CGN部署综述_VSUF-培训文档之二

CGN部署综述,分布式CGN会是主流部署方案,CGN部署考虑因素,CGN部署建议,承载网的考虑业务流程考虑部署和维护成本网络演进考虑,华为公司通过多年实践，深度参与了全球各大运营商的IPv6演进实践。从CGN部署对网络架构、业务、综合成本、运维、网络演进等因素综合考虑，建议：,一、集中式部署CGN不符合CR定位，不利于运营商网络的演进。二、分布式部署CGN能够发挥POP层设备管理控制能力的优势。三、分布式部署CGN与BRAS/SR融合发展更符合业务运营的要求。,CGN部署建议,Page3,目录,CGN升级&割接方案NAT444部署场景配置DS-Lite部署场景配置NAT444/DS-Lite域CGN割接改造方案,Page4,典型应用：PPPOE/L2TP/IPOE+NAT444,CGN集成在BRAS。用户CPE通过PPPOE/L2TP(LNS侧)/IPOE接入BRAS，在BRAS上管理用户并进行NAT地址转换。PPPOE/L2TP(LNS侧)/IPOE叠加NAT444时，CGN部分的配置无明显差异，配置举例以PPPOE为准。,Page5,配置步骤,配置domain绑定NAT,Page6,配置NAT实例,#为业务板分配license资源ME60licenseME60activenatsession-tablesize2slot1engine0ME60activenatsession-tablesize2slot2engine0#配置单板主备关系ME60service-location1ME60-service-location-1locationslot1engine0backupslot2engine0ME60service-instance-group1ME60-instance-group-1service-location1#建立NAT实例，添加基本配置ME60natinstance1id1ME60-nat-instance-1natfiltermodefull-cone,Page7,ME60-nat-instance-1port-range4096ME60-nat-instance-1service-instance-group1ME60-nat-instance-1nataddress-group1group-id1ME60-nat-instance-1-nat-address-group-1section0mask24ME60-nat-instance-1natoutbound2080address-group1正反向session-limit默认使能#配置NAT日志发送主机（采用用户日志溯源需要配置，地址和端口信息根据实际情况选择）ME60-nat-instance-1natloguserenableME60-nat-instance-1natloghost02555source555name1#NAT日志默认为华为格式，和电信服务器对接需要配置为电信格式ME60natsyslogdescriptiveformatcn#配置需要的NATALG功能ME60-nat-instance-1natalgall,Page8,配置Domain绑定NAT,#配置用户上线采用的user-groupME60user-group1#进入用户上线域，在域下配置user-group和NAT实例的绑定关系ME60-aaadomaindomain1ME60-aaa-domain-domain1user-group1bindnatinstance1,Page9,配置TrafficPolicy引流,#配置UCL，匹配上线用户ME60acl6000ME60-acl-ucl-6000rule5permitipsourceuser-group1#配置流分类ME60trafficclassifiernat444ME60-classifier-nat444if-matchacl6000#配置流动作ME60trafficbehaviornat444ME60-behavior-nat444natbindinstance1#配置流策略并在系统视图下绑定ME60trafficpolicynat444ME60-trafficpolicy-nat444classifiernat444behaviornat444ME60traffic-policynat444inbound,Page10,路由发布,Nat实例中公网地址配置方式采用start-ip、end-ip的方式，在路由协议配置中直接importunr，则所有NAT地址均按32位主机路由发布，此时需要手动聚合路由；Nat实例中公网地址配置方式采用mask的方式，则直接生成Unr聚合路由。当有用户上线做NAT时，在发布UNR路由时需要将用户的私网ip路由通过配置route-policy过滤掉。ipip-prefixnatindex10permit24route-policynatpermitnode5if-matchip-prefixnatospf1import-routeunrroute-policynat可以配置静态路由目的路由段为地址池地址段，指向NULL0，在路由协议中引入static路由来发布。iproute-staticNULL0ospf1import-routestatic,Page11,检查结果,#查看上线用户信息displayaccess-useruser-id2Useraccessindex:2State:UsedUsername:1111Domainname:domain1（略）UserIPaddress:98（略）User-Group:1NATIPaddress:7NATPortScope(Start,End):2048,6143#查看会话表信息displaynatsessiontableslot2Slot:2Engine:0Currenttotalsessions:1.udp:98:347:2944-*:*,Page12,典型应用：WEB认证+NAT444,CGN集成在BRAS。用户通过web认证方式接入，在BRAS对用户进行NAT地址转换。Web认证叠加NAT的特殊处理在于，web认证需要处理认证前后域的切换，一般情况下，web服务器位于公网，web认证前后均需要进行NAT转换。,Page13,配置步骤,配置domain绑定NAT,Page14,配置domain绑定NAT,#这里仅列出关键步骤#配置前、后域用户归属的user-group1、2ME60user-group1ME60user-group2#配置使能http报文上送ME60-aaahttp-redirectenable#配置认证前域，web-server相关命令的配置详细参考用户接入资料部分ME60-aaadomainpredomainME60-aaa-domain-predomainuser-group1bindnatinstance1ME60-aaa-domain-predomainweb-server99ME60-aaa-domain-predomainweb-serverurl99ME60-aaa-domain-predomainweb-serverredirect-keyuser-ip-addressuserip#配置认证后域-注意前后域绑定的NAT实例要保持一致ME60-aaadomaindomain1ME60-aaa-domain-domain1user-group2bindnatinstance1,Page15,配置TrafficPolicy引流,#配置前域用户允许访问地址（通常为web服务器IP）的流分类和流动作ME60acl6000ME60-acl-ucl-6000rule5permitipsourceuser-group1destinationip-address990ME60trafficclassifierweb-before-natME60-classifier-web-before-natif-matchacl6000ME60trafficbehaviorweb-before-natME60-behavior-web-before-natnatbindinstance1#配置对前域用户发起的http报文做强制的流分类和流动作ME60acl6001ME60-acl-ucl-6001rule5permitipsourceuser-group1destination-porteqwwwME60trafficclassifierweb-before-httpME60-classifier-web-before-httpif-matchacl6001ME60trafficbehaviorweb-before-httpME60-behavior-web-before-nathttp-redirect,Page16,#配置丢弃前域用户其他流量的流分类和流动作ME60acl6003ME60-acl-ucl-6003rule5permitipsourceuser-group1ME60trafficclassifierweb-before-denyME60-classifier-web-before-natif-matchacl6003ME60trafficbehaviorweb-before-denyME60-behavior-web-before-denydeny#配置后域用户访问互联网做NAT的流分类和流动作ME60acl6100ME60-acl-ucl-6100rule5permitipsourceuser-group2ME60trafficclassifierweb-natME60-classifier-web-httpif-matchacl6100ME60trafficbehaviorweb-natME60-behavior-web-natnatbindinstance1,Page17,#配置流量策略，注意配置顺序ME60trafficpolicywebME60-trafficpolicy-webclassifierweb-before-natbehaviorweb-before-natME60-trafficpolicy-webclassifierweb-before-httpbehaviorweb-before-httpME60-trafficpolicy-webclassifierweb-before-denybehaviorweb-before-denyME60-trafficpolicy-webclassifierweb-natbehaviorweb-natME60traffic-policywebinbound,Page18,典型应用：分布式NAT444负载分担,对于分布式CGN部署，为了保障CGN的可靠性，通常需要部署二块CGN单板，因此需要在二块CGN单板进行用户的负载分担。,配置domain绑定NAT,配置步骤,Page19,配置NAT实例,#为业务板分配license资源（略）#配置业务板绑定关系（仅列出关键配置）ME60service-location1ME60-service-location-1locationslot1engine0backupslot2engine0ME60service-location2ME60-service-location-2locationslot2engine0backupslot1engine0#建立负载分担的两个实例，业务板互为主备，仅列出部分配置，其他参考前文ME60natinstance1id1ME60-nat-instance-1service-instance-group1ME60-nat-instance-1nataddress-group1ME60-nat-instance-1-nat-address-group-1section0mask24ME60-nat-instance-1natoutbound2080address-group1ME60natinstance2ME60-nat-instance-2service-instance-group2ME60-nat-instance-2nataddress-group1group-id1ME60-nat-instance-2-nat-address-group-1section0mask24ME60-nat-instance-2natoutbound2080address-group1,Page20,配置domain绑定NAT,#这里仅列出关键步骤#配置负载分担的user-group1、2ME60user-group1ME60user-group2#配置domain下绑定两个NAT实例，用户上线自动选择用户量较小的实例。ME60-aaadomaindomain1ME60-aaa-domain-domain1user-group1bindnatinstance1ME60-aaa-domain-domain1user-group2bindnatinstance2,Page21,配置TrafficPolicy引流,#配置UCL，匹配用户组1、2ME60-acl-ucl-6000rule5permitipsourceuser-group1ME60-acl-ucl-6100rule5permitipsourceuser-group2#配置流分类ME60-classifier-nat1if-matchacl6000ME60-classifier-nat2if-matchacl6100#配置流动作，注意和域下user-group与实例的关系保持一致ME60-behaviornat1natbindinstance1ME60-behaviornat2natbindinstance2#配置流策略并在系统视图下绑定ME60-trafficpolicy-natclassifiernat1behaviornat1ME60-trafficpolicy-natclassifiernat2behaviornat2ME60traffic-policynatinbound,Page22,典型应用：集中式NAT444,集中式NAT444配置和分布式的主要区别是无用户上线部分，通过配置ACL并在接口下应用traffic-policy来进行引流。配置主要关注trafficpolicy引流配置,配置NAT实例（略）,Page23,配置TrafficPolicy引流,#配置ACL，匹配用户源IPNE40Eacl2100NE40E-acl-adv-3000rule5permitipsource55#配置流分类NE40Etrafficclassifiernat444NE40E-classifier-nat444if-matchacl2100#配置流动作NE40Etrafficbehaviornat444NE40E-behavior-nat444natbindinstance1#配置流策略并在流量入接口绑定NE40Etrafficpolicynat444NE40E-trafficpolicy-nat444classifiernat444behaviornat444NE40EinterfaceGigabitEthernet6/0/0NE40E-GigabitEthernet6/0/0traffic-policynat444inbound,Page24,目录,CGN部署信息收集CGN部署&风险评估CGN升级&割接方案NAT444部署场景配置DS-Lite部署场景配置框间分布式nat444配置NAT444/DS-Lite域CGN割接改造方案CGN巡检及巡检关注点,Page25,典型应用：IPv6上线+DS-Lite,CGN集成在BRAS。用户CPE通过IPv6单栈接入BRAS，在BRAS上管理用户并进行NAT地址转换。PPPOEv6/ND/DHCPv6在DS-Lite配置部分无差异。,InternetIPv6,InternetIPv4,IPV6接入网,IPv4,CPE,DS-LITE,BRAS(DS-LITE),Page26,配置步骤,配置domain绑定DSLITE,Page27,配置DS-Lite实例,#为业务板分配license资源，系统视图下的配置为NAT和dslite共用，均采用NAT关键字ME60licenseME60activenatsession-tablesize2slot1engine0ME60activenatsession-tablesize2slot2engine0#建立dslite实例ME60ds-liteinstance1id1#配置dslite的隧道端地址ME60-ds-lite-instance-1local-ipv66006:1prefix-length64#配置允许接入的远端CPE的IPV6地址范围，可配置多个ME60-ds-lite-instance-1remote-ipv62002:1prefix-length16#配置dslite实例的其他部分，和NAT实例配置一致，这里不再全部列出ME60-ds-lite-instance-1ds-litefiltermodefull-coneME60-ds-lite-instance-1port-range4096ME60-ds-lite-instance-1。,Page28,配置Domain绑定DS-Li