一种基于 IPV6 的私网地址复用方案分析

张元金

一种基于 IPV6 的私网地址复用方案分析

张元金

随着移动互联网 ctwap 业务迅猛发展，原有的一个 A 类地址空间不能满足激增业务量的需要。针对私网地址紧缺现象，从而提出一种基于 IPV6的私网地址复用方案。该方案在 AAA 服务器上布署策略，通过 ctwap 用户复用 10 网段私网地址、私网 DNS、综合承载网元进行 NAT 转换等技术手段，实现将复用的私网地址转换成能够跨省互访的本省地址，实现跨省互访。

IPV6；ctwap 业务；私网地址复用；网段

0 引言

目前移动互联网业务发展迅猛，各运营商的 ctwap 业务采用给用户分配私网地址的方式访问增值业务及互联网业务。由于 10网段的一个 A类地址是共用，且地址空间不能重叠，大家在开启 ctwap 手机上网 NAI 融合之后，ctwap 私网地址也能上公网，原有的一个A类地址空间已经远远不能满足全国业务量的激增，各运营商多个区域已经出现私网地址紧缺的情况。为了解决这一问题，需要研究 ctwap 用户复用10网段私网地址方案。

1 目前 ctwap 业务访问流场景分析

ctwap 业务访问流量主要有以下几种场景：

场景一：ctwap 终端通过 WAP GW 做代理访问彩信、WAP业务等增值业务以及 WAP GW 允许的 WAP 站点、HTTP 站点等。该场景中终端与本省 WAP GW 互通，不存在地址冲突的问题，不需要做地址转换

场景二：QChat/VT 等 ctwap 终端直接访问 QChat、VT业务平台；由于 ctbb/QChat/VT 平台功能所限，现阶段还不支持 NAT 转换之后用户的注册以及呼叫，该场景中不能进行NAT 转换。

场景三：ctwap 终端直接访问 Brew 等电信增值业务平台，不需要经过 WAP GW 做代理；终端需要与集团平台或者外省进行跨省互访，存在地址冲突的问题，该场景必须进行NAT 转换。

场景四：ctwap 终端直接通过融合防火墙做 NAT 转换上公网。

根据以上分析，对于不需要转换或者不能进行 NAT 转换的业务按照如下的方式进行处理：

场景一：通过路由调整实现 ctwap 终端与 WAP GW 的直接互访，该流量不经 NAT 转换；

场景二：保持现有的 AAA 授权策略，由 PDSN 给ctbb/QChat/VT 用户分配独立的可以跨省互访私网地址，该地址段访问 CDMA-PI1 网络内各服务器时不需要进行地址转换。

对于存在地址冲突的业务需要在ctwap 私网内开启 NAT功能，按照如下需求实施地址转换：

场景三：在 ctwap 私网内采用高性能的综合承载网元，做地址转换。实现私网地址到私网地址的转换，将场景三中的用户源地址转换成能够进行跨省互访的 CDMA-PI1 私网地址；

场景四：ctwap 私网内的综合承载网元还实现 ctwap 融合上网功能，将 ctwap 终端访问公网时的源地址转换成公网地址。

2 私网地址复用方案设计

2.1 私网地址复用网络互通设计

私网地址复用网络互通设计构架如图1所示：

图1 ctwap 私网地址复用网络互通示意图

网络互通要点分析：

通过在本地 AAA 与漫游 AAA 上配置不同的授权策略，仅对本省用户在本省使用的场景下才授权私网复用的 VR属性及地址池，其他业务以及 ctwap 业务的漫入、漫出场景都保持不变；

在 PDSN 的 VR2 中，保留 ctwap 地址池，该地址池供外省用户漫入以及 QChat/VT 业务使用，地址池大小可以根据实际情况做预留；保留 ctbb 地址池，该地址池专门用户黑莓业务；

在 PDSN 上新创建 VR4，在该 VR 中新增 privatewap 地址池，该地址池专门用于本省用户在本省使用情况下私网地址复用；

在承载网 CE 上创建一个新 CDMA-PI3 VPN，PDSN 的privatewap 用户通过该 VPN 来承载，PDSN 的 VR4 与 CE 的CDMA-PI3 VPN 互通；

将 WAP GW 双挂到承载网络的 CDMA-PI1 VPN 与 CDMA-PI3 VPN。WAP GW 与 privatewap 用户之间的互通通过 CDMA-PI3 VPN 完成，WAP GW 与其他私网地址段互通通过 CDMA-PI1 VPN来完成；

综合承载网元通过多个物理接口或者子接口的方式接入到承载网 CE 的 CDMA-PI0、CDMA-PI1、CDMA-PI3 VPN；

在承载网 CE上配置路由策略，将需要进行地址转换的流量引导至综合承载网元；

综合承载网元上配置地址转换策略，将需要跨省访问私网的流量进行私网地址到私网地址的转换，转换之后的地址能够允许跨省互访，转换之后再将流量引导至 CDMA-PI1 VPN；综合承载网元上配置地址转换策略，将需要访问公网的流量进行私网地址到公网地址的转换，转换之后再将流量引导至 CDMA-PI0 VPN。

各业务和流量访问路径说明如下：

ctwap/ctbb 地址池用户访问各网络及业务的流量路径保持不变，其访问私网时不需要通过综合承载网元进行 NAT转换；

privatewap 地址池用户访问路径：

privatewap 地址池用户访问 WAP GW 时，通过 CDMA-PI3 VPN直接互访，流量不需要通过综合承载网元进行NAT转换；

privatewap地址池用户访问10网段其他私网以及私网DNS 时，流量需要通过综合承载网元进行 NAT 转换，综合承载网元上将复用的私网地址转换成能够跨省互访的本省地址，再将流量路由到 CDMA-PI1 VPN，实现跨省互访；

privatewap 地址池用户访问公网时，流量需要通过综合承载网元进行 NAT 转换，将复用的私网地址转换成公网地址，实现手机上网 NAI 融合的互访需求。

2.2 CE 互通调整配置

CE 上创建 PI3 VPN：用于承载 privatewap 用户。该 VPN仅在 CE 上部署，该 VPN 参数规划如表1 所示：

表1

CE路由配置如表2所示：

表2

2.3 WAP GW 互通配置

各区域 WAP GW 出口路由器或者三层交换机通过新增物理接口或者逻辑子接口的方式接入到承载网络的 PI3 VPN。

WAP GW 出口路由器路由配置如表3：

表3

2.4 综合承载网元互通配置

综合承载网元通过物理接口或者子接口的方式接入到承载网 CE 的 PI0、PI1 和 PI3 VPN。

综合承载网元路由互通策略如下：

综合承载网元与承载 CE之间建议采用静态路由的方式完成互通。

综合承载网元上将到 privatewap 复用私网地址的明细路由指向与承载网 CE PI3 VPN 互联的接口。

综合承载网元上将到 10.0.0.0/8、115.168.254.0/24的流量指向与承载网 CE PI1 VPN 互联的接口。

综合承载网元上将到 0.0.0.0/0 缺省流量指向与承载网 CE PI0 VPN 互联的接口。

在综合承载网元上启用 NAT 策略，实现私网到私网、私网到公网的地址转换。综合承载网元地址转换策略如表4：

表4

2.5 PDSN 的互通配置

在 PDSN 的 VR2 中，保留 ctwap 地址池，该地址池用于外区域用户漫入以及 QChat/VT 业务，地址段采用 10 网段私网地址段中的本区域地址，地址池大小可以根据实际情况做预留；保留 ctbb 地址池，该地址池专门用户黑莓业务。PDSN与 CE 之间采用静态路由互通，PDSN 上将缺省路由指向与 CE PI1 VPN 互联的接口。

在 PDSN 上新增 VR4，创建 privatewap 地址池，该地址池专门用于本区域用户在本区域使用情况下私网地址复用，地址段采用 10 网段私网地址段中的外区域地址。PDSN 采用独立物理接口或者新开子接口的方式与承载网 CE 互通。PDSN 与 CE 之间采用静态路由互通，PDSN 上将缺省路由指向与 CE CDMA-PI3VPN 互联的接口。

2.6 AAA 的互通配置

本方案实施的前提条件是区域内本地 AAA 与漫游 AAA已经实现物理分离。本方案在本地 AAA 与漫游 AAA 上配置不同的授权动作，仅对本区域用户在本区域使用的场景下才授权私网复用的 VR 属性及 privatewap 地址池，其他业务以及ctwap 业务的漫入、漫出场景都保持不变。

相关策略如下：

对于本地 AAA 策略调整：用户属于默认组，对于默认组针对 ctwap@mycdma.cn 类帐号接入的用户，下发 VR 属性为VR4、地址池名称为 privatewap、DNS 为私网 DNS。

对于漫游 AAA 策略调整：

区域内用户漫出：用户属于默认组，在默认组用户，针对其 ctwap@mycdma.cn 帐号下发地址池 privatewap，然后通过动作授权，将该地址池名称改为 ctwap、VR 属性修改为VR2，并下发相关业务属性（含 DNS 属性）传递给外区域 AAA。

区域外用户漫入：外区域用户漫入后，现有动作保持不变，用户使用 ctwap@mycdma.cn 接入时，下发 ctwap 地址池和相关参数。

对于 QChat/VT 业务：对于区域内 QChat 用户，要求本地 AAA 根据用户组的属性，直接下发 ctwap 地址池，不进行调整，保障原有业务逻辑正常。

对于黑莓业务，保持现有配置不变，由 AAA 根据ctbb@mycdma.cn 的 NAI，授权 PDSN 在 VR2 中分配 ctbb 地址池。

2.7 HA/CCG 的配置

目前有部分运营商的在某些区域进行了 HA/CCG 的试点，对内容计费用户采用代理方式移动 IP的方式，由归属区域 HA 给用户分配 IP 地址。现阶段，这部分用户占用的IP 地址数量相对较少，在 HA 上直接分配能够跨区域互访的地址，不进行地址复用。

在现有的 HA/CCG 试点技术方案中，HA 针对后付费用户并没有给 AAA 转发计费消息，而是由 FA 向 AAA 发送计费消息，AAA 将给计费消息发送到 WAP GW，WAP GW 才能实现内容计费的 WAP 用户的访问。在私网地址复用与 PMIP 组合的情况，在如下场景中可能会产生 WAP 业务串号：

A 区域 PDSN 上复用了 B 区域的 IP 地址 IPb，B 区域的内容计费用户漫入到 A 区域使用。A 区域 AAA 将 A 区域 FA的计费消息、A 区域 PDSN 上的计费消息都转发到了 A 区域的 WAP GW。由于 FA 发送的计费报文中用户地址为 B 区域 HA分配的 B 区域的 IP 地址 IPb，A 区域 PDSN 发送的计费报文中用户地址为 B 区域用户地址也为 IPb，这就可能导致 WAP GW 上判断 IPb 的 MDN 时出现串号的情况。

为杜绝上述 WAP 串号的发生，对开展了内容计费试点的区域 AAA 向 WAP GW 转发计费消息时，要求采用如下策略：

AAA 转发 WAP 类简单 IP 且 PDSN 地址为本区域的计费报文到 WAP GW；

AAA 转发 WAP 类移动 IP 且 HA 地址为本区域 HA 的计费

Analysis of Private Network Address Multiplexing Scheme Based on IPV6

Zhang Yuanjin
(Zhaoqing Broadcast Television University, Guangdong 526060, China)

With the rapid development of the mobile Internet business of ctwap, the original A class address space can’t meet the needs of a surge in traffic. In view of the private network address shortage phenomenon, it presents private network address multiplexing scheme based on IPV6. The deployment of the solution strategy on the AAA server, NAT conversion technology through the comprehensive carrying element ctwap user multiplexing network 10 private network address, private network, DNS, the private network address multiplexing converted to address the inter provincial visits, to achieve inter provincial visit.

IPV6; Ctwap; Private Network Address Multiplexing; Network

TP249

B

1007-757X(2014)2-0062-04

张元金，广东肇庆广播电视大学，讲师，研究方向：计算机网络安全、信息安全、计算机通信及应用等，肇庆，526060