为什么需求运营商级NAT设备?51CTO博客 - 娱乐之横扫全球

为什么需求运营商级NAT设备?51CTO博客

2019年02月28日12时31分47秒 | 作者: 胤运 | 标签: 设备,需求,运营商 | 浏览: 2980

 2011年阴历大年初二,咱们或许留意到这么一则新闻:全球尖端IP地址分配组织IANA分配完了最终5个A级地址块,由此IANA宣告IPv4地址告罄。2011年,APNIC(亚太互联网络信息中心)宣告其剩下的可自在分配的IPv4地址已悉数分配结束(还剩一个A的非自在分配的地址块留给会员,但每个会员最多可请求4个C的地址),亚太地区进入IPv4地址耗尽阶段。随后几个月,我国各大运营商从APNIC以会员资历请求到了最终的几个C,至此各运营商也陷入了IPv4地址耗尽的窘境。

为了处理IPv4地址紧缺的火急问题,确保事务开展不受影响,有必要寻觅适宜的应对技能,从理论上来说,迁移到IPv6网络是一了百了的处理计划,可是IPv6在规划上并没有考虑与现有IPv4网络的兼容问题,二者根本上归于各自独立的状况,而且因为一切的运用都布置在现有的IPv4网络内,不管是宽带用户仍是运用服务器迁移到IPv6网络都非一朝一夕可以完结,尤其是在IPv6建造相对单薄而网民很多的我国,完成的难度更大。因而有必要在现有IPv4网络上寻觅可以推迟IPv4地址耗尽的应对技能,NAT444/NAT44的计划应运而生。

NAT444/NAT44计划对Internet用户分配IP地址的方法做了改动,由曾经给每个宽带用户分配公网IP的方法,改为分配私网IP给每个用户,一致在运营商一端布置NAT设备,在用户拜访Internet时,由运营商把用户的私网地址翻译成公网地址以节约公网地址的运用。

从上面两个拓扑图可以看出,NAT444对应的是传统宽带用户以及集团宽带用户的处理计划,而NAT44则是用于3G/4G 网络的智能终端上网的一种处理计划。

不管是NAT444仍是NAT44关于运营商一端的NAT设备的要求都是相同的,那么运营商一端要挑选什么样的NAT设备呢?

咱们知道NAT技能已经在家庭网关和企业网络中运用多年,大至防火墙路由器小至一般的家庭网关设备都支撑老练的NAT技能。那么这些NAT设备是否可以满意运营商等级的需求呢? 咱们来讨论一下。

作为运营商等级的NAT设备有必要满意如下几个方面的需求:

  • 功用:因为海量的宽带用户拜访,对运营商NAT设备的要求远高于之前的NAT设备。
  • 可运营和可办理性(SLA):因为IPv4地址的缺少,有必要对每个用户运用的NAT端口数进行操控,不然NAT地址或许会被少量拜访量大的用户将端口占尽,而其别人则无端口可用导致拜访缓慢。
  • 进步NAT地址/端口的运用率。
  • 关于P2P等运用要有更好的透过性。
  • 支撑溯源满意公安部门的查看:需求NAT设备可以输出log到log 服务器,而且输出log的功用需求得到确保。

 

传统的NAT设备并没有就以上几点做特别的规划和优化,很难满意运营商真实的需求,新一代的运营商等级的NAT设备因而诞生。

运营商级NAT( Carrier Grade NAT) 又称为 LSN (Large Scale NAT), 是专门为满意运营商等级NAT需求而提出的NAT技能。(以下简称为LSN)

LSN设备的规划参照了如下一些标准和要求:

  • BEHAVE-TCP (RFC 5382)
  • BEHAVE-UDP (RFC 4787)
  • BEHAVE-ICMP (RFC 5508)
  • Draft-ietf-behave-lsn-requirements
  • IETF draft-nishitani-cgn
  • IETF draft-shirasaki-nat444
  • IETF draft-shirasaki-nat444-isp-shared-addr
  • 我国电信NAT444/44设备技能标准(为行标拟定)

咱们知道,NAT技能从大的方向分为Symetric NAT和Cone NAT(Full Cone,Restricted Cone,Port Restricted Cone NAT)两类。传统的NAT设备根本上只支撑Symetric NAT,而LSN设备既支撑Symetric NAT也支撑Cone NAT( 特别是Full Cone NAT)。

下面介绍一下LSN设备的功用特色:

1.  支撑静态NAT映射,动态NAT映射。

这两个功用在一切的NAT设备(不管根据传统的Symetric NAT仍是LSN设备)上都支撑,归于NAT设备的根本功用。

2.  支撑Full cone NAT特性。

Full-Cone NAT从规划上更适合作为运营商NAT设备的技能标准,首要在以下功用特性上可以体现出优势:

1)      EIM( 对端无关的地址映射)

客户端经过LSN设备树立一个会话后,后续的会话都会经过同一个NAT地址翻译出去,而且后续的经过同一个源[IP:Port]的会话将运用同一个NAT [IP:Port]进行通讯,如图所示

 

这种处理方法的最大长处是节约NAT设备的端口,特别适合于p2p运用,例如一个用户运用电驴用同一个源端口跟Internet上1000个用户的电驴树立会话,只运用一个NAT端口就够了,而不支撑Full-Cone NAT的设备至少要运用1000个端口(每条会话都要占用一个端口)

2)         EIF(对端无关的地址过滤)

一旦内部主机经过一个NAT [IP:Port]与外部某主机树立会话,外部任何主机都可以拜访这个NAT [IP:Port],LSN设备会将该拜访转发到内部主机的[IP:Port],如图所示:

 

 

曾经NAT设备的p2p穿越实际上是经过p2p软件和Server打洞来完成的,NAT设备可做的事很少,EIF可以让p2p软件不必打洞,直接相互拜访,假如要考虑安全要素,可以与ACL,Black/White List合作运用。

3)          NAT Sticky

当内部终端选定了一个NAT地址后,后续的来自相同客户端的数据将都选用相同的NAT地址进行转化。NAT Sticky关于一些需求会话继续的拜访(例如网银,淘宝购物)以及即时消息拜访(例如QQ,MSN)等非常重要。非Full-cone标准的NAT设备有必要在软件上专门处理NAT坚持才干确保事务拜访正常,软件处理增加了设备功用的耗费。

 

4)          Hair-pinning

关于同在一个内网中的用户(共用同一个NAT地址),假如某些运用需求互相经过NAT地址拜访,例如某些p2p下载,某些需求NAT穿透的运用,传统的NAT设备或许无法经过。而LSN设备针对这种状况有专门的处理,确保拜访经过。

3.    支撑NAT ALG,包含FTP, SIP,PPTP,IPSEC等常用协议;

NAT设备有必要支撑常用协议的alg功用,不然根据这些常用协议的运用会不正常。

4.    支撑用户端口配额战略以便运营。

用户端口配额技能是确保运营商NAT可运营的一个重要Feature。

用户端口配额支撑以下几种方法:

1)      动态端口块分配

动态端口块分配需求支撑如下四级操控:

a.用户最大端口配额

b.用户最低端口配额

c.为要害运用预留可用端口,例如:为DNS,邮件拜访预留端口。

d.将需求发布到Internet的内部运用映射到某一NAT地址的某一端口,以供Internet用户拜访。

动态端口快分配方法的长处是可以有用运用每个NAT地址的一切端口,缺陷是端口不固定,溯源困难。

2)       静态端口块分配

每个用户分配静态端口规模,例如为内部地址192.168.1.1指定分配NAT地址1.1.1.1的1024—2023这1000个端口。 静态端口快分配方法的长处是便于溯源,乃至不需求发送log,溯源时查询地址端口映射表即可。缺陷是静态端口一旦分配,这部分端口只能给分配的用户运用,该用户不上网,则端口被搁置,不利于端口有用运用。

3)      保存端口块分配

保存端口首要用于一些其他的用处,一旦指定,该部分端口不会归入一般的分配战略。

5.    支撑按session数操控用户关于NAT地址的运用

这是一切NAT设备根本都支撑的功用,经过上面描绘的Full-Cone NAT的NAT转化方法可以看出该方法在用户的上网体会上不如端口配额方法,传统NAT设备运用该方法操控用户的拜访,将导致用户在Session数到达约束时无法上网。

6.    支撑高功用Log输出,支撑规则的溯源格局。

大多数的NAT设备都支撑了log输出,可是当log量比较大的时分,不同厂家的NAT设备输出log才干会有不同,一起单台log Server的功用或许也不足以支撑巨大的log量和输出速度, A0公司的LSN设备可以支撑将log以负载均衡的方法输出到多台log Server,syslog格局支撑RFC5424标准,并支撑经过Radius报文将log信息发送到AAA体系。

支撑静态端口块分配的NAT设备使得溯源变得更为简略,因为客户端地址跟NAT地址以及端口规模的映射被固定设置,所以不需求输出用户会话的Log信息,需求溯源的时分查询最早规划的映射表即可。

7.    支撑设备冗余和会话同步

设备冗余是用于高可靠性的需求,防止单点故障,在完成设备冗余的一起,还需求完成会话同步,这样才干确保事务不中止,现在的NAT设备厂家有些能支撑设备冗余和会话同步,有些只能支撑设备冗余。

8.    支撑ACL,IP包检测等安全特性

根据保护和运营安全的需求,咱们需求NAT设备支撑ACL以操控用户拜访,而且需求NAT设备支撑一些防DDoS***等方面的数据包检测和处理。

 

LSN设备与传统NAT设备比照

 

LSN设备

传统NAT设备

功用

一般

Full-cone EIM

支撑

不支撑

Full-Cone EIF

支撑

不支撑

NAT Sticky

支撑

支撑

Hair-pinning

支撑

不支撑

对P2P运用的透过性

衔接约束

支撑

支撑

静态端口快分配办理

支撑

不支撑

动态端口快分配办理

支撑

不支撑

为要害事务预留端口

支撑

不支撑

Log溯源

log输出功用高,log格局契合相应RFC和运营商标准。

log输出功用低,log格局规划上没有考虑遵从运营商的标准。

 

      (wyl)

 

 

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表娱乐之横扫全球立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章