城域網運營級NAT資源池解決方案
運營商城域網運營級NAT需求背景
NAT技術并不是新技術,傳統NAT技術在政企客戶/集團客戶中大量使用,但是,當網絡規模擴大至運營級時,網絡建設的關鍵點便集中在大容量、高可靠、用戶溯源、與現有城域網的結合等多方面。按照NAT技術應用范圍及未來技術走向,將NAT技術的使用分為四個階段,如圖1所示。
圖1NAT發展及向IPv6演進階段
目前,NAT技術在國內運營商網絡的應用主要處在第二階段,用以解決IPv4公網地址不足的問題。國內的大型運營商正在開始逐步部署運營級NAT,運營級NAT的部署方案又稱為NAT444。NAT444指的是兩級NAT,即用戶終端完成一次內網IPv4私網地址到運營商城域IPv4私網地址轉換后,在運營商城域網上再次完成一次運營商城域IPv4私網到IPv4公網的地址轉換,是運營商網絡部署NAT轉換網關的整體解決方案。NAT444的作用是在運營商的網絡、業務平臺、用戶終端以及ICP無法全面支持IPv6的情況下,引入了運營商級NAT方案,延長IPv4的使用期限,保證業務的平滑過渡,為IPv6部署爭取緩沖時間。在逐漸向IPv6過渡的過程中,NAT444網關設備也可以平滑支持IPv4/IPv6雙棧,使運營商網絡在業務平臺、用戶終端和ICP逐漸具備IPv6能力后,平滑向IPv6網絡演進。
運營商城域網NAT設備形態的選擇
運營商城域網NAT部署的典型設備形態有兩種:
在現有城域網設備(CR或者BRAS/SR)增加NAT業務插卡實現;
部署獨立式大規模NAT設備(LSN;也稱為運營級NAT設備CGN)。
在城域網小規模部署階段,可以采用直接在現有城域網設備上增加NAT業務插卡方式實現NAT功能,緩解局部區域IPv4地址不足的問題。但是隨著城域網NAT部署規模的擴大至整個寬帶城域網范圍,從設備性能、設備可擴展能力、設備專業成熟度等多方面考慮,建議采用專業的獨立式大規模NAT設備。如表1所示為兩種設備形態的比較
不同設備形態比較獨立式大規模NAT設備方式現網設備新增插卡方式
部署靈活性部署靈活,直接旁掛現網設備
現網設備調整工作量小,只需增加引流配置需要對BAS/SR分別增加NAT板卡,涉及版本兼容性、業務重啟以及設備支持程度等問題
容量和可擴展能力可部署大容量設備,擴展性好,且擴展方便,不影響對現網設備其他業務。擴展性較差,既占用現網設備槽位,也影響現網設備性能,現網設備承載能力需要重新規劃
對溯源影響一般采用靜態端口塊分配方式,溯源方便且日志存儲量小,方便溯源。一般采用動態端口塊分配方式,需要Radius擴展字段做到溯源。
備份與會話同步部署可以方便獨立式設備間的備份及會話同步部署,對現網設備沒有影響。只能做到同一現網設備內不同板卡之間的備份,如需做到設備間的備份需要增加現網設備,改變現網結構。
設備整體性能與穩定性獨立式NAT設備大量成熟應用,設備整體性能較高,穩定可靠。而且部署后,對現網其他網元沒有影響。現網設備插卡未經過大規模部署,而且對現網特殊應用的適應性有待考驗。部署NAT板卡后,對原有規劃用戶承載能力有影響。
可維護性獨立式設備獨立配置管理,與現網設備對接采用標準協議,城域網各模塊規劃、配置和維護容易現網設備增加新功能,增加現網設備配置維護復雜度,也增加了問題排查復雜度
對機房環境要求需要增加機房機架和用電短期對機房機架沒有新增需求;但是由于隨著NAT板卡的增加對用戶承載能力的減損,需要現網設備臨時擴容以達到前期規劃能力。
投資根據整個城域網需要做NAT的用戶流量進行投資,可以將集中式部署和部分區域分布式部署相結合。投資利用率高,投資較小無論NAT需求大小,每臺BRAS/SR都需要配置至少一塊NAT板卡,投資利用率低,投資較大
表1新增獨立NAT設備與現網設備新增NAT插卡部署方式對比
NAT資源池部署解決方案
在IPv6還未完成部署之前的很長一段時間,需要采用NAT方式來解決IPv4公網地址不足的問題。城域網寬帶用戶發展迅猛快速的今天,需要考慮一個可擴展的部署策略。傳統的企業級獨立式NAT設備通常不具備大容量、高可靠性、可擴展特點,顯然無法滿足運營級城域網NAT的需要。為適應運營級城域網NAT部署特點,H3C提出NAT資源池解決方案。NAT資源池部署方案通過在城域網單獨部署大容量、可平滑擴展的大規模NAT設備(LSN),再通過虛擬化技術,將多臺資源池設備虛擬成一臺,實現NAT資源的進一步擴展并實現NAT資源池的高可靠性,從而實現大規模、運營級NAT的平滑改造。
在城域網部署NAT資源池時,需要根據現網網絡流量、用戶數、IPv4私網地址用戶分布等等,選擇合理的網絡位置,主要有兩種方式:集中式和分布式。集中式是指在城域網骨干核心層(CR)位置旁掛大規模NAT設備(LSN)。分布式是指在城域網骨干邊緣層(SR/BRAS)位置旁掛大規模NAT設備(LSN)。不同部署模式有著各自的優劣勢:
圖2城域網NAT部署示意圖
1、集中式:城域網骨干核心路由器CR旁掛LSN,設備容易做到集中管控,部署簡單,且利用率高。適合中等規模網絡。
2、分布式:城域網骨干邊緣路由器每個SR/BRAS旁掛LSN,擴展性好,但部署復雜,初期成本高,利用率低。適合業務量巨大的網絡。
3、混合式:城域網骨干核心路由器CR旁掛LSN,同時,業務量大的城域網骨干邊緣路由器SR/BRAS旁掛LSN,可以做到按需擴展,部署靈活。適合中大規模網絡。
以上幾種部署方式,需要根據現網情況進行選擇。就一般情況而言,建議采用集中式或者混合式方式。一方面集中部署的NAT資源池可以兼顧整個城域網的地址轉換需要,另一方面集中式的部署方便管理維護;如果在部分地區IPv4私網地址用戶比較集中、流量較大、NATSession需求較高的地方可以補充分布式部署的NAT資源池。
結束語
運營級NAT資源池方案在大容量NAT、提高NAT性能可擴展性和NAT設備可靠性等方面全面突破傳統企業級NAT設備的局限,并且部署位置靈活多樣,對運營商城域網結構影響小。在IPv6真正在終端、系統和網絡中部署前,運營級NAT資源池解決方案將是運營商緩解IPv4地址危機最為實際的辦法。
1、標準化:H3CNAT資源池采用在現有城域網旁掛部署方案,不需要對現有網絡進行改動,對現有網絡設備沒有特殊要求,采用標準網絡協議對接。H3CLSN設備支持完善豐富的路由協議(包括BGP、IS-IS、OSPF等),適應各種網絡需要,同時采用旁掛部署,不會影響到城域網其他業務。
2、大容量:提供業內單框NAT處理能力最強的LSN設備,單框最大支撐幾十萬規模的在線用戶,通過多框虛擬化技術,LSN虛擬組更可支撐多達百萬在線用戶。
3、可平滑擴展:LSN設備具備插框式平滑擴展能力,通過不斷增加NAT業務板卡方式平滑提升整機NAT性能,單框最大支持16個NAT業務卡,通過N:1的虛擬化技術將多個插框虛擬為一個,二次提升整體NAT資源池性能。
4、高可靠性:LSN設備采用高可靠性硬件設計,支持控制平面與數據平面的硬件分離,同時支持Session級別的熱備份,不間斷在線用戶業務。
5、支持靜態端口塊分配:LSN設備支持靜態端口塊分配,可以將用戶的IPv4私網地址唯一地與IPv4公網地址和端口塊的組合對應起來,以便溯源時快速定位用戶,部署簡單,管理方便。
6、實現N:1的虛擬化:LSN設備均支持N:1的虛擬化技術,可以將多臺LSN設備虛擬為一臺,在提升整體系統NAT容量的同時,也簡化了多LSN設備的管理復雜度,并且提升了LSN設備的可靠性。
7、實現1:N的虛擬化:LSN設備可以通過1:N的虛擬化技術,將單塊NAT板卡進而繼續劃分更細膩粒度,成為邏輯上獨立的多個LSN,實現安全策略區分與業務隔離。
8、支持未來向IPv6演進:LSN設備支持豐富完善的IPv6特性,包括:IPv4/IPv6雙棧、DS-Lite、6RD/6PE/6to4、NAT64等等,可以適應未來城域網向IPv6方向平滑演進。
