BNG专家组系列培训5-增值业务CGN培训

BNG专家组系列培训—增值业务CGN培训Page1前言IPv4地址即将耗尽，用户发展需求远超地址申请速度。目前IPv6产业链趋向成熟，基本满足向IPv6网络过渡的需要。但是基于IPv6的内容很少，用户缺乏演进到IPv6的动力，所以IPv4和IPv6将在很长时间内处于共存期。需要IPv6过渡技术来解决这个问题－CGN技术。目前CGN单板类型有以下几种：1、VSUA、SPUC（1M、10Gbps/512字节、NAT）2、VSUI-20-A（6M、20Gbps/512字节、NAT、DS-lite）3、VSUF-80、VSUF-160（16M、25Gbps/512字节、NAT、DS-lite）4、VSUF-40、VSUI-20-B（16M、25Gbps/512字节、NAT、DS-lite）Page2目录CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制Page3CGN（Carrier

Grade

NAT）电信级的NAT或者叫运营商级的NAT。NAT444NAT444是IPv6过渡时期的重要技术，NAT444就是二级NAT：CPE一级的NAT44地址转化，网络设备（例如BRAS）一级NAT44地址转化。共二级NAT44地址转化DS-Lite（轻量级双栈Dual-Stack

Lite）轻量级双栈采用的IPv4-in-IPv6隧道，通过隧道，IPv4流量可穿越IPv6网络到达电信级CGN设备(AFTR)，CPE无需对私有IPv4地址进行翻译，从而避免了多级NATCGN基本概念Page4B4（BaseBridgeBroadbandelement）DS-Lite场景下的路由型家庭网关，或者运行DS-Lite客户端的PCAFTR（AddressFamilyTranslationRouter）DS-Lite场景下网络设备功能模块，物理型态可以是独立式或嵌入式，可以以分布式部署在BRAS节点位置,也可以以集中式部署在城域网核心CR路由器位置Port-Range对于每个割接到CGN的私网用户通常需要预先分配一个公网IP的端口段，该端口段用来为私网用户做CGN的公私网转换CGN基本概念NAT部署的基本作用实现公私网分离，保护私网信息安全实现IP地址复用，缓解IPv4公网地址耗尽问题。NAT部署简单分类BasicNATNAPTNAT基本模式三元组NAT五元组NATPage5NAT基础Page6

BasicNAT也叫NO-PAT方式NAT，只转换IP地址，每个私网地址对应一个公网地址。BasicNATPage7NAPT（NetworkAddressPortTranslation）即网络地址端口转换，也叫PAT，同时映射IP地址和端口号。来自不同内部地址的数据报文的源地址可以映射到同一外部地址，但它们的端口号被转换为该地址的不同端口号，因而仍然能够共享同一地址。NAPTPage8NAT设备通过建立三元组（目的地址、目的端口、协议号）表项为依据进行地址分配和报文过滤。此模式又叫全圆锥模式(Full-cone)－适合支持P2P业务，因此在现有的部署场景中绝大多数都是采用三元组。00NAT000:100->0:8000:100<-2:801:10240->0:801:10240<-0:8021:10240<-2:8000:100<-0:80三元组Page9NAT设备通过建立五元组（源地址、源端口号、协议类型、目的地址、目的端口号）表项为依据进行地址分配和报文过滤。此模式又叫对称性模式00NAT000:100->0:8000:100<-0:801:10240->0:801:10240<-0:8021:10240<-2:80五元组Page10ALG(ApplicationLayerGateway)：在NAT中，为特殊的应用程序提供透明转换的功能称为应用层网关。通过ALG功能，NAT不仅针对IP地址、端口号做地址端口映射，同时还对应用层协议中包含的IP地址、端口号等做同步转换，以已保证这些协议能够正常交互。当前版本ALG支持的应用协议及端口号有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060)等。NAT穿越:NAT穿越和NATALG解决的问题一致，都是为了解决网络中存在NAT时应用协议的交互问题，不同之处在于解决问题的出发点不同，NATALG的处理在NAT设备完成，NAT穿越通常是指应用软件能够探测、处理网络中存在NAT的情况，并由应用程序的终端和服务器做特殊处理来保证功能可用。CGNALG溯源：指根据源地址、端口等信息，确定最终用户账号的安全监管要求。BRAS/SRCGNSTBHGDSLAMTVLSWOLTMDUSTBHGTVAAAServer安全监管接入认证1建立连接，发起认证2用户认证记录用户私有地址3给用户分配私有IPv4地址用户溯源1私有源地址访问请求2公有源地址访问请求1根据公有IP地址查询用户信息2用户信息NAT导致溯源失败的原因：用户报文在NAT转换前后的源地址不同，安全监管机构只能获得NAT转换后的用户信息。这个地址在AAA没有任何记录转换后的记录。因此，无法完成正常的用户信息反查和用户溯源。NAT部署引起的溯源问题Page12NAT溯源：NAT特性的部署隐藏了私网用户的IP地址信息，各个国家安全部门对NAT部署的很重要的要求是具备可溯源的能力，即可以根据”公网IP地址＋端口号”查询到私网用户的IP地址，进一步锁定具体用户。CGN溯源方式：包含用户日志和流日志，其中用户日志分为syslog和Radius两种格式，流日志分为syslog和elog两种格式。优缺点：用户日志，日志量小，不能精准溯源；

流日志，日志量太大，能精准溯源。综合考虑推荐使用三元组、port-range情况下的用户日志CGN溯源Page13端口预分配：端口预分配又称为PortRange模式，是指CGN在进行私网地址与公网地址映射时，预先给一个私网地址分配一个公网地址和一个端口段，该私网地址所有的NAT映射都使用该公网地址和端口段中的端口会话限制：NAT444如果某些用户发起DoS攻击（例如发起SYN-Flood攻击），就可能将CGN所有的流表资源耗尽，导致其他正常用户无法建立流表，从而无法访问网络。因此，可以对某个用户的TCP/UDP/ICMP/TOTOL会话总数进行限制，如果超过了阈值，则不能再新建会话。目前版本默认使能该限制CGN安全性Page14License<Huawei>displaylicense

LME0FWF01FunctionYESFirewallforSSUvsuaLME0SNAT00Resource1NATforSPUCspucLME0NATDS00Resource2562MNATSessioncgn1.5/cgn2.0LME0DSLITEDS00Resource32DS-litelicensecgn1.5LME0DSLITE01Resource32DS-LiteLicenseforVSUFcgn2.0Page15目录CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制Page16ServerFarmAAAServerDNSServerPCCPEBRASCGNCRInternetDSLAMMxU/OLT用户使用默认域上线BRAS上送AAA接入认证AAA上维护的用户域：公网域：现网域名维持不变新增1个私网域：2)私网域：NATAAA下发对应域名如：NAT认证响应保持用户上线习惯不变由RadiusServer下发用户域信息，对用户控制更为灵活，回退方便CGN基本组网Page17CPE拨号到BARS（BRAS集成CGN）上线，BRAS为CPE分配上线地址以及对应NAT地址和端口段。当终端用户对外发起访问时，CPE对用户PC发出报文进行一次NAT转换，BRAS对CPE发出报文做第二次转换，因为网络中存在两次地址转换，同时由于CGN功能分布在各个BRAS接入点，从组网部署上称为分布式NAT444解决方案。NAT444分布式方案用户接入和CGN无缝结合：支持PPPOE/IPOE/L2TP/WEB等接入用户做上线时的NAT端口预分配处理，可以按照用户域、用户ID等信息查询该用户对应的NAT资源分配、表项转换信息，支持用户计费报文实时上报NAT端口段信息到Radius服务器来完成溯源。有序化的端口预分配管理：传统NAT转换通常按照用户流进行分配，每条用户流分配一个端口，容易造成个别用户会挤占大量资源，特别是溯源需要逐流发送NAT日志，对周边系统消耗大。通过端口预分配，用户上线分配一个端口段，下线释放端口段，用户的资源分配相对公平，更重要的是用户上线和下线阶段分别发送一条NAT日志即可完成溯源，且可将用户的NAT地址和端口段上送Radius服务器完成实时溯源。Page18NAT444分布式方案灵活可控的业务回退管理：针对部分高端用户，或明确要求分配公网地址的用户，通过Radius下发域名的方式将用户回退到公网域分配公网地址，保证满足各类用户不同的上网需求。公私分明的网络规划管理：私网路由终结到BRAS，公私网路由只在BRAS做分割，每台BRAS拥有独立的私网地址空间，方便网络规划和管理。Page19NAT444分布式方案Page20CPE拨号到BARS（BRAS集成CGN）上线，BRAS为CPE分配私网地址。不同BRAS下挂CPE发出的报文统一发送到CGN设备（CGN可以集成到SR上或旁挂到SR、CR设备）做集中处理。集中式部署主要适用于现网设备已经固定、无法直接升级支持CGN的情况。NAT444集中式方案Page21在接入网已经完成IPv6改造，BRAS可以采用升级的方式按照分布式组网部署DS-Lite。CPE/B4通过IPv6上线，同时BRAS为其分配DS-Lite业务的IPv4公网地址和端口段，并支持一体化的用户和CGN业务的管理，灵活的溯源跟踪。InternetIPv6InternetIPv4IPV6接入网IPv6IPv4AFTR(DS-Lite)IPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6CPE/B4(DS-Lite)BRASDS-Lite分布式方案Page22在城域网已经IPv6改造完成，城域网和接入网均已经简化为仅需支持IPv6转发的过渡阶段，可以按照集中组网部署DS-Lite，将CGN旁挂或部署到SR/CR设备。InternetIPv6InternetIPv4MANV6IPv6IPv4BRASCRIPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6AFTR(DS-Lite)CPE/B4(DS-Lite)DS-Lite集中式方案Page23典型方案配置CGN部署方案参考资料，需要先登陆support网站，再点击以下链接：/support/pages/navigation/gotoKBNavi.do?actionFlag=getAllJsonData&materialType=&colID=ROOTWEB|CO0000000064&level=4&itemId=000000010317&itemId0=29-44&itemId1=000000010001&itemId2=000000010016&itemId3=000000010060&itemId4=000000010317&itemId5=&itemId6=&itemId7=&itemId8=&itemId9=&materialType=&isHedexDocType=&pageSize=20Page24AAA溯源基于Radius扩展的溯源方式CGN日志服务器溯源Syslog类型用户日志格式包含电信、联通、华为格式。(注释：此类型用户日志必须在port-range模式下)流日志包含syslog格式和Elog格式CGN溯源Portrange的端口预分配：基于每用户分配公网地址和对应的预分配端口块，易于实现用户溯源；无需基于每Session记录日志信息，大幅减少CGN海量日志，有效降低系统负荷压力；可以采用Syslog格式输出日志；能够确保用户上网阶段使用唯一的公网地址及端口段。如何触发端口预分配机制？

BRAS/SR集成CGN：用户上线时预留公网IP端口块，下线时释放端口块。CGN独立设备部署：数据流到达触发预留端口块（通过相同的源IP识别)，通过老化机制释放。PrivateIPv4PublicIPv4Startport1Endport1…20486143…0614410239…BRASCGNCRPCPrivateIPv4PublicAddressPool::-…port-range4096InternetIPv4IPv4IPv4IPv4PrivateIPv40CPECPECGN溯源基础：基于端口预分配Page26基于AAA服务器溯源方案电信规范称为“BRAS上报映射表”适用于BRAS插卡的CGN部署方式，由BRAS生成用户地址映射关系，并上报AAA，无需部署专门的日志服务器；BRAS通过Port-range方式为用户地址选择公网IP地址及对应的端口块，创建用户地址映射关系，保证为不同私网用户地址选择不同的（公网IP地址及对应的端口块）；BRAS通过扩展Radius属性，在accounting-Request消息中上报用私网户地址对应的公网IP地址、端口块等信息；即：通过Radius报文传送日志信息；AAA获得私网用户地址、公网IP地址、端口块等信息，并维持与用户信息的对应关系。BRAS集成CGN3222111每个BRAS创建用户地址映射关系，BRAS集成CGNBRAS集成CGNBRAS通过Radius属性，上报用户映射关系给AAAAAA维护地址映射关系和用户信息的对应关系表。NAT-IP-Address：26-161NAT转换后的公有地址NAT-Port-Start：26-162NAT转换后的起始端口号NAT-Port-End：26-163NAT转换后的终止端口号AAAServerPage27Syslog/Elog格式溯源方案安全机构通过查询logserver，溯源用户信息适用于所有集中式CGN部署场景通常Logserver会储存至少3~6个月的用户日志LogserverCGNCGNCGN222111CGN生成私网地址和公网地址&端口范围的映射关系，CGN将包含用户地址映射关系的日志信息通过elog/syslog方式上报logserverLogserver维护用户日志信息：包括时间段、私网地址&端口、用户地址&端口、目的地址&端口等Page28目录CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制创新灵活子卡

创新灵活子卡，实现平滑扩容，保护已有投资形态容量描述VSUF-16080G双子卡槽VSUF-8040G单子卡槽Sub-card40G灵活子卡，可以插到VSUF-160/VSUF-80.bandwidthVSUF-80VSUF-80+

sub-cardVSUF160+sub-card40G80G160G灵活的端口分配方式CGN业务流程：用户到网络的流量是接口板通过流策略方式把流量引入到VSUF业务板，业务板负责CGN的处理，完成后再交给接口板发到网络侧。网络到用户的流量是接口板通过查找NAT公网地址池FIB的方式把流量引到VSUF业务板，业务板负责CGN的处理，完成后再交给接口板发到用户侧。Page30SFULPU1LPU2VSUF(CGN)123567用户侧网络侧CGN业务流程简介Page31CGN故障处理流程基本定位思路1、首先要定界，问题的故障节点是ME60，通过流统方式确定故障节点。2、如果故障定界在ME60设备上，还需要定界是接口板问题，还是VSUF业务板问题，通过查看相关处理芯片确定。Page32CGN故障处理流程定界思路：网络侧和用户侧部署流量统计。1、网络侧流量统计的方法：

如：用户ip为0，用户访问目的IP(上行设备直连接口地址)：，分配的公网ip是，网络测接口为GE2/1/1。配置举例：aclnumber3100rule5permiticmpsource0destination0//

匹配到网络侧出去的正向流量rule10perminticmpsource0destination0//

匹配从网络侧回来的反向流量Trafficclassifier3100operatororif-matchacl3100Trafficbehavior3100//动作内容为空Trafficpolicy3100statisticsenable//使能流量统计功能classifier3100behavior3100InterfaceGigabitEthernet2/1/1undoshutdownipaddresstraffic-policy3100outbound//匹配出方向的流量

traffic-policy3100inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1outboundverboserule-basedclass3100[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1inboundverboserule-basedclass3100

Page33CGN故障处理流程2、用户侧流量统计的方法：

如：用户ip为0，用户访问目的IP(上行设备直连接口地址)：。配置举例：aclnumber6200rule1permiticmpsourceuser-groupnat444destinationip-address0//

匹配用户侧到网络侧的明细流量rule2permiticmpsourceip-address0destinationuser-groupnat444//

匹配用户侧到网络侧的明细流量rule5permitipsourceuser-groupnat444//

匹配用户侧到网络侧的总体流量Trafficclassifier6200operatororif-matchacl6200Trafficbehavior6200//动作内容为空

natbindinstancenat444Trafficpolicy6200statisticsenable//使能流量统计功能classifier6200behavior6200全局下发：

traffic-policy6200outbound//匹配出方向的流量

traffic-policy6200inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsuclinboundverboserule-basedclass6200[huawei]displaytrafficpolicystatisticsucloutboundverboserule-basedclass6200

注：在配置用户侧流统时，首先在部署上流统后，观察是否能统计到流量，如果能统计到，则需要更换目的地址，可以使用，前提是在设备上ping不丢包。Page34

NAT故障处理流程Page34Page35

NAT故障处理流程Page35步骤一：报文是否到达业务板TM

报文从接口板进入业务板，首先到达TM。如果TM没有进入的报文计数，说明报文没有进入业务板。

查询命令，进入诊断试图：

displaytm70received-packetsTM收到的报文计数//7号单板为业务板步骤二：报文是否到达CPU

报文从TM进入CPU，如果是首包，会先建立会话表，然后根据会话表做NAT转换，然后根据目的IP查询FIB进行报转发。后续报文直接查询会话表，如果匹配会话表的话进行NAT转换，然后根据目的IP查询FIB进行转发。确认报文是否到达CPU，查询命令：displaynatstatisticsreceivedslot7engine0步骤三：在CPU上是否建立用户表

分布式场景用户上线的时候就会创建用户表。查询CPU上是否创建用户表，查询命令：displaynatuser-information

Page36

NAT故障处理流程Page36步骤四：在CPU上是否建立会话表首包创建会话表，后续包直接查询会话表，然后进行nat转换。三元组模式会话表的目的IP和端口无法看到，五元组模式可以查看到目的IP和端口。会话表查询命令：displaynatsessiontableslot7engine0

查询cpu上的所有会话信息

displaynatsessiontableslot7engine0verberse查询会话表向信息

步骤五：报文是否从CPU发送出去查询命令：displaynatstatisticstransmittedslot7engine0如果报文没有从CPU发送出去，可能是因为某种原因丢包：查询命令：displaynatstatisticsdiscardslot7engine0如果报文没有从CPU发送出去，可能是会话资源耗尽：查询命令：displaynatstatisticstableslot7engine0步骤六：报文是否到TM并且从TM发送出去报文做完nat转换之后，根据目的IP查询FIB，根据路由信息将报文转发到接口板。从CPU出来，首先进入TM，然后经过交换网板，进入接口板。确认报文进入TM和从TM转发出去的查询命令：displaytm70transmitted-packetsTM发送报文计数Page37

NAT故障处理流程Page37从交换网板出来，首先到达业务板的TM。查看报文是否到达TM下行，通过命令行查看计数，多次查询看是否计数有增长[huawei-diagnose]displaytm70received-packetsTMIRxReceivedTotal0x00000000028bpackets(0x000000080ca4bytes)(UC)收到的单播报文TMIRxReceivedTotal0x000000000516packets(MC)TMIRxSP:0COS:7Received0x00000516packets(0x00102374bytes)TMIRxSP:63COS:7Received0x0000028bpackets(0x0000a2c0bytes)TMERxSB(6)Received0x00000002packets(0x00000458bytes)TMERxSB(7)Received0x00000003packets(0x00000684bytes)2.查看报文是否到达CPU[huawei-diagnose]displaynatstatisticsreceivedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Packetsreceivedfrominterface:390243177CPU收到从TM过来的报文计数Packetsreceivedfrommainboard:4040

Packetsreceivedbynatentry:390242120送到NAT模块处理的报文计数

NAT故障处理流程<huawei>displaynatstatisticsglobalslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:5Engine:0Totalnumberofreceivedpackets:1361659434Totalnumberoftransmittedpackets:283041568

Sessiontablenumber:16710283Usertablenumber:99547totalsetupsessions:196586555totalteardownsessions:1798762723.查看是否在业务板上建立用户表先查到用户的Id[huawei]displayaccess-useruser-id1

Useraccessindex:1State:UsedUsername:user#Domainname:yxmaUserbackupstate:NoUseraccessinterface:GigabitEthernet2/1/0UseraccessPeVlan/CeVlan:-/-Useraccessslot:2UserMAC:0030-0101-0101

UserIPaddress:53Usergatewayaddress:Page39

NAT故障处理流程Page39业务板上的用户表信息[huawei-diagnose]displayNATuser-informationuser-id1slot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Totalnumber:1.

CPEIP:52VPNInstance:-

PublicIP:09

StartPort:1024

PortRange:4096ExtendPortAllocTimes:0ExtendPortAllocNumber:0First/Second/ThirdExtendPortStart:0/0/0Total/TCP/UDP/ICMPSessionLimit:8192/10240/10240/512Total/TCP/UDP/ICMPSessionCurrent:1/0/1/0Total/TCP/UDP/ICMPPortLimit:0/0/0/0Total/TCP/UDP/ICMPPortCurrent:1/0/1/0NatALGEnable:NULL

Page40NAT故障处理流程Page40

4.查看业务板上的是否有会话表[huawei]displaynatsessiontableslot7engine0verbose

Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Currenttotalsessions:1.

udp:53:234[63:1037]-->*:**:*-->63:1037[53:234]NATInstance:nat444User-id:1VPN:>-Tag:0x2,FixedTag:0x1,Status:hit,Create:2010-1-1608:10:26,TTL:00:04:00,Left:00:04:00,MasterAppProID:0x0,CPEIP:53,FwdType:NATPTStatus:hit表示有报文命中会话Create:2010-1-1608:10:26会话表创建的时间TTL:00:04:00会话老化时间Left:00:04:00剩余老化时间<hauwei>displaynatstatisticstableslot7Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Servermaptblnumber:252FragSsntblnumber:23521Totalcurrentnat444sessionsinMemory:780020TotalcurrentdslitesessionsinMemory:0currentsessionspeed(num/s):2500Page41NAT故障处理流程Page415.查看报文是否从CPU发送出去[cgn]displaynatstatisticstransmittedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Packetstransmittedtointerface:132Packetstransmittedtomainboard:132sessionlogpacketstransmitted:0userlogpacketstransmitted:0

Transparentpacketwithnat:29684258做完nat发送出去的报文计数

Transparentpacketwithoutnat:0没有做nat发送出去的报文计数

查看报文是否在CPU丢包[cgn-diagnose]displaynatstatisticsdiscardslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Fibmissdiscard:2190892444没有路由导致丢包查看路由方法：[huawei]displayiprouting-table[huawei]displayfib7[huawei-diagnose]displaycgntablemodulefpislot7table-typefib4dipvrfid0Page42

NAT故障处理流程Page426.报文是否从TM发送到网板[huawei-diagnose]displaytm70transmitted-packetsTMITxTB:24COS:0Transmit0x000000000001packets(0x0000000005ddbytes)从TM发送到交换网板的报文TMITxMulticastCOS:0Transmit0x000000000002packets(0x000000000621bytes)TMETxTP:0COS:7Transmit0x00000005c924packets(0x000006dedac0bytes)TMETxTP:1COS:0Transmit0x000000000008packets(0x000000000d3abytes)TMETxTP:65COS:0Transmit0x000000000006packets(0x000000000174bytes)7.查看VSUF单板是否超性能<huawei>displaynatstatisticspayloadThisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0currentreceivepacketspeed(pps):403166currentreceivepacketbitspeed(bps):2881406928currenttransmitpacketspeed(pps):321866currenttransmitpacketbitspeed(bps):992841600标红的结果相加，查看是否超过了VSUF单板的转发性能，receive是网络到用户的流量，transmit是用户到网络的流量。Page43

NAT故障处理流程Page438.查看单个用户会话信息命令行查询单个用户支持使用五元组方式过滤查询单个用户的会话信息。<huawei>displaynatsessiontable?cpeCustomerPremisesEquipmentdestinationDestinationIPdestination-portDestinationportinformationdestination-vpn-instanceDestinationVPNinstanceinformationdslite-instanceInstanceviewnat-instanceInstanceviewprotocolProtocolinformationslotSlot-idsourceSourceIPsource-vpn-instanceSourceVPNinstanceinformationuser-idUserIDverboseDetailinformation<cr>Page44

常用维护命令displaylicense//查看license资源里是否有nat资源displaynatsession-tablesize//查询给业务板分配的会话资源displaynatsessiontable//查询会话表displaynatinstancename//

查询实例信息displaynatsessionaging-time//查看会话老化时间displayservice-location//查看实例下配置的单板的主备状态（配置和实际）displaynatuser-information//查看业务板用户表信息displaynataddress-usageinstancexxaddress-groupxx//查询某个实例地址池地址使用率displaynatstatisticsalg//alg统计报文displaynatstatisticsglobal//全局统计报文

displaynatstatisticsdiscard//丢包统计报文

displaynatstatisticsreceived//业务板cpu收到的报文计数displaynatstatisticssession-usage//业务板会话使用率

displaynatstatisticstable//业务板会话统计displaynatstatisticstransmittedslotx//从业务板发送出去的报文displaynatstatisticsreceivedslotx//从业务板接收到的报文案例1：在nat实例下绑定业务CGN1.5单板失败。现象在nat实例下add业务板时，返回错误，业务板add失败。[HUAWEI-nat-instance-1]addslot3masterError:Thenatsessionlicenseofthisslotisinvalid.问题原因

1、业务板没有分配会话资源，就不能建立会话。所以，在nat实例下add业务板时，必须先给业务板分配会话资源，否则add单板失败。2、license中未包含CGNlicense项。解决方法1、申请正确的CGNlicense2、首先给单板分配会话资源，然后再在实例下add业务板。

给业务板分配nat会话资源的方法：natsession-tablesize2Mslot8说明

cgn2.0通过在实例下绑定service-instance-group的方式绑定单板CPU，流量会因为没有license而转发不通。

Page45

案例2：natoutbound中ACL规则漏配。

现象nat用户上线失败，失败原因是：Onlinefailreason:Addnatuserdatafail(SynUserToCPUFail)问题原因

1、匹配引流策略引到业务板的报文，必须匹配natoutbound中的acl规则，才会从对应的地址池中给用户分配公网ip和端口，用户才能成功上线。否则，如果在outbound中找不到匹配的acl规则，用户上线失败。

如果nat域下的地址池包含2个C地址，但是绑定outbound的acl规则中漏掉一个C地址，就会出现这种现象。2、如下配置，遗漏~网段：aclnumber3001rule5permitipsource55rule10permitipsource55解决方法修改配置在acl规则中添加漏掉的私网地址。natoutbound中绑定的acl规则中包含的地址一定要与nat域下面的ippool中的地址相同。

Page46

案例3：CGNlicense申请错误，导致业务中断。

现象

设备打上新申请的CGNlicense后，业务中断。问题原因NAT业务目前有VSUA、SPUC、VSUI-20A单板可以支持，其中VSUA、SPUC单板的license和VSUI-20A单板的license是不一样。一线错误的申请了VSUA、SPUC单板的license，导致CGN业务中断。各单板license区别：LME0SNAT00NATforSPUCVSUA、SPUCLME0NATDS002MNATSession VSUI-20-A/VSUF-80规避方法第一时间去其他现网设备取下CGNlicense，该license分配的session数要与该设备一样多，打上其他设备取来的license，业务可以恢复。解决方法

重新申请CGNlicense，在设备上激活，业务就正常。

Page47

案例4：部分用户回程流量不通。

现象

用户上线后，无法访问网络，但重新上线后，又可以正常访问网络。问题原因

1、NAT实例下部分NAT公网池地址，被其他设备占用，这样上游设备的回程路由无法指回到ME60设备，导致回程流量丢弃。2、用户上线时，如果分配到已经被其他设备占用的NAT公网地址，这样就无法访问网络，再重新上线后，分配到其他NAT公网地址，又可以正常访问网络。规避方法如果私网IP地址足够用，可以把NAT地址转换错误的私网地址池（ippool）锁住，让后续上线用户申请正确的私网地址。解决方法

锁住domain域，cut所有用户，修改NAT公网池地址。

Page48

案例5：公私网比例配置超大，导致用户无法上线。

现象某局点升级割接后，发现大量CGN用户无法上线，失败原因(Addnatuserdatafail(PortPreAllocFail))问题原因

查看NAT实例下配置：nataddress-groupzndx-inter-154port-range4096

那么推荐配置1个C网段的公网地址，可以支持12个C网段私网地址。

查看设备natoutbound2501address-groupzndx-inter-1aclnumber2501rule5permitsource55

配置16个C网段私网地址，超过公私网比例，导致后上线用户无法分配到公网地址上线失败。解决方法

重新规划公私网比例，推荐配置1：12。

Page49

案例6：公网池地址和黑洞路由冲突，导致回程流量丢弃。

现象某局点升级上V6R5C00SPCB00版本后，发现大量CGN用户可以上线，但无法访问网络。问题原因1、动态路由协议引入NAT公网地址池的黑洞路由发布到上游设备，使回程流量能引到ME60设备。2、NAT实例下配置：nataddress-group10mask24

同时设备上配置黑洞路由iproute-staticNULL03、由于黑洞路由和NAT地址池UNR路由都是在ME60都生成24位掩码路由，由于黑洞路由优先级为60比NAT地址池路由64高，因此用户的回程流量在ME60上命中黑洞路由而丢弃。解决方法1、修改黑洞路由掩码，回程流量会根据最长匹配原则先命中掩码长的路由。iproute-staticNULL02、删除黑洞路由，通过策略路由方式引入NAT公网池地址的UNR路由发布。

Page50

案例7：UNR路由导致上游设备路由超规格。

现象上游设备接收到了大量的UNR明细路由，导致路由超规格。问题原因nat实例配置：natinstance10id10port-range4096service-instance-group10nataddress-groupUNINORgroup-id10section055section155natoutboundanyaddress-groupUNINOR

这样