中国联通NAT44转换设备技术规范V1.1.4.doc

中国联通NAT44设备技术要求中国联通公司发布2012-xx-xx实施2012-xx-xx发布中国联通NAT44转换设备技术规范（V1.0）The Technical Specifications of NAT44 for China Unicom （version 1.0）QB/CU XXX-2012中国联通公司企业标准中国联通NAT44转换设备技术规范V1.0目次目次II前言IV中国联通NAT44转换设备技术规范11 范围12 规范性引用文件13 定义和缩略语13.1 定义13.2 缩略语24 概述24.1 设备定位34.2 地址转换体系架构34.3 设备形态及连接方式34.4 设备部署方式45 功能要求55.1 基本NAT特性55.2 资源分配模式55.3 地址转换65.4 溯源功能要求65.5 告警信息输出85.6 应用层ALG95.7 路由95.8 网络时间同步96 性能要求96.1 设备容量96.2 设备性能96.3 可靠性97 冗余备份要求108 安全要求108.1 访问控制和流量控制108.2 路由安全119 操作管理维护要求119.1 基本管理功能119.2 配置管理119.3 性能管理119.4 故障管理129.5 安全管理1210 物理接口要求1211 环境要求1212 电源与接地12前言本标准在充分研究和分析中国联通对地址转换设备的需求的基础上，描述了运营级NAT（NAT44）设备的定位及其在运营级地址转换体系中的作用，规定了NAT44的功能、性能、安全、备份以及管理等基本的技术要求。本标准按照GB/T 1.1-2009给出的规则起草。本标准由中国联通技术部提出并归口。本标准起草单位：中国联合网络通信集团有限公司中讯邮电咨询设计院有限公司本标准主要起草人：13中国联通NAT44转换设备技术规范1 范围本标准描述了中国联通所需运营级NAT（NAT44）设备的定位及其在运营级地址转换体系中的作用，规定了NAT44的功能、性能、安全、备份以及管理等基本的技术要求。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不使用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用本标准。IETF RFC2663 NAT术语及思考IETF RFC3022 传统IP网络地址转换(传统NAT)IETF RFC4787 NAT对单播UDP报文的行为要求IETF RFC5382 NAT对TCP报文的行为要求IETF RFC5508 NAT对ICMP报文的行为要求IETF RFC5424 Syslog协议IETF RFC2866 RADIUS计费YD/T 11482005 网络接入服务器技术要求-宽带网络接入服务器3 定义和缩略语3.1 定义3.1.1 NAT44在本技术要求中，NAT44特指运营级地址转换设备。3.1.2 NAT44用户通过NAT44转换的用户。3.1.3 路由器插卡NAT44插NAT44卡的路由器设备。3.1.4 BRAS插卡NAT44插NAT44卡的BRAS设备。3.1.5 独立设备NAT44提供NAT功能的独立设备。3.1.6 用户地址BRAS、AAA、DHCP等系统分配给用户的地址。3.1.7 地址映射关系指NAT转换中绑定的（用户地址，端口）与（公有地址，端口）之间的映射关系，或者绑定的用户地址与公有地址的一对一映射关系。3.1.8 地址映射表指由地址对绑定关系创建的映射表格。3.1.9 端口预留关系指NAT转换中为用户预留的（用户地址）与（公有地址，端口块）之间的映射关系。3.1.10 端口预留表指由端口预留关系创建的映射表格。3.1.11 溯源关系/地址转换关系指能够根据（公有地址，端口）追溯到用户地址的关系，包括地址映射关系和端口预留关系。3.2 缩略语下列缩略语适用于本标准文件：AAA Authentication、Authorization、Accounting 认证、授权、记帐ACL Access Control List 访问控制列表ALG Application Layer Gateway 应用层网关BRAS Broadband Remote Access Service 宽带远程接入服务CPE Customer Presidial Equipment 用户驻地设备DHCP Dynamic host configuration protocol 动态主机配置协议DNS Domain Name System 域名系统ICMP Internet Control Message Protocol 网际控制报文协议IPv4 Internet Protocol Version 4 网际协议第四版IPv6 Internet Protocol Version 6 网际协议第六版NAT Nerwork Address Transform 网络地址转换NTP Network Time Protocol 网络时间协议PC Personal Computer 个人电脑RADIUS Remote Authentication Dial In User Service 远程认证拨号用户服务TCP Transfer Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议4 概述4.1 设备定位IPv4公有地址枯竭后，新增用户将无法得到IPv4公网地址，而当前IPv6部署尚未大规模开展，为了支持宽带互联网业务等IP地址相关的各种业务的持续发展，在运营商网络内需要部署NAT来解决地址短缺，这种NAT设备称作运营级NAT44设备。与传统的企业网NAT应用环境不同，NAT44服务的用户规模更大、承载流量大、业务稳定性要求更高，因此要求NAT44具备更高的性能、稳定性和安全性。同时，NAT44设备也需要实现设备冗余功能以避免网络单点故障，以及实现用户溯源等方面的需求。另一方面，NAT44设备主要用于地址共享，因此可以简化传统NAT设备的安全防护功能，以提升设备的整体性能。4.2 地址转换体系架构部署NAT44时，需要结合AAA服务器、网管服务器、日志服务器、溯源系统等配套系统，提供运营级NAT转换，并支持用户溯源的要求。其体系架构图如图1所示：图1 地址转换系统架构图NAT44：生成和维护用户地址映射表，实现运营商级NAT转换；并实现用户溯源关系向AAA服务器和日志服务器上报。AAA服务器：负责记录和维护用户账号、用户地址等信息；接收或者生成用户溯源关系；响应用户的溯源关系查询。日志服务器：接受和记录用户访问信息；响应用户访问信息查询。网管系统：负责管理NAT44设备。溯源系统：负责用户溯源；在需要进行用户溯源时，向AAA服务器或者日志服务器发起查询请求。4.3 设备形态及连接方式4.3.1 设备形态NAT44有三种设备形态：独立设备、路由器插卡和BRAS插卡。独立设备指设备单纯实现NAT功能模块，路由器插卡指路由器与NAT44功能模块合设，BRAS插卡指BRAS与NAT44功能模块合设。4.3.2 独立设备的连接方式独立设备与现网设备的连接包括采用串联的连接方式（如图2a），或者采用旁挂的连接方式（如图2b）。串联的连接方式就是指NAT44设备通过设备端口分别串接在网络中旁挂的连接方式就是指NAT44设备旁挂在路由器设备或BRAS设备上。（a）串联连接方式（b）旁挂连接方式图2 独立设备NAT44连接方式 在实际的网络部署中，宜采用旁挂独立设备的连接方式。4.4 设备部署方式NAT44在城域网中的部署分为集中式和分布式两种形式：（1）集中式NAT部署集中式部署是指将NAT44设备集中部署在城域网核心路由器上，城域网核心路由器直连NAT44设备，在核心路由器的下联接口设置一条策略路由，把需要NAT转换的流量转到NAT44设备上，NAT44设备的出流量可以直接静态路由指向核心路由器设备，这种方案一般用于私网地址用户较少或建设初期，根据核心设备的支持情况可以采用插卡或旁挂NAT44设备两种形式。见图3所示：图3 集中部署NAT44示意图如果采用插卡的形式，可以通过插入冗余NAT板卡的形式实现备份，一般是warm standby的；如果采用独立设备的形式，则可以通过核心路由器设备分别连不同的CGN设备来实现网内用户的负载分担和冗余保护，此时宜2台NAT44设备采用不同的地址池，便于路由的收敛。（2）分布式NAT方案分布式部署是指将NAT设备部署在BRAS设备上，根据设备支持情况可以采用插卡或旁挂NAT44设备两种形式。见图4所示：图4 分布式部署NAT44示意图一般用作私网地址用户量较大的情况。如果采用插卡的形式，可以通过插入冗余NAT板卡的形式实现，一般是warm standby的；如果采用独立设备的形式，则可以通过BRAS设备分别连不同的NAT44设备来实现网内用户的负载分担和冗余保护。5 功能要求5.1 基本NAT特性NAT44应支持TCP、UDP及ICMP报文的NAT穿越，其特性符合RFC4787、RFC5382、RFC5508的规定。NAT44应实现Endpoint-Independent Mapping及Endpoint-Independent Filtering特性。为了实现更好的安全性，宜实现Address-Dependent Mapping、Address and Port-Dependent Mapping、Address-Dependent Filtering、Address and Port-Dependent Filtering等特性。NAT44支持设置UDP会话（seesion）和TCP会话的老化时间。宜UDP默认老化时间为30秒，TCP默认老化时间为300秒。5.2 资源分配模式本节的资源是指可用于地址转换的公有地址和端口。资源分配模式是指NAT44为用户地址转换分配公有地址和端口的方式。资源分配模式包括端口共享方式和端口预留方式。5.2.1 端口共享端口共享方式是指所有的（公有地址、端口）资源被用户共享。在创建地址映射关系时，NAT44可以从未被使用且未被保留的（公有地址、端口）资源中任意选择一个（公有地址、端口）分配给用户进行地址转换。NAT44应支持端口共享的资源分配模式。5.2.2 端口预留端口预留方式是指为用户预留一个或者若干个（公有地址、端口块）给用户使用。在创建地址映射关系时，NAT44只能从为该用户预留的（公有地址、端口块）中选择一个（公有地址、端口）分配给用户进行地址转换。同时，为该用户预留的（公有地址、端口块）资源不能再被其他用户使用。要求端口预留关系是可变的。一个私有地址，在一个时期内为其预留某一个（公有地址，端口块）资源，在另一个时期为其预留另一个（公有地址、端口块）资源。NAT44应支持端口预留的资源分配模式，并应支持端口段大小的灵活配置，例如：按照100的整数倍来进行配置；对于采用BRAS插卡的部署方式，应支持将端口段的设置与用户信息相关联，使得可以根据用户信息进行有差异的端口段分配。NAT44采用的随机选择算法生成用户端口预留关系，可以是哈希算法，也可以是其他算法，但应保证为每个用户地址预留不同的（公有地址，端口块）资源。对于BRAS插卡NAT44，在用户上线为用户分配地址时，应该同时为用户地址预留（公有地址，端口块）资源；当用户下线时，NAT44应该释放为此用户预留的（公有地址，端口块）资源。对于其他形态的NAT44，用户应该在第一次通过NAT44设备发起会话时，为用户地址预留（公有地址，端口块）资源；当用户长时间没有会话时（例如用户在最后一个会话结束后经过老化时间仍然没有新的会话），应该释放为此用户预留的（公有地址，端口块）资源。5.3 地址转换NAT44根据资源分配方式为用户会话选择对应的（公有地址、端口）进行地址绑定、地址查询和转换、地址绑定释放等过程，其过程符合RFC2663第三章的规定以及RFC3022第三章的规定。5.4 溯源功能要求基于监管需求，目前政府监管部门采用基于用户源IP地址方式对用户的各种行为进行溯源。为实现用户溯源，NAT44的地址转换关系应该上报给AAA服务器或日志服务器，由AAA服务器或者日志服务器提供用户溯源的访问查询服务，因此NAT44应支持地址映射关系的上报。地址映射关系的上报方式与资源分配模式和NAT44的连接及部署方式有关。 采用独立设备或路由器插卡方式的用户溯源（1）溯源方式如果采用独立设备或者在核心路由器上插NAT44板卡，NAT44应支持用户端口关系的上报，且需要通过上报日志的方式来实现溯源。这种方式无需对于AAA系统和BRAS设备的上报信息进行大的改动，将BRAS中的用户信息与IP地址信息与NAT设备的映射关系生成日志同步传输给为溯源设置的日志服务器，通过日志进行关联确定用户私网地址与公网地址+端口号的映射关系。要求NAT44设备应支持采用syslog协议上报日志信息，并要求支持基于用户及基于Session两种日志的上报。宜采用基于用户的日志上报。NAT44通过syslog协议上报溯源关系的日志有地址映射日志和端口预留日志两种。1）地址映射日志NAT44应该在用户新建一个会话时，发送“地址映射关系建立”的日志；在用户结束一个会话时，发送“地址映射关系拆除”的日志。NAT44支持手工指定输出“地址映射关系建立”日志或“地址映射关系拆除”日志。地址映射日志消息中至少包含用户地址、端口号、转换后的公有地址、转换后的端口号。2）端口预留日志NAT44应该在为用户创建端口预留关系时，发送“端口预留关系建立”的日志，在释放端口预留关系时，发送“端口预留关系释放”的日志。NAT44支持手工指定输出“端口预留关系建立”日志或“端口预留关系释放”日志。端口预留日志消息中至少包含用户地址、转换后的公有地址、转换后的起始端口号、转换后的终止端口号。日志的传输应符合RFC 5424定义的格式要求。设备宜支持FTP方式定期打包发送日志信息。日志的输出应完整，确保在设备（板卡）负荷最大时不出现日志输出错、漏的现象。 日志的输出应不影响 NAT444设备流量转发或者 NAT性能的表现。 BRAS插卡NAT44方式的用户溯源（1）溯源方式在分布式部署插卡式方案中，BRAS提供槽位，插入NAT44板卡，此时BRAS设备维护管理地址池及NAT映射信息，用户认证通过后，BRAS选择公有地址及其端口块，动态生成用户地址映射关系，并在Radius协议的Accounting-start消息中携带映射关系，并在计费报文中新增radius属性以上报映射后的公网地址、起始端口、结束端口。并可以采用以下两种方式完成溯源：1）NAT44设备通过Radius报文方式将用户的动态端口映射关系上报到AAA系统，由AAA系统记录到用户在线信息表和原始话单中，当AAA系统接收到溯源请求后，直接查询在线用户信息表或原始话单，返回溯源结果；2）NAT44设备采用Radius报文方式将用户动态端口映射关系上报到Log服务器，AAA系统在接收溯源请求后，通过syslog服务器查询动态地址映射关系，完成地址溯源。在实际部署中宜采用 1）方式，BRAS插卡NAT44通过RADIUS协议上报地址映射关系的过程如图5所示：图5 通过RADIUS协议上报映射关系第1步：用户上线，完成用户认证和地址分配，这个过程完成标准的用户接入流程。第2步：BRAS为用户地址选择公有地址、端口块，创建用户地址映射关系。BRAS 采用的选择算法可以是 hash 算法，只需要保证为不同用户地址选择不同的（公有地址，端口块）。第3步：BRAS在Accounting start消息中向AAA服务器上报用户地址以及为其预留的公有地址、端口块等信息。同时在计费结束包中亦携带以上信息。这种上报方法要求新增如下的RADIUS属性： NAT-IP-Address：NAT转换后的公有地址； NAT-start-Port：NAT转换后的起始端口号； NAT-end-Port：NAT转换后的终止端口号；第4步：AAA服务器获得用户地址、公有地址、端口块等信息，生成该用户地址的溯源关系。第5步：用户下线，BRAS删除该用户的端口映射关系。第6步：BRAS在Accounting stop消息中向AAA服务器上报用户地址以及之前为其预留的公有地址、端口块等信息。第7步：AAA服务器删除该用户的地址溯源关系。Radius认证时，AAA获取用户分配IP地址类型后，通过Radius标准属性或BRAS厂家自定义私有属性告知BRAS设备，以便BRAS为用户灵活分配IP地址；在分布式部署插卡式方案中，BRAS设备维护管理地址池及NAT映射信息，用户认证通过后，BRAS选择公有地址及其端口块，动态生成用户地址映射关系，并在计费报文中新增radius属性以上报映射后的公网地址、起始端口、结束端口。（2）认证系统改造认证系统应能在计费起始包中接受并处理BRAS设备动态上报的NAT信息，即支持通过radius扩展属性获取用户地址映射关系，并与用户信息相关联。5.5 告警信息输出NAT44支持通过Syslog协议或者SNMP Trap方式输出告警信息。告警信息的输出应符合RFC 5424定义的格式要求。NAT44支持打开或者关闭告警输出功能。宜支持FTP方式定期打包发送日志信息。告警信息至少包括端口用满告警和资源用满告警。（1）端口用满告警在用户端口块的所有端口被用满的情况下，该用户后续会话由于没有端口而无法对其进行地址转换，该会话的报文被丢弃。NAT44在分配给用户的端口用满情况下，应该能够输出告警日志信息到指定的日志服务器。日志消息中至少应包含用户地址的信息。（2）资源用户告警在NAT44采用动态端口预留的资源分配模式的情况下，如果所有（公有地址、端口块）资源被当前用户预留之后，新的用户由于没有（公有地址、端口块）资源而无法为其预留资源，进而无法对其进行地址转换。NAT44在（公有地址、端口块）资源被用满时，应该能够输出告警日志。5.6 应用层ALGNAT44应支持FTP ALG，其特性符合RFC3022中4.4的规定；NAT44宜支持的DNS ALG、SIP ALG、RTCP ALG、RTSP ALG、PPTP ALG。5.7 路由独立设备NAT44与BRAS、路由器互联时，NAT44、BRAS或者路由器需要设置路由策略，对需要进行NAT转换的流量转发到NAT44处理，对NAT44进行地址转换后的流量再转发到BRAS和路由器处理。因此独立NAT44设备需要支持静态路由以及OSPF、ISIS、BGP等路由协议以及策略路由，实现对NAT流量的引导。5.8 网络时间同步设备应支持网络时间同步协议NTP，支持NTP认证和NTP服务器/客户端。6 性能要求6.1 设备容量NAT44的容量主要是以NAT44所支持的在线用户数为依据。要求NAT44设备至少支持1万在线用户的并发。要求NAT44地址转换不影响设备的线速转发能力。平均时延要求小于100微秒。6.2 设备性能对设备性能的要求包括会话处理能力要求及日志处理能力要求，其中会话处理能力的主要参数包括：最大并发会话数、流量转发能力、流量与并发会话数配比、分配端口块速率、新建session速率、拆除session速率；日志处理能力的主要参数包括：基于用户方式每秒生成日志数、基于session方式每秒生成日志数。6.3 可靠性系统应具有高的可靠性，具体要求如下：1）系统可用率系统应达到99.99%的可用率。2）无故障连续工作时间系统的平均无故障工作时间：MTBF 10000小时。3）故障恢复时间 单板块故障恢复时间 20 分钟 整机故障恢复时间 30分钟系统应允许对运行系统进行所有适当的配置更改和软件升级而不影响在线用户。宜版本打补丁时不中断业务，版本升级时业务中断时间少于30分钟。所有元件应支持热插拔；支持从故障板卡到备份板卡的自动切换。对于独立NAT44设备，应支持主控板、电源模块等关键部件冗余。从主用电源到备用电源的切换应是自动的，不能引起业务的中断；在有冗余配置的情况下，从机箱中抽走控制板卡及重新插入控制板卡时，设备应能够继续转发流量。7 冗余备份要求（1）独立设备NAT44独立设备NAT44应支持设备之间的主备切换。宜支持设备之间会话的实时热备。独立设备的NAT板卡之间宜支持负荷分担的备份方式。负荷分担方式时，可采用按用户源地址散列的方式来选择NAT板卡。设备应支持VRRP功能。所有元件应支持热插拔。对于关键部件应提供冗余备份功能，如主控卡、路由控制卡等，应支持从故障板卡到冗余板卡的自动切换，并宜支持手工切换，设备中所有的元件应提供1:1、N:1或分布式的冗余能力，这些元件的倒换应是自动的，并且不能影响业务，设备元件包括： 交换单元 包转发引擎 控制和路由器处理器 管理系统/管理接口 馈电接口 电源模块/供电单元 风扇物理接口模块应支持N:1冗余能力。（2）BRAS插卡NAT44、路由器插卡NAT44BRAS插卡NAT44以及路由器插卡NAT44应支持板卡之间1:1及N:1的主备切换。宜支持板卡之间会话的实时热备。宜支持NAT44板卡之间负荷分担的备份方式。负荷分担方式时，可采用按用户源地址散列的方式来选择NAT板卡。要求如果BRAS及路由器实现热备，在BRAS及路由器进行主备设备切换情况下，NAT44板卡应支持随设备进行热备切换。8 安全要求8.1 访问控制和流量控制应实现基于源IP的并发会话数限制功能。应支持通过ACL作为设定条件对NAT流量进行引导。例如对需要进行地址转换的流量转发到地址转换模块处理，对不需要进行地址转换的流量（如在同一NAT44区域内私有地址之间的流量）进行旁路处理。应实现通过ACL根据需要调整用户端口段的范围。该功能可以用于保证重要的应用（例如DNS请求等）不受NAT连接数的限制。对于独立设备NAT44，应支持基于源地址，目的地址，源端口，目的端口，协议的访问控制列表ACL。8.2 路由安全独立设备NAT44应实现路由协议安全功能，支持OSPF、ISIS、BGP等路由协议的MD5认证，保证路由信息的可信度。9 操作管理维护要求9.1 基本管理功能设备应至少支持SNMP网管协议，可与网管配合完成配置管理、性能管理、故障管理和安全管理。设备应支持带外网管，可以将管理流量与用户流量从物理或逻辑上分开，带外网管与带内网管具有同等的功能。对于带外访问应实现访问控制，防止非法访问。 应支持SNMPv1、v2、v3网管协议。 应实现接口组MIB（RFC2863）、IP MIB（RFC1213、RFC4292）、SNMPv1 MIB、SNMPv2 MIB、SNMPv3 MIB等常用MIB库。 9.2 配置管理（1）独立设备设备要求具备可管理性，设备应支持通过Console Port 或Telnet 的模式实现配置管理。在设备配置手段方面：应支持手动配置方式；应支持配置下发接口；应支持根据配置服务器下发的映射关系对公有地址的端口块进行预分配。（2）BRAS插卡应满足BRAS的相关配置管理技术要求。（3）路由器插卡应满足路由器相关配置管理技术要求。9.3 性能管理设备应支持对其性能的管理，包括： 并发连接数（在线用户数） 吞吐量 连接超时时间 端口块占用率 资源占用率 单板NAT流转发性能 单板流表规格 单板地址池数量 单板建流速