3G技术资料-GPRS网络中iGGSN割接配置原理.doc

GPRS网络中iGGSN割接配置原理成都通信建设工程局 赵艳明 王玺 邮政编码 611130摘要 本文通过对某省移动通信网内部cmnet、cmwap和VPN割接到iGGSN的基本配置及遇到的问题介绍，简要的阐述了同类型IGGSN割接配置的思路。以及以后处理类似问题的方向作了有益的探讨。关键词CMNET CMWAP VPN IGGSN 防火墙 配置目录一、前言2二、cmnet割接21iGGSN配置22防火墙配置23SGSN中配置3三、cmwap割接31iGGSN的配置32防火墙的配置33SGSN的配置4四、VPN的割接41.iGGSN的配置52GGSN的设置63防火墙设置6五、遇到的问题6一、 前言某地目前有5套G配置的SGSN，忙时PDP数约为1.3万左右，两台GGSN采用负荷分担形式承载cmnet、cmwap和VPN；目前已将全部业务割接到iGGSN上，同时启用cbc业务，iGGSN中有一个Vigilon、两个Senteon和三个WN，WN1和WN2采用负荷分担形式承载全部业务，每个WN上启用四块Gn板和三块Gi，其中slot 4 Gi承载全部不走GRE隧道的VPN，slot 5 Gi承载全部走GRE的VPN，slot 6 Gi承载cmnet和cmwap业务，四块Gn板采用负荷分担的形式，WN3没有割接相关业务；本章将讲述cmnet、cmwap和VPN割接到iGGSN的基本配置及遇到的问题。二、cmnet割接1iGGSN配置 首先要在iGGSN上创建cmnet这个APN，同时将这个APN和WN的Gi接口关联，并配置下一跳地址，这里把Gi switch的vlan ip作为下一跳使得cmnet的数据报全部送到Gi switch； 图1 配置地址池，为了在割接前能够顺利测试，需要用户提供新的地址池； 为了能够顺利浏览网页还需要配置DNS来解析公网的域名，如图2所示，然后将DNS关联到cmnet上； 同时为了能够进行计费还需要配置CG，如图3所示，然后将CG关联到cmnet; 图2图32防火墙配置 防火墙上首先要在Objectd里边配置cmnet的地址池并将其分配在Trust里，以方便用来配置策略，如图4， 图4 配置地址后要配置策略，并同时将地址池内的私有地址翻译成公网地址一边收集能够访问公网网站，如图5 图5 最后还需要配置手机地址池的回包路由使得回来的数据包能够顺利到达手机侧，如图6 图63SGSN中配置 为了便于测试，我们需要将个别的IMSI指向iGGSN进行激活，着需要两个步骤： 在SGSN中找出用于测试的IMSI所在的station，用命令./paction SDM ALL 1010 IMSI o /var/ll.log，然后用cmd.sh找出还有VLR信息的station; 在对应的station的/etc/hosts里边添加221.177.177.129 cMnEt.mnc000.mcc460.gprs cMnEt，其中221.177.177.129是Senteon的GTP-C地址； 这样用对应的IMSI就可以测试cmnet业务了，在随意行中将APN设置为cMnEt，在激活后可以在WN上用show pdp imsi的命令进行验证； 测试成功的话，割接只需要将DNS里边cmnet的指向改称指向iGGSN并重启DNS进程，然后在SGSN上清除DNS缓存就可以了；三、 cmwap割接1 iGGSN的配置 APN的配置和cmnet基本相同，这里不做描述； 因为cmwap是通过GRE隧道与网关之间进行通信的，不能直接访问公网，所以cmwap上边不需要配置DNS； 同样cmwap也要进行计费，所以也要关联CG，与cmne一样； Cmwap还要到Radius进行accouting,所以与cmnet不同的是它还需要配置radius服务器，如图7，并把它关联到cmwap 图72 防火墙的配置 在防火墙的配置和cmnet基本相同，由于其走GRE隧道的特性所以还有一定的区别： Radius的路由和策略配置，由于radius源地址采用的是私有地址，所以他必须通过nat翻译穿过防火墙， 图8 由于iGGSN中无法实现GRE隧道，所以在防火墙上实现，在防火墙上配置源地址路由，如图9 图9 Cmwap地址池中的地址到达防火墙后根据其源地址判断进入GRE隧道，实现了封装；3 SGSN的配置 在割接cmwap之前同样需要进行业务的测试，按照cmnet割接的方法找到测试IMSI对应所在的station，并在/etc/hosts里边添加221.177.177.129 cMwAp.mnc000.mcc460.gprs cMwAp，在测试手机中将APN设置为cMwAp，进行wap浏览以及彩信的发送和接收，在WN上用命令show pdp imsi可以进行验证； 测试成功后，割接只需在DNS里将cmwap的指向由GGSN改到iGGSN，并重启DNS进程，在SGSN里边清除DNS缓存即可；四、 VPN的割接 VPN的较为特殊，因为cmnet和cmwap都是从新的防火墙直接出去的，而VPN都要走旧的防火墙，VPN中有些是通过GRE隧道的，有些是直接经过防火墙翻译的，由于旧的防火墙不能配置GRE隧道，所以那些走GRE隧道的VPN还需要经过GGSN进行GRE封装，按照现网GGSN上VPN的配置情况我们基本将其克隆到iGGSN上，总体情况如下： APN地址池VRFWN1WN2GGSN1GGSN2 bankcomm.sn10.179.32.0/28 无无无xagaidel.sn10.179.32.32/2710.179.32.64/27无无chinaunionpay.sn10.181.2.0/2510.181.2.128/25无无ludeng.sn10.181.4.128/2610.181.4.192/26无无xacbank.sn10.181.3.128/2710.181.3.160/27无无tcpm.sn10.181.6.0/2510.181.6.128/25103/vrf_tcpm无wnpm.sn10.181.9.0/2610.181.9.64/26106/vrf_wnpm107/vrf_wnpmylpm.sn10.181.12.0/2410.181.8.0/24105/vrf_ylpm106/vrf_ylpmxashey.sn10.181.9.128/28无104/vrf_xashey无sw.sn10.181.9.145/3010.181.13.0/26（静态）无无无axpos.sn10.181.13.64/28无107/vrf_axpos无akgd.sn10.181.13.128/2610.181.13.192/26108/vrf_akgd109/vrf_akgdxalmas.sn10.181.14.0/2410.181.15.0/24109/vrf_xalmas110/vrf_xalmasxaldjk.sn10.181.16.0/2710.181.16.32/27111/vrf_xaldjk111/vrf_xaldjkcqtx.sn10.181.13.96/28（静态）10.181.13.112/28（预留）无无无xgazh.sn10.181.16.128/2610.181.16.192112/vrf_xgazh112/vrf_xgazhxajj.sn10.181.3.0/25无无104/vrf_jiaojingxy-reli.sn无10.181.4.0/25无103/vrf_polic_XYsxicbc.sn无10.181.3.128/28无108/vrf_sxicbcslt.sn无10.181.5.128/2510.181.5.0/27无无cx.sn无10.181.13.80/28无无1. iGGSN的配置 每个VPN都要关联一个Gi接口，但是VPN的数目要对于Gi接口，所以要配置子端口来将它们划分不到不同的VLAN里边来为不同的VPN通信，基本情况如下 APNVLANGi-PortWN1-IPNetx-hop(Wn1)WN2-IPNext-hop(WN2)bankcomm.sn410WN1-4-1172.24.141.1172.24.141.10无无xagaidel.sn410WN1-4-1172.24.141.1172.24.141.10172.24.141.2172.24.141.11chinaunionpay.sn410WN1-4-1172.24.141.1172.24.141.10172.24.141.2172.24.141.11ludeng.sn410WN1-4-1172.24.141.1172.24.141.10172.24.141.2172.24.141.11xacbank.sn410WN1-4-1172.24.141.1172.24.141.10172.24.141.2172.24.141.11tcpm.sn514WN1-5-1172.24.151.65172.24.151.74无无410WN1-4-1无无172.24.141.2172.24.141.11wnpm.sn515WN1-5-1172.24.151.81172.24.151.90172.24.151.82172.24.151.91ylpm.sn516WN1-5-1172.24.151.97172.24.151.106172.24.151.98172.24.151.107xashey.sn521WN1-5-2172.24.152.17172.24.152.26无无sw.sn410WN1-4-1172.24.141.1172.24.141.10无无axpos.sn522WN1-5-2172.24.152.33172.24.152.42无无akgd.sn517WN1-5-1172.24.151.113172.24.151.122172.24.151.114172.24.151.123xalmas.sn518WN1-5-1172.24.151.129172.24.151.138172.24.151.130172.24.151.146xaldjk.sn519WN1-5-1172.24.151.145172.24.151.154172.24.151.146172.24.151.155cqtx.sn410WN1-4-1172.24.141.1172.24.141.10无无xgazh.sn520WN1-5-1172.24.152.1172.24.152.10无无xajj.sn511WN1-5-1172.24.151.17无无172.24.151.27xy-reli.sn512WN1-5-1无无172.24.151.34172.24.151.43sxicbc.sn510WN1-5-1无无172.24.151.2172.24.151.11slt.sn410WN1-4-1无无172.24.141.2172.24.141.11cx.sn410WN1-4-1无无172.24.141.2172.24.141.112GGSN的设置 然后在对应的GGSN上配置子端口并设置vlan tag，对于走GRE的VPN还要在端口关联vrf将数据流送到对应的隧道里边，例如： interface FastEthernet0/1.516 description iGGSN vpn ylpm.sn encapsulation dot1Q 516 ip vrf forwarding vrf_ylpm ip address 172.24.151.106 255.255.255.240 no ip redirects no ip route-cache no ip mroute-cache 对于不走GRE隧道的VPN则不需在对应的子端口上配置vrf，只需要将它们根据默认路由送到防火墙就行了； 对于走GRE隧道的VPN要通过vrf配置回包路由，将防火墙返回的数据送回到iGGSN。例如： ip route vrf vrf_axpos 10.181.13.64 255.255.255.240 172.24.152.33 对于不走GRE隧道的VPN，要通过设置普通的回包路由使其送回到iGGSN，例如： ip route 10.181.13.96 255.255.255.240 172.24.141.13防火墙设置 对于走GRE隧道的VPN需要设置出去和回来的策略：set policy id 51 from Trust to Untrust GI_GRE GRE_Server GRE Permitset policy id 53 from Untrust to Trust GRE_Server GI_GRE GRE Permit 对于不通过GRE隧道出去的VPN需要设置出去和回来的策略，同时还要设置回包路由，例如： set policy id 109 from Trust to Untrust ludeng_user_1 Any ANY Permitset policy id 111 from Untrust to Trust Any ludeng_user_1 ANY Permitset route 10.181.4.128/26 interface ethernet2 gateway 10.131.64.121五、 遇到的问题 Cmnet割接后第二套outoforder一直比较高，而且