NAT技術在運營商城域網中的應用研究

祁鈺+孫加余+黃英波

【摘要】 采用NAT技術可以有效解決運營商目前在城域網WLAN和家寬業務中IP地址緊缺的問題。本文詳細闡述了NAT部署方案，并對關鍵問題進行了分析。

【關鍵詞】 NAT IPV6過渡 溯源

一、引言

隨著互聯網業務的快速發展，各運營商已邁出IPv6演進的腳步，但目前無法短期內完成IPv4到IPv6的過渡。當前解決IP地址短缺的有效方法就是做NAT轉換，該技術的核心就是要把一個私有地址域里的地址轉換為可路由的全局因特網地址。

二、NAT 技術

NAT （Network Address Translation）即網絡地址轉換，通過改變IP報文中的源或目的地址，使一個局域網中的多臺主機使用少量的合法地址訪問外網資源；也可應用到防火墻技術里，把個別IP隱藏起來不被外界發現，使外界無法直接訪問內部網絡設備，起到安全保護的作用。NAT 技術的類型主要有以下三種：

靜態NAT：

一個私網IP只能被永久映射成外網中的一個合法的地址。

PAT（Port Address Translation）：

多對一的地址轉換，通過 “地址+端口”的映射實現，使用TCP/UDP協議端口號，區分不同的內部網地址，使內網的多個主機共用一個公網IP訪問外部網絡。

NPAT（Nat &PAT）：

多對多的地址轉換，使用TCP/UDP協議的端口號，私網地址和公網地址之間建立了多對多的映射關系，內網中多個主機共享多個公網IP訪問外部網絡。

三、NAT 技術在運營商城域網中的應用

在運營商網絡環境，NAT必須支持網絡流量的大規模NAT轉換及上網日志的溯源，支持對TCP、UDP等報文的網絡地址轉換，支持限制并發session數。運營商在NAT功能實現時，通常采用動態端口分配或靜態端口分配。

采用動態端口分配方式時，用戶的每個session都隨機分配公網地址的端口，先來先得。但該方案一方面對用戶端口占用缺乏合理控制，少數用戶可能會占用大量公網端口；另一方面用戶的地址端口分配不連續，造成用戶溯源困難，且日志量較大。

靜態端口分配方式為每用戶分配300左右的端口，同時為便于溯源，為每個用戶分配固定的公網地址和端口號，用戶上網時使用唯一的公網地址及端口段，該方式無需基于每Session記錄日志信息，可大幅減少日志量，降低志系統壓力。

根據NAT設備所處的位置，有集中式和分布式兩種部署方案可以選擇。

3.1建設方案一 ：集中式

在某省移動CMNET省網出口部署一套NAT，集中為全網提供地址轉換功能。當私有地址的業務數據到達省網核心后，會通過配置的策略路由到達NAT設備，經NAT設備將私網IP轉換為公網IP，使用公網的業務數據路由保持現狀，不經過NAT設備進行路由的迂回。

3.1.1對DPI系統的影響及解決方案

DPI系統部署在省網出口時，通過IP地址識別用戶，實現各種業務功能。NAT引入后，現有網絡中將同時存在NAT用戶和非NAT用戶，DPI系統采集到的用戶數據是已經經過地址轉換后的數據，系統所獲取的公網IP地址將不再能夠跟原始用戶建立一一對應關系，VOIP監控、用戶行為分析、網站訪問分析功能、廣告推送等單用戶業務將受到影響。為此，需要考慮解決方案：修改系統軟件，通過靜態地址塊分配，與AAA，NAT設備同步，建立私網地址、用戶帳號、公網地址 +端口號之間的對應關系。

3.1.2溯源方案

離線溯源，且需建設syslog日志系統，留存NAT設備的日志。安全機構通過查詢log server和AAA，獲取用戶上網訪問信息，定位用戶。用戶上網流程和溯源方案如下：

用戶通過認證后，BRAS為用戶分配私網IPV4地址，并上報地址信息給AAA系統。AAA系統維護用戶的私網地址、用戶名、域名、所屬BRAS等信息。用戶要訪問互聯網時，請求信息到達NAT設備，NAT設備為用戶分配公網IPV4地址及端口號，從而通過公網地址訪問，NAT設備將地址轉換信息上報log server。

當用戶的非法訪問互聯網行為時，安全機構能夠知道用戶的公網IP地址信息和端口號、時間段。根據這三個信息，再查詢log server，找出對應的私網IP地址，然后根據私網IP地址和時間段信息，查詢AAA，找到私網地址跟用戶賬號的對應關系，定位到具體用戶。

3.2建設方案二：分布式

采用BRAS插卡方式部署，兩臺BRAS之間啟用VRRP協議，跟蹤BRAS整機狀態、下行鏈路狀態、NAT板卡狀態切換。主備用公網地址向CR發布路由，主用COST值低，保證回程流量向主用BRAS轉發，切換后主設備會自動增加COST值，保證流量到達，主用公網地址和備用公網地址一致。BRAS NAT可以負載均衡，規劃不同的OLT以不同的BRAS為主即可。

3.2.1省網DPI系統的影響及解決方案

分布式NAT方案部署的情況下，DPI系統采集到的用戶數據是已經經過地址轉換后的數據，系統所獲取的公網IP地址將不再能夠跟原始用戶建立一一對應關系，VOIP監控、用戶行為分析、網站訪問分析功能、廣告推送等故單用戶業務將受到影響。

不受影響的業務包括：流量流向分析、流量鏡像。為此，需要修改系統軟件，通過靜態地址塊分配，與AAA、NAT設備同步，建立私網地址、用戶帳號、公網地址 +端口號之間的對應關系。

3.2.2溯源方案

首先對AAA進行改造，使之能記錄公網IP +端口號信息，由BRAS 生成用戶地址映射關系，通過Port-range方式為用戶地址選擇公有地址及端口塊，創建用戶地址映射關系，并擴展Radius屬性，在accounting-Request消息中上報用戶地址對應的公有地址、端口塊等信息。AAA獲得用戶地址、公有地址、端口塊等信息，并維持與用戶信息的對應關系，無需專用LOG Server。

當某用戶非法訪問互聯網時，通過查詢AAA，通過公網地址+端口號+時間段，查找到對應的賬號，定位到具體用戶。

四、小結

在城域網部署NAT時，建議根據現網流量、用戶數、私網地址、用戶分布等等，選擇合理的網絡位置。在城域網小規模部署階段，可采用增加NAT業務插卡方式緩解局部區域IPv4地址不足的問題。當NAT部署規模的擴大至整個寬帶城域網范圍，從設備性能、設備可擴展能力、設備專業成熟度等多方面考慮，建議采用專業的獨立式大規模NAT設備。

參 考 文 獻

[1] 陳杰. IPv6過渡的NAT技術[D]. 南京郵電大學 2013

[2] 王明明. 運營商IPv4至IPv6過渡技術方案探討[J]. 電信工程技術與標準化. 2016（11）