运营商城域网运营级NAT需求背景
NAT技术并不是新技术,传统NAT技术在政企客户/集团客户中大量使用,但是,当网络规模扩大至运营级时,网络建设的关键点便集中在大容量、高可靠、用户溯源、与现有城域网的结合等多方面。按照NAT技术应用范围及未来技术走向,将NAT技术的使用分为四个阶段,如图1所示。
图1NAT发展及向IPv6演进阶段
目前,NAT技术在国内运营商网络的应用主要处在第二阶段,用以解决IPv4公网地址不足的问题。国内的大型运营商正在开始逐步部署运营级NAT,运营级NAT的部署方案又称为NAT444。NAT444指的是两级NAT,即用户终端完成一次内网IPv4私网地址到运营商城域IPv4私网地址转换后,在运营商城域网上再次完成一次运营商城域IPv4私网到IPv4公网的地址转换,是运营商网络部署NAT转换网关的整体解决方案。NAT444的作用是在运营商的网络、业务平台、用户终端以及ICP无法全面支持IPv6的情况下,引入了运营商级NAT方案,延长IPv4的使用期限,保证业务的平滑过渡,为IPv6部署争取缓冲时间。在逐渐向IPv6过渡的过程中,NAT444网关设备也可以平滑支持IPv4/IPv6双栈,使运营商网络在业务平台、用户终端和ICP逐渐具备IPv6能力后,平滑向IPv6网络演进。
运营商城域网NAT设备形态的选择
运营商城域网NAT部署的典型设备形态有两种:
在现有城域网设备(CR或者BRAS/SR)增加NAT业务插卡实现;
部署独立式大规模NAT设备(LSN;也称为运营级NAT设备CGN)。
在城域网小规模部署阶段,可以采用直接在现有城域网设备上增加NAT业务插卡方式实现NAT功能,缓解局部区域IPv4地址不足的问题。但是随着城域网NAT部署规模的扩大至整个宽带城域网范围,从设备性能、设备可扩展能力、设备专业成熟度等多方面考虑,建议采用专业的独立式大规模NAT设备。如表1所示为两种设备形态的比较
不同设备形态比较独立式大规模NAT设备方式现网设备新增插卡方式
部署灵活性部署灵活,直接旁挂现网设备
现网设备调整工作量小,只需增加引流配置需要对BAS/SR分别增加NAT板卡,涉及版本兼容性、业务重启以及设备支持程度等问题
容量和可扩展能力可部署大容量设备,扩展性好,且扩展方便,不影响对现网设备其他业务。扩展性较差,既占用现网设备槽位,也影响现网设备性能,现网设备承载能力需要重新规划
对溯源影响一般采用静态端口块分配方式,溯源方便且日志存储量小,方便溯源。一般采用动态端口块分配方式,需要Radius扩展字段做到溯源。
备份与会话同步部署可以方便独立式设备间的备份及会话同步部署,对现网设备没有影响。只能做到同一现网设备内不同板卡之间的备份,如需做到设备间的备份需要增加现网设备,改变现网结构。
设备整体性能与稳定性独立式NAT设备大量成熟应用,设备整体性能较高,稳定可靠。而且部署后,对现网其他网元没有影响。现网设备插卡未经过大规模部署,而且对现网特殊应用的适应性有待考验。部署NAT板卡后,对原有规划用户承载能力有影响。
可维护性独立式设备独立配置管理,与现网设备对接采用标准协议,城域网各模块规划、配置和维护容易现网设备增加新功能,增加现网设备配置维护复杂度,也增加了问题排查复杂度
对机房环境要求需要增加机房机架和用电短期对机房机架没有新增需求;但是由于随着NAT板卡的增加对用户承载能力的减损,需要现网设备临时扩容以达到前期规划能力。
投资根据整个城域网需要做NAT的用户流量进行投资,可以将集中式部署和部分区域分布式部署相结合。投资利用率高,投资较小无论NAT需求大小,每台BRAS/SR都需要配置至少一块NAT板卡,投资利用率低,投资较大
表1新增独立NAT设备与现网设备新增NAT插卡部署方式对比
NAT资源池部署解决方案
在IPv6还未完成部署之前的很长一段时间,需要采用NAT方式来解决IPv4公网地址不足的问题。城域网宽带用户发展迅猛快速的今天,需要考虑一个可扩展的部署策略。传统的企业级独立式NAT设备通常不具备大容量、高可靠性、可扩展特点,显然无法满足运营级城域网NAT的需要。为适应运营级城域网NAT部署特点,H3C提出NAT资源池解决方案。NAT资源池部署方案通过在城域网单独部署大容量、可平滑扩展的大规模NAT设备(LSN),再通过虚拟化技术,将多台资源池设备虚拟成一台,实现NAT资源的进一步扩展并实现NAT资源池的高可靠性,从而实现大规模、运营级NAT的平滑改造。
在城域网部署NAT资源池时,需要根据现网网络流量、用户数、IPv4私网地址用户分布等等,选择合理的网络位置,主要有两种方式:集中式和分布式。集中式是指在城域网骨干核心层(CR)位置旁挂大规模NAT设备(LSN)。分布式是指在城域网骨干边缘层(SR/BRAS)位置旁挂大规模NAT设备(LSN)。不同部署模式有着各自的优劣势:
图2城域网NAT部署示意图
1、集中式:城域网骨干核心路由器CR旁挂LSN,设备容易做到集中管控,部署简单,且利用率高。适合中等规模网络。
2、分布式:城域网骨干边缘路由器每个SR/BRAS旁挂LSN,扩展性好,但部署复杂,初期成本高,利用率低。适合业务量巨大的网络。
3、混合式:城域网骨干核心路由器CR旁挂LSN,同时,业务量大的城域网骨干边缘路由器SR/BRAS旁挂LSN,可以做到按需扩展,部署灵活。适合中大规模网络。
以上几种部署方式,需要根据现网情况进行选择。就一般情况而言,建议采用集中式或者混合式方式。一方面集中部署的NAT资源池可以兼顾整个城域网的地址转换需要,另一方面集中式的部署方便管理维护;如果在部分地区IPv4私网地址用户比较集中、流量较大、NATSession需求较高的地方可以补充分布式部署的NAT资源池。
结束语
运营级NAT资源池方案在大容量NAT、提高NAT性能可扩展性和NAT设备可靠性等方面全面突破传统企业级NAT设备的局限,并且部署位置灵活多样,对运营商城域网结构影响小。在IPv6真正在终端、系统和网络中部署前,运营级NAT资源池解决方案将是运营商缓解IPv4地址危机最为实际的办法。
1、标准化:H3CNAT资源池采用在现有城域网旁挂部署方案,不需要对现有网络进行改动,对现有网络设备没有特殊要求,采用标准网络协议对接。H3CLSN设备支持完善丰富的路由协议(包括BGP、IS-IS、OSPF等),适应各种网络需要,同时采用旁挂部署,不会影响到城域网其他业务。
2、大容量:提供业内单框NAT处理能力最强的LSN设备,单框最大支撑几十万规模的在线用户,通过多框虚拟化技术,LSN虚拟组更可支撑多达百万在线用户。
3、可平滑扩展:LSN设备具备插框式平滑扩展能力,通过不断增加NAT业务板卡方式平滑提升整机NAT性能,单框最大支持16个NAT业务卡,通过N:1的虚拟化技术将多个插框虚拟为一个,二次提升整体NAT资源池性能。
4、高可靠性:LSN设备采用高可靠性硬件设计,支持控制平面与数据平面的硬件分离,同时支持Session级别的热备份,不间断在线用户业务。
5、支持静态端口块分配:LSN设备支持静态端口块分配,可以将用户的IPv4私网地址唯一地与IPv4公网地址和端口块的组合对应起来,以便溯源时快速定位用户,部署简单,管理方便。
6、实现N:1的虚拟化:LSN设备均支持N:1的虚拟化技术,可以将多台LSN设备虚拟为一台,在提升整体系统NAT容量的同时,也简化了多LSN设备的管理复杂度,并且提升了LSN设备的可靠性。
7、实现1:N的虚拟化:LSN设备可以通过1:N的虚拟化技术,将单块NAT板卡进而继续划分更细腻粒度,成为逻辑上独立的多个LSN,实现安全策略区分与业务隔离。
8、支持未来向IPv6演进:LSN设备支持丰富完善的IPv6特性,包括:IPv4/IPv6双栈、DS-Lite、6RD/6PE/6to4、NAT64等等,可以适应未来城域网向IPv6方向平滑演进。