控制數(shù)據(jù)包中的相應(yīng)地址參數(shù)。由于Q.931和H.245消息采用的是ASN.1語言編碼格式，所以H.323-ALG必須具有ASN.1語言的編解碼功能。更為復(fù)雜的是，在Q.931消息中還規(guī)定可以對H.245消息進(jìn)行加密，那么除非ALG具有加密功能并能獲知密鑰，否則就無法解釋消息的內(nèi)容。因此，一般說來ALG功能比較復(fù)雜，且針對不同應(yīng)用需要不同的ALG，這就限制了ALG技術(shù)在大規(guī)模網(wǎng)絡(luò)中的應(yīng)用。

5RSIP技術(shù)

RSIP是位于內(nèi)網(wǎng)的主機(jī)與外界發(fā)生聯(lián)系時(shí)發(fā)布特定IP地址所采用的一種協(xié)議。RSIP客戶端位于內(nèi)網(wǎng)，但采用外網(wǎng)地址與外部主機(jī)發(fā)生聯(lián)系以建立端到端通信。任何一方發(fā)起呼叫所構(gòu)造的呼叫建立(Setup)控制信令包中所包含的地址都是外網(wǎng)中唯一的公有地址，因此控制信令包通過NAT設(shè)備時(shí)，其內(nèi)容不需要進(jìn)行任何變換。RSIP服務(wù)器是可同時(shí)與內(nèi)網(wǎng)和外網(wǎng)通信的節(jié)點(diǎn)，處理由RSIP客戶端產(chǎn)生或發(fā)往RSIP客戶端的數(shù)據(jù)信息。RSIP協(xié)議分為兩種，一種是專門針對IP地址的RSA-IP，另一種是針對IP地址和端口號的RSAP-IP。

下面我們以RSA-IP的工作流程為例說明RSIP協(xié)議的工作機(jī)制，RSAP-IP的原理與RSA-IP類似，只是增加了對端口號的處理。

RSA-IP客戶端發(fā)起與外網(wǎng)主機(jī)的會話時(shí)，首先需從外部地址空間中獲取一個(gè)IP地址。一旦此外部地址被RSA-IP客戶端發(fā)布后，就不能再被其他用戶使用直到該地址被客戶端釋放時(shí)為止。RSA-IP服務(wù)器則要求能夠靜態(tài)或動態(tài)地為RSA-IP客戶端分配外網(wǎng)地址，同時(shí)建立與內(nèi)網(wǎng)和外網(wǎng)的傳送層通信，為外網(wǎng)數(shù)據(jù)在內(nèi)網(wǎng)傳輸提供路由機(jī)制。通常，我們把RSA-IP服務(wù)器放在NAT設(shè)備上。一般來說，端到端的RSA-IP包有兩種路由方式：一種是在源和目的地之間建立隧道，NAT設(shè)備只常規(guī)處理外部包頭，并不影響內(nèi)部包頭使用的地址；另外一種方法是在RSA-IP客戶端和邊界路由器之間建立雙向內(nèi)部隧道，客戶端發(fā)送和接收的數(shù)據(jù)包都將被封入隧道中，而邊界路由器和遠(yuǎn)端目標(biāo)之間的數(shù)據(jù)被正常傳送。如果內(nèi)部網(wǎng)絡(luò)不執(zhí)行基于源地址的數(shù)據(jù)流過濾，則可以建立客戶端與邊界路由器之間的隧道。圖2和圖3分別畫出RSIP數(shù)據(jù)包的兩種傳輸方式。圖中，主機(jī)A為RSA-IP客戶端，其內(nèi)網(wǎng)地址為Addr-A，分配得到的外網(wǎng)地址為Addr-k，主機(jī)B為遠(yuǎn)端目的端點(diǎn)，其對應(yīng)的外網(wǎng)地址為Addr-B。

由RSIP協(xié)議的工作機(jī)制可知，采用RSIP協(xié)議后，進(jìn)行地址轉(zhuǎn)換時(shí)不需要對控制數(shù)據(jù)包的內(nèi)容進(jìn)行解析和變換，NAT設(shè)備對任何應(yīng)用都是透明的。這樣大大簡化了地址變換的復(fù)雜度，有利于大容量NAT設(shè)備的開發(fā)。RSIP技術(shù)的問題在于，它要求所有主機(jī)都能支持RSIP協(xié)議，而目前RSIP協(xié)議尚未成為標(biāo)準(zhǔn)。

根據(jù)以上分析可知，ALG和RSIP方法各有其技術(shù)特點(diǎn)和運(yùn)用范圍，但是也各有其局限性。因此，進(jìn)一步的考慮是將兩種模式結(jié)合起來，提出一種新的適于網(wǎng)絡(luò)部署的使用方法。該方法在網(wǎng)絡(luò)結(jié)構(gòu)上，借鑒ALG技術(shù)，設(shè)置專門的Proxy服務(wù)器；在變換處理上，借鑒RSIP技術(shù)，在NAT設(shè)備和主機(jī)間交換變換信息，保持NAT設(shè)備對所有應(yīng)用透明的特性。變換信息交換不需要另外制訂協(xié)議，而是沿用已有的標(biāo)準(zhǔn)協(xié)議，如MGCP(媒體網(wǎng)關(guān)控制協(xié)議)。已有人提出了這種想法，筆者正在進(jìn)行這方面的研究，限于篇幅，不在此展開介紹。

6結(jié)束語

如何解決IP地址資源不足是優(yōu)化寬帶城域網(wǎng)的關(guān)鍵技術(shù)之一。在IPv6尚未啟用之前，使用私有地址是唯一可行的方法；NAT和ALG以及RSIP協(xié)議的結(jié)合可以在不同應(yīng)用環(huán)境下支持私有地址的透明使用；基于已有標(biāo)準(zhǔn)協(xié)議的進(jìn)一步解決方案可以更有效地用于大規(guī)模網(wǎng)絡(luò)。上述技術(shù)和方法均可望應(yīng)用于業(yè)界正在熱烈討論的軟交換網(wǎng)絡(luò)。□

參考文獻(xiàn)

1IETFRFC2766.NetworkAddressTranslation-ProtocolTranslation(NAT-PT).2000

2IETFRFC3022.TraditionalIPNetworkAddressTranslator(TraditionalNAT).2001

3IETFRFC3027.ProtocolComplicationswiththeIPNetworkAddressTranslator.2001

4BorellaM.RealmSpecificIP:Framework.IETFdraft.2000

5戴建東.寬帶IP城域網(wǎng)的規(guī)劃和建設(shè).江蘇通信技術(shù),2001,7(2):21—25

(收稿日期：2002-01-29)

作者簡介

熊晶晶，南京郵電學(xué)院通信工程系在讀碩士研究生，研究方向?yàn)镮P寬帶網(wǎng)絡(luò)技術(shù)。

糜正琨，南京郵電學(xué)院通信工程系教授，博士生導(dǎo)師，ITU-T中國專家組成員。曾主持完成多項(xiàng)國家級和部省級重點(diǎn)科研項(xiàng)目，出版專著7本，發(fā)表學(xué)術(shù)和技術(shù)論文逾40篇，在信令、網(wǎng)絡(luò)智能和IP通信研究方面頗有建樹。近期研究方向包括移動代理理論和應(yīng)用、IP網(wǎng)絡(luò)QoS以及軟交換技術(shù)。