NAT技術在IP城域網中的應用

摘 要：基于IPv4公有地址耗盡的背景，從運營商IP城域網現狀出發分析NAT技術特點，結合分析結果，最終給出了適用的應用場景建議。

關鍵詞：IPv4；IPv6；演進；NAT

中圖分類號：TN915.0 文獻標識碼：A 文章編號：1674-7712 （2014） 18-0000-01

IPv6是解決IPv4地址耗盡問題的根本解決方案，但是由于現有IPv4用戶存量很大，絕大部分現網還不支持IPv6應用，使得現網從IPv4向IPv6演進的難度較大。因此，IPv6過渡方案顯得尤為重要。

一、IPv6過度技術

IPv6過渡技術，一般分為三大類：雙棧、隧道和NAT技術。

（一）雙棧技術。雙棧節點與IPv4節點通訊時使用IPv4協議棧，與IPv6節點通訊時使用IPv6協議棧。雙棧是IPv6過渡的基礎，但雙棧不能解決地址短缺的問題。

（二）隧道技術。提供了兩個IPv6站點之間通過IPv4網絡實現通訊連接，以及兩個IPv4站點之間通過IPv6網絡實現通訊連接的技術。

（三）NAT技術。提供了IPv4網絡與IPv6網絡之間的互訪技術，分為兩類：一類是IPv4私有地址到IPv4公有地址的地址轉換NAT技術（或稱為NAT44），另一類是IPv4與IPv6地址之間轉換的技術。目前，NAT技術是最好最快緩解IP城域網IPv4地址不足問題的最好辦法之一。

二、NAT技術在城域網中應用

在網絡演進初期階段，NAT444（兩次地址轉換，一次在CPE，一次在CGN）是解決IPv4地址短缺的必由之路，在網絡演進中后期階段，NAT64是解決IPv64訪問IPv4的關鍵技術。

在IP城域網部署需要考慮以下因素：性能容量足夠支持規劃用戶數、高可靠以保持用戶業務感知、可管理、方便溯源、對應用程序友好等方面。

（一）性能容量。運營商環境下，每NAT支持的用戶數非常多，可能達到十萬級別的用戶數，每用戶的平均流量可能在幾百kbits/s左右，NAT設備需要100G級別的轉發能力。實驗表明，Web2.0網頁的點擊會生成數十個TCP連接，P2P應用會生成超過100個會話，每用戶預留1000個端口配額可滿足一般用戶需求，NAT設備需要具備每秒新建百萬會話、維持千萬活動會話的能力。

（二）可靠性。通過部署NAT設備冗余和設備內板級備份來提高NAT網絡的可靠性，當主用設備故障后能夠自動切換到備用設備上。與一般業務不同，NAT會話是有狀態的，會話生成和老化非常快，CGN上可能達到每秒百萬會話的狀態變化，備份會話需要進行協議交互，這種情況下備份幾乎不可能做到可靠；而且一般認為絕大部分NAT會話的生存時間都極短，備份價值非常小。所以目前被廣泛接受的是只對生存時間較長的會話進行備份。

（三）用戶管理。CGN應用環境下需要進行端口配額管理，避免少數用戶濫用導致其他共享IP地址的用戶無法正常使用網絡。此外，一般還需要保持外部地址的惟一性和端口的奇偶性，規避某些特殊端口（例如可能被判別為病毒的端口）等，需要CGN具備可管理的特性。

（四）地址溯源。部署NAT還必須考慮溯源問題，溯源同時需要應用層面支持，比如網站的訪問日志不能僅僅記錄IP地址，還需要記錄端口信息。按照普通實現按session記錄日志，在CGN環境下，日志流量可能高達數十MBytes/s，需要極高性能的日志處理和存儲系統，提高了運維成本。CGN可通過支持端口預分配技術，一次為用戶預留數百上千個端口，降低NAT日志規模至千分之一或更小。

（五）應用程序友好。NAT根據實現有多種運行模式。

（1）Full cone NAT

（2）Address-Restricted cone NAT

（3）Port-Restricted cone NAT

（4）Symmetric NAT

其中，Full cone NAT的限制最少，對應用程序最友好，相對地安全風險較高，安全和方便往往對立。在運營商應用環境中，建議使用Full cone NAT模式，原因是：現有的IP網絡也是用戶自己負責安全，限制過多將增加投訴和報障，從而增加運營商成本；過于嚴格的限制會增加應用程序的開發難度和部署運行成本。

（1）按需部署CGN通過配置或加載不同軟件支持NAT44、NAT64、DS-Lite，在演進過程的不同階段通過使能不同特性滿足業務需求，無需更換硬件以保護投資。CGN在網絡中的部署依賴于NAT在網絡中的部署位置，可以有集中式和分布式兩種部署方式：1）集中式部署中NAT為全網私網用戶服務，具體表現是在CR（核心路由器）上增加NAT功能模塊，或在出口路由器旁掛NAT設備。由于在CR上增加NAT功能模塊不符合CR簡單穩定可靠的網絡設計原則，一般不建議；2）分布式部署則是NAT只服務特定區域的私網用戶，具體表現是在BNG上增加NAT功能模塊，或在BNG旁掛NAT設備。

（2）兩種部署方式對比。1）建設成本。由于集中式部署設備數目更少，且集中管理，每用戶建設成本相對低；而分布式每用戶建設成本相對高；2）網絡路由。對于集中式路由部署比較復雜，流量迂回一般難以避免；而分布式網絡結構變化小，只需要在SPOP調整路由，SPOP之上無需變化；3）維護和故障處理。集中式每NAT的作用范圍大，出現故障影響面廣，故障定位相對困難；但是另外一方面，由于NAT設備少，集中維護，可快速處理故障；而分布式每NAT的作用范圍小，相對容易定位故障；4）性能需求。集中式對NAT設備的轉發性能、session表容量和session創建速率要求很高；而分布式對NAT設備的性能要求一般，甚至可以集成到BNG中。

三、結束語

本文討論了運營商IP城域網從IPv4演進到IPv6的過度技術，重點分析了NAT技術。分別從建設成本、網絡路由、維護、性能等方面對NAT技術部署方式進行了分析和對比。建議運營商在具體部署中應根據自身特點，如網絡現狀、業務需求、地址枯竭度、技術標準化、產品成熟度和投資等因素綜合分析和選擇相應部署方式。

然而對于大型IP城域網私網地址也仍然是有限的，NAT只能緩解地址的短缺問題，最終仍然需向IPv6遷移。

參考文獻：

[1]趙慧玲.下一代互聯網發展綜述及整體架構演進思考[J].電信科學，2011（27）：9-13.

[作者簡介]于佳（1982-），男，黑龍江佳木斯人，碩士，主要從事數據通信網絡相關的咨詢、設計及研究工作；郭力培（1982-），男，河北石家莊人，碩士，主要從寬帶網絡設計及規劃工作。