蘇紅環(huán),張俊華,于慧敏

（中國移動通信集團設計院有限公司黑龍江分公司，哈爾濱 150080）

1 背景

2011年，IANA及APNIC的IPv4地址已經(jīng)分配完畢，這意味著中國能夠獲取的IPv4地址上限基本上就是當時已經(jīng)申請到的地址總量。與此同時，中國的IP地址需求量還在迅速增加，以及隨著WLAN業(yè)務、移動互聯(lián)網(wǎng)、三網(wǎng)融合及物聯(lián)網(wǎng)（相關(guān)機構(gòu)預計2年內(nèi)將出現(xiàn)大約700萬物聯(lián)網(wǎng)在線終端）的發(fā)展，越來越多的終端設備和用戶需要隨時在線，未來LTE終端將會實現(xiàn)永久在線，這些都需要新增大量IP地址來支撐。

面對IP地址危機，移動互聯(lián)的IPv4/IPv6網(wǎng)絡過渡需求變得越來越迫切。然而現(xiàn)實的情況卻沒有人們期望的那么樂觀。雖然整個通信產(chǎn)業(yè)鏈已經(jīng)為IPv6的發(fā)展和推廣付出了巨大的努力，但受到業(yè)務、終端支持等方面影響及制約，短期內(nèi)無法大規(guī)模部署。

在向IPv6過渡的過程中，如何保證現(xiàn)有的終端和業(yè)務正常使用，同時又能實現(xiàn)真正的IPv6應用，是一個需要迫切解決的問題。CGN（Carrier Grade NAT）技術(shù)，就是在這種情況下產(chǎn)生的一個折中方案。在IPv6發(fā)展的早期，CGN將成為短期內(nèi)中國移動的首選。

2 中國移動解決IP地址危機的主要方案

從IPv4向IPv6過渡目前有兩種主要的解決方案：

方案1：引入IPv6。這種方案可以從根本上解決地址耗盡問題，但因目前大部分內(nèi)容和應用還是基于IPv4，硬性的全面切換到IPv6可能面臨現(xiàn)有業(yè)務無法繼承的風險。

方案2：地址轉(zhuǎn)換技術(shù)NAT。通過規(guī)模化部署IPv4私有地址，以達到對目前IPv4公有地址的統(tǒng)計復用，從而可以在相當長的時間內(nèi)解決IPv4地址問題，可以為IPv6爭取發(fā)展時間。

3 互聯(lián)網(wǎng)引入IPv6部署困難

由于IPv6無法與IPv4后向兼容，IPv6演進需要包括業(yè)務、網(wǎng)絡、終端在內(nèi)的端到端產(chǎn)業(yè)鏈的配合。目前業(yè)務、終端由于缺乏商業(yè)驅(qū)動，支持IPv6的進展遲緩；網(wǎng)絡設備IPv6支持度雖然較高，改造相對簡單，但與之配套的移動端到端運營支撐流程卻需要進行大量改造，因此，向IPv6演進將是一個漸進過程，IPv4和IPv6網(wǎng)絡將長期共存。

目前中國移動CMNet城域網(wǎng)的IP網(wǎng)絡中，CR、SR/BRAS設備大部分可以通過軟件升級支持雙棧，在邏輯上成為IPv4及IPv6并行的兩個網(wǎng)絡，能夠直接、簡單地實現(xiàn)網(wǎng)絡向IPv6的平滑過渡。

對于擁有龐大用戶數(shù)量的移動互聯(lián)網(wǎng)絡而言，發(fā)展IPv6的最大瓶頸就是終端對IPv6的支持問題。市場上銷售的絕大多數(shù)移動終端，都沒有正式提供對IPv6的支持，即使是現(xiàn)在流行的智能手機，也沒能實現(xiàn)IPv6的完美支持。

表1 手機終端操作系統(tǒng)對IPv6的支持

另外，PC操作系統(tǒng)Windows Vista/7可以提供比較完備的支持，但Windows XP對IPv6支持有限。家庭網(wǎng)關(guān)已經(jīng)推出可商用部署的雙棧路由型家庭網(wǎng)關(guān)，但現(xiàn)網(wǎng)已經(jīng)大量部署的家庭網(wǎng)關(guān)較難升級支持雙棧。

移動公司AAA、DNS、網(wǎng)管、計費等運營支撐系統(tǒng)也需要進行相應的升級改造來支持雙棧端到端網(wǎng)絡運營。

由上述分析可以看出，運營商網(wǎng)絡IPv6演進涉及端到端的網(wǎng)絡改造，難以一蹴而就，同時業(yè)務、終端發(fā)展相對遲緩，進一步制約了網(wǎng)絡的大規(guī)模演進及用戶的大規(guī)模遷移進程，短期內(nèi)依靠IPv6解決IP地址危機不太現(xiàn)實。

4 運營商級NAT方案

4.1 CGN技術(shù)

CGN為運營商級NAT，又稱作大規(guī)模部署NAT（LSN，Large Scale NAT），CGN的本質(zhì)還是NAT技術(shù)，NAT技術(shù)分為基礎(chǔ)NAT和NAPT。基礎(chǔ)NAT也稱No-PAT，只是將內(nèi)部/私網(wǎng)IP地址轉(zhuǎn)換為外部/公網(wǎng)地址。內(nèi)部地址和外部地址屬于一對一的關(guān)系，對于出流量來說，需要將源IP地址和相關(guān)字段（如IP、TCP/UTP/ICMP頭的checksums）進行轉(zhuǎn)換。NAPT（Network Address Port Translation）網(wǎng)絡端口地址轉(zhuǎn)換。NAPT擴展了基礎(chǔ)NAT的功能，還需要將傳輸ID（如TCP/UTP port numbers/ICMP query identifiers）進行轉(zhuǎn)換，該方法實現(xiàn)了多個私網(wǎng)地址共享一個公網(wǎng)地址的架構(gòu)，從而緩解了IPv4地址短缺的問題。

為了滿足運營商級別的要求，CGN在傳統(tǒng)的NAT上針對擴展性和性能等方面做了很多改進，額外支持很多技術(shù)特性，包括基于IPv6的DS-Lite、NAT444、PNAT、NAT64、NAT過 濾（Filtering Behavior of NAT）、發(fā)夾型NAT（Hairpinning Behavior of NAT）、NAT穿越、CGN間的熱備、CGN用戶地址溯源等。

4.2 CGN部署場景

4.2.1 CGN場景1：雙棧+NAT444

CGN設備位于承載網(wǎng)內(nèi)部，處于公共IPv4網(wǎng)絡和私有IPv4地址網(wǎng)絡的分界處，用來提供高性能的IPv4私有地址到公有地址的翻譯。私網(wǎng)用戶使用CGN（NAT44）訪問互聯(lián)網(wǎng)，在CPE上做第一次NAT，在CGN上做第二次NAT，形成3塊地址空間：用戶側(cè)私網(wǎng)地址、運營商私網(wǎng)地址、公網(wǎng)地址。NAT444通常和雙棧一起使用，用戶同時得到雙棧地址，通過IPv4地址訪問IPv4網(wǎng)絡，通過IPv6地址訪問IPv6網(wǎng)絡，在此場景下，CPE和BRAS之間對IPv6報文進行2層透傳。BRAS和CMNET城域網(wǎng)內(nèi)3層設備開啟雙棧，同時提供IPv4和IPv6路由轉(zhuǎn)發(fā)能力。當IPv4公有地址不足時，給用戶主機分配IPv4私網(wǎng)地址。在移動網(wǎng)絡側(cè)做NAT44轉(zhuǎn)換，提供CGN轉(zhuǎn)換能力。這種機制下，已有業(yè)務模型基本不變，除支持用戶在IPv6地址屬性外，用戶的認證、授權(quán)和計費機制沒有變化，如圖1所示。

圖1 雙棧+NAT444 CGN部署場景

該方案的實施需要如下的關(guān)鍵技術(shù)：用戶和網(wǎng)絡設備支持雙棧，CGN，BRAS支持雙棧用戶的地址分配管理，DNS和Radius等業(yè)務系統(tǒng)升級支持IPv6地址擴展。

4.2.2 GSN場景2：DS-Lite

DS-Lite是隧道技術(shù)（IPv4-in-IPv6隧道）與CGN的結(jié)合，該方案的CMNet城域網(wǎng)為純IPv6網(wǎng)絡，所有的網(wǎng)絡設備及支撐系統(tǒng)都升級支持IPv6。DS-Lite是IPv6演進方案的最終模型，在該方案內(nèi)，IPv6的源只和IPv6的目的地址通信，同理IPv4的源只和IPv4的目的地址通信。沒有不同地址族的互相轉(zhuǎn)換。用戶側(cè)設備將IPv4流量封裝在IPv6隧道內(nèi)，通過移動運營商的IPv6接入網(wǎng)絡到達出口網(wǎng)關(guān)設備后終結(jié)IPv6隧道封裝，再進行集中式NAT轉(zhuǎn)換，最終轉(zhuǎn)發(fā)至IPv4網(wǎng)絡。如圖2所示。

4.3 CGN部署方案

移動公司為用戶分配私網(wǎng)IPv4地址，在網(wǎng)絡中部署CGN實現(xiàn)用戶私網(wǎng)地址與公網(wǎng)地址+端口段的映射，將一個IPv4公網(wǎng)地址共享給多個用戶使用，從而提高IPv4公網(wǎng)地址使用效率，可以滿足短期內(nèi)運營商業(yè)務發(fā)展的新增IP地址需求。

但部署CGN后，IP網(wǎng)絡端到端透明性被破壞，出于國家安全監(jiān)控的需要，在部署NAT時需考慮溯源問題，部署了CGN之后的用戶溯源，不再是根據(jù)IPv4地址來識別用戶，而是根據(jù)公網(wǎng)IPv4地址和端口號來識別用戶，用戶占用公網(wǎng)IPv4地址和端口號的不確定性，增加了用戶溯源的復雜性。

CGN設備支持通過Radius或日志方式上報私網(wǎng)地址與公網(wǎng)地址及端口段的映射表至日志服務器，地址溯源系統(tǒng)可以通過日志服務器查詢公網(wǎng)地址及端口號對應的私網(wǎng)地址，從而獲得用戶賬戶信息，實現(xiàn)溯源。

CGN可以靈活部署在各種網(wǎng)絡位置，如CR/BRAS/SR等。按照部署方式的不同，分為兩種模式：部署在CMNET城域邊緣業(yè)務接入點層面的分布式部署方式和部署在CMNET城域網(wǎng)出口層面的集中式部署方式。集中式CGN的部署位置通常是在網(wǎng)絡中比較高的CR位置，分布式CGN相對于集中式的網(wǎng)絡位置高而言，分布式CGN的網(wǎng)絡位置較低，通常部署在BRAS/SR所在的位置。

圖2 DS-Lite場景CGN部署

4.3.1 集中式CGN

集中式CGN部署在CMNET城域骨干網(wǎng)出口，主要采用獨立設旁掛CR設備上的方式部署。

此種方式用戶私網(wǎng)地址需在CMNET城域網(wǎng)內(nèi)發(fā)布，私網(wǎng)地址和CMNET城域網(wǎng)路由需重新規(guī)劃。涉及骨干出口路由器、省干匯聚路由器、地市匯聚路由器、BRAS設備等眾多網(wǎng)絡設備的設置配合。CGN設備部署簡單，工程實施復雜。

所有地市流量將繞到出口路由器CR設備和CGN設備處理，CR流量增大，在業(yè)務量激增的情況下CGN容易成為性能瓶頸。CGN需要維護大量Session會話，對設備的可靠性要求很高，單點故障影響范圍大，容易成為攻擊點。

位于核心層的CGN的用戶策略控制及溯源較為困難，需建設單獨的LOG日志系統(tǒng)來實現(xiàn)用戶溯源。

此方案適合較少WLAN用戶及固網(wǎng)上網(wǎng)用戶發(fā)展較少的省份，作為前期過渡方案進行部署。

圖3 業(yè)務量小省份集中式

4.3.2 分布式CGN

分布式CGN部署在CMNET城域網(wǎng)邊緣業(yè)務接入點位置，采用BRAS插卡式部署。

方式1：具備可靠性，運維簡單，不影響業(yè)務等特性。無需新增設備，但是需要多點部署，安裝較為復雜。不改變原有網(wǎng)絡架構(gòu)，無需全網(wǎng)發(fā)布用戶私網(wǎng)地址，流量模型無變化，轉(zhuǎn)發(fā)效率高，對設備性能要求不高。單臺CGN需要維護的會話少，風險分散化。溯源簡單，無需新增LOG服務器。

方式2：在BRAS設備不支持插卡式擴容CGN情況下，可在地市城域網(wǎng)核心旁掛NAT設備方式部署。

5 CGN+IPv6部署方案

第1步：部分省份部署集中式CGN。公網(wǎng)地址較充裕的省份：由于中國移動各省現(xiàn)網(wǎng)愛立信BRAS不支持插板式運營商級NAT擴容，該廠家占據(jù)全網(wǎng)相當規(guī)模份額。在WLAN及固網(wǎng)業(yè)務用戶不多，公網(wǎng)IP地址需求量不大的省份，前期部署集中式CGN，積累建設經(jīng)驗。如圖3所示。

公網(wǎng)地址緊張的省份：少量WLAN及固網(wǎng)業(yè)務發(fā)展良好，用戶數(shù)巨大的省份，可根據(jù)設備支持情況選用分布式方式1或方式2部署。對于多個業(yè)務量小的地市可統(tǒng)一集中式部署，節(jié)省投資，方案實施復雜，需全網(wǎng)路由重新規(guī)劃。各種部署方式可參照圖4。

圖4 業(yè)務量大地市分布式，業(yè)務量小地市集中式

圖5 BRAS支持插卡擴容地市分布式方式1，BRAS不支持插卡擴容地市分布式方式2

第2步：現(xiàn)網(wǎng)設備升級雙棧。立足現(xiàn)網(wǎng)升級設備，循序漸進開展IPv6網(wǎng)絡改造。合理規(guī)劃，漸進式IPv6部署，中國移動CMNET城域網(wǎng)現(xiàn)網(wǎng)設備基本上都滿足現(xiàn)網(wǎng)軟件升級支持IPv6雙棧的條件。

第3步：全網(wǎng)向分布式CGN部署改造。隨著中國移動互聯(lián)網(wǎng)業(yè)務的發(fā)展及BRAS設備的進一步開發(fā)完善，全網(wǎng)向插卡部署分布CGN過渡，兼容并蓄解決過渡期IP地址問題?，F(xiàn)網(wǎng)主流分布式CGN插卡滿足私網(wǎng)雙棧和DS-Lite等應用場景部部署，支持大容量CGN，不影響現(xiàn)網(wǎng)流量流向。

第4步：實現(xiàn)技術(shù)過渡平滑切換。分布式CGN部署完成后可平和升級DSLite，平穩(wěn)過渡到IPv6。

6 總結(jié)

從根本上解決公網(wǎng)地址緊缺問題，全程全網(wǎng)部署IPv6是終極目標方案。在終端、網(wǎng)絡及應用都過渡緩慢的現(xiàn)網(wǎng)狀況下，IPv6推進進程緩慢。CGN方案可以一解近憂，為從IPv4到IPv6演進爭取時間。CGN部署靈活，可集中式部署，也可分布式部署。CGN+雙棧方案通過城域網(wǎng)試點打通端到端雙棧運營流程，可為IPv6網(wǎng)絡運營及業(yè)務拓展經(jīng)驗，培養(yǎng)終端用戶的IPv6業(yè)務使用習慣。隨著業(yè)務、終端的逐漸豐富，移動運營商就能逐步擴大IPv6網(wǎng)絡和用戶規(guī)模，最終實現(xiàn)向IPv6的平滑演進。