YD/T 2544-2013
基本信息
标准号:
YD/T 2544-2013
中文名称:运营级 NAT44 设备技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:6163793
相关标签:
运营
设备
技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2544-2013.Technical specifications for carrier grade NAT (NAT44).
1范围.
YD/T 2544规定了运营级NAT44设备的定位及其在运营级地址转换体系中的作用,规定了NAT44设备的功能、性能、安全、备份以及管理等基本的技术要求。
YD/T 2544适用于有线宽带网络中的整机NAT44设备,不适用于具有地址转换功能的单板。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
YD/T 1097-2009路由器设备技术要求核心路由器
YD/T 1148-2005网络接入服务器技术要求-宽带网络接入服务器
IETF RFC3022 统IP网络地址翻译器(传统NAT) (Traditional IP Network Address Translator(Traditional NAT))
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
NAT44 Nerwork Address Translation 44
实现IPv4地址到IPv4地址转换的技术。
3.1.2
NAT44设备 NAT44 Device
运营级的IPv4到JIPv4的地址转换设备。
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T2544-2013
运营级NAT44设备技术要求
Technical specifications forcarriergradeNAT(NAT44)2013-04-25发布
2013-06-01实施bzxz.net
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件。
3术语、定义和缩略语
3.1术语和定义··
3.2缩略语
4概述
设备定位
地址转换体系架构·
设备形态
5功能要求·
资源分配模式-
地址转换:
行为要求
溯源·
告警信息输出
应用层ALG
网络时间同步.
性能要求
设备容量
处理能力
可靠性·
7元余备份要求
8安全要求·
访问控制和流量控制
8.2路由安全
9操作管理维护要求
基本管理功能·
配置管理
性能管理
故障管理·
安全管理·
YD/T2544-2013
YD/T2544-2013
物理接口要求
10.1插卡设备
10.2独立设备
环境要求…
电源与接地
例行试验
电E电EA
···12
本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。YD/T2544-2013
本标准起草单位:中国电信集团公司、工业和信息化部电信研究院、中国联合网络通信集团有限公司、华为技术有限公司。
本标准主要起草人:谭景华、杨国良、黄灿灿、李小洋、马季春、张桂玉、傅瑜、郭大勇、马军锋、唐浩。
1范围
运营级NAT44设备技术要求
YD/T2544-2013
本标准规定了运营级NAT44设备的定位及其在运营级地址转换体系中的作用,规定了NAT44设备的功能、性能、安全、备份以及管理等基本的技术要求。本标准适用于有线宽带网络中的整机NAT44设备,不适用于具有地址转换功能的单板。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1097-2009
路由器设备技术要求核心路由器YD/T1148-2005网络接入服务器技术要求---宽带网络接入服务器IETFRFC3022传统IP网络地址翻译器(传统NAT)(TraditionalIPNetworkAddressTranslator(TraditionalNAT)))
IETFRFC4787单一UDP的网络地址转换(NAT)行为要求(NetworkAddressTranslation(NAT)Behavioral Requirements for Unicast UDP)IETFRFC5382TCPNAT动作要求(NATBehavioralRequirementsforTCP)IETFRFC5508ICMP的NAT动作要求(NATBehavioralRequirementsforICMP)IETFRFC5424 Syslog协议(The SyslogProtocol)3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
NAT44 Nerwork AddressTransiation44实现IPv4地址到IPv4地址转换的技术。3.1.2
NAT44设备NAT44Device
运营级的IPv4到IPv4的地址转换设备。3.1.3
NAT44用户NAT44Subscriber
为实现地址共享而通过NAT44设备进行地址转换的用户。3.1.4
用户地址IPAddressforUser
YD/T2544-2013
BNG、AAA、DHCP等系统分配给用户的IPv4地址。在运营级NAT44设备应用中通常是私有IPv4地址。
外部地址ExteriorIPAddress
用户地址经NAT44设备转换后的IPv4地址。在运营级NAT44设备应用中通常是公有IPv4地址。3.1.6
地址映射关系AddressMappingRelationshipNAT44转换中绑定的(用户地址、传输层ID)与(外部地址、传输层ID)之间的映射关系,其中传输层ID可以是TCP/UDP端口号或者ICMP中的标识号。3.1.7
地址映射表AddressMappingTable由地址绑定关系创建的映射表格。3.1.8
端口预留关系PortReservationRelationshipNAT44转换中为用户预留的用户地址与(外部地址、端口块)之间的映射关系。3.1.9
端口预留表PortReservationTable由端口预留关系创建的映射表格。3.1.10
溯源关系/地址转换关系TracingBackRelationship/AddressTranslationRelationship能够根据(外部地址,传输层ID)追溯到用户地址的关系,包括地址映射关系和端口预留关系。3.2缩略语
下列缩略语适用于本文件。
RADIUS
Authentication Authorization. AccountingAccess Control List
Application Layer Gateway
Broadband Network Gateway
Customer Premises Equipment
Dynamic Host Configuration ProtocolDomain Name System
Internet Control Message ProtocolInternet Protocol Version 4
Internet Protocol Version 6
Nerwork Address Translation
Network Time Protocol
Personal Computer
Remote AuthenticationDial In User Service认证、授权、记账
访问控制列表
应用层网关
宽带网络网关
用户端设备
动态主机配置协议
域名系统
网际控制报文协议
网际协议第四版
网际协议第六版
网络地址转换
网络时间协议
个人电脑
远程认证拨号用户服务
4概述
Transfer Control Protocol
User Datagram Protocol
传输控制协议
用户数据报协议
YD/T2544-2013
4.1设备定位
IPv4公有地址枯竭后,新增用户将无法得到IPv4公网地址,而当前IPv6部署尚未大规模开展,为了支持宽带互联网业务等IP地址相关的各种业务的持续发展,在运营商网络内需要部署NAT设备来解决地址短缺,这种NAT设备称作运营级NAT44设备。与传统的企业网NAT应用环境不同,NAT44设备服务的用户规模更大、承载流量大、业务稳定性要求更高,因此要求NAT44设备具备更高的性能、稳定性和安全性。同时,NAT44设备也需要实现设备穴余功能以避免网络单点故障,以及实现用户溯源等方面的需求。另一方面,NAT44设备主要用于地址共享,因此可以简化传统NAT设备的安全防护功能,以提升设备的整体性能。4.2地址转换体系架构
运营商部署NAT44设备时,需要结合AAA服务器、网管服务器、日志服务器、溯源系统等配套系统,提供运营级NAT44转换,并支持用户溯源的要求。其体系架构如图1所示。潮源
农户端
服务器
源地址/端口:a1.a2.a3.a4/p1
目的地址/端口:a1.a2.a3.a4/p1网管
服务器
服务器
源地址/端口:b1.b2.b3.b4/p2
目的地址/端口:b1.b2.b3.b4/p2a1.a2.a3.a4:p1→>b1.b2.b3.b4:p2图1地址转换系统架构
服务器
NAT44设备:生成和维护用户地址映射表,实现运营商级NAT转换:并实现用户溯源关系向AAA服务器和日志服务器上报。
AAA服务器:负责记录和维护用户账号、用户地址等信息;接收或者生成用户溯源关系:响应用户的溯源关系查询。
日志服务器:接受和记录用户访问信息:响应用户访问信息查询。网管系统:负责管理NAT44设备。溯源系统:负责用户溯源;在需要进行用户溯源时,向AAA服务器或者日志服务器发起查询请求。为实现用户溯源,NAT44设备的地址转换关系应该上报给AAA服务器或日志服务器,由AAA服务器或者日志服务器提供用户溯源的访问查询服务。如果NAT44设备的地址转换关系是静态的且可以计算出来,则AAA服务器可以采用与NAT44设备上相同的算法计算出地址转换关系,不再需要NAT44设备上报地址转换关系。如图2所示。
YD/T2544-2013
客户端
服务器
服务器
图2静态地址转换关系生成
服务器
服务器
网管系统统一配置用于确定地址转换关系的参数,如私有地址池、外部地址池、地址复用率等;网管系统分别向AAA服务器和NAT44设备下发配置参数;(3)AAA服务器、NAT44设备分别根据配置参数使用约定算法独立计算和生成地址转换关系,即溯源关系:
(4)溯源系统需要进行溯源查询时,可通过AAA服务器查找到溯源关系。4.3设备形态
NAT44设备有三种设备形态:独立设备,路由器插卡设备和BNG插卡设备。独立设备指只实现NAT44功能的独立设备,路由器插卡设备指路由器功能与NAT44功能合设的设备,BNG插卡设备指BNG功能与NAT44功能合设的设备。
独立设备在部署时需要考患与BNG、路由器等网络设备的连接关系,比如采用串联的方式部署(见图3a),或者采用旁挂的方式部署(见图3b)。路由器/BNG
(a)申联部署方式
(b)旁挂部署方式
路由器/BNG
图3独立设备NAT44部署方式
YD/T2544-2013
路由器插卡设备和BNG插卡设备由于其NAT44功能增设在路由器或者BNG设备之上,部署时除部分控制通道(如与网络管理、AAA服务器、Syslog服务器之间的接口)之外,无需考患与其他网络设备的连接关系。图4是路由器插卡设备的部署示意图,图5是BNG插卡设备的部署示意图。BNG
图4路由器插卡NAT44部署方式
图5BNG插卡NAT44部量方式
路由器
路由器
本标准的所有技术要求,仅对NAT44功能模块有效,因而对于路由器插卡设备和BNG插卡设备中有关路由器和BNG的技术要求不在本标准的技术要求范围之内。本标准所有的技术要求,对上述三类形态的设备要求内容不同者,会分别予以说明;无特别说明者,均为对所有形态设备的统一要求。5功能要求
5.1资源分配模式
本节的资源是指可用于地址转换的外部地址和端口。资源分配模式是指NAT44设备为用户地址转换分配外部地址和端口的方式。资源分配模式包括端口共享方式和端口预留方式。
5.1.1端口共享
端口共享方式是指所有的(外部地址,端口)资源被用户共享。在创建地址映射关系时,NAT44设备可以从未被使用且未被保留的(外部地址、端口)资源中任意选择一个(外部地址、端口)分配给用户进行地址转换。
NAT44设备必须支持端口共享的资源分配模式。5.1.2端口预留
端口预留方式是指为用户预留一个或者若于个(外部地址、端口块)给用户使用。在创建地址映射关系时,NAT44设备只能从为该用户预留的(外部地址、端口块)中选择(外部地址、端口)分配给用户进行地址转换。同时,为该用户预留的(外部地址、端口块)资源不能再被其他用户使用。例如,端口预留关系如下所示:10.1.1.1≤->(120.1.1.1,[1025,2048)10.1.1.2->(120.1.2.1,[2049,3072])10.1.1.3->(120.1.2.1,[3073,4096])端口预留方式可以分为动态预留和静态预留两种方式。5.1.2.1动态预留
YD/T2544-2013
动态预留指端口预留关系是可变的。一个用户地址,在一个时期内为其预留某一个(外部地址,端口块)资源,在另一个时期为其预留另一个(外部地址、端口块)资源。NAT44设备必须支持动态端口预留的资源分配模式。NAT44设备采用的随机选择算法生成用户端口预留关系,可以是哈希算法,也可以是其他算法,但必须保证为每个用户地址预留不同的(外部地址,端口块)资源。对于BNG插卡设备,在用户上线为用户分配地址时,应该同时为用户地址预留(外部地址,端口块)资源;当用户下线时,NAT44设备应该释放为此用户预留的(外部地址,端口块)资源。对于其他形态的NAT44设备,用户应该在第一次通过NAT44设备发起会话时:为用户地址预留(外部地址,端口块)资源:当用户长时间没有会话时(例如用户在最后一个会话结束后经过老化时间仍然没有新的会话),应该释放为此用户预留的(外部地址,端口块)资源。5.1.2.2静态预留
静态预留指端口预留关系是相对固定的。在NAT44设备配置参数不变的情况下,为用户地址预留的(外部地址、端口块)资源是固定不变的。NAT44设备建议支持静态端口预留的资源分配模式。NAT44设备需要根据配置的参数通过一种算法生成静态的端口预留关系。可配置的参数包括如下:·用户地址池:NAT44设备配置的转换前的用户地址池信息,通常是私有地址池,也可以是公有地址池。如果是BNG插卡设备,一般是用户上线时BNG分配给用户的地址池:如果是其他形态的设备一般应该包含可能通过该NAT44设备的所有用户地址的集合。·外部地址池:NAT44设备配置的用户转换后的地址池信息。·端口块大小:NAT44设备分配给用户使用的每个端口块的端口数量。可用端口范围(s,t):指用户地址转换时可使用的端口范围。s,t分别表示开始和结束端口号。根据静态端口预留关系的生成算法不同,需要配置的参数可以有所增减。端口预留关系生成算法必须保证为每个用户地址预留不同的(外部地址,端口块)资源。算法也必须保证在配置参数不变的情况下,每次为相同用户地址预留的(外部地址,端口块)资源是不变的。NAT44设备应该能够接受网管系统通过SNMP协议或者telnet协议下发配置参数,同时,NAT44设备也应该能够通过SNMP协议通知网管系统其已配置的参数。5.2地址转换
NAT44设备能够根据资源分配方式为用户TCP/UDP会话选择对应的(外部地址、TCP端口/UDP端口)资源进行地址转换,也能够为用户的ICMP会话进行地址转换。其特性应符合IETFRFC3022的规定。无论采用哪种资源分配模式,对于同一个用户地址,NAT44设备为其TCP、UDP、ICMP会话分配的外部地址必须是同一个地址。
5.3行为要求
NAT44设备必须支持对TCP、UDP及ICMP报文进行地址转换的功能,其特性应符合IETFRFC4787、IETFRFC5382、IETFRFC5508的规定。NAT44设备必须实现Endpoint-IndependentMapping及Endpoint-IndependentFiltering特性。为了实现更好的安全性,建议实现Address-Dependent Mapping、Address and Port-Dependent Mapping、Address-DependentFiltering、Address and Port-DependentFiltering等特性。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。