廣東聯(lián)通中山市分公司 劉甫琴

?

NAT公網(wǎng)轉(zhuǎn)私網(wǎng)的網(wǎng)絡(luò)優(yōu)化改造

廣東聯(lián)通中山市分公司 劉甫琴

【摘要】本文主要是廣東聯(lián)通中山市分公司由于IPV4地址基本耗盡，對城域網(wǎng)網(wǎng)絡(luò)進(jìn)行NAT44改造割接，分別從理論分析、網(wǎng)絡(luò)規(guī)劃、后期優(yōu)化調(diào)整等角度入手，最終成功的實現(xiàn)中山分公司大部分Bras的NAT44改造割接，轉(zhuǎn)換公網(wǎng)用戶。

【關(guān)鍵詞】IPV4地址；耗盡；城域網(wǎng)；改造；轉(zhuǎn)換公網(wǎng)

1 概述

廣東聯(lián)通中山分公司基于現(xiàn)有網(wǎng)絡(luò)針對華為ME60設(shè)備和貝爾7750設(shè)備特征進(jìn)行優(yōu)化和改造專題技術(shù)方案。重點解決廣東聯(lián)通中山市分公司IPv4地址資源緊張、轉(zhuǎn)換公網(wǎng)后的可逆溯源查詢等問題，并結(jié)合實際情況制定了相應(yīng)的優(yōu)化方案。

2 研究背景

2.1 NAT地址轉(zhuǎn)換

地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的，一個局域網(wǎng)內(nèi)部有很多臺主機(jī)，可是不能保證每臺主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。

2.2 NAT轉(zhuǎn)換涉及的設(shè)備

在本次轉(zhuǎn)換公網(wǎng)地址中使用了迪普的NAT設(shè)備，分別對華為ME60、貝爾7750設(shè)備進(jìn)行公網(wǎng)地址轉(zhuǎn)換，共有9臺設(shè)備。

3 網(wǎng)絡(luò)整體設(shè)計說明

3.1 割接組網(wǎng)（以名嘉花園7750為例）

廣東聯(lián)通中山市分公司改造后網(wǎng)絡(luò)采用NAT設(shè)備集中式部署方案，在城域網(wǎng)出口路由器CR側(cè)旁掛獨(dú)立NAT設(shè)備。城域網(wǎng)寬帶接入用戶的數(shù)據(jù)報文經(jīng)由BRAS、CR、發(fā)送至NAT設(shè)備，將私網(wǎng)IP地址經(jīng)NAT轉(zhuǎn)換成公網(wǎng)IP地址后再發(fā)送出去，同時NAT設(shè)備將session日志，端口分配日志發(fā)送至亞信服務(wù)器完成溯源。

3.2 網(wǎng)絡(luò)設(shè)計詳細(xì)說明

?2臺NAT網(wǎng)關(guān)與2臺CR之間單萬兆鏈路交叉互聯(lián)，BRAS采用萬兆鏈路分別與2臺CR互聯(lián)保證鏈路的冗余性。

?NAT網(wǎng)關(guān)、CR、BRAS間啟用IGP協(xié)議（OSPF），使得BRAS與NAT網(wǎng)關(guān)的loopback地址互相可達(dá)；同時啟用MPLS與LDP，BRAS與NAT網(wǎng)關(guān)loopback地址間建立2條LSP等價轉(zhuǎn)發(fā)路徑。

?NAT 網(wǎng)關(guān)1和NAT網(wǎng)關(guān)2分別與BRAS建立MP-BGP VPNv4鄰居，并且向BRAS發(fā)布缺省路由，下一跳指向自身loopback地址，2臺NAT網(wǎng)關(guān)發(fā)布的默認(rèn)路由攜帶不同的RD與BGP 團(tuán)體屬性；NAT網(wǎng)關(guān)同時從BRAS學(xué)到私網(wǎng)路由。

?采用路由反射器（RR）在NAT網(wǎng)關(guān)與BRAS間進(jìn)行BGP路由反射，由于2臺NAT網(wǎng)關(guān)發(fā)布的VPNv4默認(rèn)路由具有不同的RD，可以避免路由合并；由CR暫時兼做RR，待具備條件后再遷移到獨(dú)立RR。

?BRAS設(shè)備的私網(wǎng)vrf實例從2臺NAT網(wǎng)關(guān)分別學(xué)到默認(rèn)路由，通過默認(rèn)路由的bgp團(tuán)體屬性來進(jìn)行優(yōu)選，決定NAT主備網(wǎng)關(guān)。在網(wǎng)絡(luò)正常時，BRAS私網(wǎng)流量通過優(yōu)選默認(rèn)路由發(fā)送到NAT主網(wǎng)關(guān)；當(dāng)NAT主網(wǎng)關(guān)發(fā)生故障后，原先的優(yōu)選默認(rèn)路由消失，流量自動切換到備選NAT網(wǎng)關(guān)。通過規(guī)劃一半BRAS優(yōu)選NAT1作為主網(wǎng)關(guān)，另一半BRAS優(yōu)選NAT2作為主網(wǎng)關(guān)，從而實現(xiàn)整體的流量負(fù)載均衡。

?NAT網(wǎng)關(guān)與CR之間的每條物理鏈路劃分2個邏輯接口（VRF:0與CGN），其中VRF:0邏輯接口處于公共區(qū)域，負(fù)責(zé)接收來自BRAS的私網(wǎng)流量（MPLS標(biāo)簽報文），以及負(fù)責(zé)維持與BRAS的BGP VPNV4路由交互；CGN邏輯接口位于VRF內(nèi)，負(fù)責(zé)將源地址轉(zhuǎn)換后的流量發(fā)送回CR。

?私網(wǎng)IP地址的用戶報文進(jìn)入BRAS私網(wǎng)VRF后，默認(rèn)路由下一跳為NAT網(wǎng)關(guān)的loopback地址。首先將報文打上私網(wǎng)標(biāo)簽，然后在全局路由表中查找到達(dá)NAT網(wǎng)關(guān)loopback地址的路徑，在本方案中需經(jīng)MPLS轉(zhuǎn)發(fā)，于是打上公網(wǎng)標(biāo)簽后，沿已建立的LSP轉(zhuǎn)發(fā)到NAT網(wǎng)關(guān)VRF:0邏輯接口。

?NAT網(wǎng)關(guān)接收到BRAS上送的私網(wǎng)流量后，在VRF中將私網(wǎng)源地址進(jìn)行NAT轉(zhuǎn)換，轉(zhuǎn)換后的流量通過VRF路由表中的默認(rèn)路由（下一跳指向CR，出接口為CGN邏輯接口）發(fā)回CR路由器，由CR轉(zhuǎn)發(fā)至169公網(wǎng)。

?每臺NAT設(shè)備的公網(wǎng)地址池通過IBGP路由通告給RR（CR），在CR上由EBGP通告給169骨干鄰居。每臺NAT網(wǎng)關(guān)將分配給自身的公網(wǎng)地址池劃為2段（假設(shè)為N11、N12兩段），N11關(guān)聯(lián)與CR1相連的1個CGN邏輯接口，N12關(guān)聯(lián)與CR2相連的1個CGN邏輯接口。N11、N12兩段公網(wǎng)地址池作為2條IBGP路由通告給CR，在CR向公網(wǎng)EBGP鄰居通告該2條路由時，根據(jù)Community值賦予不同cost路由屬性的控制，使得經(jīng)公網(wǎng)EBGP鄰居路由器轉(zhuǎn)發(fā)的回程報文滿足：目的地址為N11的報文優(yōu)選到達(dá)CR1，目的地址為N12的報文優(yōu)選到達(dá)CR2，從而實現(xiàn)了流量負(fù)載均衡并避免了CR間貫穿流量。

?NAT網(wǎng)關(guān)通過NAT Stick保證用戶數(shù)據(jù)包NAT轉(zhuǎn)換后源地址固定，確保網(wǎng)銀類業(yè)務(wù)的正常使用。

?通過在NAT網(wǎng)關(guān)將http業(yè)務(wù)鏡像一份至推送服務(wù)器，推送服務(wù)器將私網(wǎng)路由指向NAT網(wǎng)關(guān)，保證URL推送業(yè)務(wù)。

?私網(wǎng)用戶DNS業(yè)務(wù)經(jīng)過NAT設(shè)備不受影響，公網(wǎng)用戶DNS服務(wù)和BRAS的RADIUS業(yè)務(wù)通過原有公網(wǎng)路由交互。

4 結(jié)論

廣東聯(lián)通中山市分公司對在網(wǎng)的Bras設(shè)備實施了公網(wǎng)轉(zhuǎn)私網(wǎng)的改造，目前共成功改造了9臺設(shè)備，轉(zhuǎn)私網(wǎng)用戶4.5萬，緩解了廣東聯(lián)通中山市分公司IPV4地址不足的的現(xiàn)狀，實施了以上的一系列創(chuàng)新性的優(yōu)化手段，成功地為中山寬固業(yè)務(wù)的迅速發(fā)展提供了必不可少的技術(shù)支撐。

參考文獻(xiàn)

[1]孫大躍,王衛(wèi)亞.計算機(jī)網(wǎng)絡(luò)—原理、應(yīng)用和實現(xiàn)[M].北京:清華大學(xué)出版社,2007.

[2]孔令旺.NAT技術(shù)及應(yīng)用淺析[J].科技咨詢,2011,32.

[3]李勝吉,段志勇.淺談網(wǎng)絡(luò)入侵檢測技術(shù)[J].黑龍江科技信息,2011,26.

[4]周國勇.活動主機(jī)探測[J].信息網(wǎng)絡(luò)安全,2009,10.

[5]向春枝.淺談NAT技術(shù)的實現(xiàn)及其優(yōu)缺點[J].河南廣播電視大學(xué)學(xué)報,2002,4.

劉甫琴，大學(xué)本科，畢業(yè)于重慶郵電大學(xué)，現(xiàn)供職于廣東聯(lián)通中山市分公司網(wǎng)管中心。

作者簡介：