NAT44技术在天津城域网中的实际应用
NAT44技术在天津城域网中的实际应用
NAT44技术在天津城域网中的实际应用第一篇:NAT44技术在天津城域网中的实际应用NAT44技术在天津城域网中的实际应用摘要:随着人们上网需求的不断发展,IPv4向IPv6过渡已成为必然趋势,NAT44技术是其中最为简单实现的方式之一。
文中介绍了IPv4几近枯竭的现状,解决此问题的技术方案,着重分析探讨NAT44的网络部署、城域网架构、用户溯源方式、相关系统改造等关键问题,最后提出了几点思考供参考。
关键词:NAT44 溯源城域网背景介绍对现代社会而言,网络的普及和发展,已经在社会生产和生活的各个领域都产生了十分巨大的影响,特别是网络作为物流载体被百姓广泛接纳和使用之后,其作用将会变得更为深远。
随着信息技术、通信技术、软件技术不断演进,如今涌现出网上购物、网上游戏、网上投资理财、实时视频、远程教育、远程医疗等互联网应用,网络服务与百姓生活已日益密不可分,甚至人们可以足不出户的完成工作和学习任务,可以让大家节约出更多的时间去处理一些其他的事,使人们在行动甚至是思想上都得到了解放。
这也导致互联网IPv4地址呈井喷式增长,目前IPv4地址资源已近枯竭,急需找到快速有效解决方案来支撑互联网的持续飞速发展需要。
下面来介绍几种解决方案,并结合天津网络现状重点讨论NAT44技术的应用。
天津联通城域网网络结构天津联通城域网络分层:天津联通城域网基本分为三个层次:核心层、汇聚层、接入层。
核心层功能:核心层主要由高端核心路由器CR集群组成,提供路由交换、业务承载和传输,向上连接骨干网,向下与汇聚层设备互联,其特征为宽带传输和高速调度。
汇聚层功能:汇聚层主要由高端路由器BR组成,主要功能是汇聚业务路由器SR和宽带接入服务器BRAS设备,提供用户业务数据的汇聚和分发处理。
接入层功能:接入层主要由SR和BRAS及下联DSLAM、AG、LAN交换机、OLT等接入设备组成。
BRAS设备功能:BRAS设备负责处理公众上网用户PPPOE的处理及IP地址的分配。
NAT技术在IP城域网中的应用
P o r t — R e s t r i c t e d c o n e N A T; ( 4 )S y m m e t r i c A T。技 术
I P v 6 过渡技术 , 一般 分为三大类 双栈、 隧道和 N A T 技术。 ( 一 )双 栈 技 术 。双 栈 节 点 与 I P v 4节 点通 讯 时使 用 I P v 4协议栈 ,与 I P v 6节 点通讯 时使用 I P v 6协议栈 。双栈是 I P v 6过渡 的基础 ,但双栈不能解决地址短缺的 问题 。 ( 二 )隧道技 术。提供 了两个 I P v 6 站 点之 间通过 I P v 4 网络 实现通讯连 接, 以及两个 I P v 4站点之 间通 过 I P v 6网络 实现通讯连接 的技术 。 ( 三 )N A T技术 。提供 了 I P v 4网络与 I P v 6网络之 间 的 互访技术 ,分 为两类:一类 是 I P v 4私有地址 到 I P v 4公有地 址 的地址转换 N A T技术 ( 或称为 N A T 4 4 ),另一类是 I P v 4与 I P v 6地址之 间转 换的技术 。 目前 ,N A T技术是 最好最快缓解 I P城域网 I P v 4地址不足 问题 的最好 办法之一 。 二、N A T技 术 在 城 域 网 中应 用 在 网络演进初 期阶段 ,N A T 4 4 4( 两次地址 转换,一次在 C P E ,一 次在 C G N )是解 决 } P v 4地址 短缺 的必 由之 路,在 网 络演 进中后期阶段 ,N A T 6 4是解决 I P v 6 4 访 问I P v 4的关键技 术 。在 I P 城 域网部署需要考虑 以下 因素 :性能容量足够支持 规划用户数 、 高可靠 以保持用户业务感知、 可管理 、 方便溯源、 对应用程序友好等方面 。 ( 一 )性 能容 量。运营商环境下 ,每 N A T支持的用户数 非常多,可能达到十万 级别的用户数 ,每用户 的平均流量可 能在几 百 k b i t s / s 左右 ,N A T设备需要 I O O G级别 的转发能力。 实验表 明,W e b 2 . 0网页 的点击 会生成 数十个 T C P连 接,P 2 P 应 用会 生成 超过 1 0 0个会 话 ,每 用户 预 留 i 0 0 0 个 端 口配额 可满足一般用户需求 , AT N 设备需要具备每秒 新建 百万会话 、 维持千万活动会话 的能力 。 ( 二 )可靠性 。通 过部署 N A T设备冗余和 设备 内板级备 份 来提高 N A T网络 的可靠性 ,当主用设备故 障后能够 自动切 换 到 备 用 设 备 上 。与 一 般 业 务 不 同 ,N A T会 话 是 有 状 态 的 , 会 话生成和 老化非 常快,C G N上 可能达到每 秒百万会 话的状 态变 化,备份会话需要进行 协议交互 ,这种情 况下备份几乎 不可 能做到可靠 ;而且 一般 认为绝大 部分 N AT 会话 的生存 时 间都 极短,备份价值非 常小。所 以 目前被广泛 接受的是只对 生存 时间较长 的会话进行备份。 ( 三) 用户管理 。 C G N 应用环境下需要进行端 口配额管理, 避免少数用户滥用导致其他共享 I P地址的用 户无法正常使用 网络 。此 外,一般还需要保 持外部地址 的惟 一性和端 口的奇 偶性 , 规避某些特殊端 口( 例 如可 能被判别 为病毒 的端 口) 等, 需要 C G N具备可管理的特性 。 ( 四 )地址溯 源。部署 N A T还必须考虑溯 源 问题 ,溯源 同时需要应用层面支 持,比如 网站 的访 问 日志不能仅仅记录 I P地址,还需要记录端 口信 息。按照普通 实现按 s e s s i o n记 录 日志,在 C G N 环 境下, 日志流量可能高达数十 M B y t e s / s , 需要极高性能 的 日志处理和存储系统,提 高了运维成本 。C G N
NAT技术在运营商城域网中的应用研究
NAT技术在运营商城域网中的应用研究作者:祁钰孙加余黄英波来源:《中国新通信》2017年第03期【摘要】采用NAT技术可以有效解决运营商目前在城域网WLAN和家宽业务中IP地址紧缺的问题。
本文详细阐述了NAT部署方案,并对关键问题进行了分析。
【关键词】 NAT IPV6过渡溯源一、引言随着互联网业务的快速发展,各运营商已迈出IPv6演进的脚步,但目前无法短期内完成IPv4到IPv6的过渡。
当前解决IP地址短缺的有效方法就是做NAT转换,该技术的核心就是要把一个私有地址域里的地址转换为可路由的全局因特网地址。
二、NAT 技术NAT (Network Address Translation)即网络地址转换,通过改变IP报文中的源或目的地址,使一个局域网中的多台主机使用少量的合法地址访问外网资源;也可应用到防火墙技术里,把个别IP隐藏起来不被外界发现,使外界无法直接访问内部网络设备,起到安全保护的作用。
NAT 技术的类型主要有以下三种:静态NAT:一个私网IP只能被永久映射成外网中的一个合法的地址。
PAT(Port Address Translation):多对一的地址转换,通过“地址+端口”的映射实现,使用TCP/UDP协议端口号,区分不同的内部网地址,使内网的多个主机共用一个公网IP访问外部网络。
NPAT(Nat &PAT):多对多的地址转换,使用TCP/UDP协议的端口号,私网地址和公网地址之间建立了多对多的映射关系,内网中多个主机共享多个公网IP访问外部网络。
三、NAT 技术在运营商城域网中的应用在运营商网络环境,NAT必须支持网络流量的大规模NAT转换及上网日志的溯源,支持对TCP、UDP等报文的网络地址转换,支持限制并发session数。
运营商在NAT功能实现时,通常采用动态端口分配或静态端口分配。
采用动态端口分配方式时,用户的每个session都随机分配公网地址的端口,先来先得。
城域网NAT444技术的应用研究
5 ) 花生壳 等动态域名注册软件不能使用
用户拨号 获取私 网地址 , N A T后 地址访 问公 网,
而N A T后的地址无法被直 接访 问 ,导致 花生壳等动 态域名 注册软件无法正常使用 。 6 )少量 网游代练需求 断线 获取另外一个地址段
的公 网 I P地址
[ 5 】 R F C 2 8 6 6 : R A D I U S A c c o u n t i n g [ Z 】 .
湖南邮电职业技术学院学报
第 l 4卷
下行报文都可 以按照 目的地址 寻路并转发报文 。
网游代练为避 免游戏公 司封号 ,会采 用多 次拨
号, 获 取不 同 I P地址 , 逃避游戏公 司发 现。但 N A T后
5商用部署经验
在商用部署分布式 N A T 4 4 4过程 中 , 未发现 因私
公网地址段很 少 , 不符合此类需求 。 这 些特殊 的应用场 景故障基本是 由于要远 程控 制试点设备下 的设备 或者是要访 问相关服务器 , 这必 须提供公 网地址 ,对 于这样 的用 户只需通过 A A A修
改用 户账号属性 ,让 用户下次 拨号获得 公 网地 址 即
可。
网地址使用无法上网的情况。 但有少量特殊场景的应
[ 6 】 R F C 6 2 6 4 : A n I n c r e m e n t a l C a r r i e r - G r a d e N A T( C G N ) f o r I P v 6 T r a n s i t i o n [ Z 】 .
1 8
6总 结
整个 网络层 面 ,以 I P v 4为主导 , I P v 6为 目的 , 双
CGN、NAT444、DS-lite
城域网IPv6过渡技术—NAT444与DS-LiteCGN(Carrier Grade NAT),运营商级别NAT,在城域网的IPv6过渡过程中,NAT444+DS和DS-lite是目前讨论最多的CGN技术方案。
NAT444、DS-Lite都可以实现以下2个功能:(1)IPv4业务,私有地址到公有地址的转换。
NAT444,是两次v4级别转换(用户私有V4-运营商私有V4-运营商公有V4);其中运营商LSN就是NAT444设备。
DS-Lite,统一使用V6地址,跑V4业务时,使用IPv4-in-IPv6隧道,通过B4、AFTR设备实现封装和解封。
(2)IPv6业务,NAT444和DS-Lite都是通过端到端的IPv6协议栈承载。
NAT444+DS技术:对于IPv4业务,通过两级NAT44实现承载,第一级NAT44是在家庭网络CPE侧,实现用户私有IPv4地址到运营私有IPv4地址的映射,模式是1:1映射,第二级NAT44是在网络的LSN(Large Sacle NAT,大规模NAT),实现运营私有IPv4地址到公网IPv4地址的映射,模式是N:1映射。
对于IPv6业务,通过端到端的IPv6协议栈进行承载。
DS-lite技术:对于IPv4业务而言,通过IPv4-in-IPv6隧道结合NAT44实现承载,家庭网络CPE作为B4设备,实现对私网IPv4业务的隧道封装/解封装,是IPv4-in-IPv6隧道的端点,网络CGN设备作为AFTR设备,实现对隧道数据的解封装/封装,同时将私网IPv4地址转换为公网IPv4地址,模式是N:1模式。
对于IPv6业务,与NAT444类似通过端到端IPv6协议栈进行承载。
NAT444与DS-lite适用性比较:如果待改造网络仅支持IPv4协议,且升级到IPv4/IPv6双栈的能力不足,如设备陈旧不能支持软件升级支持双栈。
在这类网络基础上进行改造的原则是维持现网业务,不引入IPv6需求。
浅析大中型IP城域网BRAS分布式插卡NAT444的部署技术
前, 只要 所 分 配 的 所 有 端 口未使 用 完 毕 , 不 需要 发 送 日志 。 当 端 口块使 用 完 毕 时 。 可 以分 配 更 多端 口块 这 种 方 式 适 用 于所 有 应 用 , 可 以将 每 个 用 户 的 日志 量 降到 1台普 通服 务 器 无 需
在 I P v 4地 址 已 匮乏 多 年 的 当今 , 因运 营 商 网络 、 业务 平
C G N, 方 便 解 决 溯 源等 由 C G N 引入 的 问题 结 论 :考 虑 大 中型 I P城 域 网 对 单 点 安 全 性 与 稳 定 性 要 求 、城 域 网路 由条 目快 速 收 敛 、 I P地 址 段 调 整 路 由 波 动 等 因 素, 采取分 布式部 署 C G N成为 首选 。 在 4年 时 间 实 际 运 行 q -
以查 询 与 定位 客 户信 息 了要 求: C G N设备 必须把 某一时刻 N A T地 址 池 中 特 定 合 法 I P的 特 定 端 口是 哪 个 客 户在 使 用 的 信 息 发 送 给 A A A服 务 器或 者 日志服 务 器 , 由服 务 器 保存 一 定 时 间 。 通过提供 I P v 4地 址+端
2 0 1 7年 7月上
通信设计与应用 3 5
浅析大 中型 I P城域 网 B R A S分布 式插 卡
N A T 4 4 4的部 署 技 术
到\ 健 ( 中国联合网络 通信有限 公司 邢台 市分公司)
【 摘 要】 通过 4年时 间的 N A T 4 4 4应用效 果, 从C G N简介 、 C G N部署方式、 C G N 日志溯源 、 A A A地址 溯源与 N T A 4 4 4技术应 用 问题 等 5个方
面 阐述 C G N 关键 成 熟 应 用 技 术 。
网络架构中的IPv4转换与兼容性解决方案(十)
网络架构中的IPv4转换与兼容性解决方案近年来,随着互联网的快速发展和人们对网络资源的不断需求,IPv4地址资源逐渐枯竭的问题日益突出。
IPv4作为互联网传输层协议中的关键组成部分,面临着规模限制、地址短缺等诸多问题。
为了解决IPv4地址耗尽的问题,IPv6被提出并逐渐推广使用。
然而,由于IPv6与IPv4之间的不兼容性,从传统的IPv4架构转向IPv6架构仍面临诸多挑战。
为了实现IPv4和IPv6之间的通信,人们提出了各种IPv4转换与兼容性解决方案。
其中,IPv4转换技术是最为常见和广泛应用的一种解决方案。
IPv4转换技术主要包括NAT44(Network Address Translation)和DS-Lite(Dual Stack Lite)两种。
NAT44技术通过一定的地址映射机制,将IPv6数据包转化为IPv4数据包,在IPv4网络中实现与IPv6节点的通信。
NAT44技术是目前应用最广泛的IPv4转换技术,它可以帮助IPv4主机与IPv6主机之间的通信,减少了IPv4资源的浪费。
但是,NAT44技术存在一定的局限性,例如它无法提供端到端的连接和可靠的服务质量保障,且并不适用于所有IPv6地址。
相比之下,DS-Lite技术是一种更加灵活和可靠的IPv4转换技术。
DS-Lite通过将IPv4数据包封装在IPv6数据包中,使得IPv4主机能够通过IPv6网络与其他IPv6主机进行通信。
DS-Lite技术不仅可以解决IPv4地址短缺问题,还能够提供端到端的通信连接,更好地满足了用户对网络服务质量的需求。
但是,DS-Lite技术需要ISP(Internet Service Provider)的支持和相应设备的升级,因此在实际应用中存在一定的难度。
除了IPv4转换技术,还存在一种称为IPv6穿透技术的兼容性解决方案。
IPv6穿透技术是一种能够让IPv6和IPv4网络通过某种方式直接通信的技术。
NAT444v1.1
部分国内运营商案例
在上海、辽宁、福建、贵州、吉林、云南等十几个省份部署了几十套 FG5000系列,另有FG3810A、FG3600A、FG3016B等总数超过数千套各种 类型的FortiGate安全产品,应用在骨干网,城域网、DCN、IDC中心、商务 领航、多媒体平台、接入等众多业务平台,提供包括防火墙、IPS 、防病毒、 反垃圾邮件、网址过滤等多种功能。
优点: 1. 无需改动现有流量走向 2. 可利用源地址制订策略路由,区分公网IP和私网IP流量,公网IP流量直接从SR 或BRAS流至城域网出口,私网IP则匹配策略路由经NAT444网关绕行 3. 相对安全可靠,即使NAT444网关出故障,也只会影响私网地址的流量,对其 他集团专线等大客户无影响 4. 唯一缺点:所有流量路由走向都将实时匹配计算,这会加大配置策略路由设备 的性能压力
Fortinet Confidential
NAT444到纯IPv6的演进路线
NAT444可实现向IPv6的平滑演进 演进路径为NAT444“双栈+NAT444”纯IPv6 NAT444+双栈的阶段将持续较长时间,最终实现纯IPv6网络升级
IP城域网NAT444部署方式的分析
IP城域网NAT444部署方式的分析作者:柳成霞来源:《数字技术与应用》2014年第04期摘要:NAT444技术是目前运营商公认的能有效解决IPv4公网地址紧缺问题的方法之一。
本文总体分析了NAT444技术的基本原理,介绍了NAT444不同的部署方式,并在用户的管理难易、设备及链路的可靠性、业务流量的转发效率、总体成本高低等方面,对其不同的部署方式进行了分析比较,为以后相关工程的建设提供指导作用。
关键词:部署方式 NAT444 IPv4 IP城域网中图分类号:TN915.1 文献标识码:A 文章编号:1007-9416(2014)04-0037-02Abstract:Currently ,NAT444 technology is recognized as one of the effectively methods for the carrier to solve the shortage of IPv4 public network address. In this paper, the basic principles of NAT444 technology are analyzed,Introduces the NAT444’s different deployment ways, And in the user's management difficulty, the reliability of the link and equipment, the forwarding efficiency of business flow, total Cost of Ownership etc, To different ways of deployment, do analyses and compares ,Provide guidance to the construction of related projects in the future.Key Words:Deployment way NAT444 IPv4 The IP MAN1 引言随着The Internet Assigned Numbers Authority(IANA)互联网号码分配机构宣布:全球IPv4地址已经分配完毕。
NAT44技术在天津城域网中的实际应用
天津联 通城 域 网基 本 分 为三 个层 次 : 核 心层 、 汇 聚层 、
向下 与汇 聚层 设 备互 联 , 其特 征 为宽带传 输 和高 速调 度 。 决用户的溯源问题。 5 N AT 4 4技 术在 宽 带中 的实 际应用 汇聚 层 功 能 :汇 聚 层 主要 由高端 路 由器 B R组成 , 主 组 网 方式 要 功 能 是 汇 聚 业 务 路 由器 S R和 宽 带 接 入 服 务 器 B R AS 在 城 域 网 中 可 以通 过 插 卡 方 式 分 别和 B R A S和 C R 设备 , 提供 用 户业 务数 据 的汇 聚和 分发 处理 。 以 实现公 私 网地址 的转换 。 接入 层 功 能 :接入 层 主 要 由 S R和 B R A S及 下 联 进 行组 网 , 分布 式 部 署 在每 台 B R AS设 备插 入两块 C GN板 卡 , DS L AM、 AG、 L AN交换 机 、 OL T等 接入 设备 组成 。
C G N) , 同时与用户侧的 N A T组成两级地址转 他 的事 , 使 人们 在 行动 甚 至是 思 想 上都 得到 了解放 。 这也 转换设备( 形 成三 块 地址 空 间 , 即用 户 侧私 有地 址 ( 路 由 方式 ) 、 用 导 致互 联 网 l P v 4地 址 呈 井 喷式 增 长 , 目前 I P v 4地址 资 源 换 , 公 网地址 。 已近枯 竭 , 急 需 找到 快 速有 效解 决 方 案来 支撑 互联 网的持 户拨 号获 取 的运 营商 分配 的私 有地址 、 采 用 N A T 4 4技 术 大 大节 省 了 I P地址 资源 , 但 也 带来 续 飞 速发 展 需要 。 下面 来 介绍 几种 解 决 方案 , 并 结合 天 津 了溯 源 方 式 的 改 变 。 这 就 要 求 A A A ( 计 费认 证 系统) 、 网 络现状 重 点讨 论 N A T 4 4技术 的应 用 。 S Y S L OG服 务 器 、 测速 系统 、 行 为分 析 系统 等 周边 平 台 网 2 天 津联 通城 域 网 网络结 构 络进 行相 应 改造来 支 持 N A T 4 4功 能。 天津联 通 城域 网 络分 层 :
支持NAT44多场景部署的应用层精确溯源方案探讨
支持NAT44多场景部署的应用层精确溯源方案探讨班瑞1,王佳1,张翼2(1.中讯邮电咨询设计院有限公司,北京100000;2.中国联通安徽省分公司,安徽100111)近几年来,互联网飞速发展,IP 地址的需求量愈来愈大;截至目前,全球IPv4地址已基本分配殆尽。
推动互联网由IPv4向IPv6演进过渡,并在此基础上发展下一代互联网已成为全球共识。
我国拥有世界上数量最多的互联网用户。
根据CNNIC 统计,截至2013年3月底,我国网民数量达到5.78亿,普及率为43.1%,但我国仅拥有约3.32亿个IPv4地址(不含港澳台地区),占有率不足全球的8%。
因此,根据我国国情,有效减少对IPv4地址的消耗并且加快向IPv6演进的需求十分迫切。
NAT44技术主要解决IPv4地址短缺的问题,但NAT44部署后破坏了Internet 端到端的透明性,因此会带来用户溯源、业务穿透等相关问题。
本文通过对目前主流的NAT44部署方式及IP 溯源系统的建设方式进行分析,总结不同溯源系统的特点和不足,提出一种支持NAT44集中旁挂式和分布插卡式部署、支持用户URL 信息展现的应用层精确溯源系统的方案。
目前,在路由部署策略方面的研究主要有以下几种方案。
(1)文献[1]对IP 城域网向IPv6演进的主流方案表1集中旁挂式与分布插卡式部署对比分析类别集中旁挂式分布插卡式覆盖范围可覆盖城域网所有用户覆盖插卡BRAS所辖业务区对城域网路由策略的影响需要调整城域网路由策略。
通过MPLS VPN或IGP ACL做私网用户的引流,所有流量绕行CR至NAT44设备,地址转换后再通过CR引导至骨干网·BRAS设备内部引流,无迂回流量,无新增接口和光纤,无私网路由发布·可以实现基于用户NAT策略可靠性可靠性较高,设备内或设备间均可实现session级热备设备间session级热备需要BRAS热备支持扩展性可扩展性较高,支持集群扩展性受BRAS业务槽位限制产品标准化基于工信部及国家相关安全部门文件,采用标准协议实现,与城域网设备厂家无关NAT44板卡局限于同BRAS设备厂家图2NAT44分布插卡式部署示意图1NAT44集中旁挂式部署示意BRASSRBRAS进行了说明和比较。
网络规划设计中的IP地址转换技术应用(七)
网络规划设计中的IP地址转换技术应用随着互联网的不断发展,网络规划设计变得越来越重要。
在网络中,每个设备都需要一个唯一的IP地址来进行通信。
然而,由于IPv4地址资源的枯竭以及现有网络基础设施的依赖,IP地址转换技术应运而生。
IP地址转换技术是一种将IPv4地址转换为IPv6地址或将IPv6地址转换为IPv4地址的技术。
本文将探讨网络规划设计中IP地址转换技术的应用。
1. IP地址转换技术的作用IP地址转换技术在网络规划设计中扮演着重要的角色。
首先,由于IPv4地址资源的匮乏,大规模IPv6部署变得必要。
而在IPv6网络中,存在一部分IPv4设备仍然需要与IPv6设备进行通信。
因此,通过IP地址转换技术,IPv4设备可以与IPv6设备进行无缝通信,实现网络的平滑过渡。
其次,由于IPv6地址的复杂性,IPv6网络中的设备可能需要与IPv4网络中的设备进行通信。
IP地址转换技术可以帮助实现不同IP版本之间的互联互通,提高网络的可达性。
2. IP地址转换技术的分类根据转换的方向和应用场景,IP地址转换技术可以分为四种类型:NAT44、NATPT、NAT64和NAT46。
NAT44是一种将IPv4地址转换为IPv4地址的技术,常见于传统的IPv4网络中。
NATPT是一种将IPv4地址转换为IPv6地址的技术,用于实现IPv4设备与IPv6设备之间的通信。
NAT64是一种将IPv6地址转换为IPv4地址的技术,用于实现IPv6设备与IPv4设备之间的通信。
NAT46是一种将IPv4地址转换为IPv6地址,同时将IPv6地址转换为IPv4地址的技术,用于实现IPv4设备与IPv6设备之间的通信。
3. IP地址转换技术的应用案例IP地址转换技术在实际网络规划设计中有广泛的应用。
举例来说,一个企业拥有一个IPv4网络,但需要与另一个企业的IPv6网络进行通信。
此时,可以采用NATPT技术,将IPv4地址转换为IPv6地址,实现跨版本的通信。
H3C NAT444技术简介
Port Restricted Cone
NAT内部的机器A连接过外网的机器C后,NAT打开一个端口,C 只能使用原连接的目的端口作为源端口向A发送数据.
16
用户连接数限制功能增强运营商流量控制
通过用户连接数限制功能,可以防止某一用 户会话过多从而占用设备大量资源的情况, 同时可以防止开启FullCone NAT功能之后外 部发起的攻击。
17
NAT444相关产品介绍
SecBlade FW Module
SecBlade For S5800 SecBlade For S7500E/S9500/S9500E/S12500 SecBlade For SR66/SR88
FW Module Chassis
H3C S5800 H3C S7500E H3C S9500 H3C S9500E H3C S12518 H3C SR66 H3C SR88
18
目录
NAT444基本原理 NAT444配置 NAT444典型组网
NAT444静态地址端口映射
接口视图下配置NAT444静态地址端口映射并 使能:
interface interface-type interface-number nat444 static local local-start-address local-end-address [ vpn- instance localname ] global global-start-address global-end-address port-range port-range-start port-range-end block-size block-size nat444 outbound static
防火墙NAT444技术特性介绍
CPE
LSN
外网
用户侧私网地址: CPE内
运营商私网地址: CPE-LSN之间
v4
v4
v4
公网地址: LSN外
两次IPv4 NAT:
CPE做一次NAT44
LSN做一次NAT44
5
NAT444架构组成
NAT444 是基于NAT444 网关,结合AAA 服务器、网管服务 器、日志服务器等配套系统,提供运营商级NAT 转换,并支 持用户溯源和单点认证的部署方案和整体解决方案。
动态映射与静态映射优缺点比较
动态映射优点
地址利用率高
动态映射缺点
增加AAA、日志服务器负荷,对服务器性能要求高 AAA、日志服务器的存储空间要求很大
CGN设备需要额外发送日志并消耗硬件资源
Radius、Syslog基于UDP传输,须控制丢包率 溯源实现相对复杂
nat444 outbound static
静态映射配置参数要求:
LocalIpNum ≤ GlobalIpNum * PortBlockNum
LocalIpNum -- 用户地址池中的地址个数local GlobalIpNum -- 公网地址池中的地址个数global PortBlockNum -- 每个公网地址对应的端口块个数(port-range / block-size)
负责管理NAT444 网关设备, 并把用户地址映射参数发送 到NAT444 网关和AAA 服务 器 接受和记录用户访问信息, 响应用户访问信息查询
维护各NAT444 网关的用 户地址映射关系表,负责 用户认证、授权和计费, 记录和维护用户计费和账 号等信息
IP城域网NAT444项目实施研究
IP城域网NAT444项目实施研究张文慧;杨吉峰【摘要】全球IPV4地址资源已经枯竭,IPV6整个网络架设和运营需要很长时间才能够实现,NAT技术成为了缓解IPV4地址资源匮乏阻碍互联网发展唯一救命稻草。
于是,如何部署NAT成为了各运营商迫在眉睫的问题。
本文充分分析了典型城域网的特点和NAT建设会遇到的一些问题,设计了可行的方案,为运营商部署NAT提供了一些数据及理论上的借鉴。
【期刊名称】《齐齐哈尔大学学报(自然科学版)》【年(卷),期】2013(000)001【总页数】1页(P94-94)【关键词】运营商;IP城域网;IPV4;NAT;NAT444;CGN【作者】张文慧;杨吉峰【作者单位】中国联通齐齐哈尔分公司,黑龙江齐齐哈尔,161000;中国联通齐齐哈尔分公司,黑龙江齐齐哈尔,161000【正文语种】中文【中图分类】TP393.1随着全球互联网用户的爆炸增长,IANA(The Internet Assigned Numbers Authority,互联网数字分配机构)已在2011年将剩余IPV4地址分配完毕。
然而,各运营商IP城域网承载用户数量仍旧不断的增多,多数运营商的城域网会在2012年至2013年面临无法为用户提供服务的情况。
如何解决IPV4地址耗尽,而IPV6短期内无法大范围商业应用的问题,是摆在中国所有运营商面前的一道不可绕过的鸿沟。
运营商如何解决这个问题,在2011年IP地址分配联盟高峰论坛上,CNNIC演说胶片显示了下图一个页面。
就中国运营商目前的情况来看,选择NAT技术是逾越这个鸿沟的最理性的过渡方案。
对于具体实施,本文可以一个10万用户的小规模城域网为模型,进行理论性探讨。
首先,以一个国内三级城市主要运营商的 IP城域网 3年来PPPOE用户个数和PPPOE用户IPV4地址占用情况进行统计分析(以2011年末相关情况进行10万用户的核算得出),情况如下表。
12年末 13年末 14年末 15年末峰值PPPOE用户占用IP数 38200 47200 57700 69312 81661 94659 108300 IP占用增长数 9000 10500 11612 12349 12998 13641 IP占用增长率 23.56% 22.25% 20.12% 17.82% 15.92%14.41%PPPOE用户个数 73000 86000 100000 114000 127000 139000 150000 PPPOE用户增长数量 13000 14000 14000 13000 12000 11000 PPPOE用户增长率 17.81% 16.28% 14.00% 11.40% 9.45% 7.91%PPPOE用户实时在线率 52.33% 54.88% 57.70% 60.800% 64.30% 68.100% 72.20%PPPOE 用户实时在线率增长情况 2.55% 2.82% 3.10% 3.50% 3.80% 4.10%较现在需要增加IP的C类地址数-76-41 0 45 94 144 198 09年末 10年末 11年末按照用户实时在线率情况预计CNNIC演说胶片对于部分典型应用使用 session数量的统计。
铁通天津分公司宽带城域网案例-电脑资料
铁通天津分公司宽带城域网案例-电脑资料电信运营商在新一轮的投资中更为理性,更加关注网络的业务性能,。
因此,如何建设一个统一的多业务网络平台,并提供所有的网络业务以满足不同层次用户的需求,成为运营商应对当前激烈竞争的重要选择。
作为国内电信运营商,铁通公司目前已经形成具有相当规模的长途通信网、本地交换网、数据网、综合信息服务网等,在网络的完整性、覆盖面、技术装备水平等方面具有较强的优势,并积累了丰富的电信运营经验。
铁通要组多业务网在新网络的建设中,铁通公司更加注重面向多种网络业务,实现各种用户的接入,以此满足用户对不同业务的需求。
这一点在铁通天津分公司的城域网建设中得到了充分体现。
铁通天津宽带城域网建设的一期工程主要覆盖天津和平区的整个区域,以便建成后能够为该地区的社区用户和商业楼宇用户提供10M/100M的宽带接入服务,以及在此之上的视频点播等应用。
由于铁通公司在全国骨干网的建设中与思科公司有过非常成功的合作,因此在选择网络设备供应商时,铁通天津首先想到了思科,认为思科可以使客户的需求得到快速实施,并且思科的解决方案非常经济实用,可以带来较高的投资回报。
思科主推全服务网络思科作为全球领先的网络设备和解决方案提供商,在充分了解运营商和用户需求的基础上,提出了建设全服务网络的解决方案,以最大限度地整合运营商的现有网络资源,并以此为基础建设一个面向业务、健康和可持续发展的新网络。
思科的全服务网络解决方案以交换机为核心,主要采用Cisco Catalyst6000系列和Catalyst4000系列交换机进行网络部署。
网络的中心节点采用Catalyst 6000交换机,与周边的7台Catalyst 4000系列交换机以星型结构连接在一起,从而帮助运营商建设一个全服务的网络。
该方案的最大优势在于,它既满足了网络规模不大的情况下高速互联的需求,又不至于造成投资浪费。
Cisco Catalyst6000系列是骨干交换机,可以支持高接口密度,并具有强大的路由功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAT44技术在天津城域网中的实际应用
摘要:随着人们上网需求的不断发展,IPv4向IPv6过渡已成为必然趋势,NAT44技术是其中最为简单实现的方式之一。
文中介绍了IPv4几近枯竭的现状,解决此问题的技术方案,着重分析探讨NAT44的网络部署、城域网架构、用户溯源方式、相关系统改造等关键问题,最后提出了几点思考供参考。
关键词:NAT44 溯源城域网
1 背景介绍
对现代社会而言,网络的普及和发展,已经在社会生产和生活的各个领域都产生了十分巨大的影响,特别是网络作为物流载体被百姓广泛接纳和使用之后,其作用将会变得更为深远。
随着信息技术、通信技术、软件技术不断演进,如今涌现出网上购物、网上游戏、网上投资理财、实时视频、远程教育、远程医疗等互联网应用,网络服务与百姓生活已日益密不可分,甚至人们可以足不出户的完成工作和学习任务,可以让大家节约出更多的时间去处理一些其他的事,使人们在行动甚至是思想上都得到了解放。
这也导致互联网IPv4地址呈井喷式增长,目前IPv4地址资源已近枯竭,急需找到快速有效解决方案来支撑互联网的持续飞速发展需要。
下面来介绍几种解决方案,并结合天津网络现状重点讨论NAT44技术的应用。
2 天津联通城域网网络结构
天津联通城域网络分层:
天津联通城域网基本分为三个层次:核心层、汇聚层、接入层。
核心层功能:核心层主要由高端核心路由器CR集群组成,提供路由交换、业务承载和传输,向上连接骨干网,向下与汇聚层设备互联,其特征为宽带传输和高速调度。
汇聚层功能:汇聚层主要由高端路由器BR组成,主要功能是汇聚业务路由器SR和宽带接入服务器BRAS设备,提供用户业务数据的汇聚和分发处理。
接入层功能:接入层主要由SR和BRAS及下联DSLAM、AG、LAN交换机、OLT等接入设备组成。
BRAS设备功能:BRAS设备负责处理公众上网用户PPPOE 的处理及IP地址的分配。
SR主要负责集团大客户专线接入及IP地址分配。
故BRAS设备占用了互联网绝大部分的IP地址资源,且现BRAS设备IP地址占用率均较高,急需扩充IP 地址资源。
3 IPv4地址匮乏解决方案
为了解决IPv4地址紧缺的迫切问题,保证业务发展不受影响,必须寻找合适的应对技术,从理论上来说,迁移到IPv6
网络是一劳永逸的解决方案。
但是IPv6在设计上并没有考虑与现有IPv4网络的兼容问题,二者基本上属于各自独立的状态,而且由于所有的应用都部署在现有的IPv4网络内,无论是宽带用户还是应用服务器迁移到IPv6网络都非一朝一夕
可以完成。
这就必须要经历一个漫长的IPv4逐步向IPv6过渡过程。
IPv4向IPv6过渡的过程涉及终端、网络和应用等多方面的改造,不可能一蹴而就,为此出现了多种过渡技术,如DS-LITE、NAT64、6RD、双栈和NAT444等。
除NAT44技术外,其余几种技术在配置上较为复杂,且对用户终端及服务提供商应用服务器要求较高,均不适合大规模长期部署。
只有NAT444技术仅需在运营商侧引入二次NAT,并对终端、服务器的更改最小,所以建议NAT44为首选过渡方案。
下面详细讨论NAT44(NAT444)技术。
4 NAT44(NAT444)技术特点
NAT44方案对Internet用户分配IP地址的方式做了改变,由以前给每个宽带用户分配公网IP的方式,改为分配私网IP 给每个用户,统一在运营商一端部署NAT设备,在用户访问互联网时,由运营商把用户的私网地址翻译成公网地址以节省公网地址的使用。
NAT444主要是用户拨号上网获取私网IP 地址,由运营商部署运营级地址转换设备(CGN),同时与用户侧的NAT组成两级地址转换,形成三块地址空间,即用户
侧私有地址(路由方式)、用户拨号获取的运营商分配的私有地址、公网地址。
采用NAT44技术大大节省了IP地址资源,但也带来了溯源方式的改变。
这就要求AAA(计费认证系统)、SYSLOG服务器、测速系统、行为分析系统等周边平台网络进行相应改造来支持NAT44功能。
由于NAT444在运营商侧引入NAT,给用户分配的是私网地址,所以可能会出现在同一时间段多个用户采用同一个公网地址访问业务的情况,这样就给用户溯源带来难度。
NAT444提供的端口块分配方式,可以从根本上解决用户的溯源问题。
5 NAT44技术在宽带中的实际应用
组网方式
在城域网中可以通过插卡方式分别和BRAS和CR进行组网,以实现公私网地址的转换。
分布式部署在每台BRAS设备插入两块CGN板卡,CGN 板卡不要求支持路由协议。
此种方式由于私有地址路由信息不进入城域网,故私有地址不要求城域网统一规划。
这种方式是一种实现简单、风险较小的方案,但网络改造的投资成本较高。
集中式部署由在每台CR可以插入两块CGN板卡,CGN 板卡不要求支持路由协议。
私有地址路由进入了城域网,私
有地址要求全网统一规划。
同时此方式要实现负载分担较为麻烦,需要在CR配置复杂的策略路由。
综合考虑天津城域网网络结构、规模以及网络安全稳定性提出如下建议:①建议先期采用分布式BRAS插CGN板卡来实现NAT44功能,且应逐步分区域进行部署,端口块设为1024,且采用动态地址端口映射方式,这样可以实现1:64地址转换。
将节省下来的公网IP地址添加至老旧型号不支持NAT44功能的BRAS设备或城域网其他网络设备上。
②为保证网络安全,建议采用Radius私有属性扩展实现溯源。
且由BSS与AAA系统增加账号字段属性来标识业务受理时是否需要进行地址转换。
③BRAS应通过SYSLOG或SNMP TRAP方式输出告警信息,方便维护人员及时添加公私网IP地址,且在私有地址池满时自动由公网地址池继续分地址。
④BRAS通过用户连接数限制功能,可以防止某一用户会话过多从而占用设备大量资源的情况,同时有效可以防止外部发起的攻击。
6 结束语
NAT44技术是目前缓解城域网IP地址紧缺问题最行之有效的解决方案,但在实际部署中还有待试点运行中不断发现和解决问题。
特别是相关IP支撑系统和IT支撑系统的改造是一个复杂的系统工程,需要不断总结经验,逐步推进网络和业务的演进,促进互联网全面健康发展。
参考文献:
[1]Todd NA学习指南[M].电子工业出版社.
[2]张耿,周璇.《华为接入网维护宝典》.华为技术有限公司.
[3]Mark A.Sportack.IP寻址技术[M].人民邮电出版社.
[4]张旺,王茹.华为宽带接入服务器BRAS维护宝典.华为技术有限公司.。