上海电信WLAN测试报告-阿朗7750资料
Wlan私网地址扩展方案测试-7750
中国电信上海研究院
1.前言
上海电信目前有大量的郊县阿朗7750,除了承载公众家庭上网业务,也承载WLAN系统的业务接入。每台7750 上分配了32C(8K)的公网地址。但是只有不到10%的WLAN用户通过portal认证,使用电信的WLAN服务。随着WLAN用户的增加,需要的公网IP地址越来越多,在当前IP地址紧缺的情况下,需要采用NAT技术来解决这个问题。
2.组网及测试方案
由于7750支持CGN直接插卡方式,所以建议直接在7750上插CGN卡实现NAT 功能,做NAT444的转换。这样给用户分配的是10/8的私网地址,在对目前的AAA和radius进行一定程度的改造情况下,当用户获得私网地址后,先进行认证,认证结束后,通过NAT板卡访问internet。
整体流程如下:
用户DHCP获得私网地址,通过BRAS可以访问portal(适当的网络部署方案或隧道方案,需要讨论),输入用户名密码,portal和AAA交互完成认证。
用户通过NAT板卡可以访问internet .
整体流程如下:
公网访问portal上线业务流程:
公网访问portal下线业务流程:
3. 测试环境
3.1 测试拓扑
Client
7750
Portal Server
Radius Server
图1
Test Center
7750
图2
3.2 测试网元
设备名称 版本 数量 7750 11.0 1 PC Windows XP 1 Portal Server 联创Portal Server 1 Radius Server 1 Test Center Spirent
1 CGN 单板+子卡 IOM3-XP 、ISA-MS
1
4. 7750-NAT444原理
4.1 NAT 映射行为
7750支持两种NAT 映射行为:与目的地址/端口无关的NAT 映射,与目的地址/端口相关的NAT 映射。
与目的地址/端口无关的NAT 映射,该映射行为由源地址/端口二元组决定,即只要源地址/端口二元组是固定的,映射关系也是固定的,与目的地址/端口无关。如图3所示:
图3
与目的地址/端口相关的NAT 映射,该映射行为由源地址/端口/目的地址/目的端口四元组决定,即只有源地址/端口/目的地址/目的端口四元组是固定的,映射关系才是固定的。如图4所示:
#
ip-X port-x ip-X'port-x'ip-Y
port-y 1192.6.1.1241481.0.0.16153630.0.0.112192.6.1.1241481.0.0.16154430.0.0.123192.6.1.1241481.0.0.161530
31.0.0.1
1Source
Destination inside NAT ouside
图4
4.2 NAT 资源分配、释放和监控
7750会为一个inside 私网地址分配一对outside 公网地址/端口块二元组,形成NA T 映射关系。采用端口块的方式,可以减少因NAT 映射导致的log 数量。端口块中的端口是随
机分配的,用来减少可预测性。新的inside私网地址会顺序使用outside公网地址/端口块资源。缺省情况下,NAT映射不会采用小于1024的知名端口,端口块使用1024至65535的端口。当然,端口块的大小可按照要求进行调整,每个地址池中的所有端口块的大小都是一致的。
缺省情况下,一个inside私网地址只能使用一个端口块,为其分配的outside端口块中的端口耗尽后,新增的session会被丢弃,不会形成新的NA T映射关系,也不会破坏已经形成的老的NAT映射关系。新增session被丢弃的同时,7750会给终端用户回送code为13的ICMP报文(ICMP通讯管理性过滤禁止差错报文),告之终端用户NAT映射失败。当然,可以通过配置,让一个inside私网地址使用多个端口块,一个端口块耗尽,该私网用户会顺序选择一个未使用的端口块。
7750还可通过识别QoS标记,为高优先级业务预留端口,例如DNS、Email和VoIP业务,从而确保高优先级业务使用NA T功能的可靠性。
端口块分配流程如图11所示:
图11
7750还为以下端口类型规定了超时时间:
?TCP – SYN_SENT
?TCP – Transitory (FIN_WAIT1/2, CLOSE_W AIT, LAST_ACK, CLOSING)
?TCP – Established
?TCP – TIME_W AIT ( time-wait-assassination)
?UDP – Initial Packet (ie. When only one packet is sent)
?UDP – DNS ( port 53 traffic only )
?UDP
当一个inside私网用户的以上端口类型在规定时间内没有任何流量,达到了超时计时器时,7750会为该inside私网用户释放相关端口资源,最后一个端口资源释放后,才会释放整个端口块资源。
4.3 NAT映射模式
7750支持两种NAT映射模式:Large Scale模式和L2Aware模式。
Large Scale模式主要用于集中式的NA T,主要部署在承载网和移动网络中。Large Scale 模式中,只有用户流量触发了NAT映射条件,才会导致NA T映射关系的形成。Large Scale 模式可以由两个触发条件来形成NA T映射关系,ip-filter和destination-prefix。
以ip-filter为条件触发NAT映射关系,举例如下:来自sap 1/1/3:1150的流量触发了ip-filter 50,目的地址段为80.80.80.0/24的流量触发ip-filter 50中的entry10,只做普通转发;当目的地址不在80.80.80.0/24中,且源地址段是192.168.0.0/16的流量触发entry20,送往该sap所在router的nat inside。后者流量通过nat inside的nat-policy调用nat outside的nat pool,从而实现NAT转换。需要说明的是,当nat outside pool中的地址段配置好后,会在nat outside 所在的router中形成针对该地址段的下一跳为nat outside的静态路由,可以通过路由重分布将其发布至动态路由中,实现路由回指。如图5和图6所示:
图5
图6
以destination-prefix为条件触发NAT映射关系,举例如下:当来自router 51的流量的目的地址为100.100.100.0/24时,触发destination-prefix 100.100.100.0/24,送往该sap所在router的nat inside。该流量通过nat inside的nat-policy调用nat outside的nat pool,从而实现NA T转换。同ip-filter方式一样,当nat outside pool中的地址段配置好后,会在nat outside 所在的router中形成针对该地址段的下一跳为nat outside的静态路由,可以通过路由重分布将其发布至动态路由中,实现路由回指。如图7和图8所示:
图7
图8
需要补充说明的是,在Large Scale模式中,当nat inside和nat outside都在同一个router 中时,只能用ip-filter方式实现NA T功能,无法用destination-prefix方式实现。如图9所示:
图9
另外一种L2Aware模式主要用于分布式的NA T,主要部署在BRAS上。L2Aware模式中,只要用户认证成功获得私网地址,就会马上导致NA T映射关系的形成,无需流量触发NA T映射条件。终端用户通过认证后获得私网地址的同时,通过sub-profile属性中的nat-policy,调用nat outside的nat pool,且需匹配nat inside的l2-aware的IP地址(该IP地址与用户私网地址同网段即可,无需是网关地址),即可实现NAT转换。此时NAT映射关系作为终端用户数据,保存在7750中,只有用户下线才解除NAT映射关系。如图10和图11所示:
图10
图11
5.7750配置
5.1 NAT板卡配置
configure isa
nat-group 1 create #创建NAT group 1
active-mda-limit 1 #设定该NAT group的主用ISA板卡数量为1
mda 5/1 #将mda 5/1加入NAT group 1
no shutdown
exit
exit
5.2 NAT policy配置
configure service
nat
nat-policy " nat-policy-ixia" create #创建仪表打流用户的NA T policy
pool "nat-pool-ixia" router Base #将仪表打流用户的NAT地址池绑定至router Base
exit
exit
nat-policy "nat-policy-portal" create #创建portal用户的NAT policy
pool "nat-pool-portal" router Base #将portal用户的NAT地址池绑定至router Base
exit
exit
exit
exit
5.3 NAT转换后公网地址池配置
configure router
nat
outside #NAT转换后的公网地址池配置
pool "nat-pool-ixia" nat-group 1 type large-scale create #将仪表打流用户地址池、相应NA T group、large-scale模式进行三方绑定
address-range 192.168.1.3 192.168.1.100 #定义NAT映射后地址池范围,并在router Base路由表中生成下一跳为NAT的静态路由
port-reservation ports 98 #定义每个地址块有98个端口
exit
no shutdown
exit
pool "nat-pool-portal" nat-group 1 type l2-aware #将portal用户地址池、相应NAT group、l2-aware模式进行三方绑定
address-range 116.228.171.84 116.228.171.84 create #定义NAT 映射后地址池范围,并在router Base路由表中生成下一跳为NAT的静态路由
exit
no shutdown
exit
exit
5.4 业务配置
5.4.1 仪表打流用户
5.4.1.1 地址池配置
configure service
customer 1 create
description "Default customer"
exit
vprn 444 create #为仪表打流用户创建VPRN
dhcp
local-dhcp-server "dhcp-ser-ixia" create #为仪表打流用户创建NAT 转换前私网地址池的local-dhcp-server
use-gi-address
pool "dhcp-pool-ixia" create #为仪表打流用户创建NAT转换前私网地址池的地址池
subnet 10.64.0.0/18 create #仪表打流用户NAT转换前私网地址段
options
default-router 10.64.0.1
exit
address-range 10.64.0.2 10.64.63.255
exit
subnet 10.65.0.0/18 create #仪表打流用户NAT转换前私网地址段
options
default-router 10.65.0.1
exit
address-range 10.65.0.2 10.65.63.255
exit
exit
no shutdown
exit
exit
5.4.1.2 地址池接口配置
configure service
customer 1 create
description "Default customer"
exit
vprn 444 create #为仪表打流用户创建VPRN
interface "loopback-dhcp" create #为仪表打流用户创建loopback接口
address 1.1.1.1/32 # local-dhcp-server地址
local-dhcp-server "dhcp-ser-ixia" #绑定local-dhcp-server
loopback
exit
5.4.1.3 subscriber-interface配置
configure service
customer 1 create
description "Default customer"
exit
vprn 444 create #为仪表打流用户创建VPRN
subscriber-interface "sub-inter-ixia" create
allow-unmatching-subnets
address 10.65.0.1/18
address 10.64.0.1/18
dhcp
gi-address 10.64.0.1
exit
group-interface "gro-inter-ixia" create
arp-populate
dhcp
server 1.1.1.1
trusted
lease-populate 32767
client-applications dhcp ppp
gi-address 10.64.0.1
no shutdown
exit
sap 2/1/1 create
sub-sla-mgmt
def-sub-id use-auto-id
def-sub-profile "sub-100"
def-sla-profile "sla-100"
multi-sub-sap 32767
no shutdown
exit
exit
exit
exit
5.4.1.4 NAT inside配置
configure service
customer 1 create
description "Default customer"
exit
vprn 444 create #为仪表打流用户创建VPRN
nat
inside
nat-policy "nat-policy-ixia" #绑定相应nat-policy
destination-prefix 0.0.0.0/0 #定义对所有出流量的IP报文进行NAT 转换,并在router 444中生成一个下一跳为NA T的缺省路由
exit
exit
exit
exit
5.4.1.5 与仪表network侧直连接口配置
configure router
interface "to-ixia"
address 192.168.44.2/24
port 2/1/4
no shutdown
exit
5.4.2 portal用户
5.4.2.1 地址池配置
configure router
dhcp
local-dhcp-server "dhcp-ser-portal" create #为portal用户创建NA T转换前私网地址池的local-dhcp-server
use-gi-address
pool "dhcp-pool-portal" create #为portal用户创建NA T转换前私网地址池的地址池
options
dns-server 202.96.209.5 #为portal用户配置DNS地址
exit
subnet 10.66.0.0/24 create #portal用户NA T转换前私网地址段
options
default-router 10.66.0.1
exit
address-range 10.66.0.3 10.66.0.254
exit
exit
no shutdown
exit
exit
5.4.2.2 地址池接口配置
configure router
interface "loopback-dhcp" create #为portal用户创建loopback接口
address 2.2.2.2/32 # local-dhcp-server地址
local-dhcp-server "dhcp-ser-portal" #绑定local-dhcp-server
loopback
no shutdown
exit
5.4.2.3 subscriber-interface配置
configure service
customer 1 create
description "Default customer"
exit
ies 443 create #为portal用户创建IES
subscriber-interface "sub-inter-portal" create
address 10.66.0.1/24
dhcp
gi-address 10.66.0.1
exit
group-interface "gro-inter-portal" create
arp-populate
dhcp
server 2.2.2.2
trusted
lease-populate 32767
client-applications dhcp ppp
gi-address 10.66.0.1
no shutdown
exit
authentication-policy "auth-policy-portal"
oper-up-while-empty
sap 2/1/3 create
sub-sla-mgmt
def-sub-id use-auto-id
def-sub-profile "sub-100"
def-sla-profile "sla-portal"
sub-ident-policy "sub-ident-local"
multi-sub-sap 1000
no shutdown
exit
exit
wpp #portal用户触发portal协议
initial-sla-profile "sla-portal"
initial-sub-profile "sub-100"
portal router "Base" name "portal" #绑定portal Server
no shutdown
exit
exit
exit
no shutdown
5.4.2.4 NAT inside配置
configure router
nat
inside
l2-aware
address 10.66.0.1/24 #portal用户通过该IP地址触发NAT
exit
exit
exit
exit