浙江联通NAT44分配日志接口技术规范

浙江联通NAT44分配日志技术规范

一、地址溯源系统的定位与功能

地址溯源系统主要有日志采集、日志留存和溯源查询三部分组成，其中日志采集及留存服务器实现接收、分析、保存CGN设备发出的nat44分配日志，其在网络中的逻辑关系如图1所示：

CGN日志采集及留存服务器溯源查询服务器AAA系统 图1、地址溯源服务器在网络中的定位

二、地址溯源系统与CGN设备的接口要求

地址溯源系统与CGN设备的接口，总体要求如下： ? 必须支持 RFC5424- The Syslog Protocol 相关的规定；

? 必须支持RFC5425-Transport Layer Security (TLS) Transport Mapping for Syslog 相关的规定； ? 必须支持RFC5426- Transmission of Syslog Messages over UDP 相关的规定； ? 必须兼容RFC3164- The BSD Syslog Protocol 相关的规定； ? 建议支持RFC3195- Reliable Delivery for Syslog 相关的规定。

? 地址及端口段的分配/收回日志，必须支持以syslog方式发送出地址端口段动态映射关系。 ? 必须支持指定日志服务器的地址，并支持设置多个目标地址，比如：将地址及端口段的分配/收

回日志发送给一台或两台日志服务器。

浙江nat44日志采用syslog方式接收，服务器IP地址为124.160.0.199，端口为9514。

三、分配/收回日志接口方式

1、静态分配方式

CGN设备支持静态映射表保存用户地址映射关系的功能。CGN设备的管理系统中具备地址、端口固定映射关系表的创建、维护、重置功能，可定期将映射关系表发送给地址溯源系统，或出现映射关系表出现变化也将及时发送给地址溯源系统。

即：CGN管理系统将所有私有地址与公网地址及端口段的映射关系，以逐条方式形成文本文件，然后通过接口方式发送给地址溯源系统采集接口主机，接口协议采用FTP。每条日志至少包含如下信息：

字 段 Original Source IP Translated Source IP Translated First Source Port Translated Last Source Port 2、动态分配方式

CGN设备每分配一个地址/端口段和收回一个地址/端口段时，均应通过Syslog方式上报给溯源日志系统；

Syslog消息由两个可识别的部分组成，第一个部分称为HEADER，第二个部分称为MSG。整个Syslog报文采用ASCII文本方式进行设备操作行为记录，包的总长度必须不能超过1024个字节。本规范不对Syslog消息的最小长度作出限制。

Header 说 明 转换前源地址（分配给用户的私网地址） 转换后源地址 转换后第一个源端口编号 转换后最后一个源端口编号 Msg 1）Header定义

HEADER部分应包括PRI字段、VERSION、TIMESTAMP、HOSTNAME、APP-NAME、PROCID和MSGID字段，各字段定义如下：

? PRI字段：日志类型码，由Facility和Severity值组成

? Facility：rfc3164标准所需属性，建议编码值为17 ? Severity： rfc3164标准所需属性，建议编码值为6 ? PRI = Facility * 8 + Severity

? VERSION 字段：表示溯源日志的版本号，设置为1

? HOSTNAME字段：表示日志发送设备的管理端口的IPv4地址，采用点分十进制文本方式表示，例

如：10.1.1.1

? TIMESTAMP字段：包含Syslog生成的时间戳。生成该时间戳的CGN设备必须采用NTP协议，与

网络中其它设备进行时间同步。TIMESTAMP字段其格式如下：

其中：year表示年份，如2011。mon表示月份，必须为以下值之一，Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec。表示从1月至12月。Day表示日期，必须为操作发生的当天日期（1～31）。Hh、mm、ss分别表示操作发生的时、分、秒。 ? APP-NAME字段：表示发送日志的设备型号

? PROCID字段：表示一个日志组的编号，该编号可以由数字和字符组成，在同一台设备内标识互

相关联的日志，例如建立一个端口段分配表项与回收这个端口段表项。

? MSGID字段：表示日志消息的类型，MSGID表示该条消息的类型，其格式定义为：<设备类型>:<

消息类型>。在NAT444环境中，设备类型值为NAT444； MSGID包含的消息类型有： ? PortA：表示该消息是分配端口段日志 ? PortW：表示该消息是回收端口段日志 2）MSG定义

MSG部分采用ASCII文本形式，包含一条或多条日志记录数据（以换行符“\\n”分隔）。 MSG每一行为一条日志记录，各字段间用“|”分隔，必须包含的内容及格式为：

Start Time| Original Source IP | Translated Source IP | Translated First Source Port | Translated Last Source Port

字段类型及含义如下表：

字 段 Start Time Original Source IP Translated Source IP Translated First Source Port Translated Last Source Port

类型 长整型 IP字符串 IP字符串 整型 整型 说 明 转换前源地址（分配给用户的私网地址） 转换后源地址 转换后第一个源端口编号0-65535 转换后最后一个源端口编号0-65535 例如 10.1.249.2 124.207.3.12 10256 10456 开始时间，从1970-1-1 00:00:00开始的秒数 1320370756