城域网运营级NAT资源池解决方案

　　运营商城域网运营级NAT需求背景

　　NAT技术并不是新技术，传统NAT技术在政企客户/集团客户中大量使用，但是，当网络规模扩大至运营级时，网络建设的关键点便集中在大容量、高可靠、用户溯源、与现有城域网的结合等多方面。按照NAT技术应用范围及未来技术走向，将NAT技术的使用分为四个阶段，如图1所示。

　　图1 NAT发展及向IPv6演进阶段

　　目前，NAT技术在国内运营商网络的应用主要处在第二阶段，用以解决IPv4公网地址不足的问题。国内的大型运营商正在开始逐步部署运营级NAT，运营级NAT的部署方案又称为NAT444。NAT444指的是两级NAT，即用户终端完成一次内网IPv4私网地址到运营商城域IPv4私网地址转换后，在运营商城域网上再次完成一次运营商城域IPv4私网到IPv4公网的地址转换，是运营商网络部署NAT转换网关的整体解决方案。NAT444的作用是在运营商的网络、业务平台、用户终端以及ICP无法全面支持IPv6的情况下，引入了运营商级NAT方案，延长IPv4的使用期限，保证业务的平滑过渡，为IPv6部署争取缓冲时间。在逐渐向IPv6过渡的过程中，NAT444网关设备也可以平滑支持IPv4/IPv6双栈，使运营商网络在业务平台、用户终端和ICP逐渐具备IPv6能力后，平滑向IPv6网络演进。

　　运营商城域网NAT设备形态的选择

　　运营商城域网NAT部署的典型设备形态有两种：

　　· 在现有城域网设备(CR或者BRAS/SR)增加NAT业务插卡实现;

　　· 部署独立式大规模NAT设备(LSN;也称为运营级NAT设备CGN)。

　　在城域网小规模部署阶段，可以采用直接在现有城域网设备上增加NAT业务插卡方式实现NAT功能，缓解局部区域IPv4地址不足的问题。但是随着城域网NAT部署规模的扩大至整个宽带城域网范围，从设备性能、设备可扩展能力、设备专业成熟度等多方面考虑，建议采用专业的独立式大规模NAT设备。如表1所示为两种设备形态的比较

　　表1 新增独立NAT设备与现网设备新增NAT插卡部署方式对比

　　NAT资源池部署解决方案

　　在IPv6还未完成部署之前的很长一段时间，需要采用NAT方式来解决IPv4公网地址不足的问题。城域网宽带用户发展迅猛快速的今天，需要考虑一个可扩展的部署策略。传统的企业级独立式NAT设备通常不具备大容量、高可靠性、可扩展特点，显然无法满足运营级城域网NAT的需要。为适应运营级城域网NAT部署特点，H3C提出NAT资源池解决方案。NAT资源池部署方案通过在城域网单独部署大容量、可平滑扩展的大规模NAT设备(LSN)，再通过虚拟化技术，将多台资源池设备虚拟成一台，实现NAT资源的进一步扩展并实现NAT资源池的高可靠性，从而实现大规模、运营级NAT的平滑改造。

　　在城域网部署NAT资源池时，需要根据现网网络流量、用户数、IPv4私网地址用户分布等等，选择合理的网络位置，主要有两种方式：集中式和分布式。集中式是指在城域网骨干核心层(CR)位置旁挂大规模NAT设备(LSN)。分布式是指在城域网骨干边缘层(SR/BRAS)位置旁挂大规模NAT设备(LSN)。不同部署模式有着各自的优劣势：

　　图2 城域网NAT部署示意图

　　1、集中式：城域网骨干核心路由器CR旁挂LSN，设备容易做到集中管控，部署简单，且利用率高。适合中等规模网络。

　　2、分布式：城域网骨干边缘路由器每个SR/BRAS旁挂LSN，扩展性好，但部署复杂，初期成本高，利用率低。适合业务量巨大的网络。

　　3、混合式：城域网骨干核心路由器CR旁挂LSN，同时，业务量大的城域网骨干边缘路由器SR/BRAS旁挂LSN，可以做到按需扩展，部署灵活。适合中大规模网络。

　　以上几种部署方式，需要根据现网情况进行选择。就一般情况而言，建议采用集中式或者混合式方式。一方面集中部署的NAT资源池可以兼顾整个城域网的地址转换需要，另一方面集中式的部署方便管理维护;如果在部分地区IPv4私网地址用户比较集中、流量较大、NAT Session需求较高的地方可以补充分布式部署的NAT资源池。

　　结束语

　　运营级NAT资源池方案在大容量NAT、提高NAT性能可扩展性和NAT设备可靠性等方面全面突破传统企业级NAT设备的局限，并且部署位置灵活多样，对运营商城域网结构影响小。在IPv6真正在终端、系统和网络中部署前，运营级NAT资源池解决方案将是运营商缓解IPv4地址危机最为实际的办法。

　　附：H3C NAT资源池解决方案特点：

　　1、标准化：H3C NAT资源池采用在现有城域网旁挂部署方案，不需要对现有网络进行改动，对现有网络设备没有特殊要求，采用标准网络协议对接。H3C LSN设备支持完善丰富的路由协议(包括BGP、IS-IS、OSPF等)，适应各种网络需要，同时采用旁挂部署，不会影响到城域网其他业务。

　　2、大容量：提供业内单框NAT处理能力最强的LSN设备，单框最大支撑几十万规模的在线用户，通过多框虚拟化技术，LSN虚拟组更可支撑多达百万在线用户。

　　3、可平滑扩展： LSN设备具备插框式平滑扩展能力，通过不断增加NAT业务板卡方式平滑提升整机NAT性能，单框最大支持16个NAT业务卡，通过N:1的虚拟化技术将多个插框虚拟为一个，二次提升整体NAT资源池性能。

　　4、高可靠性： LSN设备采用高可靠性硬件设计，支持控制平面与数据平面的硬件分离，同时支持Session级别的热备份，不间断在线用户业务。

　　5、支持静态端口块分配： LSN设备支持静态端口块分配，可以将用户的IPv4私网地址唯一地与IPv4公网地址和端口块的组合对应起来，以便溯源时快速定位用户，部署简单，管理方便。

　　6、实现N:1的虚拟化： LSN设备均支持N:1的虚拟化技术，可以将多台LSN设备虚拟为一台，在提升整体系统NAT容量的同时，也简化了多LSN设备的管理复杂度，并且提升了LSN设备的可靠性。

　　7、实现1:N的虚拟化： LSN设备可以通过1:N的虚拟化技术，将单块NAT板卡进而继续划分更细腻粒度，成为逻辑上独立的多个LSN，实现安全策略区分与业务隔离。

　　8、支持未来向IPv6演进： LSN设备支持丰富完善的IPv6特性，包括：IPv4/IPv6双栈、DS-Lite、6RD/6PE/6to4、NAT64等等，可以适应未来城域网向IPv6方向平滑演进。