차세대 서비스에 대한 결정적 NAPT 개요

결정적 NAPT의 이점

• IP 주소가 항상 동일한 외부 IP 주소 및 포트 범위에 매핑되고, 번역된 외부 IP 주소와 포트의 역방향 매핑이 항상 동일한 내부 IP 주소에 매핑되므로 주소 변환 로깅이 필요하지 않습니다.

결정론적 NAPT 알고리즘 이해

결정론적 NAPT 구현의 효과는 가입자 요구 사항을 분석하는 데 달려 있습니다. 제공하는 블록 크기는 해당 네트워크 주소 변환(NAT) 규칙에 지정된 절의 범위에서 수신되는 각 가입자 주소에 from 사용할 수 있는 포트의 개수를 나타냅니다. 할당 알고리즘은 오프셋 값을 계산하여 발신 IP 주소 및 포트를 결정합니다. 역 알고리즘은 원래의 가입자 주소를 도출하는 데 사용됩니다.

참고:

로그를 사용하지 않고 가입자를 추적하려면 ISP는 역방향 알고리즘을 사용하여 번역된 주소에서 가입자(소스) 주소를 도출해야 합니다.

다음 변수는 포워드 계산(퍼블릭 IP 주소에 대한 프라이빗 가입자 IP 주소) 및 역계산(프라이빗 가입자 IP 주소에 대한 퍼블릭 IP 주소)에 사용됩니다.

• Pr_Prefix -모든 사전 NAT IPv4 가입자 주소.

• Pr_Port —모든 사전 NAT 프로토콜 포트.

• Block_Size - 각 Pr_Prefix 사용할 수 있도록 구성된 포트 수입니다.

  0으로 구성된 경우 block-size 블록 크기를 계산하는 방법은 다음과 같이 계산됩니다.

  블록 크기 = int(64512/ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)])

  여기서 64512는 공용 IP 주소당 사용 가능한 최대 포트 범위입니다.

• Base_PR_Prefix - 네트워크 주소 변환(NAT) 규칙 절에서 from 첫 번째 사용 가능한 사전 NAT IPv4 가입자 주소입니다.

• Base_PU_Prefix —NAT 풀에서 구성된 첫 번째 사용 가능한 NAT 이후 IPv4 가입자 주소입니다.

• Pu_Port_Range_Start —먼저 NAT 후 포트를 사용할 수 있습니다. 1024년입니다.

• Pr_Offset - NAT 규칙 절에서 처음 사용할 수 있는 사전 NAT IPv4 가입자 주소에서 변환되는 사전 NAT IP 주소 from 의 오프셋입니다. PR_Offset = Pr_Prefix – Base_Pr_Prefix.

• PR_Port_Offset - 사전 NAT IP 주소의 오프셋이 블록 크기에 곱합니다. PR_Port_Offset = Pr_Offset * Block_Size.

• Pu_Prefix —주어진 Pr_Prefix 대한 NAT 이후 주소입니다.

• Pu_Start_Port—주어진 Pr_Prefix 플로우에 대한 NAT 이후 시작 포트

• Pu_Actual_Port — 역방향 플로우에서 보이는 NAT 이후 포트입니다.

• Nr_Addr_PR_Prefix — NAT 규칙 절에서 from 사용 가능한 사전 NAT IPv4 가입자 주소 수.

• Nr_Addr_PU_Prefix — NAT 풀에서 구성된 사용 가능한 NAT 이후 IPv4 주소 수.

• Rounded_Port_Range_Per_IP — 각 NAT 이후 IP 주소에 사용할 수 있는 포트 수. Rounded_Port_Range_Per_IP = ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)] * Block_Size.

• Pu_Offset - 첫 번째 사용 가능한 사후 NAT 주소에서 NAT 이후 IP 주소의 오프셋. Pu_Offset = Pu_Prefix – Base_Pu_Prefix.

• Pu_Port_Offset — 1024년 이후 NAT 포트의 오프셋은 NAT 이후 IP 주소의 오프셋 제품과 각 NAT 이후 IP 주소에 사용할 수 있는 포트 수에 추가되었습니다. Pu_Port_Offset = (Pu_Offset * Rounded_Port_Range_Per_IP) + (Pu_Actual_Port – Pu_Port_Range_Start).

알고리즘 사용 – 다음 구성을 가정합니다.

전달 변환

1. Pr_Offset =Pr_Prefix – Base_Pr_Prefix – 프라이빗 IP 풀의 간격

   참고:

   프라이빗 IP 풀이 연속되지 않은 여러 풀로 구성된 경우, Pr_Offset 풀의 프라이빗 IP만 계산해야 합니다. 그 합계는 다음과 입니다.

   • IP가 인 풀 내의 오프셋입니다.

   • IP가 낮은 풀 크기.

2. Pr_Port_Offset = Pr_Offset * Block_Size

3. Rounded_Port_Range_Per_IP = ceil[(Nr_Addr_PR_Prefix/Nr_Addr_PU_Prefix)] * Block_Size

4. Pu_Prefix = Base_Public_Prefix + 층(Pr_Port_Offset/Rounded_Port_Range_Per_IP)

   참고:

   공용 IP 풀이 연속되지 않은 여러 풀로 구성된 경우, Pu_Offset 풀의 공용 IP만 계산해야 합니다. 따라서 합계는 다음과 같이 의도되어야 합니다.

   • 값 floor(Pr_Port_Offset / Rounded_Port_Range_Per_IP) 이 크기 first Public IP pool보다 큰 경우, 값에서 이 첫 번째 풀의 크기를 뺀 것입니다. 그런 다음 두 번째 풀 크기를 고려합니다.

   • 값이 n-th 풀보다 작을 때까지 프로세스를 반복합니다.

5. Pu_Start_Port = Pu_Port_Range_Start + (Pr_Port_Offset % Rounded_Port_Range_Per_IP)

샘플 구성을 사용하고 10.1.1.250:5000에서 조달된 가입자 플로우를 가정합니다.

1. Pr_Offset = 10.1.1.250 – 10.1.0.1 = 505

2. Pr_Port_Offset = 505 * 249 = 125,745

3. Rounded_Port_Range_Per_IP = ceil[(65, 533/254)] * 249 = 259 * 249 = 64,491

4. Pu_Prefix = 203.0.113.1 + 층(125,745/64,491) = 203.0.113.1 +1 = 203.0.113.2

5. Pu_Start_Port = 1,024 + (125,745 % 64,491) = 62278

   • 10.1.1.250은 203.0.113.2로 변환됩니다.

   • 시작 포트는 62278입니다. 구성된 블록 크기에 따라 가입자가 사용할 수 있는 포트는 249개입니다. 사용 가능한 포트 범위는 포트 62278~62526(포함)을 포괄합니다.

   • 특정 플로우 10.1.1.250:5000은 임의의 할당이 지정되었으므로 범위의 모든 포트를 무작위로 할당합니다.

역방향 변환

1. Pr_Offset =Pr_Prefix – Base_Pr_Prefix – 프라이빗 IP 풀의 간격

   참고:

   프라이빗 IP 풀이 연속되지 않은 여러 풀로 구성된 경우, Pr_Offset 풀의 프라이빗 IP만 계산해야 합니다. 그 합계는 다음과 입니다.

   • IP가 인 풀 내의 오프셋입니다.

   • IP가 낮은 풀 크기.

2. Pu_Port_Offset = (Pu_Offset * Rounded_Port_Range_Per_IP) + (Pu_Actual_Port – Pu_Port_Range_Start)

3. Subscriber_IP = Base_Pr_Prefix + 층(Pu_Port_Offset/ Block_Size)

역방향 변환은 다음과 같이 결정됩니다. 플로우가 203.0.113.2:62278로 되돌아간다고 가정합니다.

1. Pu_Offset = 203.0.113.2 – 203.0.113.1 = 1

2. Pu_Port_Offset = (1 * 64,491) + (62,280 - 1024) = 125,747

3. Subscriber_IP = 10.1.0.1 + 층(125,747/249) = 10.1.0.1 + 505 = 10.1.1.250

   참고:

   역 변환에서는 사용 중의 원본 포트가 아닌 원래 프라이빗 IP 주소만 파생될 수 있습니다. 이는 법 집행 요구 사항에 대해 충분히 세분화되어 있습니다.

확정적 NAPT를 구성한 경우, 및 show services nat deterministic-nat nat-port-block 명령을 사용하여 show services nat deterministic-nat internal-host 앞으로 및 역방향 매핑을 표시할 수 있습니다. 그러나 확정적인 포트 블록 할당 블록 크기 또는 NAT 규칙의 절을 재구성하면 매핑이 from 변경됩니다. 매핑에 대한 과거 정보를 제공하려면 이전 구성에 대한 특정 매핑을 표시할 수 있는 스크립트를 작성하는 것이 좋습니다.

결정적 NAPT 제한 사항

결정적 NAPT를 구성할 때 다음 사항을 유의하십시오.

• IPv6 확정적 NAT64 호스트 주소 구성의 경우, IPv6 호스트 접두사의 마지막 32비트(4바이트) 변경을 지원합니다. 즉, IPv6 주소에 대해 접두사 마스크 /96만 구성할 수 있으며, 이는 하나의 IPv6 접두사에 대해 최대 주소 번호 2³² 를 지원합니다. 호스트 주소는 구성 계층에서 [services nat source pool p1 port deterministic host] 지정됩니다.

• 일반적으로 호스트 범위의 주소 수는 풀의 주소 수보다 더 많아야 합니다.

• 모범 사례:

  일부 호스트가 포트 차단 리소스를 성공적으로 수신하지 못할 수 있으므로 호스트 주소 수를 총 포트 차단 리소스 수를 초과하도록 구성하는 것은 권장하지 않습니다.

• 확정적 NAT의 최소 블록 크기는 1입니다. 더 작은 블록 크기를 구성하면 커밋이 실패합니다. 블록 크기가 0으로 구성된 경우, 블록 크기는 호스트 번호와 변환된 주소 번호를 기준으로 자동으로 계산됩니다. 계산된 블록 크기가 1 미만이면 커밋이 실패합니다.

• 그러나 차세대 서비스의 확정적 NAPT의 경우, 호스트 주소 또는 주소 이름 목록의 NAT 풀에서 IPv4 및 IPv6 호스트 주소를 함께 구성할 수 있습니다. 총 호스트 접두사 번호는 1000을 초과할 수 없습니다.

• 호스트 주소록 이름에는 주소 범위 또는 DNS 이름을 구성할 수 없습니다.

• 구성된 호스트 주소 접두사와 호스트 주소록 이름은 접두사의 겹치는 경우 함께 병합됩니다. 작동 명령을 사용하여 show services nat source deterministic 병합된 접두사 표시할 수 있습니다.

• 모범 사례:

  여러 규칙에 걸쳐 동일한 확정적 NAT 풀이 사용되는 경우, 가입자 호스트 주소가 소스 주소 접두사와 일치하는 여러 규칙과 일치하게 유지하는 것이 좋습니다. 그렇지 않으면 NAT 풀에서 구성되지 않은 호스트의 트래픽이 NAT 규칙과 일치하더라도 포트를 성공적으로 할당하지 않을 수 있습니다.

• 차세대 서비스 NAPT 서비스의 경우, 구성된 총 호스트 주소 수는 사용 가능한 확정적 네트워크 주소 변환(NAT) 포트 블록보다 크거나 같아야 합니다.