CGN部署综述_VSUF-培训文档之二

©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.CGN部署综述Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.领域集中式CGN部署分布式CGN部署CR旁挂CGNBRAS/SR集成CGN总体成本部署位置相对集中，但新部署CGN设备需配2倍接口，CR需增加2倍端口（CR10G扩容成本=N倍CGN板卡成本）。用户私网路由需要在城域发布。私网地址和城域路由需重新规划，组网复杂，新建和扩容都需调整；仅占用BRAS槽位，不需要单独提供接口、电源，容易部署。用户管理1）需要部署LOGserver记录日志实现溯源，增加成本投资和运维难度。2）CGN必须通过手工策略路由和ACL设置进行引流。3）无用户相关信息，无法针对用户策略做NAT策略。1）无需日志服务器，BRAS采用Radius上报NAT映射日志方式溯源，方案简单2）本机采用UCL自动针对用户属性进行引流3）便于实现基于用户的精细化策略控制和实时精确溯源业务流量同城本地化流量将绕到城域核心路由器和CGN处理，CR流量增大，会产生发卡效应，成为性能瓶颈。流量模型无变化。可靠性CGN需要维护大量Session，单点故障影响范围大。对设备可靠性要求高，组网复杂，BRAS不感知用户故障，CGN故障后用户将挂死，维护困难CGN与BRAS融合，感知CGN故障，CGN需要维护Session较少，单点故障影响范围小。分布式部署可以分散被攻击的风险部署价值新增设备单独网管和维护，城域网私网路由规划、维护复杂随网络扁平化和IPv4流量增加，CGN需逐步下移适于用户分布集中，用户密度高的区域直接部署，避免集中式随用户增加逐步下移的网络二次改造分布式CGN会是主流部署方案CGN部署考虑因素Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.CGN部署建议承载网的考虑业务流程考虑部署和维护成本网络演进考虑华为公司通过多年实践，深度参与了全球各大运营商的IPv6演进实践。从CGN部署对网络架构、业务、综合成本、运维、网络演进等因素综合考虑，建议：一、集中式部署CGN不符合CR定位，不利于运营商网络的演进。二、分布式部署CGN能够发挥POP层设备管理控制能力的优势。三、分布式部署CGN与BRAS/SR融合发展更符合业务运营的要求。CGN部署建议Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3目录1.CGN升级&割接方案NAT444部署场景配置DS-Lite部署场景配置NAT444/DS-Lite域CGN割接改造方案Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4典型应用：PPPOE/L2TP/IPOE+NAT444CGN集成在BRAS。用户CPE通过PPPOE/L2TP(LNS侧)/IPOE接入BRAS，在BRAS上管理用户并进行NAT地址转换。PPPOE/L2TP(LNS侧)/IPOE叠加NAT444时，CGN部分的配置无明显差异，配置举例以PPPOE为准。接入网络CPEPC1PC2BRASISPCoreSsylogServerDHCPServerWebServerRadiusServerGE6/0/0CGNCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置步骤Page5配置NAT实例23配置trafficpolicy引流4配置用户接入部分（略）1配置domain绑定NAT路由发布5检查结果5Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置NAT实例Page6#为业务板分配license资源[ME60]license[ME60]activenatsession-tablesize2slot1engine0[ME60]activenatsession-tablesize2slot2engine0#配置单板主备关系[ME60]service-location1[ME60-service-location-1]locationslot1engine0backupslot2engine0[ME60]service-instance-group1[ME60-instance-group-1]service-location1#建立NAT实例，添加基本配置[ME60]natinstance1id1[ME60-nat-instance-1]natfiltermodefull-coneCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7[ME60-nat-instance-1]port-range4096[ME60-nat-instance-1]service-instance-group1[ME60-nat-instance-1]nataddress-group1group-id1[ME60-nat-instance-1-nat-address-group-1]section0200.100.0.0mask24[ME60-nat-instance-1]natoutbound2080address-group1正反向session-limit默认使能#配置NAT日志发送主机（采用用户日志溯源需要配置，地址和端口信息根据实际情况选择）[ME60-nat-instance-1]natloguserenable[ME60-nat-instance-1]natloghost102.102.102.102555source1.1.1.1555name1#NAT日志默认为华为格式，和电信服务器对接需要配置为电信格式[ME60]natsyslogdescriptiveformatcn#配置需要的NATALG功能[ME60-nat-instance-1]natalgallCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置Domain绑定NATPage8#配置用户上线采用的user-group[ME60]user-group1#进入用户上线域，在域下配置user-group和NAT实例的绑定关系[ME60-aaa]domaindomain1[ME60-aaa-domain-domain1]user-group1bindnatinstance1Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置TrafficPolicy引流Page9#配置UCL，匹配上线用户[ME60]acl6000[ME60-acl-ucl-6000]rule5permitipsourceuser-group1#配置流分类[ME60]trafficclassifiernat444[ME60-classifier-nat444]if-matchacl6000#配置流动作[ME60]trafficbehaviornat444[ME60-behavior-nat444]natbindinstance1#配置流策略并在系统视图下绑定[ME60]trafficpolicynat444[ME60-trafficpolicy-nat444]classifiernat444behaviornat444[ME60]traffic-policynat444inboundCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.路由发布Page10Nat实例中公网地址配置方式采用start-ip、end-ip的方式，在路由协议配置中直接importunr，则所有NAT地址均按32位主机路由发布，此时需要手动聚合路由；Nat实例中公网地址配置方式采用mask的方式，则直接生成Unr聚合路由。当有用户上线做NAT时，在发布UNR路由时需要将用户的私网ip路由通过配置route-policy过滤掉。ipip-prefixnatindex10permit112.112.10.124route-policynatpermitnode5if-matchip-prefixnatospf1import-routeunrroute-policynat可以配置静态路由目的路由段为地址池地址段，指向NULL0，在路由协议中引入static路由来发布。iproute-static112.112.10.0255.255.255.0NULL0ospf1import-routestaticCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.检查结果Page11#查看上线用户信息displayaccess-useruser-id2Useraccessindex:2State:UsedUsername:1111Domainname:domain1……（略）UserIPaddress:10.10.10.198……（略）User-Group:1NATIPaddress:112.112.2.27NATPortScope(Start,End):2048,6143#查看会话表信息displaynatsessiontableslot2Slot:2Engine:0Currenttotalsessions:1.udp:10.10.10.198:34[112.112.10.27:2944]--*:*Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12典型应用：WEB认证+NAT444CGN集成在BRAS。用户通过web认证方式接入，在BRAS对用户进行NAT地址转换。Web认证叠加NAT的特殊处理在于，web认证需要处理认证前后域的切换，一般情况下，web服务器位于公网，web认证前后均需要进行NAT转换。接入网络PCBRAS(CGN)ISPCoreSsylogServerDHCPServerWebServerRadiusServerGE6/0/0Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置步骤Page13配置NAT实例（略）23配置trafficpolicy4配置用户接入部分（略）1配置domain绑定NAT检查结果（略）5Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.配置domain绑定NATPage14#这里仅列出关键步骤#配置前、后域用户归属的user-group1、2[ME60]user-group1[ME60]user-group2#配置使能http报文上送[ME60-aaa]http-redirectenable#配置认证前域，web-server相关命令的配置详细参考用户接入资料部分[ME60-aaa]domainpredomain[ME60-aaa-domain-predomain]user-group1bindnatinstance1[ME60-aaa-domain-predomain]web-server112.56.27.199[ME60-aaa-domain-predomain]web-serv