电信运营商IPv6 NAT444备份方案
黄鹏
(江西省邮电规划设计院有限公司,南昌 330002)
摘 要分析了目前分布式NAT444部署方案的网络架构、业务流程、溯源流程和安全备份机制,提出了几种安全备份方案,并且对各种方案的实现原理和优劣性等进行分析,以便在今后的实际工程设计和部署中能够提供参考。
关键词IPv6;NAT444;备份;安全;建设成本
面对日益紧迫的地址需求,电信运营商均在2010年前后开展了下一代互联网过渡技术的试点工作,其中NAT444被认为是首选的过渡方案,以其技术成熟度高、设备产业链丰富和部署周期短、效率高而在全国大规模部署。但考虑到安全问题,部署分布式NAT444均采用1∶1或1+1备份方式,造成部署成本较高,而过渡技术在现阶段暂未能衍生出新的增值收益,所以,如何在保证安全性的前提下,尽量减少建设成本是本次需要探讨的问题。
部署NAT444首先应该开启双栈路由,开启IPv4 与IPv6两个转发通道,在IPv4通道中,城域网的CGN将来自用户或终端的数据报文进行源地址翻译,在运营商网内实现公有源地址复用,满足大量采用私有地址用户接入网络的需求。
NAT444是缓解IPv4公网地址紧张最直接的方式,同时可以推动网络对IPv6的支持。
目前,大多采用分布式NAT444部署方案,通过在BRAS上插入CGN板卡进行地址翻译,而一般会配置两块及以上的CGN板卡,各CGN板卡之间实现1+1 或1∶1、1∶1备份。
部署NAT444后,对于用户是透明无感知的,用户终端或PC如支持双栈,则可以被改造成NAT444用户,下面举例路由型的用户,详细说明改造后的用户拨号和上网流程。
(1)客户家庭网关进行拨号,与目前拨号流程一致,无需改动。
(2)AAA查询用户的接入属性(公网双栈/NAT444/DS-Lite等),同时根据系统指定的规则,将结果返回给BRAS。
(3)BRAS根据AAA返回结果为家庭网关分配相应的IP地址(如家庭网关开启双栈,将会分配一个IPv4私网地址和一个IPv6地址前缀,如家庭网关未开启双栈或不支持双栈,则只分配一个IPv4私网地址)。
(4)家庭网关则分配给PC一个IPv4私网地址和一个IPv6公网地址(如不支持双栈,则PC只能获取一个私网IPv4地址,与目前一致)。
(5)用户上网过程中通过发送IPv4和IPv6的DNS查询,根据DNS返回的结果去访问互联网中的相关IPv4/IPv6资源。
但对于一些特殊应用,则不适应于NAT444,如用户PC作为私服(游戏服务器、FTP服务器或语音服务器),主要是因为在NAT转换时端口的变化是不受控制的,故在多级NAT转换后,原有服务端无法继续提供服务,遇到这种问题,需要对用户进行回退处理。
现阶段主流的CGN设备的处理能力都比较大,单板吞吐量可达到40 Gbit/s,并发连接数可达16 Mbit/s,可接入用户4~6万,完全可以满足当前及今后几年内的用户需求。
而考虑到安全性问题,目前在实际中统一设置两块CGN板卡,形成1+1或1∶1备份,当其中一块CGN板卡出现故障时,另外一块CGN板卡可实时接管相应的业务。随着IPv6部署的持续推进,而过渡技术在现阶段暂未能衍生出新的增值收益,这种备份方式会造成大量的投资浪费。
根据上面的介绍,结合技术的成熟度、设备的支撑情况、对用户的影响程度等因素,提出了两种建设方案,分别为独立式CGN集中备份方案和公网地址回退备份方案,这两种备份方案下,每台BRAS均只需要插入1 块CGN板卡,下面将针对这两种方案进行介绍。
4.1 独立式CGN集中备份方案
所谓集中备份方案,顾名思义就是专门部署独立CGN设备,一旦BRAS上面的CGN板卡故障后,则由独立的CGN设备承担NAT444的功能。
4.1.1 方案介绍
在城域网CR侧旁挂2台独立式CGN设备,一般采用BRAS设备插入CGN板卡或者使用防火墙等NAT设备,组网架构图如图1所示。
CGN设备与CR之间支持运行BGP路由协议,通告CGN配置的公有地址池信息,并由CR通告到互联网。同时,CGN与CR之间支持运行IGP路由协议,接收用户路由。
4.1.2 策略部署
如图2所示,使用策略路由的方式,在CR、BRAS、CGN设备上针对上下行流量分别手工配置。具体策略如下。
(1)针对上行流量(出城流量): CR用IBGP向CGN下发缺省路由,CGN上行公网流量通过缺省路由转发到CR;在CR用户侧接口上配置策略路由,引导私网IPv4流量上行到CGN;CR用IBGP向BRAS下发缺省路由:BRAS1/BRAS2到CR1和CR2为等价路由,流量基于目的地址负载分担。
图1 独立式CGN集中备份方案架构图
(2)针对下行流量(进城流量):BRAS用IBGP发布私网地址池路由,CR同时用IBGP将私网路由发布给CGN,引导下行流量到BRAS。
CGN用IBGP发布公网地址池路由,主CGN向外发布的网段路由Cost值小;备用CGN向外发布的网段路由Cost值大,确保回程流量一定会自动选路到主用CGN上转发。
4.1.3 存在的问题
(1)每个BRAS设备上面的私网地址不能复用。
(2)CR设备需要时刻对流量进行策略检查,消耗大量的计算资源,增加设备的负担,甚至会影响路由转发性能。
(3)由于采用集中式方案,所以在CGN设备上没有用户的相应信息,无法实现针对不同类型用户分配不同端口数量和Session数量的配置。
(4)无法实现Radius动态溯源,需要重新建设溯源平台,增加总体建设成本,同时需要更改那些需要自动识别用户的业务系统的流程;原本系统均与AAA平台有相应接口,可根据用户的IP地址自动识别用户账号和权限,但采用集中式后,需要重新开发接口,更改流程。
(5)对业务的影响:故障切换前后,用户NAT转换后,源IP公网地址会发生变化,NAT Session也有一个重建的过程,将会导致业务中断,如网页、游戏、视频、网银、VoIP等。
4.2 公网地址回退备份方案
采用公网地址回退实际上是一种妥协的应对故障方案,一旦BRAS上面的CGN板卡故障,则自动分配一个公网IPv4地址给用户,保障业务正常运行。
4.2.1 方案介绍
在BRAS上的唯一一块CGN板卡发生故障后,BRAS不再转发用户流量到CGN板卡,而是强制用户下线重拨,再给用户重新分配公网地址,通过公网地址上线,正常访问网络,在CGN板卡故障恢复后,可以手动切换回CGN,由于备用公网IPv4地址是共享的,因此,总体来说可以实现IPv4地址的节省。
4.2.2 策略部署
该方案最主要的技术问题在于公网地址的发布和路由发布,地址发布一般可选择静态配置和AAA动态指定,具体操作如下。
4.2.2.1 静态配置公网地址池
首先在所有的BRAS设备上配置一个公网IPv4地址池,但路由不对外发布。
一旦CGN板卡出现故障,BRAS设备可感知到,这时候可自动生效公网IPv4地址池,同时对外发布这个特定的路由信息。
最后BRAS给用户分配公网IPv4地址,用户可通过公网IP地址上网。网络架构图如图3所示。
图2 独立式CGN集中备份方案策略部署
使用静态配置的方式,不够灵活,但实现原理简单,不需要AAA等平台配合,但是这项功能并不是所有的BRAS设备都支持。
而且对于配置的公网IPv4地址池会出现一个矛盾,如果所有BRAS都配置相同的IPv4公网地址池,这样可以节省公网地址,但是如果同时有超过一台BRAS设备的CGN板卡出现故障,则不可行;如果所有BRAS配置不同的地址池,这样安全系统提高,但却起不到节省公网地址的效果。
4.2.2.2 AAA动态指定公网地址池
首先需要在AAA平台上配置一个公网IPv4地址池。
一旦BRAS的CGN板卡出现故障,BRAS设备可感知到,通过接口将信息上报给AAA平台。
用户再次拨号后,AAA自动给BRAS设备分配公网地址池,同时BRAS可给用户分配指定的地址池的公网IP地址,用户可通过公网IP进行上网。网络架构图如图4所示。
使用动态指定的方案技术实现灵活,可在AAA在配置几个公网地址池,以便当出现故障的数量大于1时启用,不会因为不可预知的风险而像静态配置方式那样浪费公网IP地址。
但是方案改造量较大,需要AAA与BRAS之间开发新的接口传递故障信息,实现难度较大。
4.2.3 存在问题
(1)对业务的影响:故障切换前后,用户NAT转换后,源IP公网地址会发生变化,NAT Session也有一个重建的过程,将会导致业务中断。
(2)网页、游戏、视频、网银、VoIP等与集中式备份方案一样。
(3)技术实现复杂,改造工作量较大,而开发新的接口也将增加总体工程投资。
(4)很多操作需要BRAS设备自动实现,目前现网BRAS设备厂商和种类较多,软件版本差异较大,设备总体支持率较差。
4.3 技术方案比较
4.3.1 故障回退
4.3.1.1 传统方案
用户无需断线重连,业务无中断,用户无感知。
4.3.1.2 集中备份方案
该方案的核心主要在两个方面,第一就在于策略路由的设置,需要在BRAS和CR的进出端口均部署相应的策略路由;第二是集中的CGN板卡的故障感知,从而触发策略路由生效及流量转发。
图3 静态配置公网地址池策略部署
图4 AAA指定公网地址池策略部署
存在的技术问题如下。
(1)策略路由的部署需手工完成,工作量较大,一旦涉及网络割接等操作,需要排查故障,难度较大。
(2)CR侧需要时刻开启策略路由,对进出流量进行ACL匹配,会消耗较大的CR资源,甚至影响到正常的流量路由转发。
(3)CGN板卡故障感知:由于CGN板卡出现故障的现象多样,BRAS设备如何能精确感知判断,并且使能策略路由关系到用户业务的正常接入。
4.3.1.3 公网地址回退方案
该方案的核心主要在两个方面,第一就在需要定制开发协议,如BRAS与AAA的接口、BRAS自动下发配置;第二是集中的CGN板卡的故障感知,从而触发策略路由生效及流量转发。
存在的技术问题如下。
(1)定制开发难度较大,周期较长。
(2)CGN板卡故障感知:由于CGN板卡出现故障的现象多样,BRAS设备如何能精确感知判断,并且使能策略路由关系到用户业务的正常接入。
4.3.2 其它方面
综合上面的技术介绍和故障回退比较,下面对3种安全备份方案进行比较,主要从用户体验、工程投资、改造难度、用户溯源和对周边系统改造情况进行分析,如表1所示。
由于需要在现网中进行改造部署,势必会对现网业务造成影响,不能简单的通过上述的比较,而选择出最佳方案,而是应该根据实际的情况进行综合的分析判定。
为了满足国家“十二五”IPv6商用部署的要求,积极推进向下一代互联网的演进,各大运营商都已经投入了大量的资金和人力,但是目前仍然没有实际的IPv6业务应用需求,在这种情况下,对于企业来说,部署IPv6短期内不会产生直接的经济收益,而且还不应影响或降低现有用户上网应用的感知,保障用户上网质量。在这些约束条件下,如何进行网络改造,满足用户需求,除了选择合适的技术方案,更需要密切关注IPv6的业务需求,开创新的业务增值点。
表1 各种备份方案对比
参考文献
[1]戴源,杨建,袁源,等. 下一代互联网IPv6过渡技术与部署实例[M]. 北京:人民邮电出版社,2014.
[2]杨国良,李阳春,伍估明. IPv6技术、部署与业务应用[M].北京:人民邮电出版社,2011.
Discussion on telecom operators IPv6 NAT444 backup solutions
HUANG Peng
(Jiangxi Planning & Designing Institute of Post & Telecommunications Limited, Nanchang 330002, China)
Abstract First analysis of the current deployment scheme of distributed NAT444 network architecture, business process, traceability procedures and safety backup mechanism, then several safety backup scheme, and the implementation principle and advantages and disadvantages of various kinds of schemes are analyzed, in order to design and deploy can provide reference in practical engineering in the future.
Keywords IPv6; NAT444; backup; security; construction cost
收稿日期:2014-12-18
文章编号1008-5599(2015)04-0075-06
文献标识码A
中图分类号TN915