段曉紅　蘇洪娥

【摘 要】“寬帶中國”戰(zhàn)略實(shí)施以來，三大通信運(yùn)營商在基礎(chǔ)帶寬接入方面取得階段性重大成果，F(xiàn)TTH 的規(guī)?；l(fā)展使ONT作為 PON 網(wǎng)絡(luò)在家庭側(cè)的落地點(diǎn)得到普遍應(yīng)用，成本也得到了顯著降低，這為運(yùn)營商組建大客戶網(wǎng)絡(luò)提供了一個可選方案，對比路由器、交換機(jī)等設(shè)備，在接入側(cè)部署成本低廉ONT實(shí)現(xiàn)業(yè)務(wù)的可管可控，又可快速響應(yīng)用戶的需求。論文介紹了兩種實(shí)際應(yīng)用場景使用華為HG83xxR系列ONT路由功能進(jìn)行靈活組網(wǎng)。

【Abstract】Since the implementation of the "broadband China" strategy， three communication operators have achieved significant results based on bandwidth access， the scale development of FTTH ONT network made the ONT been widely used in landing point of family side as PON network， the cost has been significantly reduced， which provides an alternative for operators in the formation of large customers comparison of networks， they can compare the routers and switches， on the access side， they set low cost ONT to realize controllable business， and can respond quickly to the needs of users. This paper introduces two practical application scenarios， using HUAWEI HG83xxR series ONT routing function for flexible networking.

【關(guān)鍵詞】ONT ； HGU； DMZ； 協(xié)議端口； 端口映射

【Keywords】ONT； HGU； DMZ； protocol port； port mapping

【中圖分類號】TK243.4 【文獻(xiàn)標(biāo)志碼】A 【文章編號】1673-1069（2017）07-0191-02

1 ONT簡介

華為HG83xxR系列ONT（光貓）可以在寬帶接口PPPoE撥號作為NAT路由器使用，通過對該功能的發(fā)掘和靈活運(yùn)用可以滿足日益多樣的用戶需求，通過少量數(shù)據(jù)配置，利用現(xiàn)有資源無需額外投資，可以充分發(fā)掘光貓性能和PON網(wǎng)絡(luò)資源，具有良好的經(jīng)濟(jì)性和易用性。

NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）協(xié)議是將IP數(shù)據(jù)報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。以最為常用的家用路由器為例，路由器通過PPPoE寬帶撥號獲取公網(wǎng)IP地址，并為路由器下用戶分配192.168.1.* 地址，實(shí)現(xiàn)寬帶共享。

在正常情況下，NAT協(xié)議是禁止廣域網(wǎng)方向的主機(jī)直接訪問局域網(wǎng)里的終端的，有時候我們又需要將局域網(wǎng)內(nèi)的主機(jī)開放給廣域網(wǎng)上的主機(jī)用于實(shí)現(xiàn)雙向通信，好在華為該系列ONT提供了多種延伸協(xié)議，用于滿足各種應(yīng)用場景。

DMZ（Demilitarized Zone）主機(jī)，DMZ主機(jī)與LAN口、WAN口的通信是經(jīng)過NAT協(xié)議實(shí)現(xiàn)的，它將一個私網(wǎng)地址域的協(xié)議端口映射到WAN口地址，在應(yīng)用的角度實(shí)現(xiàn)私網(wǎng)IP地址和公網(wǎng)IP地址一一對應(yīng)。

2 VPN組網(wǎng)案例

2.1 單主機(jī)場景

如圖1 所示，某用戶利用我公司城域網(wǎng)組建虛擬專用網(wǎng)絡(luò)，用戶局域網(wǎng)通過三層交換機(jī)接入，其余用戶使用撥號的方式加入該VPN，現(xiàn)需接入一臺視頻服務(wù)器，用戶有根據(jù)IP地址訪問特定視頻服務(wù)器的需求，在完成營業(yè)賬號受理及地址綁定等工作后，使用華為光貓具體實(shí)現(xiàn)方法如下：

首先，我們將營業(yè)受理的PPPoE撥號賬號密碼配置到光貓的WAN接口中。

然后，我們將服務(wù)器IP地址配置為DMZ主機(jī)地址。

通過以上兩步配置，使用保留地址的視頻服務(wù)器便暴露在VPN網(wǎng)絡(luò)外部，實(shí)現(xiàn)雙向通信。

DMZ主機(jī)實(shí)現(xiàn)了單主機(jī)所有協(xié)議端口的映射，對于多主機(jī)場景，需要通過對具體應(yīng)用的協(xié)議端口一一映射來實(shí)現(xiàn)。

2.2 多主機(jī)場景

DMZ功能可以滿足光貓下單臺服務(wù)器提供多種服務(wù)的應(yīng)用場景，實(shí)際應(yīng)用中，更多是同一光貓下會有多臺終端有端到端的業(yè)務(wù)需求，這樣可以通過更改應(yīng)用的協(xié)議端口號，在光貓內(nèi)映射內(nèi)外協(xié)議端口來實(shí)現(xiàn)。

在這一場景，路由器內(nèi)部通過NAPT（Network Address Port Translation，網(wǎng)絡(luò)地址協(xié)議端口轉(zhuǎn)換，它是NAT協(xié)議的一種變形）協(xié)議，實(shí)現(xiàn)“多對一”地址轉(zhuǎn)換。 NAPT映射IP地址和協(xié)議端口號，將不同內(nèi)部地址的數(shù)據(jù)報的源地址映射到同一外部地址，通過內(nèi)外部協(xié)議端口號的轉(zhuǎn)換，使得多主機(jī)及應(yīng)用能夠共享同一外部地址，也就是“私有地址+協(xié)議端口號”（套接字）與“公網(wǎng)IP地址+協(xié)議端口號”之間的轉(zhuǎn)換。

利用光貓上端口映射功能，對端口對應(yīng)關(guān)系進(jìn)行重新分配和對應(yīng)可以滿足該需求。如上例，設(shè)定光貓獲取到的地址為10.1.1.2，電表A、B、C獲取到的地址分別是10.0.60.18、60.19、60.20，電表提供遠(yuǎn)程抄表協(xié)議端口號為888，由于三個電表對應(yīng)不同用戶，IP地址和協(xié)議端口號組成的套接字與電表有嚴(yán)格的對應(yīng)關(guān)系，就需要在WAN口上對每個電表指定不同的協(xié)議端口號。例如，我們?yōu)殡姳鞟規(guī)劃10.1.1.2：10001的外部協(xié)議端口，為電表B和C規(guī)劃10.1.1.2：10002和10.1.1.2：10003，通過配置路由器實(shí)現(xiàn)端口號10001-10003與內(nèi)部協(xié)議端口888的轉(zhuǎn)換，在服務(wù)器側(cè)添加電表信息時需添加外部協(xié)議端口，這樣在服務(wù)器上就可以很好的區(qū)分三個不同的電表。

對于電表A，在WAN名稱處選擇上例中配置PPPoE撥號的接口，外部協(xié)議端口設(shè)備選擇10001，內(nèi)部主機(jī)協(xié)議端口選擇888，在最下面的內(nèi)部主機(jī)選擇IP：10.0.60.18，用相同的方法進(jìn)行電表B以及電表C的端口映射。

根據(jù)用戶需求，一般需要將光貓的DHCP功能關(guān)閉，只需將“使能DHCP主機(jī)服務(wù)器”后面取消即可。

3 總結(jié)

這樣，在組建撥號VPN時，我們可以通過將PPPoE撥號賬號與用戶IP地址綁定實(shí)現(xiàn)對用戶的精準(zhǔn)管理，通過管理賬號實(shí)現(xiàn)用戶業(yè)務(wù)開通、關(guān)閉、修改等操作，由于該地址既可以作為該光貓WAN口地址，可以作為該光貓的遠(yuǎn)程登錄地址，實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)配置，因此極大地提高了光貓管理的便捷性。通過將應(yīng)用層的某項(xiàng)具體應(yīng)用抽象為傳輸層端到端通信的套接字，從而實(shí)現(xiàn)了業(yè)務(wù)復(fù)用，提高了現(xiàn)有PON網(wǎng)絡(luò)的功能。

【參考文獻(xiàn)】

【1】萬洪丹.吉比特?zé)o源光網(wǎng)絡(luò)（GPON）和光網(wǎng)絡(luò)終端（ONT）關(guān)鍵技術(shù)研究[D].南京：南京理工大學(xué)，2007.

【2】李海華.BGP MPLS VPN數(shù)據(jù)轉(zhuǎn)發(fā)過程分析[J].計算機(jī)技術(shù)與發(fā)展，2011（06）：4-8.

【3】張震.DMZ與內(nèi)網(wǎng)安全關(guān)聯(lián)性分析[A].中國通信學(xué)會.中國通信學(xué)會第六屆學(xué)術(shù)年會論文集（中）[C].中國通信學(xué)會，2009：5.endprint