ONU NAT设置入门.doc

谈到ONU(Optical Network Unit) 光网络单元,首先我们要介绍一下PON技术，PON技术是从20世纪90年开始发展，ITU（国际电信联盟）从APON（155 M）开始，发展BPON（622 M），以及到GPON（2.5 G）；同时在本世纪初，由于以太网技术的广泛应用， IEEE也在以太网技术上发展了EPON技术。目前用于宽带接入的PON技术主要有EPON和GPON，两者采用不同标准，EPON上下行带宽均为1.25 Gbit/s，GPON下行带宽为2.5 Gbit/s，上行带宽为1.25 Gbit/s。未来的更高带宽，将是EPON/GPON技术上发展的10 G EPON/10 G GPON。PON是一种采用点到多点（P2MP）结构的单纤双向光接入网络。PON系统由局端的光线路终端（OLT）、光分配网络（ODN）和用户侧的光网络单元（ONU）组成，为单纤双向系统。在下行方向（OLT到ONU），OLT发送的信号通过ODN到达各个ONU。在上行方向（ONU到OLT），ONU发送的信号只会到达OLT，而不会到达其他ONU。为了避免数据冲突并提高网络效率，上行方向采用TDMA多址接入方式，并对各ONU的数据发送进行管理。ODN在OLT和ONU间*光通道。PON的参考结构如下图所示。而ONU属于PON技术的终端设备，在PON技术中起到一个很重要的作用，位于ODN和用户设备之间，*用户与ODN之间的光接口和与用户侧的电接口，实现各种电信号的处理与维护管理。当下已有用户端ONU设备，又称光猫，直接安放在用户家中。ONU内部由核心层、业务层和公共层组成，业务层主要指用户端口；核心层*复用、光接口；公共层*供电、维护管理。ONU分为有源光网络单元和无源光网络单元。一般把装有包括光接收机、上行光发射机、多个桥接放大器网络监控的设备叫做光节点。PON使用单光纤连接到OLT，然后OLT连接到ONU。ONU可以接入多种用户终端如机顶盒、无线路由器、电视等，同时具有光电转换功能以及相应的维护和监控功能。下面我们介绍金钱猫ONU的功能分类及使用场景：1、ONU的功能选择接收OLT发送的广播数据；响应OLT发出的测距及功率控制命令；并作相应的调整；对用户的以太网数据进行缓存，并在OLT分配的发送窗口中向上行方向发送；完全符合IEEE 802.3/802.3ah；接收灵敏度高达-25.5dBm；发送功率高达-1至+4dBm；PON使用单光纤连接到OLT，然后OLT连接到ONU。ONU*数据、IPTV（即交互式网络电视），语音（使用IAD，即Integrated Access Device综合接入设备）等业务，真正实现 “triple-play”应用；采用点到多点网络拓扑，有效地收集用户分散的以太网业务并汇聚；在用户侧*标准RJ45快速以太网接口，与现有网络平滑互联；支持IGMP组播，有效利用宽带；*4个10/100M的宽带接入；支持组播VLAN；具备良好的互通性，可以与主流局端厂商OLT设备互通；最大功耗: PC(10.1.1.2)-E0(10.1.1.1)RouterAS0(192.1.1.1)-S1(192.1.1.2)RouterB做网络的单向访问其实实现的是防火墙的基本功能：我是内网，你是外网，我能访问你，但你不能访问我。所以现在假设RouterA的E0口所连网段为内网段，RouterA S0所连的网段为外网段，还假设我想做的是内网的PC机能ping通外网RouterB的S1口，但RouterB却ping不进我的内网。用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分为两个部分，一部分是outbound的配置，一部分是inbound的配置。在继续下面的说明之前，先说点题外话。在最开始想到单向访问问题时，我（也包括其它一些我的同事）自然的就这么想：那我在E0口上允许PC的流量进来，然后再在S0口上禁止RouterB的流量进来不就行了？看上去好像没什么问题，但一试就知道其实是不行的。为什么不行呢，因为很多人都忽略了这么一个问题：即绝大多数的网络流量都是有去有回的，上面的方法只解决了去的问题，但这个流量在到达RouterB后，RouterB还需要返回这个流量给PC，这个返回的流量到了RouterA的S0口，但上面的方法却在S0口上禁止了RouterB的流量进来，回来的流量被挡住了，通讯失败。Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的，inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的PC机。Reflexive ACL中outbound的部分：ip access-list extended outbound_filterpermit icmp any any reflect icmp_trafficpermit ip any any!-注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。 !-基本配置和普通ACL并没有什么太多不同，不同之处是reflect icmp_traffic，它的意思是这条ACE作为单向流量来处理，并且给了一个名称叫icmp_traffic，icmp_traffic在inbound部分被引用。 !-permit ip any any并不是必要的，加在这里是为了另一个测试，下面会说明。 Reflexive ACL中inbound的部分：ip access-list extended inbound_filterevaluate icmp_trafficdeny ip any any log!-inbound的配置有和普通ACL有点不同了，第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用，也就是说，它要检查从外网进来的流量，如果这个流量确实是从内网发起的对外访问的返回流量，那么允许这个流量进来。 !-注意deny ip any any log这句，虽然这句也是不必配的，因为是默认的deny ip any any，但我加了log来对上面outbound部分的permit ip any any进行测试。 Reflexive ACL中应用到接口的部分：interface Serial0ip address 192.1.1.1 255.255.255.0ip access-group inbound_filter inip access-group outbound_filter out!-这里也有一些讲究，ACL outbound_filter被应用到外网口的out方向，ACL inbound_filter被应用到外网口的in方向，in和out不能搞混。 好，现在进行测试，在10.1.1.2上ping 192.1.1.2，通了，RouterB上则ping不通10.1.1.2。 现在还余下一个问题：路由器既然已经deny了外网进来的所有流量，那么它是怎么允许内网出去的返回流量进来呢？ 它是通过创建动态生成的ACL来允许返回流量的，下面看看show access-list的结果：Reflexive IP access list icmp_trafficpermit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)这些动态ACL可通过TCP的FIN/RST包来动态自动消除，对ICMP这样stateless的包来说，是通过内置的timer来消除的，这点可通过上述show access-list结果中的(time left 196)来核实。 最后再说说那另一个测试，也就是两个ACL中加的多余的东西：ip access-list extended outbound_filterpermit ip any any ip access-list extended inbound_filterdeny ip any any log我在10.1.1.2上发起一个到192.1.1.2的TELNET连接，这个流量到了S0口后由ACL outbound_filter中的permit ip any any检测后放行。到了RouterB后，RouterB进行处理然后返回流量，这个流量到了S0口后由inbound_fil