广东联通中山市分公司 刘甫琴



NAT公网转私网的网络优化改造

广东联通中山市分公司 刘甫琴

【摘要】本文主要是广东联通中山市分公司由于IPV4地址基本耗尽，对城域网网络进行NAT44改造割接，分别从理论分析、网络规划、后期优化调整等角度入手，最终成功的实现中山分公司大部分Bras的NAT44改造割接，转换公网用户。

【关键词】IPV4地址；耗尽；城域网；改造；转换公网

1 概述

广东联通中山分公司基于现有网络针对华为ME60设备和贝尔7750设备特征进行优化和改造专题技术方案。重点解决广东联通中山市分公司IPv4地址资源紧张、转换公网后的可逆溯源查询等问题，并结合实际情况制定了相应的优化方案。

2 研究背景

2.1 NAT地址转换

地址转换是在IP地址日益短缺的情况下提出的，一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。

2.2 NAT转换涉及的设备

在本次转换公网地址中使用了迪普的NAT设备，分别对华为ME60、贝尔7750设备进行公网地址转换，共有9台设备。

3 网络整体设计说明

3.1 割接组网（以名嘉花园7750为例）

广东联通中山市分公司改造后网络采用NAT设备集中式部署方案，在城域网出口路由器CR侧旁挂独立NAT设备。城域网宽带接入用户的数据报文经由BRAS、CR、发送至NAT设备，将私网IP地址经NAT转换成公网IP地址后再发送出去，同时NAT设备将session日志，端口分配日志发送至亚信服务器完成溯源。

3.2 网络设计详细说明

➢2台NAT网关与2台CR之间单万兆链路交叉互联，BRAS采用万兆链路分别与2台CR互联保证链路的冗余性。

➢NAT网关、CR、BRAS间启用IGP协议（OSPF），使得BRAS与NAT网关的loopback地址互相可达；同时启用MPLS与LDP，BRAS与NAT网关loopback地址间建立2条LSP等价转发路径。

➢NAT 网关1和NAT网关2分别与BRAS建立MP-BGP VPNv4邻居，并且向BRAS发布缺省路由，下一跳指向自身loopback地址，2台NAT网关发布的默认路由携带不同的RD与BGP 团体属性；NAT网关同时从BRAS学到私网路由。

➢采用路由反射器（RR）在NAT网关与BRAS间进行BGP路由反射，由于2台NAT网关发布的VPNv4默认路由具有不同的RD，可以避免路由合并；由CR暂时兼做RR，待具备条件后再迁移到独立RR。

➢BRAS设备的私网vrf实例从2台NAT网关分别学到默认路由，通过默认路由的bgp团体属性来进行优选，决定NAT主备网关。在网络正常时，BRAS私网流量通过优选默认路由发送到NAT主网关；当NAT主网关发生故障后，原先的优选默认路由消失，流量自动切换到备选NAT网关。通过规划一半BRAS优选NAT1作为主网关，另一半BRAS优选NAT2作为主网关，从而实现整体的流量负载均衡。

➢NAT网关与CR之间的每条物理链路划分2个逻辑接口（VRF:0与CGN），其中VRF:0逻辑接口处于公共区域，负责接收来自BRAS的私网流量（MPLS标签报文），以及负责维持与BRAS的BGP VPNV4路由交互；CGN逻辑接口位于VRF内，负责将源地址转换后的流量发送回CR。

➢私网IP地址的用户报文进入BRAS私网VRF后，默认路由下一跳为NAT网关的loopback地址。首先将报文打上私网标签，然后在全局路由表中查找到达NAT网关loopback地址的路径，在本方案中需经MPLS转发，于是打上公网标签后，沿已建立的LSP转发到NAT网关VRF:0逻辑接口。

➢NAT网关接收到BRAS上送的私网流量后，在VRF中将私网源地址进行NAT转换，转换后的流量通过VRF路由表中的默认路由（下一跳指向CR，出接口为CGN逻辑接口）发回CR路由器，由CR转发至169公网。

➢每台NAT设备的公网地址池通过IBGP路由通告给RR（CR），在CR上由EBGP通告给169骨干邻居。每台NAT网关将分配给自身的公网地址池划为2段（假设为N11、N12两段），N11关联与CR1相连的1个CGN逻辑接口，N12关联与CR2相连的1个CGN逻辑接口。N11、N12两段公网地址池作为2条IBGP路由通告给CR，在CR向公网EBGP邻居通告该2条路由时，根据Community值赋予不同cost路由属性的控制，使得经公网EBGP邻居路由器转发的回程报文满足：目的地址为N11的报文优选到达CR1，目的地址为N12的报文优选到达CR2，从而实现了流量负载均衡并避免了CR间贯穿流量。

➢NAT网关通过NAT Stick保证用户数据包NAT转换后源地址固定，确保网银类业务的正常使用。

➢通过在NAT网关将http业务镜像一份至推送服务器，推送服务器将私网路由指向NAT网关，保证URL推送业务。

➢私网用户DNS业务经过NAT设备不受影响，公网用户DNS服务和BRAS的RADIUS业务通过原有公网路由交互。

4 结论

广东联通中山市分公司对在网的Bras设备实施了公网转私网的改造，目前共成功改造了9台设备，转私网用户4.5万，缓解了广东联通中山市分公司IPV4地址不足的的现状，实施了以上的一系列创新性的优化手段，成功地为中山宽固业务的迅速发展提供了必不可少的技术支撑。

参考文献

[1]孙大跃,王卫亚.计算机网络—原理、应用和实现[M].北京:清华大学出版社,2007.

[2]孔令旺.NAT技术及应用浅析[J].科技咨询,2011,32.

[3]李胜吉,段志勇.浅谈网络入侵检测技术[J].黑龙江科技信息,2011,26.

[4]周国勇.活动主机探测[J].信息网络安全,2009,10.

[5]向春枝.浅谈NAT技术的实现及其优缺点[J].河南广播电视大学学报,2002,4.

刘甫琴，大学本科，毕业于重庆邮电大学，现供职于广东联通中山市分公司网管中心。

作者简介：