案例介绍——某运营商NAT444项目

　　一、项目背景与NAT444特性介绍

　　1、XXX运营商业务一采用给用户分配公网地址的方式上互联网，针对公网业务，由于IPv4地址紧缺，在IPv6正式商用前，需要充分利用现有公网地址资源，研究业务一采用IPv4私网地址转公网地址的方案。

　　2、NAT444由于在运营商侧引入NAT，给用户分配的是私网地址，所以可能会出现多个用户对应一个公网地址访问业务的情况，最后要能根据公网地址查询到用户(私网)地址。

　　3、针对上述用户溯源的问题，XXX运营商提出通过端口块(端口范围)分配方式解决溯源问题。如下图所示：不同的用户(10.1.1.1和10.1.1.2)采用相同的NAT地址，但是不同的端口范围访问业务。

　　二、方案简介

　　2.1拓扑图与物理连接

　　本项目采购2台S9512E、16块FW二代板卡。如上图所示，两台S9512E通过两块万兆接口卡的万兆端口进行互联(跨板互联)，配置IRF2堆叠，逻辑上虚拟成一台防火墙机框。S9512E旁挂CE设备，两台防火墙机框的2个万兆板卡的2个端口分别上联至两台不同的CE设备(跨板互联)。

　　2.2设计要点

　　两个防火墙机框S9512E进行堆叠(IRF2)虚拟化成一台，在这个虚拟设备上配置3个VRF，分别为Internet的VRF PI0、CN2的VRF PI1和内网的VRF PI3。

　　16块防火墙插卡两两一组，分为8组，每台S9512E上的8块防火墙板卡分别四主四备以保证链路带宽的充分利用(通过VRRP协议实现)。

　　流量从CE送到防火墙机框S9512E上后，在S9512E上通过基于源地址的策略路由将流量分担到8组防火墙板卡上(下一跳为每组FW板卡的VRRP虚地址)，防火墙根据访问目的地址的不同，将访问Internet的流量送到防火墙插卡对应S9512E的VRF PI0的接口上;将访问CN2的流量送到防火墙插卡对应S9512E的VRF PI1的接口上。16块防火墙上根据策略路由的对应关系配置到达内网网段的路由即可。

　　S9512E机框上，对VRF PI0配置一条缺省路由，指向CE的PI0互联IP，将访问Internet流量送到CE上;对于VRF PI1配置明细路由，指向CE的PI1互联IP;对于VRF PI3，配置明细路由，指向CE的PI3互联IP。回程路由，针对每个防火墙公网地址池的不同配置相应的路由。

　　2.3 NAT 444地址转换规划

　　此项目的核心是NAT444应用，地址转化规划尤为重要。规划的基本思路是将用户的私网地址段平均分成8段，再根据用户指定的块大小计算出每个私网段需要的公网IP地址数量，从用户指定的公网IP地址段中进行划分。端口范围一般使用1024-65535。

　　每个私网段需要的公网IP地址数量计算公式：

　　公网IP地址数=私网IP地址数*块大小/[65535-1024]

　　三、建设成果与溯源查询

　　此项目建成后达到了节省公网地址和溯源查询的建设目标。结合XXX运营商的查询系统，可以根据转换后的公网地址和端口段查到对应的私网地址(用户IP)，如下图所示：

2016年01月