案例介绍——某运营商NAT444项目

  一、项目背景与NAT444特性介绍

  1、XXX运营商业务一采用给用户分配公网地址的方式上互联网,针对公网业务,由于IPv4地址紧缺,在IPv6正式商用前,需要充分利用现有公网地址资源,研究业务一采用IPv4私网地址转公网地址的方案。

  2、NAT444由于在运营商侧引入NAT,给用户分配的是私网地址,所以可能会出现多个用户对应一个公网地址访问业务的情况,最后要能根据公网地址查询到用户(私网)地址。

  3、针对上述用户溯源的问题,XXX运营商提出通过端口块(端口范围)分配方式解决溯源问题。如下图所示:不同的用户(10.1.1.1和10.1.1.2)采用相同的NAT地址,但是不同的端口范围访问业务。

  

图片46.png


  二、方案简介

  2.1拓扑图与物理连接

  

图片47.png


  本项目采购2台S9512E、16块FW二代板卡。如上图所示,两台S9512E通过两块万兆接口卡的万兆端口进行互联(跨板互联),配置IRF2堆叠,逻辑上虚拟成一台防火墙机框。S9512E旁挂CE设备,两台防火墙机框的2个万兆板卡的2个端口分别上联至两台不同的CE设备(跨板互联)。

  2.2设计要点

  

图片48.png


  两个防火墙机框S9512E进行堆叠(IRF2)虚拟化成一台,在这个虚拟设备上配置3个VRF,分别为Internet的VRF PI0、CN2的VRF PI1和内网的VRF PI3。

  16块防火墙插卡两两一组,分为8组,每台S9512E上的8块防火墙板卡分别四主四备以保证链路带宽的充分利用(通过VRRP协议实现)。

  流量从CE送到防火墙机框S9512E上后,在S9512E上通过基于源地址的策略路由将流量分担到8组防火墙板卡上(下一跳为每组FW板卡的VRRP虚地址),防火墙根据访问目的地址的不同,将访问Internet的流量送到防火墙插卡对应S9512E的VRF PI0的接口上;将访问CN2的流量送到防火墙插卡对应S9512E的VRF PI1的接口上。16块防火墙上根据策略路由的对应关系配置到达内网网段的路由即可。

  S9512E机框上,对VRF PI0配置一条缺省路由,指向CE的PI0互联IP,将访问Internet流量送到CE上;对于VRF PI1配置明细路由,指向CE的PI1互联IP;对于VRF PI3,配置明细路由,指向CE的PI3互联IP。回程路由,针对每个防火墙公网地址池的不同配置相应的路由。

  2.3 NAT 444地址转换规划

  此项目的核心是NAT444应用,地址转化规划尤为重要。规划的基本思路是将用户的私网地址段平均分成8段,再根据用户指定的块大小计算出每个私网段需要的公网IP地址数量,从用户指定的公网IP地址段中进行划分。端口范围一般使用1024-65535。

  每个私网段需要的公网IP地址数量计算公式:

  公网IP地址数=私网IP地址数*块大小/[65535-1024]

  三、建设成果与溯源查询

  此项目建成后达到了节省公网地址和溯源查询的建设目标。结合XXX运营商的查询系统,可以根据转换后的公网地址和端口段查到对应的私网地址(用户IP),如下图所示:

  

图片49.png


2016年01月