NAT公網轉私網的網絡優化改造

廣東聯通中山市分公司 劉甫琴

?

NAT公網轉私網的網絡優化改造

廣東聯通中山市分公司 劉甫琴

【摘要】本文主要是廣東聯通中山市分公司由于IPV4地址基本耗盡，對城域網網絡進行NAT44改造割接，分別從理論分析、網絡規劃、后期優化調整等角度入手，最終成功的實現中山分公司大部分Bras的NAT44改造割接，轉換公網用戶。

【關鍵詞】IPV4地址；耗盡；城域網；改造；轉換公網

1 概述

廣東聯通中山分公司基于現有網絡針對華為ME60設備和貝爾7750設備特征進行優化和改造專題技術方案。重點解決廣東聯通中山市分公司IPv4地址資源緊張、轉換公網后的可逆溯源查詢等問題，并結合實際情況制定了相應的優化方案。

2 研究背景

2.1 NAT地址轉換

地址轉換是在IP地址日益短缺的情況下提出的，一個局域網內部有很多臺主機，可是不能保證每臺主機都擁有合法的IP地址，為了到達所有的內部主機都可以連接Internet網絡的目的，可以使用地址轉換。地址轉換技術可以有效的隱藏內部局域網中的主機，因此同時是一種有效的網絡安全保護技術。地址轉換可以按照用戶的需要，在內部局域網內部提供給外部FTP、WWW、Telnet服務。

2.2 NAT轉換涉及的設備

在本次轉換公網地址中使用了迪普的NAT設備，分別對華為ME60、貝爾7750設備進行公網地址轉換，共有9臺設備。

3 網絡整體設計說明

3.1 割接組網（以名嘉花園7750為例）

廣東聯通中山市分公司改造后網絡采用NAT設備集中式部署方案，在城域網出口路由器CR側旁掛獨立NAT設備。城域網寬帶接入用戶的數據報文經由BRAS、CR、發送至NAT設備，將私網IP地址經NAT轉換成公網IP地址后再發送出去，同時NAT設備將session日志，端口分配日志發送至亞信服務器完成溯源。

3.2 網絡設計詳細說明

?2臺NAT網關與2臺CR之間單萬兆鏈路交叉互聯，BRAS采用萬兆鏈路分別與2臺CR互聯保證鏈路的冗余性。

?NAT網關、CR、BRAS間啟用IGP協議（OSPF），使得BRAS與NAT網關的loopback地址互相可達；同時啟用MPLS與LDP，BRAS與NAT網關loopback地址間建立2條LSP等價轉發路徑。

?NAT 網關1和NAT網關2分別與BRAS建立MP-BGP VPNv4鄰居，并且向BRAS發布缺省路由，下一跳指向自身loopback地址，2臺NAT網關發布的默認路由攜帶不同的RD與BGP 團體屬性；NAT網關同時從BRAS學到私網路由。

?采用路由反射器（RR）在NAT網關與BRAS間進行BGP路由反射，由于2臺NAT網關發布的VPNv4默認路由具有不同的RD，可以避免路由合并；由CR暫時兼做RR，待具備條件后再遷移到獨立RR。

?BRAS設備的私網vrf實例從2臺NAT網關分別學到默認路由，通過默認路由的bgp團體屬性來進行優選，決定NAT主備網關。在網絡正常時，BRAS私網流量通過優選默認路由發送到NAT主網關；當NAT主網關發生故障后，原先的優選默認路由消失，流量自動切換到備選NAT網關。通過規劃一半BRAS優選NAT1作為主網關，另一半BRAS優選NAT2作為主網關，從而實現整體的流量負載均衡。

?NAT網關與CR之間的每條物理鏈路劃分2個邏輯接口（VRF:0與CGN），其中VRF:0邏輯接口處于公共區域，負責接收來自BRAS的私網流量（MPLS標簽報文），以及負責維持與BRAS的BGP VPNV4路由交互；CGN邏輯接口位于VRF內，負責將源地址轉換后的流量發送回CR。

?私網IP地址的用戶報文進入BRAS私網VRF后，默認路由下一跳為NAT網關的loopback地址。首先將報文打上私網標簽，然后在全局路由表中查找到達NAT網關loopback地址的路徑，在本方案中需經MPLS轉發，于是打上公網標簽后，沿已建立的LSP轉發到NAT網關VRF:0邏輯接口。

?NAT網關接收到BRAS上送的私網流量后，在VRF中將私網源地址進行NAT轉換，轉換后的流量通過VRF路由表中的默認路由（下一跳指向CR，出接口為CGN邏輯接口）發回CR路由器，由CR轉發至169公網。

?每臺NAT設備的公網地址池通過IBGP路由通告給RR（CR），在CR上由EBGP通告給169骨干鄰居。每臺NAT網關將分配給自身的公網地址池劃為2段（假設為N11、N12兩段），N11關聯與CR1相連的1個CGN邏輯接口，N12關聯與CR2相連的1個CGN邏輯接口。N11、N12兩段公網地址池作為2條IBGP路由通告給CR，在CR向公網EBGP鄰居通告該2條路由時，根據Community值賦予不同cost路由屬性的控制，使得經公網EBGP鄰居路由器轉發的回程報文滿足：目的地址為N11的報文優選到達CR1，目的地址為N12的報文優選到達CR2，從而實現了流量負載均衡并避免了CR間貫穿流量。

?NAT網關通過NAT Stick保證用戶數據包NAT轉換后源地址固定，確保網銀類業務的正常使用。

?通過在NAT網關將http業務鏡像一份至推送服務器，推送服務器將私網路由指向NAT網關，保證URL推送業務。

?私網用戶DNS業務經過NAT設備不受影響，公網用戶DNS服務和BRAS的RADIUS業務通過原有公網路由交互。

4 結論

廣東聯通中山市分公司對在網的Bras設備實施了公網轉私網的改造，目前共成功改造了9臺設備，轉私網用戶4.5萬，緩解了廣東聯通中山市分公司IPV4地址不足的的現狀，實施了以上的一系列創新性的優化手段，成功地為中山寬固業務的迅速發展提供了必不可少的技術支撐。

參考文獻

[1]孫大躍,王衛亞.計算機網絡—原理、應用和實現[M].北京:清華大學出版社,2007.

[2]孔令旺.NAT技術及應用淺析[J].科技咨詢,2011,32.

[3]李勝吉,段志勇.淺談網絡入侵檢測技術[J].黑龍江科技信息,2011,26.

[4]周國勇.活動主機探測[J].信息網絡安全,2009,10.

[5]向春枝.淺談NAT技術的實現及其優缺點[J].河南廣播電視大學學報,2002,4.

劉甫琴，大學本科，畢業于重慶郵電大學，現供職于廣東聯通中山市分公司網管中心。

作者簡介：