祁鈺+孫加余+黃英波

【摘要】 采用NAT技術可以有效解決運營商目前在城域網(wǎng)WLAN和家寬業(yè)務中IP地址緊缺的問題。本文詳細闡述了NAT部署方案，并對關鍵問題進行了分析。

【關鍵詞】 NAT IPV6過渡 溯源

一、引言

隨著互聯(lián)網(wǎng)業(yè)務的快速發(fā)展，各運營商已邁出IPv6演進的腳步，但目前無法短期內(nèi)完成IPv4到IPv6的過渡。當前解決IP地址短缺的有效方法就是做NAT轉換，該技術的核心就是要把一個私有地址域里的地址轉換為可路由的全局因特網(wǎng)地址。

二、NAT 技術

NAT （Network Address Translation）即網(wǎng)絡地址轉換，通過改變IP報文中的源或目的地址，使一個局域網(wǎng)中的多臺主機使用少量的合法地址訪問外網(wǎng)資源；也可應用到防火墻技術里，把個別IP隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡設備，起到安全保護的作用。NAT 技術的類型主要有以下三種：

靜態(tài)NAT：

一個私網(wǎng)IP只能被永久映射成外網(wǎng)中的一個合法的地址。

PAT（Port Address Translation）：

多對一的地址轉換，通過 “地址+端口”的映射實現(xiàn)，使用TCP/UDP協(xié)議端口號，區(qū)分不同的內(nèi)部網(wǎng)地址，使內(nèi)網(wǎng)的多個主機共用一個公網(wǎng)IP訪問外部網(wǎng)絡。

NPAT（Nat &PAT）：

多對多的地址轉換，使用TCP/UDP協(xié)議的端口號，私網(wǎng)地址和公網(wǎng)地址之間建立了多對多的映射關系，內(nèi)網(wǎng)中多個主機共享多個公網(wǎng)IP訪問外部網(wǎng)絡。

三、NAT 技術在運營商城域網(wǎng)中的應用

在運營商網(wǎng)絡環(huán)境，NAT必須支持網(wǎng)絡流量的大規(guī)模NAT轉換及上網(wǎng)日志的溯源，支持對TCP、UDP等報文的網(wǎng)絡地址轉換，支持限制并發(fā)session數(shù)。運營商在NAT功能實現(xiàn)時，通常采用動態(tài)端口分配或靜態(tài)端口分配。

采用動態(tài)端口分配方式時，用戶的每個session都隨機分配公網(wǎng)地址的端口，先來先得。但該方案一方面對用戶端口占用缺乏合理控制，少數(shù)用戶可能會占用大量公網(wǎng)端口；另一方面用戶的地址端口分配不連續(xù)，造成用戶溯源困難，且日志量較大。

靜態(tài)端口分配方式為每用戶分配300左右的端口，同時為便于溯源，為每個用戶分配固定的公網(wǎng)地址和端口號，用戶上網(wǎng)時使用唯一的公網(wǎng)地址及端口段，該方式無需基于每Session記錄日志信息，可大幅減少日志量，降低志系統(tǒng)壓力。

根據(jù)NAT設備所處的位置，有集中式和分布式兩種部署方案可以選擇。

3.1建設方案一 ：集中式

在某省移動CMNET省網(wǎng)出口部署一套NAT，集中為全網(wǎng)提供地址轉換功能。當私有地址的業(yè)務數(shù)據(jù)到達省網(wǎng)核心后，會通過配置的策略路由到達NAT設備，經(jīng)NAT設備將私網(wǎng)IP轉換為公網(wǎng)IP，使用公網(wǎng)的業(yè)務數(shù)據(jù)路由保持現(xiàn)狀，不經(jīng)過NAT設備進行路由的迂回。

3.1.1對DPI系統(tǒng)的影響及解決方案

DPI系統(tǒng)部署在省網(wǎng)出口時，通過IP地址識別用戶，實現(xiàn)各種業(yè)務功能。NAT引入后，現(xiàn)有網(wǎng)絡中將同時存在NAT用戶和非NAT用戶，DPI系統(tǒng)采集到的用戶數(shù)據(jù)是已經(jīng)經(jīng)過地址轉換后的數(shù)據(jù)，系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶建立一一對應關系，VOIP監(jiān)控、用戶行為分析、網(wǎng)站訪問分析功能、廣告推送等單用戶業(yè)務將受到影響。為此，需要考慮解決方案：修改系統(tǒng)軟件，通過靜態(tài)地址塊分配，與AAA，NAT設備同步，建立私網(wǎng)地址、用戶帳號、公網(wǎng)地址 +端口號之間的對應關系。

3.1.2溯源方案

離線溯源，且需建設syslog日志系統(tǒng)，留存NAT設備的日志。安全機構通過查詢log server和AAA，獲取用戶上網(wǎng)訪問信息，定位用戶。用戶上網(wǎng)流程和溯源方案如下：

用戶通過認證后，BRAS為用戶分配私網(wǎng)IPV4地址，并上報地址信息給AAA系統(tǒng)。AAA系統(tǒng)維護用戶的私網(wǎng)地址、用戶名、域名、所屬BRAS等信息。用戶要訪問互聯(lián)網(wǎng)時，請求信息到達NAT設備，NAT設備為用戶分配公網(wǎng)IPV4地址及端口號，從而通過公網(wǎng)地址訪問，NAT設備將地址轉換信息上報log server。

當用戶的非法訪問互聯(lián)網(wǎng)行為時，安全機構能夠知道用戶的公網(wǎng)IP地址信息和端口號、時間段。根據(jù)這三個信息，再查詢log server，找出對應的私網(wǎng)IP地址，然后根據(jù)私網(wǎng)IP地址和時間段信息，查詢AAA，找到私網(wǎng)地址跟用戶賬號的對應關系，定位到具體用戶。

3.2建設方案二：分布式

采用BRAS插卡方式部署，兩臺BRAS之間啟用VRRP協(xié)議，跟蹤BRAS整機狀態(tài)、下行鏈路狀態(tài)、NAT板卡狀態(tài)切換。主備用公網(wǎng)地址向CR發(fā)布路由，主用COST值低，保證回程流量向主用BRAS轉發(fā)，切換后主設備會自動增加COST值，保證流量到達，主用公網(wǎng)地址和備用公網(wǎng)地址一致。BRAS NAT可以負載均衡，規(guī)劃不同的OLT以不同的BRAS為主即可。

3.2.1省網(wǎng)DPI系統(tǒng)的影響及解決方案

分布式NAT方案部署的情況下，DPI系統(tǒng)采集到的用戶數(shù)據(jù)是已經(jīng)經(jīng)過地址轉換后的數(shù)據(jù)，系統(tǒng)所獲取的公網(wǎng)IP地址將不再能夠跟原始用戶建立一一對應關系，VOIP監(jiān)控、用戶行為分析、網(wǎng)站訪問分析功能、廣告推送等故單用戶業(yè)務將受到影響。

不受影響的業(yè)務包括：流量流向分析、流量鏡像。為此，需要修改系統(tǒng)軟件，通過靜態(tài)地址塊分配，與AAA、NAT設備同步，建立私網(wǎng)地址、用戶帳號、公網(wǎng)地址 +端口號之間的對應關系。

3.2.2溯源方案

首先對AAA進行改造，使之能記錄公網(wǎng)IP +端口號信息，由BRAS 生成用戶地址映射關系，通過Port-range方式為用戶地址選擇公有地址及端口塊，創(chuàng)建用戶地址映射關系，并擴展Radius屬性，在accounting-Request消息中上報用戶地址對應的公有地址、端口塊等信息。AAA獲得用戶地址、公有地址、端口塊等信息，并維持與用戶信息的對應關系，無需專用LOG Server。

當某用戶非法訪問互聯(lián)網(wǎng)時，通過查詢AAA，通過公網(wǎng)地址+端口號+時間段，查找到對應的賬號，定位到具體用戶。

四、小結

在城域網(wǎng)部署NAT時，建議根據(jù)現(xiàn)網(wǎng)流量、用戶數(shù)、私網(wǎng)地址、用戶分布等等，選擇合理的網(wǎng)絡位置。在城域網(wǎng)小規(guī)模部署階段，可采用增加NAT業(yè)務插卡方式緩解局部區(qū)域IPv4地址不足的問題。當NAT部署規(guī)模的擴大至整個寬帶城域網(wǎng)范圍，從設備性能、設備可擴展能力、設備專業(yè)成熟度等多方面考慮，建議采用專業(yè)的獨立式大規(guī)模NAT設備。

參 考 文 獻

[1] 陳杰. IPv6過渡的NAT技術[D]. 南京郵電大學 2013

[2] 王明明. 運營商IPv4至IPv6過渡技術方案探討[J]. 電信工程技術與標準化. 2016（11）