CGN部署综述_VSUF-培训文档之二

1、Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. CGNCGN部署综述部署综述Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 领 域集中式CGN部署分布式CGN部署CR旁挂CGNBRAS/SR集成CGN总体成本部署位置相对集中，但新部署CGN设备需配2倍接口，CR需增加2倍端口（CR 10G扩容成本 = N倍 CGN 板卡成本）。用户私网路由需要在城域发布。私网地址和城域路由需重新规划，组网复杂，新建和扩容都需调整；仅占用BRAS

2、槽位，不需要单独提供接口、电源，容易部署。用户管理1）需要部署LOG server记录日志实现溯源，增加成本投资和运维难度。2）CGN必须通过手工策略路由和ACL设置进行引流。3）无用户相关信息，无法针对用户策略做NAT策略。1）无需日志服务器，BRAS采用Radius上报NAT映射日志方式溯源，方案简单2）本机采用UCL自动针对用户属性进行引流3）便于实现基于用户的精细化策略控制和实时精确溯源业务流量同城本地化流量将绕到城域核心路由器和CGN处理，CR流量增大，会产生发卡效应，成为性能瓶颈。流量模型无变化。可靠性CGN需要维护大量Session，单点故障影响范围大。对设备可靠性要求高，组网复

3、杂，BRAS不感知用户故障，CGN故障后用户将挂死，维护困难CGN与BRAS融合，感知CGN故障，CGN需要维护Session较少，单点故障影响范围小。分布式部署可以分散被攻击的风险部署价值新增设备单独网管和维护，城域网私网路由规划、维护复杂随网络扁平化和IPv4流量增加，CGN需逐步下移适于用户分布集中，用户密度高的区域直接部署，避免集中式随用户增加逐步下移的网络二次改造分布式CGN会是主流部署方案CGNCGN部署考虑因素部署考虑因素Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. CGN部署建议l承载网的考虑

4、l业务流程考虑l部署和维护成本l网络演进考虑华为公司通过多年实践，深度参与了全球各大运营商的IPv6演进实践。从CGN部署对网络架构、业务、综合成本、运维、网络演进等因素综合考虑，建议：一、集中式部署CGN不符合CR定位，不利于运营商网络的演进。二、分布式部署CGN能够发挥POP层设备管理控制能力的优势。CGNCGN部署建议部署建议Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page3目目 录录1. CGN升级升级&割接方案割接方案NAT444部署场景配置部署场景配置DS-Lite部署场景配置NAT

5、444/DS-Lite域CGN割接改造方案Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page4典型应用：PPPOE/L2TP/IPOE+NAT444lCGN集成在BRAS。l用户CPE通过PPPOE/L2TP(LNS侧)/IPOE接入BRAS，在BRAS上管理用户并进行NAT地址转换。lPPPOE/L2TP(LNS侧)/IPOE叠加NAT444时，CGN部分的配置无明显差异，配置举例以PPPOE为准。Copyright 2009 Huawei Technologies Co., Ltd. All righ

6、ts reserved. 配置步骤Page5配置配置NAT实例实例23配置配置traffic policy引流引流4配置用户接入部分（略）配置用户接入部分（略）1配置配置domain绑定绑定NAT路由发布路由发布5检查结果检查结果5Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置NAT实例Page6l#为业务板分配license资源l ME60 license lME60 active nat session-table size 2 slot 1 engine 0lME60 active nat sess

7、ion-table size 2 slot 2 engine 0l#配置单板主备关系配置单板主备关系 ME60 service-location 1 ME60-service-location-1 location slot 1 engine 0 backup slot 2 engine 0 ME60 service-instance-group 1 lME60-instance-group-1 service-location 1l# 建立NAT实例，添加基本配置lME60 nat instance 1 id 1lME60-nat-instance-1 nat filter mode ful

8、l-coneCopyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page7lME60-nat-instance-1 port-range 4096l ME60-nat-instance-1 service-instance-group 1 lME60-nat-instance-1 nat address-group 1 group-id 1lME60-nat-instance-1-nat-address-group-1 section 0 mask 24l ME60-nat-instance

9、-1 nat outbound 2080 address-group 1l正反向正反向session-limit默认使能默认使能l# 配置配置NAT日志发送主机（采用用户日志溯源需要配置，地址和端口信息根据实际情况选择）日志发送主机（采用用户日志溯源需要配置，地址和端口信息根据实际情况选择）l ME60-nat-instance-1 nat log user enablel ME60-nat-instance-1 nat log host 02 555 source 555 name 1l# NAT日志默认为华为格式，和电信服务器对接需要配置为电信格式

10、日志默认为华为格式，和电信服务器对接需要配置为电信格式l ME60 nat syslog descriptive format cn l# 配置需要的NAT ALG功能l ME60-nat-instance-1 nat alg allCopyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置Domain绑定NATPage8l#配置用户上线采用的配置用户上线采用的user-grouplME60 user-group 1l# 进入用户上线域，在域下配置进入用户上线域，在域下配置user-group和和NAT实例的绑定关系

11、实例的绑定关系lME60-aaa domain domain1lME60-aaa-domain-domain1 user-group 1 bind nat instance 1 Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置Traffic Policy引流Page9l#配置配置UCL，匹配上线用户，匹配上线用户lME60 acl 6000lME60-acl-ucl-6000 rule 5 permit ip source user-group 1l#配置流分类配置流分类lME60 traffic clas

12、sifier nat444lME60-classifier- nat444 if-match acl 6000l#配置流动作配置流动作lME60 traffic behavior nat444lME60- behavior - nat444 nat bind instance 1l#配置流策略并在系统视图下绑定配置流策略并在系统视图下绑定lME60 traffic policy nat444lME60- trafficpolicy - nat444 classifier nat444 behavior nat444lME60 traffic-policy nat444 inboundCopyr

13、ight 2009 Huawei Technologies Co., Ltd. All rights reserved. 路由发布Page10lNat实例中公网地址配置方式采用start-ip、end-ip的方式，在路由协议配置中直接import unr，则所有NAT地址均按32位主机路由发布，此时需要手动聚合路由； Nat实例中公网地址配置方式采用mask的方式，则直接生成Unr聚合路由。当有用户上线做NAT时，在发布UNR路由时需要将用户的私网ip路由通过配置route-policy过滤掉。lip ip-prefix nat index 10 permit 24

14、lroute-policy nat permit node 5l if-match ip-prefix nat lospf 1l import-route unr route-policy natl可以配置静态路由目的路由段为地址池地址段，指向NULL0，在路由协议中引入static路由来发布。lip route-static NULL 0 lospf 1l import-route staticCopyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 检查结果Pag

15、e11l#查看上线用户信息查看上线用户信息ldisplay access-user user-id 2 User access index : 2 State : Used User name : 1111 Domain name : domain1 （略） User IP address : 98 （略） User-Group : 1 NAT IP address : 7 NAT Port Scope(Start,End) : 2048,6143l#查看会话表信息查看会话表信息ldisplay nat session table slot 2 Slo

16、t: 2 Engine: 0 Current total sessions: 1. udp: 98:347:2944- *:*Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page12典型应用：WEB认证+NAT444lCGN集成在BRAS。l用户通过web认证方式接入，在BRAS对用户进行NAT地址转换。lWeb认证叠加NAT的特殊处理在于，web认证需要处理认证前后域的切换，一般情况下，web服务器位于公网，web认证前后均需要进行NAT转换。Copyright

17、 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置步骤Page13配置配置NAT实例（略）实例（略）23配置配置traffic policy4配置用户接入部分（略）配置用户接入部分（略）1配置配置domain绑定绑定NAT检查结果（略）检查结果（略）5Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置domain绑定NATPage14l#这里仅列出关键步骤这里仅列出关键步骤l#配置前、后域用户归属的配置前、后域用户归属的user-group1

18、、2lME60 user-group 1lME60 user-group 2l#配置使能配置使能http报文上送报文上送lME60-aaa http-redirect enablel#配置认证前域，配置认证前域，web-server相关命令的配置详细参考用户接入资料部分相关命令的配置详细参考用户接入资料部分lME60-aaa domain predomainlME60-aaa-domain- predomain user-group 1 bind nat instance 1 lME60-aaa-domain- predomain web-server 99 lME60-

19、aaa-domain- predomain web-server url 99 lME60-aaa-domain- predomain web-server redirect-key user-ip-address useripl#配置认证后域配置认证后域-注意前后域绑定的注意前后域绑定的NAT实例要保持一致实例要保持一致lME60-aaa domain domain1lME60-aaa-domain- domain1 user-group 2 bind nat instance 1 Copyright 2009 Huawei Technologies Co.

20、, Ltd. All rights reserved. 配置Traffic Policy引流Page15l#配置前域用户允许访问地址（通常为配置前域用户允许访问地址（通常为web服务器服务器IP）的流分类和流动作）的流分类和流动作lME60 acl 6000lME60-acl-ucl-6000 rule 5 permit ip source user-group 1 destination ip-address 99 0lME60 traffic classifier web-before-natlME60-classifier- web-before-nat if-ma

21、tch acl 6000lME60 traffic behavior web-before-natlME60- behavior - web-before-nat nat bind instance 1l#配置对前域用户发起的配置对前域用户发起的http报文做强制的流分类和流动作报文做强制的流分类和流动作lME60 acl 6001lME60-acl-ucl-6001 rule 5 permit ip source user-group 1 destination-port eq www lME60 traffic classifier web-before-httplME60-classif

22、ier- web-before-http if-match acl 6001lME60 traffic behavior web-before-httplME60- behavior - web-before-nat http-redirectCopyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page16l#配置丢弃前域用户其他流量的流分类和流动作配置丢弃前域用户其他流量的流分类和流动作lME60 acl 6003lME60-acl-ucl-6003 rule 5 permit ip source user-gr

23、oup 1lME60 traffic classifier web-before-denylME60-classifier- web-before-nat if-match acl 6003lME60 traffic behavior web-before-denylME60- behavior - web-before-deny denyl#配置后域用户访问互联网做配置后域用户访问互联网做NAT的流分类和流动作的流分类和流动作lME60 acl 6100lME60-acl-ucl-6100 rule 5 permit ip source user-group 2lME60 traffic c

24、lassifier web-natlME60-classifier- web-http if-match acl 6100lME60 traffic behavior web-natlME60- behavior - web-nat nat bind instance 1Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page17l#配置流量策略，注意配置顺序配置流量策略，注意配置顺序lME60 traffic policy weblME60- trafficpolicy - web classifier we

25、b-before-nat behavior web-before-natlME60- trafficpolicy - web classifier web-before-http behavior web-before-httplME60- trafficpolicy - web classifier web-before-deny behavior web-before-denylME60- trafficpolicy - web classifier web-nat behavior web-natlME60 traffic-policy web inboundCopyright 2009

26、 Huawei Technologies Co., Ltd. All rights reserved. Page18典型应用：分布式NAT444负载分担l对于分布式CGN部署，为了保障CGN的可靠性，通常需要部署二块CGN单板，因此需要在二块CGN单板进行用户的负载分担。配置配置NAT实例实例23配置配置traffic policy4配置用户接入部分（略）配置用户接入部分（略）1配置配置domain绑定绑定NAT检查结果（略）检查结果（略）5配置步骤Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置NAT实例

27、Page19l#为业务板分配license资源（略）l#配置业务板绑定关系（仅列出关键配置）配置业务板绑定关系（仅列出关键配置）l ME60 service-location 1 ME60-service-location-1 location slot 1 engine 0 backup slot 2 engine 0l ME60 service-location 2 ME60-service-location-2 location slot 2 engine 0 backup slot 1 engine 0l# 建立负载分担的两个实例，业务板互为主备，仅列出部分配置，其他参考前文lME60

28、 nat instance 1 id 1l ME60-nat-instance-1 service-instance-group 1l ME60-nat-instance-1 nat address-group 1lME60-nat-instance-1-nat-address-group-1 section 0 mask 24l ME60-nat-instance-1 nat outbound 2080 address-group 1lME60 nat instance 2l ME60-nat-instance-2 service-instance-group 2

29、lME60-nat-instance-2 nat address-group 1 group-id 1lME60-nat-instance-2-nat-address-group-1 section 0 mask 24l ME60-nat-instance-2 nat outbound 2080 address-group 1Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置domain绑定NATPage20l#这里仅列出关键步骤这里仅列出关键步骤l#配置负载分担的配置负载分担的us

30、er-group1、2lME60 user-group 1lME60 user-group 2l#配置配置domain下绑定两个下绑定两个NAT实例，用户上线自动选择用户量较小的实例。实例，用户上线自动选择用户量较小的实例。lME60-aaa domain domain1lME60-aaa-domain- domain1 user-group 1 bind nat instance 1 lME60-aaa-domain- domain1 user-group 2 bind nat instance 2 Copyright 2009 Huawei Technologies Co., Ltd. A

31、ll rights reserved. 配置Traffic Policy引流Page21l#配置配置UCL，匹配用户组，匹配用户组1、2lME60-acl-ucl-6000 rule 5 permit ip source user-group 1lME60-acl-ucl-6100 rule 5 permit ip source user-group 2l#配置流分类配置流分类lME60-classifier- nat1 if-match acl 6000lME60-classifier- nat2 if-match acl 6100l#配置流动作，注意和域下配置流动作，注意和域下user-g

32、roup与实例的关系保持一致与实例的关系保持一致lME60- behavior nat1 nat bind instance 1lME60- behavior nat2 nat bind instance 2l#配置流策略并在系统视图下绑定配置流策略并在系统视图下绑定lME60- trafficpolicy - nat classifier nat1 behavior nat1lME60- trafficpolicy - nat classifier nat2 behavior nat2lME60 traffic-policy nat inboundCopyright 2009 Huawei

33、Technologies Co., Ltd. All rights reserved. Page22典型应用：集中式NAT444l集中式NAT444配置和分布式的主要区别是无用户上线部分，通过配置ACL并在接口下应用traffic-policy来进行引流。l配置主要关注traffic policy引流配置1配置配置traffic policy引流引流2配置配置NAT实例（略）实例（略）Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置Traffic Policy引流Page23l#配置配置ACL，匹配用户源，

34、匹配用户源 IPlNE40E acl 2100lNE40E -acl-adv-3000 rule 5 permit ip source 55l#配置流分类配置流分类lNE40E traffic classifier nat444lNE40E -classifier- nat444 if-match acl 2100l#配置流动作配置流动作lNE40E traffic behavior nat444lNE40E - behavior - nat444 nat bind instance 1l#配置流策略并在流量入接口绑定配置流策略并在流量入接口绑定lNE40

35、E traffic policy nat444lNE40E - trafficpolicy - nat444 classifier nat444 behavior nat444lNE40E interface GigabitEthernet 6/0/0lNE40E -GigabitEthernet6/0/0traffic-policy nat444 inboundCopyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page24目目 录录1. CGN部署信息收集2. CGN部署&风险评估3. CGN升级升级&

36、amp;割接方案割接方案NAT444部署场景配置DS-Lite部署场景配置部署场景配置框间分布式nat444配置NAT444/DS-Lite域CGN割接改造方案4. CGN巡检及巡检关注点Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. Page25典型应用：IPv6上线+DS-LitelCGN集成在BRAS。l用户CPE通过IPv6单栈接入BRAS，在BRAS上管理用户并进行NAT地址转换。lPPPOEv6/ND/DHCPv6在DS-Lite配置部分无差异。Internet IPv6Internet IPv4

37、IPV6接入网接入网 IPv4 CPE DS-LITE BRAS(DS-LITE)Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置步骤Page26配置配置DSLITE实例实例23配置配置traffic policy4配置用户接入部分（略）配置用户接入部分（略）1配置配置domain绑定绑定DSLITE检查结果（略，同检查结果（略，同NAT）5Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved. 配置DS-Lite实例Page27l

38、#为业务板分配license资源，系统视图下的配置为NAT和dslite共用，均采用NAT关键字lME60 license lME60 active nat session-table size 2 slot 1 engine 0lME60 active nat session-table size 2 slot 2 engine 0l# 建立dslite实例lME60 ds-lite instance 1 id 1l# 配置dslite的隧道端地址lME60- ds-lite -instance-1 local-ipv6 6006:1 prefix-length 64l# 配置允许接入的远端CPE的IPV6地址范围，可配置多个lME60- ds-lite -instance-1 remote-ipv6 2002:1 prefix-length 16l# 配置dslite实例的其他部分，和NAT实例配置一致，这里不再全部列出lME60- ds-lite -instance-1 ds-lite filter mode full-conelME60- ds-lite -instance-1 port