運營級NAT44系統部署探討

張鉦林

【摘要】 隨著全球IPv4地址分配完畢，IP地址短缺問題日益嚴重。鑒于IPv6的規模應用尚需時日，為正常發展業務，運營商在網絡中引入了NAT44部署。本文針對NAT44部署相關策略、路由策略、用戶溯源等進行分析，并給出相應的部署建議。

【關鍵詞】 IP地址 NAT44 用戶溯源

一、前言

隨著互聯網快速發展、智能終端的大量出現，對IP地址需求越來越大，現有IPv4地址已難以支撐網絡和業務發展需求，2011年2月互聯網名稱與數字地址分配機構（ICANN）公布全球IPv4地址已分配完畢，由于歷史原因，中國所擁有的IPv4地址資源有限（截止2010年6月IPv4地址數量約2.5億，遠落后于當時4.2億網民的需求），IPv4地址不足已成為國內各運營商業務發展關鍵瓶頸。

由于IPv6規模商用尚需時日，為解決用戶發展與IP地址不足間的矛盾，運營商需要在網絡內部署NAT44，運營級NAT44的部署可有效擴展公有IP地址使用效率，解決用戶地址不足的問題。本文通過結合某運營商現網運維的經驗，對運營級NAT44的部署方案，路由策略、端口及IP地址使用策略，以及用戶溯源等進行探討。

二、運營級NAT44系統組成

在運營級NAT44系統中，主要由NAT設備、BRAS（AC）、AAA、DPI、日志系統（Log Server）、等構成如圖1的拓撲結構：

圖1 NAT44架構

網絡設備：

NAT設備：提供運營商級的NAT轉換功能，將用戶私有地址轉換為公有地址，同時需要將NAT轉換日志上傳給日志系統（Log Server）。

BRAS：負責接入終端，并配合AAA完成用戶認證、授權和用戶計費。

日志留存相關設備：

AAA：負責用戶認證、授權和計費，記錄和維護用戶計費和賬號等信息。AAA服務器可記錄用戶私有地址與賬號的對應關系。

DPI（Deep Packet Inspection，深度包檢測）：負責完成用戶URL記錄的抓取，并上傳給Log Server。

日志系統（Log Server）：接收和記錄用戶訪問信息、NAT日志和Radius日志，生成用戶溯源信息。

三、NAT設備主要部署方案

目前NAT44部署方式主要有獨立設備和插卡兩種方式：獨立NAT設備旁掛網絡設備，NAT插卡作為板卡插入現網設備。

在實際部署中，NAT設備部署在IP城域網網出口或省出口層面，形成集中式部署方式；部署在BRAS或AC層面，形成分布式部署方式。

NAT設備在運營商網絡中有以下三種典型部署場景：（圖2）

省核心路由器旁掛NAT設備（適用于網絡未扁平化運營商）：NAT設備作為獨立設備，集中式旁掛在省網核心路由器；

IP城域網核心路由器旁掛NAT設備：NAT設備作為獨立設備，集中式旁掛在IP城域網核心；

BRAS/AC分布式插NAT板卡：NAT設備作為板卡，插入B RAS、AC等設備。

三種方式特點及應用場景如下：

表1 NAT設備部署方式對比

類別 集中部署（省網核心旁掛） 集中部署（城域核心旁掛） 分布式插卡

部署場景 用戶規模較小省（并發50萬以下），且網絡未扁平化 用戶規模較大地市（并發10萬以上） 少量地區需做NAT時（單點并發用戶在1萬以下）

對網絡路由影響 一般采用策略路由引導，僅對省核心路由器有影響 一般采用策略路由引導，僅對城域核心路由器有影響 無影響

可靠性 高，可實現session級備份，同時NAT設備間可實現

N：1備份 高，可實現session級備份，同時NAT設備間可實現

N：1備份 一般，需要同BRAS備份相結合

標準化程度 高，源于防火墻，各運營商有相應標準，且進行了相應集采 高，源于防火墻，各運營商有相應標準，且進行了相應集采 和BRAS設備捆綁，透明度不高

運營商可根據自身網絡特點選擇相應部署方式，隨著運營商需要做NAT規模擴展，以及網絡扁平化趨勢，方式二：集中部署（城域網核心旁掛）將是主流架構。下述章節將對方式二：集中部署（城域網核心旁掛）相關組網細節進行分析。

3.1 NAT設備組網方式

NAT設備旁掛于IP城域網核心（以下簡稱CR），在實際部署中，可根據傳輸資源選擇NAT雙歸部署或單歸屬部署，具體如下圖所示：

圖3 NAT設備組網示意

雙歸屬連接：2臺NAT設備建議分別雙歸連接到兩臺核心路由器，2臺NAT設備之間形成備份關系，此組網方式安全性較高，推薦采用；

單歸屬連接：在核心路由器之間光纖資源或傳輸資源不足的情況下，可以選擇NAT設備單歸連接到核心路由器的組網方式。

3.2 路由規劃建議

（1）對于出網流量：

對于出網流量，建議在CR上配置策略路由，對于源地址需要NAT轉換的流量，下一跳指向NAT設備，由NAT設備負責完成地址轉換；

對于NAT轉換后的流量，通過靜態路由回注到核心路由器；

如條件具備（現階段需要2臺NAT設備同廠家且同型號），建議兩臺NAT設備間開通會話同步；若兩臺NAT設備間未做會話同步，為避免同一用戶一個應用出現不同公網IP以影響部分應用正常使用（例如網銀業務），所有出網流量需根據源地址段（例如將各地市私網段劃分為2個，即IP1和IP2）在城域網中做流量牽引，設備正常工作時將源地址段為IP1的流量引向NAT1，源地址段為IP2的流量引向NAT2。

（2）對于入網流量：

建議動態引流方案：CR上將NAT后公網地址段注入到BGP路由中。

對于NAT轉換后的流量，通過靜態路由回注到核心路由器CR。

另外，NAT設備與核心路由器之間需要開啟IGP路由協議，僅用于通告設備Loopback地址以及內部互聯地址。

（3）如采用單歸屬上連方式，為實現NAT設備間的安全備份，還需進行以下配置：

NAT-1與CR1，CR2與NAT -2、CR1與CR2間互聯口起ISIS（假設IGP為ISIS）單獨進程，NAT-1和NAT-2的LOOPBACK接口使能ISIS。CR1和CR2 間增配一對互聯地址，NAT設備各增配1個32位的loopback地址；

NAT設備的上下行接口需同時關斷。

3.3 地址及端口使用規劃建議

建議采用端口塊固定大小方式，根據某運營商現網統計，平均每用戶會話數在50～120之間，超過512會話的不到2%，因此建議每個私網IP固定分配512個端口號（各運營商可根據實際情況調整）；

2臺NAT設備互為主備，其中正常工作時NAT-1負責IP1源地址段轉換，NAT-2負責IP2源地址段轉換；

為避免設備故障，單臺NAT設備工作時地公網地址不足，NAT-1設備需為IP2預留所需公網地址，NAT-2設備同樣需為IP1預留所需公網地址。

NAT-1和NAT-2采用不同公網地址段。

四、日志溯源方案

NAT44 部署后，用戶使用私有地址，而用戶報文在NAT轉換后的地址與實現源地址不同，應用服務器只能獲得NAT轉換后的公網地址，且同一公網地址對應多個私網地址，此時將無法對用戶進行精確溯源。

根據《工業和信息化部印發<工業和信息化部關于進一步深入整治手機淫穢色情專項行動工作方案>的通知》（工信部電管〔2009〕672號）和《互聯網信息服務管理辦法》（中華人民共和國國務院令2000年第292號）文件對運營商上網日志留存的相關要求，運營商需提供用戶完整的用戶上網日志。因此運營商在進行NAT44部署時，需同步部署NAT日志留存系統。

4.1 基于應用層的用戶溯源系統工作原理

傳統用戶溯源方式一般采用Radius 日志和NAT日志合并溯源方案，采用該種方式可實現“用戶私網地址、私網端口號、公網地址、公網端口號、上下線時間、用戶賬號”信息的記錄，采用該方式對于現網改造較小，是運營商普遍采用方案，但也存在嚴重不足：

該方式未記錄用戶上網信息（URL信息），而目前政府監管部門一般僅提供源公網地址和時間段，此時運營商將無法實現用戶精確溯源。

本文針對傳統用戶溯源方式存在不足，提出一種基于應用層的用戶精確溯源方式，該工作原理如下：

圖4 NAT日志溯源原理

該方案通過在IP城域網出口部署DPI系統，為確保DPI日志信息的完整，DPI系統的部署位置應置于NAT系統之后。（注：Deep Packet Inspection，深度包檢測，是一種基于應用層的流量檢測和控制技術，通過深入讀取IP包載荷的內容來對OSI 7層協議中的應用層信息進行重組，從而得到整個應用程序的內容。）

部署DPI系統后，相關系統輸出日志如下：

NAT44設備：輸出用戶私網地址、私網端口號、源公網地址、源公網端口號、上下線時間；

AAA系統：輸出用戶賬號、私網地址、私網端口號、上下線時間；

DPI系統：輸出用戶源公網地址、源公網地址端口號、目的公網地址、目的公網地址端口號、URL地址、上下線時間。

為實現日志的精確合成，所有系統必須從同一時鐘源獲取基準時間。

NAT日志系統（Log Server），負責采集并解析以上三類日志，根據三類日志中兩兩共有的諸如IP地址、端口號、起止時間等關鍵字段將三者關聯生成用戶上網完整記錄，并提供相應查詢服務。

其工作流程如下圖：

圖5 NAT日志系統（Log Server）工作原理

4.2 日志輸出方式建議

NAT44設備輸出日志分為會話（Session）級和用戶級（PBA），兩者區別在于：

在session級的日志輸出中，每新建一個session觸發日志信息輸出，拆除session時也會觸發日志信息輸出。

在用戶級（PBA）的日志輸出中，用戶新建第一個session時，發送一個日志消息，拆除用戶最后一個session或所有會話維持時間超出老化時間時，再發送一個日志消息，而中間無論新建和拆除session均不發送日志消息。

Session級為傳統方案，一般的防火墻均可實現，但若應用在電信運營商網絡中則有較大問題，Session級日志會產生巨大的日志量，例如以1萬用戶為例：

采用Session級日志輸出：根據某運營商現網統計，單用戶平均產生會話為20個/秒，用戶平均在線率為50%，則一天24小時會產生24*3600*20*0.5=8，640，000萬條日志；

采用用戶級（PBA）日志輸出：同樣根據某運營商現網統計，單用戶每天上線次數均為4次，則一天24小時僅產生4*2=8萬條日志。

由此可看出，采用Session級方式的日志量是用戶級的11萬倍，差距非常大。根據工信部相關要求，日志需留存60天，為節省大量存儲設備投資，建議電信運營商應采用用戶級（PBA）日志方案，在網絡規劃階段提前做好技術要求，并購置支持用戶級（PBA）日志輸出的NAT44設備。

五、結束語

運營級NAT44系統是當前電信運營商解決IPv4地址不足的唯一途徑，它不僅僅是幾臺NAT設備，而是一個完整的體系，通過對NAT44設備、用戶溯源系統的合理部署以及網絡路由的合理規劃，不僅能有效解決運營商業務發展中IP地址瓶頸，同時也能很好地解決NAT部署所帶來的各種安全問題。