中國聯(lián)通NAT44轉(zhuǎn)換設(shè)備技術(shù)規(guī)范V1.1.4

1、中國聯(lián)通公司發(fā)布2012-xx-xx實(shí)施2012-xx-xx發(fā)布中國聯(lián)通NAT44轉(zhuǎn)換設(shè)備技術(shù)規(guī)范（V1.0）The Technical Specifications of NAT44 for China Unicom （version 1.0）QB/CU XXX-2012中國聯(lián)通公司企業(yè)標(biāo)準(zhǔn)目次目次II前言IV中國聯(lián)通NAT44轉(zhuǎn)換設(shè)備技術(shù)規(guī)范11 范圍12 規(guī)范性引用文件13 定義和縮略語13.1 定義13.2 縮略語24 概述24.1 設(shè)備定位34.2 地址轉(zhuǎn)換體系架構(gòu)34.3 設(shè)備形態(tài)及連接方式34.4 設(shè)備部署方式45 功能要求55.1 基本NAT特性55.2 資源分配模式55.3

2、地址轉(zhuǎn)換65.4 溯源功能要求65.5 告警信息輸出85.6 應(yīng)用層ALG95.7 路由95.8 網(wǎng)絡(luò)時(shí)間同步96 性能要求96.1 設(shè)備容量96.2 設(shè)備性能96.3 可靠性97 冗余備份要求108 安全要求108.1 訪問控制和流量控制108.2 路由安全119 操作管理維護(hù)要求119.1 基本管理功能119.2 配置管理119.3 性能管理119.4 故障管理129.5 安全管理1210 物理接口要求1211 環(huán)境要求1212 電源與接地12前言本標(biāo)準(zhǔn)在充分研究和分析中國聯(lián)通對(duì)地址轉(zhuǎn)換設(shè)備的需求的基礎(chǔ)上，描述了運(yùn)營級(jí)NAT（NAT44）設(shè)備的定位及其在運(yùn)營級(jí)地址轉(zhuǎn)換體系中的作用，規(guī)定了N

3、AT44的功能、性能、安全、備份以及管理等基本的技術(shù)要求。本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由中國聯(lián)通技術(shù)部提出并歸口。本標(biāo)準(zhǔn)起草單位：中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)中訊郵電咨詢?cè)O(shè)計(jì)院本標(biāo)準(zhǔn)主要起草人：中國聯(lián)通NAT44轉(zhuǎn)換設(shè)備技術(shù)規(guī)范1 范圍本標(biāo)準(zhǔn)描述了中國聯(lián)通所需運(yùn)營級(jí)NAT（NAT44）設(shè)備的定位及其在運(yùn)營級(jí)地址轉(zhuǎn)換體系中的作用，規(guī)定了NAT44的功能、性能、安全、備份以及管理等基本的技術(shù)要求。2 規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不使用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)

4、議的各方研究是否可以使用這些文件的最新版本。凡是不注明日期的引用文件，其最新版本適用本標(biāo)準(zhǔn)。IETF RFC2663 NAT術(shù)語及思考IETF RFC3022 傳統(tǒng)IP網(wǎng)絡(luò)地址轉(zhuǎn)換(傳統(tǒng)NAT)IETF RFC4787 NAT對(duì)單播UDP報(bào)文的行為要求IETF RFC5382 NAT對(duì)TCP報(bào)文的行為要求IETF RFC5508 NAT對(duì)ICMP報(bào)文的行為要求IETF RFC5424 Syslog協(xié)議IETF RFC2866 RADIUS計(jì)費(fèi)YD/T 11482005 網(wǎng)絡(luò)接入服務(wù)器技術(shù)要求-寬帶網(wǎng)絡(luò)接入服務(wù)器3 定義和縮略語3.1 定義3.1.1 NAT44在本技術(shù)要求中，NAT44特指運(yùn)營

5、級(jí)地址轉(zhuǎn)換設(shè)備。3.1.2 NAT44用戶通過NAT44轉(zhuǎn)換的用戶。3.1.3 路由器插卡NAT44插NAT44卡的路由器設(shè)備。3.1.4 BRAS插卡NAT44插NAT44卡的BRAS設(shè)備。3.1.5 獨(dú)立設(shè)備NAT44提供NAT功能的獨(dú)立設(shè)備。3.1.6 用戶地址BRAS、AAA、DHCP等系統(tǒng)分配給用戶的地址。3.1.7 地址映射關(guān)系指NAT轉(zhuǎn)換中綁定的（用戶地址，端口）與（公有地址，端口）之間的映射關(guān)系，或者綁定的用戶地址與公有地址的一對(duì)一映射關(guān)系。3.1.8 地址映射表指由地址對(duì)綁定關(guān)系創(chuàng)建的映射表格。3.1.9 端口預(yù)留關(guān)系指NAT轉(zhuǎn)換中為用戶預(yù)留的（用戶地址）與（公有地址，端口塊

6、）之間的映射關(guān)系。3.1.10 端口預(yù)留表指由端口預(yù)留關(guān)系創(chuàng)建的映射表格。3.1.11 溯源關(guān)系/地址轉(zhuǎn)換關(guān)系指能夠根據(jù)（公有地址，端口）追溯到用戶地址的關(guān)系，包括地址映射關(guān)系和端口預(yù)留關(guān)系。3.2 縮略語下列縮略語適用于本標(biāo)準(zhǔn)文件：AAA Authentication、Authorization、Accounting 認(rèn)證、授權(quán)、記帳ACL Access Control List 訪問控制列表ALG Application Layer Gateway 應(yīng)用層網(wǎng)關(guān)BRAS Broadband Remote Access Service 寬帶遠(yuǎn)程接入服務(wù)CPE Customer Presidia

7、l Equipment 用戶駐地設(shè)備DHCP Dynamic host configuration protocol 動(dòng)態(tài)主機(jī)配置協(xié)議DNS Domain Name System 域名系統(tǒng)ICMP Internet Control Message Protocol 網(wǎng)際控制報(bào)文協(xié)議IPv4 Internet Protocol Version 4 網(wǎng)際協(xié)議第四版IPv6 Internet Protocol Version 6 網(wǎng)際協(xié)議第六版NAT Nerwork Address Transform 網(wǎng)絡(luò)地址轉(zhuǎn)換NTP Network Time Protocol 網(wǎng)絡(luò)時(shí)間協(xié)議PC Personal

8、 Computer 個(gè)人電腦RADIUS Remote Authentication Dial In User Service 遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)TCP Transfer Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報(bào)協(xié)議4 概述4.1 設(shè)備定位IPv4公有地址枯竭后，新增用戶將無法得到IPv4公網(wǎng)地址，而當(dāng)前IPv6部署尚未大規(guī)模開展，為了支持寬帶互聯(lián)網(wǎng)業(yè)務(wù)等IP地址相關(guān)的各種業(yè)務(wù)的持續(xù)發(fā)展，在運(yùn)營商網(wǎng)絡(luò)內(nèi)需要部署NAT來解決地址短缺，這種NAT設(shè)備稱作運(yùn)營級(jí)NAT44設(shè)備。與傳統(tǒng)的企業(yè)網(wǎng)NAT應(yīng)用環(huán)境不同，NAT44服務(wù)的用

9、戶規(guī)模更大、承載流量大、業(yè)務(wù)穩(wěn)定性要求更高，因此要求NAT44具備更高的性能、穩(wěn)定性和安全性。同時(shí)，NAT44設(shè)備也需要實(shí)現(xiàn)設(shè)備冗余功能以避免網(wǎng)絡(luò)單點(diǎn)故障，以及實(shí)現(xiàn)用戶溯源等方面的需求。另一方面，NAT44設(shè)備主要用于地址共享，因此可以簡化傳統(tǒng)NAT設(shè)備的安全防護(hù)功能，以提升設(shè)備的整體性能。4.2 地址轉(zhuǎn)換體系架構(gòu)部署NAT44時(shí)，需要結(jié)合AAA服務(wù)器、網(wǎng)管服務(wù)器、日志服務(wù)器、溯源系統(tǒng)等配套系統(tǒng)，提供運(yùn)營級(jí)NAT轉(zhuǎn)換，并支持用戶溯源的要求。其體系架構(gòu)圖如圖1所示：圖1 地址轉(zhuǎn)換系統(tǒng)架構(gòu)圖NAT44：生成和維護(hù)用戶地址映射表，實(shí)現(xiàn)運(yùn)營商級(jí)NAT轉(zhuǎn)換；并實(shí)現(xiàn)用戶溯源關(guān)系向AAA服務(wù)器和日志服務(wù)器上

10、報(bào)。AAA服務(wù)器：負(fù)責(zé)記錄和維護(hù)用戶賬號(hào)、用戶地址等信息；接收或者生成用戶溯源關(guān)系；響應(yīng)用戶的溯源關(guān)系查詢。日志服務(wù)器：接受和記錄用戶訪問信息；響應(yīng)用戶訪問信息查詢。網(wǎng)管系統(tǒng)：負(fù)責(zé)管理NAT44設(shè)備。溯源系統(tǒng)：負(fù)責(zé)用戶溯源；在需要進(jìn)行用戶溯源時(shí)，向AAA服務(wù)器或者日志服務(wù)器發(fā)起查詢請(qǐng)求。4.3 設(shè)備形態(tài)及連接方式4.3.1 設(shè)備形態(tài)NAT44有三種設(shè)備形態(tài)：獨(dú)立設(shè)備、路由器插卡和BRAS插卡。獨(dú)立設(shè)備指設(shè)備單純實(shí)現(xiàn)NAT功能模塊，路由器插卡指路由器與NAT44功能模塊合設(shè)，BRAS插卡指BRAS與NAT44功能模塊合設(shè)。4.3.2 獨(dú)立設(shè)備的連接方式獨(dú)立設(shè)備與現(xiàn)網(wǎng)設(shè)備的連接包括采用串聯(lián)的連接方

11、式（如圖2a），或者采用旁掛的連接方式（如圖2b）。串聯(lián)的連接方式就是指NAT44設(shè)備通過設(shè)備端口分別串接在網(wǎng)絡(luò)中旁掛的連接方式就是指NAT44設(shè)備旁掛在路由器設(shè)備或BRAS設(shè)備上。（a）串聯(lián)連接方式（b）旁掛連接方式圖2 獨(dú)立設(shè)備NAT44連接方式 在實(shí)際的網(wǎng)絡(luò)部署中，宜采用旁掛獨(dú)立設(shè)備的連接方式。4.4 設(shè)備部署方式NAT44在城域網(wǎng)中的部署分為集中式和分布式兩種形式：（1）集中式NAT部署集中式部署是指將NAT44設(shè)備集中部署在城域網(wǎng)核心路由器上，城域網(wǎng)核心路由器直連NAT44設(shè)備，在核心路由器的下聯(lián)接口設(shè)置一條策略路由，把需要NAT轉(zhuǎn)換的流量轉(zhuǎn)到NAT44設(shè)備上，NAT44設(shè)備的出流量

12、可以直接靜態(tài)路由指向核心路由器設(shè)備，這種方案一般用于私網(wǎng)地址用戶較少或建設(shè)初期，根據(jù)核心設(shè)備的支持情況可以采用插卡或旁掛NAT44設(shè)備兩種形式。見圖3所示：圖3 集中部署NAT44示意圖如果采用插卡的形式，可以通過插入冗余NAT板卡的形式實(shí)現(xiàn)備份，一般是warm standby的；如果采用獨(dú)立設(shè)備的形式，則可以通過核心路由器設(shè)備分別連不同的CGN設(shè)備來實(shí)現(xiàn)網(wǎng)內(nèi)用戶的負(fù)載分擔(dān)和冗余保護(hù)，此時(shí)宜2臺(tái)NAT44設(shè)備采用不同的地址池，便于路由的收斂。（2）分布式NAT方案分布式部署是指將NAT設(shè)備部署在BRAS設(shè)備上，根據(jù)設(shè)備支持情況可以采用插卡或旁掛NAT44設(shè)備兩種形式。見圖4所示：圖4 分布式部

13、署NAT44示意圖一般用作私網(wǎng)地址用戶量較大的情況。如果采用插卡的形式，可以通過插入冗余NAT板卡的形式實(shí)現(xiàn)，一般是warm standby的；如果采用獨(dú)立設(shè)備的形式，則可以通過BRAS設(shè)備分別連不同的NAT44設(shè)備來實(shí)現(xiàn)網(wǎng)內(nèi)用戶的負(fù)載分擔(dān)和冗余保護(hù)。5 功能要求5.1 基本NAT特性NAT44應(yīng)支持TCP、UDP及ICMP報(bào)文的NAT穿越，其特性符合RFC4787、RFC5382、RFC5508的規(guī)定。NAT44應(yīng)實(shí)現(xiàn)Endpoint-Independent Mapping及Endpoint-Independent Filtering特性。為了實(shí)現(xiàn)更好的安全性，宜實(shí)現(xiàn)Address-Depe

14、ndent Mapping、Address and Port-Dependent Mapping、Address-Dependent Filtering、Address and Port-Dependent Filtering等特性。NAT44支持設(shè)置UDP會(huì)話（seesion）和TCP會(huì)話的老化時(shí)間。宜UDP默認(rèn)老化時(shí)間為30秒，TCP默認(rèn)老化時(shí)間為300秒。5.2 資源分配模式本節(jié)的資源是指可用于地址轉(zhuǎn)換的公有地址和端口。資源分配模式是指NAT44為用戶地址轉(zhuǎn)換分配公有地址和端口的方式。資源分配模式包括端口共享方式和端口預(yù)留方式。5.2.1 端口共享端口共享方式是指所有的（公有地址、端口）

15、資源被用戶共享。在創(chuàng)建地址映射關(guān)系時(shí)，NAT44可以從未被使用且未被保留的（公有地址、端口）資源中任意選擇一個(gè)（公有地址、端口）分配給用戶進(jìn)行地址轉(zhuǎn)換。NAT44應(yīng)支持端口共享的資源分配模式。5.2.2 端口預(yù)留端口預(yù)留方式是指為用戶預(yù)留一個(gè)或者若干個(gè)（公有地址、端口塊）給用戶使用。在創(chuàng)建地址映射關(guān)系時(shí)，NAT44只能從為該用戶預(yù)留的（公有地址、端口塊）中選擇一個(gè)（公有地址、端口）分配給用戶進(jìn)行地址轉(zhuǎn)換。同時(shí)，為該用戶預(yù)留的（公有地址、端口塊）資源不能再被其他用戶使用。要求端口預(yù)留關(guān)系是可變的。一個(gè)私有地址，在一個(gè)時(shí)期內(nèi)為其預(yù)留某一個(gè)（公有地址，端口塊）資源，在另一個(gè)時(shí)期為其預(yù)留另一個(gè)（公有地

16、址、端口塊）資源。NAT44應(yīng)支持端口預(yù)留的資源分配模式，并應(yīng)支持端口段大小的靈活配置，例如：按照100的整數(shù)倍來進(jìn)行配置；對(duì)于采用BRAS插卡的部署方式，應(yīng)支持將端口段的設(shè)置與用戶信息相關(guān)聯(lián)，使得可以根據(jù)用戶信息進(jìn)行有差異的端口段分配。NAT44采用的隨機(jī)選擇算法生成用戶端口預(yù)留關(guān)系，可以是哈希算法，也可以是其他算法，但應(yīng)保證為每個(gè)用戶地址預(yù)留不同的（公有地址，端口塊）資源。對(duì)于BRAS插卡NAT44，在用戶上線為用戶分配地址時(shí)，應(yīng)該同時(shí)為用戶地址預(yù)留（公有地址，端口塊）資源；當(dāng)用戶下線時(shí)，NAT44應(yīng)該釋放為此用戶預(yù)留的（公有地址，端口塊）資源。對(duì)于其他形態(tài)的NAT44，用戶應(yīng)該在第一次通

17、過NAT44設(shè)備發(fā)起會(huì)話時(shí)，為用戶地址預(yù)留（公有地址，端口塊）資源；當(dāng)用戶長時(shí)間沒有會(huì)話時(shí)（例如用戶在最后一個(gè)會(huì)話結(jié)束后經(jīng)過老化時(shí)間仍然沒有新的會(huì)話），應(yīng)該釋放為此用戶預(yù)留的（公有地址，端口塊）資源。5.3 地址轉(zhuǎn)換NAT44根據(jù)資源分配方式為用戶會(huì)話選擇對(duì)應(yīng)的（公有地址、端口）進(jìn)行地址綁定、地址查詢和轉(zhuǎn)換、地址綁定釋放等過程，其過程符合RFC2663第三章的規(guī)定以及RFC3022第三章的規(guī)定。5.4 溯源功能要求基于監(jiān)管需求，目前政府監(jiān)管部門采用基于用戶源IP地址方式對(duì)用戶的各種行為進(jìn)行溯源。為實(shí)現(xiàn)用戶溯源，NAT44的地址轉(zhuǎn)換關(guān)系應(yīng)該上報(bào)給AAA服務(wù)器或日志服務(wù)器，由AAA服務(wù)器或者日志服

18、務(wù)器提供用戶溯源的訪問查詢服務(wù)，因此NAT44應(yīng)支持地址映射關(guān)系的上報(bào)。地址映射關(guān)系的上報(bào)方式與資源分配模式和NAT44的連接及部署方式有關(guān)。 采用獨(dú)立設(shè)備或路由器插卡方式的用戶溯源（1）溯源方式如果采用獨(dú)立設(shè)備或者在核心路由器上插NAT44板卡，NAT44應(yīng)支持用戶端口關(guān)系的上報(bào)，且需要通過上報(bào)日志的方式來實(shí)現(xiàn)溯源。這種方式無需對(duì)于AAA系統(tǒng)和BRAS設(shè)備的上報(bào)信息進(jìn)行大的改動(dòng)，將BRAS中的用戶信息與IP地址信息與NAT設(shè)備的映射關(guān)系生成日志同步傳輸給為溯源設(shè)置的日志服務(wù)器，通過日志進(jìn)行關(guān)聯(lián)確定用戶私網(wǎng)地址與公網(wǎng)地址+端口號(hào)的映射關(guān)系。要求NAT44設(shè)備應(yīng)支持采用syslog

19、協(xié)議上報(bào)日志信息，并要求支持基于用戶及基于Session兩種日志的上報(bào)。宜采用基于用戶的日志上報(bào)。NAT44通過syslog協(xié)議上報(bào)溯源關(guān)系的日志有地址映射日志和端口預(yù)留日志兩種。1）地址映射日志NAT44應(yīng)該在用戶新建一個(gè)會(huì)話時(shí)，發(fā)送“地址映射關(guān)系建立”的日志；在用戶結(jié)束一個(gè)會(huì)話時(shí)，發(fā)送“地址映射關(guān)系拆除”的日志。NAT44支持手工指定輸出“地址映射關(guān)系建立”日志或“地址映射關(guān)系拆除”日志。地址映射日志消息中至少包含用戶地址、端口號(hào)、轉(zhuǎn)換后的公有地址、轉(zhuǎn)換后的端口號(hào)。2）端口預(yù)留日志NAT44應(yīng)該在為用戶創(chuàng)建端口預(yù)留關(guān)系時(shí)，發(fā)送“端口預(yù)留關(guān)系建立”的日志，在釋放端口預(yù)留關(guān)系時(shí)，發(fā)送“端口預(yù)留

20、關(guān)系釋放”的日志。NAT44支持手工指定輸出“端口預(yù)留關(guān)系建立”日志或“端口預(yù)留關(guān)系釋放”日志。端口預(yù)留日志消息中至少包含用戶地址、轉(zhuǎn)換后的公有地址、轉(zhuǎn)換后的起始端口號(hào)、轉(zhuǎn)換后的終止端口號(hào)。日志的傳輸應(yīng)符合RFC 5424定義的格式要求。設(shè)備宜支持FTP方式定期打包發(fā)送日志信息。日志的輸出應(yīng)完整，確保在設(shè)備（板卡）負(fù)荷最大時(shí)不出現(xiàn)日志輸出錯(cuò)、漏的現(xiàn)象。 日志的輸出應(yīng)不影響 NAT444設(shè)備流量轉(zhuǎn)發(fā)或者 NAT性能的表現(xiàn)。 BRAS插卡NAT44方式的用戶溯源（1）溯源方式在分布式部署插卡式方案中，BRAS提供槽位，插入NAT44板卡，此時(shí)BRAS設(shè)備維護(hù)管理地址池及NAT映射信

21、息，用戶認(rèn)證通過后，BRAS選擇公有地址及其端口塊，動(dòng)態(tài)生成用戶地址映射關(guān)系，并在Radius協(xié)議的Accounting-start消息中攜帶映射關(guān)系，并在計(jì)費(fèi)報(bào)文中新增radius屬性以上報(bào)映射后的公網(wǎng)地址、起始端口、結(jié)束端口。并可以采用以下兩種方式完成溯源：1）NAT44設(shè)備通過Radius報(bào)文方式將用戶的動(dòng)態(tài)端口映射關(guān)系上報(bào)到AAA系統(tǒng)，由AAA系統(tǒng)記錄到用戶在線信息表和原始話單中，當(dāng)AAA系統(tǒng)接收到溯源請(qǐng)求后，直接查詢?cè)诰€用戶信息表或原始話單，返回溯源結(jié)果；2）NAT44設(shè)備采用Radius報(bào)文方式將用戶動(dòng)態(tài)端口映射關(guān)系上報(bào)到Log服務(wù)器，AAA系統(tǒng)在接收溯源請(qǐng)求后，通過syslog服

22、務(wù)器查詢動(dòng)態(tài)地址映射關(guān)系，完成地址溯源。在實(shí)際部署中宜采用 1）方式，BRAS插卡NAT44通過RADIUS協(xié)議上報(bào)地址映射關(guān)系的過程如圖5所示：圖5 通過RADIUS協(xié)議上報(bào)映射關(guān)系第1步：用戶上線，完成用戶認(rèn)證和地址分配，這個(gè)過程完成標(biāo)準(zhǔn)的用戶接入流程。第2步：BRAS為用戶地址選擇公有地址、端口塊，創(chuàng)建用戶地址映射關(guān)系。BRAS 采用的選擇算法可以是 hash 算法，只需要保證為不同用戶地址選擇不同的（公有地址，端口塊）。第3步：BRAS在Accounting start消息中向AAA服務(wù)器上報(bào)用戶地址以及為其預(yù)留的公有地址、端口塊等信息。同時(shí)在計(jì)費(fèi)結(jié)束包中亦攜帶以上信息。這種上報(bào)方法要

23、求新增如下的RADIUS屬性：· NAT-IP-Address：NAT轉(zhuǎn)換后的公有地址；· NAT-start-Port：NAT轉(zhuǎn)換后的起始端口號(hào)；· NAT-end-Port：NAT轉(zhuǎn)換后的終止端口號(hào)；第4步：AAA服務(wù)器獲得用戶地址、公有地址、端口塊等信息，生成該用戶地址的溯源關(guān)系。第5步：用戶下線，BRAS刪除該用戶的端口映射關(guān)系。第6步：BRAS在Accounting stop消息中向AAA服務(wù)器上報(bào)用戶地址以及之前為其預(yù)留的公有地址、端口塊等信息。第7步：AAA服務(wù)器刪除該用戶的地址溯源關(guān)系。Radius認(rèn)證時(shí)，AAA獲取用戶分配IP地址類型后，通過Ra

24、dius標(biāo)準(zhǔn)屬性或BRAS廠家自定義私有屬性告知BRAS設(shè)備，以便BRAS為用戶靈活分配IP地址；在分布式部署插卡式方案中，BRAS設(shè)備維護(hù)管理地址池及NAT映射信息，用戶認(rèn)證通過后，BRAS選擇公有地址及其端口塊，動(dòng)態(tài)生成用戶地址映射關(guān)系，并在計(jì)費(fèi)報(bào)文中新增radius屬性以上報(bào)映射后的公網(wǎng)地址、起始端口、結(jié)束端口。（2）認(rèn)證系統(tǒng)改造認(rèn)證系統(tǒng)應(yīng)能在計(jì)費(fèi)起始包中接受并處理BRAS設(shè)備動(dòng)態(tài)上報(bào)的NAT信息，即支持通過radius擴(kuò)展屬性獲取用戶地址映射關(guān)系，并與用戶信息相關(guān)聯(lián)。5.5 告警信息輸出NAT44支持通過Syslog協(xié)議或者SNMP Trap方式輸出告警信息。告警信息的輸出應(yīng)符合RFC

25、 5424定義的格式要求。NAT44支持打開或者關(guān)閉告警輸出功能。宜支持FTP方式定期打包發(fā)送日志信息。告警信息至少包括端口用滿告警和資源用滿告警。（1）端口用滿告警在用戶端口塊的所有端口被用滿的情況下，該用戶后續(xù)會(huì)話由于沒有端口而無法對(duì)其進(jìn)行地址轉(zhuǎn)換，該會(huì)話的報(bào)文被丟棄。NAT44在分配給用戶的端口用滿情況下，應(yīng)該能夠輸出告警日志信息到指定的日志服務(wù)器。日志消息中至少應(yīng)包含用戶地址的信息。（2）資源用戶告警在NAT44采用動(dòng)態(tài)端口預(yù)留的資源分配模式的情況下，如果所有（公有地址、端口塊）資源被當(dāng)前用戶預(yù)留之后，新的用戶由于沒有（公有地址、端口塊）資源而無法為其預(yù)留資源，進(jìn)而無法對(duì)其進(jìn)行地址轉(zhuǎn)換

26、。NAT44在（公有地址、端口塊）資源被用滿時(shí)，應(yīng)該能夠輸出告警日志。5.6 應(yīng)用層ALGNAT44應(yīng)支持FTP ALG，其特性符合RFC3022中4.4的規(guī)定；NAT44宜支持的DNS ALG、SIP ALG、RTCP ALG、RTSP ALG、PPTP ALG。5.7 路由獨(dú)立設(shè)備NAT44與BRAS、路由器互聯(lián)時(shí)，NAT44、BRAS或者路由器需要設(shè)置路由策略，對(duì)需要進(jìn)行NAT轉(zhuǎn)換的流量轉(zhuǎn)發(fā)到NAT44處理，對(duì)NAT44進(jìn)行地址轉(zhuǎn)換后的流量再轉(zhuǎn)發(fā)到BRAS和路由器處理。因此獨(dú)立NAT44設(shè)備需要支持靜態(tài)路由以及OSPF、ISIS、BGP等路由協(xié)議以及策略路由，實(shí)現(xiàn)對(duì)NAT流量的引導(dǎo)。5.

27、8 網(wǎng)絡(luò)時(shí)間同步設(shè)備應(yīng)支持網(wǎng)絡(luò)時(shí)間同步協(xié)議NTP，支持NTP認(rèn)證和NTP服務(wù)器/客戶端。6 性能要求6.1 設(shè)備容量NAT44的容量主要是以NAT44所支持的在線用戶數(shù)為依據(jù)。要求NAT44設(shè)備至少支持1萬在線用戶的并發(fā)。要求NAT44地址轉(zhuǎn)換不影響設(shè)備的線速轉(zhuǎn)發(fā)能力。平均時(shí)延要求小于100微秒。6.2 設(shè)備性能對(duì)設(shè)備性能的要求包括會(huì)話處理能力要求及日志處理能力要求，其中會(huì)話處理能力的主要參數(shù)包括：最大并發(fā)會(huì)話數(shù)、流量轉(zhuǎn)發(fā)能力、流量與并發(fā)會(huì)話數(shù)配比、分配端口塊速率、新建session速率、拆除session速率；日志處理能力的主要參數(shù)包括：基于用戶方式每秒生成日志數(shù)、基于session方式每秒

28、生成日志數(shù)。6.3 可靠性系統(tǒng)應(yīng)具有高的可靠性，具體要求如下：1）系統(tǒng)可用率系統(tǒng)應(yīng)達(dá)到99.99%的可用率。2）無故障連續(xù)工作時(shí)間系統(tǒng)的平均無故障工作時(shí)間：MTBF > 10000小時(shí)。3）故障恢復(fù)時(shí)間 單板塊故障恢復(fù)時(shí)間 < 20 分鐘 整機(jī)故障恢復(fù)時(shí)間 < 30分鐘系統(tǒng)應(yīng)允許對(duì)運(yùn)行系統(tǒng)進(jìn)行所有適當(dāng)?shù)呐渲酶暮蛙浖?jí)而不影響在線用戶。宜版本打補(bǔ)丁時(shí)不中斷業(yè)務(wù)，版本升級(jí)時(shí)業(yè)務(wù)中斷時(shí)間少于30分鐘。所有元件應(yīng)支持熱插拔；支持從故障板卡到備份板卡的自動(dòng)切換。對(duì)于獨(dú)立NAT44設(shè)備，應(yīng)支持主控板、電源模塊等關(guān)鍵部件冗余。從主用電源到備用電源的切換應(yīng)是自動(dòng)的，不能引起業(yè)務(wù)的中斷；在

29、有冗余配置的情況下，從機(jī)箱中抽走控制板卡及重新插入控制板卡時(shí)，設(shè)備應(yīng)能夠繼續(xù)轉(zhuǎn)發(fā)流量。7 冗余備份要求（1）獨(dú)立設(shè)備NAT44獨(dú)立設(shè)備NAT44應(yīng)支持設(shè)備之間的主備切換。宜支持設(shè)備之間會(huì)話的實(shí)時(shí)熱備。獨(dú)立設(shè)備的NAT板卡之間宜支持負(fù)荷分擔(dān)的備份方式。負(fù)荷分擔(dān)方式時(shí)，可采用按用戶源地址散列的方式來選擇NAT板卡。設(shè)備應(yīng)支持VRRP功能。所有元件應(yīng)支持熱插拔。對(duì)于關(guān)鍵部件應(yīng)提供冗余備份功能，如主控卡、路由控制卡等，應(yīng)支持從故障板卡到冗余板卡的自動(dòng)切換，并宜支持手工切換，設(shè)備中所有的元件應(yīng)提供1:1、N:1或分布式的冗余能力，這些元件的倒換應(yīng)是自動(dòng)的，并且不能影響業(yè)務(wù)，設(shè)備元件包括：· 交

30、換單元· 包轉(zhuǎn)發(fā)引擎· 控制和路由器處理器· 管理系統(tǒng)/管理接口· 饋電接口· 電源模塊/供電單元· 風(fēng)扇物理接口模塊應(yīng)支持N:1冗余能力。（2）BRAS插卡NAT44、路由器插卡NAT44BRAS插卡NAT44以及路由器插卡NAT44應(yīng)支持板卡之間1:1及N:1的主備切換。宜支持板卡之間會(huì)話的實(shí)時(shí)熱備。宜支持NAT44板卡之間負(fù)荷分擔(dān)的備份方式。負(fù)荷分擔(dān)方式時(shí)，可采用按用戶源地址散列的方式來選擇NAT板卡。要求如果BRAS及路由器實(shí)現(xiàn)熱備，在BRAS及路由器進(jìn)行主備設(shè)備切換情況下，NAT44板卡應(yīng)支持隨設(shè)備進(jìn)行熱備切換。8 安全要求

31、8.1 訪問控制和流量控制應(yīng)實(shí)現(xiàn)基于源IP的并發(fā)會(huì)話數(shù)限制功能。應(yīng)支持通過ACL作為設(shè)定條件對(duì)NAT流量進(jìn)行引導(dǎo)。例如對(duì)需要進(jìn)行地址轉(zhuǎn)換的流量轉(zhuǎn)發(fā)到地址轉(zhuǎn)換模塊處理，對(duì)不需要進(jìn)行地址轉(zhuǎn)換的流量（如在同一NAT44區(qū)域內(nèi)私有地址之間的流量）進(jìn)行旁路處理。應(yīng)實(shí)現(xiàn)通過ACL根據(jù)需要調(diào)整用戶端口段的范圍。該功能可以用于保證重要的應(yīng)用（例如DNS請(qǐng)求等）不受NAT連接數(shù)的限制。對(duì)于獨(dú)立設(shè)備NAT44，應(yīng)支持基于源地址，目的地址，源端口，目的端口，協(xié)議的訪問控制列表ACL。8.2 路由安全獨(dú)立設(shè)備NAT44應(yīng)實(shí)現(xiàn)路由協(xié)議安全功能，支持OSPF、ISIS、BGP等路由協(xié)議的MD5認(rèn)證，保證路由信息的可信度。

32、9 操作管理維護(hù)要求9.1 基本管理功能設(shè)備應(yīng)至少支持SNMP網(wǎng)管協(xié)議，可與網(wǎng)管配合完成配置管理、性能管理、故障管理和安全管理。設(shè)備應(yīng)支持帶外網(wǎng)管，可以將管理流量與用戶流量從物理或邏輯上分開，帶外網(wǎng)管與帶內(nèi)網(wǎng)管具有同等的功能。對(duì)于帶外訪問應(yīng)實(shí)現(xiàn)訪問控制，防止非法訪問。 應(yīng)支持SNMPv1、v2、v3網(wǎng)管協(xié)議。 應(yīng)實(shí)現(xiàn)接口組MIB（RFC2863）、IP MIB（RFC1213、RFC4292）、SNMPv1 MIB、SNMPv2 MIB、SNMPv3 MIB等常用MIB庫。 9.2 配置管理（1）獨(dú)立設(shè)備設(shè)備要求具備可管理性，設(shè)備應(yīng)支持通過Console Port 或Telnet 的模式實(shí)現(xiàn)配置管理。在設(shè)備配置手段方面：應(yīng)支持手動(dòng)配置方式；應(yīng)支持配置下發(fā)接口；應(yīng)支持根據(jù)配置服務(wù)器下發(fā)的映射關(guān)系對(duì)公有地址的端口塊進(jìn)行預(yù)分配。（2）BRAS插卡應(yīng)滿足BRAS的相關(guān)配置管理技術(shù)要求。（3）路由器插卡應(yīng)滿足路由器相關(guān)配置管理技術(shù)要求。9.3 性能管理設(shè)備應(yīng)支持對(duì)其性能的管理，包括：· 并發(fā)連接數(shù)（在線用戶數(shù)）· 吞吐量· 連接超時(shí)時(shí)間· 端口塊占用率· 資源占用率· 單板NAT流轉(zhuǎn)發(fā)性能 · 單板流表規(guī)格 · 單板地址池?cái)?shù)量 ·