NAT444独立设备技术规范(修改稿2).doc

yd/t 200保密等级：企业秘密中国电信集团公司 发布2011-1-1实施2010-12-31发布中国电信ip设备技术规范 （nat444独立设备分册）（v?）q/ct *-2010中国电信集团公司技术标准16目 录1前言32编制说明32.1范围32.2引用标准32.3定义、术语和缩写42.3.1定义42.3.2术语和缩写42.4与总册关系53概述53.1nat444设备的现网部署方式53.2nat444设备的功能组成63.3设备要求说明64功能要求74.1总体功能要求74.1.1物理接口方面74.1.2nat基本特性方面74.1.3设备配置手段方面74.1.4流量控制方面74.1.5log输出方面84.1.6路由方面84.1.7冗余备份方面84.1.8网管方面84.2配置管理方式84.3log服务策略与log输出接口94.3.1基于用户方式输出log94.3.2基于session方式输出log104.4用户端口块分配策略114.5冗余备份能力要求125性能要求126设备其它要求136.1机箱要求136.2线缆管理136.3设备可用性136.4设备硬件要求146.5设备软件要求146.6环境要求146.7设备绿色要求156.7.1设备管理要求156.7.2设备环保与包装要求156.7.3能耗分级标准161 前言nat44是ipv6过渡时期的重要技术。nat444就是两级nat：cpe一级nat44，bas一级nat44。nat444是指nat技术应用场景，它没有引入新技术。该技术优点是现有设备、技术支持较为成熟，容易实现，其缺点主要是需要维护session状态，某些应用可能受限制，增加地址溯源的困难等。在ipv6过渡期内，ipv6地址和nat444（lsn）两种方式将共存。因此我们需要对nat444进行研究。经过了2010年的nat444实验室测试及现场试点工作，我们对nat444现网部署工作有了较深入的了解。为能更好地指导下一阶段工作，特制订本技术规范。2 编制说明2.1 范围本技术规范适用于中国电信集团nat444设备的选型。在本规范中：必须：表示该条目是本规范必须，违反这样的要求是原则性错误。必须实现：表示该要求必须实现，但不要求缺省使能。不允许（不可以）：表示该条目绝对禁止。应当（建议）：表示在某些特定条件下存在忽视该条目的理由，但是忽视或违反该条目时必须仔细衡量。应当（建议）实现：与应当（建议）类似，实现时不必要缺省使能。不应当（不建议）：表示在某些特定条件下存在所描述行为可接受或有效的理由，但实现该行为时必须仔细衡量。可以。表示该条目确实可选。2.2 引用标准目前还没有一个公认的运营商级nat444设备指标，仅有ietf的一些draft可供参考： ietf draft-nishitani-cgn ietf draft-shirasaki-nat444 ietf draft-shirasaki-nat444-isp-shared-addr下列标准包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会修订，使用本标准的各方应探讨，使用下列标准最新版本的可能性。 中国电信ip设备技术规范（nat总册） log服务器技术规范 网管系统技术规范2.3 定义、术语和缩写2.3.1 定义nat444也叫lsn（large scale nat），是一种在运营商网络中大规模使用nat技术的应用场景。实现nat444的设备叫nat444设备，负责把来自用户或终端的数据报文进行源地址翻译，目的是实现大量私有源地址复用成少量公有源地址。主要部署于城域网内部。2.3.2 术语和缩写aaa认证（authentication）、授权（authorization）和记帐（accounting）aclaccess control list（访问控制列表）algapplication layer gateway（应用层网关）brasbroadband remote access service（宽带远程接入服务）bypass旁路，指设备的一种工作状态cpecustomer presidial equipment（用户驻地设备）dnsdomain name system（域名系统）icmpinternet control message protocol（网际控制报文协议）ipv4internet protocol version 4（网际协议第四版）ipv6internet protocol version 6（网际协议第六版）log日志信息，指设备自动生成的日志信息lsnlarge scale nat（大规模的网络地址转换）natnerwork address transform（网络地址转换）nat444指两层nat44的简称session会话，指nat444设备中用户触发产生的地址转换会话2.4 与总册关系本分册是对中国电信ip设备技术规范（nat总册）（以下简称“总册”）部分内容的具体解释，思想原则与总册保持一致。具体解释如有导致理解上不一致之处，以本分册为准。3 概述3.1 nat444独立设备的现网部署方式由于ipv4地址资源面临枯竭，向ipv6转换成为网络演进的方向。但是，ipv6的部署需要解决用户、网络、业务等方面的困难，不能在短时间内完成。因此，在ipv4地址向ipv6演进的过渡期内，延缓ipv4的使用期限，可以为ipv6的部署争取时间。这是nat444技术的主要作用。在现网部署nat444独立设备，有以下两种典型的部署方式：而在中国电信现网上，无论是集中式部署还是分布式部署，根据总册要求，需固化nat444设备上的映射关系，全网所有nat444设备的私有地址和公有地址映射关系（映射表）由配置服务器统一下发，同时也将所有nat444设备的映射关系（映射表）保存一份至aaa系统负责响应实时查询的接口机上。3.2 nat444独立设备的功能组成nat技术已经在家庭网关及其它小型网络上使用多年，现有应用大多已适应nat的影响，这些应用同样能适应nat444模式。但个别应用、业务流程由于没考虑nat，在nat444模式下用户使用还是会受影响。要解决上述问题，在中国电信现网部署的nat444独立设备，除了必须具备基本的nat功能外，还必须结合上述现网部署方式，在nat444独立设备上实现一些特定的功能。（总册图16 nat444网关主要功能）3.3 设备要求说明本技术规范将分别在功能、性能及设备一般特性三方面对nat444独立设备作出具体要求。其中，特别说明了与中国电信现网部署方式相关的配置管理方式、log服务策略与log输出接口、用户端口块分配策略、冗余备份能力等方面的要求。4 功能要求4.1 总体功能要求4.1.1 物理接口方面设备物理接口应支持标准的千兆、万兆以太网光/电接口。每个接入板卡接入带宽至少为10gbps。可以灵活配置接口板卡数量，使接入带宽与nat板卡流量转发能力保持一致。4.1.2 nat基本特性方面必须支持静态nat映射，动态nat映射。必须支持基于端口分块方式复用公有地址池。可以支持按session方式复用公有地址池。必须支持tcp,udp及icmp报文的nat穿越。可以实现nat alg扩展，包括ftp, sip等主要应用协议；可以实现pptp隧道穿越。可以支持full cone nat特性。必须支持手工更改会话老化时间。可以设置udp session老化时间默认为30秒，tcp session老化时间默认为60秒。4.1.3 设备配置手段方面必须支持手动配置方式。必须支持配置下发接口（具体要求看4.2节）。必须支持根据配置服务器下发的映射关系对公有地址的端口块进行预分配（具体要求看4.4节）。4.1.4 流量控制方面必须支持基于源地址，目的地址，源端口，目的端口，协议的访问控制列表acl。必须支持通过acl作为设定条件对nat流量进行引导。必须实现基于源ip、协议端口及其组合的并发session数限制功能。必须实现某些另外通过acl指定的session不受并发session数限制，并且能直通访问lsn外部，不进行nat转换。该应用可以用于保证用户dns请求不受nat连接限制。4.1.5 log输出方面支持log输出功能，可以打开或者关闭log输出功能（具体要求看4.3节）。可以实现当分配给用户的端口块用满情况下，输出一条告警log信息到指定的log服务器。4.1.6 路由方面必须支持按静态路由的方式对nat流量进行引导。可以支持rip、ospf、isis、bgp等路由协议。4.1.7 冗余备份方面必须支持冗余备份，至少支持主备模式（具体要求看4.5节）。4.1.8 网管方面必须支持snmp网管协议。必须实现标准的mib库。4.2 配置管理方式nat444设备必须支持两种配置方式：（1） 服务器通过snmp协议直接下发nat静态映射表。nat444设备根据该静态映射表对公有地址的端口块进行预分配。其中snmp交互格式、流程必须符合中国电信网管系统技术规范的要求。（2） 手工配置nat444设备，定义用户地址与公有地址、端口块的静态映射关系。4.3 log服务策略与log输出接口nat444必须支持基于用户方式生成log信息。nat444可以支持基于session方式生成log信息。nat444必须支持通过syslog协议发送log信息。nat444可以支持ftp方式定期打包发送log信息。log的输出必须要完整，确保在设备（板卡）负荷最大时不出现log输出错、漏的现象。log的传输必须符合rfc3164、rfc5424定义的格式要求。log的输出不影响nat444设备流量转发或者nat性能的表现。4.3.1 基于用户方式输出lognat444必须支持基于用户方式输出log信息。必须支持每分配一个端口块和收回一个端口块时，各送出一条log。可以手工指定只在分配端口块时输出log或者收回端口块时输出log。必须支持指定log server的地址。为了提高log的处理效率，必须支持二进制日志，并实现多条日志在同一个udp包中发送。在syslog的header信息中必须包括如下信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| facility | severity | log count |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| log id |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+facility：rfc3164标准所需属性severity： rfc3164标准所需属性log count：该日志组中日志条目log id: 该类型日志的系统唯一标识符在syslog的msg信息中必须包括以下具体日志信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| start-time |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| original source ip |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| translated first source port | translated last source port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| translated source ip |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+*所有参数均为网络字节序start-time: 转换开始时间。以1970年1月1日0点起按秒计original source ip：转换前源地址translated source ip：转换后源地址translated first source port：转换后第一个源端口编号translated last source port：转换后最后一个源端口编号4.3.2 基于session方式输出log必须支持用户每新建和拆除1条session，各送出一条log。可以手工指定只输出新建的session或者拆除的session。必须支持指定log server的地址。为了提高log的处理效率，必须支持二进制日志，并实现多条日志在同一个udp包中发送。在syslog的header信息中必须包括如下信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| facility | severity | log count |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| log id |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+facility：rfc3164标准所需属性severity： rfc3164标准所需属性log count：该日志组中日志条目log id: 该类型日志的系统唯一标识符在syslog的msg信息中必须包括以下具体日志信息： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| start-time |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| original source ip |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| destination ip |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| original source port | destination port |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| translated source ip |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| translated source port | protocol | padding |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+*所有参数均为网络字节序start-time: 转换开始时间。以1970年1月1日0点起按秒计original source ip：转换前源地址destination ip：目的地址（可选）original source port：转换前源端口destination port：目的端口（可选）translated source ip：转换后源地址translated source port：转换后源端口protocol：传输层协议类型（1为tcp，2为udp，3为icmp）padding：补充字节到4位对齐，值为0。4.4 用户端口块分配策略当nat444设备基于端口分块方式复用公有地址池时：设备在用户试图建立第一个nat session时，会根据配置服务器下发的预分配映射表（或者配置的静态映射关系）分配一块端口块给该用户用，同时会记录端口分配的对应关系和分配时间，后续该用户用这些端口建立新的会话就不再记录日志了；配置服务器下发的预分配映射表应该是满配的，即可以确保每个用户私有地址能获得且只能获得唯一的一个公有地址端口块；定一个用户的端口范围同时也等于确定了该用户所能使用的tcp和udp端口的范围；在用户端口块使用满的情况下，用户后续使用新端口的会话将无法建立，属于该会话的报文被丢弃；用户在拆除完最后一个会话或者用户所有会话维持时间超出老化时间时，nat444设备会收回该用户使用的端口块，同时会记录收回端口的范围和时间；一个用户地址的映射关系应如下：用户地址 (公有地址，开始端口号1，结束端口号1)。4.5 冗余备份能力要求独立设备必须支持设备之间或者板卡之间的主备切换。建议支持负荷分担的备份方式。负荷分担方式时，可采用按用户源地址散列的方式来选择nat板卡。可以支持设备之间或者板卡之间session实时热备。5 性能要求根据中国电信 ip 网络的规模和用户业务开展情况，将中国电信nat444独立设备根据所支持的在线用户数分为三类：a类：支持在线用户数为16万；b类：支持在线用户数为8万；c类：支持在线用户数为4万。对三类nat444独立设备的基本性能要求和log性能要求如下：a类b类c类基本性能要求最大并发会话数3200万1600万800万流量转发能力80gbps19.2mpps40gbps9.6mpps20gbps4.8mpps槽位数量要求至少5个20gnat槽位至少5个10gnat槽位或者3个20gnat槽位至少3个10gnat槽位或者2个20gnat槽位流量与并发会话数配比每10g的nat流量支持400万个活动nat会话每10g的nat流量支持400万个活动nat会话每10g的nat流量支持400万个活动nat会话分配端口块速率2000块每秒1000块每秒500块每秒新建session速率32万每秒16万每秒8万每秒拆除session速率32万每秒16万每秒8万每秒log性能要求基于用户方式每秒生成日志数4000块每秒2000条每秒1000块每秒基于session方式每秒生成日志数64万每秒32万每秒16万每秒6 设备其它要求6.1 机箱要求任何接口模块必须可以被不受限制地插入任何非保留给控制/交换模块的槽位中。冷却系统必须是冗余和可热插拔的，当一个风扇故障时，剩余的风扇必须能够维持对满载系统的冷却。必须使用温度传感器监测系统的温度，当系统温度超过预设的阈值时，必须产生一个告警指示，并发送给适当的告警/故障管理系统；必须提供视觉指示（led）用于显示设备的冷却系统或温度情况（如风扇工作/故障，温度正常/过热等）。6.2 线缆管理设备应该在机箱的背部提供适当的线缆管理，使用户可以方便地对线缆进行操作。6.3 设备可用性集群系统或单台设备必须有高的可靠性，可用率不小于 99.99，无故障连续工作时间：mtbf 大于69000 小时。同时要求单端口故障恢复时间小于10分钟，单卡板故障恢复时间小于20 分钟，单机或集群系统故障恢复时间小于30 分钟。必须允许对运行系统进行所有适当的配置更改和软件升级而不影响在线用户。建议支持在线软件版本升级issu 能力，小版本升级不影响业务，大版本升级时的业务中断时间少于1 分钟。所有元件必须支持热插拔；必须支持关键部件冗余，及从故障板卡到备份板卡的自动切换；建议支持不同业务转发板的端口备份；从主用电源到备用电源的切换必须是自动的，不能引起业务的中断；设备应该支持以太网冗余，可以在800ms 内恢复点对点的千兆以太网连接；满配的设备冷启动后应该在10 分钟内完全正常运作；在有冗余配置的情况下，从机箱中抽走控制板卡时及重新插入控制板卡时，设备必须能够继续转发流量。6.4 设备硬件要求设备必须为无阻塞的，例如转发容量的内部实现（交换单元，转发平面等）必须等于或超过所有安装的输入端口的容量。设备必须不存在线头阻塞问题。6.5 设备软件要求操作系统的软件升级必须不影响在线用户。必须支持在本地存放多个版本的软件和配置文件。必须支持回退能力，如将操作系统软件/配置退回到先前的版本。软件的升级版本必须可以在线获取。设备必须支持从ftp 或tftp 服务器下载软件/配置文件。软件应采用模块化结构，模块之间的通信应按规定的接口进行。企业必须通过cmm level 3 认证，满足对软件开发和质量保证过程的要求。企业必须通过iso 9001 认证，满足对软件开发和质量保证过程的要求。设备的工程和制造过程必须通过tl-9000 认证。6.6 环境要求室内型设备必须能够在以下环境条件下正常运行：环境温度： 545，每小时变化10；相对湿度： 1090 （非凝露、非结霜）。在以下灰尘环境下，设备应能正常工作：直径大于5 m 的灰尘浓度3104粒/m3；灰尘粒子是非导电、导磁和腐蚀性的。设备的电磁兼容性应符合国标gb 9254-1998信息技术设备无线电骚扰限值和测试方法和gb/t 17618-1998信息技术设备抗扰度限值和测试方法。设备产生的电磁辐射建议符合fcc class a、en55022/cispr-22 class a、vcciclass a 等标准。抗震措施：按8 级烈度进行计算。机械振动：4.9 牛顿/平方米（50 赫兹至200 赫兹）。应提供双电源备份和负载分担功能，必须支持48v 直流电源，直流电压及其波动范围要求：直流电压及其波动范围要求：额定电压-48v，允