基于NAT設備的路由策略調度，實現運營商級互聯網網站的信息安全

張曉燕，米爾夏提·買買提肉孜

（中國移動通信集團新疆有限公司，新疆 烏魯木齊830000）

隨著中國互聯網的快速發展，互聯網上新的應用形式不斷涌現，加強互聯網管理的任務越來越重，壓力也越來越大。按照相關部門要求對于各個地市接入互聯網網站通過ⅠCP/ⅠSP管理，覆蓋到所有的互聯網專線網站。運營商互聯網目前分別有集團客戶寬帶接入業務、家庭寬帶接入業務、WLAN接入業務、ⅠDC業務、自有業務接入、虛擬專線業務、CM-ⅠMS業務、ⅠPTV業務八類，上述業務分散全疆各個地州市縣，每個地市分公司都有相關業務，數據通信不易于管理，如何實時、精確、方便、經濟地實現上述需求，是本項目需要解決的問題。

1 NET與現網融合的技術

創新性地提出在骨干設備旁新增加路由器設備，通過增加的設備進行引流，并通過分析發現利用現有資源來實現流量過濾管理的創新技術。

在南湖和北京路的兩臺NAT設備（MX960）上分別連接兩條10GE鏈路到華為的核心設備上，兩條10GE鏈路承載不同的流量，上一條鏈路承載純ⅠP的流量，添加分光器進行分光，下一條10GE鏈路承載MPLS的流量。在NAT設備上增加邏輯路由器，一條鏈路放到VPN實例里面，下面一條鏈路和PB之間運行LDP路由協議。下行路由宣告：在地市的SR路由器上增加VPN實例，把專線的端口配置到VPN實例里面，把專線的路由往上對NAT設備進行宣告，NAT設備收到地市SR路由器過來的專線路由宣告給RR路由器，RR路由器再把路由宣告給PB。上行缺省路由宣告：在NAT設備上和RR路由器建立BGP路由協議，當NAT設備收到RR過來的BGP 0.0.0.0的缺省路由，VPN實例就把缺省路由宣告給地市SR設備。

2 使用邏輯路由器，隔離原有業務

通過利用Juniper的邏輯路由器功能和NAT功能來實現流量過濾管理，且可以實現新的流量過濾功能與原有的業務。Juniper在1998年開始發布路由器時，相對于別的廠商采用獨立的路由器架構，采用了控制平面和轉發平面分離的方式；只有把控制平面和轉發平面進行分離，才能夠把控制平面虛擬成多個平面，轉發平面虛擬成多個平面。虛擬化后的路由器具備物理路由器相同的協議功能。Juniper公司的JUNOS軟件提供的這個邏輯路由器的特性可以使得一臺物理的路由器可以模擬出15臺邏輯路由器，加上本身的1個路由器，一共可以在一臺物理路由器上模擬出來16個路由器，與傳統的虛擬路由器不同，每臺邏輯路由器的路由進程都是獨立的，這是一個革命性的突破，Juniper路由器也是完全支持傳統的虛擬路由器的特性的，從節省網絡投資的角度，把一臺路由器邏輯劃分為多個不同的角色的路由器，可以為用戶節省網絡投資，提升網路的靈活性。Juniper邏輯路由器如圖1所示。

圖1 Juniper邏輯路由器

通過邏輯路由器的分隔實現所有互聯網網站用戶訪問數據的監控，且同時不影響現網業務，與原有業務實現業務隔離，而對于此引流很容易實現。

3 MPLS VPN技術引流

在此次網站引流中，數據安全、業務清晰等是很重要的。為了確保數據的安全傳送，設備之間的有效互通，項目啟用了BGP/MPLS VPN技術，其應用的重點是，在不影響現有新疆移動互聯網網站的前提下，采用BGP/MPLS VPN技術來實現互聯網網站與普通用戶的互通，實現各廠家設備各自封裝不影響其他業務。

為了更好地適應多業務混合模式下的組網，AP與AC之間三層互通時，通過MPLS VPN技術建立了一條隧道，同時AC與NAT設備之間，通過互聯網，建立另一個MPLS VPN隧道，兩條隧道的建立，使用戶WLAN業務與其他業務分離開，也使用戶的私網ⅠP地址可以承載在互聯網上，保證WLAN業務擁有自己的地址空間，保證VPN內地址的唯一性，確保了業務的可實施和安全性。

4 NAT功能實現流量回送

根據地區的通信服務標準要求，統籌考慮的因素相對于其他省更為縝密、高效。WLAN網路部署中在公有地址規劃的要求是對于核心路由器旁掛的NAT設備工作于主從備份模式時，配置相同的公有地址池。對于核心路由器旁掛的NAT設備工作于負載分擔模式時，配置不同的公有地址池。通過MPLS-VPN實現網站引流后，以下分析新疆互聯網網站的訪問路由。

4.1 對于出網流量

對于出網流量，核心路由器需要配置策略路由，對于互聯網網站源地址需要進行引流的流量，下一跳指向NAT設備，由NAT設備負責完成，由于源地址不需要NAT轉換的流量，由核心路由器直接轉發。對于NAT轉換后的流量，通過動態缺省路由或者靜態路由回注到核心路由器。新疆移動網內的普通公網用戶訪問時，也需經過NAT設備而不能直接進行訪問。

4.2 對于入網流量

NAT網關與核心路由器/路由反射器之間可以開啟ⅠBGP路由協議，NAT設備通過ⅠBGP協議將公有地址池通告給核心路由器/路由反射器，以使核心路由器可以將回程流量引流到NAT設備。對于NAT轉換后的流量，通過動態缺省路由或者靜態路由回注到核心路由器。

5 community屬性調整負載均衡

為了保障網絡的健全性、穩定性和可靠性，確保業務在設備故障時不受影響，我們對原始數據做監控備份，在PB上再增加1條鏈路到備份NAT上，實現備份保護，這樣4臺設備之間可以實現互為備份，也實現了流量之間的負載均衡。

具體實現形式為通過在ⅠSP中心側新增具有NAT功能的引流設備，并于將需要被監控的業務加入同一VPN，通過在引流設備上對VPN實例下發缺省路由，實現所有被監控的業務流量匯聚到引流設備；通過NAT設備本身機制實現VPN和全局路由里面進行互通；通過在主備引流設備在VPN實例中BGP下發多條缺省路由，帶不同的Community屬性，集客用戶接入的SR設備側對不同的Community屬性，設不同的優先級，實現負載分擔和容災；再通過在核心設備至引流量設備的鏈路上新增分光，復制業務流量至監控設備，以實現對區域內所有相關業務進行管理。

6 結語

新疆省通過新疆移動互聯網專線開通的網站約有200家，通過此創新項目已經將全量網站引流至ⅠDC/ⅠSP平臺，實現互聯網網站的全量覆蓋，后期新的網站在開通時即可配置引流，甚至可以將普通互聯網專線一并推廣使用。使用現有的ⅠDC/ⅠSP平臺對互聯網網站進行安全防護和測試，測試流量已引入，可以實現管理。