BNG专家组系列培训5-增值业务CGN培训.

©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.BNG专家组系列培训—增值业务CGN培训Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page1前言IPv4地址即将耗尽，用户发展需求远超地址申请速度。目前IPv6产业链趋向成熟，基本满足向IPv6网络过渡的需要。但是基于IPv6的内容很少，用户缺乏演进到IPv6的动力，所以IPv4和IPv6将在很长时间内处于共存期。需要IPv6过渡技术来解决这个问题－CGN技术。目前CGN单板类型有以下几种：1、VSUA、SPUC（1M、10Gbps/512字节、NAT）2、VSUI-20-A（6M、20Gbps/512字节、NAT、DS-lite）3、VSUF-80、VSUF-160（16M、25Gbps/512字节、NAT、DS-lite）4、VSUF-40、VSUI-20-B（16M、25Gbps/512字节、NAT、DS-lite）Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2目录1.CGN基本概念2.CGN方案介绍3.CGN故障处理流程4.CGN网管配套、规格与限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3CGN（CarrierGradeNAT）电信级的NAT或者叫运营商级的NAT。NAT444NAT444是IPv6过渡时期的重要技术，NAT444就是二级NAT：CPE一级的NAT44地址转化，网络设备（例如BRAS）一级NAT44地址转化。共二级NAT44地址转化DS-Lite（轻量级双栈Dual-StackLite）轻量级双栈采用的IPv4-in-IPv6隧道，通过隧道，IPv4流量可穿越IPv6网络到达电信级CGN设备(AFTR)，CPE无需对私有IPv4地址进行翻译，从而避免了多级NATCGN基本概念Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4B4（BaseBridgeBroadbandelement）DS-Lite场景下的路由型家庭网关，或者运行DS-Lite客户端的PCAFTR（AddressFamilyTranslationRouter）DS-Lite场景下网络设备功能模块，物理型态可以是独立式或嵌入式，可以以分布式部署在BRAS节点位置,也可以以集中式部署在城域网核心CR路由器位置Port-Range对于每个割接到CGN的私网用户通常需要预先分配一个公网IP的端口段，该端口段用来为私网用户做CGN的公私网转换CGN基本概念Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.NAT部署的基本作用实现公私网分离，保护私网信息安全实现IP地址复用，缓解IPv4公网地址耗尽问题。NAT部署简单分类BasicNATNAPTNAT基本模式三元组NAT五元组NATPage5NAT基础Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6BasicNAT也叫NO-PAT方式NAT，只转换IP地址，每个私网地址对应一个公网地址。HostServer192.168.1.120.1.1.1IntranetInternet192.168.1.31.1.1.2Src:192.168.1.3Dst:1.1.1.2Src:20.1.1.1Dst:1.1.1.2Src:1.1.1.2Dst:192.168.1.3Src:1.1.1.2Dst:20.1.1.1NATDirectionBeforeNATAfterNATOutbound192.168.1.320.1.1.1BasicNATCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7NAPT（NetworkAddressPortTranslation）即网络地址端口转换，也叫PAT，同时映射IP地址和端口号。来自不同内部地址的数据报文的源地址可以映射到同一外部地址，但它们的端口号被转换为该地址的不同端口号，因而仍然能够共享同一地址。HostAServer192.168.1.120.1.1.1IntranetInternet192.168.1.21.1.1.2Packet2Src:192.168.1.2:2222NATHostB192.168.1.3Packet2Src:20.1.1.1:1002Packet1Src:192.168.2.2:1111Packet3Src:192.168.1.3:1111Packet1Src:20.1.1.1:1001Packet3Src:20.1.1.1:1003DirectionBeforeNATAfterNATOutbound192.168.1.2:111120.1.1.1:1001Outbound192.168.1.2:222220.1.1.1:1002Outbound192.168.1.3:111120.1.1.1:1003NAPTCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8NAT设备通过建立三元组（目的地址、目的端口、协议号）表项为依据进行地址分配和报文过滤。此模式又叫全圆锥模式(Full-cone)－适合支持P2P业务，因此在现有的部署场景中绝大多数都是采用三元组。10.1.1.200NAT121.12.124.2010.1.1.200:100-121.12.124.20:8010.1.1.200:100-131.15.124.22:80152.100.1.21:10240-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80131.15.124.22152.100.1.21:10240-131.15.124.22:8010.1.1.200:100-121.12.124.20:80三元组Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9NAT设备通过建立五元组（源地址、源端口号、协议类型、目的地址、目的端口号）表项为依据进行地址分配和报文过滤。此模式又叫对称性模式10.1.1.200NAT121.12.124.2010.1.1.200:100-121.12.124.20:8010.1.1.200:100-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80152.100.1.21:10240-121.12.124.20:80131.15.124.22152.100.1.21:10240-131.15.124.22:80五元组Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10ALG(ApplicationLayerGateway)：在NAT中，为特殊的应用程序提供透明转换的功能称为应用层网关。通过ALG功能，NAT不仅针对IP地址、端口号做地址端口映射，同时还对应用层协议中包含的IP地址、端口号等做同步转换，以已保证这些协议能够正常交互。当前版本ALG支持的应用协议及端口号有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060)等。NAT穿越:NAT穿越和NATALG解决的问题一致，都是为了解决网络中存在NAT时应用协议的交互问题，不同之处在于解决问题的出发点不同，NATALG的处理在NAT设备完成，NAT穿越通常是指应用软件能够探测、处理网络中存在NAT的情况，并由应用程序的终端和服务器做特殊处理来保证功能可用。CGNALGCopyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.溯源：指根据源地址、端口等信息，确定最终用户账号的安全监管要求。BRAS/SRCGNSTBHGDSLAMTVLSWOLTMDUSTBHGTVAAAServer安全监管接入认证1建立连接，发起认证2用户认证记录用户私有地址3给用户分配私有IPv4地址用户溯源1私有源地址访问请求2公有源地址访问请求1根据公有IP地址查询用户信息2用户信息NAT导致溯源失败的原因：用户报文在NAT转换前后的源地址不同，安全监管机构只能获得NAT转换后的用户信息。这个地址在AAA没有任何记录转换后的记录。因此，无法完成正常的用户信息反查和用户溯源。NAT部署引起的溯源问题Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12NAT溯源：NAT特性的部署隐藏了私网用户的IP地址信息，各个国家安全部门对NAT部署的很重要的要求是具备可溯源的能力，即可以根据”公网IP地址＋端口号”查询到私网用户的IP地址，进一步锁定具体用户。CGN溯源方式：包含用户日志和流日志，其中用户日志分为syslog和Radius两种格式，流日志分为syslog和elog两种格式。优缺点：用户日志，日志量小，不能精准溯源；流日志，日志量太大，能精准溯源。综合考虑推荐使用三元组、port-range情况下的用户日志CGN溯源Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13端口预分配：端口预分配又称为PortRange模式，是指CGN在进行私网地址与公网地址映射时，预先给一个私网地址分配一个公网地址和一个端口段，该私网地址所有的NAT映射都使用该公网地址和端口段中的端口会话限制：NAT444如果某些用户发起DoS攻击（例如发起SYN-Flood攻击），就可能将CGN所有的流表资源耗尽，导致其他正常用户无法建立流表，从而无法访问网络。因此，可以对某个用户的TCP/UDP/ICMP/TOTOL会话总数进行限制，如果超过了阈值，则不能再新建会话。目前版本默认使能该限制CGN安全性Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14LicenseHuaweidisplaylicense-------------------------------------------------------------LME0FWF01FunctionYESFirewallforSSU------vsuaLME0SNAT00Resource1NATforSPUC--------spucLME0NATDS00Resource2562MNATSession------cgn1.5/cgn2.0LME0DSLITEDS00Resource32DS-litelicense--------cgn1.5LME0DSLITE01Resource32DS-LiteLicenseforVSUF------cgn2.0Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15目录1.CGN基本概念2.CGN方案介绍3.CGN故障处理流程4.CGN网管配套、规格与限制Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved