BNG專家組系列培訓(xùn)5-增值業(yè)務(wù)CGN培訓(xùn)

BNG專家組系列培訓(xùn)—增值業(yè)務(wù)CGN培訓(xùn)Page1前言IPv4地址即將耗盡，用戶發(fā)展需求遠(yuǎn)超地址申請速度。目前IPv6產(chǎn)業(yè)鏈趨向成熟，基本滿足向IPv6網(wǎng)絡(luò)過渡的需要。但是基于IPv6的內(nèi)容很少，用戶缺乏演進(jìn)到IPv6的動(dòng)力，所以IPv4和IPv6將在很長時(shí)間內(nèi)處于共存期。需要IPv6過渡技術(shù)來解決這個(gè)問題－CGN技術(shù)。目前CGN單板類型有以下幾種：1、VSUA、SPUC（1M、10Gbps/512字節(jié)、NAT）2、VSUI-20-A（6M、20Gbps/512字節(jié)、NAT、DS-lite）3、VSUF-80、VSUF-160（16M、25Gbps/512字節(jié)、NAT、DS-lite）4、VSUF-40、VSUI-20-B（16M、25Gbps/512字節(jié)、NAT、DS-lite）Page2目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制Page3CGN（Carrier

Grade

NAT）電信級的NAT或者叫運(yùn)營商級的NAT。NAT444NAT444是IPv6過渡時(shí)期的重要技術(shù)，NAT444就是二級NAT：CPE一級的NAT44地址轉(zhuǎn)化，網(wǎng)絡(luò)設(shè)備（例如BRAS）一級NAT44地址轉(zhuǎn)化。共二級NAT44地址轉(zhuǎn)化DS-Lite（輕量級雙棧Dual-Stack

Lite）輕量級雙棧采用的IPv4-in-IPv6隧道，通過隧道，IPv4流量可穿越IPv6網(wǎng)絡(luò)到達(dá)電信級CGN設(shè)備(AFTR)，CPE無需對私有IPv4地址進(jìn)行翻譯，從而避免了多級NATCGN基本概念Page4B4（BaseBridgeBroadbandelement）DS-Lite場景下的路由型家庭網(wǎng)關(guān)，或者運(yùn)行DS-Lite客戶端的PCAFTR（AddressFamilyTranslationRouter）DS-Lite場景下網(wǎng)絡(luò)設(shè)備功能模塊，物理型態(tài)可以是獨(dú)立式或嵌入式，可以以分布式部署在BRAS節(jié)點(diǎn)位置,也可以以集中式部署在城域網(wǎng)核心CR路由器位置Port-Range對于每個(gè)割接到CGN的私網(wǎng)用戶通常需要預(yù)先分配一個(gè)公網(wǎng)IP的端口段，該端口段用來為私網(wǎng)用戶做CGN的公私網(wǎng)轉(zhuǎn)換CGN基本概念NAT部署的基本作用實(shí)現(xiàn)公私網(wǎng)分離，保護(hù)私網(wǎng)信息安全實(shí)現(xiàn)IP地址復(fù)用，緩解IPv4公網(wǎng)地址耗盡問題。NAT部署簡單分類BasicNATNAPTNAT基本模式三元組NAT五元組NATPage5NAT基礎(chǔ)Page6

BasicNAT也叫NO-PAT方式NAT，只轉(zhuǎn)換IP地址，每個(gè)私網(wǎng)地址對應(yīng)一個(gè)公網(wǎng)地址。BasicNATPage7NAPT（NetworkAddressPortTranslation）即網(wǎng)絡(luò)地址端口轉(zhuǎn)換，也叫PAT，同時(shí)映射IP地址和端口號。來自不同內(nèi)部地址的數(shù)據(jù)報(bào)文的源地址可以映射到同一外部地址，但它們的端口號被轉(zhuǎn)換為該地址的不同端口號，因而仍然能夠共享同一地址。NAPTPage8NAT設(shè)備通過建立三元組（目的地址、目的端口、協(xié)議號）表項(xiàng)為依據(jù)進(jìn)行地址分配和報(bào)文過濾。此模式又叫全圓錐模式(Full-cone)－適合支持P2P業(yè)務(wù)，因此在現(xiàn)有的部署場景中絕大多數(shù)都是采用三元組。00NAT000:100->0:8000:100<-2:801:10240->0:801:10240<-0:8021:10240<-2:8000:100<-0:80三元組Page9NAT設(shè)備通過建立五元組（源地址、源端口號、協(xié)議類型、目的地址、目的端口號）表項(xiàng)為依據(jù)進(jìn)行地址分配和報(bào)文過濾。此模式又叫對稱性模式00NAT000:100->0:8000:100<-0:801:10240->0:801:10240<-0:8021:10240<-2:80五元組Page10ALG(ApplicationLayerGateway)：在NAT中，為特殊的應(yīng)用程序提供透明轉(zhuǎn)換的功能稱為應(yīng)用層網(wǎng)關(guān)。通過ALG功能，NAT不僅針對IP地址、端口號做地址端口映射，同時(shí)還對應(yīng)用層協(xié)議中包含的IP地址、端口號等做同步轉(zhuǎn)換，以已保證這些協(xié)議能夠正常交互。當(dāng)前版本ALG支持的應(yīng)用協(xié)議及端口號有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060)等。NAT穿越:NAT穿越和NATALG解決的問題一致，都是為了解決網(wǎng)絡(luò)中存在NAT時(shí)應(yīng)用協(xié)議的交互問題，不同之處在于解決問題的出發(fā)點(diǎn)不同，NATALG的處理在NAT設(shè)備完成，NAT穿越通常是指應(yīng)用軟件能夠探測、處理網(wǎng)絡(luò)中存在NAT的情況，并由應(yīng)用程序的終端和服務(wù)器做特殊處理來保證功能可用。CGNALG溯源：指根據(jù)源地址、端口等信息，確定最終用戶賬號的安全監(jiān)管要求。BRAS/SRCGNSTBHGDSLAMTVLSWOLTMDUSTBHGTVAAAServer安全監(jiān)管接入認(rèn)證1建立連接，發(fā)起認(rèn)證2用戶認(rèn)證記錄用戶私有地址3給用戶分配私有IPv4地址用戶溯源1私有源地址訪問請求2公有源地址訪問請求1根據(jù)公有IP地址查詢用戶信息2用戶信息NAT導(dǎo)致溯源失敗的原因：用戶報(bào)文在NAT轉(zhuǎn)換前后的源地址不同，安全監(jiān)管機(jī)構(gòu)只能獲得NAT轉(zhuǎn)換后的用戶信息。這個(gè)地址在AAA沒有任何記錄轉(zhuǎn)換后的記錄。因此，無法完成正常的用戶信息反查和用戶溯源。NAT部署引起的溯源問題Page12NAT溯源：NAT特性的部署隱藏了私網(wǎng)用戶的IP地址信息，各個(gè)國家安全部門對NAT部署的很重要的要求是具備可溯源的能力，即可以根據(jù)”公網(wǎng)IP地址＋端口號”查詢到私網(wǎng)用戶的IP地址，進(jìn)一步鎖定具體用戶。CGN溯源方式：包含用戶日志和流日志，其中用戶日志分為syslog和Radius兩種格式，流日志分為syslog和elog兩種格式。優(yōu)缺點(diǎn)：用戶日志，日志量小，不能精準(zhǔn)溯源；

流日志，日志量太大，能精準(zhǔn)溯源。綜合考慮推薦使用三元組、port-range情況下的用戶日志CGN溯源Page13端口預(yù)分配：端口預(yù)分配又稱為PortRange模式，是指CGN在進(jìn)行私網(wǎng)地址與公網(wǎng)地址映射時(shí)，預(yù)先給一個(gè)私網(wǎng)地址分配一個(gè)公網(wǎng)地址和一個(gè)端口段，該私網(wǎng)地址所有的NAT映射都使用該公網(wǎng)地址和端口段中的端口會(huì)話限制：NAT444如果某些用戶發(fā)起DoS攻擊（例如發(fā)起SYN-Flood攻擊），就可能將CGN所有的流表資源耗盡，導(dǎo)致其他正常用戶無法建立流表，從而無法訪問網(wǎng)絡(luò)。因此，可以對某個(gè)用戶的TCP/UDP/ICMP/TOTOL會(huì)話總數(shù)進(jìn)行限制，如果超過了閾值，則不能再新建會(huì)話。目前版本默認(rèn)使能該限制CGN安全性Page14License<Huawei>displaylicense

LME0FWF01FunctionYESFirewallforSSUvsuaLME0SNAT00Resource1NATforSPUCspucLME0NATDS00Resource2562MNATSessioncgn1.5/cgn2.0LME0DSLITEDS00Resource32DS-litelicensecgn1.5LME0DSLITE01Resource32DS-LiteLicenseforVSUFcgn2.0Page15目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制Page16ServerFarmAAAServerDNSServerPCCPEBRASCGNCRInternetDSLAMMxU/OLT用戶使用默認(rèn)域上線BRAS上送AAA接入認(rèn)證AAA上維護(hù)的用戶域：公網(wǎng)域：現(xiàn)網(wǎng)域名維持不變新增1個(gè)私網(wǎng)域：2)私網(wǎng)域：NATAAA下發(fā)對應(yīng)域名如：NAT認(rèn)證響應(yīng)保持用戶上線習(xí)慣不變由RadiusServer下發(fā)用戶域信息，對用戶控制更為靈活，回退方便CGN基本組網(wǎng)Page17CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配上線地址以及對應(yīng)NAT地址和端口段。當(dāng)終端用戶對外發(fā)起訪問時(shí)，CPE對用戶PC發(fā)出報(bào)文進(jìn)行一次NAT轉(zhuǎn)換，BRAS對CPE發(fā)出報(bào)文做第二次轉(zhuǎn)換，因?yàn)榫W(wǎng)絡(luò)中存在兩次地址轉(zhuǎn)換，同時(shí)由于CGN功能分布在各個(gè)BRAS接入點(diǎn)，從組網(wǎng)部署上稱為分布式NAT444解決方案。NAT444分布式方案用戶接入和CGN無縫結(jié)合：支持PPPOE/IPOE/L2TP/WEB等接入用戶做上線時(shí)的NAT端口預(yù)分配處理，可以按照用戶域、用戶ID等信息查詢該用戶對應(yīng)的NAT資源分配、表項(xiàng)轉(zhuǎn)換信息，支持用戶計(jì)費(fèi)報(bào)文實(shí)時(shí)上報(bào)NAT端口段信息到Radius服務(wù)器來完成溯源。有序化的端口預(yù)分配管理：傳統(tǒng)NAT轉(zhuǎn)換通常按照用戶流進(jìn)行分配，每條用戶流分配一個(gè)端口，容易造成個(gè)別用戶會(huì)擠占大量資源，特別是溯源需要逐流發(fā)送NAT日志，對周邊系統(tǒng)消耗大。通過端口預(yù)分配，用戶上線分配一個(gè)端口段，下線釋放端口段，用戶的資源分配相對公平，更重要的是用戶上線和下線階段分別發(fā)送一條NAT日志即可完成溯源，且可將用戶的NAT地址和端口段上送Radius服務(wù)器完成實(shí)時(shí)溯源。Page18NAT444分布式方案靈活可控的業(yè)務(wù)回退管理：針對部分高端用戶，或明確要求分配公網(wǎng)地址的用戶，通過Radius下發(fā)域名的方式將用戶回退到公網(wǎng)域分配公網(wǎng)地址，保證滿足各類用戶不同的上網(wǎng)需求。公私分明的網(wǎng)絡(luò)規(guī)劃管理：私網(wǎng)路由終結(jié)到BRAS，公私網(wǎng)路由只在BRAS做分割，每臺(tái)BRAS擁有獨(dú)立的私網(wǎng)地址空間，方便網(wǎng)絡(luò)規(guī)劃和管理。Page19NAT444分布式方案Page20CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配私網(wǎng)地址。不同BRAS下掛CPE發(fā)出的報(bào)文統(tǒng)一發(fā)送到CGN設(shè)備（CGN可以集成到SR上或旁掛到SR、CR設(shè)備）做集中處理。集中式部署主要適用于現(xiàn)網(wǎng)設(shè)備已經(jīng)固定、無法直接升級支持CGN的情況。NAT444集中式方案Page21在接入網(wǎng)已經(jīng)完成IPv6改造，BRAS可以采用升級的方式按照分布式組網(wǎng)部署DS-Lite。CPE/B4通過IPv6上線，同時(shí)BRAS為其分配DS-Lite業(yè)務(wù)的IPv4公網(wǎng)地址和端口段，并支持一體化的用戶和CGN業(yè)務(wù)的管理，靈活的溯源跟蹤。InternetIPv6InternetIPv4IPV6接入網(wǎng)IPv6IPv4AFTR(DS-Lite)IPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6CPE/B4(DS-Lite)BRASDS-Lite分布式方案Page22在城域網(wǎng)已經(jīng)IPv6改造完成，城域網(wǎng)和接入網(wǎng)均已經(jīng)簡化為僅需支持IPv6轉(zhuǎn)發(fā)的過渡階段，可以按照集中組網(wǎng)部署DS-Lite，將CGN旁掛或部署到SR/CR設(shè)備。InternetIPv6InternetIPv4MANV6IPv6IPv4BRASCRIPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6AFTR(DS-Lite)CPE/B4(DS-Lite)DS-Lite集中式方案Page23典型方案配置CGN部署方案參考資料，需要先登陸support網(wǎng)站，再點(diǎn)擊以下鏈接：/support/pages/navigation/gotoKBNavi.do?actionFlag=getAllJsonData&materialType=&colID=ROOTWEB|CO0000000064&level=4&itemId=000000010317&itemId0=29-44&itemId1=000000010001&itemId2=000000010016&itemId3=000000010060&itemId4=000000010317&itemId5=&itemId6=&itemId7=&itemId8=&itemId9=&materialType=&isHedexDocType=&pageSize=20Page24AAA溯源基于Radius擴(kuò)展的溯源方式CGN日志服務(wù)器溯源Syslog類型用戶日志格式包含電信、聯(lián)通、華為格式。(注釋：此類型用戶日志必須在port-range模式下)流日志包含syslog格式和Elog格式CGN溯源Portrange的端口預(yù)分配：基于每用戶分配公網(wǎng)地址和對應(yīng)的預(yù)分配端口塊，易于實(shí)現(xiàn)用戶溯源；無需基于每Session記錄日志信息，大幅減少CGN海量日志，有效降低系統(tǒng)負(fù)荷壓力；可以采用Syslog格式輸出日志；能夠確保用戶上網(wǎng)階段使用唯一的公網(wǎng)地址及端口段。如何觸發(fā)端口預(yù)分配機(jī)制？

BRAS/SR集成CGN：用戶上線時(shí)預(yù)留公網(wǎng)IP端口塊，下線時(shí)釋放端口塊。CGN獨(dú)立設(shè)備部署：數(shù)據(jù)流到達(dá)觸發(fā)預(yù)留端口塊（通過相同的源IP識別)，通過老化機(jī)制釋放。PrivateIPv4PublicIPv4Startport1Endport1…20486143…0614410239…BRASCGNCRPCPrivateIPv4PublicAddressPool::-…port-range4096InternetIPv4IPv4IPv4IPv4PrivateIPv40CPECPECGN溯源基礎(chǔ)：基于端口預(yù)分配Page26基于AAA服務(wù)器溯源方案電信規(guī)范稱為“BRAS上報(bào)映射表”適用于BRAS插卡的CGN部署方式，由BRAS生成用戶地址映射關(guān)系，并上報(bào)AAA，無需部署專門的日志服務(wù)器；BRAS通過Port-range方式為用戶地址選擇公網(wǎng)IP地址及對應(yīng)的端口塊，創(chuàng)建用戶地址映射關(guān)系，保證為不同私網(wǎng)用戶地址選擇不同的（公網(wǎng)IP地址及對應(yīng)的端口塊）；BRAS通過擴(kuò)展Radius屬性，在accounting-Request消息中上報(bào)用私網(wǎng)戶地址對應(yīng)的公網(wǎng)IP地址、端口塊等信息；即：通過Radius報(bào)文傳送日志信息；AAA獲得私網(wǎng)用戶地址、公網(wǎng)IP地址、端口塊等信息，并維持與用戶信息的對應(yīng)關(guān)系。BRAS集成CGN3222111每個(gè)BRAS創(chuàng)建用戶地址映射關(guān)系，BRAS集成CGNBRAS集成CGNBRAS通過Radius屬性，上報(bào)用戶映射關(guān)系給AAAAAA維護(hù)地址映射關(guān)系和用戶信息的對應(yīng)關(guān)系表。NAT-IP-Address：26-161NAT轉(zhuǎn)換后的公有地址NAT-Port-Start：26-162NAT轉(zhuǎn)換后的起始端口號NAT-Port-End：26-163NAT轉(zhuǎn)換后的終止端口號AAAServerPage27Syslog/Elog格式溯源方案安全機(jī)構(gòu)通過查詢logserver，溯源用戶信息適用于所有集中式CGN部署場景通常Logserver會(huì)儲(chǔ)存至少3~6個(gè)月的用戶日志LogserverCGNCGNCGN222111CGN生成私網(wǎng)地址和公網(wǎng)地址&端口范圍的映射關(guān)系，CGN將包含用戶地址映射關(guān)系的日志信息通過elog/syslog方式上報(bào)logserverLogserver維護(hù)用戶日志信息：包括時(shí)間段、私網(wǎng)地址&端口、用戶地址&端口、目的地址&端口等Page28目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制創(chuàng)新靈活子卡

創(chuàng)新靈活子卡，實(shí)現(xiàn)平滑擴(kuò)容，保護(hù)已有投資形態(tài)容量描述VSUF-16080G雙子卡槽VSUF-8040G單子卡槽Sub-card40G靈活子卡，可以插到VSUF-160/VSUF-80.bandwidthVSUF-80VSUF-80+

sub-cardVSUF160+sub-card40G80G160G靈活的端口分配方式CGN業(yè)務(wù)流程：用戶到網(wǎng)絡(luò)的流量是接口板通過流策略方式把流量引入到VSUF業(yè)務(wù)板，業(yè)務(wù)板負(fù)責(zé)CGN的處理，完成后再交給接口板發(fā)到網(wǎng)絡(luò)側(cè)。網(wǎng)絡(luò)到用戶的流量是接口板通過查找NAT公網(wǎng)地址池FIB的方式把流量引到VSUF業(yè)務(wù)板，業(yè)務(wù)板負(fù)責(zé)CGN的處理，完成后再交給接口板發(fā)到用戶側(cè)。Page30SFULPU1LPU2VSUF(CGN)123567用戶側(cè)網(wǎng)絡(luò)側(cè)CGN業(yè)務(wù)流程簡介Page31CGN故障處理流程基本定位思路1、首先要定界，問題的故障節(jié)點(diǎn)是ME60，通過流統(tǒng)方式確定故障節(jié)點(diǎn)。2、如果故障定界在ME60設(shè)備上，還需要定界是接口板問題，還是VSUF業(yè)務(wù)板問題，通過查看相關(guān)處理芯片確定。Page32CGN故障處理流程定界思路：網(wǎng)絡(luò)側(cè)和用戶側(cè)部署流量統(tǒng)計(jì)。1、網(wǎng)絡(luò)側(cè)流量統(tǒng)計(jì)的方法：

如：用戶ip為0，用戶訪問目的IP(上行設(shè)備直連接口地址)：，分配的公網(wǎng)ip是，網(wǎng)絡(luò)測接口為GE2/1/1。配置舉例：aclnumber3100rule5permiticmpsource0destination0//

匹配到網(wǎng)絡(luò)側(cè)出去的正向流量rule10perminticmpsource0destination0//

匹配從網(wǎng)絡(luò)側(cè)回來的反向流量Trafficclassifier3100operatororif-matchacl3100Trafficbehavior3100//動(dòng)作內(nèi)容為空Trafficpolicy3100statisticsenable//使能流量統(tǒng)計(jì)功能classifier3100behavior3100InterfaceGigabitEthernet2/1/1undoshutdownipaddresstraffic-policy3100outbound//匹配出方向的流量

traffic-policy3100inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1outboundverboserule-basedclass3100[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1inboundverboserule-basedclass3100

Page33CGN故障處理流程2、用戶側(cè)流量統(tǒng)計(jì)的方法：

如：用戶ip為0，用戶訪問目的IP(上行設(shè)備直連接口地址)：。配置舉例：aclnumber6200rule1permiticmpsourceuser-groupnat444destinationip-address0//

匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的明細(xì)流量rule2permiticmpsourceip-address0destinationuser-groupnat444//

匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的明細(xì)流量rule5permitipsourceuser-groupnat444//

匹配用戶側(cè)到網(wǎng)絡(luò)側(cè)的總體流量Trafficclassifier6200operatororif-matchacl6200Trafficbehavior6200//動(dòng)作內(nèi)容為空

natbindinstancenat444Trafficpolicy6200statisticsenable//使能流量統(tǒng)計(jì)功能classifier6200behavior6200全局下發(fā)：

traffic-policy6200outbound//匹配出方向的流量

traffic-policy6200inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsuclinboundverboserule-basedclass6200[huawei]displaytrafficpolicystatisticsucloutboundverboserule-basedclass6200

注：在配置用戶側(cè)流統(tǒng)時(shí)，首先在部署上流統(tǒng)后，觀察是否能統(tǒng)計(jì)到流量，如果能統(tǒng)計(jì)到，則需要更換目的地址，可以使用，前提是在設(shè)備上ping不丟包。Page34

NAT故障處理流程Page34Page35

NAT故障處理流程Page35步驟一：報(bào)文是否到達(dá)業(yè)務(wù)板TM

報(bào)文從接口板進(jìn)入業(yè)務(wù)板，首先到達(dá)TM。如果TM沒有進(jìn)入的報(bào)文計(jì)數(shù)，說明報(bào)文沒有進(jìn)入業(yè)務(wù)板。

查詢命令，進(jìn)入診斷試圖：

displaytm70received-packetsTM收到的報(bào)文計(jì)數(shù)//7號單板為業(yè)務(wù)板步驟二：報(bào)文是否到達(dá)CPU

報(bào)文從TM進(jìn)入CPU，如果是首包，會(huì)先建立會(huì)話表，然后根據(jù)會(huì)話表做NAT轉(zhuǎn)換，然后根據(jù)目的IP查詢FIB進(jìn)行報(bào)轉(zhuǎn)發(fā)。后續(xù)報(bào)文直接查詢會(huì)話表，如果匹配會(huì)話表的話進(jìn)行NAT轉(zhuǎn)換，然后根據(jù)目的IP查詢FIB進(jìn)行轉(zhuǎn)發(fā)。確認(rèn)報(bào)文是否到達(dá)CPU，查詢命令：displaynatstatisticsreceivedslot7engine0步驟三：在CPU上是否建立用戶表

分布式場景用戶上線的時(shí)候就會(huì)創(chuàng)建用戶表。查詢CPU上是否創(chuàng)建用戶表，查詢命令：displaynatuser-information

Page36

NAT故障處理流程Page36步驟四：在CPU上是否建立會(huì)話表首包創(chuàng)建會(huì)話表，后續(xù)包直接查詢會(huì)話表，然后進(jìn)行nat轉(zhuǎn)換。三元組模式會(huì)話表的目的IP和端口無法看到，五元組模式可以查看到目的IP和端口。會(huì)話表查詢命令：displaynatsessiontableslot7engine0

查詢cpu上的所有會(huì)話信息

displaynatsessiontableslot7engine0verberse查詢會(huì)話表向信息

步驟五：報(bào)文是否從CPU發(fā)送出去查詢命令：displaynatstatisticstransmittedslot7engine0如果報(bào)文沒有從CPU發(fā)送出去，可能是因?yàn)槟撤N原因丟包：查詢命令：displaynatstatisticsdiscardslot7engine0如果報(bào)文沒有從CPU發(fā)送出去，可能是會(huì)話資源耗盡：查詢命令：displaynatstatisticstableslot7engine0步驟六：報(bào)文是否到TM并且從TM發(fā)送出去報(bào)文做完nat轉(zhuǎn)換之后，根據(jù)目的IP查詢FIB，根據(jù)路由信息將報(bào)文轉(zhuǎn)發(fā)到接口板。從CPU出來，首先進(jìn)入TM，然后經(jīng)過交換網(wǎng)板，進(jìn)入接口板。確認(rèn)報(bào)文進(jìn)入TM和從TM轉(zhuǎn)發(fā)出去的查詢命令：displaytm70transmitted-packetsTM發(fā)送報(bào)文計(jì)數(shù)Page37

NAT故障處理流程Page37從交換網(wǎng)板出來，首先到達(dá)業(yè)務(wù)板的TM。查看報(bào)文是否到達(dá)TM下行，通過命令行查看計(jì)數(shù)，多次查詢看是否計(jì)數(shù)有增長[huawei-diagnose]displaytm70received-packetsTMIRxReceivedTotal0x00000000028bpackets(0x000000080ca4bytes)(UC)收到的單播報(bào)文TMIRxReceivedTotal0x000000000516packets(MC)TMIRxSP:0COS:7Received0x00000516packets(0x00102374bytes)TMIRxSP:63COS:7Received0x0000028bpackets(0x0000a2c0bytes)TMERxSB(6)Received0x00000002packets(0x00000458bytes)TMERxSB(7)Received0x00000003packets(0x00000684bytes)2.查看報(bào)文是否到達(dá)CPU[huawei-diagnose]displaynatstatisticsreceivedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Packetsreceivedfrominterface:390243177CPU收到從TM過來的報(bào)文計(jì)數(shù)Packetsreceivedfrommainboard:4040

Packetsreceivedbynatentry:390242120送到NAT模塊處理的報(bào)文計(jì)數(shù)

NAT故障處理流程<huawei>displaynatstatisticsglobalslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:5Engine:0Totalnumberofreceivedpackets:1361659434Totalnumberoftransmittedpackets:283041568

Sessiontablenumber:16710283Usertablenumber:99547totalsetupsessions:196586555totalteardownsessions:1798762723.查看是否在業(yè)務(wù)板上建立用戶表先查到用戶的Id[huawei]displayaccess-useruser-id1

Useraccessindex:1State:UsedUsername:user#Domainname:yxmaUserbackupstate:NoUseraccessinterface:GigabitEthernet2/1/0UseraccessPeVlan/CeVlan:-/-Useraccessslot:2UserMAC:0030-0101-0101

UserIPaddress:53Usergatewayaddress:Page39

NAT故障處理流程Page39業(yè)務(wù)板上的用戶表信息[huawei-diagnose]displayNATuser-informationuser-id1slot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Totalnumber:1.

CPEIP:52VPNInstance:-

PublicIP:09

StartPort:1024

PortRange:4096ExtendPortAllocTimes:0ExtendPortAllocNumber:0First/Second/ThirdExtendPortStart:0/0/0Total/TCP/UDP/ICMPSessionLimit:8192/10240/10240/512Total/TCP/UDP/ICMPSessionCurrent:1/0/1/0Total/TCP/UDP/ICMPPortLimit:0/0/0/0Total/TCP/UDP/ICMPPortCurrent:1/0/1/0NatALGEnable:NULL

Page40NAT故障處理流程Page40

4.查看業(yè)務(wù)板上的是否有會(huì)話表[huawei]displaynatsessiontableslot7engine0verbose

Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Currenttotalsessions:1.

udp:53:234[63:1037]-->*:**:*-->63:1037[53:234]NATInstance:nat444User-id:1VPN:>-Tag:0x2,FixedTag:0x1,Status:hit,Create:2010-1-1608:10:26,TTL:00:04:00,Left:00:04:00,MasterAppProID:0x0,CPEIP:53,FwdType:NATPTStatus:hit表示有報(bào)文命中會(huì)話Create:2010-1-1608:10:26會(huì)話表創(chuàng)建的時(shí)間TTL:00:04:00會(huì)話老化時(shí)間Left:00:04:00剩余老化時(shí)間<hauwei>displaynatstatisticstableslot7Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Servermaptblnumber:252FragSsntblnumber:23521Totalcurrentnat444sessionsinMemory:780020TotalcurrentdslitesessionsinMemory:0currentsessionspeed(num/s):2500Page41NAT故障處理流程Page415.查看報(bào)文是否從CPU發(fā)送出去[cgn]displaynatstatisticstransmittedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Packetstransmittedtointerface:132Packetstransmittedtomainboard:132sessionlogpacketstransmitted:0userlogpacketstransmitted:0

Transparentpacketwithnat:29684258做完nat發(fā)送出去的報(bào)文計(jì)數(shù)

Transparentpacketwithoutnat:0沒有做nat發(fā)送出去的報(bào)文計(jì)數(shù)

查看報(bào)文是否在CPU丟包[cgn-diagnose]displaynatstatisticsdiscardslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Fibmissdiscard:2190892444沒有路由導(dǎo)致丟包查看路由方法：[huawei]displayiprouting-table[huawei]displayfib7[huawei-diagnose]displaycgntablemodulefpislot7table-typefib4dipvrfid0Page42

NAT故障處理流程Page426.報(bào)文是否從TM發(fā)送到網(wǎng)板[huawei-diagnose]displaytm70transmitted-packetsTMITxTB:24COS:0Transmit0x000000000001packets(0x0000000005ddbytes)從TM發(fā)送到交換網(wǎng)板的報(bào)文TMITxMulticastCOS:0Transmit0x000000000002packets(0x000000000621bytes)TMETxTP:0COS:7Transmit0x00000005c924packets(0x000006dedac0bytes)TMETxTP:1COS:0Transmit0x000000000008packets(0x000000000d3abytes)TMETxTP:65COS:0Transmit0x000000000006packets(0x000000000174bytes)7.查看VSUF單板是否超性能<huawei>displaynatstatisticspayloadThisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0currentreceivepacketspeed(pps):403166currentreceivepacketbitspeed(bps):2881406928currenttransmitpacketspeed(pps):321866currenttransmitpacketbitspeed(bps):992841600標(biāo)紅的結(jié)果相加，查看是否超過了VSUF單板的轉(zhuǎn)發(fā)性能，receive是網(wǎng)絡(luò)到用戶的流量，transmit是用戶到網(wǎng)絡(luò)的流量。Page43

NAT故障處理流程Page438.查看單個(gè)用戶會(huì)話信息命令行查詢單個(gè)用戶支持使用五元組方式過濾查詢單個(gè)用戶的會(huì)話信息。<huawei>displaynatsessiontable?cpeCustomerPremisesEquipmentdestinationDestinationIPdestination-portDestinationportinformationdestination-vpn-instanceDestinationVPNinstanceinformationdslite-instanceInstanceviewnat-instanceInstanceviewprotocolProtocolinformationslotSlot-idsourceSourceIPsource-vpn-instanceSourceVPNinstanceinformationuser-idUserIDverboseDetailinformation<cr>Page44

常用維護(hù)命令displaylicense//查看license資源里是否有nat資源displaynatsession-tablesize//查詢給業(yè)務(wù)板分配的會(huì)話資源displaynatsessiontable//查詢會(huì)話表displaynatinstancename//

查詢實(shí)例信息displaynatsessionaging-time//查看會(huì)話老化時(shí)間displayservice-location//查看實(shí)例下配置的單板的主備狀態(tài)（配置和實(shí)際）displaynatuser-information//查看業(yè)務(wù)板用戶表信息displaynataddress-usageinstancexxaddress-groupxx//查詢某個(gè)實(shí)例地址池地址使用率displaynatstatisticsalg//alg統(tǒng)計(jì)報(bào)文displaynatstatisticsglobal//全局統(tǒng)計(jì)報(bào)文

displaynatstatisticsdiscard//丟包統(tǒng)計(jì)報(bào)文

displaynatstatisticsreceived//業(yè)務(wù)板cpu收到的報(bào)文計(jì)數(shù)displaynatstatisticssession-usage//業(yè)務(wù)板會(huì)話使用率

displaynatstatisticstable//業(yè)務(wù)板會(huì)話統(tǒng)計(jì)displaynatstatisticstransmittedslotx//從業(yè)務(wù)板發(fā)送出去的報(bào)文displaynatstatisticsreceivedslotx//從業(yè)務(wù)板接收到的報(bào)文案例1：在nat實(shí)例下綁定業(yè)務(wù)CGN1.5單板失敗。現(xiàn)象在nat實(shí)例下add業(yè)務(wù)板時(shí)，返回錯(cuò)誤，業(yè)務(wù)板add失敗。[HUAWEI-nat-instance-1]addslot3masterError:Thenatsessionlicenseofthisslotisinvalid.問題原因

1、業(yè)務(wù)板沒有分配會(huì)話資源，就不能建立會(huì)話。所以，在nat實(shí)例下add業(yè)務(wù)板時(shí)，必須先給業(yè)務(wù)板分配會(huì)話資源，否則add單板失敗。2、license中未包含CGNlicense項(xiàng)。解決方法1、申請正確的CGNlicense2、首先給單板分配會(huì)話資源，然后再在實(shí)例下add業(yè)務(wù)板。

給業(yè)務(wù)板分配nat會(huì)話資源的方法：natsession-tablesize2Mslot8說明

cgn2.0通過在實(shí)例下綁定service-instance-group的方式綁定單板CPU，流量會(huì)因?yàn)闆]有l(wèi)icense而轉(zhuǎn)發(fā)不通。

Page45

案例2：natoutbound中ACL規(guī)則漏配。

現(xiàn)象nat用戶上線失敗，失敗原因是：Onlinefailreason:Addnatuserdatafail(SynUserToCPUFail)問題原因

1、匹配引流策略引到業(yè)務(wù)板的報(bào)文，必須匹配natoutbound中的acl規(guī)則，才會(huì)從對應(yīng)的地址池中給用戶分配公網(wǎng)ip和端口，用戶才能成功上線。否則，如果在outbound中找不到匹配的acl規(guī)則，用戶上線失敗。

如果nat域下的地址池包含2個(gè)C地址，但是綁定outbound的acl規(guī)則中漏掉一個(gè)C地址，就會(huì)出現(xiàn)這種現(xiàn)象。2、如下配置，遺漏~網(wǎng)段：aclnumber3001rule5permitipsource55rule10permitipsource55解決方法修改配置在acl規(guī)則中添加漏掉的私網(wǎng)地址。natoutbound中綁定的acl規(guī)則中包含的地址一定要與nat域下面的ippool中的地址相同。

Page46

案例3：CGNlicense申請錯(cuò)誤，導(dǎo)致業(yè)務(wù)中斷。

現(xiàn)象

設(shè)備打上新申請的CGNlicense后，業(yè)務(wù)中斷。問題原因NAT業(yè)務(wù)目前有VSUA、SPUC、VSUI-20A單板可以支持，其中VSUA、SPUC單板的license和VSUI-20A單板的license是不一樣。一線錯(cuò)誤的申請了VSUA、SPUC單板的license，導(dǎo)致CGN業(yè)務(wù)中斷。各單板license區(qū)別：LME0SNAT00NATforSPUCVSUA、SPUCLME0NATDS002MNATSession VSUI-20-A/VSUF-80規(guī)避方法第一時(shí)間去其他現(xiàn)網(wǎng)設(shè)備取下CGNlicense，該license分配的session數(shù)要與該設(shè)備一樣多，打上其他設(shè)備取來的license，業(yè)務(wù)可以恢復(fù)。解決方法

重新申請CGNlicense，在設(shè)備上激活，業(yè)務(wù)就正常。

Page47

案例4：部分用戶回程流量不通。

現(xiàn)象

用戶上線后，無法訪問網(wǎng)絡(luò)，但重新上線后，又可以正常訪問網(wǎng)絡(luò)。問題原因

1、NAT實(shí)例下部分NAT公網(wǎng)池地址，被其他設(shè)備占用，這樣上游設(shè)備的回程路由無法指回到ME60設(shè)備，導(dǎo)致回程流量丟棄。2、用戶上線時(shí)，如果分配到已經(jīng)被其他設(shè)備占用的NAT公網(wǎng)地址，這樣就無法訪問網(wǎng)絡(luò)，再重新上線后，分配到其他NAT公網(wǎng)地址，又可以正常訪問網(wǎng)絡(luò)。規(guī)避方法如果私網(wǎng)IP地址足夠用，可以把NAT地址轉(zhuǎn)換錯(cuò)誤的私網(wǎng)地址池（ippool）鎖住，讓后續(xù)上線用戶申請正確的私網(wǎng)地址。解決方法

鎖住domain域，cut所有用戶，修改NAT公網(wǎng)池地址。

Page48

案例5：公私網(wǎng)比例配置超大，導(dǎo)致用戶無法上線。

現(xiàn)象某局點(diǎn)升級割接后，發(fā)現(xiàn)大量CGN用戶無法上線，失敗原因(Addnatuserdatafail(PortPreAllocFail))問題原因

查看NAT實(shí)例下配置：nataddress-groupzndx-inter-154port-range4096

那么推薦配置1個(gè)C網(wǎng)段的公網(wǎng)地址，可以支持12個(gè)C網(wǎng)段私網(wǎng)地址。

查看設(shè)備natoutbound2501address-groupzndx-inter-1aclnumber2501rule5permitsource55

配置16個(gè)C網(wǎng)段私網(wǎng)地址，超過公私網(wǎng)比例，導(dǎo)致后上線用戶無法分配到公網(wǎng)地址上線失敗。解決方法

重新規(guī)劃公私網(wǎng)比例，推薦配置1：12。

Page49

案例6：公網(wǎng)池地址和黑洞路由沖突，導(dǎo)致回程流量丟棄。

現(xiàn)象某局點(diǎn)升級上V6R5C00SPCB00版本后，發(fā)現(xiàn)大量CGN用戶可以上線，但無法訪問網(wǎng)絡(luò)。問題原因1、動(dòng)態(tài)路由協(xié)議引入NAT公網(wǎng)地址池的黑洞路由發(fā)布到上游設(shè)備，使回程流量能引到ME60設(shè)備。2、NAT實(shí)例下配置：nataddress-group10mask24

同時(shí)設(shè)備上配置黑洞路由iproute-staticNULL03、由于黑洞路由和NAT地址池UNR路由都是在ME60都生成24位掩碼路由，由于黑洞路由優(yōu)先級為60比NAT地址池路由64高，因此用戶的回程流量在ME60上命中黑洞路由而丟棄。解決方法1、修改黑洞路由掩碼，回程流量會(huì)根據(jù)最長匹配原則先命中掩碼長的路由。iproute-staticNULL02、刪除黑洞路由，通過策略路由方式引入NAT公網(wǎng)池地址的UNR路由發(fā)布。

Page50

案例7：UNR路由導(dǎo)致上游設(shè)備路由超規(guī)格。

現(xiàn)象上游設(shè)備接收到了大量的UNR明細(xì)路由，導(dǎo)致路由超規(guī)格。問題原因nat實(shí)例配置：natinstance10id10port-range4096service-instance-group10nataddress-groupUNINORgroup-id10section055section155natoutboundanyaddress-groupUNINOR

這樣