張鉦林

【摘要】 隨著全球IPv4地址分配完畢，IP地址短缺問題日益嚴重。鑒于IPv6的規(guī)模應用尚需時日，為正常發(fā)展業(yè)務，運營商在網(wǎng)絡中引入了NAT44部署。本文針對NAT44部署相關策略、路由策略、用戶溯源等進行分析，并給出相應的部署建議。

【關鍵詞】 IP地址 NAT44 用戶溯源

一、前言

隨著互聯(lián)網(wǎng)快速發(fā)展、智能終端的大量出現(xiàn)，對IP地址需求越來越大，現(xiàn)有IPv4地址已難以支撐網(wǎng)絡和業(yè)務發(fā)展需求，2011年2月互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構（ICANN）公布全球IPv4地址已分配完畢，由于歷史原因，中國所擁有的IPv4地址資源有限（截止2010年6月IPv4地址數(shù)量約2.5億，遠落后于當時4.2億網(wǎng)民的需求），IPv4地址不足已成為國內各運營商業(yè)務發(fā)展關鍵瓶頸。

由于IPv6規(guī)模商用尚需時日，為解決用戶發(fā)展與IP地址不足間的矛盾，運營商需要在網(wǎng)絡內部署NAT44，運營級NAT44的部署可有效擴展公有IP地址使用效率，解決用戶地址不足的問題。本文通過結合某運營商現(xiàn)網(wǎng)運維的經(jīng)驗，對運營級NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用戶溯源等進行探討。

二、運營級NAT44系統(tǒng)組成

在運營級NAT44系統(tǒng)中，主要由NAT設備、BRAS（AC）、AAA、DPI、日志系統(tǒng)（Log Server）、等構成如圖1的拓撲結構：

圖1 NAT44架構

網(wǎng)絡設備：

NAT設備：提供運營商級的NAT轉換功能，將用戶私有地址轉換為公有地址，同時需要將NAT轉換日志上傳給日志系統(tǒng)（Log Server）。

BRAS：負責接入終端，并配合AAA完成用戶認證、授權和用戶計費。

日志留存相關設備：

AAA：負責用戶認證、授權和計費，記錄和維護用戶計費和賬號等信息。AAA服務器可記錄用戶私有地址與賬號的對應關系。

DPI（Deep Packet Inspection，深度包檢測）：負責完成用戶URL記錄的抓取，并上傳給Log Server。

日志系統(tǒng)（Log Server）：接收和記錄用戶訪問信息、NAT日志和Radius日志，生成用戶溯源信息。

三、NAT設備主要部署方案

目前NAT44部署方式主要有獨立設備和插卡兩種方式：獨立NAT設備旁掛網(wǎng)絡設備，NAT插卡作為板卡插入現(xiàn)網(wǎng)設備。

在實際部署中，NAT設備部署在IP城域網(wǎng)網(wǎng)出口或省出口層面，形成集中式部署方式；部署在BRAS或AC層面，形成分布式部署方式。

NAT設備在運營商網(wǎng)絡中有以下三種典型部署場景：（圖2）

省核心路由器旁掛NAT設備（適用于網(wǎng)絡未扁平化運營商）：NAT設備作為獨立設備，集中式旁掛在省網(wǎng)核心路由器；

IP城域網(wǎng)核心路由器旁掛NAT設備：NAT設備作為獨立設備，集中式旁掛在IP城域網(wǎng)核心；

BRAS/AC分布式插NAT板卡：NAT設備作為板卡，插入B RAS、AC等設備。

三種方式特點及應用場景如下：

表1 NAT設備部署方式對比

類別 集中部署（省網(wǎng)核心旁掛） 集中部署（城域核心旁掛） 分布式插卡

部署場景 用戶規(guī)模較小?。úl(fā)50萬以下），且網(wǎng)絡未扁平化 用戶規(guī)模較大地市（并發(fā)10萬以上） 少量地區(qū)需做NAT時（單點并發(fā)用戶在1萬以下）

對網(wǎng)絡路由影響 一般采用策略路由引導，僅對省核心路由器有影響 一般采用策略路由引導，僅對城域核心路由器有影響 無影響

可靠性 高，可實現(xiàn)session級備份，同時NAT設備間可實現(xiàn)

N：1備份 高，可實現(xiàn)session級備份，同時NAT設備間可實現(xiàn)

N：1備份 一般，需要同BRAS備份相結合

標準化程度 高，源于防火墻，各運營商有相應標準，且進行了相應集采 高，源于防火墻，各運營商有相應標準，且進行了相應集采 和BRAS設備捆綁，透明度不高

運營商可根據(jù)自身網(wǎng)絡特點選擇相應部署方式，隨著運營商需要做NAT規(guī)模擴展，以及網(wǎng)絡扁平化趨勢，方式二：集中部署（城域網(wǎng)核心旁掛）將是主流架構。下述章節(jié)將對方式二：集中部署（城域網(wǎng)核心旁掛）相關組網(wǎng)細節(jié)進行分析。

3.1 NAT設備組網(wǎng)方式

NAT設備旁掛于IP城域網(wǎng)核心（以下簡稱CR），在實際部署中，可根據(jù)傳輸資源選擇NAT雙歸部署或單歸屬部署，具體如下圖所示：

圖3 NAT設備組網(wǎng)示意

雙歸屬連接：2臺NAT設備建議分別雙歸連接到兩臺核心路由器，2臺NAT設備之間形成備份關系，此組網(wǎng)方式安全性較高，推薦采用；

單歸屬連接：在核心路由器之間光纖資源或傳輸資源不足的情況下，可以選擇NAT設備單歸連接到核心路由器的組網(wǎng)方式。

3.2 路由規(guī)劃建議

（1）對于出網(wǎng)流量：

對于出網(wǎng)流量，建議在CR上配置策略路由，對于源地址需要NAT轉換的流量，下一跳指向NAT設備，由NAT設備負責完成地址轉換；

對于NAT轉換后的流量，通過靜態(tài)路由回注到核心路由器；

如條件具備（現(xiàn)階段需要2臺NAT設備同廠家且同型號），建議兩臺NAT設備間開通會話同步；若兩臺NAT設備間未做會話同步，為避免同一用戶一個應用出現(xiàn)不同公網(wǎng)IP以影響部分應用正常使用（例如網(wǎng)銀業(yè)務），所有出網(wǎng)流量需根據(jù)源地址段（例如將各地市私網(wǎng)段劃分為2個，即IP1和IP2）在城域網(wǎng)中做流量牽引，設備正常工作時將源地址段為IP1的流量引向NAT1，源地址段為IP2的流量引向NAT2。

（2）對于入網(wǎng)流量：

建議動態(tài)引流方案：CR上將NAT后公網(wǎng)地址段注入到BGP路由中。

對于NAT轉換后的流量，通過靜態(tài)路由回注到核心路由器CR。

另外，NAT設備與核心路由器之間需要開啟IGP路由協(xié)議，僅用于通告設備Loopback地址以及內部互聯(lián)地址。

（3）如采用單歸屬上連方式，為實現(xiàn)NAT設備間的安全備份，還需進行以下配置：

NAT-1與CR1，CR2與NAT -2、CR1與CR2間互聯(lián)口起ISIS（假設IGP為ISIS）單獨進程，NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 間增配一對互聯(lián)地址，NAT設備各增配1個32位的loopback地址；

NAT設備的上下行接口需同時關斷。

3.3 地址及端口使用規(guī)劃建議

建議采用端口塊固定大小方式，根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計，平均每用戶會話數(shù)在50～120之間，超過512會話的不到2%，因此建議每個私網(wǎng)IP固定分配512個端口號（各運營商可根據(jù)實際情況調整）；

2臺NAT設備互為主備，其中正常工作時NAT-1負責IP1源地址段轉換，NAT-2負責IP2源地址段轉換；

為避免設備故障，單臺NAT設備工作時地公網(wǎng)地址不足，NAT-1設備需為IP2預留所需公網(wǎng)地址，NAT-2設備同樣需為IP1預留所需公網(wǎng)地址。

NAT-1和NAT-2采用不同公網(wǎng)地址段。

四、日志溯源方案

NAT44 部署后，用戶使用私有地址，而用戶報文在NAT轉換后的地址與實現(xiàn)源地址不同，應用服務器只能獲得NAT轉換后的公網(wǎng)地址，且同一公網(wǎng)地址對應多個私網(wǎng)地址，此時將無法對用戶進行精確溯源。

根據(jù)《工業(yè)和信息化部印發(fā)<工業(yè)和信息化部關于進一步深入整治手機淫穢色情專項行動工作方案>的通知》（工信部電管〔2009〕672號）和《互聯(lián)網(wǎng)信息服務管理辦法》（中華人民共和國國務院令2000年第292號）文件對運營商上網(wǎng)日志留存的相關要求，運營商需提供用戶完整的用戶上網(wǎng)日志。因此運營商在進行NAT44部署時，需同步部署NAT日志留存系統(tǒng)。

4.1 基于應用層的用戶溯源系統(tǒng)工作原理

傳統(tǒng)用戶溯源方式一般采用Radius 日志和NAT日志合并溯源方案，采用該種方式可實現(xiàn)“用戶私網(wǎng)地址、私網(wǎng)端口號、公網(wǎng)地址、公網(wǎng)端口號、上下線時間、用戶賬號”信息的記錄，采用該方式對于現(xiàn)網(wǎng)改造較小，是運營商普遍采用方案，但也存在嚴重不足：

該方式未記錄用戶上網(wǎng)信息（URL信息），而目前政府監(jiān)管部門一般僅提供源公網(wǎng)地址和時間段，此時運營商將無法實現(xiàn)用戶精確溯源。

本文針對傳統(tǒng)用戶溯源方式存在不足，提出一種基于應用層的用戶精確溯源方式，該工作原理如下：

圖4 NAT日志溯源原理

該方案通過在IP城域網(wǎng)出口部署DPI系統(tǒng)，為確保DPI日志信息的完整，DPI系統(tǒng)的部署位置應置于NAT系統(tǒng)之后。（注：Deep Packet Inspection，深度包檢測，是一種基于應用層的流量檢測和控制技術，通過深入讀取IP包載荷的內容來對OSI 7層協(xié)議中的應用層信息進行重組，從而得到整個應用程序的內容。）

部署DPI系統(tǒng)后，相關系統(tǒng)輸出日志如下：

NAT44設備：輸出用戶私網(wǎng)地址、私網(wǎng)端口號、源公網(wǎng)地址、源公網(wǎng)端口號、上下線時間；

AAA系統(tǒng)：輸出用戶賬號、私網(wǎng)地址、私網(wǎng)端口號、上下線時間；

DPI系統(tǒng)：輸出用戶源公網(wǎng)地址、源公網(wǎng)地址端口號、目的公網(wǎng)地址、目的公網(wǎng)地址端口號、URL地址、上下線時間。

為實現(xiàn)日志的精確合成，所有系統(tǒng)必須從同一時鐘源獲取基準時間。

NAT日志系統(tǒng)（Log Server），負責采集并解析以上三類日志，根據(jù)三類日志中兩兩共有的諸如IP地址、端口號、起止時間等關鍵字段將三者關聯(lián)生成用戶上網(wǎng)完整記錄，并提供相應查詢服務。

其工作流程如下圖：

圖5 NAT日志系統(tǒng)（Log Server）工作原理

4.2 日志輸出方式建議

NAT44設備輸出日志分為會話（Session）級和用戶級（PBA），兩者區(qū)別在于：

在session級的日志輸出中，每新建一個session觸發(fā)日志信息輸出，拆除session時也會觸發(fā)日志信息輸出。

在用戶級（PBA）的日志輸出中，用戶新建第一個session時，發(fā)送一個日志消息，拆除用戶最后一個session或所有會話維持時間超出老化時間時，再發(fā)送一個日志消息，而中間無論新建和拆除session均不發(fā)送日志消息。

Session級為傳統(tǒng)方案，一般的防火墻均可實現(xiàn)，但若應用在電信運營商網(wǎng)絡中則有較大問題，Session級日志會產(chǎn)生巨大的日志量，例如以1萬用戶為例：

采用Session級日志輸出：根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計，單用戶平均產(chǎn)生會話為20個/秒，用戶平均在線率為50%，則一天24小時會產(chǎn)生24*3600*20*0.5=8，640，000萬條日志；

采用用戶級（PBA）日志輸出：同樣根據(jù)某運營商現(xiàn)網(wǎng)統(tǒng)計，單用戶每天上線次數(shù)均為4次，則一天24小時僅產(chǎn)生4*2=8萬條日志。

由此可看出，采用Session級方式的日志量是用戶級的11萬倍，差距非常大。根據(jù)工信部相關要求，日志需留存60天，為節(jié)省大量存儲設備投資，建議電信運營商應采用用戶級（PBA）日志方案，在網(wǎng)絡規(guī)劃階段提前做好技術要求，并購置支持用戶級（PBA）日志輸出的NAT44設備。

五、結束語

運營級NAT44系統(tǒng)是當前電信運營商解決IPv4地址不足的唯一途徑，它不僅僅是幾臺NAT設備，而是一個完整的體系，通過對NAT44設備、用戶溯源系統(tǒng)的合理部署以及網(wǎng)絡路由的合理規(guī)劃，不僅能有效解決運營商業(yè)務發(fā)展中IP地址瓶頸，同時也能很好地解決NAT部署所帶來的各種安全問題。