ONUNAT设置入门

1、谈到ONU (Optical Network Unit) 光网络单元,首先我们要介绍一下PON技术，PON技术是从20世纪90年开始发展，ITU（国际电信联盟）从APON（155 M）开始，发展BPON（622 M），以及到GPON（2.5 G）；同时在本世纪初，由于以太网技术的广泛应用， IEEE也在以太网技术上发展了EPON技术。目前用于宽带接入的PON技术主要有EPON和GPON，两者采用不同标准，EPON上下行带宽均为1.25 Gbit/s，GPON下行带宽为2.5 Gbit/s，上行带宽为1.25 Gbit/s。未来的更高带宽，将是EPON/GPON技术上发展的10 G E

2、PON/10 G GPON。PON是一种采用点到多点（P2MP）结构的单纤双向光接入网络。PON系统由局端的光线路终端（OLT）、光分配网络（ODN）和用户侧的光网络单元（ONU）组成，为单纤双向系统。在下行方向（OLT到ONU），OLT发送的信号通过ODN到达各个ONU。在上行方向（ONU到OLT），ONU发送的信号只会到达OLT，而不会到达其他ONU。为了避免数据冲突并提高网络效率，上行方向采用TDMA多址接入方式，并对各ONU的数据发送进行管理。ODN在OLT和ONU间*光通道。PON的参考结构如下图所示。而ONU属于PON技术的终端设备，在PON技术中起到一个很重要的作用，位于ODN和

3、用户设备之间，*用户与ODN之间的光接口和与用户侧的电接口，实现各种电信号的处理与维护管理。当下已有用户端ONU设备，又称光猫，直接安放在用户家中。ONU内部由核心层、业务层和公共层组成，业务层主要指用户端口；核心层*复用、光接口；公共层*供电、维护管理。ONU分为有源光网络单元和无源光网络单元。一般把装有包括光接收机、上行光发射机、多个桥接放大器网络监控的设备叫做光节点。PON使用单光纤连接到OLT，然后OLT连接到ONU。ONU可以接入多种用户终端如机顶盒、无线路由器、电视等，同时具有光电转换功能以及相应的维护和监控功能。下面我们介绍金钱猫ONU的功能分类及使用场景：1、ONU的功能选择接

4、收OLT发送的广播数据；响应OLT发出的测距及功率控制命令；并作相应的调整；对用户的以太网数据进行缓存，并在OLT分配的发送窗口中向上行方向发送；完全符合IEEE 802.3/802.3ah；接收灵敏度高达-25.5dBm；发送功率高达-1至+4dBm；PON使用单光纤连接到OLT，然后OLT连接到ONU。ONU*数据、IPTV（即交互式网络电视），语音（使用IAD，即Integrated Access Device综合接入设备）等业务，真正实现 “triple-play”应用；采用点到多点网络拓扑，有效地收集用户分散的以太网业务并汇聚；在用户侧*标准RJ45快速以太网接口，与现有网络平滑互联

5、；支持IGMP组播，有效利用宽带；*4个10/100M的宽带接入；支持组播VLAN；具备良好的互通性，可以与主流局端厂商OLT设备互通；最大功耗: <10W；                    2、ONU网络单元分类有源光网络单元主要应用于三网合一之时，其集成了CATV全频段RF输出、高质量VOIP音频、三层路由模式和无线接入等功能，轻松实现三网融合终端设备接入。无源光网络单元是GPON

6、（千兆无源光网络）系统的用户侧设备，通过PON（无源光纤网络）用于终结从OLT（光线路终端）传送来的业务。UTStarcom ONU 1001i 是用于GEPON系统的一种高性价比用户终端设备。它专为家庭用户和SOHO用户而设计，为用户网关和/或PC*千兆速率的宽带连接。3、ONU设备类型及使用场景SFU/ SBU   SingleFamilyUnit/ SingleBusinessUnit 单个家庭用户单元/单个商业用户单元：当采用FTTH/FTTO方式建设光接入网时，每个ONU仅接入一个用户。SFU/SBU一般*142个FE接EI，还可以*1-2个POTS接口来*窄带语

7、音业务。当为商业客户*服务时，SBU还可以*少量的EI接口。HGU  Home Gateway Unit 家庭网关单元：家庭网关单元型ONU，目前主要用于FTTH场合，具有4个以太网接口、1个WLAN接口和至少一个USB接口；MDU/ MTU  MultiDwellingUnit/ Multi-TenantUnit 多住户单元/多租户单元：当才采用FTTB/C方式建设光接入网时，每个ONU需接入多个独立用户。MDU/MTU可*8/16/24个FE接口，或者*24/48/96个DSL接口，入户线为5类线或双绞线。为了满足用户对语音业务的需求，MDU/MTU还可以*POTS接口

8、，按照1:1比例同时*宽带数据业务和窄带语音业务。此外，为了满足商业客户对TDM业务的需求，有些MDU/MTU还可以*2/4/8个EI接口。NAT设置入门NAT:英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。    

9、; 简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个

10、地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。     NAT功能通常被集成到路由器

11、、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。     NAT技术类型     NAT

12、有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（PortLevel NAT）。     其中静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。      动态地址NAT只是转换IP地址，它为每

13、一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。      网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT

14、设备选定的TCP端口号。      在Internet中使用NAPT时，所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持NAPT，就可以做到多个内部IP地址共用一个外部IP地址上Internet，虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用NAPT还是很值得的。NAT有四种类型：1.静态NAT（StaticNAT）。静

15、态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法地址，这类NAT在很多内部火墙规划中均有应用。2.NAT池（PooledNAT，也称动态NAT），所谓动态NAT，即NAT后的地址不是固定的，是从一个IP池中动态分配取出的。3.复用转换（OverloadingNAT，也称PAT）。PAT是大家接触最多的NAT应用了。在动态转换中，每个合法的IP地址只能在转换表中使用一次，在内部网络主机访问外部需求增多的情况下，合法地址列表中的IP地址很快就会不够用，这时可以利用上层协议标识，例如利用传输层TCP/UDP的端口号字段来协助建立NAT转换表项。4.重叠转换（Overl

16、appingNAT）。内部网使用的地址跟外部网重叠，这时需要把跟外部重叠的IP地址进行变换，这种转换一般应用在转换两端的私有网络地址相同的情况下。今天笔者以一个企业的网络项目为例，带领大家进入企业网络管理的世界。在这个项目里，有绝大部分读者都耳熟能详的网络技术名词NAT（网络地址转换）。那么NAT究竟有什么作用，在企业级应用中能实现怎样的功能呢？ 图1：NAT服务的常见模式。没错，这的确是NAT技术在企业中较为常见的应用之一，我们称其为PAT。在小型SOHO公司里，PAT的应用十分广泛，但NAT的应用绝不仅限于此，特别是在中大型企业的网络规划中，NAT的合理设计常常可以解决很多不必要

17、的麻烦。下面我们来接触一个在企业应用中具有代表性的案例。这个案例中NAT起到了十分关键的作用。典型案例分析企业A因业务需要和企业B拉设市区SDH专线，以便访问企业B后端的服务器C，而企业A的总公司D（企业A和总公司D通过SDH专线进行跨省网络连接，这也是目前绝大部分全国性企事业单位的网络连接方式）的后台服务器也要和服务器C进行数据校验确认，企业A和企业B按照各自的安全等级保护标准，都对SDH两端设置了比较严密的安全措施，均不想让对方了解自己公司内部的拓扑和IP地址。企业B提供了一个已经经过源地址NAT后的IP地址（196.1.1.10）供企业A远程调用，企业A和B网络连接如图图2看上去这样的需

18、求似乎很简单，企业A的信息技术人员在本方路由器上进行路由的设定，将去往196.1.1.10的数据包甩给下一跳网关10.1.1.2，总公司端也设置了到196.1.1.10的路由条目以供数据校验，测试数据一切正常。在正常使用了一段时间以后，企业B的信息技术人员发现还有其它合作企业采用了和企业A一样的内网IP段，这样他们在写回程路由时就无法指定下一条。比如企业E也有和企业A一样的内网架构和IP地址规划，而且也是采用同样的网络接口配置和企业B互联，就会出现这种情况：有一个源地址同为9.9.12.10的数据包分别从企业A和企业E送往服务器C，而企业B在往回送数据包的时候不知道该把这个包回给企业A还是E。

19、为了解决这个问题，企业B给与其有SDH专线业务的单位A和E（也许更多）发了一个通知，声明他们只会把数据包扔给SDH专线互联的另一端，即接口地址（以企业A为例，即是图3中的10.1.1.1），要求对方自行进行NAT设置。图3注：为了讲解方便，拓扑中略去了一些网络设备（如防火墙，IDS，交换机等）。于是企业A的信息技术人员在本端路由器的S2/0口上进行了如下设置（CLI命令行以H3C的设备为例，仅供参考），interfaceSerial2/0link-protocolpppfe1unframedipaddress10.1.1.1255.255.255.252natoutbound2000在S2/0

20、接口上设定了一个ACL列表，ACL列表的号为2000，要将这个ACL列表中的所有地址进行NAT转换（ACL列表的配置略去，ACL列表中即为所有需要访问对方的源IP地址），应用在此接口的意思就是NAT后的源地址为此接口地址，这样就符合企业B提出的要求了。稳定运行了一段时间以后，企业A又接到总公司信息技术部领导的电话，说是最近要调整全网的IP地址，对那些不规范的地址进行整理。询问原因，得知是因为其它省公司和外联单位也拉有多条专线，其中有一部分专线上的应用也需要总公司后台服务器去访问对端路由器后的服务器（即情况与A公司相同），而各外联单位的服务器对外映射地址存在冲突现象，导致总公司端在写广域网段回程

21、路由时出现问题。考虑到全网网络架构的可控性，总公司提出让各分公司整理内部需要总公司参与访问的路由，将相关地址全部NAT为本地内网地址，这样总公司只需要访问到已经规划好的各省分公司内网地址段即可，不会存在地址冲突问题，而且整个网络也变得更加可控。企业A按照总公司的指示，进行了针对性调整。调整的思路是将企业B提供的NAT后地址196.1.1.10在本地防火墙（或者是路由器的内网口E0/0上）上进行一次目标地址转换。即将原本访问196.1.1.10的需求变成访问本地内网地址的需求，同时在内网的核心交换机上添加一条路由，具体操作如下（以在路由器内网口E0/0上配置为例，防火墙同理）。interface

22、Ethernet0/0descriptiontocoreswitchipaddress9.9.9.9255.255.255.252natoutboundstatic这里添加了一条方向向外（也即指向本地内网）的静态NAT，相应的NAT语句为：natstaticinsideip196.1.1.10globalip9.9.20.5这其中196.1.1.10是企业B提供的NAT后地址，9.9.20.5为企业A的内网IP地址规划段中的一个地址，与之相对应的是要在核心交换机上将静态路由也作针对性调整。这里要提醒大家注意一点，这里的globalip地址不要属于在核心交换上已经规划的VLAN。配置调整完以后，

23、测试整个网络的数据，一切正常。最新的数据包流程变为，企业A内网中的笔记本电脑访问9.9.20.5，在到达本端SDH路由器内网口时进行NAT转换将目标地址转换为196.1.1.10，然后在S2/0口上又进行了一次源地址的NAT转换，将客户机本身的源地址转换成S2/0的接口地址（也即满足企业B的网络要求）10.1.1.1。到此为止，总公司和企业B的需求都得到了实现。由此案例可以看出，如果不采用合理的NAT技术应用，总公司和企业B的需求是很难得到同时满足的。这其实就是大家在书本上常常看到的双向NAT转换的一个应用实例。在企业中，这种纯静态的NAT应用比例要远远大于动态NAT（有一个IP池供地址调用）

24、和PAT。负载平衡是NAT技术的另一要点下面再给大家简要介绍一下NAT技术的另外一项应用负载均衡。如果不考虑在数据中心应用最多的F5类专用负载均衡设备，大家可能对于负载均衡的了解更多是集中在DNS技术上。DNS的负载均衡技术主要采用的是轮询算法（roundrobin），但DNS负载技术有一个问题较难解决：就是客户端会在本地缓冲DNSIP地址解析，从而使它后续的申请都会到达同一个IP地址，这本身是一项加速技术，但在这里实际上却削弱了DNS负载均衡技术的作用。而NAT负载均衡技术则解决了这个问题，路由器或其它NAT设备把需要负载平衡的多个IP地址翻译成一个公用的IP地址。（如图5所示）假设我们有一

25、台配备一个串行接口和一个Ethernet接口的路由器，Ethernet口连接到内部网络，内部网络上有三台运行同样WEB服务的WEB服务器，IP地址分别为2.2.2.1、2.2.2.2和2.2.2.3，而2.2.2.10则是路由器内口地址（Ethernet接口），路由器外口（串行接口）地址是互联网IP地址，也即需要进行NAT负载均衡地址，为了处理好来自Internet上大量的WEB连接请求，因此需要在此路由器上进行NAT负载均衡配置，把发送到WEB服务器合法InternetIP地址的报文转换成这三台服务器的内部本地地址。假定该路由器外口地址为219.142.5.5，那么每个访问219.142.5

26、.5的TCP连接都会按照规则分发到每一台后端真实WEB服务器上，从而真正实现负载平衡。下面以图5为例简单介绍一下路由器NAT负载均衡的配置过程如下：第一步：在路由器接口上进行NAT定义。interfaceEthernet0/0ipaddress2.2.2.10255.255.255.240ipnatinside!interfaceSerial0/0ipaddress219.142.5.5255.255.255.248ipnatoutside第二步：定义一个标准访问列表（standardaccesslist），用来标识要转换的合法IP地址。ipaccess-list1permit219.142.

27、5.5第三步：定义NAT地址池来标识内部WEB服务器的IP地址，后面的参数要使用rotary，表明我们要使用轮循（RoundRobin）的方式从NAT地址池中取出相应IP地址来转换合法IP报文。ipnatpoolwebsvr2.2.2.12.2.2.3netmask255.255.255.248typerotary第四步：把目标地址为访问表中IP的报文转换成地址池中定义的IP地址。ipnatinsidedestinationlist1poolwebsvr到此为止，NAT负载均衡的设置结束，是不是很简单【编辑推荐】1. 实例解析动态NAT配置2. 实例讲解静态NAT配置3. 浅析路由器NAT概念

28、4. NAT(网络地址转换)是如何工作的？用访问控制列表实现网络单向访问2006-03-30 11:44 互联网 字号：T | T做网络的单向访问其实实现的是防火墙的基本功能：我是内网，你是外网，我能访问你，但你不能访问我。AD：51CTO 网+首届APP创新评选大赛火热启动超百万资源等你拿！简易拓扑图（所有子网掩码均为255.255.255.0）： rder=1>  PC(10.1.1.2)-E0(10.1.1.1)RouterAS0(192.1.1.1)-S1(192.1.1.2)RouterB  做网络的单向访问其实实现的

29、是防火墙的基本功能：我是内网，你是外网，我能访问你，但你不能访问我。 所以现在假设RouterA的E0口所连网段为内网段，RouterA S0所连的网段为外网段，还假设我想做的是内网的PC机能ping通外网RouterB的S1口，但RouterB却ping不进我的内网。 用ACL来实现类似的单向访问控制需要用到一种特殊的ACL，叫Reflexive ACL。Reflexive ACL的配置分为两个部分，一部分是outbound的配置，一部分是inbound的配置。 在继续下面的说明之前，先说点题外话。在最开始想到单向访问问题时，我（也包括其它一些我的同事）自然的就

30、这么想：那我在E0口上允许PC的流量进来，然后再在S0口上禁止RouterB的流量进来不就行了？看上去好像没什么问题，但一试就知道其实是不行的。为什么不行呢，因为很多人都忽略了这么一个问题：即绝大多数的网络流量都是有去有回的，上面的方法只解决了去的问题，但这个流量在到达RouterB后，RouterB还需要返回这个流量给PC，这个返回的流量到了RouterA的S0口，但上面的方法却在S0口上禁止了RouterB的流量进来，回来的流量被挡住了，通讯失败。 Reflexive ACL中outbound的部分决定了我出去的哪些内网网络流量是需要被单向访问的，inbound部分决定了这些流量

31、在返回后能被正确的识别并送给内网发起连接的PC机。Reflexive ACL中outbound的部分： ip access-list extended outbound_filter permit icmp any any reflect icmp_traffic permit ip any any !-注意在Reflexive ACL中只能用named方式的ACL，不能用numbered方式的ACL。 !-基本配置和普通ACL并没有什么太多不同，不同之处是reflect icmp_traffic，它的意思是这条ACE作为单向流量来处理，并且给了一个名称

32、叫icmp_traffic，icmp_traffic在inbound部分被引用。 !-permit ip any any并不是必要的，加在这里是为了另一个测试，下面会说明。 Reflexive ACL中inbound的部分： ip access-list extended inbound_filter evaluate icmp_traffic deny ip any any log !-inbound的配置有和普通ACL有点不同了，第一句evaluate icmp_traffic对上述outbound配置中的icmp_traffic进行了引用，也就是说，它要检查从外网进来的流量，如果这个流量确实是从内网发起的对外访问的返回流量，那么允许这个流量进来。 !-注意deny ip any any log这句，虽然这句也是不必配的，因为是默认的deny ip any any，但我加了log来对上面outbound部分的permit ip any any进行测试。 Reflexive ACL中应用到接口的部分： interface Serial0 ip address 192.1.1.1 255.255.2