城域網NAT444運維管理研究

邱楊 傅岱松

【摘要】 介紹城域網部署了NAT444之后，城域網針對NAT444用戶運維管理方案。

【關鍵字】 城域網 NAT444 CGN 運維管理

一、引言

全球公網IPV4 地址已經在2011年分配殆盡，這幾年來我國幾大運營商已經沒有可用的公網IPV4地址分配，當前我國運營商解決IPV4地址不足的問題，主要通過NAT444、IPV6雙棧、DS-LITE等方法解決。

由于目前我國絕大部分互聯網應用仍然以IPV4為主，所以IPV6雙棧以及DS-LITE解決方法從解決IPV4地址不足問題，因此NAT444成為各大運營商解決當前IPV4地址不足問題的首選辦法。

NAT444部署之后，用戶的上網流量走向以及流程進行了一定的變化，對城域網的運維產生了新的要求。本文主要探討NAT444部署之后，城域網相關運維管理方法，主要從NAT444用戶溯源、NAT端口塊大小臨時調整、私網用戶轉為公網用戶等幾個方面進行研究。

二、用戶溯源

NAT444業務部署之后，用戶訪問internet，在internet上訪問記錄中留下的為NAT轉換后的公網IP地址信息，并非用戶的內部私網IP地址信息，為了有效的跟蹤用戶信息，需要建設一套溯源系統。溯源系統需要從AAA搜集某個時刻用戶的帳號和分配的分配的私網IP地址信息，并從CGN設備上報的log上獲得這個時刻公網地址和私網地址的映射關系，結合以上2個步驟的信息，綜合判斷出這個時刻公網上某個IP+端口當前為哪個帳戶在使用。

NAT444業務溯源方案有以下四種。

方案一：采用由CGN設備在建立端口映射關系后，發送syslog日志信息的方式，將端口/端口段映射關系發送到日志服務器，AAA系統在接收溯源請求后，通過syslog服務器查詢到動態地址映射關系，從而完成地址溯源；

方案二：CGN設備通過Radius報文方式將用戶的動態端口映射關系上報到AAA系統，由AAA系統記錄到用戶在線信息表和原始話單中，當AAA系統接收到溯源請求后，直接查詢在線用戶信息表或原始話單，返回溯源結果；

方案三：CGN設備采用Radius報文方式將用戶動態端口映射關系上報到Log服務器，AAA系統在接收溯源請求后，通過syslog服務器查詢動態地址映射關系，完成地址溯源；

方案四：AAA與CGN通過網管系統下發參數，并執行相同的端口映射生成算法。在地址溯源過程中，CGN與AAA系統之間不需要傳遞映射關系，直接實現對地址的溯源。

在以上四種方案中，方案一和方案三需要新建溯源日志服務器。

三、端口塊大小臨時調整

當用戶分配的公網端口耗盡時，如果用戶還有應用流量需要訪問internet，則CGN會將這些流量Drop，用戶應用不能使用，這時候部分用戶可能會投訴，為了解決這一問題，通過以下方法臨時增大其公網端口塊的長度。

對于插卡式CGN設備，臨時調整公網端口塊的大小有兩種方式：

BRAS上的NAT配置和domain相關聯，可以在BRAS上直接修改NAT配置模板中用戶端口塊大小，不過這種方法會影響整個domain下所有用戶的端口塊大小。

通過AAA下發RADIUS擴展屬性調整端口塊的大小，RADIUS擴展屬性中有一項可以下發用戶的端口塊大小。

四、私網用戶調整為公網

NAT444業務模型中，CGN設備作為ALG網關，目前大部分應用應用比如HTTP、FTP、BT都可以順利穿透ALG網關，但是并非所有的業務都可以順利通過CGN ALG網關。當用戶有某個應用不能使用時候，可能會進行投訴，在這種情況下需要臨時將用戶調整為公網用戶。

BRAS調整方法為：

如果用戶是通過PPPOE撥號，可以在AAA上停止在RADIUS報文中下發用戶的私網域信息，使BRAS按照原來用戶撥號的公網域進行公網地址下發。對于DHCP獲取IP的WIFI用戶，只能引導其使用PPPOE撥號，通過AAA上停止在RADIUS報文中下發用戶的私網域信息方式調整。

五、結束語

NAT444的部署增加了城域網故障排障難度，必須要有一套合理的運維管理方案，才可以保障NAT444用戶的平穩運行，以及在出現故障和投訴之后迅速解決問題。

參 考 文 獻

[1] RFC 7289文檔，Carrier-Grade NAT （CGN） Deployment

with BGP/MPLS IP VPNs，http：//www.ietf.org/rfc/rfc7289

[2]RFC7422文檔，Deterministic Address Mapping to Reduce Logging in Carrier-Grade NAT Deployments， http：//www.ietf.org/ rfc/rfc7422

[3]中國電信，NAT444獨立設備技術規范 2011