王 晟

（甘肅省圖書(shū)館，甘肅 蘭州，730000）

引言

NAT功能眾所周知，是為了解決IPv4地址不足而產(chǎn)生的地址轉(zhuǎn)換技術(shù)，主要包括靜態(tài)NAT、動(dòng)態(tài)NAT和NAT server技術(shù)。從NAT轉(zhuǎn)換發(fā)生的位置來(lái)說(shuō)，NAT又有入方向和出方向NAT之分。而隨著MPLSVPN技術(shù)的應(yīng)用，在現(xiàn)實(shí)組網(wǎng)中也存在VPN內(nèi)部NAT、不同VPN之間需要通過(guò)NAT互訪(fǎng)等需求，VPN NAT技術(shù)也隨之出現(xiàn)。本文介紹了SR8800設(shè)備N(xiāo)AT處理流程，并對(duì)設(shè)備N(xiāo)AT轉(zhuǎn)換的各個(gè)過(guò)程進(jìn)行詳細(xì)介紹，也指出了設(shè)備自身NAT功能的一些特點(diǎn)。

1 SR8800設(shè)備N(xiāo)AT處理結(jié)構(gòu)分析

各個(gè)設(shè)備對(duì)于NAT功能的實(shí)現(xiàn)因其設(shè)備自身軟硬件情況不同而不同，對(duì)于SR8800系列路由器設(shè)備，第一代業(yè)務(wù)板卡不支持NAT特性，需要單獨(dú)的NAT板卡才能實(shí)現(xiàn)NAT轉(zhuǎn)換，第二代業(yè)務(wù)板卡支持NAT特性，在業(yè)務(wù)板卡上增加多核CPU的方式來(lái)處理NAT轉(zhuǎn)換，但其N(xiāo)AT轉(zhuǎn)換性能遠(yuǎn)不及單獨(dú)NAT板卡處理，仍然建議使用業(yè)務(wù)板卡+NAT板卡的方式進(jìn)行配置。

NAT轉(zhuǎn)換需要高性能處理器的支撐，盒式設(shè)備一般采用CPU處理NAT轉(zhuǎn)換，當(dāng)NAT會(huì)話(huà)新建、并發(fā)數(shù)量很大時(shí)，會(huì)占用大量的CPU資源，對(duì)設(shè)備CPU的性能要求很高?？蚴皆O(shè)備的NAT轉(zhuǎn)換可以采用分布式、集中式，分布式NAT是在業(yè)務(wù)板卡上，增加處理器的方式，每塊業(yè)務(wù)板卡單獨(dú)處理自己的NAT轉(zhuǎn)換，這樣一來(lái)，會(huì)增加每塊板卡的成本，且每塊板卡的處理性能不高，對(duì)于大容量的NAT轉(zhuǎn)換業(yè)務(wù)，很難集中到一塊業(yè)務(wù)板卡上，還會(huì)給網(wǎng)絡(luò)規(guī)劃帶來(lái)難度；SR8800的NAT板卡使用NP高性能處理器集中處理NAT轉(zhuǎn)換，不僅單塊NAT板卡的性能遠(yuǎn)遠(yuǎn)高于分布式NAT，并且支持多塊業(yè)務(wù)板卡負(fù)載分擔(dān)方式來(lái)提高整機(jī)NAT轉(zhuǎn)換性能[1]。

2 SR8800設(shè)備N(xiāo)AT處理流程

SR8800 NAT板卡上無(wú)業(yè)務(wù)口，數(shù)據(jù)流量均由業(yè)務(wù)板卡轉(zhuǎn)發(fā)過(guò)來(lái)，從而在NAT板卡上進(jìn)行對(duì)相應(yīng)數(shù)據(jù)流量的源的IP轉(zhuǎn)換工作。NAT轉(zhuǎn)換后的流量再轉(zhuǎn)發(fā)給相應(yīng)的出口業(yè)務(wù)板卡進(jìn)行轉(zhuǎn)發(fā)?？傮w而言，設(shè)備N(xiāo)AT處理過(guò)程主要包括三部分：流量標(biāo)記過(guò)程、NAT轉(zhuǎn)換過(guò)程、NAT流量轉(zhuǎn)發(fā)過(guò)程，具體流程圖見(jiàn)圖1。

圖1 SR8800設(shè)備N(xiāo)AT處理流程

3 流量標(biāo)記過(guò)程

流量標(biāo)記由業(yè)務(wù)板卡完成，主要是根據(jù)設(shè)備上的配置對(duì)需要進(jìn)行NAT的流量進(jìn)行“NAT標(biāo)記”，然后將所有帶有NAT標(biāo)記的流量均轉(zhuǎn)發(fā)至NAT板卡，而對(duì)于沒(méi)有NAT標(biāo)記的流量則直接正常轉(zhuǎn)發(fā)。對(duì)于哪些流量會(huì)被打上NAT標(biāo)記，設(shè)備依據(jù)如下原則進(jìn)行判斷：

入接口配置了MQC將流量重定向至NAT板，對(duì)于滿(mǎn)足此類(lèi)別的流量進(jìn)行NAT標(biāo)記；在設(shè)置NAT后，設(shè)備會(huì)自動(dòng)生成去往NAT地址池IP的32位路由，對(duì)于匹配此目的IP的流量進(jìn)行NAT標(biāo)記。出接口配置NAT outbound命令且在NAT板卡視圖下綁定了此接口對(duì)于所有從此接口轉(zhuǎn)發(fā)的流量進(jìn)行NAT標(biāo)記[2]。

VPN內(nèi)始發(fā)的私網(wǎng)數(shù)據(jù)和遠(yuǎn)端PE設(shè)備發(fā)送到本設(shè)備私網(wǎng)的MPLS報(bào)文，其流量標(biāo)記判斷原則相同，只是對(duì)于遠(yuǎn)端PE發(fā)送過(guò)來(lái)的MPLS報(bào)文需要在彈出標(biāo)簽再進(jìn)行標(biāo)記判斷處理。

4 NAT轉(zhuǎn)換過(guò)程

流量被轉(zhuǎn)發(fā)至NAT板卡上后，板卡根據(jù)設(shè)備配置所生成的NAT規(guī)則對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)換，此處NAT規(guī)則的設(shè)定決定了設(shè)備進(jìn)行的NAT功能。SR8800設(shè)備較H3C其他路由器存在著自身NAT功能的特點(diǎn)：

（1）能夠?qū)崿F(xiàn)入方向靜態(tài)/動(dòng)態(tài)NAT。

（2）由于利用NAT單板單獨(dú)對(duì)NAT進(jìn)行處理，因而在H3C路由器設(shè)備普遍的出方向NAT基礎(chǔ)之上，SR8800能夠通過(guò)在入方向配置MQC方式進(jìn)行入方向NAT。

（3）能夠基于不同目的地址、出接口或下一跳實(shí)現(xiàn)對(duì)相同源地址的不同NAT映射。

（4）在NAT規(guī)則上，SR8800設(shè)備對(duì)映射表項(xiàng)進(jìn)行細(xì)化轉(zhuǎn)換映射更加靈活。對(duì)于靜態(tài)NAT映射，在實(shí)現(xiàn)了全局靜態(tài)映射的基礎(chǔ)上，SR880還可以根據(jù)目的網(wǎng)段進(jìn)行不同的源地址映射，也可以實(shí)現(xiàn)多出口時(shí)不同源地址的轉(zhuǎn)換，而對(duì)于同一個(gè)以太網(wǎng)出口，還可以精確的根據(jù)不同的下一跳地址進(jìn)行映射。動(dòng)態(tài)NAT也支持將映射關(guān)系與不同的出接口及下一跳地址進(jìn)行關(guān)聯(lián)[3]。

（5）能夠手工配置靜態(tài)NAT的方向。

（6）通過(guò)在配置靜態(tài)NAT映射時(shí)增加unidirectional參數(shù)，可以控制數(shù)據(jù)訪(fǎng)問(wèn)必須由內(nèi)網(wǎng)主機(jī)向外網(wǎng)始發(fā)。而不配置unidirectional參數(shù)時(shí)，數(shù)據(jù)訪(fǎng)問(wèn)可以由內(nèi)網(wǎng)或外網(wǎng)主機(jī)始發(fā)[4]。

（7）當(dāng)設(shè)備上配置的NAT規(guī)則較多時(shí)，設(shè)備按照如下優(yōu)先級(jí)對(duì)報(bào)文進(jìn)行轉(zhuǎn)換：存在靜態(tài)轉(zhuǎn)換和動(dòng)態(tài)轉(zhuǎn)換時(shí)，靜態(tài)優(yōu)先；都是動(dòng)態(tài)轉(zhuǎn)換時(shí)，根據(jù)ACL中源IP的反掩碼決定，精確優(yōu)先；如果動(dòng)態(tài)規(guī)則的反掩碼程度相同，則配置了下一跳和出接口規(guī)則優(yōu)先。

5 NAT流量轉(zhuǎn)發(fā)過(guò)程

對(duì)于源地址變換，業(yè)務(wù)板卡將在做了NAT標(biāo)記的流量轉(zhuǎn)發(fā)至NAT板卡上之前會(huì)查詢(xún)FIB表并將轉(zhuǎn)發(fā)信息上送到NAT板卡，NAT板卡在完成NAT轉(zhuǎn)換過(guò)程后，依據(jù)此轉(zhuǎn)發(fā)信息將NAT后的流量直接轉(zhuǎn)發(fā)至出接口；對(duì)于目的地址變換，NAT板卡在完成NAT轉(zhuǎn)換過(guò)程后，直接在NAT板卡上查找FIB轉(zhuǎn)發(fā)表已將NAT后的流量轉(zhuǎn)發(fā)至出接口；NAT后的流量被轉(zhuǎn)發(fā)到出接口上后，會(huì)按照設(shè)備的出接口轉(zhuǎn)發(fā)處理流程進(jìn)行處理。

總結(jié)

本文就SR8800設(shè)備的NAT處理流程進(jìn)行了說(shuō)明，指出了設(shè)備N(xiāo)AT功能的一些特點(diǎn)，在現(xiàn)實(shí)組網(wǎng)中，將會(huì)有各種復(fù)雜的NAT組合需求出現(xiàn)，通過(guò)對(duì)NAT技術(shù)的理解、對(duì)設(shè)備具體NAT處理流程的掌握，以及對(duì)設(shè)備N(xiāo)AT特點(diǎn)的熟知，可以靈活應(yīng)用以滿(mǎn)足實(shí)際需求。

[1] 宰芹芹.NAT技術(shù)的研究與應(yīng)用[J] .艦船電子工程，2011，（07）.

[2] 賈永德.SIP穿越NAT的技術(shù)研究及實(shí)現(xiàn)[D] .上海交通大學(xué)，2007.

[3] 張永平.VPN網(wǎng)絡(luò)中IPSec穿越NAT的研究[J] .計(jì)算機(jī)應(yīng)用與軟件，2013，（01）.

[4] 徐昊.SIP與 NAT工作沖突模型[J] .科技信息，2014，（36）.