YDT 4499-2023运营级NAT64设备技术要求

ICS33.040.20

CCSM32

YD

中华人民共和国通信行业标准

YD/TXXXXX—XXXX

运营级NAT64设备技术要求

TechnicalspecificationsofcarriergradeNAT64devices

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国联合网络通信有限公司、华为技术有限公司、新华三技术有限公司。

本文件主要起草人：孙莉、张震、郭爱鹏、周光涛、赫罡、邵建树、冉喆、杜宗鹏、万晓兰。

II

YD/TXXXX—XXXX

运营级NAT64设备技术要求

1范围

本文件规定了IPv6的用户采用翻译技术实现IPv4网络资源访问设备技术要求，主要描述了NAT64

翻译器技术及其要求和DNS64服务器和设备的软硬件及电源等要求。

本文件适用于已经部署了IPv4和IPv6互通网关的环境下，纯IPv6客户端访问IPv4业务的场景。

2规范性引用文件

本文件没有规范性引用文件。

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

IPv4转变的IPv6地址IPv4-ConvertedIPv6address

在IPv6网络中表示IPv4节点的IPv6地址,由IPv4地址和IPv6前缀构成。

3.1.2

AAAA记录AAAArecord

DNS协议中的一个资源记录类型用来表示IPv6地址。

3.1.3

A记录Arecord

DNS协议中的一个资源记录类型用来表示IPv4地址。

3.2缩略语

下列缩略语适用于本文件。

ALG:应用层网关(ApplicationLayerGateway)

DNS:域名服务器(DomaionNameSever)

IANA:互联网号码分配授权委员会(InternetAssignedNumbersAuthority)

ICMP:控制消息协议(InternetControlMessageProtocolInternet)

1

YD/TXXXX—XXXX

LAN:局域网(LocalAreaNetwork)

NAT:网络地址转换(NetworkAddressTranslation)

WAN:广域网(WideAreaNetwork)

4概述

4.1技术简介

随着IPv4公有地址耗尽，运营商可以用IPv6方式提供用户接入服务；但是目前Internet上绝

大多数业务仍是纯IPv4业务，为了在IPv4-IPv6迁移过程中，实现IPv6主机与IPv4服务器之间

的通信，可以采用NAT64技术。NAT64是一种有状态的网络地址与协议转换技术，一般只支持通过IPv6

网络侧用户发起连接访问IPv4侧网络资源。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址

和协议转换。

NAT64的组网模型如图1所示：

图1NAT64组网模型

4.2NAT64工作流程

2

YD/TXXXX—XXXX

图2实现NAT64和DNS64的工作流程

如图2所示，当主机H1创建和服务器H2的通信时，其步骤如下：

a)IPv6主机H1向其IPv6DNS服务器发起AAAA域名请求；

b)DNS64服务器接收到IPv6主机H1的域名请求后，查询本地域名系统，如发现有AAAA记录，

则回应该域名对应的地址给IPv6主机H1。当整个系统未发现有AAAA记录时，则向IPv4网络发起A

域名请求。

c)位于IPv4域的DNS服务器将A的查询响应返还给DNS64；

d)DNS64接收到A域名响应后，将该A域名响应进行DNS64的转化，将IPv4服务器H2的IPv4

地址嵌入到配置的Prefix64前缀地址中，并将A记录转换为AAAA记录，并将该AAAA记录响应给

IPv6主机H1；

e)IPv6主机H1获得AAAA响应后，向IPv4服务器H2对应的IPv6地址发起连接请求,该报文

的源地址为IPv6主机地址，目的地址为AAAA响应中的地址。请求报文被路由转发到NAT64后，NAT64

为该IPv6主机H1分配IPv4地址，对其进行IPv6-IPv4地址转换和IPv6协议-IPv4协议转换。之

后将转换后的IPv4报文发送到IPv4网络，最终到达IPv4服务器H2；

f)IPv4服务器H2对其连接建立请求进行响应；

g)IPv4服务器H2的IPv4响应报文到达NAT64后，NAT64识别目的地址是NAT64地址，进行NAT64映射

查找，并对IPv4报文进行IPv4-IPv6地址转换和IPv4协议-IPv6协议转换。完成转换后将转换后的

IPv6报文发送到IPv6网络，最终到达IPv6客户端。连接建立完成。

4.3功能模块

NAT64组网包括2个功能模块：

——NAT64翻译器

3

YD/TXXXX—XXXX

NAT64翻译器主要负责把用户侧的IPv6地址翻译成IPv4地址。包括地址翻译和协议翻译两部分。地

址翻译机制主要负责IPv6地址和IPv4地址之间的相互映射，协议翻译机制主要负责IPv4首部和IPv6

首部之间的相互转化。

——DNS64服务器

DNS64服务器主要负责对用户访问应用服务器的DNS请求进行地址解析，实现对A和/或AAAA查询的反

馈。

4.4设备形态

NAT64设备有2种设备形态

——独立式NAT64设备

独立式NAT64设备在物理形态上与运营商现有网络中的路由器等网络设备分开设置，物理上分

离。

——插卡式NAT64设备

插卡式NAT64设备是通过插卡的方式，将逻辑上独立的两个功能整合为一体，使路由器等网络

设备同时具备NAT64功能。

5NAT64翻译器技术要求

5.1地址映射功能

NAT64翻译器应支持IPv6地址和IPv4地址之间的相互映射，为了完成这个映射功能，NAT64翻译器

应有两个地址池：一个IPv6地址池和一个IPv4地址池。

IPv6地址池由一个或多个IPv6前缀组成，通常情况下将这些前缀称为Prefix64::/n。NAT64翻

译器利用Prefix64::/n与IPv4地址合成IPv4-ConvertedIPv6地址。IPv4-ConvertedIPv6地址

表示IPv4地址在IPv6网络中的映射地址。

IPv4地址池由一系列的IPv4地址组成。NAT64用这些IPv4地址与IPv6地址映射，表示IPv6

地址在IPv4网络中的映射地址。由于IPv4地址的稀缺，NAT64使用IPv4地址端口对和IPv6地址

端口对形成映射，提高IPv4地址的利用率。

5.2协议翻译功能

4

YD/TXXXX—XXXX

NAT64翻译器应支持IPv4首部和IPv6首部之间的相互转换，同时还应支持对TCP、UDP和ICMP协议的

翻译。

当链路的MTU不能与IPv6报文长度相匹配时，NAT64翻译器还应支持分段和重组操作。

5.3路由功能

独立式NAT64翻译器，应支持静态路由能力。

建议支持RIP/RIPng、OSPF/OSPFv3、ISIS/ISISv6、BGP4/BGP4+等路由协议，具备将合成后的ICPIPv6

地址前缀进行聚类，并及时在IPv6网络上进行发布的能力。

5.4系统日志功能

NAT64翻译器的syslog日志应符合RFC5424。应包含日志的事件类别（Facility）、严重性（Severity

或Level）、时间、主机名或IP。能够按Facility和Severity的组合来决定什么样的日志消息是否需要

记录，以及记录到什么地方。

NAT64翻译器应支持通过syslog发送log信息。

NAT64翻译器建议支持FTP发送log信息。

Log的输出要保证完整性。

Log的输出不影响NAT64翻译器设备流量转发或者地址映射性能的表现。

NAT64翻译器应支持通过Syslog协议或者SNMPTrap方式输出告警信息。

NAT64应支持打开或者关闭告警输出功能。

NAT64应支持地址端口告警以及session资源告警。

5.5安全功能

5.5.1防止非法授权用户

NAT64翻译器设备应提供某种方式确保只为已授权的用户提供服务，例如NAT64翻译器设备应支持根

据授权用户的合法IPv6地址部署IPv6ACL，以检查地址翻译的源IPv6地址。

5.5.2用户会话数限制

NAT64翻译器应支持基于源IPv6地址进行地址映射和协议翻译的限制功能。

5.6配置管理功能

NAT64翻译器应支持通过ConsolePort或Telnet的模式实现配置管理。

5

YD/TXXXX—XXXX

NAT64翻译器建议支持通过网管系统下发Schema脚本方式进行配置。

5.7冗余备份功能

5.7.1独立式NAT64翻译器备份

针对独立式NAT64翻译器，可以外挂两台NAT64网关实现一主一备（Active/standby）方式的冗余解

决方案，两台独立式NAT64之间运行类似冗余备份协议，其中一台作为主用，与备用之间有心跳信息，

当主用故障，系统会切换到备用NAT64，实现备份。

5.7.2插卡式NAT64翻译器备份

针对插卡式NAT64翻译器，则可在同一设备上实现多块NAT64板卡间的1:N热备份机制。正常状态下

多块板卡正常工作，一块板卡作为备份，如果一块工作板卡故障，则故障板卡的业务切换到备份板卡上，

并且向网管告警。

5.8溯源功能

为实现溯源，需要在网络中新增查询功能模块作为统一的溯源接口和界面，提供溯源功能。查询模

块可以独立运行在一台物理上独立的服务器上，也可以与现有认证平台合设。

溯源可以通过直接查找AAA日志或数据库文件实现，需通过公网IPv4源地址和端口号和IPv6源地址

反查用户账号。

查询功能模块可以在AAA上集成，也可以作为独立的服务器。如果作为独立的服务器，则该服务器

应支持与AAA以及NAT64翻译器交互，采集日志。

如果查询功能模块在AAA上集成，日志采集功能模块可以通过两种方式实现：

——新增标准的Syslog服务器，采集日志信息，并要求保存3个月

——在NAT64设备上实现Radius协议扩展,通过BRAS上报的RadiusAccounting(计费)报文

(AccountingStart/Update/Stop消息)将IPv6地址信息、公网IPv4地址+端口信息上报AAA。由AAA维护

用户溯源信息，并提供用户查询接口：

⚫离线查询

目的：提供最大时限3个月的用户上网记录追溯；

系统构成：如果查询平台与AAA服务器集成，所有离线查询都直接与AAA交互。日志采集模块独立设

置；

溯源步骤：安全部门提供公有V4源地址/源端口到查询平台，查询平台通过FTP协议将Syslog文

本文件上传到本地，查表获知对应的V6源地址；然后查询此IPv6源地址对应的账号信息，实现溯源。

6

YD/TXXXX—XXXX

要求：

NAT64设备需要每创建一个新的Session就发送一条Syslog消息给日志服务器。

AAA需要记录IPv6地址信息。

⚫在线查询

目的：实现正在上网用户的账号即时查询，实现业务平台的即时认证授权；

系统构成：如果查询平台与AAA合设，所有在线实时查询及认证都直接与AAA交互，日志采集功能由

NAT64设备直接发送地址映射信息的方式实现；

溯源步骤：安全部门或业务平台提供公有V4源地址/源端口到查询平台，查询平台通过Radius扩

展属性的Accounting报文进行属性扩展，获知V4源地址/源端口与V6源地址的映射关系，然后在本地

查询此IPv6源地址对应的账号信息，实现溯源或认证功能。

要求：NAT64设备作为客户端支持Radius协议扩展，支持Accounting报文，响应由AAA主动发起的

Start/Update/Stop信息，定义新的属性，返回地址映射信息到AAA服务器。

6DNS64服务器

6.1DNS64配合NAT64工作原理

DNS64服务器主要是配合NAT64翻译器实现IPv6访问IPv4资源，解决了传统的NAT-PT中的DNS-ALG存

在的缺陷，其主要功能是负责解析并合成AAAA记录和维护AAAA记录。

NAT64和DNS64组网拓扑如图3所示：

7

YD/TXXXX—XXXX

图3NAT64和DNS64组网拓扑

64:FF9B::/96为DNS64的知名前缀，该前缀可根据实际网络部署进行配置。DNS64一般默认使用此前

缀进行IPv4地址到IPv6地址的合成，同时该前缀也作为NAT64的转换前缀，实现匹配该前缀的流量才做

NAT64转换。

若纯IPv6用户发起连接访问普通IPv6网站，发起AAAA请求，DNS64服务器会直接返回IPv6地址，流

量将会匹配IPv6默认路由而直接转发至IPv6Router处理。

若纯IPv6用户访问的是IPv4单协议栈的服务器时，DNS64服务器没有记录，需要首先将AAAA的请求

转换为A的请求发送到DNS4上进行解析，然后在通过DNS64模块进行地址合成。Pref64::/n网段的流量将

被路由转发至NAT64Router上，成功访问IPv4网络资源。

6.2域名解析和转换功能

DNS64服务器主要负责对用户访问应用服务器的DNS请求进行地址解析，当接收到IPv6主机的域名请

求后，查询本地域名系统，若有AAAA记录，则回应该域名对应的地址给IPv6主机。当整个系统未发现

有AAAA记录时，则向IPv4网络发起A域名请求。

8

YD/TXXXX—XXXX

DNS64服务器接收到A域名响应后，将该A域名响应进行DNS64的转化，将IPv4服务器地址嵌入到配

置的Prefix64前缀地址中，并将A记录转换为AAAA记录，并将该AAAA记录响应给IPv6主机。

6.3DNS64服务器实现方式

DNS64服务器可以支持手工在域名服务器上添加指定IPv4ICP服务器的AAAA记录。

DNS64也可以根据用户的DNS请求实时查询，在需要时合成AAAA地址返回。

6.4DNS64部署建议

DNS64服务器可以是一个单独的设备，也可以通过软件方式集成在现有的域名服务器上。根据网络

中的域名服务器的支持的情况不同，部署情况也不相同。

如果现网的DNS4服务器不能够直接升级支持DNS6，则需要单独部署一台DNS6服务器并同时配置

DNS64软件模块，用于进行IPv6服务器的域名解析以及AAAA的记录合成和维护。

如果现网的DNS6服务器能够直接升级支持DNS64模块，则仅需要通过软件升级方式，实现DNS4、DNS6

和DNS64三个功能模块。

如果现网的DNS6服务器不能支持DNS64模块，则可以单独部署DNS64服务器，完成升级。

7设备其他要求

7.1设备硬件要求

设备应为无阻塞的，例如转发容量的内部实现（交换单元，转发平面等）应等于或超过所有安装的

输入端口的容量。

设备应不存在线头阻塞问题。

7.2设备软件要求

操作系统的软件升级应不影响在线用户。应支持在本地存放多个版本的软件和配置文件。应支持回

退能力，如将操作系统软件/配置退回到先前的版本。

软件的升级版本应可以在线获取。设备应支持从FTP或TFTP服务器下载软件/配置文件。

软件应采用模块化结构，模块之间的通信应按规定的接口进行。

7.3环境要求

9

YD/TXXXX—XXXX

运营商级NAT64设备的环境要求与BRAS或中低端路由器的环境要求一致，相关规定参考标准YD/T

1148－2005《网络接入服务器技术要求---宽带网络接入服务器》第11章环境要求。

7.4电源与接地

NAT64设备的电源和接地要求与BRAS或中低端路由器的电源和接地要求一致，相关规定参考标准

YD/T1148－2005《网络接入服务器技术要求---宽带网络接入服务器》第12章电源和接地要求。

7.5节能减排

NAT64设备需要使用相应的节能减排技术以降低能耗，通过设备硬件节能技术（如机架结构设计、

设备板件设计等）和设备软件节能技术（如优先分配技术、智能下电技术等）实现降低能耗节能减排的

目的。

10

目次

前言..............................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语、定义和缩略语.................................................................1

3.1术语和定义.....................................................................1

3.2缩略语.........................................................................1

4概述...............................................................................2

4.1技术简介.......................................................................2

4.2NAT64工作流程..................................................................2

4.3功能模块.......................................................................3

4.4设备形态.......................................................................4

5NAT64翻译器技术要求................................................................4

5.1地址映射功能...................................................................4

5.2协议翻译功能...................................................................4

5.3路由功能.......................................................................5

5.4系统日志功能...................................................................5

5.5安全功能.......................................................................5

5.5.1防止非法授权用户...........................................................5

5.5.2用户会话数限制.............................................................5

5.6配置管理功能...................................................................5

5.7冗余备份功能...................................................................6

5.7.1独立式NAT64翻译器备份.....................................................6

5.7.2插卡式NAT64翻译器备份.....................................................6

5.8溯源功能.......................................................................6

6DNS64服务器........................................................................7

6.1DNS64配合NAT64工作原理........................................................7

6.2域名解析和转换功能.............................................................8

6.3DNS64服务器实现方式............................................................9

6.4DNS64部署建议..................................................................9

7设备其他要求.......................................................................9

7.1设备硬件要求...................................................................9

7.2设备软件要求...................................................................9

7.3环境要求.......................................................................9

7.4电源与接地....................................................................10

7.5节能减排......................................................................10

I

YD/TXXXX—XXXX

运营级NAT64设备技术要求

1范围

本文件规定了IPv6的用户采用翻译技术实现IPv4网络资源访问设备技术要求，主要描述了NAT64

翻译器技术及其要求和DNS64服务器和设备的软硬件及电源等要求。

本文件适用于已经部署了IPv4和IPv6互通网关的环境下，纯IPv6客户端访问IPv4业务的场景。

2规范性引用文件

本文件没有规范性引用文件。

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

IPv4转变的IPv6地址IPv4-ConvertedIPv6address

在IPv6网络中表示IPv4节点的IPv6地址,由IPv4地址和IPv6前缀构成。

3.1.2

AAAA记录AAAArecord

DNS协议中的一个资源记录类型用来表示IPv6地址。

3.1.3

A记录Arecord

DNS协议中的一个资源记录类型用来表示IPv4地址。

3.2缩略语

下列缩略语适用于本文件。

ALG:应用层网关(ApplicationLayerGateway)

DNS:域名服务器(DomaionNameSever)

IANA:互联网号码分配授权委员会(InternetAssignedNumbersAuthority)

ICMP:控制消息协议(InternetControlMessageProtocolInternet)

1

YD/TXXXX—XXXX

LAN:局域网(LocalAreaNetwork)

NAT:网络地址转换(NetworkAddressTranslation)

WAN:广域网(WideAreaNetwork)

4概述

4.1技术简介

随着IPv4公有地址耗尽，运营商可以用IPv6方式提供用户接入服务；但是目前Internet上绝

大多数业务仍是纯IPv4业务，为了在IPv4-IPv6迁移过程中，实现IPv6主机与IPv4服务器之间

的通信，可以采用NAT64技术。NAT64是一种有状态的网络地址与协议转换技术，一般只支持通过IPv6

网络侧用户发起连接访问IPv4侧网络资源。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址

和协议转换。

NAT64的组网模型如图1所示：

图1NAT64组网模型

4.2NAT64工作流程

2

YD/TXXXX—XXXX

图2实现NAT64和DNS64的工作流程

如图2所示，当主机H1创建和服务器H2的通信时，其步骤如下：

a)IPv6主机H1向其IPv6DNS服务器发起AAAA域名请求；

b)DNS64服务器接收到IPv6主机H1的域名请求后，查询本地域名系统，如发现有AAAA记录，

则回应该域名对应的地址给IPv6主机H1。当整个系统未发现有AAAA记录时，则向IPv4网络发起A

域名请求。

c)位于IPv4域的DNS服务器将A的查询响应返还给DNS64；

d)DNS64接收到A域名响应后，将该A域名响应进行DNS64的转化，将IPv4服务器H2的IPv4

地址嵌入到配置的Prefix64前缀地址中，并将A记录转换为AAAA记录，并将该AAAA记录响应给

IPv6主机H1；

e)IPv6主机H1获得AAAA响应后，向IPv4服务器H2对应的IPv6地址发起连接请求,该报文

的源地址为IPv6主机地址，目的地址为AAAA响应中的地址。请求报文被路由转发到NAT64后，NAT64

为该IPv6主机H1分配IPv4地址，对其进行IPv6-IPv4地址转换和IPv6协议-IPv4协议转换。之

后将转换后的IPv4报文发送到IPv4网络，最终到达IPv4服务器H2；

f)IPv4服务器H2对其连接建立请求进行响应；

g)IPv4服务器H2的IPv4响应报文到达NAT64后，NAT64识别目的地址是NAT64地址，进行NAT64映射

查找，并对IPv4报文进行IPv4-IPv6地址转换和IPv4协议-IPv6协议转换。完成转换后将转换后的

IPv6报文发送到IPv6网络，最终到达IPv6客户端。连接建立完成。

4.3功能模块

NAT64组网包括2个功能模块：

——NAT64翻译器

3

YD/TXXXX—XXXX

NAT64翻译器主要负责把用户侧的IPv6地址翻译成IPv4地址。包括地址翻译和协议翻译两部分。地

址翻译机制主要负责IPv6地址和IPv4地址之间的相互映射，协议翻译机制主要负责IPv4首部和IPv6

首部之间的相互转化。