收藏 分享(赏)
下载资源 加入VIP,免费下载

bng专家组系列培训5-增值业务cgn培训.ppt

上传人:天天快乐 文档编号:571715 上传时间:2018-04-12 格式:PPT 页数:58 大小:8.04MB
下载 相关 举报
bng专家组系列培训5-增值业务cgn培训.ppt_第1页
第1页 / 共58页
bng专家组系列培训5-增值业务cgn培训.ppt_第2页
第2页 / 共58页
bng专家组系列培训5-增值业务cgn培训.ppt_第3页
第3页 / 共58页
bng专家组系列培训5-增值业务cgn培训.ppt_第4页
第4页 / 共58页
bng专家组系列培训5-增值业务cgn培训.ppt_第5页
第5页 / 共58页
点击查看更多>>
资源描述

1、BNG专家组系列培训增值业务CGN培训,Page1,前 言,IPv4地址即将耗尽,用户发展需求远超地址申请速度。目前IPv6产业链趋向成熟,基本满足向IPv6网络过渡的需要。但是基于IPv6的内容很少,用户缺乏演进到IPv6的动力,所以IPv4和IPv6将在很长时间内处于共存期。需要IPv6过渡技术来解决这个问题CGN技术 。目前CGN单板类型有以下几种:1、VSUA、SPUC(1M、10Gbps/512字节、NAT)2、VSUI-20-A(6M、 20Gbps/512字节、NAT、DS-lite)3、VSUF-80、VSUF-160(16M、 25Gbps/512字节、NAT、DS-lite

2、 )4、VSUF-40、VSUI-20-B (16M、 25Gbps/512字节、NAT、DS-lite),Page2,目 录,CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制,Page3,CGN(Carrier Grade NAT)电信级的NAT或者叫运营商级的NAT。NAT444NAT444是IPv6过渡时期的重要技术,NAT444就是二级NAT:CPE一级的NAT44地址转化,网络设备(例如BRAS)一级NAT44地址转化。共二级NAT44地址转化DS-Lite(轻量级双栈 Dual-Stack Lite)轻量级双栈采用的IPv4-in-IPv6隧道,通过隧道,I

3、Pv4流量可穿越IPv6网络到达电信级CGN设备(AFTR),CPE无需对私有IPv4地址进行翻译,从而避免了多级NAT,CGN 基本概念,Page4,B4 (Base Bridge Broadband element)DS-Lite场景下的路由型家庭网关,或者运行DS-Lite客户端的PCAFTR(Address Family Translation Router)DS-Lite场景下网络设备功能模块,物理型态可以是独立式或嵌入式,可以以分布式部署在BRAS节点位置,也可以以集中式部署在城域网核心CR路由器位置Port-Range 对于每个割接到CGN的私网用户通常需要预先分配一个公网IP的

4、端口段,该端口段用来为私网用户做CGN的公私网转换,CGN 基本概念,NAT部署的基本作用实现公私网分离,保护私网信息安全实现IP地址复用,缓解IPv4公网地址耗尽问题。NAT部署简单分类Basic NATNAPTNAT基本模式三元组NAT五元组NAT,Page5,NAT 基础,Page6,Basic NAT也叫NO-PAT方式 NAT,只转换IP地址,每个私网地址对应一个公网地址。,Basic NAT,Page7,NAPT(Network Address Port Translation)即网络地址端口转换,也叫PAT,同时映射IP地址和端口号。来自不同内部地址的数据报文的源地址可以映射到同

5、一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址。,NAPT,Page8,NAT设备通过建立三元组(目的地址、目的端口、协议号)表项为依据进行地址分配和报文过滤。此模式又叫全圆锥模式(Full-cone)适合支持P2P业务,因此在现有的部署场景中绝大多数都是采用三元组。,10.1.1.200,NAT,121.12.124.20,131.15.124.22,三元组,Page9,NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤。此模式又叫对称性模式,10.1.1.200,NAT,121.12.124.20,1

6、31.15.124.22,五元组,Page10,ALG(Application Layer Gateway):在NAT中,为特殊的应用程序提供透明转换的功能称为应用层网关。通过ALG功能,NAT不仅针对IP地址、端口号做地址端口映射,同时还对应用层协议中包含的IP地址、端口号等做同步转换,以已保证这些协议能够正常交互。当前版本ALG支持的应用协议及端口号有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060) 等。NAT穿越:NAT穿越和NAT ALG解决的问题一致,都是为了解决网络中存在NAT时应用协议的交互问题,不同之处在于解决问题的出发点不同, NAT ALG的处理

7、在NAT设备完成, NAT穿越通常是指应用软件能够探测、处理网络中存在NAT的情况,并由应用程序的终端和服务器做特殊处理来保证功能可用。,CGN ALG,溯源:指根据源地址、端口等信息,确定最终用户账号的安全监管要求。,BRAS/SR,CGN,STB,HG,DSLAM,TV,LSW,OLT,MDU,STB,HG,TV,AAA Server,安全监管,接入认证,1,建立连接,发起认证,2,用户认证,记录用户私有地址,3,给用户分配私有IPv4地址,用户溯源,1,私有源地址访问请求,2,公有源地址访问请求,1,根据公有IP地址查询用户信息,2,用户信息,NAT导致溯源失败的原因:用户报文在NAT转

8、换前后的源地址不同,安全监管机构只能获得NAT转换后的用户信息。这个地址在AAA没有任何记录转换后的记录。因此,无法完成正常的用户信息反查和用户溯源。,NAT部署引起的溯源问题,Page12,NAT溯源:NAT特性的部署隐藏了私网用户的IP地址信息,各个国家安全部门对NAT部署的很重要的要求是具备可溯源的能力,即可以根据”公网IP地址端口号”查询到私网用户的IP地址,进一步锁定具体用户。CGN溯源方式:包含用户日志和流日志,其中用户日志分为syslog和Radius两种格式,流日志分为syslog和elog 两种格式。优缺点:用户日志,日志量小,不能精准溯源; 流日志,日志量太大,能精准溯源。

9、综合考虑推荐使用三元组、port-range情况下的用户日志,CGN 溯源,Page13,端口预分配:端口预分配又称为Port Range模式,是指CGN在进行私网地址与公网地址映射时,预先给一个私网地址分配一个公网地址和一个端口段,该私网地址所有的NAT映射都使用该公网地址和端口段中的端口会话限制: NAT444如果某些用户发起DoS攻击(例如发起SYN-Flood攻击),就可能将CGN所有的流表资源耗尽,导致其他正常用户无法建立流表,从而无法访问网络。因此,可以对某个用户的TCP/UDP/ICMP/TOTOL会话总数进行限制,如果超过了阈值,则不能再新建会话。目前版本默认使能该限制,CGN

10、 安全性,Page14,License,display license -LME0FWF01 Function YES Firewall for SSU -vsua LME0SNAT00 Resource 1 NAT for SPU C -spuc LME0NATDS00 Resource 256 2M NAT Session -cgn1.5/cgn2.0LME0DSLITEDS00 Resource 32 DS-lite license -cgn1.5LME0DSLITE01 Resource 32 DS-Lite License for VSUF -cgn2.0,Page15,目 录,CG

11、N基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制,Page16,Server Farm,AAA Server,DNS Server,PC,CPE,BRAS,CGN,CR,Internet,DSLAMMxU/OLT,用户使用默认域上线,BRAS上送AAA接入认证,AAA上维护的用户域:公网域:现网域名维持不变新增1个私网域:2) 私网域:NAT,AAA下发对应域名如:NAT,认证响应,保持用户上线习惯不变由Radius Server下发用户域信息,对用户控制更为灵活,回退方便,CGN 基本组网,Page17,CPE拨号到BARS(BRAS集成CGN)上线,BRAS为CPE分配

12、上线地址以及对应NAT地址和端口段。当终端用户对外发起访问时,CPE对用户PC发出报文进行一次NAT转换,BRAS对CPE发出报文做第二次转换,因为网络中存在两次地址转换,同时由于CGN功能分布在各个BRAS接入点,从组网部署上称为分布式NAT444解决方案。,NAT444分布式方案,用户接入和CGN无缝结合:支持PPPOE/IPOE/L2TP/WEB等接入用户做上线时的NAT端口预分配处理,可以按照用户域、用户ID等信息查询该用户对应的NAT资源分配、表项转换信息,支持用户计费报文实时上报NAT端口段信息到Radius服务器来完成溯源。有序化的端口预分配管理:传统NAT转换通常按照用户流进行

13、分配,每条用户流分配一个端口,容易造成个别用户会挤占大量资源,特别是溯源需要逐流发送NAT日志,对周边系统消耗大。通过端口预分配,用户上线分配一个端口段,下线释放端口段,用户的资源分配相对公平,更重要的是用户上线和下线阶段分别发送一条NAT日志即可完成溯源,且可将用户的NAT地址和端口段上送Radius服务器完成实时溯源。,Page18,NAT444分布式方案,灵活可控的业务回退管理:针对部分高端用户,或明确要求分配公网地址的用户,通过Radius下发域名的方式将用户回退到公网域分配公网地址,保证满足各类用户不同的上网需求。公私分明的网络规划管理:私网路由终结到BRAS,公私网路由只在BRAS

14、做分割,每台BRAS拥有独立的私网地址空间,方便网络规划和管理。,Page19,NAT444分布式方案,Page20,CPE拨号到BARS(BRAS集成CGN)上线,BRAS为CPE分配私网地址。不同BRAS下挂CPE发出的报文统一发送到CGN设备(CGN可以集成到SR上或旁挂到SR、CR设备)做集中处理。集中式部署主要适用于现网设备已经固定、无法直接升级支持CGN的情况。,NAT444集中式方案,Page21,在接入网已经完成IPv6改造,BRAS可以采用升级的方式按照分布式组网部署DS-Lite。CPE/B4通过IPv6上线,同时BRAS为其分配DS-Lite业务的IPv4公网地址和端口段

15、,并支持一体化的用户和CGN业务的管理,灵活的溯源跟踪。,Internet IPv6,Internet IPv4,IPV6接入网,IPv6,IPv4,AFTR(DS-Lite),IPv4 header,IPv4 data,IPv4 header,IPv4 data,IPv6 header,Tunnel: IPv4 In IPv6,IPv4 header,IPv4 data,Tunnel: IPv4 In IPv6,CPE/B4(DS-Lite),BRAS,DS-Lite 分布式方案,Page22,在城域网已经IPv6改造完成,城域网和接入网均已经简化为仅需支持IPv6转发的过渡阶段,可以按照集

16、中组网部署DS-Lite,将CGN旁挂或部署到SR/CR设备。,Internet IPv6,Internet IPv4,MANV6,IPv6,IPv4,BRAS,CR,IPv4 header,IPv4 data,IPv4 header,IPv4 data,IPv6 header,Tunnel: IPv4 In IPv6,IPv4 header,IPv4 data,Tunnel: IPv4 In IPv6,AFTR(DS-Lite),CPE/B4(DS-Lite),DS-Lite 集中式方案,Page23,典型方案配置,CGN部署方案参考资料,需要先登陆support网站,再点击以下链接:htt

17、p:/ 溯源,Port range的端口预分配:基于每用户分配公网地址和对应的预分配端口块,易于实现用户溯源;无需基于每Session记录日志信息,大幅减少CGN海量日志,有效降低系统负荷压力;可以采用Syslog格式输出日志;能够确保用户上网阶段使用唯一的公网地址及端口段。如何触发端口预分配机制? BRAS/SR集成CGN:用户上线时预留公网IP端口块,下线时释放端口块。 CGN独立设备部署:数据流到达触发预留端口块(通过相同的源IP识别),通过老化机制释放。,BRAS,CGN,CR,PC,Private IPv4 10.112.1.2,Internet,IPv4,IPv4,IPv4,IPv

18、4,Private IPv4 10.112.1.10,CPE,CPE,CGN溯源基础:基于端口预分配,Page26,基于AAA服务器溯源方案,电信规范称为“BRAS上报映射表”适用于BRAS插卡的CGN部署方式,由BRAS 生成用户地址映射关系,并上报AAA,无需部署专门的日志服务器;BRAS 通过Port-range方式为用户地址选择公网IP地址及对应的端口块,创建用户地址映射关系,保证为不同私网用户地址选择不 同的(公网IP地址及对应的端口块);BRAS 通过扩展Radius属性,在accounting-Request消息中上报用私网户地址对应的公网IP地址、端口块等信息;即:通过 Rad

19、ius报文传送日志信息;AAA获得私网用户地址、公网IP地址、端口块等信息,并维持与用户信息的对应关系。,BRAS集成CGN,3,2,2,2,1,1,1,每个BRAS创建用户地址映射关系,,BRAS集成CGN,BRAS集成CGN,BRAS通过Radius属性,上报用户映射关系给AAA,AAA维护地址映射关系和用户信息的对应关系表。,NAT-IP-Address :26-161 NAT 转换后的公有地址NAT-Port-Start :26-162 NAT转换后的起始端口号NAT-Port-End:26-163 NAT转换后的终止端口号,AAAServer,Page27,Syslog/Elog 格

20、式溯源方案,安全机构通过查询log server,溯源用户信息适用于所有集中式CGN部署场景通常Log server会储存至少36个月的用户日志,Log server,CGN,CGN,CGN,2,2,2,1,1,1,CGN生成私网地址和公网地址&端口范围的映射关系,,CGN将包含用户地址映射关系的日志信息通过elog/syslog方式上报log server,Log server维护用户日志信息:包括时间段、私网地址&端口、用户地址&端口、目的地址&端口等,Page28,目 录,CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制,创新灵活子卡,创新灵活子卡,实现平滑扩容,

21、保护已有投资,灵活的端口分配方式,CGN业务流程:用户到网络的流量是接口板通过流策略方式把流量引入到VSUF业务板,业务板负责CGN的处理,完成后再交给接口板发到网络侧。网络到用户的流量是接口板通过查找NAT公网地址池FIB的方式把流量引到VSUF业务板,业务板负责CGN的处理,完成后再交给接口板发到用户侧。,Page30,用户侧,网络侧,CGN业务流程简介,Page31,CGN故障处理流程,基本定位思路1、首先要定界,问题的故障节点是ME60,通过流统方式确定故障节点。2、如果故障定界在ME60设备上,还需要定界是接口板问题,还是VSUF业务板问题,通过查看相关处理芯片确定。,Page32,

22、CGN故障处理流程,定界思路:网络侧和用户侧部署流量统计。1、网络侧流量统计的方法: 如:用户ip为192.168.0.10,用户访问目的IP(上行设备直连接口地址):193.5.2.2,分配的公网ip是100.11.1.2,网络测接口为GE2/1/1。配置举例:acl number 3100 rule 5 permit icmp source 100.11.1.2 0 destination 193.5.2.2 0 / 匹配到网络侧出去的正向流量 rule 10 permint icmp source 193.5.2.2 0 destination 100.11.1.2 0 / 匹配从网络侧

23、回来的反向流量Traffic classifier 3100 operator or if-match acl 3100 Traffic behavior 3100 / 动作内容为空Traffic policy 3100 statistics enable / 使能流量统计功能 classifier 3100 behavior 3100Interface GigabitEthernet2/1/1 undo shutdown ip address 2.2.2.1 255.255.255.0 traffic-policy 3100 outbound / 匹配出方向的流量 traffic-polic

24、y 3100 inbound / 匹配入方向的流量查看方法:huaweidisplay traffic policy statistics interface GigabitEthernet 2/1/1 outbound verbose rule-based class 3100 huaweidisplay traffic policy statistics interface GigabitEthernet 2/1/1 inbound verbose rule-based class 3100,Page33,CGN故障处理流程,2、用户侧流量统计的方法: 如:用户ip为192.168.0.1

25、0,用户访问目的IP(上行设备直连接口地址):193.5.2.2。配置举例:acl number 6200 rule 1 permit icmp source user-group nat444 destination ip-address 193.5.2.2 0 / 匹配用户侧到网络侧的明细流量 rule 2 permit icmp source ip-address 193.5.2.2 0 destination user-group nat444 / 匹配用户侧到网络侧的明细流量 rule 5 permit ip source user-group nat444 / 匹配用户侧到网络侧的

26、总体流量Traffic classifier 6200 operator or if-match acl 6200Traffic behavior 6200 / 动作内容为空 nat bind instance nat444Traffic policy 6200 statistics enable / 使能流量统计功能 classifier 6200 behavior 6200全局下发: traffic-policy 6200 outbound / 匹配出方向的流量 traffic-policy 6200 inbound / 匹配入方向的流量查看方法:huaweidisplay traffic

27、 policy statistics ucl inbound verbose rule-based class 6200 huaweidisplay traffic policy statistics ucl outbound verbose rule-based class 6200 注:在配置用户侧流统时,首先在部署上流统后,观察是否能统计到流量,如果能统计到,则需要更换目的地址,可以使用8.8.8.8,前提是在设备上ping不丢包。,Page34,NAT故障处理流程,Page34,Page35,NAT故障处理流程,Page35,步骤一:报文是否到达业务板TM 报文从接口板进入业务板,首先

28、到达TM。如果TM没有进入的报文计数,说明报文没有进入业务板。 查询命令,进入诊断试图: display tm 7 0 received-packets TM 收到的报文计数 / 7号单板为业务板步骤二:报文是否到达CPU 报文从TM进入CPU,如果是首包,会先建立会话表,然后根据会话表做NAT转换,然后根据目的IP查询FIB进行报转发。后续报文直接查询会话表,如果匹配会话表的话进行NAT转换,然后根据目的IP查询FIB进行转发。确认报文是否到达CPU,查询命令: display nat statistics received slot 7 engine 0步骤三:在CPU上是否建立用户表 分

29、布式场景用户上线的时候就会创建用户表。查询CPU上是否创建用户表,查询命令: display nat user-information,Page36,NAT故障处理流程,Page36,步骤四:在CPU上是否建立会话表首包创建会话表,后续包直接查询会话表,然后进行nat转换。三元组模式会话表的目的IP和端口无法看到,五元组模式可以查看到目的IP和端口。会话表查询命令: display nat session table slot 7 engine 0 查询cpu上的所有会话信息 display nat session table slot 7 engine 0 verberse 查询会话表向信息

30、 步骤五:报文是否从CPU发送出去查询命令: display nat statistics transmitted slot 7 engine 0如果报文没有从CPU发送出去,可能是因为某种原因丢包:查询命令: display nat statistics discard slot 7 engine 0如果报文没有从CPU发送出去,可能是会话资源耗尽:查询命令: display nat statistics table slot 7 engine 0步骤六:报文是否到TM并且从TM发送出去报文做完nat转换之后,根据目的IP查询FIB,根据路由信息将报文转发到接口板。从CPU出来,首先进入TM

31、,然后经过交换网板,进入接口板。确认报文进入TM和从TM转发出去的查询命令: display tm 7 0 transmitted-packets TM 发送报文计数,Page37,NAT故障处理流程,Page37,从交换网板出来,首先到达业务板的TM。 查看报文是否到达TM下行,通过命令行查看计数,多次查询看是否计数有增长,2. 查看报文是否到达CPU,NAT故障处理流程,3. 查看是否在业务板上建立用户表,Page39,NAT故障处理流程,Page39,业务板上的用户表信息,Page40,NAT故障处理流程,Page40,4. 查看业务板上的是否有会话表,Page41,NAT故障处理流程,

32、Page41,5. 查看报文是否从CPU发送出去,查看报文是否在CPU丢包,Page42,NAT故障处理流程,Page42,6. 报文是否从TM发送到网板,7. 查看VSUF单板是否超性能,Page43,NAT故障处理流程,Page43,8. 查看单个用户会话信息命令行,Page44,常用维护命令,案例1:在nat实例下绑定业务CGN1.5单板失败。,现象 在nat实例下add业务板时,返回错误,业务板add失败。 HUAWEI-nat-instance-1add slot 3 master Error: The nat session license of this slot is inva

33、lid.问题原因 1、业务板没有分配会话资源,就不能建立会话。所以,在nat实例下add业务板时,必须先给业务板分配会话资源,否则add单板失败。 2、license中未包含CGN license项。解决方法 1、申请正确的CGN license 2、首先给单板分配会话资源,然后再在实例下add业务板。 给业务板分配nat会话资源的方法:nat session-table size 2M slot 8 说明 cgn2.0通过在实例下绑定service-instance-group的方式绑定单板CPU,流量会因为没有license而转发不通。,Page 45,案例2:nat outbound中A

34、CL规则漏配。,现象 nat用户上线失败,失败原因是:Online fail reason : Add nat user data fail(Syn User To CPU Fail)问题原因 1、匹配引流策略引到业务板的报文,必须匹配nat outbound中的acl规则,才会从对应的地址池中给用户分 配公网ip和端口,用户才能成功上线。否则,如果在outbound中找不到匹配的acl规则,用户上线失败。 如果nat域下的地址池包含2个C地址,但是绑定outbound的acl规则中漏掉一个C地址,就会出现这种现象。 2、如下配置,遗漏10.64.32.0 10.64.39.0网段: acl

35、number 3001 rule 5 permit ip source 10.64.16.0 0.0.15.255 rule 10 permit ip source 10.64.40.0 0.0.7.255解决方法 修改配置在acl规则中添加漏掉的私网地址。 nat outbound中绑定的acl规则中包含的地址一定要与nat 域下面的ip pool中的地址相同。,Page 46,案例3:CGN license申请错误,导致业务中断。,现象 设备打上新申请的CGN license后,业务中断。问题原因 NAT业务目前有VSUA、SPUC、VSUI-20A单板可以支持,其中VSUA、SPUC单板

36、的license和VSUI-20A单板的license是不一样。一线错误的申请了VSUA、SPUC单板的license,导致CGN业务中断。 各单板license区别: LME0SNAT00 NAT for SPU C VSUA、SPUC LME0NATDS00 2M NAT Session VSUI-20-A/VSUF-80规避方法 第一时间去其他现网设备取下CGN license,该license分配的session数要与该设备一样多,打上其他设备取来的license,业务可以恢复。解决方法 重新申请CGN license,在设备上激活,业务就正常。,Page 47,案例4:部分用户回程流

37、量不通。,现象 用户上线后,无法访问网络,但重新上线后,又可以正常访问网络。问题原因 1、NAT实例下部分NAT公网池地址,被其他设备占用,这样上游设备的回程路由无法指回到ME60设备,导致回程流量丢弃。 2、用户上线时,如果分配到已经被其他设备占用的NAT公网地址,这样就无法访问网络,再重新上线后,分配到其他NAT公网地址,又可以正常访问网络。规避方法 如果私网IP地址足够用,可以把NAT地址转换错误的私网地址池(ip pool)锁住,让后续上线用户申请正确的私网地址。解决方法 锁住domain域,cut所有用户,修改NAT公网池地址。,Page 48,案例5:公私网比例配置超大,导致用户无

38、法上线。,现象 某局点升级割接后,发现大量CGN用户无法上线,失败原因(Add nat user data fail(Port PreAlloc Fail)问题原因 查看NAT实例下配置: nat address-group zndx-inter-1 175.0.168.1 175.0.168.254 port-range 4096 那么推荐配置1个C网段的公网地址,可以支持12个C网段私网地址。 查看设备nat outbound 2501 address-group zndx-inter-1 acl number 2501 rule 5 permit source 10.96.0.0 0.0

39、.15.255 配置16个C网段私网地址,超过公私网比例,导致后上线用户无法分配到公网地址上线失败。解决方法 重新规划公私网比例,推荐配置1:12。,Page 49,案例6:公网池地址和黑洞路由冲突,导致回程流量丢弃。,现象 某局点升级上V6R5C00SPCB00版本后,发现大量CGN用户可以上线,但无法访问网络。问题原因 1、动态路由协议引入NAT公网地址池的黑洞路由发布到上游设备,使回程流量能引到ME60设备。 2、NAT实例下配置: nat address-group 1 61.1.1.10 mask 24 同时设备上配置黑洞路由 ip route-static 61.1.1.0 255

40、.255.255.0 NULL0 3、由于黑洞路由和NAT地址池UNR路由都是在ME60都生成24位掩码路由,由于黑洞路由优先级为60比NAT地址池 路由64高,因此用户的回程流量在ME60上命中黑洞路由而丢弃。解决方法 1、修改黑洞路由掩码,回程流量会根据最长匹配原则先命中掩码长的路由。 ip route-static 61.1.1.0 255.255.252.0 NULL0 2、删除黑洞路由,通过策略路由方式引入NAT公网池地址的UNR路由发布。,Page 50,案例7:UNR路由导致上游设备路由超规格。,现象 上游设备接收到了大量的UNR明细路由,导致路由超规格。问题原因 nat实例配置

41、: nat instance 10 id 10 port-range 4096 service-instance-group 10 nat address-group UNINOR group-id 10 section 0 27.123.97.1 27.123.100.255 section 1 27.123.101.1 27.123.124.255 nat outbound any address-group UNINOR 这样配置会生成大量的unr明细路由,而在BGP下没有进行聚合方式直接进行import-route unr引入,发送给上游设备,导致上游设备路由超规格。解决方法 1、使用

42、策略路由方式进行unr路由手动聚合后发布,或者配置黑洞路由引入BGP发布。 2、修改section配置为section 0 27.123.97.1 mask 22就可以自动聚合为一条路由发布。,Page 51,Page52,目 录,CGN基本概念CGN方案介绍CGN故障处理流程CGN网管配套、规格与限制,Page 53,完善的网管配套,Page 54,完善的网管配套,网管配套版本VER8C00B030,Page55,VSUF单板规格,Page56,802.1x/web用户做NAT,需要前后域绑定相同的NAT实例。VPN NAT限制:整机支持4个CGN实例。VSUF160支持的网板模式至少是100G模式,机框只支持X8 X16。老机框(-8、-16)上只支持VSUF-80,不支持带子卡。老机框-8设备最大转发性能为15G/512字节。ALG功能不支持板间和框间热备。VSUF板不支持组播流量。CGN不支持与视频FCC/RET/QOE特性叠加。CGN不支持IPSEC/DPI/网络侧合法监听叠加。,CGN应用限制,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经济财会 > 经济学

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报