1 编制说明根据中国移动IP地址使用及规划现状,针对公有IPv4地址难以满足业务发展需求的情况,考虑通过对部分业务用户地址使用私有IP地址的方式缓解地址不足的压力,特制定中国移动CMNET NAT总体技术方案。本方案根据中国移动的需要,描述运营商级NAT(或称为CGN)的定义、网络部署和功能要求等内容。本方案供中国移动内部使用。 2 概述2.1 NAT功能需求NAT必须适应运营商网络环境,实现如下功能: l 支持运营网络流量的大规模NAT转换; l 支持运营商现有主流业务需求,比如支持用户上网信息的溯源; l 支持NAT设备的管理; 本技术规范重点描述NAT设备的定义、网络部署和设备需要实现的功能要求。 从业务的角度,NAT应支持的功能:a)支持对TCP、UDP、ICMP报文的网络地址转换;b)支持ACL,支持限制并发session数;c)支持log输出,支持SNMP。 在NAT部署中,桥接型用户报文经过一级NAT,路由型用户报文经过多级NAT(其中包括用户CPE的NAT功能)。 2.2 NAT架构在NAT的部署中,NAT设备、BRAS/AC、AAA、DPI、Log Server、NAT前置机等构成如图1的拓扑结构: 图1 NAT架构 l 网络设备: ü NAT设备:提供运营商级的NAT转换功能,将用户私有地址转换为公有地址,同时需要将NAT转换日志上传给NAT前置机。 ü BRAS:负责接入终端,并配合AAA完成用户认证、授权和用户计费。 ü AC:完成AP设备的配置管理、无线用户的认证、管理及安全等控制功能。 l 日志留存系统相关设备: ü NAT前置机:NAT前置机负责把不同NAT设备的不同日志格式标准化,并打包后通过FTP上传给Log server。 ü AAA:负责用户认证、授权和计费,记录和维护用户计费和账号等信息。AAA服务器需要将用户私有地址与账号的对应关系上传到Log Server。 ü Log Server:接收和记录用户访问信息,响应用户访问信息查询。 ü DPI:负责完成用户URL记录的抓取,并上传给Log Server。 l 其他设备: ü 终端:PC、手机等终端设备,完成用户认证,接入IP网络,终端获得IPv4用户地址。 ü 应用服务器:接收用户请求,为用户提供服务。 3 NAT部署3.1 部署概述NAT功能的实现目前有独立设备和插卡两种方式。独立NAT设备旁挂网络设备,NAT插卡作为板卡插入现网设备。NAT设备可以部署在运营商网络流量汇聚点或者业务接入点。在实际部署中,NAT设备部署在城域网出口或省出口层面,形成集中式部署方式;部署在BRAS或AC层面,形成分布式部署方式。 NAT设备在运营商网络中有以下三种典型部署场景(由于增加NAT板卡对核心路由器稳定性带来潜在影响,因此不建议采用核心路由器插NAT板卡方案): 图2 NAT设备的部署方式 图2描述了运营商网络中NAT设备的典型部署方式: l 省汇接路由器旁挂NAT设备:NAT设备作为独立设备,集中式旁挂在省网汇接路由器; l 城域核心路由器旁挂NAT设备:NAT设备作为独立设备,集中式旁挂在城域核心路由器; l BRAS/AC分布式插NAT板卡:NAT设备作为板卡,插入BRAS、AC等设备。 考虑到成本、管理维护、AC对NAT插板及日志输出功能支持情况差等因素,现阶段建议采用核心路由器旁挂独立NAT设备的方案。 规划至2014年底,全省私有地址用户规模小于50万的省份可采用省汇接路由器旁挂独立NAT网关的方案,规划私有地址用户数大于50万的省份应采用城域核心路由器旁挂独立NAT设备的方案。 3.2 组网方案如图3,省网汇接路由器或者城域核心路由器可以采用旁挂方式部署NAT设备。实际部署中,建议采用NAT双归部署方案。 图3 双归方式的NAT集中式部署 省网汇接路由器或者城域核心路由器通过物理端口与NAT设备相连。2台NAT设备建议分别双归连接到两台核心路由器,如图3所示。2台NAT设备之间形成备份关系。 在核心路由器之间光纤资源或传输资源不足的情况下,可以选择NAT设备单归连接到核心路由器的组网方式,如图4所示。2台NAT设备之间形成备份关系。 图4 单归方式的NAT集中式部署 NAT设备实际配置数量根据需要NAT转换的业务流量配置。 3.3 路由策略(1)对于出网流量: l 对于出网流量,核心路由器需要配置策略路由,对于源地址需要NAT转换的流量,下一跳指向NAT设备,由NAT设备负责完成地址转换。 l 对于源地址不需要NAT转换的流量,由核心路由器直接转发。 l 对于NAT转换后的流量,通过动态缺省路由或者静态路由回注到核心路由器。 l 建议城域内部(城域核心旁挂NAT的场景)或者省内部(省核心旁挂NAT的场景)的私有地址访问流量,不经过NAT转换而直接通过私有地址进行访问。 (2)对于入网流量: 有静态引流和动态引流两种方案可供选择,建议采用动态引流方案。 l 静态引流方案:核心路由器可以通过配置静态路由的方式配置NAT公有地址池的路由,将回程流量引流到NAT设备。 l 动态引流方案:NAT网关与核心路由器/路由反射器之间可以开启IBGP路由协议,NAT设备通过IBGP协议将公有地址池通告给核心路由器/路由反射器,以使核心路由器可以将回程流量引流到NAT设备。 l 建议优先采用IBGP引流的方式,避免在核心路由器配置NAT公有地址池。 l 对于NAT转换后的流量,通过动态缺省路由或者静态路由回注到核心路由器。 另外,NAT设备与核心路由器之间需要开启IGP路由协议,仅用于通告设备Loopback地址以及内部互联地址。 3.4 地址规划(1)私有地址规划要求: l 对于城域核心路由器旁挂NAT设备的场景,应在城域网范围内根据业务类型进行私有地址统一规划,保证城域内私有地址分配不重叠。 l 对于省汇接路由器旁挂的NAT设备场景,应在省网范围内根据业务类型进行私有地址统一规划,保证省内私有地址分配不重叠。 l 对于其他业务已经使用的私有地址,要求做到不重叠。 l 鉴于10网段可能存在的潜在问题,建议给用户分配的私有地址采用RFC6598定义的100.64.0.0/10网段。 (2)公有地址规划要求: l 对于核心路由器旁挂的NAT设备工作于主从备份模式时,配置相同的公有地址池。 l 对于核心路由器旁挂的NAT设备工作于负载分担模式时,配置不同的公有地址池。 (3)公有私有地址配置比例: l 建议为单用户分配的端口个数为256个,公有地址与私有地址的比例约为1:250。 3.5 安全备份和负载分担(1)核心路由器旁挂的NAT设备之间需要支持主从备份和负载分担。 (2)对于主从备份,需要支持1:1备份或N:1备份,当一个NAT设备出现故障后,其他NAT设备负责用户流量的NAT转换。 (3)NAT设备之间需要支持负载分担,负载分担策略是按照私有IP地址进行多台NAT设备之间的负载分担。 (4)建议两台NAT设备间采用负载分担的工作模式。 4 功能要求4.1 NAT设备功能要求 图5 NAT设备主要功能 NAT设备主要实现的功能包括: (1)设备管理和配置:支持网管系统对NAT设备进行管理。 (2)Log信息发送:根据定义的格式向Log服务器发送Log信息,必须支持用户级Log信息发送。 (3)NAT转换:由NAT设备根据源地址选择用户地址对应的公有地址、端口,并完成报文源地址、端口转换,并把报文发送到公网。NAT设备需要支持基于端口分块方式复用公有地址池。 4.2 NAT的log服务配置(1)NAT设备支持配置log服务器的地址,定义log格式,以及发送log信息的协议。 (2)用户访问应用服务器,触发log信息输出,必须支持基于用户级的log信息输出,选择支持session级的log信息输出。建议采用用户级的log信息输出。 (3)对于用户级的log输出,用户新建第一个session,发送一个log消息,拆除用户最后一个session,发送一个log消息。用户级的log输出必须支持syslog日志输出方式。 ü 用户级的log输出必须包括如下字段: u 用户地址、公有地址、起始端口、结束端口、动作标识、时间戳; ü 动作标识用于表示是创建第一个session时产生的日志还是拆除最后一个session时产生的日志。 (4) 对于session级的log输出,新建session触发log信息输出,拆除session也触发log信息输出。Session级的log输出必须支持二进制流日志输出方式,选择支持syslog日志输出方式。 ü session级的log输出必须包括如下字段: u 用户地址、用户端口、访问地址、访问端口、公有地址、公有端口、协议类型、动作标识、时间戳; ü 动作标识用于表示是创建session时产生的日志还是拆除session时产生的日志。 5 定义、术语和缩写5.1.1 定义CGN:运营商级NAT,指部署在运营商网络内的NAT转换网关; NAT设备:运营商网内部署的NAT网关设备; NAT用户:通过NAT设备接入的用户; 5.1.2 术语和缩写 AAA 认证(Authentication)、授权(Authorization)和记帐(Accounting)
ACL Access Control List(访问控制列表)
ALG Application Layer Gateway(应用层网关)
BRAS Broadband Remote Access Service(宽带远程接入服务)
CPE Customer Presidial Equipment(用户驻地设备)
DNS
ICMP Internet Control Message Protocol(网际控制报文协议)
IPv4 Internet Protocol Version 4(网际协议第四版)
IPv6 Internet Protocol Version 6(网际协议第六版)
LOG
NAT Nerwork Address Transform(网络地址转换)
SESSION 5.2 引用标准l RFC 3022 Traditional IPNetwork Address Translator (Traditional NAT) l RFC 4787 Network AddressTranslation (NAT) Behavioral Requirements for Unicast UDP l RFC 5382 NAT BehavioralRequirements for TCP l RFC 5508 NAT BehavioralRequirements for ICMP l RFC 5424 The SyslogProtocol l RFC 6598 IANA-ReservedIPv4 Prefix for Shared Address Space l Draft-ietf-behave-lsn-requirements l draft-nishitani-cgn l draft-shirasaki-NAT444 l draft-shirasaki-NAT444-isp-shared-addr
|