©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.CGN技术综述Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page1Page1CGN技术背景IPv4地址即将耗尽,用户发展需求远超地址申请速度。目前IPv6产业链趋向成熟,基本满足向IPv6网络过渡的需要。但是基于IPv6的内容很少,用户缺乏演进到IPv6的动力,所以IPv4和IPv6将在很长时间内处于共存期。需要IPv6过渡技术来解决这个问题-CGN技术Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2Page2目录1.CGN基本概念2.CGN基础知识3.CGN解决方案4.VSUF亮点5.CGN应用限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3Page3NAT(NetworkAddressTranslation)网络地址转换是在IPv4地址日益缺乏的情况下产生的,它的主要目的是为了能够地址复用。NAT分为两大类,BasicNAT和NAPT(NetworkAddressPortTranslator)CGN(CarrierGradeNAT)电信级的NAT或者叫运营商级的NAT。CPE(CustomerPremisesEquipment)路由型CPE实现用户级NAT转换,桥接型CPE仅提供二层功能,无NAT功能。CGN基本概念Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4Page4NAT444NAT444是IPv过渡时期的重要技术,NAT444就是二级NAT:CPE一级的NAT44地址转化,网络设备(例如BRAS)一级NAT44地址转化。共二级NAT44地址转化DS-Lite(轻量级双栈Dual-StackLite)轻量级双栈采用的IPv4-in-IPv6隧道,通过隧道,IPv4流量可穿越IPv6网络到达电信级CGN设备(AFTR),CPE无需对私有IPv4地址进行翻译,从而避免了多级NATL2NATL2-awareNAT用户接入时,CPE设备只做路由转发,不做NAT,但终端的IP地址是由CPE设备独立分配的私网地址,不同CPE分配的私网很有可能是完全重叠的,因此BRAS设备不能只根据IP识别用户CGN基本概念Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5B4(BaseBridgeBroadbandelement)DS-Lite场景下的路由型家庭网关,或者运行DS-Lite客户端的PCAFTR(AddressFamilyTranslationRouter)DS-Lite场景下网络设备功能模块,物理型态可以是独立式或嵌入式,可以以分布式部署在BRAS节点位置,也可以以集中式部署在城域网核心CR路由器位置端口半动态分配(Semi-PortDynamic)端口半动态分配即用户端口使用数超过端口预分配数值时,CGN为该用户新分配一个端口范围供用户使用。Port-Range对于每个割接到CGN的私网用户通常需要预先分配一个公网IP的端口段,该端口段用来为私网用户做CGN的公私网转换Page5CGN基本概念Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6Page6目录1.CGN基本概念2.CGN基础知识•NAT基础•CGNALG•CGN溯源•CGN安全性•CGN系统结构3.CGN解决方案4.VSUF亮点5.CGN应用限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7NAT部署的基本作用实现公私网分离,保护私网信息安全实现IP地址复用,缓解IPv4公网地址耗尽问题。NAT部署简单分类BasicNATNAPTNAT基本模式三元组NAT五元组NATPage7NAT基础Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8BasicNAT也叫NO-PAT方式NAT,只转换IP地址,每个私网地址对应一个公网地址。HostServer192.168.1.120.1.1.1IntranetInternet192.168.1.31.1.1.2Src:192.168.1.3Dst:1.1.1.2Src:20.1.1.1Dst:1.1.1.2Src:1.1.1.2Dst:192.168.1.3Src:1.1.1.2Dst:20.1.1.1NATDirectionBeforeNATAfterNATOutbound192.168.1.320.1.1.1BasicNATCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9Page9NAPT(NetworkAddressPortTranslation)即网络地址端口转换,也叫PAT,同时映射IP地址和端口号。来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址。HostAServer192.168.1.120.1.1.1IntranetInternet192.168.1.21.1.1.2Packet2Src:192.168.1.2:2222NATHostB192.168.1.3Packet2Src:20.1.1.1:1002Packet1Src:192.168.2.2:1111Packet3Src:192.168.1.3:1111Packet1Src:20.1.1.1:1001Packet3Src:20.1.1.1:1003DirectionBeforeNATAfterNATOutbound192.168.1.2:111120.1.1.1:1001Outbound192.168.1.2:222220.1.1.1:1002Outbound192.168.1.3:111120.1.1.1:1003NAPTCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10Page10NAT设备通过建立三元组(源地址、源端口、协议号)表项为依据进行地址分配和报文过滤。此模式又叫全圆锥模式(Full-cone)-适合支持P2P业务,因此在现有的部署场景中绝大多数都是采用三元组。10.1.1.200NAT121.12.124.2010.1.1.200:100-121.12.124.20:8010.1.1.200:100-131.15.124.22:80152.100.1.21:10240-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80131.15.124.22152.100.1.21:10240-131.15.124.22:8010.1.1.200:100-121.12.124.20:80三元组NATCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11Page11NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤。此模式又叫对称性模式(SymmetricNAT)10.1.1.200NAT121.12.124.2010.1.1.200:100-121.12.124.20:8010.1.1.200:100-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80131.15.124.22152.100.1.21:10240-131.15.124.22:80五元组NATCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12Page12目录1.CGN基本概念2.CGN基础知识•NAT基础•CGNALG•CGN溯源•CGN安全性•CGN系统结构3.CGN解决方案4.VSUF亮点5.CGN应用限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13Page13ALG(ApplicationLayerGateway):在NAT中,为特殊的应用程序提供透明转换的功能称为应用层网关。通过ALG功能,NAT不仅针对IP地址、端口号做地址端口映射,同时还对应用层协议中包含的IP地址、端口号等做同步转换,以已保证这些协议能够正常交互。当前版本ALG支持的应用协议及端口号有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060)等。NAT穿越:NAT穿越和NATALG解决的问题一致,都是为了解决网络中存在NAT时应用协议的交互问题,不同之处在于解决问题的出发点不同,NATALG的处理在NAT设备完成,NAT穿越通常是指应用软件能够探测、处理网络中存在NAT的情况,并由应用程序的终端和服务器做特殊处理来保证功能可用。CGNALGCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14Page14目录1.CGN基本概念2.CGN基础知识•NAT基础•CGNALG•CGN溯源•CGN安全性•CGN系统结构3.CGN解决方案4.VSUF亮点5.CGN应用限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15溯源:指根据源地址、端口等信息,确定最终用户账号的安全监管要求。BRAS/SRCGNSTBHGDSLAMTVLSWOLTMDUSTBHGTVAAAServer安全监管接入认证1建立连接,发起认证2用户认证记录用户私有地址3给用户分配私有IPv4地址用户溯源1私有源地址访问请求2公有源地址访问请求1根据公有IP地址查询用户信息2用户信息NAT导致溯源失败的原因:用户报文在NAT转换前后的源地址不同,安全监管机构只能获得NAT转换后的用户信息。这个地址在AAA没有任何记录转换后的记录。因此,无法完成正常的用户信息反查和用户溯源。NAT部署引起的溯源问题Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16Page16NAT溯源:NAT特性的部署隐藏了私网用户的IP地址信息,各个国家安全部门对NAT部署的很重要的要求是具备可溯源的能力,即可以根据”公网IP地址+端口号”查询到私网用户的IP地址,进一步锁定具体用户。CGN溯源方式:包含用户日志和流日志,其中用户日志分为syslog和Radius两种格式,流日志分为syslog和elog两种格式。优缺点:用户日志,日志量小,不能精准溯源;流日志,日志量太大,能精准溯源。综合考虑推荐使用三元组、port-range情况下的用户日志CGN溯源Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17目录1.CGN基本概念2.CGN基础知识•NAT基础•CGNALG•CGN溯源•CGN安