電信運營商IPv6 NAT444備份方案

?

電信運營商IPv6 NAT444備份方案

黃鵬

（江西省郵電規劃設計院有限公司，南昌 330002）

摘 要分析了目前分布式NAT444部署方案的網絡架構、業務流程、溯源流程和安全備份機制，提出了幾種安全備份方案，并且對各種方案的實現原理和優劣性等進行分析，以便在今后的實際工程設計和部署中能夠提供參考。

關鍵詞IPv6；NAT444；備份；安全；建設成本

面對日益緊迫的地址需求，電信運營商均在2010年前后開展了下一代互聯網過渡技術的試點工作，其中NAT444被認為是首選的過渡方案，以其技術成熟度高、設備產業鏈豐富和部署周期短、效率高而在全國大規模部署。但考慮到安全問題，部署分布式NAT444均采用1∶1或1+1備份方式，造成部署成本較高，而過渡技術在現階段暫未能衍生出新的增值收益，所以，如何在保證安全性的前提下，盡量減少建設成本是本次需要探討的問題。

1　分布式NAT444方案

部署NAT444首先應該開啟雙棧路由，開啟IPv4 與IPv6兩個轉發通道，在IPv4通道中，城域網的CGN將來自用戶或終端的數據報文進行源地址翻譯，在運營商網內實現公有源地址復用，滿足大量采用私有地址用戶接入網絡的需求。

NAT444是緩解IPv4公網地址緊張最直接的方式，同時可以推動網絡對IPv6的支持。

目前，大多采用分布式NAT444部署方案，通過在BRAS上插入CGN板卡進行地址翻譯，而一般會配置兩塊及以上的CGN板卡，各CGN板卡之間實現1+1 或1∶1、1∶1備份。

2　NAT444業務流程

部署NAT444后，對于用戶是透明無感知的，用戶終端或PC如支持雙棧，則可以被改造成NAT444用戶，下面舉例路由型的用戶，詳細說明改造后的用戶撥號和上網流程。

（1）客戶家庭網關進行撥號，與目前撥號流程一致，無需改動。

（2）AAA查詢用戶的接入屬性（公網雙棧/NAT444/DS-Lite等），同時根據系統指定的規則，將結果返回給BRAS。

（3）BRAS根據AAA返回結果為家庭網關分配相應的IP地址（如家庭網關開啟雙棧，將會分配一個IPv4私網地址和一個IPv6地址前綴，如家庭網關未開啟雙棧或不支持雙棧，則只分配一個IPv4私網地址）。

（4）家庭網關則分配給PC一個IPv4私網地址和一個IPv6公網地址（如不支持雙棧，則PC只能獲取一個私網IPv4地址，與目前一致）。

（5）用戶上網過程中通過發送IPv4和IPv6的DNS查詢，根據DNS返回的結果去訪問互聯網中的相關IPv4/IPv6資源。

但對于一些特殊應用，則不適應于NAT444，如用戶PC作為私服（游戲服務器、FTP服務器或語音服務器），主要是因為在NAT轉換時端口的變化是不受控制的，故在多級NAT轉換后，原有服務端無法繼續提供服務，遇到這種問題，需要對用戶進行回退處理。

3　現有安全備份機制及存在問題

現階段主流的CGN設備的處理能力都比較大，單板吞吐量可達到40 Gbit/s，并發連接數可達16 Mbit/s，可接入用戶4～6萬，完全可以滿足當前及今后幾年內的用戶需求。

而考慮到安全性問題，目前在實際中統一設置兩塊CGN板卡，形成1+1或1∶1備份，當其中一塊CGN板卡出現故障時，另外一塊CGN板卡可實時接管相應的業務。隨著IPv6部署的持續推進，而過渡技術在現階段暫未能衍生出新的增值收益，這種備份方式會造成大量的投資浪費。

4　建設方案

根據上面的介紹,結合技術的成熟度、設備的支撐情況、對用戶的影響程度等因素，提出了兩種建設方案，分別為獨立式CGN集中備份方案和公網地址回退備份方案，這兩種備份方案下，每臺BRAS均只需要插入1 塊CGN板卡，下面將針對這兩種方案進行介紹。

4.1 獨立式CGN集中備份方案

所謂集中備份方案，顧名思義就是專門部署獨立CGN設備，一旦BRAS上面的CGN板卡故障后，則由獨立的CGN設備承擔NAT444的功能。

4.1.1 方案介紹

在城域網CR側旁掛2臺獨立式CGN設備，一般采用BRAS設備插入CGN板卡或者使用防火墻等NAT設備，組網架構圖如圖1所示。

CGN設備與CR之間支持運行BGP路由協議，通告CGN配置的公有地址池信息，并由CR通告到互聯網。同時，CGN與CR之間支持運行IGP路由協議，接收用戶路由。

4.1.2 策略部署

如圖2所示，使用策略路由的方式，在CR、BRAS、CGN設備上針對上下行流量分別手工配置。具體策略如下。

（1）針對上行流量（出城流量): CR用IBGP向CGN下發缺省路由，CGN上行公網流量通過缺省路由轉發到CR；在CR用戶側接口上配置策略路由，引導私網IPv4流量上行到CGN；CR用IBGP向BRAS下發缺省路由：BRAS1/BRAS2到CR1和CR2為等價路由，流量基于目的地址負載分擔。

圖1　獨立式CGN集中備份方案架構圖

（2）針對下行流量（進城流量）：BRAS用IBGP發布私網地址池路由，CR同時用IBGP將私網路由發布給CGN，引導下行流量到BRAS。

CGN用IBGP發布公網地址池路由，主CGN向外發布的網段路由Cost值小；備用CGN向外發布的網段路由Cost值大，確保回程流量一定會自動選路到主用CGN上轉發。

4.1.3 存在的問題

（1）每個BRAS設備上面的私網地址不能復用。

（2）CR設備需要時刻對流量進行策略檢查，消耗大量的計算資源，增加設備的負擔，甚至會影響路由轉發性能。

（3）由于采用集中式方案，所以在CGN設備上沒有用戶的相應信息，無法實現針對不同類型用戶分配不同端口數量和Session數量的配置。

（4）無法實現Radius動態溯源，需要重新建設溯源平臺，增加總體建設成本，同時需要更改那些需要自動識別用戶的業務系統的流程；原本系統均與AAA平臺有相應接口，可根據用戶的IP地址自動識別用戶賬號和權限，但采用集中式后，需要重新開發接口，更改流程。

（5）對業務的影響：故障切換前后，用戶NAT轉換后，源IP公網地址會發生變化，NAT Session也有一個重建的過程，將會導致業務中斷，如網頁、游戲、視頻、網銀、VoIP等。

4.2 公網地址回退備份方案

采用公網地址回退實際上是一種妥協的應對故障方案，一旦BRAS上面的CGN板卡故障，則自動分配一個公網IPv4地址給用戶，保障業務正常運行。

4.2.1 方案介紹

在BRAS上的唯一一塊CGN板卡發生故障后，BRAS不再轉發用戶流量到CGN板卡，而是強制用戶下線重撥，再給用戶重新分配公網地址，通過公網地址上線，正常訪問網絡，在CGN板卡故障恢復后，可以手動切換回CGN，由于備用公網IPv4地址是共享的，因此，總體來說可以實現IPv4地址的節省。

4.2.2 策略部署

該方案最主要的技術問題在于公網地址的發布和路由發布，地址發布一般可選擇靜態配置和AAA動態指定，具體操作如下。

4.2.2.1 靜態配置公網地址池

首先在所有的BRAS設備上配置一個公網IPv4地址池，但路由不對外發布。

一旦CGN板卡出現故障，BRAS設備可感知到，這時候可自動生效公網IPv4地址池，同時對外發布這個特定的路由信息。

最后BRAS給用戶分配公網IPv4地址，用戶可通過公網IP地址上網。網絡架構圖如圖3所示。

圖2　獨立式CGN集中備份方案策略部署

使用靜態配置的方式，不夠靈活，但實現原理簡單，不需要AAA等平臺配合，但是這項功能并不是所有的BRAS設備都支持。

而且對于配置的公網IPv4地址池會出現一個矛盾，如果所有BRAS都配置相同的IPv4公網地址池，這樣可以節省公網地址，但是如果同時有超過一臺BRAS設備的CGN板卡出現故障，則不可行；如果所有BRAS配置不同的地址池，這樣安全系統提高，但卻起不到節省公網地址的效果。

4.2.2.2 AAA動態指定公網地址池

首先需要在AAA平臺上配置一個公網IPv4地址池。

一旦BRAS的CGN板卡出現故障，BRAS設備可感知到，通過接口將信息上報給AAA平臺。

用戶再次撥號后，AAA自動給BRAS設備分配公網地址池，同時BRAS可給用戶分配指定的地址池的公網IP地址，用戶可通過公網IP進行上網。網絡架構圖如圖4所示。

使用動態指定的方案技術實現靈活，可在AAA在配置幾個公網地址池，以便當出現故障的數量大于1時啟用，不會因為不可預知的風險而像靜態配置方式那樣浪費公網IP地址。

但是方案改造量較大，需要AAA與BRAS之間開發新的接口傳遞故障信息，實現難度較大。

4.2.3 存在問題

（1）對業務的影響：故障切換前后，用戶NAT轉換后，源IP公網地址會發生變化，NAT Session也有一個重建的過程，將會導致業務中斷。

（2）網頁、游戲、視頻、網銀、VoIP等與集中式備份方案一樣。

（3）技術實現復雜，改造工作量較大，而開發新的接口也將增加總體工程投資。

（4）很多操作需要BRAS設備自動實現，目前現網BRAS設備廠商和種類較多，軟件版本差異較大，設備總體支持率較差。

4.3 技術方案比較

4.3.1 故障回退

4.3.1.1 傳統方案

用戶無需斷線重連，業務無中斷，用戶無感知。

4.3.1.2 集中備份方案

該方案的核心主要在兩個方面，第一就在于策略路由的設置，需要在BRAS和CR的進出端口均部署相應的策略路由；第二是集中的CGN板卡的故障感知，從而觸發策略路由生效及流量轉發。

圖3　靜態配置公網地址池策略部署

圖4　AAA指定公網地址池策略部署

存在的技術問題如下。

（1）策略路由的部署需手工完成，工作量較大，一旦涉及網絡割接等操作，需要排查故障，難度較大。

（2）CR側需要時刻開啟策略路由，對進出流量進行ACL匹配，會消耗較大的CR資源，甚至影響到正常的流量路由轉發。

（3）CGN板卡故障感知：由于CGN板卡出現故障的現象多樣，BRAS設備如何能精確感知判斷，并且使能策略路由關系到用戶業務的正常接入。

4.3.1.3 公網地址回退方案

該方案的核心主要在兩個方面，第一就在需要定制開發協議，如BRAS與AAA的接口、BRAS自動下發配置；第二是集中的CGN板卡的故障感知，從而觸發策略路由生效及流量轉發。

存在的技術問題如下。

（1）定制開發難度較大，周期較長。

（2）CGN板卡故障感知：由于CGN板卡出現故障的現象多樣，BRAS設備如何能精確感知判斷，并且使能策略路由關系到用戶業務的正常接入。

4.3.2 其它方面

綜合上面的技術介紹和故障回退比較，下面對3種安全備份方案進行比較，主要從用戶體驗、工程投資、改造難度、用戶溯源和對周邊系統改造情況進行分析，如表1所示。

由于需要在現網中進行改造部署，勢必會對現網業務造成影響，不能簡單的通過上述的比較，而選擇出最佳方案，而是應該根據實際的情況進行綜合的分析判定。

5　結束語

為了滿足國家“十二五”IPv6商用部署的要求，積極推進向下一代互聯網的演進，各大運營商都已經投入了大量的資金和人力，但是目前仍然沒有實際的IPv6業務應用需求，在這種情況下，對于企業來說，部署IPv6短期內不會產生直接的經濟收益，而且還不應影響或降低現有用戶上網應用的感知，保障用戶上網質量。在這些約束條件下，如何進行網絡改造，滿足用戶需求，除了選擇合適的技術方案，更需要密切關注IPv6的業務需求，開創新的業務增值點。

表1　各種備份方案對比

參考文獻

[1]戴源，楊建，袁源，等. 下一代互聯網IPv6過渡技術與部署實例[M]. 北京：人民郵電出版社，2014.

[2]楊國良，李陽春，伍估明. IPv6技術、部署與業務應用[M].北京：人民郵電出版社，2011.

Discussion on telecom operators IPv6 NAT444 backup solutions

HUANG Peng

(Jiangxi Planning & Designing Institute of Post & Telecommunications Limited, Nanchang 330002, China)

Abstract First analysis of the current deployment scheme of distributed NAT444 network architecture, business process, traceability procedures and safety backup mechanism, then several safety backup scheme, and the implementation principle and advantages and disadvantages of various kinds of schemes are analyzed, in order to design and deploy can provide reference in practical engineering in the future.

Keywords IPv6; NAT444; backup; security; construction cost

收稿日期：2014-12-18

文章編號1008-5599（2015）04-0075-06

文獻標識碼A

中圖分類號TN915