商圈理论
· ·
甲基丙烯酸正丁酯2019年第20期(总第639期) 科学咨询/科技管理
谷氨酰胺合成酶
摘 要:NAT( Network Address Translation,网络地址转换)技术是目前运营商公认的能有效解决IPv4公网地址紧缺问题的方法之一。本文总体分析了NAT用户IP溯源问题及解决方案,介绍了驻地网NAT用户及WLAN用户存在的IP溯源问题,并在用户的管理难易、对现有设备改造、总体成本高低等方面,对其不同的溯源方案进行了分析比较,为以后相关工程的建设提供参考。 关键词:NAT;IP溯源;IPv4;驻地网;WLAN
一、引言
传统的NAT相当于一个防火墙,部署方式简单,由于运营商IP城域网比企业网络更复杂。因此,IP城域网NAT部署与传统的企业网NAT部署有很大的区别[1]。此外,由于NAT技术破坏了Internet端到端的透明性,用户在经过NAT转换前是私网用户,而在NAT转换后是公网用户,用户报文在NAT转换前后的源地址不同。因此,IP城域网引入NAT后,将面临用户IP溯源困难问题。本文主要对IP城域网NAT部署面临的用户IP溯源困难进行分析探讨。
二、NAT用户溯源问题概述
由于采用NAT技术后,用户在经过NAT转换前使用的是私网IP地址,而在NAT转换后使用的是公网IP地址,用户报文在NAT 转换前后的IP地址不同,安全监督机构只能获得经过NAT转换后的用户信息,即公网IP地址信息。用户的源私网IP地址在AAA服务器上没有任何的记录,无法与用户关联,使安全机构不能完成正常用户IP地址信息反查。为了解决该问题,应对NAT用户接入认证、访问网络的具体流程进行分析,并分析用户IP溯源流程,出问题出错的源点[2]。 三、NAT用户IP溯源问题
1.驻地网NAT用户。根据驻地网NAT用户上网流程[3],在用户接入认证阶段,BRAS给用户分配私网IP地址,上报用户的用户账户与私网IP地址等信息给AAA系统,并完成了用户的计费请求,用户获得上网的合法权限。在用户Internet访问阶段,BRAS将用户的NAT请求信息发给NAT,NAT对用户做公私网地址转换,用户获得公网IP地址后开始上网。在用户IP溯源阶段,当出现用户非法访问互联网行为时,安全机构通过用户的公网IP 地址信息和端口号、时间段在AAA系统定位用户时,AAA系统无法返回用户的公网IP地址与用户账号的关系,安全机构不能定
位用户,驻地网NAT用户IP溯源问题的示意图如图1所示。
图1 驻地网NAT用户IP溯源问题示意图
2.WLAN NAT用户。根据WLAN NAT用户上网流程[4],在用户接入认证阶段,AC设备通过DHCP协议给用户分配私网IP地址,上报用户的用户账户与私网IP地址等信息给AAA系统,并完成用户的计费请求,用户获得上网的合法权限。在用户Internet访问阶段,AC通过私网路由将用户的NAT请求信息发给NAT,NAT对用户做公私网地址转换,用户获得公网IP地址后开始上网。在用户IP 溯源阶段,当出现用户非法访问互联网行为时,安全机构通过用户的公网IP地址信息和端口号、时间段定位用户时,AAA系统无法返回用户的公网IP地址与用户账号的关系,安全机构不能定位
用户,WLAN NAT用户IP溯源问题示意图如图2所示。
图2 WLAN NAT用户IP溯源问题示意图
四、溯源方法
1.Radius属性扩展溯源方案。Radius属性扩展方案即BRAS 将用户的公网IP地址、端口号上传给AAA系统。用户在经过NAT 后,BRAS最后一次与Radius服务器信息交换是通过Accounting-Request/Stop报文实现。因此,具体的解决方法是在BRAS上传给Radius的Accounting-Request/Stop消息中加上用户的公有IP 地址、端口段等信息,其中公有IP地址、端口段等信息的添加是通过Radius属性扩展实现。在Accounting-Request/Stop报文中添加用户NAT后的公网IP地址与端口号,通过Radius属性扩展后安全机构即可实现NAT用户IP溯源。
该溯源方案需要对Radius协议进行扩展,在NAT设备上公网地址池进行动态映射,NAT设备只需要维护session表,不需要保存用户的地址映射关系。通过AAA实时溯源,对用户session没有限制。需要对现网的AAA系统进行改造,对其进行Radius属性的扩展,投资较小,但是应用场景受限制。
2.离线溯源方案。离线溯源即在IP城域网内建设NAT日志系统。当安全机构根据用户的公网IP地址信息和端口号、时间段定位用户时,要在NAT日志系统中查出用户的私网IP地址,再根据私网IP地址在AAA系统中查出用户信息定位用户。该方案无需对BRAS和AAA系统上报的信息进行较大的改动。但NAT日志系统须与AAA、AC、BRAS时钟同步。城市拆迁管理条例
通过以上对NAT用户溯源问题的两种解决方法的分析,其中Radius属性扩展方案需要对BRAS设备及AAA系统做相应的改造;离线溯源方案无需对AAA系统及BRAS设备进行改动,只需现网新增NAT日志服务器并做出相应的关联分析。每种方案都有自己的特点,考虑投资成本,结合实际的工程应用,建议BRAS插卡的NAT部署模式采用Radius属性扩展方案,核心路由器旁挂NAT部署模式采用离线溯源方案。
强卫任江西省委书记
五、结束语
NAT技术的出现,有效解决了目前运营商面临的公网IP地址紧缺问题,在不中断现有业务的基础上实现平滑过渡,对全球运营商提供综合服务、发展用户和带宽提速中起着基础、支
钼粉
作者简介:柳成霞(1989-),女,硕士研究生,研究方向:移动通信。
NAT用户IP溯源问题分析
柳成霞
(重庆安全技术职业学院 重庆 400065)
高等教育
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议