?

電信運營商IPv6 NAT444備份方案

黃鵬

（江西省郵電規(guī)劃設(shè)計院有限公司，南昌 330002）

摘 要分析了目前分布式NAT444部署方案的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)流程、溯源流程和安全備份機制，提出了幾種安全備份方案，并且對各種方案的實現(xiàn)原理和優(yōu)劣性等進行分析，以便在今后的實際工程設(shè)計和部署中能夠提供參考。

關(guān)鍵詞IPv6；NAT444；備份；安全；建設(shè)成本

面對日益緊迫的地址需求，電信運營商均在2010年前后開展了下一代互聯(lián)網(wǎng)過渡技術(shù)的試點工作，其中NAT444被認為是首選的過渡方案，以其技術(shù)成熟度高、設(shè)備產(chǎn)業(yè)鏈豐富和部署周期短、效率高而在全國大規(guī)模部署。但考慮到安全問題，部署分布式NAT444均采用1∶1或1+1備份方式，造成部署成本較高，而過渡技術(shù)在現(xiàn)階段暫未能衍生出新的增值收益，所以，如何在保證安全性的前提下，盡量減少建設(shè)成本是本次需要探討的問題。

1　分布式NAT444方案

部署NAT444首先應該開啟雙棧路由，開啟IPv4 與IPv6兩個轉(zhuǎn)發(fā)通道，在IPv4通道中，城域網(wǎng)的CGN將來自用戶或終端的數(shù)據(jù)報文進行源地址翻譯，在運營商網(wǎng)內(nèi)實現(xiàn)公有源地址復用，滿足大量采用私有地址用戶接入網(wǎng)絡(luò)的需求。

NAT444是緩解IPv4公網(wǎng)地址緊張最直接的方式，同時可以推動網(wǎng)絡(luò)對IPv6的支持。

目前，大多采用分布式NAT444部署方案，通過在BRAS上插入CGN板卡進行地址翻譯，而一般會配置兩塊及以上的CGN板卡，各CGN板卡之間實現(xiàn)1+1 或1∶1、1∶1備份。

2　NAT444業(yè)務(wù)流程

部署NAT444后，對于用戶是透明無感知的，用戶終端或PC如支持雙棧，則可以被改造成NAT444用戶，下面舉例路由型的用戶，詳細說明改造后的用戶撥號和上網(wǎng)流程。

（1）客戶家庭網(wǎng)關(guān)進行撥號，與目前撥號流程一致，無需改動。

（2）AAA查詢用戶的接入屬性（公網(wǎng)雙棧/NAT444/DS-Lite等），同時根據(jù)系統(tǒng)指定的規(guī)則，將結(jié)果返回給BRAS。

（3）BRAS根據(jù)AAA返回結(jié)果為家庭網(wǎng)關(guān)分配相應的IP地址（如家庭網(wǎng)關(guān)開啟雙棧，將會分配一個IPv4私網(wǎng)地址和一個IPv6地址前綴，如家庭網(wǎng)關(guān)未開啟雙?；虿恢С蛛p棧，則只分配一個IPv4私網(wǎng)地址）。

（4）家庭網(wǎng)關(guān)則分配給PC一個IPv4私網(wǎng)地址和一個IPv6公網(wǎng)地址（如不支持雙棧，則PC只能獲取一個私網(wǎng)IPv4地址，與目前一致）。

（5）用戶上網(wǎng)過程中通過發(fā)送IPv4和IPv6的DNS查詢，根據(jù)DNS返回的結(jié)果去訪問互聯(lián)網(wǎng)中的相關(guān)IPv4/IPv6資源。

但對于一些特殊應用，則不適應于NAT444，如用戶PC作為私服（游戲服務(wù)器、FTP服務(wù)器或語音服務(wù)器），主要是因為在NAT轉(zhuǎn)換時端口的變化是不受控制的，故在多級NAT轉(zhuǎn)換后，原有服務(wù)端無法繼續(xù)提供服務(wù)，遇到這種問題，需要對用戶進行回退處理。

3　現(xiàn)有安全備份機制及存在問題

現(xiàn)階段主流的CGN設(shè)備的處理能力都比較大，單板吞吐量可達到40 Gbit/s，并發(fā)連接數(shù)可達16 Mbit/s，可接入用戶4～6萬，完全可以滿足當前及今后幾年內(nèi)的用戶需求。

而考慮到安全性問題，目前在實際中統(tǒng)一設(shè)置兩塊CGN板卡，形成1+1或1∶1備份，當其中一塊CGN板卡出現(xiàn)故障時，另外一塊CGN板卡可實時接管相應的業(yè)務(wù)。隨著IPv6部署的持續(xù)推進，而過渡技術(shù)在現(xiàn)階段暫未能衍生出新的增值收益，這種備份方式會造成大量的投資浪費。

4　建設(shè)方案

根據(jù)上面的介紹,結(jié)合技術(shù)的成熟度、設(shè)備的支撐情況、對用戶的影響程度等因素，提出了兩種建設(shè)方案，分別為獨立式CGN集中備份方案和公網(wǎng)地址回退備份方案，這兩種備份方案下，每臺BRAS均只需要插入1 塊CGN板卡，下面將針對這兩種方案進行介紹。

4.1 獨立式CGN集中備份方案

所謂集中備份方案，顧名思義就是專門部署獨立CGN設(shè)備，一旦BRAS上面的CGN板卡故障后，則由獨立的CGN設(shè)備承擔NAT444的功能。

4.1.1 方案介紹

在城域網(wǎng)CR側(cè)旁掛2臺獨立式CGN設(shè)備，一般采用BRAS設(shè)備插入CGN板卡或者使用防火墻等NAT設(shè)備，組網(wǎng)架構(gòu)圖如圖1所示。

CGN設(shè)備與CR之間支持運行BGP路由協(xié)議，通告CGN配置的公有地址池信息，并由CR通告到互聯(lián)網(wǎng)。同時，CGN與CR之間支持運行IGP路由協(xié)議，接收用戶路由。

4.1.2 策略部署

如圖2所示，使用策略路由的方式，在CR、BRAS、CGN設(shè)備上針對上下行流量分別手工配置。具體策略如下。

（1）針對上行流量（出城流量): CR用IBGP向CGN下發(fā)缺省路由，CGN上行公網(wǎng)流量通過缺省路由轉(zhuǎn)發(fā)到CR；在CR用戶側(cè)接口上配置策略路由，引導私網(wǎng)IPv4流量上行到CGN；CR用IBGP向BRAS下發(fā)缺省路由：BRAS1/BRAS2到CR1和CR2為等價路由，流量基于目的地址負載分擔。

圖1　獨立式CGN集中備份方案架構(gòu)圖

（2）針對下行流量（進城流量）：BRAS用IBGP發(fā)布私網(wǎng)地址池路由，CR同時用IBGP將私網(wǎng)路由發(fā)布給CGN，引導下行流量到BRAS。

CGN用IBGP發(fā)布公網(wǎng)地址池路由，主CGN向外發(fā)布的網(wǎng)段路由Cost值小；備用CGN向外發(fā)布的網(wǎng)段路由Cost值大，確?；爻塘髁恳欢〞詣舆x路到主用CGN上轉(zhuǎn)發(fā)。

4.1.3 存在的問題

（1）每個BRAS設(shè)備上面的私網(wǎng)地址不能復用。

（2）CR設(shè)備需要時刻對流量進行策略檢查，消耗大量的計算資源，增加設(shè)備的負擔，甚至會影響路由轉(zhuǎn)發(fā)性能。

（3）由于采用集中式方案，所以在CGN設(shè)備上沒有用戶的相應信息，無法實現(xiàn)針對不同類型用戶分配不同端口數(shù)量和Session數(shù)量的配置。

（4）無法實現(xiàn)Radius動態(tài)溯源，需要重新建設(shè)溯源平臺，增加總體建設(shè)成本，同時需要更改那些需要自動識別用戶的業(yè)務(wù)系統(tǒng)的流程；原本系統(tǒng)均與AAA平臺有相應接口，可根據(jù)用戶的IP地址自動識別用戶賬號和權(quán)限，但采用集中式后，需要重新開發(fā)接口，更改流程。

（5）對業(yè)務(wù)的影響：故障切換前后，用戶NAT轉(zhuǎn)換后，源IP公網(wǎng)地址會發(fā)生變化，NAT Session也有一個重建的過程，將會導致業(yè)務(wù)中斷，如網(wǎng)頁、游戲、視頻、網(wǎng)銀、VoIP等。

4.2 公網(wǎng)地址回退備份方案

采用公網(wǎng)地址回退實際上是一種妥協(xié)的應對故障方案，一旦BRAS上面的CGN板卡故障，則自動分配一個公網(wǎng)IPv4地址給用戶，保障業(yè)務(wù)正常運行。

4.2.1 方案介紹

在BRAS上的唯一一塊CGN板卡發(fā)生故障后，BRAS不再轉(zhuǎn)發(fā)用戶流量到CGN板卡，而是強制用戶下線重撥，再給用戶重新分配公網(wǎng)地址，通過公網(wǎng)地址上線，正常訪問網(wǎng)絡(luò)，在CGN板卡故障恢復后，可以手動切換回CGN，由于備用公網(wǎng)IPv4地址是共享的，因此，總體來說可以實現(xiàn)IPv4地址的節(jié)省。

4.2.2 策略部署

該方案最主要的技術(shù)問題在于公網(wǎng)地址的發(fā)布和路由發(fā)布，地址發(fā)布一般可選擇靜態(tài)配置和AAA動態(tài)指定，具體操作如下。

4.2.2.1 靜態(tài)配置公網(wǎng)地址池

首先在所有的BRAS設(shè)備上配置一個公網(wǎng)IPv4地址池，但路由不對外發(fā)布。

一旦CGN板卡出現(xiàn)故障，BRAS設(shè)備可感知到，這時候可自動生效公網(wǎng)IPv4地址池，同時對外發(fā)布這個特定的路由信息。

最后BRAS給用戶分配公網(wǎng)IPv4地址，用戶可通過公網(wǎng)IP地址上網(wǎng)。網(wǎng)絡(luò)架構(gòu)圖如圖3所示。

圖2　獨立式CGN集中備份方案策略部署

使用靜態(tài)配置的方式，不夠靈活，但實現(xiàn)原理簡單，不需要AAA等平臺配合，但是這項功能并不是所有的BRAS設(shè)備都支持。

而且對于配置的公網(wǎng)IPv4地址池會出現(xiàn)一個矛盾，如果所有BRAS都配置相同的IPv4公網(wǎng)地址池，這樣可以節(jié)省公網(wǎng)地址，但是如果同時有超過一臺BRAS設(shè)備的CGN板卡出現(xiàn)故障，則不可行；如果所有BRAS配置不同的地址池，這樣安全系統(tǒng)提高，但卻起不到節(jié)省公網(wǎng)地址的效果。

4.2.2.2 AAA動態(tài)指定公網(wǎng)地址池

首先需要在AAA平臺上配置一個公網(wǎng)IPv4地址池。

一旦BRAS的CGN板卡出現(xiàn)故障，BRAS設(shè)備可感知到，通過接口將信息上報給AAA平臺。

用戶再次撥號后，AAA自動給BRAS設(shè)備分配公網(wǎng)地址池，同時BRAS可給用戶分配指定的地址池的公網(wǎng)IP地址，用戶可通過公網(wǎng)IP進行上網(wǎng)。網(wǎng)絡(luò)架構(gòu)圖如圖4所示。

使用動態(tài)指定的方案技術(shù)實現(xiàn)靈活，可在AAA在配置幾個公網(wǎng)地址池，以便當出現(xiàn)故障的數(shù)量大于1時啟用，不會因為不可預知的風險而像靜態(tài)配置方式那樣浪費公網(wǎng)IP地址。

但是方案改造量較大，需要AAA與BRAS之間開發(fā)新的接口傳遞故障信息，實現(xiàn)難度較大。

4.2.3 存在問題

（1）對業(yè)務(wù)的影響：故障切換前后，用戶NAT轉(zhuǎn)換后，源IP公網(wǎng)地址會發(fā)生變化，NAT Session也有一個重建的過程，將會導致業(yè)務(wù)中斷。

（2）網(wǎng)頁、游戲、視頻、網(wǎng)銀、VoIP等與集中式備份方案一樣。

（3）技術(shù)實現(xiàn)復雜，改造工作量較大，而開發(fā)新的接口也將增加總體工程投資。

（4）很多操作需要BRAS設(shè)備自動實現(xiàn)，目前現(xiàn)網(wǎng)BRAS設(shè)備廠商和種類較多，軟件版本差異較大，設(shè)備總體支持率較差。

4.3 技術(shù)方案比較

4.3.1 故障回退

4.3.1.1 傳統(tǒng)方案

用戶無需斷線重連，業(yè)務(wù)無中斷，用戶無感知。

4.3.1.2 集中備份方案

該方案的核心主要在兩個方面，第一就在于策略路由的設(shè)置，需要在BRAS和CR的進出端口均部署相應的策略路由；第二是集中的CGN板卡的故障感知，從而觸發(fā)策略路由生效及流量轉(zhuǎn)發(fā)。

圖3　靜態(tài)配置公網(wǎng)地址池策略部署

圖4　AAA指定公網(wǎng)地址池策略部署

存在的技術(shù)問題如下。

（1）策略路由的部署需手工完成，工作量較大，一旦涉及網(wǎng)絡(luò)割接等操作，需要排查故障，難度較大。

（2）CR側(cè)需要時刻開啟策略路由，對進出流量進行ACL匹配，會消耗較大的CR資源，甚至影響到正常的流量路由轉(zhuǎn)發(fā)。

（3）CGN板卡故障感知：由于CGN板卡出現(xiàn)故障的現(xiàn)象多樣，BRAS設(shè)備如何能精確感知判斷，并且使能策略路由關(guān)系到用戶業(yè)務(wù)的正常接入。

4.3.1.3 公網(wǎng)地址回退方案

該方案的核心主要在兩個方面，第一就在需要定制開發(fā)協(xié)議，如BRAS與AAA的接口、BRAS自動下發(fā)配置；第二是集中的CGN板卡的故障感知，從而觸發(fā)策略路由生效及流量轉(zhuǎn)發(fā)。

存在的技術(shù)問題如下。

（1）定制開發(fā)難度較大，周期較長。

（2）CGN板卡故障感知：由于CGN板卡出現(xiàn)故障的現(xiàn)象多樣，BRAS設(shè)備如何能精確感知判斷，并且使能策略路由關(guān)系到用戶業(yè)務(wù)的正常接入。

4.3.2 其它方面

綜合上面的技術(shù)介紹和故障回退比較，下面對3種安全備份方案進行比較，主要從用戶體驗、工程投資、改造難度、用戶溯源和對周邊系統(tǒng)改造情況進行分析，如表1所示。

由于需要在現(xiàn)網(wǎng)中進行改造部署，勢必會對現(xiàn)網(wǎng)業(yè)務(wù)造成影響，不能簡單的通過上述的比較，而選擇出最佳方案，而是應該根據(jù)實際的情況進行綜合的分析判定。

5　結(jié)束語

為了滿足國家“十二五”IPv6商用部署的要求，積極推進向下一代互聯(lián)網(wǎng)的演進，各大運營商都已經(jīng)投入了大量的資金和人力，但是目前仍然沒有實際的IPv6業(yè)務(wù)應用需求，在這種情況下，對于企業(yè)來說，部署IPv6短期內(nèi)不會產(chǎn)生直接的經(jīng)濟收益，而且還不應影響或降低現(xiàn)有用戶上網(wǎng)應用的感知，保障用戶上網(wǎng)質(zhì)量。在這些約束條件下，如何進行網(wǎng)絡(luò)改造，滿足用戶需求，除了選擇合適的技術(shù)方案，更需要密切關(guān)注IPv6的業(yè)務(wù)需求，開創(chuàng)新的業(yè)務(wù)增值點。

表1　各種備份方案對比

參考文獻

[1]戴源，楊建，袁源，等. 下一代互聯(lián)網(wǎng)IPv6過渡技術(shù)與部署實例[M]. 北京：人民郵電出版社，2014.

[2]楊國良，李陽春，伍估明. IPv6技術(shù)、部署與業(yè)務(wù)應用[M].北京：人民郵電出版社，2011.

Discussion on telecom operators IPv6 NAT444 backup solutions

HUANG Peng

(Jiangxi Planning & Designing Institute of Post & Telecommunications Limited, Nanchang 330002, China)

Abstract First analysis of the current deployment scheme of distributed NAT444 network architecture, business process, traceability procedures and safety backup mechanism, then several safety backup scheme, and the implementation principle and advantages and disadvantages of various kinds of schemes are analyzed, in order to design and deploy can provide reference in practical engineering in the future.

Keywords IPv6; NAT444; backup; security; construction cost

收稿日期：2014-12-18

文章編號1008-5599（2015）04-0075-06

文獻標識碼A

中圖分類號TN915