一、先理清企业侧出向流量逻辑
企业内网所有网段,配置一条默认路由 0.0.0.0/0 下一跳 = 运营商网关,所有访问公网的流量统一发给运营商。
- 企业设备查路由表:目的 IP 不是内网 → 匹配默认路由,发给运营商 PE/ONU 网关
- 数据包源 IP = 企业公网出口 IP(运营商分配的公网地址 / 地址段)
- 数据包送入运营商城域网
二、运营商回程路由的 3 种核心实现方式
方式 1:静态回程路由(中小企业固定公网 IP 最常用)
运营商在自己的城域网核心 / BRAS 设备上,手动配置静态路由:企业公网地址段 下一跳=企业侧运营商网关接口
- 流程:外网用户发数据包给企业公网 IP → 运营商核心匹配这条静态路由 → 直接转发回企业网关 → 进入企业内网
- 适用:固定公网 IP 专线、光纤固定地址客户
- 优点:稳定、转发效率高;缺点:企业换 IP 需要运营商手动改路由
方式 2:BGP 动态路由(中大型企业、多线专线、自有公网网段 AS 号)
企业和运营商建立 BGP 邻居,企业主动向运营商宣告自己的公网地址段,运营商通过 BGP 学习到企业网段,自动生成回程路由:
- 企业出口路由器与运营商 PE 建立 EBGP 邻居
- 企业发布自身公网 IP 前缀给运营商
- 运营商全网通过 BGP 同步这条路由,全国骨干网都知道该网段回程走你的专线
- 跨地区、跨运营商访问你的企业服务,回程都能精准送达
- 适用:IDC、多线机房、有独立 ASN、多出口冗余的大企业
方式 3:NAT 场景(家用宽带 / 动态 IP,无独立公网网段)
绝大多数宽带用户只有运营商内网私网 IP(CGNAT),没有可路由的公网地址:
- 企业 / 宽带设备做源 NAT,流量出网时转换为运营商 CGN 公网池地址
- 运营商 CGN 设备维护NAT 会话表:记录「内网端口 ↔ 公网池 IP + 端口」映射
- 回程流量到达 CGN 公网 IP 端口 → 查询会话表,反向 NAT 转发回企业内网
- 关键:回程完全依赖会话表,只能支持主动向外发起的访问,无法外部主动入站(无法搭建公网服务器)
三、完整端到端流量全过程(固定公网 IP 静态路由场景)
出向(企业→互联网)
- 内网 PC 192.168.1.100 访问 1.1.1.1
- 企业路由无匹配明细路由,匹配默认路由 0.0.0.0/0,转发至运营商网关 203.0.113.1
- 数据包源 IP:企业公网 203.0.113.10,目的 1.1.1.1
- 运营商城域网、骨干网根据公网路由转发到目标服务器
回程(互联网→企业)
- 服务器回包,目的 IP = 企业公网 203.0.113.10
- 运营商骨干、城域网查询路由表,存在运营商预配置静态路由:
203.0.113.0/24 下一跳=企业专线接口 - 数据包转发到企业运营商网关
- 企业路由匹配明细公网网段,解 NAT(如有)转发回内网 PC
四、常见故障关键点
- 运营商漏加回程静态路由企业能上网(出向靠默认路由),但外部无法访问企业服务器,典型单向通。解决:联系运营商添加客户地址段回程路由。
- BGP 宣告缺失 / 过滤多线 BGP 客户,某运营商线路无法入站,检查是否正确宣告网段、运营商是否放通路由。
- CGN 大内网无回程路由宽带动态 IP 用户,外部不能主动访问内网服务,必须公网固定 IP + 运营商回程路由。
- 企业路由仅配默认路由,不影响回程回程是运营商主动指向你,企业只需要有到达内网的明细路由即可接收回包。
五、一句话总结
- 企业出网:靠默认路由把所有外网流量丢给运营商;
- 运营商回程:靠静态路由 / BGP记录你的公网地址段,知道回包该转发到哪条专线;
- CGN 宽带无独立路由,依靠 NAT 会话表临时回程。
:如何查询中央经线和带号)
