bng專家組系列培訓5-增值業(yè)務(wù)cgn培訓

1、BNG專家組系列培訓—增值業(yè)務(wù)CGN培訓,,Page1,前 言,IPv4地址即將耗盡，用戶發(fā)展需求遠超地址申請速度。目前IPv6產(chǎn)業(yè)鏈趨向成熟，基本滿足向IPv6網(wǎng)絡(luò)過渡的需要。但是基于IPv6的內(nèi)容很少，用戶缺乏演進到IPv6的動力，所以IPv4和IPv6將在很長時間內(nèi)處于共存期。需要IPv6過渡技術(shù)來解決這個問題－CGN技術(shù) 。目前CGN單板類型有以下幾種：1、VSUA、SPUC（1M、10Gbps/512字節(jié)、NAT）

2、2、VSUI-20-A（6M、 20Gbps/512字節(jié)、NAT、DS-lite）3、VSUF-80、VSUF-160（16M、 25Gbps/512字節(jié)、NAT、DS-lite ）4、VSUF-40、VSUI-20-B （16M、 25Gbps/512字節(jié)、NAT、DS-lite）,Page2,目 錄,CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制,Page3,CGN（Carrier Grade

3、NAT）電信級的NAT或者叫運營商級的NAT。NAT444NAT444是IPv6過渡時期的重要技術(shù)，NAT444就是二級NAT：CPE一級的NAT44地址轉(zhuǎn)化，網(wǎng)絡(luò)設(shè)備（例如BRAS）一級NAT44地址轉(zhuǎn)化。共二級NAT44地址轉(zhuǎn)化DS-Lite（輕量級雙棧 Dual-Stack Lite）輕量級雙棧采用的IPv4-in-IPv6隧道，通過隧道，IPv4流量可穿越IPv6網(wǎng)絡(luò)到達電信級CGN設(shè)備(AFTR)，CPE無需對私有I

4、Pv4地址進行翻譯，從而避免了多級NAT,CGN 基本概念,Page4,B4 （Base Bridge Broadband element）DS-Lite場景下的路由型家庭網(wǎng)關(guān)，或者運行DS-Lite客戶端的PCAFTR（Address Family Translation Router）DS-Lite場景下網(wǎng)絡(luò)設(shè)備功能模塊，物理型態(tài)可以是獨立式或嵌入式，可以以分布式部署在BRAS節(jié)點位置,也可以以集中式部署在城域網(wǎng)核心CR路由器

5、位置Port-Range 對于每個割接到CGN的私網(wǎng)用戶通常需要預先分配一個公網(wǎng)IP的端口段，該端口段用來為私網(wǎng)用戶做CGN的公私網(wǎng)轉(zhuǎn)換,CGN 基本概念,NAT部署的基本作用實現(xiàn)公私網(wǎng)分離，保護私網(wǎng)信息安全實現(xiàn)IP地址復用，緩解IPv4公網(wǎng)地址耗盡問題。NAT部署簡單分類Basic NATNAPTNAT基本模式三元組NAT五元組NAT,Page5,NAT 基礎(chǔ),Page6,Basic NAT也叫NO-PAT方式 N

6、AT，只轉(zhuǎn)換IP地址，每個私網(wǎng)地址對應(yīng)一個公網(wǎng)地址。,Basic NAT,Page7,NAPT（Network Address Port Translation）即網(wǎng)絡(luò)地址端口轉(zhuǎn)換，也叫PAT，同時映射IP地址和端口號。來自不同內(nèi)部地址的數(shù)據(jù)報文的源地址可以映射到同一外部地址，但它們的端口號被轉(zhuǎn)換為該地址的不同端口號，因而仍然能夠共享同一地址。,NAPT,Page8,NAT設(shè)備通過建立三元組（目的地址、目的端口、協(xié)議號）表項為依據(jù)進行

7、地址分配和報文過濾。此模式又叫全圓錐模式(Full-cone)－適合支持P2P業(yè)務(wù)，因此在現(xiàn)有的部署場景中絕大多數(shù)都是采用三元組。,10.1.1.200,NAT,121.12.124.20,131.15.124.22,,,三元組,Page9,NAT設(shè)備通過建立五元組（源地址、源端口號、協(xié)議類型、目的地址、目的端口號）表項為依據(jù)進行地址分配和報文過濾。此模式又叫對稱性模式,10.1.1.200,NAT,121.12.124.20,13

8、1.15.124.22,,,,五元組,Page10,ALG(Application Layer Gateway)：在NAT中，為特殊的應(yīng)用程序提供透明轉(zhuǎn)換的功能稱為應(yīng)用層網(wǎng)關(guān)。通過ALG功能，NAT不僅針對IP地址、端口號做地址端口映射，同時還對應(yīng)用層協(xié)議中包含的IP地址、端口號等做同步轉(zhuǎn)換，以已保證這些協(xié)議能夠正常交互。當前版本ALG支持的應(yīng)用協(xié)議及端口號有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060

9、) 等。NAT穿越:NAT穿越和NAT ALG解決的問題一致，都是為了解決網(wǎng)絡(luò)中存在NAT時應(yīng)用協(xié)議的交互問題，不同之處在于解決問題的出發(fā)點不同， NAT ALG的處理在NAT設(shè)備完成， NAT穿越通常是指應(yīng)用軟件能夠探測、處理網(wǎng)絡(luò)中存在NAT的情況，并由應(yīng)用程序的終端和服務(wù)器做特殊處理來保證功能可用。,CGN ALG,,溯源：指根據(jù)源地址、端口等信息，確定最終用戶賬號的安全監(jiān)管要求。,BRAS/SR,CGN,,,STB,HG,DSL

10、AM,TV,LSW,OLT,MDU,,,STB,HG,TV,,,,,AAA Server,安全監(jiān)管,,,,,,,,,,,,,,,接入認證,,1,建立連接，發(fā)起認證,,2,用戶認證,記錄用戶私有地址,,3,給用戶分配私有IPv4地址,用戶溯源,,1,私有源地址訪問請求,2,公有源地址訪問請求,1,根據(jù)公有IP地址查詢用戶信息,,,,2,用戶信息,NAT導致溯源失敗的原因：用戶報文在NAT轉(zhuǎn)換前后的源地址不同，安全監(jiān)管機構(gòu)只能獲得NAT轉(zhuǎn)

11、換后的用戶信息。這個地址在AAA沒有任何記錄轉(zhuǎn)換后的記錄。因此，無法完成正常的用戶信息反查和用戶溯源。,,,NAT部署引起的溯源問題,Page12,NAT溯源：NAT特性的部署隱藏了私網(wǎng)用戶的IP地址信息，各個國家安全部門對NAT部署的很重要的要求是具備可溯源的能力，即可以根據(jù)”公網(wǎng)IP地址＋端口號”查詢到私網(wǎng)用戶的IP地址，進一步鎖定具體用戶。CGN溯源方式：包含用戶日志和流日志，其中用戶日志分為syslog和Radius兩種格式，

12、流日志分為syslog和elog 兩種格式。優(yōu)缺點：用戶日志，日志量小，不能精準溯源； 流日志，日志量太大，能精準溯源。綜合考慮推薦使用三元組、port-range情況下的用戶日志,CGN 溯源,Page13,端口預分配：端口預分配又稱為Port Range模式，是指CGN在進行私網(wǎng)地址與公網(wǎng)地址映射時，預先給一個私網(wǎng)地址分配一個公網(wǎng)地址和一個端口段，該私網(wǎng)地址所有的NAT映射都使用該公網(wǎng)地址和端

13、口段中的端口會話限制： NAT444如果某些用戶發(fā)起DoS攻擊（例如發(fā)起SYN-Flood攻擊），就可能將CGN所有的流表資源耗盡，導致其他正常用戶無法建立流表，從而無法訪問網(wǎng)絡(luò)。因此，可以對某個用戶的TCP/UDP/ICMP/TOTOL會話總數(shù)進行限制，如果超過了閾值，則不能再新建會話。目前版本默認使能該限制,CGN 安全性,Page14,License,display license ---------------------

14、----------------------------------------LME0FWF01 Function YES Firewall for SSU ------vsua LME0SNAT00 Resource 1 NAT for SPU C --------spuc LME0NATDS00 Resource 256 2M NA

15、T Session ------cgn1.5/cgn2.0LME0DSLITEDS00 Resource 32 DS-lite license --------cgn1.5LME0DSLITE01 Resource 32 DS-Lite License for VSUF ------cgn2.0,Page15,目 錄,CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套

16、、規(guī)格與限制,Page16,,,Server Farm,AAA Server,DNS Server,PC,CPE,BRAS,CGN,CR,Internet,DSLAMMxU/OLT,用戶使用默認域上線,,,BRAS上送AAA接入認證,,AAA上維護的用戶域：公網(wǎng)域：現(xiàn)網(wǎng)域名維持不變新增1個私網(wǎng)域：2) 私網(wǎng)域：NAT,AAA下發(fā)對應(yīng)域名如：NAT,,認證響應(yīng),,保持用戶上線習慣不變由Radius Server下發(fā)用戶域信息，

17、對用戶控制更為靈活，回退方便,CGN 基本組網(wǎng),Page17,CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配上線地址以及對應(yīng)NAT地址和端口段。當終端用戶對外發(fā)起訪問時，CPE對用戶PC發(fā)出報文進行一次NAT轉(zhuǎn)換，BRAS對CPE發(fā)出報文做第二次轉(zhuǎn)換，因為網(wǎng)絡(luò)中存在兩次地址轉(zhuǎn)換，同時由于CGN功能分布在各個BRAS接入點，從組網(wǎng)部署上稱為分布式NAT444解決方案。,NAT444分布式方案,用戶接入和CGN無縫結(jié)合

18、：支持PPPOE/IPOE/L2TP/WEB等接入用戶做上線時的NAT端口預分配處理，可以按照用戶域、用戶ID等信息查詢該用戶對應(yīng)的NAT資源分配、表項轉(zhuǎn)換信息，支持用戶計費報文實時上報NAT端口段信息到Radius服務(wù)器來完成溯源。有序化的端口預分配管理：傳統(tǒng)NAT轉(zhuǎn)換通常按照用戶流進行分配，每條用戶流分配一個端口，容易造成個別用戶會擠占大量資源，特別是溯源需要逐流發(fā)送NAT日志，對周邊系統(tǒng)消耗大。通過端口預分配，用戶上線分配一個端

19、口段，下線釋放端口段，用戶的資源分配相對公平，更重要的是用戶上線和下線階段分別發(fā)送一條NAT日志即可完成溯源，且可將用戶的NAT地址和端口段上送Radius服務(wù)器完成實時溯源。,Page18,NAT444分布式方案,靈活可控的業(yè)務(wù)回退管理：針對部分高端用戶，或明確要求分配公網(wǎng)地址的用戶，通過Radius下發(fā)域名的方式將用戶回退到公網(wǎng)域分配公網(wǎng)地址，保證滿足各類用戶不同的上網(wǎng)需求。公私分明的網(wǎng)絡(luò)規(guī)劃管理：私網(wǎng)路由終結(jié)到BRAS，公私網(wǎng)

20、路由只在BRAS做分割，每臺BRAS擁有獨立的私網(wǎng)地址空間，方便網(wǎng)絡(luò)規(guī)劃和管理。,Page19,NAT444分布式方案,Page20,CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配私網(wǎng)地址。不同BRAS下掛CPE發(fā)出的報文統(tǒng)一發(fā)送到CGN設(shè)備（CGN可以集成到SR上或旁掛到SR、CR設(shè)備）做集中處理。集中式部署主要適用于現(xiàn)網(wǎng)設(shè)備已經(jīng)固定、無法直接升級支持CGN的情況。,NAT444集中式方案,Page21,在接入

21、網(wǎng)已經(jīng)完成IPv6改造，BRAS可以采用升級的方式按照分布式組網(wǎng)部署DS-Lite。CPE/B4通過IPv6上線，同時BRAS為其分配DS-Lite業(yè)務(wù)的IPv4公網(wǎng)地址和端口段，并支持一體化的用戶和CGN業(yè)務(wù)的管理，靈活的溯源跟蹤。,Internet IPv6,Internet IPv4,IPV6接入網(wǎng),IPv6,IPv4,AFTR(DS-Lite),,IPv4 header,,IPv4 data,,IPv4 header,,IPv

22、4 data,,IPv6 header,Tunnel: IPv4 In IPv6,,IPv4 header,,IPv4 data,,,Tunnel: IPv4 In IPv6,CPE/B4(DS-Lite),BRAS,DS-Lite 分布式方案,Page22,在城域網(wǎng)已經(jīng)IPv6改造完成，城域網(wǎng)和接入網(wǎng)均已經(jīng)簡化為僅需支持IPv6轉(zhuǎn)發(fā)的過渡階段，可以按照集中組網(wǎng)部署DS-Lite，將CGN旁掛或部署到SR/CR設(shè)備。,Internet

23、 IPv6,Internet IPv4,MANV6,IPv6,IPv4,BRAS,CR,,IPv4 header,,IPv4 data,,IPv4 header,,IPv4 data,,IPv6 header,Tunnel: IPv4 In IPv6,,IPv4 header,,IPv4 data,,,Tunnel: IPv4 In IPv6,AFTR(DS-Lite),CPE/B4(DS-Lite),DS-Lite 集中式方案,P

24、age23,典型方案配置,CGN部署方案參考資料，需要先登陸support網(wǎng)站，再點擊以下鏈接：http://support.huawei.com/support/pages/navigation/gotoKBNavi.do?actionFlag=getAllJsonData&materialType=&colID=ROOTWEB|CO0000000064&level=4&itemId=00000001

25、0317&itemId0=29-44&itemId1=000000010001&itemId2=000000010016&itemId3=000000010060&itemId4=000000010317&itemId5=&itemId6=&itemId7=&itemId8=&itemId9=&materialType=&isHedexDoc

26、Type=&pageSize=20,Page24,AAA溯源基于Radius擴展的溯源方式CGN日志服務(wù)器溯源Syslog類型用戶日志格式包含電信、聯(lián)通、華為格式。(注釋：此類型用戶日志必須在port-range模式下)流日志包含syslog格式和Elog格式,CGN 溯源,Port range的端口預分配：基于每用戶分配公網(wǎng)地址和對應(yīng)的預分配端口塊，易于實現(xiàn)用戶溯源；無需基于每Session記錄日志信息，大幅減少

27、CGN海量日志，有效降低系統(tǒng)負荷壓力；可以采用Syslog格式輸出日志；能夠確保用戶上網(wǎng)階段使用唯一的公網(wǎng)地址及端口段。如何觸發(fā)端口預分配機制？ BRAS/SR集成CGN：用戶上線時預留公網(wǎng)IP端口塊，下線時釋放端口塊。 CGN獨立設(shè)備部署：數(shù)據(jù)流到達觸發(fā)預留端口塊（通過相同的源IP識別)，通過老化機制釋放。,BRAS,CGN,CR,PC,,Private IPv4 10.112.1.2,,Internet,IPv4,,

28、,,,IPv4,IPv4,,,,,IPv4,,Private IPv4 10.112.1.10,,CPE,CPE,,CGN溯源基礎(chǔ)：基于端口預分配,Page26,基于AAA服務(wù)器溯源方案,電信規(guī)范稱為“BRAS上報映射表”適用于BRAS插卡的CGN部署方式，由BRAS 生成用戶地址映射關(guān)系，并上報AAA，無需部署專門的日志服務(wù)器；BRAS 通過Port-range方式為用戶地址選擇公網(wǎng)IP地址及對應(yīng)的端口塊，創(chuàng)建用戶地址映射關(guān)系，保

29、證為不同私網(wǎng)用戶地址選擇不 同的（公網(wǎng)IP地址及對應(yīng)的端口塊）；BRAS 通過擴展Radius屬性，在accounting-Request消息中上報用私網(wǎng)戶地址對應(yīng)的公網(wǎng)IP地址、端口塊等信息；即：通過 Radius報文傳送日志信息；AAA獲得私網(wǎng)用戶地址、公網(wǎng)IP地址、端口塊等信息，并維持與用戶信息的對應(yīng)關(guān)系。,,BRAS集成CGN,3,,,,2,2,2,1,1,1,每個BRAS創(chuàng)建用戶地址映射關(guān)系，,BRAS集成CGN,BRA

30、S集成CGN,BRAS通過Radius屬性，上報用戶映射關(guān)系給AAA,AAA維護地址映射關(guān)系和用戶信息的對應(yīng)關(guān)系表。,NAT-IP-Address ：26-161 NAT 轉(zhuǎn)換后的公有地址NAT-Port-Start ：26-162 NAT轉(zhuǎn)換后的起始端口號NAT-Port-End：26-163 NAT轉(zhuǎn)換后的終止端口號,AAAServer,Page27,Syslog/Elog 格式溯源方案,安全機構(gòu)通過查詢log

31、 server，溯源用戶信息適用于所有集中式CGN部署場景通常Log server會儲存至少3~6個月的用戶日志,Log server,CGN,CGN,CGN,,,,2,2,2,1,1,1,CGN生成私網(wǎng)地址和公網(wǎng)地址&端口范圍的映射關(guān)系，,CGN將包含用戶地址映射關(guān)系的日志信息通過elog/syslog方式上報log server,,Log server維護用戶日志信息：包括時間段、私網(wǎng)地址&端口、用戶地址&am

32、p;端口、目的地址&端口等,Page28,目 錄,CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制,創(chuàng)新靈活子卡,,創(chuàng)新靈活子卡，實現(xiàn)平滑擴容，保護已有投資,靈活的端口分配方式,CGN業(yè)務(wù)流程：用戶到網(wǎng)絡(luò)的流量是接口板通過流策略方式把流量引入到VSUF業(yè)務(wù)板，業(yè)務(wù)板負責CGN的處理，完成后再交給接口板發(fā)到網(wǎng)絡(luò)側(cè)。網(wǎng)絡(luò)到用戶的流量是接口板通過查找NAT公網(wǎng)地址池FIB的方式把流量引到VSUF業(yè)務(wù)

33、板，業(yè)務(wù)板負責CGN的處理，完成后再交給接口板發(fā)到用戶側(cè)。,Page30,,用戶側(cè),網(wǎng)絡(luò)側(cè),,,,,,CGN業(yè)務(wù)流程簡介,Page31,CGN故障處理流程,基本定位思路1、首先要定界，問題的故障節(jié)點是ME60，通過流統(tǒng)方式確定故障節(jié)點。2、如果故障定界在ME60設(shè)備上，還需要定界是接口板問題，還是VSUF業(yè)務(wù)板問題，通過查看相關(guān)處理芯片確定。,Page32,CGN故障處理流程,定界思路：網(wǎng)絡(luò)側(cè)和用戶側(cè)部署流量統(tǒng)計。1、網(wǎng)絡(luò)側(cè)流量統(tǒng)

34、計的方法： 如：用戶ip為192.168.0.10，用戶訪問目的IP(上行設(shè)備直連接口地址)：193.5.2.2，分配的公網(wǎng)ip是100.11.1.2，網(wǎng)絡(luò)測接口為GE2/1/1。配置舉例：acl number 3100 rule 5 permit icmp source 100.11.1.2 0 destination 193.5.2.2 0 // 匹配到網(wǎng)絡(luò)側(cè)出去的正向流量 rule 10

35、 permint icmp source 193.5.2.2 0 destination 100.11.1.2 0 // 匹配從網(wǎng)絡(luò)側(cè)回來的反向流量Traffic classifier 3100 operator or if-match acl 3100 Traffic behavior 3100 // 動作內(nèi)容為空Traffic p

36、olicy 3100 statistics enable // 使能流量統(tǒng)計功能 classifier 3100 behavior 3100Interface GigabitEthernet2/1/1 undo shutdown ip address 2.2.2.1 255.255.255.0 tra

37、ffic-policy 3100 outbound // 匹配出方向的流量 traffic-policy 3100 inbound // 匹配入方向的流量查看方法：[huawei]display traffic policy statistics interface GigabitEthernet 2/

38、1/1 outbound verbose rule-based class 3100 [huawei]display traffic policy statistics interface GigabitEthernet 2/1/1 inbound verbose rule-based class 3100,Page33,CGN故障處理流程,2、用戶側(cè)流量統(tǒng)計的方法： 如：用戶ip為192.168.0.10

39、，用戶訪問目的IP(上行設(shè)備直連接口地址)：193.5.2.2。配置舉例：acl number 6200 rule 1 permit icmp source user-group nat444 destination ip-address 193.5.2.2 0 // 匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的明細流量 rule 2 permit icmp source ip-address 193.5.2.2 0 destinati

40、on user-group nat444 // 匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的明細流量 rule 5 permit ip source user-group nat444 // 匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的總體流量Traffic classifier 6200 operator or if-match acl 6200Traffic behavior 6200

41、 // 動作內(nèi)容為空 nat bind instance nat444Traffic policy 6200 statistics enable // 使能流量統(tǒng)計功能 classifier 6200 behavior 6200全局下發(fā)： traffic-policy 6200 outb

42、ound // 匹配出方向的流量 traffic-policy 6200 inbound // 匹配入方向的流量查看方法：[huawei]display traffic policy statistics ucl inbound verbose rule-based class 6200 [hua

43、wei]display traffic policy statistics ucl outbound verbose rule-based class 6200 注：在配置用戶側(cè)流統(tǒng)時，首先在部署上流統(tǒng)后，觀察是否能統(tǒng)計到流量，如果能統(tǒng)計到，則需要更換目的地址，可以使用8.8.8.8，前提是在設(shè)備上ping不丟包。,Page34,,NAT故障處理流程,Page34,Page35,,NAT故障處理流程,Page35,步驟

44、一：報文是否到達業(yè)務(wù)板TM 報文從接口板進入業(yè)務(wù)板，首先到達TM。如果TM沒有進入的報文計數(shù)，說明報文沒有進入業(yè)務(wù)板。 查詢命令，進入診斷試圖： display tm 7 0 received-packets TM 收到的報文計數(shù) // 7號單板為業(yè)務(wù)板步驟二：報文是否到達CPU 報文從TM進入CPU，如果是首包，會先建立會話表，然后根據(jù)會話表做NAT轉(zhuǎn)換，

45、然后根據(jù)目的IP查詢FIB進行報轉(zhuǎn)發(fā)。后續(xù)報文直接查詢會話表，如果匹配會話表的話進行NAT轉(zhuǎn)換，然后根據(jù)目的IP查詢FIB進行轉(zhuǎn)發(fā)。確認報文是否到達CPU，查詢命令： display nat statistics received slot 7 engine 0步驟三：在CPU上是否建立用戶表 分布式場景用戶上線的時候就會創(chuàng)建用戶表。查詢CPU上是否創(chuàng)建用戶表，查詢命令：

46、 display nat user-information,Page36,,NAT故障處理流程,Page36,步驟四：在CPU上是否建立會話表首包創(chuàng)建會話表，后續(xù)包直接查詢會話表，然后進行nat轉(zhuǎn)換。三元組模式會話表的目的IP和端口無法看到，五元組模式可以查看到目的IP和端口。會話表查詢命令： display nat session table slot 7 en

47、gine 0 查詢cpu上的所有會話信息 display nat session table slot 7 engine 0 verberse 查詢會話表向信息 步驟五：報文是否從CPU發(fā)送出去查詢命令： display nat statistics transmitted slot 7 engine 0如果報文沒有從

48、CPU發(fā)送出去，可能是因為某種原因丟包：查詢命令： display nat statistics discard slot 7 engine 0如果報文沒有從CPU發(fā)送出去，可能是會話資源耗盡：查詢命令： display nat statistics table slot 7 engine 0步驟六：報文是否到TM并且從TM發(fā)送出去報文做完nat轉(zhuǎn)

49、換之后，根據(jù)目的IP查詢FIB，根據(jù)路由信息將報文轉(zhuǎn)發(fā)到接口板。從CPU出來，首先進入TM，然后經(jīng)過交換網(wǎng)板，進入接口板。確認報文進入TM和從TM轉(zhuǎn)發(fā)出去的查詢命令： display tm 7 0 transmitted-packets TM 發(fā)送報文計數(shù),Page37,,NAT故障處理流程,Page37,從交換網(wǎng)板出來，首先到達業(yè)務(wù)板的TM。 查看報文是否到達TM下行，通過命令行查

50、看計數(shù)，多次查詢看是否計數(shù)有增長,2. 查看報文是否到達CPU,,NAT故障處理流程,3. 查看是否在業(yè)務(wù)板上建立用戶表,Page39,,NAT故障處理流程,Page39,業(yè)務(wù)板上的用戶表信息,Page40,,NAT故障處理流程,Page40,4. 查看業(yè)務(wù)板上的是否有會話表,Page41,,NAT故障處理流程,Page41,5. 查看報文是否從CPU發(fā)送出去,查看報文是否在CPU丟包,Page42,,NAT故障處理流程,Page42,

51、6. 報文是否從TM發(fā)送到網(wǎng)板,7. 查看VSUF單板是否超性能,Page43,,NAT故障處理流程,Page43,8. 查看單個用戶會話信息命令行,Page44,,常用維護命令,案例1：在nat實例下綁定業(yè)務(wù)CGN1.5單板失敗。,現(xiàn)象 在nat實例下add業(yè)務(wù)板時，返回錯誤，業(yè)務(wù)板add失敗。 [HUAWEI-nat-instance-1]add slot 3 master Error: The na

52、t session license of this slot is invalid.問題原因 1、業(yè)務(wù)板沒有分配會話資源，就不能建立會話。所以，在nat實例下add業(yè)務(wù)板時，必須先給業(yè)務(wù)板分配會話資源，否則add單板失敗。 2、license中未包含CGN license項。解決方法 1、申請正確的CGN license 2、首先給單板分配會話資源，然后再在實例下add業(yè)務(wù)板。

53、給業(yè)務(wù)板分配nat會話資源的方法：nat session-table size 2M slot 8 說明 cgn2.0通過在實例下綁定service-instance-group的方式綁定單板CPU，流量會因為沒有l(wèi)icense而轉(zhuǎn)發(fā)不通。,Page 45,案例2：nat outbound中ACL規(guī)則漏配。,現(xiàn)象 nat用戶上線失敗，失敗原因是：Online fail reason : Add nat user da

54、ta fail(Syn User To CPU Fail)問題原因 1、匹配引流策略引到業(yè)務(wù)板的報文，必須匹配nat outbound中的acl規(guī)則，才會從對應(yīng)的地址池中給用戶分 配公網(wǎng)ip和端口，用戶才能成功上線。否則，如果在outbound中找不到匹配的acl規(guī)則，用戶上線失敗。 如果nat域下的地址池包含2個C地址，但是綁定outbound的acl規(guī)則中漏掉一個C地址，就會出現(xiàn)這種現(xiàn)象。 2、如下配

55、置，遺漏10.64.32.0~ 10.64.39.0網(wǎng)段： acl number 3001 rule 5 permit ip source 10.64.16.0 0.0.15.255 rule 10 permit ip source 10.64.40.0 0.0.7.255解決方法 修改配置在acl規(guī)則中添加漏掉的私網(wǎng)地址。 nat outbound中綁定的acl規(guī)則中包含的

56、地址一定要與nat 域下面的ip pool中的地址相同。,Page 46,案例3：CGN license申請錯誤，導致業(yè)務(wù)中斷。,現(xiàn)象 設(shè)備打上新申請的CGN license后，業(yè)務(wù)中斷。問題原因 NAT業(yè)務(wù)目前有VSUA、SPUC、VSUI-20A單板可以支持，其中VSUA、SPUC單板的license和VSUI-20A單板的license是不一樣。一線錯誤的申請了VSUA、SPUC單板的license，導致CGN

57、業(yè)務(wù)中斷。 各單板license區(qū)別： LME0SNAT00 NAT for SPU C VSUA、SPUC LME0NATDS00 2M NAT Session VSUI-20-A/VSUF-80規(guī)避方法 第一時間去其他現(xiàn)網(wǎng)設(shè)備取下CGN license，該license分配的session數(shù)要與該設(shè)備一樣多，打上其他設(shè)備取來的license，業(yè)務(wù)可以恢復。解

58、決方法 重新申請CGN license，在設(shè)備上激活，業(yè)務(wù)就正常。,Page 47,案例4：部分用戶回程流量不通。,現(xiàn)象 用戶上線后，無法訪問網(wǎng)絡(luò)，但重新上線后，又可以正常訪問網(wǎng)絡(luò)。問題原因 1、NAT實例下部分NAT公網(wǎng)池地址，被其他設(shè)備占用，這樣上游設(shè)備的回程路由無法指回到ME60設(shè)備，導致回程流量丟棄。 2、用戶上線時，如果分配到已經(jīng)被其他設(shè)備占用的NAT公網(wǎng)地址，這樣就無法訪問網(wǎng)絡(luò)，再重新上線

59、后，分配到其他NAT公網(wǎng)地址，又可以正常訪問網(wǎng)絡(luò)。規(guī)避方法 如果私網(wǎng)IP地址足夠用，可以把NAT地址轉(zhuǎn)換錯誤的私網(wǎng)地址池（ip pool）鎖住，讓后續(xù)上線用戶申請正確的私網(wǎng)地址。解決方法 鎖住domain域，cut所有用戶，修改NAT公網(wǎng)池地址。,Page 48,案例5：公私網(wǎng)比例配置超大，導致用戶無法上線。,現(xiàn)象 某局點升級割接后，發(fā)現(xiàn)大量CGN用戶無法上線，失敗原因(Add nat user data

60、fail(Port PreAlloc Fail))問題原因 查看NAT實例下配置： nat address-group zndx-inter-1 175.0.168.1 175.0.168.254 port-range 4096 那么推薦配置1個C網(wǎng)段的公網(wǎng)地址，可以支持12個C網(wǎng)段私網(wǎng)地址。 查看設(shè)備nat outbound 2501 address-group zndx-inter-1

61、 acl number 2501 rule 5 permit source 10.96.0.0 0.0.15.255 配置16個C網(wǎng)段私網(wǎng)地址，超過公私網(wǎng)比例，導致后上線用戶無法分配到公網(wǎng)地址上線失敗。解決方法 重新規(guī)劃公私網(wǎng)比例，推薦配置1：12。,Page 49,案例6：公網(wǎng)池地址和黑洞路由沖突，導致回程流量丟棄。,現(xiàn)象 某局點升級上V6R5C00SPCB00版本后，發(fā)現(xiàn)大量CG

62、N用戶可以上線，但無法訪問網(wǎng)絡(luò)。問題原因 1、動態(tài)路由協(xié)議引入NAT公網(wǎng)地址池的黑洞路由發(fā)布到上游設(shè)備，使回程流量能引到ME60設(shè)備。 2、NAT實例下配置： nat address-group 1 61.1.1.10 mask 24 同時設(shè)備上配置黑洞路由 ip route-static 61.1.1.0 255.255.255.0 NULL0 3、由于黑洞路由和NAT地址池UNR路由

63、都是在ME60都生成24位掩碼路由，由于黑洞路由優(yōu)先級為60比NAT地址池 路由64高，因此用戶的回程流量在ME60上命中黑洞路由而丟棄。解決方法 1、修改黑洞路由掩碼，回程流量會根據(jù)最長匹配原則先命中掩碼長的路由。 ip route-static 61.1.1.0 255.255.252.0 NULL0 2、刪除黑洞路由，通過策略路由方式引入NAT公網(wǎng)池地址的UNR路由發(fā)布。,Page 50,案例7：

64、UNR路由導致上游設(shè)備路由超規(guī)格。,現(xiàn)象 上游設(shè)備接收到了大量的UNR明細路由，導致路由超規(guī)格。問題原因 nat實例配置： nat instance 10 id 10 port-range 4096 service-instance-group 10 nat address-group UNINOR group-id 10 section 0 27.123.97.1 27

65、.123.100.255 section 1 27.123.101.1 27.123.124.255 nat outbound any address-group UNINOR 這樣配置會生成大量的unr明細路由，而在BGP下沒有進行聚合方式直接進行import-route unr引入，發(fā)送給上游設(shè)備，導致上游設(shè)備路由超規(guī)格。解決方法 1、使用策略路由方式進行unr路由手動聚合后發(fā)布，或者配

66、置黑洞路由引入BGP發(fā)布。 2、修改section配置為section 0 27.123.97.1 mask 22就可以自動聚合為一條路由發(fā)布。,Page 51,Page52,目 錄,CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制,Page 53,完善的網(wǎng)管配套,Page 54,完善的網(wǎng)管配套,網(wǎng)管配套版本VER8C00B030,Page55,VSUF單板規(guī)格,Page56,802.1x/we

67、b用戶做NAT，需要前后域綁定相同的NAT實例。VPN NAT限制：整機支持4個CGN實例。VSUF160支持的網(wǎng)板模式至少是100G模式，機框只支持X8 X16。老機框（-8、-16）上只支持VSUF-80，不支持帶子卡。老機框-8設(shè)備最大轉(zhuǎn)發(fā)性能為15G/512字節(jié)。ALG功能不支持板間和框間熱備。VSUF板不支持組播流量。CGN不支持與視頻FCC/RET/QOE特性疊加。CGN不支持IPSEC/DPI/網(wǎng)絡(luò)側(cè)合法監(jiān)