《BNG专家组系列培训5-增值业务CGN培训》由会员分享,可在线阅读,更多相关《BNG专家组系列培训5-增值业务CGN培训(58页珍藏版)》请在金锄头文库上搜索。
1、BNG专家组系列培训增值业务CGN培训,Page1,前 言,IPv4地址即将耗尽,用户发展需求远超地址申请速度。 目前IPv6产业链趋向成熟,基本满足向IPv6网络过渡的需要。但是基于IPv6的内容很少,用户缺乏演进到IPv6的动力,所以IPv4和IPv6将在很长时间内处于共存期。 需要IPv6过渡技术来解决这个问题CGN技术 。 目前CGN单板类型有以下几种: 1、VSUA、SPUC(1M、10Gbps/512字节、NAT) 2、VSUI-20-A(6M、 20Gbps/512字节、NAT、DS-lite) 3、VSUF-80、VSUF-160(16M、 25Gbps/512字节、NAT、D
2、S-lite ) 4、VSUF-40、VSUI-20-B (16M、 25Gbps/512字节、NAT、DS-lite),Page2,目 录,CGN基本概念 CGN方案介绍 CGN故障处理流程 CGN网管配套、规格与限制,Page3,CGN(Carrier Grade NAT) 电信级的NAT或者叫运营商级的NAT。 NAT444 NAT444是IPv6过渡时期的重要技术,NAT444就是二级NAT:CPE一级的NAT44地址转化,网络设备(例如BRAS)一级NAT44地址转化。共二级NAT44地址转化 DS-Lite(轻量级双栈 Dual-Stack Lite) 轻量级双栈采用的IPv4-i
3、n-IPv6隧道,通过隧道,IPv4流量可穿越IPv6网络到达电信级CGN设备(AFTR),CPE无需对私有IPv4地址进行翻译,从而避免了多级NAT,CGN 基本概念,Page4,B4 (Base Bridge Broadband element) DS-Lite场景下的路由型家庭网关,或者运行DS-Lite客户端的PC AFTR(Address Family Translation Router) DS-Lite场景下网络设备功能模块,物理型态可以是独立式或嵌入式,可以以分布式部署在BRAS节点位置,也可以以集中式部署在城域网核心CR路由器位置 Port-Range 对于每个割接到CGN的
4、私网用户通常需要预先分配一个公网IP的端口段,该端口段用来为私网用户做CGN的公私网转换,CGN 基本概念,NAT部署的基本作用 实现公私网分离,保护私网信息安全 实现IP地址复用,缓解IPv4公网地址耗尽问题。 NAT部署简单分类 Basic NAT NAPT NAT基本模式 三元组NAT 五元组NAT,Page5,NAT 基础,Page6,Basic NAT也叫NO-PAT方式 NAT,只转换IP地址,每个私网地址对应一个公网地址。,Basic NAT,Page7,NAPT(Network Address Port Translation)即网络地址端口转换,也叫PAT,同时映射IP地址和
5、端口号。 来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址。,NAPT,Page8,NAT设备通过建立三元组(目的地址、目的端口、协议号)表项为依据进行地址分配和报文过滤。 此模式又叫全圆锥模式(Full-cone)适合支持P2P业务,因此在现有的部署场景中绝大多数都是采用三元组。,10.1.1.200,NAT,121.12.124.20,131.15.124.22,三元组,Page9,NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤。 此模式又叫对称性模式,
6、10.1.1.200,NAT,121.12.124.20,131.15.124.22,五元组,Page10,ALG(Application Layer Gateway):在NAT中,为特殊的应用程序提供透明转换的功能称为应用层网关。 通过ALG功能,NAT不仅针对IP地址、端口号做地址端口映射,同时还对应用层协议中包含的IP地址、端口号等做同步转换,以已保证这些协议能够正常交互。 当前版本ALG支持的应用协议及端口号有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060) 等。 NAT穿越:NAT穿越和NAT ALG解决的问题一致,都是为了解决网络中存在NAT时应用协议的
7、交互问题,不同之处在于解决问题的出发点不同, NAT ALG的处理在NAT设备完成, NAT穿越通常是指应用软件能够探测、处理网络中存在NAT的情况,并由应用程序的终端和服务器做特殊处理来保证功能可用。,CGN ALG,溯源:指根据源地址、端口等信息,确定最终用户账号的安全监管要求。,BRAS/SR,CGN,STB,HG,DSLAM,TV,LSW,OLT,MDU,STB,HG,TV,AAA Server,安全监管,接入认证,1,建立连接,发起认证,2,用户认证,记录用户 私有地址,3,给用户分配私有IPv4地址,用户溯源,1,私有源地址访问请求,2,公有源地址访问请求,1,根据公有IP地址查询
8、用户信息,2,用户信息,NAT导致溯源失败的原因:用户报文在NAT转换前后的源地址不同,安全监管机构只能获得NAT转换后的用户信息。这个地址在AAA没有任何记录转换后的记录。因此,无法完成正常的用户信息反查和用户溯源。,NAT部署引起的溯源问题,Page12,NAT溯源:NAT特性的部署隐藏了私网用户的IP地址信息,各个国家安全部门对NAT部署的很重要的要求是具备可溯源的能力,即可以根据”公网IP地址端口号”查询到私网用户的IP地址,进一步锁定具体用户。 CGN溯源方式:包含用户日志和流日志,其中用户日志分为syslog和Radius两种格式,流日志分为syslog和elog 两种格式。 优缺
9、点:用户日志,日志量小,不能精准溯源;流日志,日志量太大,能精准溯源。 综合考虑推荐使用三元组、port-range情况下的用户日志,CGN 溯源,Page13,端口预分配:端口预分配又称为Port Range模式,是指CGN在进行私网地址与公网地址映射时,预先给一个私网地址分配一个公网地址和一个端口段,该私网地址所有的NAT映射都使用该公网地址和端口段中的端口 会话限制: NAT444如果某些用户发起DoS攻击(例如发起SYN-Flood攻击),就可能将CGN所有的流表资源耗尽,导致其他正常用户无法建立流表,从而无法访问网络。因此,可以对某个用户的TCP/UDP/ICMP/TOTOL会话总数
10、进行限制,如果超过了阈值,则不能再新建会话。目前版本默认使能该限制,CGN 安全性,Page14,License,display license - LME0FWF01 Function YES Firewall for SSU -vsua LME0SNAT00 Resource 1 NAT for SPU C -spucLME0NATDS00 Resource 256 2M NAT Session -cgn1.5/cgn2.0 LME0DSLITEDS00 Resource 32 DS-lite license -cgn1.5 LME0DSLITE01 Resource 32 DS-Lite
11、 License for VSUF -cgn2.0,Page15,目 录,CGN基本概念 CGN方案介绍 CGN故障处理流程 CGN网管配套、规格与限制,Page16,Server Farm,AAA Server,DNS Server,PC,CPE,BRAS,CGN,CR,Internet,DSLAM MxU/OLT,用户使用默认域上线,BRAS上送AAA接入认证,AAA上维护的用户域: 公网域:现网域名维持不变 新增1个私网域: 2) 私网域:NAT,AAA下发对应域名 如:NAT,认证响应,保持用户上线习惯不变 由Radius Server下发用户域信息,对用户控制更为灵活,回退方便,CG
12、N 基本组网,Page17,CPE拨号到BARS(BRAS集成CGN)上线,BRAS为CPE分配上线地址以及对应NAT地址和端口段。当终端用户对外发起访问时,CPE对用户PC发出报文进行一次NAT转换,BRAS对CPE发出报文做第二次转换,因为网络中存在两次地址转换,同时由于CGN功能分布在各个BRAS接入点,从组网部署上称为分布式NAT444解决方案。,NAT444分布式方案,用户接入和CGN无缝结合:支持PPPOE/IPOE/L2TP/WEB等接入用户做上线时的NAT端口预分配处理,可以按照用户域、用户ID等信息查询该用户对应的NAT资源分配、表项转换信息,支持用户计费报文实时上报NAT端
13、口段信息到Radius服务器来完成溯源。 有序化的端口预分配管理:传统NAT转换通常按照用户流进行分配,每条用户流分配一个端口,容易造成个别用户会挤占大量资源,特别是溯源需要逐流发送NAT日志,对周边系统消耗大。通过端口预分配,用户上线分配一个端口段,下线释放端口段,用户的资源分配相对公平,更重要的是用户上线和下线阶段分别发送一条NAT日志即可完成溯源,且可将用户的NAT地址和端口段上送Radius服务器完成实时溯源。,Page18,NAT444分布式方案,灵活可控的业务回退管理:针对部分高端用户,或明确要求分配公网地址的用户,通过Radius下发域名的方式将用户回退到公网域分配公网地址,保证
14、满足各类用户不同的上网需求。公私分明的网络规划管理:私网路由终结到BRAS,公私网路由只在BRAS做分割,每台BRAS拥有独立的私网地址空间,方便网络规划和管理。,Page19,NAT444分布式方案,Page20,CPE拨号到BARS(BRAS集成CGN)上线,BRAS为CPE分配私网地址。不同BRAS下挂CPE发出的报文统一发送到CGN设备(CGN可以集成到SR上或旁挂到SR、CR设备)做集中处理。 集中式部署主要适用于现网设备已经固定、无法直接升级支持CGN的情况。,NAT444集中式方案,Page21,在接入网已经完成IPv6改造,BRAS可以采用升级的方式按照分布式组网部署DS-Li
15、te。CPE/B4通过IPv6上线,同时BRAS为其分配DS-Lite业务的IPv4公网地址和端口段,并支持一体化的用户和CGN业务的管理,灵活的溯源跟踪。,Internet IPv6,Internet IPv4,IPV6接入网,IPv6,IPv4,AFTR (DS-Lite),IPv4 header,IPv4 data,IPv4 header,IPv4 data,IPv6 header,Tunnel: IPv4 In IPv6,IPv4 header,IPv4 data,Tunnel: IPv4 In IPv6,CPE/B4 (DS-Lite),BRAS,DS-Lite 分布式方案,Page22,在城域网已经IPv6改造完成,城域网和接入网均已经简化为仅需支持IPv6转发的过渡阶段,可以按照集中组网部署DS-Lite,将CGN旁挂或部署到SR/CR设备。,Internet IPv6,Internet IPv4,MANV6,IPv6,IPv4,BRAS,CR,IPv4 header,IPv4 data,IPv4 header,IPv4 data,IPv6 header,Tunnel: IPv4 In IPv6,IPv4 header,IPv4 data,Tunnel: IPv4 In IPv6,AFTR (DS-Lite),
