NAT444独立设备技术规范(修改稿2)

中国电信集团公司技术标准 Q/CT *-2010 中国电信 IP 设备技术规范 （ NAT444 独立 设备分册） （ V?） 2010-12-31 发布 2011-1-1 实施 中国电信集团公司 发布 保密等级：企业秘密 YD/T 200 2 目 录 1 前言 . 3 2 编制说明 . 3 2.1 范围 . 3 2.2 引用标准 . 3 2.3 定义、术语和缩写 . 4 2.3.1 定义 . 4 2.3.2 术语和缩写 . 4 2.4 与总册关系 . 5 3 概述 . 5 3.1 NAT444 设备的现网部署方式 . 5 3.2 NAT444 设备的功能组成 . 6 3.3 设备要求说明 . 6 4 功能 要求 . 7 4.1 总体功能要求 . 7 4.1.1 物理接口方面 . 7 4.1.2 NAT 基本特性方面 . 7 4.1.3 设备配置手段方面 . 7 4.1.4 流量控制方面 . 7 4.1.5 log 输出方面 . 8 4.1.6 路由方面 . 8 4.1.7 冗余备份方面 . 8 4.1.8 网管方面 . 8 4.2 配置管理方式 . 8 4.3 Log 服务策略与 log 输出接口 . 9 4.3.1 基于用户方式输出 log . 9 4.3.2 基于 session 方式输出 log . 10 4.4 用户端口块分配策略 . 11 4.5 冗余备份能力要求 . 12 5 性能要求 . 12 6 设备其它要求 . 13 6.1 机箱要求 . 13 6.2 线缆管理 . 13 6.3 设备可用性 . 13 6.4 设备硬件要求 . 14 6.5 设备软件要求 . 14 6.6 环境要求 . 14 6.7 设备绿色要求 . 15 6.7.1 设备管理要求 . 15 6.7.2 设备环保与包装要求 . 15 6.7.3 能耗分级标准 . 16 YD/T 200 3 1 前言 NAT44 是 IPv6 过渡时期的重要技术。 NAT444 就是两级 NAT： CPE 一级 NAT44，BAS 一级 NAT44。 NAT444 是指 NAT 技术应用场景，它没有引入新技术。该技术优点是 现有设备、技术支持较为成熟，容易实现，其缺点主要是需要维护 session状态，某些应用可能受限制，增加地址溯源的困难等。 在 IPv6 过渡期内， IPv6 地址和 NAT444（ LSN）两种方式将共存。因此我们需要对 NAT444进行研究。经过了 2010年的 NAT444实验室测试及现场试点工作，我们对 NAT444 现网部署工作有了较深入的了解。为能更好地指导下一阶段工作，特制订本技术规范。 2 编制说明 2.1 范围 本技术规范适用于中国电信集团 NAT444 设备的选型。 在本规范中： 必须：表示该条目是本规范必须，违反这样的要求是原则性错误。 必须实现：表示该要求必须实现，但不要求缺省使能。 不允许（不可以）：表示该条目绝对禁止。 应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或违反该条目时必须仔细衡量。 应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。 不应当（不建议）：表示在某些特定条件下存在所描述行为可接受或有效的理由，但实现该行为时必须仔细衡量。 可以。表示该条目确实可选。 2.2 引用标准 目前还没有一个公认的运营商级 NAT444 设备指标，仅有 IETF 的一些 Draft可供参考 ： IETF draft-nishitani-cgn IETF draft-shirasaki-nat444 YD/T 200 4 IETF draft-shirasaki-nat444-isp-shared-addr 下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会修订，使用本标准的各方应探讨，使用下列标准最新版本的可能性。 中国电信 IP 设备技术规范（ NAT 总册） log 服务器技术规范 网管系统技术规范 2.3 定义、术语和缩写 2.3.1 定义 NAT444 也叫 LSN（ Large Scale NAT），是一种在运营商网络中大规模使用 NAT技术的应用场景。实现 NAT444 的设备叫 NAT444 设备，负责把来自用户或终端的数据报文进行源地址翻译，目的是实现大量私有源地址复用成少量公有源地址。主要部署于城域网内部。 2.3.2 术语和缩写 AAA 认证（ Authentication）、授权（ Authorization）和记帐（ Accounting） ACL Access Control List（访问控制列表） ALG Application Layer Gateway（应用层网关） BRAS Broadband Remote Access Service（宽带远程接入服务） BYPASS 旁路，指设备的一种工作状态 CPE Customer Presidial Equipment（用户驻地设备） DNS Domain Name System（域名系统） ICMP Internet Control Message Protocol（网际控制报文协议） IPv4 Internet Protocol Version 4（网际协议第四版） IPv6 Internet Protocol Version 6（网际协议第六版） LOG 日志信息，指设备自动生成的日志信息 LSN Large Scale NAT（大规模的网络地址转换） NAT Nerwork Address Transform（网络地址转换） NAT444 指两层 NAT44 的简称 SESSION 会话，指 NAT444 设备中用户触发产生的地址转换会话 YD/T 200 5 2.4 与总册关系 本分册是对 中国电信 IP 设备技术规范（ NAT 总册） （以下简称“总册”）部分内容的具体解释，思想原则与总册保持一致。具体解释 如有导致理解上 不一致之处，以本分册为准。 3 概述 3.1 NAT444 独立 设备的 现网部署方式 由于 IPv4 地址资源面临枯竭，向 IPv6 转换成 为网络演进的方向。但是， IPv6的部署需要解决用户、网络、业务等方面的困难，不能在短时间内完成。因此，在 IPv4 地址向 IPv6 演进的过渡期内，延缓 IPv4 的使用期限，可以为 IPv6 的部署争取时间。这是 NAT444 技术的主要作用。 在现网部署 NAT444 独立 设备，有以下 两种 典型的部署方式： 而在中国电信现网上，无论是 集中式部署还是分布式部署 ，根据总册要求，需固化 NAT444 设备上的映射关系，全网所有 NAT444 设备的私有地址和公有地址映射关系（映射表）由配置服务器统一下发，同时也将所有 NAT444 设备的映YD/T 200 6 射关系（映射表）保存一份至 AAA 系统负责响应实时查询的接口机上。 3.2 NAT444 独立 设备的功能组成 NAT 技术已经在家庭网关及其它小型网络上使用多年，现有应用大多已适应NAT 的影响，这些应用 同样 能适应 NAT444 模式 。但个别应用、业务流程由于没考虑 NAT，在 NAT444 模式下用户使用还是会受影响。 要解决上述问题，在中国电信现网部署的 NAT444 独立 设备，除了必须具备基本的 NAT 功能外， 还必须 结合上述 现网部署 方式，在 NAT444 独立 设备上实现一些特定的功能。 a. 配置参数b .设备管理N A T 4 4 4网关a . 自动生成N AT 转换表a . L o g 信息 （总册图 16 NAT444 网关主要功能） 3.3 设备要求说明 本技术规范将 分别在功能、性能及设备一般特性三方面对 NAT444 独立设备作出具体要求。其中，特别说明了与中国电信现网部署方式相关的配置 管理方式 、Log 服务策略与 log 输出接口、用户端口块分配策略、 冗余备份能力 等 方面 的 要YD/T 200 7 求。 4 功能要求 4.1 总体功能 要求 4.1.1 物理 接 口 方面 设备物理 接口应支持标准的千兆、万兆以太网光 /电接口。 每个接入板卡接入带宽至少为 10Gbps。 可以灵活配置接口板卡数量，使接入带宽与 NAT 板卡流量转发能力保持一致。 4.1.2 NAT 基本特性方面 必须支持静态 NAT 映射，动态 NAT 映射。 必须支持 基于端口分块方式复用公有地址池。 可以支持按 session 方式复用公有地址池。 必须支持 TCP,UDP 及 ICMP 报文的 NAT 穿越 。 可以 实现 NAT ALG 扩展，包括 FTP, SIP 等主要应用协议 ；可以实现 PPTP 隧道穿越。 可以支持 Full cone NAT 特性。 必须支持手工更改会话老化时间。 可以设置 udp session 老化时间默认为 30 秒， tcp session 老化时间默认为 60秒。 4.1.3 设备配置手段方面 必须支持手动配置方式。 必须支持配置下发接口（具体要求看 4.2 节）。 必须支持根据配置服务器下发的 映射关系对公有地址的端口块进行预分配（具体要求看 4.4 节）。 4.1.4 流量控制方面 YD/T 200 8 必须支持基于源地址，目的地址，源端口，目的端口，协议的 访问 控制 列表ACL。 必须支持通过 ACL 作为设定条件对 NAT 流量进行引导。 必须实现基于源 IP、 协议端口 及其组合的并发 session 数限制功能。 必须 实现某些 另外 通过 ACL 指定的 session 不受并发 session 数限制 ， 并且能直 通 访问 LSN 外部，不进行 NAT 转换。该应用可以用于保证用户 DNS 请求不受NAT 连接限制。 4.1.5 log 输出方面 支持 log 输出功能，可以打开或者关闭 log 输出 功能（具体要求看 4.3 节）。 可以 实现当分配给用户的端口块用满情况下，输出一条告警 log 信息到指定的 log 服务器。 4.1.6 路由方面 必须支持按静态路由的方式对 NAT 流量进行引导。 可以支持 RIP、 OSPF、 ISIS、 BGP 等路由协议。 4.1.7 冗余备份方面 必须 支持冗余备份，至少支持主备模式（具体要求看 4.5 节）。 4.1.8 网管方面 必须支持 SNMP 网管协议 。 必须实现标准 的 MIB 库 。 4.2 配置 管理方式 NAT444 设备必须 支持两种配置方式： （ 1） 服务器 通过 SNMP 协议 直接下发 NAT 静态映射表。 NAT444 设备根据该静态映射表对 公有地址的端口块进行预分配。 其中 SNMP 交互格式、流程必须符合中国电信网管系统技术规范的要求。 YD/T 200 9 （ 2） 手工配置 NAT444 设备 ，定义用户地址与公有地址、端口块的静态映射关系。 4.3 Log 服务策略 与 log 输出 接口 NAT444 必须支持基于用户方式生成 log 信息。 NAT444 可以支持基于 session 方式生成 log 信息。 NAT444 必须支持通过 syslog 协议 发送 log 信息。 NAT444 可以支持 FTP 方式定期 打包 发送 log 信息。 Log 的输出 必须 要完整 ，确保在设备（板卡）负荷最大时不出现 log 输出错、漏的现 象 。 Log 的传输必须符合 rfc3164、 rfc5424 定义的格式 要求。 Log 的输出不影响 NAT444 设备流量转发或者 NAT 性能的表现。 4.3.1 基于用户方式 输出 log NAT444 必须支持基于用户 方式输出 log 信息。 必须支持每分配一个端口块和收回一个端口块时，各送出一条 log。 可以手工指定只在分配端口块时输出 log 或者收回端口块时输出 log。 必须支持指定 log server 的地址。 为了提高 log 的处理效率，必须支持二进制日志，并实现多条日志在同一个UDP 包中发送。 在 syslog 的 Header 信息中必须 包括如下信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | facility | severity | log count | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | log id | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Facility： rfc3164 标准所需属性 Severity： rfc3164 标准所需属性 Log count：该日志组中日志条目 Log ID: 该类型日志的系统唯一标识符 YD/T 200 10 在 syslog 的 MSG 信息中必须包括以下具体日志信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Start-time | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Original Source IP | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Translated First Source Port | Translated Last Source Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Translated Source IP | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ *所有参数均为网络字节序 Start-time: 转换开始时间。以 1970 年 1 月 1 日 0点起按秒计 Original Source IP：转换前源地址 Translated Source IP：转换后源地址 Translated First Source Port：转换后第一个源端口编号 Translated Last Source Port：转换后最后一个源端口编号 4.3.2 基于 session 方式 输出 log 必须支持用户每新建和拆除 1 条 Session，各送出一条 log。 可以手工指定只输出新建的 session 或者拆除的 session。 必须支持指定 log server 的地址。 为了提高 log 的处理效率，必须支持二进制日志，并实现多条日志在同一个UDP 包中发送。 在 syslog 的 Header 信息中必须包括如下信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | facility | severity | log count | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | log id | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Facility： rfc3164 标准所需属性 Severity： rfc3164 标准所需属性 Log count：该日志组中日志条目 Log ID: 该类型日志的系统唯一标识符 YD/T 200 11 在 syslog 的 MSG 信息中必须包括以下具体日志信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Start-time | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Original Source IP | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination IP | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Original Source Port | Destination Port | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Translated Source IP | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Translated Source Port | Protocol | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ *所有参数均为网络字节序 Start-time: 转换开始时间。以 1970 年 1 月 1 日 0点起按秒计 Original Source IP：转换前源地址 Destination IP：目的地址 （可选） Original Source Port：转换前源端口 Destination Port：目的端口 （可选） Translated Source IP：转换后源地址 Translated Source Port：转换后源端口 Protocol： 传输层协议类型 （ 1 为 tcp， 2 为 udp， 3 为 icmp） Padding：补充字节到 4 位对齐，值为 0。 4.4 用户端口块分配策略 当 NAT444 设备基于端口分块方式复用公有地址池时： 设备在用户 试图 建立第一个 NAT session 时，会根据 配置服务器下发的预分配映射表 （或者配置的静态映射关系）分配 一块端口 块 给该用户用，同时会记录端口分配的对应关系和分配时间，后续该用户用这些端口建立新的 会话 就不再记录 日志 了； 配置服务器下发的预分配映射表应该是满配的，即可以确保每个用户私有地址能获得且只能获得唯一的一个公有地址端口块 ； 定一个用户的端口范围同时也等于确定了该用户所能使用的 tcp和 udp端口的范围 ； 在用户端口块使用满的情况下，用户后续使用新端口的会话将无法建立，属YD/T 200 12 于该会话的报文被丢弃 ； 用户在拆除完最后一个 会话或者用户所有会话维持时间超出老化时间时 ，NAT444 设备 会收回该 用户 使用的端口 块 ，同时会记录收回端口的范围和时间 ； 一个用户地址的映射 关系应如下 ： 用户地址 (公有地址， 开始端口号 1，结束端口号 1)。 4.5 冗余备份能力要求 独立设备必须支持设备之间或者板卡之间的主备切换。 建议支持负荷分担的备份方式。负荷分担方式时，可采用按用户源地址散列的方式来选择 NAT 板卡。 可以支 持设备之间或者板卡之间 session 实时热备。 5 性能要求 根据中国电信 IP 网络的规模和用户业务开展情况，将中国电信 NAT444 独立设备根据所支持的 在线 用户数分为三类： A 类：支持在 线 用户数为 16 万； B 类： 支持在线用户数为 8 万 ； C 类： 支持在线用户数为 4 万 。 对三类 NAT444 独立设备的基本性能要求和 log 性能要求如下： A 类 B 类 C 类 基本性能要求 最大并发会话数 3200 万 1600 万 800 万 流量转发能力 80Gbps 19.2Mpps 40Gbps 9.6Mpps 20Gbps 4.8Mpps 槽位数量要求 至少 5 个 20GNAT槽位 至少 5 个 10GNAT槽位或者 3 个20GNAT 槽位 至少 3 个 10GNAT槽位或者 2 个20GNAT 槽位 流量与并发会话数配比 每 10G的 NAT流量支持 400 万个活动NAT 会话 每 10G的 NAT流量支持 400 万个活动NAT 会话 每 10G的 NAT流量支持 400 万个活动NAT 会话 分配端口块速率 2000 块每秒 1000 块每秒 500 块每秒 新建 session 速率 32 万每秒 16 万每秒 8 万每秒 YD/T 200 13 拆除 session 速率 32 万每秒 16 万每秒 8 万每秒 Log 性能要求 基于用户方式每秒 生成 日志数 4000 块每秒 2000 条每秒 1000 块每秒 基于 session 方式每秒 生成 日志数 64 万每秒 32 万每秒 16 万每秒 6 设备其它要求 6.1 机箱要求 任何接口模块必须可以被不受限制地插入任何非保留给控制 /交换模块 的 槽位中。冷却系统必须是冗余和可热插拔的，当一个风扇故障时，剩余的风扇必须能够维持对满载系统的冷却。 必须使用温度传感器监测系统的温度，当系统温度超过预设的阈值时，必须产生一个告警指示，并发送给适当的告警 /故障管理 系统；必须提供视觉指示（ LED）用于显示设备的冷却系统或温度情况（如风扇工作 /故障，温度正常 /过热等）。 6.2 线缆管理 设备应该在机箱的背部提供适当的线缆管理，使用户可以方便地对线缆进行操作。 6.3 设备可用性 集群系统或单台设备必须有高的可靠性，可用率不小于 99.99，无故障连续工作时间： MTBF 大于 69000 小时。同时要求单端口故障恢复时间小于 10 分钟，单卡板故障恢复时间小于 20 分钟，单机或集群系统故障恢复时间小于 30 分钟。 必须允许对运行系统进行所有适当的配置更改和软件升级而不影响在线用户。建议支持 在线软件版本升级 ISSU 能力，小版本升级不影响业务，大版本升级时的业务中断时间少于 1 分钟。 所有元件必须支持热插拔；必须支持关键部件冗余，及从故障板卡到备份板YD/T 200 14 卡的自动切换；建议支持不同业务转发板的端口备份；从主用电源到备用电源的切换必须是自动的，不能引起业务的中断；设备应该支持以太网冗余，可以在800ms 内恢复点对点的千兆以太网连接；满配的设备冷启动后应该在 10 分钟内完全正常运作；在有冗余配置的情况下，从机箱中抽走控制板卡时及重新插入控制板卡时，设备必须能够继续转发流量。 6.4 设备硬件要求 设备必须为无 阻塞的，例如转发容量的内部实现（交换单元，转发平面等）必须等于或超过所有安装的输入端口的容量。 设备必须不存在线头阻塞问题。 6.5 设备软件要求 操作系统的软件升级必须不影响在线用户。必须支持在本地存放多个版本的软件和配置文件。必须支持回退能力，如将操作系统软件 /配置退回到先前的版本。 软件的升级版本必须可以在线获取。设备必须支持从 FTP 或 TFTP 服务器下载软件 /配置文件。 软件应采用模块化结构，模块之间的通信应按规定的接口进行。 企业必须通过 CMM Level 3 认证，满足对软件开发和质量保证过程的要求。 企业必须通过 ISO 9001 认证，满足对软件开发和质量保证过程的要求。设备的工程和制造过程必须通过 TL-9000 认证。 6.6 环境要求 室内型设备必须能够在以下环境条件下正常运行：环境温度： 5 45，每小时变化 10；相对湿度： 10 90 （非凝露、非结霜）。 在以下灰尘环境下，设备应能正常工作：直径大于 5 m 的灰尘浓度 3104粒 /m3；灰尘粒子是非导电、导磁和腐蚀性的。 设备的电磁兼容性应符合国标 GB 9254-1998信息技术设备无线电骚扰限值和测试方法和 GB/T 17618-1998信息技术设备抗扰度限值和测试方法。 设备产生的电磁辐射建议符合 FCC Class A、 EN55022/CISPR-22 Class A、VCCIClass A 等标准。 YD/T 200 15 抗震措施：按 8 级烈度进行计算。 机械振动： 4.9 牛顿 /平方米（ 50 赫兹至