ONUNAT设置入门

谈到ONU (Optical Network Unit) 光网络单元,首先我们要介绍一下PON技术，PON技术是从20世纪90年开始发展，ITU（国际电信联盟）从APON（155 M）开始，发展BPON（622 M），以及到GPON（2.5 G）；同时在本世纪初，由于以太网技术的广泛应用， IEEE也在以太网技术上发展了EPON技术。

目前用于宽带接入的PON技术主要有EPON和GPON，两者采用不同标准，EPON上下行带宽均为1.25 Gbit/s，GPON下行带宽为2.5 Gbit/s，上行带宽为1.25 Gbit/s。

未来的更高带宽，将是EPON/GPON技术上发展的10 G EPON/10 G GPON。

PON是一种采用点到多点（P2MP）结构的单纤双向光接入网络。

PON系统由局端的光线路终端（OLT）、光分配网络（ODN）和用户侧的光网络单元（ONU）组成，为单纤双向系统。

在下行方向（OLT到ONU），OLT发送的信号通过ODN到达各个ONU。

在上行方向（ONU到OLT），ONU发送的信号只会到达OLT，而不会到达其他ONU。

为了避免数据冲突并提高网络效率，上行方向采用TDMA多址接入方式，并对各ONU的数据发送进行管理。

ODN在OLT和ONU间**光通道。

PON的参考结构如下图所示。

而ONU属于PON技术的终端设备，在PON技术中起到一个很重要的作用，位于ODN和用户设备之间，**用户与ODN之间的光接口和与用户侧的电接口，实现各种电信号的处理与维护管理。

当下已有用户端ONU设备，又称光猫，直接安放在用户家中。

ONU部由核心层、业务层和公共层组成，业务层主要指用户端口；核心层**复用、光接口；公共层**供电、维护管理。

ONU分为有源光网络单元和无源光网络单元。

一般把装有包括光接收机、上行光发射机、多个桥接放大器网络监控的设备叫做光节点。

PON使用单光纤连接到OLT，然后OLT连接到ONU。

ONU可以接入多种用户终端如机顶盒、无线路由器、电视等，同时具有光电转换功能以及相应的维护和监控功能。

下面我们介绍金钱猫ONU的功能分类及使用场景：
1、ONU的功能
选择接收OLT发送的广播数据；
响应OLT发出的测距及功率控制命令；并作相应的调整；
对用户的以太网数据进行缓存，并在OLT分配的发送窗口中向上行方向发送；
完全符合IEEE 802.3/802.3ah；
接收灵敏度高达-25.5dBm；
发送功率高达-1至+4dBm；
PON使用单光纤连接到OLT，然后OLT连接到ONU。

ONU**数据、IPTV（即交互式网络电视），语音（使用IAD，即Integrated Access Device综合接入设备）等业务，真正实现“triple-play”应用；
采用点到多点网络拓扑，有效地收集用户分散的以太网业务并汇聚；
在用户侧**标准RJ45快速以太网接口，与现有网络平滑互联；
支持IGMP组播，有效利用宽带；
**4个10/100M的宽带接入；
支持组播VLAN；
具备良好的互通性，可以与主流局端厂商OLT设备互通；
最大功耗: <10W；
2、ONU网络单元分类
有源光网络单元主要应用于三网合一之时，其集成了CATV全频段RF输出、高质量VOIP音频、三层路由模式和无线接入等功能，轻松实现三网融合终端设备接入。

无源光网络单元是GPON（千兆无源光网络）系统的用户侧设备，通过PON（无源光纤网络）用于终结从OLT（光线路终端）传送来的业务。

UTStarcom ONU 1001i 是用于GEPON系统的一种高性价比用户终端设备。

它专为家庭用户和SOHO用户而设计，为用户网关和/或PC**千兆速率的宽带连接。

3、ONU设备类型及使用场景
SFU/ SBU SingleFamilyUnit/ SingleBusinessUnit 单个家庭用户单元/单个商业用户单元：当采用FTTH/FTTO方式建设光接入网时，每个ONU仅接入一个用户。

SFU/SBU一般**142个FE接EI，还可以**1-2个POTS接口来**窄带语音业务。

当为商业客户**服务时，SBU还可以**少量的EI接口。

HGU Home Gateway Unit 家庭网关单元：家庭网关单元型ONU，目前主要用于FTTH场合，具有4个以太网接口、1个WLAN接口和至少一个USB接口；
MDU/ MTU Multi．DwellingUnit/ Multi-TenantUnit 多住户单元/多租户单元：当才采用FTTB/C方式建设光接入网时，每个ONU需接入多个独立用户。

MDU/MTU可**8/16/24个FE 接口，或者**24/48/96个DSL接口，入户线为5类线或双绞线。

为了满足用户对语音业务
的需求，MDU/MTU还可以**POTS接口，按照1:1比例同时**宽带数据业务和窄带语音业务。

此外，为了满足商业客户对TDM业务的需求，有些MDU/MTU还可以**2/4/8个EI接口。

NAT设置入门
一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体
讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连
部网计算机对于公共网络来说是不可见的，而部网计算机用户通常不会意识到NAT的存在。

如图2所示。

这里提到的部地址，是指在部网络中分配给节点的私有IP地址，这个地址只能在部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。

虽然部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。

NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。

而全局地址，是指合法的
个或多个部局部地址，是全球统一的可寻址的地址。

对部网络的屏蔽。

再比如防火墙将WEB Server的部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。

另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。

Windows 98 SE、Windows 2000 都包含了这一功能。

NAT技术类型
转换NAPT（Port－Level NAT）。

其中静态NAT设置起来最为简单和最容易实现的一种，部网络中的每个主机都被永久
地址的不同端口上。

根据不同的需要，三种NAT方案各有利弊。

主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。

当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

同时在该地址上加上一个由NAT设备选定的TCP端口号。

接入Internet。

实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。

这样，ISP 甚至不需要支持NAPT，就可以做到多个部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。

NAT有四种类型：
1.静态NAT（StaticNAT）。

静态NAT设置起来最为简单，部网络中的每个主机都被永久映射成外部网络中的某个合法地址，这类NAT在很多部火墙规划中均有应用。

2.NAT池（PooledNAT，也称动态NAT），所谓动态NAT，即NAT后的地址不是固定的，是从一个IP池中动态分配取出的。

3.复用转换（OverloadingNAT，也称PAT）。

PAT是大家接触最多的NAT应用了。

在动态转换中，每个合法的IP地址只能在转换表中使用一次，在部网络主机访问外部需求增多的情况下，合法地址列表中的IP地址很快就会不够用，这时可以利用上层协议标识，例如利用传输层TCP/UDP的端口号字段来协助建立NAT转换表项。

4.重叠转换（OverlappingNAT）。

部网使用的地址跟外部网重叠，这时需要把跟外部重叠的IP地址进行变换，这种转换一般应用在转换两端的私有网络地址相同的情况下。

今天笔者以一个企业的网络项目为例，带领大家进入企业网络管理的世界。

在这个项目里，有绝大部分读者都耳熟能详的网络技术名词——NAT（网络地址转换）。

那么NAT究竟有什么作用，在企业级应用中能实现怎样的功能呢？
图1：NAT服务的常见模式。

没错，这的确是NAT技术在企业中较为常见的应用之一，我们称其为PAT。

在小型SOHO 公司里，PAT的应用十分广泛，但NAT的应用绝不仅限于此，特别是在型企业的网络规划中，NAT的合理设计常常可以解决很多不必要的麻烦。

下面我们来接触一个在企业应用中具有代表性的案例。

这个案例中NAT起到了十分关键的作用。

典型案例分析
企业A因业务需要和企业B拉设市区SDH专线，以便访问企业B后端的服务器C，而企业A的总公司D（企业A和总公司D通过SDH专线进行跨省网络连接，这也是目前绝大部分全国性企事业单位的网络连接方式）的后台服务器也要和服务器C进行数据校验确认，企业A和企业B按照各自的安全等级保护标准，都对SDH两端设置了比较严密的安全措施，均不想让对方了解自己公司部的拓扑和IP地址。

企业B提供了一个已经经过源地址NAT后的IP
地址（196.1.1.10）供企业A远程调用，企业A和B网络连接如图
图2
看上去这样的需求似乎很简单，企业A的信息技术人员在本方路由器上进行路由的设定，将去往196.1.1.10的数据包甩给下一跳网关10.1.1.2，总公司端也设置了到196.1.1.10的路由条目以供数据校验，测试数据一切正常。

在正常使用了一段时间以后，企业B的信息技术人员发现还有其它合作企业采用了和企业A一样的网IP段，这样他们在写回程路由时就无法指定下一条。

比如企业E也有和企业A一样的网架构和IP地址规划，而且也是采用同样的网络接口配置和企业B互联，就会出现这种情况：有一个源地址同为9.9.12.10的数据包分别从企业A和企业E送往服务器C，而企业B在往回送数据包的时候不知道该把这个包回给企业A还是E。

为了解决这个问题，企业B给与其有SDH专线业务的单位A和E（也许更多）发了一个通知，声明他们只会把数据包扔给SDH专线互联的另一端，即接口地址（以企业A为例，即是图3中的10.1.1.1），要求对方自行进行NAT设置。

图3注：为了讲解方便，拓扑中略去了一些网络设备（如防火墙，IDS，交换机等）。

于是企业A的信息技术人员在本端路由器的S2/0口上进行了如下设置（CLI命令行以H3C的设备为例，仅供参考），
interfaceSerial2/0
link-protocolppp
fe1unframed
ipaddress10.1.1.1255.255.255.252
natoutbound2000
在S2/0接口上设定了一个ACL列表，ACL列表的号为2000，要将这个ACL列表中的所有地址进行NAT转换（ACL列表的配置略去，ACL列表中即为所有需要访问对方的源IP地址），应用在此接口的意思就是NAT后的源地址为此接口地址，这样就符合企业B提出的要求了。

稳定运行了一段时间以后，企业A又接到总公司信息技术部领导的，说是最近要调整全网的IP地址，对那些不规的地址进行整理。

询问原因，得知是因为其它省公司和外联单位也拉有多条专线，其中有一部分专线上的应用也需要总公司后台服务器去访问对端路由器后的服务器（即情况与A公司相同），而各外联单位的服务器对外映射地址存在冲突现象，导
致总公司端在写广域网段回程路由时出现问题。

考虑到全网网络架构的可控性，总公司提出让各分公司整理部需要总公司参与访问的路由，将相关地址全部NAT为本地网地址，这样总公司只需要访问到已经规划好的各省分公司网地址段即可，不会存在地址冲突问题，而且整个网络也变得更加可控。

企业A按照总公司的指示，进行了针对性调整。

调整的思路是将企业B提供的NAT后地址196.1.1.10在本地防火墙（或者是路由器的网口E0/0上）上进行一次目标地址转换。

即将原本访问196.1.1.10的需求变成访问本地网地址的需求，同时在网的核心交换机上添加一条路由，具体操作如下（以在路由器网口E0/0上配置为例，防火墙同理）。

interfaceEthernet0/0
descriptiontocoreswitch
ipaddress9.9.9.9255.255.255.252
natoutboundstatic
这里添加了一条方向向外（也即指向本地网）的静态NAT，相应的NAT语句为：
natstaticinsideip196.1.1.10globalip9.9.20.5
这其中196.1.1.10是企业B提供的NAT后地址，9.9.20.5为企业A的网IP地址规划段中的一个地址，与之相对应的是要在核心交换机上将静态路由也作针对性调整。

这里要提醒大家注意一点，这里的globalip地址不要属于在核心交换上已经规划的VLAN。

配置调整完以后，测试整个网络的数据，一切正常。

最新的数据包流程变为，企业A网中的笔记本电脑访问9.9.20.5，在到达本端SDH路由器网口时进行NAT转换将目标地址转换为196.1.1.10，然后在S2/0口上又进行了一次源地址的NAT转换，将客户机本身的源地址转换成S2/0的接口地址（也即满足企业B的网络要求）——10.1.1.1。

到此为止，总公司和企业B的需求都得到了实现。

由此案例可以看出，如果不采用合理的NAT技术应用，总公司和企业B的需很难得到同时满足的。

这其实就是大家在书本上常常看到的双向NAT转换的一个应用实例。

在企业中，这种纯静态的NAT应用比例要远远大于动态NAT（有一个IP池供地址调用）和PAT。

负载平衡是NAT技术的另一要点
下面再给大家简要介绍一下NAT技术的另外一项应用——负载均衡。

如果不考虑在数据中心应用最多的F5类专用负载均衡设备，大家可能对于负载均衡的了解更多是集中在DNS 技术上。

DNS的负载均衡技术主要采用的是轮询算法（roundrobin），但DNS负载技术有一个问题较难解决：就是客户端会在本地缓冲DNSIP地址解析，从而使它后续的申请都会到达同一个IP地址，这本身是一项加速技术，但在这里实际上却削弱了DNS负载均衡技术的作用。

而NAT负载均衡技术则解决了这个问题，路由器或其它NAT设备把需要负载平衡的多个IP地址翻译成一个公用的IP地址。

（如图5所示）
假设我们有一台配备一个串行接口和一个Ethernet接口的路由器，Ethernet口连接到部网络，部网络上有三台运行同样WEB服务的WEB服务器，IP地址分别为2.2.2.1、2.2.2.2和2.2.2.3，而2.2.2.10则是路由器口地址（Ethernet接口），路由器外口（串行接口）地址是互联网IP地址，也即需要进行NAT负载均衡地址，为了处理好来自Internet上大量的WEB连接请求，因此需要在此路由器上进行NAT负载均衡配置，把发送到WEB服务器合法InternetIP地址的报文转换成这三台服务器的部本地地址。

假定该路由器外口地址为219.142.5.5，那么每个访问219.142.5.5的TCP连接都会按照规则分发到每一台后端真实WEB服务器上，从而真正实现负载平衡。

下面以图5为例简单介绍一下路由器NAT负载均衡的配置过程如下：
第一步：在路由器接口上进行NAT定义。

interfaceEthernet0/0
ipaddress2.2.2.10255.255.255.240
ipnatinside
!
interfaceSerial0/0
ipaddress219.142.5.5255.255.255.248
ipnatoutside
第二步：定义一个标准访问列表（standardaccesslist），用来标识要转换的合法IP 地址。

ipaccess-list1permit219.142.5.5
第三步：定义NAT地址池来标识部WEB服务器的IP地址，后面的参数要使用rotary，表明我们要使用轮循（RoundRobin）的方式从NAT地址池中取出相应IP地址来转换合法IP 报文。

ipnatpoolwebsvr2.2.2.12.2.2.3netmask255.255.255.248typerotary
第四步：把目标地址为访问表中IP的报文转换成地址池中定义的IP地址。

ipnatinsidedestinationlist1poolwebsvr
到此为止，NAT负载均衡的设置结束，是不是很简单
【编辑推荐】
1.实例解析动态NAT配置
2.实例讲解静态NAT配置
3.浅析路由器NAT概念
4.NAT(网络地址转换)是如何工作的？
用访问控制列表实现网络单向访问
2006-03-30 11:44 互联网字号：T | T
做网络的单向访问其实实现的是防火墙的基本功能：我是网，你是外网，我能访问你，但你不能访问我。

AD：51CTO 网+首届APP创新评选大赛火热启动——超百万资源等你拿！
简易拓扑图（所有子网掩码均为255.255.255.0）：
rder=1> PC(10.1.1.2)---E0(10.1.1.1)[RouterA]S0(192.1.1.1)---S1(192.1.1.2)[Rout erB]
做网络的单向访问其实实现的是防火墙的基本功能：我是网，你是外网，我能访问你，但你不能访问我。

所以现在假设RouterA的E0口所连网段为网段，RouterA S0所连的网段为外网段，还假设我想做的是网的PC机能ping通外网RouterB的S1口，但RouterB却ping不进我的网。

用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫Reflexive ACL。

Reflexive ACL的配置分为两个部分，一部分是outbound的配置，一部分是inbound的配置。

在继续下面的说明之前，先说点题外话。

在最开始想到单向访问问题时，我（也包括其它一些我的同事）自然的就这么想：那我在E0口上允许PC的流量进来，然后再在S0口上禁止RouterB的流量进来不就行了？看上去好像没什么问题，但一试就知道其实是不行的。

为什么不行呢，因为很多人都忽略了这么一个问题：即绝大多数的网络流量都是有去有回的，上面的方法只解决了去的问题，但这个流量在到达RouterB后，RouterB还需要返回这个流量给PC，这个返回的流量到了RouterA的S0口，但上面的方法却在S0口上禁止了RouterB 的流量进来，回来的流量被挡住了，通讯失败。

Reflexive ACL中outbound的部分决定了我出去的哪些网网络流量是需要被单向访问的，inbound部分决定了这些流量在返回后能被正确的识别并送给网发起连接的PC机。

Reflexive ACL中outbound的部分：
ip access-list extended outbound_filter
permit icmp any any reflect icmp_traffic
permit ip any any
!---注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。

!---基本配置和普通ACL并没有什么太多不同，不同之处是reflect icmp_traffic，它的意思是这条ACE作为单向流量来处理，并且给了一个名称叫icmp_traffic，icmp_traffic在inbound部分被引用。

!---permit ip any any并不是必要的，加在这里是为了另一个测试，下面会说明。

Reflexive ACL中inbound的部分：
ip access-list extended inbound_filter
evaluate icmp_traffic
deny ip any any log
!---inbound的配置有和普通ACL有点不同了，第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用，也就是说，它要检查从外网进来的流量，如
果这个流量确实是从网发起的对外访问的返回流量，那么允许这个流量进来。

!---注意deny ip any any log这句，虽然这句也是不必配的，因为是默认的deny ip any any，但我加了log来对上面outbound部分的permit ip any any进行测试。

Reflexive ACL中应用到接口的部分：
interface Serial0
ip address 192.1.1.1 255.255.255.0
ip access-group inbound_filter in
ip access-group outbound_filter out
!---这里也有一些讲究，ACL outbound_filter被应用到外网口的out方向，ACL
inbound_filter被应用到外网口的in方向，in和out不能搞混。

好，现在进行测试，在10.1.1.2上ping 192.1.1.2，通了，RouterB上则ping不通10.1.1.2。

现在还余下一个问题：路由器既然已经deny了外网进来的所有流量，那么它是怎么允许网出去的返回流量进来呢？它是通过创建动态生成的ACL来允许返回流量的，下面看看show access-list
的结果：
……
Reflexive IP access list icmp_traffic
permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……
这些动态ACL可通过TCP的FIN/RST包来动态自动消除，对ICMP这样stateless的包来说，是通过置的timer来消除的，这点可通过上述show access-list结果中的(time left 196)来核实。

最后再说说那另一个测试，也就是两个ACL中加的多余的东西：
ip access-list extended outbound_filter
permit ip any any ip access-list extended inbound_filter
deny ip any any log
我在10.1.1.2上发起一个到192.1.1.2的TELNET连接，这个流量到了S0口后由ACL outbound_filter中的permit ip any any检测后放行。

到了RouterB后，RouterB进行处理然后返回流量，这个流量到了S0口后由inbound_filter检测，因为evaluate
icmp_traffic中并没有包含对TCP类型流量的检测，这个包由deny ip any any log一句处理后丢弃并生成日志：
00:24:28: %SEC-6-IPACCESSLOGP: list inbound_filter denied tcp 192.1.1.2(23) -> 10.1.1.2(1483), 1 packet。