华为CGN解决方案
华为CGN(Carrier-Grade NAT)解决方案基于高端防火墙Eudemon8000E(以下简称E8000E)产品,以及日志采集系统Elog产品,支持NAT44/NAT444和 DS-Lite,旨在帮助运营商延续IPv4网络的使用寿命,同时过渡到IPv6网络。
两种形态
华为CGN解决方案有“插卡式”和“独立设备”两种形态。
“插卡式”CGN产品,能够支持华为现有的NE40E、NE80E、ME60等路由器和网关设备,并支持分布式或集中式部署。针对现阶段存在的多种IPv6过渡技术,华为CGN产品通过软件方式实现“一板多用”。到2010年底,华为CGN可以全面支持DS-Lite、6RD、PNAT、NAT64、NAT44、IVI等过渡技术。
在某些高性能的应用场景,需要部署独立形态的CGN设备。独立形态CGN解决方案基于分布式硬件架构,控制平面与数据处理平面相分离。华为独立形态的CGN可提供大规模NAT44/444特性,后期已规划了DS-Lite、NAT64以及其他“插卡式”产品所具备的特性,方便不同运营商选择最适合自己的演进方式。目前已在中国电信、中国移动等运营商网络中成熟商用。
主要特性
华为CGN解决方案的主要网元E8000E,能够支持的NAT(Network Address Translation)特性主要包含:无限地址转换、NAT ALG(Application Layer Gateways)、双向NAT和日志收集等。
不同于传统的NAT实现方式,E8000E在进行源地址转换时,不仅保存了转换前后的源地址和源端口,更增加了目的地址、目的端口和协议等信息。虽然增加了NAT表的空间开销,但却在理论上为实现无限的址转换提供了可能,大大降低了公网IP地址的使用数量,提高了地址节省率。
某些应用层多通道协议在数据传输开始之前,会协商所使用的端口信息,这些信息将存在于协商报文的负载之中。NAT设备如果不能处理应用层内容,将无法使这类协议顺利实现地址转换。E8000E支持对H.323、SIP等应用层协议协商过程的监控,获取通信双方所确定使用的端口信息,并建立会话,确保NAT转换的正确性。
在某些场景下,一台主机在对外发起访问的同时也接受外部的访问需求。E8000E可以实现这种双向地址转换,在主机对外发起访问时更换目的端所看到的源地址、端口;在接受外部访问时,呈现用户可配置的虚拟地址,再进一步转换为主机真正的地址。
Elog是专业的日志收集系统,运行在服务器平台上,可以保存E8000E地址转换时所产生的全部过程信息。这些信息主要包括设备信息、时间信息、转换前后的源地址源端口信息、目的地址目的端口信息。一旦发生错误操作,管理员可以根据这些信息进行排查和分析。
E8000E的热备部署方式以及冗余设计,使其自2008年上市以来,未发生一起网上事故。首先,E8000E支持“主-主”和“主-备”双机热备部署方式,如果其中一台设备的相关链路发生故障,其控制信息和会话表项会自动触发备份到另外一台设备上,倒换时间小于1秒。其次,单台E8000E设备的主控板1+1备份、交换板3+1备份、接口板可针对业务处理板进行负载均衡,当一块业务处理板故障时,该板原先所承载的流量将被均衡到其他业务板上继续处理。另外,电源、风扇等重要部件也进行了冗余设计。