基于NAT设备的路由策略调度，实现运营商级互联网网站的信息安全

张晓燕，米尔夏提·买买提肉孜

（中国移动通信集团新疆有限公司，新疆 乌鲁木齐830000）

随着中国互联网的快速发展，互联网上新的应用形式不断涌现，加强互联网管理的任务越来越重，压力也越来越大。按照相关部门要求对于各个地市接入互联网网站通过ⅠCP/ⅠSP管理，覆盖到所有的互联网专线网站。运营商互联网目前分别有集团客户宽带接入业务、家庭宽带接入业务、WLAN接入业务、ⅠDC业务、自有业务接入、虚拟专线业务、CM-ⅠMS业务、ⅠPTV业务八类，上述业务分散全疆各个地州市县，每个地市分公司都有相关业务，数据通信不易于管理，如何实时、精确、方便、经济地实现上述需求，是本项目需要解决的问题。

1 NET与现网融合的技术

创新性地提出在骨干设备旁新增加路由器设备，通过增加的设备进行引流，并通过分析发现利用现有资源来实现流量过滤管理的创新技术。

在南湖和北京路的两台NAT设备（MX960）上分别连接两条10GE链路到华为的核心设备上，两条10GE链路承载不同的流量，上一条链路承载纯ⅠP的流量，添加分光器进行分光，下一条10GE链路承载MPLS的流量。在NAT设备上增加逻辑路由器，一条链路放到VPN实例里面，下面一条链路和PB之间运行LDP路由协议。下行路由宣告：在地市的SR路由器上增加VPN实例，把专线的端口配置到VPN实例里面，把专线的路由往上对NAT设备进行宣告，NAT设备收到地市SR路由器过来的专线路由宣告给RR路由器，RR路由器再把路由宣告给PB。上行缺省路由宣告：在NAT设备上和RR路由器建立BGP路由协议，当NAT设备收到RR过来的BGP 0.0.0.0的缺省路由，VPN实例就把缺省路由宣告给地市SR设备。

2 使用逻辑路由器，隔离原有业务

通过利用Juniper的逻辑路由器功能和NAT功能来实现流量过滤管理，且可以实现新的流量过滤功能与原有的业务。Juniper在1998年开始发布路由器时，相对于别的厂商采用独立的路由器架构，采用了控制平面和转发平面分离的方式；只有把控制平面和转发平面进行分离，才能够把控制平面虚拟成多个平面，转发平面虚拟成多个平面。虚拟化后的路由器具备物理路由器相同的协议功能。Juniper公司的JUNOS软件提供的这个逻辑路由器的特性可以使得一台物理的路由器可以模拟出15台逻辑路由器，加上本身的1个路由器，一共可以在一台物理路由器上模拟出来16个路由器，与传统的虚拟路由器不同，每台逻辑路由器的路由进程都是独立的，这是一个革命性的突破，Juniper路由器也是完全支持传统的虚拟路由器的特性的，从节省网络投资的角度，把一台路由器逻辑划分为多个不同的角色的路由器，可以为用户节省网络投资，提升网路的灵活性。Juniper逻辑路由器如图1所示。

图1 Juniper逻辑路由器

通过逻辑路由器的分隔实现所有互联网网站用户访问数据的监控，且同时不影响现网业务，与原有业务实现业务隔离，而对于此引流很容易实现。

3 MPLS VPN技术引流

在此次网站引流中，数据安全、业务清晰等是很重要的。为了确保数据的安全传送，设备之间的有效互通，项目启用了BGP/MPLS VPN技术，其应用的重点是，在不影响现有新疆移动互联网网站的前提下，采用BGP/MPLS VPN技术来实现互联网网站与普通用户的互通，实现各厂家设备各自封装不影响其他业务。

为了更好地适应多业务混合模式下的组网，AP与AC之间三层互通时，通过MPLS VPN技术建立了一条隧道，同时AC与NAT设备之间，通过互联网，建立另一个MPLS VPN隧道，两条隧道的建立，使用户WLAN业务与其他业务分离开，也使用户的私网ⅠP地址可以承载在互联网上，保证WLAN业务拥有自己的地址空间，保证VPN内地址的唯一性，确保了业务的可实施和安全性。

4 NAT功能实现流量回送

根据地区的通信服务标准要求，统筹考虑的因素相对于其他省更为缜密、高效。WLAN网路部署中在公有地址规划的要求是对于核心路由器旁挂的NAT设备工作于主从备份模式时，配置相同的公有地址池。对于核心路由器旁挂的NAT设备工作于负载分担模式时，配置不同的公有地址池。通过MPLS-VPN实现网站引流后，以下分析新疆互联网网站的访问路由。

4.1 对于出网流量

对于出网流量，核心路由器需要配置策略路由，对于互联网网站源地址需要进行引流的流量，下一跳指向NAT设备，由NAT设备负责完成，由于源地址不需要NAT转换的流量，由核心路由器直接转发。对于NAT转换后的流量，通过动态缺省路由或者静态路由回注到核心路由器。新疆移动网内的普通公网用户访问时，也需经过NAT设备而不能直接进行访问。

4.2 对于入网流量

NAT网关与核心路由器/路由反射器之间可以开启ⅠBGP路由协议，NAT设备通过ⅠBGP协议将公有地址池通告给核心路由器/路由反射器，以使核心路由器可以将回程流量引流到NAT设备。对于NAT转换后的流量，通过动态缺省路由或者静态路由回注到核心路由器。

5 community属性调整负载均衡

为了保障网络的健全性、稳定性和可靠性，确保业务在设备故障时不受影响，我们对原始数据做监控备份，在PB上再增加1条链路到备份NAT上，实现备份保护，这样4台设备之间可以实现互为备份，也实现了流量之间的负载均衡。

具体实现形式为通过在ⅠSP中心侧新增具有NAT功能的引流设备，并于将需要被监控的业务加入同一VPN，通过在引流设备上对VPN实例下发缺省路由，实现所有被监控的业务流量汇聚到引流设备；通过NAT设备本身机制实现VPN和全局路由里面进行互通；通过在主备引流设备在VPN实例中BGP下发多条缺省路由，带不同的Community属性，集客用户接入的SR设备侧对不同的Community属性，设不同的优先级，实现负载分担和容灾；再通过在核心设备至引流量设备的链路上新增分光，复制业务流量至监控设备，以实现对区域内所有相关业务进行管理。

6 结语

新疆省通过新疆移动互联网专线开通的网站约有200家，通过此创新项目已经将全量网站引流至ⅠDC/ⅠSP平台，实现互联网网站的全量覆盖，后期新的网站在开通时即可配置引流，甚至可以将普通互联网专线一并推广使用。使用现有的ⅠDC/ⅠSP平台对互联网网站进行安全防护和测试，测试流量已引入，可以实现管理。