巧用ONT路由功能實現靈活組網的實踐

段曉紅　蘇洪娥

【摘 要】“寬帶中國”戰略實施以來，三大通信運營商在基礎帶寬接入方面取得階段性重大成果，FTTH 的規模化發展使ONT作為 PON 網絡在家庭側的落地點得到普遍應用，成本也得到了顯著降低，這為運營商組建大客戶網絡提供了一個可選方案，對比路由器、交換機等設備，在接入側部署成本低廉ONT實現業務的可管可控，又可快速響應用戶的需求。論文介紹了兩種實際應用場景使用華為HG83xxR系列ONT路由功能進行靈活組網。

【Abstract】Since the implementation of the "broadband China" strategy， three communication operators have achieved significant results based on bandwidth access， the scale development of FTTH ONT network made the ONT been widely used in landing point of family side as PON network， the cost has been significantly reduced， which provides an alternative for operators in the formation of large customers comparison of networks， they can compare the routers and switches， on the access side， they set low cost ONT to realize controllable business， and can respond quickly to the needs of users. This paper introduces two practical application scenarios， using HUAWEI HG83xxR series ONT routing function for flexible networking.

【關鍵詞】ONT ； HGU； DMZ； 協議端口； 端口映射

【Keywords】ONT； HGU； DMZ； protocol port； port mapping

【中圖分類號】TK243.4 【文獻標志碼】A 【文章編號】1673-1069（2017）07-0191-02

1 ONT簡介

華為HG83xxR系列ONT（光貓）可以在寬帶接口PPPoE撥號作為NAT路由器使用，通過對該功能的發掘和靈活運用可以滿足日益多樣的用戶需求，通過少量數據配置，利用現有資源無需額外投資，可以充分發掘光貓性能和PON網絡資源，具有良好的經濟性和易用性。

NAT（Network Address Translation，網絡地址轉換）協議是將IP數據報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問公共網絡的功能。以最為常用的家用路由器為例，路由器通過PPPoE寬帶撥號獲取公網IP地址，并為路由器下用戶分配192.168.1.* 地址，實現寬帶共享。

在正常情況下，NAT協議是禁止廣域網方向的主機直接訪問局域網里的終端的，有時候我們又需要將局域網內的主機開放給廣域網上的主機用于實現雙向通信，好在華為該系列ONT提供了多種延伸協議，用于滿足各種應用場景。

DMZ（Demilitarized Zone）主機，DMZ主機與LAN口、WAN口的通信是經過NAT協議實現的，它將一個私網地址域的協議端口映射到WAN口地址，在應用的角度實現私網IP地址和公網IP地址一一對應。

2 VPN組網案例

2.1 單主機場景

如圖1 所示，某用戶利用我公司城域網組建虛擬專用網絡，用戶局域網通過三層交換機接入，其余用戶使用撥號的方式加入該VPN，現需接入一臺視頻服務器，用戶有根據IP地址訪問特定視頻服務器的需求，在完成營業賬號受理及地址綁定等工作后，使用華為光貓具體實現方法如下：

首先，我們將營業受理的PPPoE撥號賬號密碼配置到光貓的WAN接口中。

然后，我們將服務器IP地址配置為DMZ主機地址。

通過以上兩步配置，使用保留地址的視頻服務器便暴露在VPN網絡外部，實現雙向通信。

DMZ主機實現了單主機所有協議端口的映射，對于多主機場景，需要通過對具體應用的協議端口一一映射來實現。

2.2 多主機場景

DMZ功能可以滿足光貓下單臺服務器提供多種服務的應用場景，實際應用中，更多是同一光貓下會有多臺終端有端到端的業務需求，這樣可以通過更改應用的協議端口號，在光貓內映射內外協議端口來實現。

在這一場景，路由器內部通過NAPT（Network Address Port Translation，網絡地址協議端口轉換，它是NAT協議的一種變形）協議，實現“多對一”地址轉換。 NAPT映射IP地址和協議端口號，將不同內部地址的數據報的源地址映射到同一外部地址，通過內外部協議端口號的轉換，使得多主機及應用能夠共享同一外部地址，也就是“私有地址+協議端口號”（套接字）與“公網IP地址+協議端口號”之間的轉換。

利用光貓上端口映射功能，對端口對應關系進行重新分配和對應可以滿足該需求。如上例，設定光貓獲取到的地址為10.1.1.2，電表A、B、C獲取到的地址分別是10.0.60.18、60.19、60.20，電表提供遠程抄表協議端口號為888，由于三個電表對應不同用戶，IP地址和協議端口號組成的套接字與電表有嚴格的對應關系，就需要在WAN口上對每個電表指定不同的協議端口號。例如，我們為電表A規劃10.1.1.2：10001的外部協議端口，為電表B和C規劃10.1.1.2：10002和10.1.1.2：10003，通過配置路由器實現端口號10001-10003與內部協議端口888的轉換，在服務器側添加電表信息時需添加外部協議端口，這樣在服務器上就可以很好的區分三個不同的電表。

對于電表A，在WAN名稱處選擇上例中配置PPPoE撥號的接口，外部協議端口設備選擇10001，內部主機協議端口選擇888，在最下面的內部主機選擇IP：10.0.60.18，用相同的方法進行電表B以及電表C的端口映射。

根據用戶需求，一般需要將光貓的DHCP功能關閉，只需將“使能DHCP主機服務器”后面取消即可。

3 總結

這樣，在組建撥號VPN時，我們可以通過將PPPoE撥號賬號與用戶IP地址綁定實現對用戶的精準管理，通過管理賬號實現用戶業務開通、關閉、修改等操作，由于該地址既可以作為該光貓WAN口地址，可以作為該光貓的遠程登錄地址，實現遠程數據配置，因此極大地提高了光貓管理的便捷性。通過將應用層的某項具體應用抽象為傳輸層端到端通信的套接字，從而實現了業務復用，提高了現有PON網絡的功能。

【參考文獻】

【1】萬洪丹.吉比特無源光網絡（GPON）和光網絡終端（ONT）關鍵技術研究[D].南京：南京理工大學，2007.

【2】李海華.BGP MPLS VPN數據轉發過程分析[J].計算機技術與發展，2011（06）：4-8.

【3】張震.DMZ與內網安全關聯性分析[A].中國通信學會.中國通信學會第六屆學術年會論文集（中）[C].中國通信學會，2009：5.endprint