论文部分内容阅读
【摘要】 采用NAT技术可以有效解决运营商目前在城域网WLAN和家宽业务中IP地址紧缺的问题。本文详细阐述了NAT部署方案,并对关键问题进行了分析。
【关键词】 NAT IPV6过渡 溯源
一、引言
随着互联网业务的快速发展,各运营商已迈出IPv6演进的脚步,但目前无法短期内完成IPv4到IPv6的过渡。当前解决IP地址短缺的有效方法就是做NAT转换,该技术的核心就是要把一个私有地址域里的地址转换为可路由的全局因特网地址。
二、NAT 技术
NAT (Network Address Translation)即网络地址转换,通过改变IP报文中的源或目的地址,使一个局域网中的多台主机使用少量的合法地址访问外网资源;也可应用到防火墙技术里,把个别IP隐藏起来不被外界发现,使外界无法直接访问内部网络设备,起到安全保护的作用。NAT 技术的类型主要有以下三种:
静态NAT:
一个私网IP只能被永久映射成外网中的一个合法的地址。
PAT(Port Address Translation):
多对一的地址转换,通过 “地址+端口”的映射实现,使用TCP/UDP协议端口号,区分不同的内部网地址,使内网的多个主机共用一个公网IP访问外部网络。
NPAT(Nat &PAT):
多对多的地址转换,使用TCP/UDP协议的端口号,私网地址和公网地址之间建立了多对多的映射关系,内网中多个主机共享多个公网IP访问外部网络。
三、NAT 技术在运营商城域网中的应用
在運营商网络环境,NAT必须支持网络流量的大规模NAT转换及上网日志的溯源,支持对TCP、UDP等报文的网络地址转换,支持限制并发session数。运营商在NAT功能实现时,通常采用动态端口分配或静态端口分配。
采用动态端口分配方式时,用户的每个session都随机分配公网地址的端口,先来先得。但该方案一方面对用户端口占用缺乏合理控制,少数用户可能会占用大量公网端口;另一方面用户的地址端口分配不连续,造成用户溯源困难,且日志量较大。
静态端口分配方式为每用户分配300左右的端口,同时为便于溯源,为每个用户分配固定的公网地址和端口号,用户上网时使用唯一的公网地址及端口段,该方式无需基于每Session记录日志信息,可大幅减少日志量,降低志系统压力。
根据NAT设备所处的位置,有集中式和分布式两种部署方案可以选择。
3.1建设方案一 :集中式
在某省移动CMNET省网出口部署一套NAT,集中为全网提供地址转换功能。当私有地址的业务数据到达省网核心后,会通过配置的策略路由到达NAT设备,经NAT设备将私网IP转换为公网IP,使用公网的业务数据路由保持现状,不经过NAT设备进行路由的迂回。
3.1.1对DPI系统的影响及解决方案
DPI系统部署在省网出口时,通过IP地址识别用户,实现各种业务功能。NAT引入后,现有网络中将同时存在NAT用户和非NAT用户,DPI系统采集到的用户数据是已经经过地址转换后的数据,系统所获取的公网IP地址将不再能够跟原始用户建立一一对应关系,VOIP监控、用户行为分析、网站访问分析功能、广告推送等单用户业务将受到影响。为此,需要考虑解决方案:修改系统软件,通过静态地址块分配,与AAA,NAT设备同步,建立私网地址、用户帐号、公网地址 +端口号之间的对应关系。
3.1.2溯源方案
离线溯源,且需建设syslog日志系统,留存NAT设备的日志。安全机构通过查询log server和AAA,获取用户上网访问信息,定位用户。用户上网流程和溯源方案如下:
用户通过认证后,BRAS为用户分配私网IPV4地址,并上报地址信息给AAA系统。AAA系统维护用户的私网地址、用户名、域名、所属BRAS等信息。用户要访问互联网时,请求信息到达NAT设备,NAT设备为用户分配公网IPV4地址及端口号,从而通过公网地址访问,NAT设备将地址转换信息上报log server。
当用户的非法访问互联网行为时,安全机构能够知道用户的公网IP地址信息和端口号、时间段。根据这三个信息,再查询log server,找出对应的私网IP地址,然后根据私网IP地址和时间段信息,查询AAA,找到私网地址跟用户账号的对应关系,定位到具体用户。
3.2建设方案二:分布式
采用BRAS插卡方式部署,两台BRAS之间启用VRRP协议,跟踪BRAS整机状态、下行链路状态、NAT板卡状态切换。主备用公网地址向CR发布路由,主用COST值低,保证回程流量向主用BRAS转发,切换后主设备会自动增加COST值,保证流量到达,主用公网地址和备用公网地址一致。BRAS NAT可以负载均衡,规划不同的OLT以不同的BRAS为主即可。
3.2.1省网DPI系统的影响及解决方案
分布式NAT方案部署的情况下,DPI系统采集到的用户数据是已经经过地址转换后的数据,系统所获取的公网IP地址将不再能够跟原始用户建立一一对应关系,VOIP监控、用户行为分析、网站访问分析功能、广告推送等故单用户业务将受到影响。
不受影响的业务包括:流量流向分析、流量镜像。为此,需要修改系统软件,通过静态地址块分配,与AAA、NAT设备同步,建立私网地址、用户帐号、公网地址 +端口号之间的对应关系。
3.2.2溯源方案
首先对AAA进行改造,使之能记录公网IP +端口号信息,由BRAS 生成用户地址映射关系,通过Port-range方式为用户地址选择公有地址及端口块,创建用户地址映射关系,并扩展Radius属性,在accounting-Request消息中上报用户地址对应的公有地址、端口块等信息。AAA获得用户地址、公有地址、端口块等信息,并维持与用户信息的对应关系,无需专用LOG Server。
当某用户非法访问互联网时,通过查询AAA,通过公网地址+端口号+时间段,查找到对应的账号,定位到具体用户。
四、小结
在城域网部署NAT时,建议根据现网流量、用户数、私网地址、用户分布等等,选择合理的网络位置。在城域网小规模部署阶段,可采用增加NAT业务插卡方式缓解局部区域IPv4地址不足的问题。当NAT部署规模的扩大至整个宽带城域网范围,从设备性能、设备可扩展能力、设备专业成熟度等多方面考虑,建议采用专业的独立式大规模NAT设备。
参 考 文 献
[1] 陈杰. IPv6过渡的NAT技术[D]. 南京邮电大学 2013
[2] 王明明. 运营商IPv4至IPv6过渡技术方案探讨[J]. 电信工程技术与标准化. 2016(11)
【关键词】 NAT IPV6过渡 溯源
一、引言
随着互联网业务的快速发展,各运营商已迈出IPv6演进的脚步,但目前无法短期内完成IPv4到IPv6的过渡。当前解决IP地址短缺的有效方法就是做NAT转换,该技术的核心就是要把一个私有地址域里的地址转换为可路由的全局因特网地址。
二、NAT 技术
NAT (Network Address Translation)即网络地址转换,通过改变IP报文中的源或目的地址,使一个局域网中的多台主机使用少量的合法地址访问外网资源;也可应用到防火墙技术里,把个别IP隐藏起来不被外界发现,使外界无法直接访问内部网络设备,起到安全保护的作用。NAT 技术的类型主要有以下三种:
静态NAT:
一个私网IP只能被永久映射成外网中的一个合法的地址。
PAT(Port Address Translation):
多对一的地址转换,通过 “地址+端口”的映射实现,使用TCP/UDP协议端口号,区分不同的内部网地址,使内网的多个主机共用一个公网IP访问外部网络。
NPAT(Nat &PAT):
多对多的地址转换,使用TCP/UDP协议的端口号,私网地址和公网地址之间建立了多对多的映射关系,内网中多个主机共享多个公网IP访问外部网络。
三、NAT 技术在运营商城域网中的应用
在運营商网络环境,NAT必须支持网络流量的大规模NAT转换及上网日志的溯源,支持对TCP、UDP等报文的网络地址转换,支持限制并发session数。运营商在NAT功能实现时,通常采用动态端口分配或静态端口分配。
采用动态端口分配方式时,用户的每个session都随机分配公网地址的端口,先来先得。但该方案一方面对用户端口占用缺乏合理控制,少数用户可能会占用大量公网端口;另一方面用户的地址端口分配不连续,造成用户溯源困难,且日志量较大。
静态端口分配方式为每用户分配300左右的端口,同时为便于溯源,为每个用户分配固定的公网地址和端口号,用户上网时使用唯一的公网地址及端口段,该方式无需基于每Session记录日志信息,可大幅减少日志量,降低志系统压力。
根据NAT设备所处的位置,有集中式和分布式两种部署方案可以选择。
3.1建设方案一 :集中式
在某省移动CMNET省网出口部署一套NAT,集中为全网提供地址转换功能。当私有地址的业务数据到达省网核心后,会通过配置的策略路由到达NAT设备,经NAT设备将私网IP转换为公网IP,使用公网的业务数据路由保持现状,不经过NAT设备进行路由的迂回。
3.1.1对DPI系统的影响及解决方案
DPI系统部署在省网出口时,通过IP地址识别用户,实现各种业务功能。NAT引入后,现有网络中将同时存在NAT用户和非NAT用户,DPI系统采集到的用户数据是已经经过地址转换后的数据,系统所获取的公网IP地址将不再能够跟原始用户建立一一对应关系,VOIP监控、用户行为分析、网站访问分析功能、广告推送等单用户业务将受到影响。为此,需要考虑解决方案:修改系统软件,通过静态地址块分配,与AAA,NAT设备同步,建立私网地址、用户帐号、公网地址 +端口号之间的对应关系。
3.1.2溯源方案
离线溯源,且需建设syslog日志系统,留存NAT设备的日志。安全机构通过查询log server和AAA,获取用户上网访问信息,定位用户。用户上网流程和溯源方案如下:
用户通过认证后,BRAS为用户分配私网IPV4地址,并上报地址信息给AAA系统。AAA系统维护用户的私网地址、用户名、域名、所属BRAS等信息。用户要访问互联网时,请求信息到达NAT设备,NAT设备为用户分配公网IPV4地址及端口号,从而通过公网地址访问,NAT设备将地址转换信息上报log server。
当用户的非法访问互联网行为时,安全机构能够知道用户的公网IP地址信息和端口号、时间段。根据这三个信息,再查询log server,找出对应的私网IP地址,然后根据私网IP地址和时间段信息,查询AAA,找到私网地址跟用户账号的对应关系,定位到具体用户。
3.2建设方案二:分布式
采用BRAS插卡方式部署,两台BRAS之间启用VRRP协议,跟踪BRAS整机状态、下行链路状态、NAT板卡状态切换。主备用公网地址向CR发布路由,主用COST值低,保证回程流量向主用BRAS转发,切换后主设备会自动增加COST值,保证流量到达,主用公网地址和备用公网地址一致。BRAS NAT可以负载均衡,规划不同的OLT以不同的BRAS为主即可。
3.2.1省网DPI系统的影响及解决方案
分布式NAT方案部署的情况下,DPI系统采集到的用户数据是已经经过地址转换后的数据,系统所获取的公网IP地址将不再能够跟原始用户建立一一对应关系,VOIP监控、用户行为分析、网站访问分析功能、广告推送等故单用户业务将受到影响。
不受影响的业务包括:流量流向分析、流量镜像。为此,需要修改系统软件,通过静态地址块分配,与AAA、NAT设备同步,建立私网地址、用户帐号、公网地址 +端口号之间的对应关系。
3.2.2溯源方案
首先对AAA进行改造,使之能记录公网IP +端口号信息,由BRAS 生成用户地址映射关系,通过Port-range方式为用户地址选择公有地址及端口块,创建用户地址映射关系,并扩展Radius属性,在accounting-Request消息中上报用户地址对应的公有地址、端口块等信息。AAA获得用户地址、公有地址、端口块等信息,并维持与用户信息的对应关系,无需专用LOG Server。
当某用户非法访问互联网时,通过查询AAA,通过公网地址+端口号+时间段,查找到对应的账号,定位到具体用户。
四、小结
在城域网部署NAT时,建议根据现网流量、用户数、私网地址、用户分布等等,选择合理的网络位置。在城域网小规模部署阶段,可采用增加NAT业务插卡方式缓解局部区域IPv4地址不足的问题。当NAT部署规模的扩大至整个宽带城域网范围,从设备性能、设备可扩展能力、设备专业成熟度等多方面考虑,建议采用专业的独立式大规模NAT设备。
参 考 文 献
[1] 陈杰. IPv6过渡的NAT技术[D]. 南京邮电大学 2013
[2] 王明明. 运营商IPv4至IPv6过渡技术方案探讨[J]. 电信工程技术与标准化. 2016(11)