BNG專家組系列培訓5-增值業(yè)務CGN培訓

BNG專家組系列培訓—增值業(yè)務CGN培訓Page1前言IPv4地址即將耗盡，用戶發(fā)展需求遠超地址申請速度。目前IPv6產業(yè)鏈趨向成熟，基本滿足向IPv6網(wǎng)絡過渡的需要。但是基于IPv6的內容很少，用戶缺乏演進到IPv6的動力，所以IPv4和IPv6將在很長時間內處于共存期。需要IPv6過渡技術來解決這個問題－CGN技術。目前CGN單板類型有以下幾種：1、VSUA、SPUC（1M、10Gbps/512字節(jié)、NAT）2、VSUI-20-A（6M、20Gbps/512字節(jié)、NAT、DS-lite）3、VSUF-80、VSUF-160（16M、25Gbps/512字節(jié)、NAT、DS-lite）4、VSUF-40、VSUI-20-B（16M、25Gbps/512字節(jié)、NAT、DS-lite）Page2目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制Page3CGN（Carrier

Grade

NAT）電信級的NAT或者叫運營商級的NAT。NAT444NAT444是IPv6過渡時期的重要技術，NAT444就是二級NAT：CPE一級的NAT44地址轉化，網(wǎng)絡設備（例如BRAS）一級NAT44地址轉化。共二級NAT44地址轉化DS-Lite（輕量級雙棧Dual-Stack

Lite）輕量級雙棧采用的IPv4-in-IPv6隧道，通過隧道，IPv4流量可穿越IPv6網(wǎng)絡到達電信級CGN設備(AFTR)，CPE無需對私有IPv4地址進行翻譯，從而避免了多級NATCGN基本概念Page4B4（BaseBridgeBroadbandelement）DS-Lite場景下的路由型家庭網(wǎng)關，或者運行DS-Lite客戶端的PCAFTR（AddressFamilyTranslationRouter）DS-Lite場景下網(wǎng)絡設備功能模塊，物理型態(tài)可以是獨立式或嵌入式，可以以分布式部署在BRAS節(jié)點位置,也可以以集中式部署在城域網(wǎng)核心CR路由器位置Port-Range對于每個割接到CGN的私網(wǎng)用戶通常需要預先分配一個公網(wǎng)IP的端口段，該端口段用來為私網(wǎng)用戶做CGN的公私網(wǎng)轉換CGN基本概念NAT部署的基本作用實現(xiàn)公私網(wǎng)分離，保護私網(wǎng)信息安全實現(xiàn)IP地址復用，緩解IPv4公網(wǎng)地址耗盡問題。NAT部署簡單分類BasicNATNAPTNAT基本模式三元組NAT五元組NATPage5NAT基礎Page6

BasicNAT也叫NO-PAT方式NAT，只轉換IP地址，每個私網(wǎng)地址對應一個公網(wǎng)地址。BasicNATPage7NAPT（NetworkAddressPortTranslation）即網(wǎng)絡地址端口轉換，也叫PAT，同時映射IP地址和端口號。來自不同內部地址的數(shù)據(jù)報文的源地址可以映射到同一外部地址，但它們的端口號被轉換為該地址的不同端口號，因而仍然能夠共享同一地址。NAPTPage8NAT設備通過建立三元組（目的地址、目的端口、協(xié)議號）表項為依據(jù)進行地址分配和報文過濾。此模式又叫全圓錐模式(Full-cone)－適合支持P2P業(yè)務，因此在現(xiàn)有的部署場景中絕大多數(shù)都是采用三元組。00NAT000:100->0:8000:100<-2:801:10240->0:801:10240<-0:8021:10240<-2:8000:100<-0:80三元組Page9NAT設備通過建立五元組（源地址、源端口號、協(xié)議類型、目的地址、目的端口號）表項為依據(jù)進行地址分配和報文過濾。此模式又叫對稱性模式00NAT000:100->0:8000:100<-0:801:10240->0:801:10240<-0:8021:10240<-2:80五元組Page10ALG(ApplicationLayerGateway)：在NAT中，為特殊的應用程序提供透明轉換的功能稱為應用層網(wǎng)關。通過ALG功能，NAT不僅針對IP地址、端口號做地址端口映射，同時還對應用層協(xié)議中包含的IP地址、端口號等做同步轉換，以已保證這些協(xié)議能夠正常交互。當前版本ALG支持的應用協(xié)議及端口號有FTP(21)、RTSP(554)、PPTP(1723)、SIP(5060)等。NAT穿越:NAT穿越和NATALG解決的問題一致，都是為了解決網(wǎng)絡中存在NAT時應用協(xié)議的交互問題，不同之處在于解決問題的出發(fā)點不同，NATALG的處理在NAT設備完成，NAT穿越通常是指應用軟件能夠探測、處理網(wǎng)絡中存在NAT的情況，并由應用程序的終端和服務器做特殊處理來保證功能可用。CGNALG溯源：指根據(jù)源地址、端口等信息，確定最終用戶賬號的安全監(jiān)管要求。BRAS/SRCGNSTBHGDSLAMTVLSWOLTMDUSTBHGTVAAAServer安全監(jiān)管接入認證1建立連接，發(fā)起認證2用戶認證記錄用戶私有地址3給用戶分配私有IPv4地址用戶溯源1私有源地址訪問請求2公有源地址訪問請求1根據(jù)公有IP地址查詢用戶信息2用戶信息NAT導致溯源失敗的原因：用戶報文在NAT轉換前后的源地址不同，安全監(jiān)管機構只能獲得NAT轉換后的用戶信息。這個地址在AAA沒有任何記錄轉換后的記錄。因此，無法完成正常的用戶信息反查和用戶溯源。NAT部署引起的溯源問題Page12NAT溯源：NAT特性的部署隱藏了私網(wǎng)用戶的IP地址信息，各個國家安全部門對NAT部署的很重要的要求是具備可溯源的能力，即可以根據(jù)”公網(wǎng)IP地址＋端口號”查詢到私網(wǎng)用戶的IP地址，進一步鎖定具體用戶。CGN溯源方式：包含用戶日志和流日志，其中用戶日志分為syslog和Radius兩種格式，流日志分為syslog和elog兩種格式。優(yōu)缺點：用戶日志，日志量小，不能精準溯源；

流日志，日志量太大，能精準溯源。綜合考慮推薦使用三元組、port-range情況下的用戶日志CGN溯源Page13端口預分配：端口預分配又稱為PortRange模式，是指CGN在進行私網(wǎng)地址與公網(wǎng)地址映射時，預先給一個私網(wǎng)地址分配一個公網(wǎng)地址和一個端口段，該私網(wǎng)地址所有的NAT映射都使用該公網(wǎng)地址和端口段中的端口會話限制：NAT444如果某些用戶發(fā)起DoS攻擊（例如發(fā)起SYN-Flood攻擊），就可能將CGN所有的流表資源耗盡，導致其他正常用戶無法建立流表，從而無法訪問網(wǎng)絡。因此，可以對某個用戶的TCP/UDP/ICMP/TOTOL會話總數(shù)進行限制，如果超過了閾值，則不能再新建會話。目前版本默認使能該限制CGN安全性Page14License<Huawei>displaylicense

LME0FWF01FunctionYESFirewallforSSUvsuaLME0SNAT00Resource1NATforSPUCspucLME0NATDS00Resource2562MNATSessioncgn1.5/cgn2.0LME0DSLITEDS00Resource32DS-litelicensecgn1.5LME0DSLITE01Resource32DS-LiteLicenseforVSUFcgn2.0Page15目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制Page16ServerFarmAAAServerDNSServerPCCPEBRASCGNCRInternetDSLAMMxU/OLT用戶使用默認域上線BRAS上送AAA接入認證AAA上維護的用戶域：公網(wǎng)域：現(xiàn)網(wǎng)域名維持不變新增1個私網(wǎng)域：2)私網(wǎng)域：NATAAA下發(fā)對應域名如：NAT認證響應保持用戶上線習慣不變由RadiusServer下發(fā)用戶域信息，對用戶控制更為靈活，回退方便CGN基本組網(wǎng)Page17CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配上線地址以及對應NAT地址和端口段。當終端用戶對外發(fā)起訪問時，CPE對用戶PC發(fā)出報文進行一次NAT轉換，BRAS對CPE發(fā)出報文做第二次轉換，因為網(wǎng)絡中存在兩次地址轉換，同時由于CGN功能分布在各個BRAS接入點，從組網(wǎng)部署上稱為分布式NAT444解決方案。NAT444分布式方案用戶接入和CGN無縫結合：支持PPPOE/IPOE/L2TP/WEB等接入用戶做上線時的NAT端口預分配處理，可以按照用戶域、用戶ID等信息查詢該用戶對應的NAT資源分配、表項轉換信息，支持用戶計費報文實時上報NAT端口段信息到Radius服務器來完成溯源。有序化的端口預分配管理：傳統(tǒng)NAT轉換通常按照用戶流進行分配，每條用戶流分配一個端口，容易造成個別用戶會擠占大量資源，特別是溯源需要逐流發(fā)送NAT日志，對周邊系統(tǒng)消耗大。通過端口預分配，用戶上線分配一個端口段，下線釋放端口段，用戶的資源分配相對公平，更重要的是用戶上線和下線階段分別發(fā)送一條NAT日志即可完成溯源，且可將用戶的NAT地址和端口段上送Radius服務器完成實時溯源。Page18NAT444分布式方案靈活可控的業(yè)務回退管理：針對部分高端用戶，或明確要求分配公網(wǎng)地址的用戶，通過Radius下發(fā)域名的方式將用戶回退到公網(wǎng)域分配公網(wǎng)地址，保證滿足各類用戶不同的上網(wǎng)需求。公私分明的網(wǎng)絡規(guī)劃管理：私網(wǎng)路由終結到BRAS，公私網(wǎng)路由只在BRAS做分割，每臺BRAS擁有獨立的私網(wǎng)地址空間，方便網(wǎng)絡規(guī)劃和管理。Page19NAT444分布式方案Page20CPE撥號到BARS（BRAS集成CGN）上線，BRAS為CPE分配私網(wǎng)地址。不同BRAS下掛CPE發(fā)出的報文統(tǒng)一發(fā)送到CGN設備（CGN可以集成到SR上或旁掛到SR、CR設備）做集中處理。集中式部署主要適用于現(xiàn)網(wǎng)設備已經固定、無法直接升級支持CGN的情況。NAT444集中式方案Page21在接入網(wǎng)已經完成IPv6改造，BRAS可以采用升級的方式按照分布式組網(wǎng)部署DS-Lite。CPE/B4通過IPv6上線，同時BRAS為其分配DS-Lite業(yè)務的IPv4公網(wǎng)地址和端口段，并支持一體化的用戶和CGN業(yè)務的管理，靈活的溯源跟蹤。InternetIPv6InternetIPv4IPV6接入網(wǎng)IPv6IPv4AFTR(DS-Lite)IPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6CPE/B4(DS-Lite)BRASDS-Lite分布式方案Page22在城域網(wǎng)已經IPv6改造完成，城域網(wǎng)和接入網(wǎng)均已經簡化為僅需支持IPv6轉發(fā)的過渡階段，可以按照集中組網(wǎng)部署DS-Lite，將CGN旁掛或部署到SR/CR設備。InternetIPv6InternetIPv4MANV6IPv6IPv4BRASCRIPv4headerIPv4dataIPv4headerIPv4dataIPv6headerTunnel:IPv4InIPv6IPv4headerIPv4dataTunnel:IPv4InIPv6AFTR(DS-Lite)CPE/B4(DS-Lite)DS-Lite集中式方案Page23典型方案配置CGN部署方案參考資料，需要先登陸support網(wǎng)站，再點擊以下鏈接：/support/pages/navigation/gotoKBNavi.do?actionFlag=getAllJsonData&materialType=&colID=ROOTWEB|CO0000000064&level=4&itemId=000000010317&itemId0=29-44&itemId1=000000010001&itemId2=000000010016&itemId3=000000010060&itemId4=000000010317&itemId5=&itemId6=&itemId7=&itemId8=&itemId9=&materialType=&isHedexDocType=&pageSize=20Page24AAA溯源基于Radius擴展的溯源方式CGN日志服務器溯源Syslog類型用戶日志格式包含電信、聯(lián)通、華為格式。(注釋：此類型用戶日志必須在port-range模式下)流日志包含syslog格式和Elog格式CGN溯源Portrange的端口預分配：基于每用戶分配公網(wǎng)地址和對應的預分配端口塊，易于實現(xiàn)用戶溯源；無需基于每Session記錄日志信息，大幅減少CGN海量日志，有效降低系統(tǒng)負荷壓力；可以采用Syslog格式輸出日志；能夠確保用戶上網(wǎng)階段使用唯一的公網(wǎng)地址及端口段。如何觸發(fā)端口預分配機制？

BRAS/SR集成CGN：用戶上線時預留公網(wǎng)IP端口塊，下線時釋放端口塊。CGN獨立設備部署：數(shù)據(jù)流到達觸發(fā)預留端口塊（通過相同的源IP識別)，通過老化機制釋放。PrivateIPv4PublicIPv4Startport1Endport1…20486143…0614410239…BRASCGNCRPCPrivateIPv4PublicAddressPool::-…port-range4096InternetIPv4IPv4IPv4IPv4PrivateIPv40CPECPECGN溯源基礎：基于端口預分配Page26基于AAA服務器溯源方案電信規(guī)范稱為“BRAS上報映射表”適用于BRAS插卡的CGN部署方式，由BRAS生成用戶地址映射關系，并上報AAA，無需部署專門的日志服務器；BRAS通過Port-range方式為用戶地址選擇公網(wǎng)IP地址及對應的端口塊，創(chuàng)建用戶地址映射關系，保證為不同私網(wǎng)用戶地址選擇不同的（公網(wǎng)IP地址及對應的端口塊）；BRAS通過擴展Radius屬性，在accounting-Request消息中上報用私網(wǎng)戶地址對應的公網(wǎng)IP地址、端口塊等信息；即：通過Radius報文傳送日志信息；AAA獲得私網(wǎng)用戶地址、公網(wǎng)IP地址、端口塊等信息，并維持與用戶信息的對應關系。BRAS集成CGN3222111每個BRAS創(chuàng)建用戶地址映射關系，BRAS集成CGNBRAS集成CGNBRAS通過Radius屬性，上報用戶映射關系給AAAAAA維護地址映射關系和用戶信息的對應關系表。NAT-IP-Address：26-161NAT轉換后的公有地址NAT-Port-Start：26-162NAT轉換后的起始端口號NAT-Port-End：26-163NAT轉換后的終止端口號AAAServerPage27Syslog/Elog格式溯源方案安全機構通過查詢logserver，溯源用戶信息適用于所有集中式CGN部署場景通常Logserver會儲存至少3~6個月的用戶日志LogserverCGNCGNCGN222111CGN生成私網(wǎng)地址和公網(wǎng)地址&端口范圍的映射關系，CGN將包含用戶地址映射關系的日志信息通過elog/syslog方式上報logserverLogserver維護用戶日志信息：包括時間段、私網(wǎng)地址&端口、用戶地址&端口、目的地址&端口等Page28目錄CGN基本概念CGN方案介紹CGN故障處理流程CGN網(wǎng)管配套、規(guī)格與限制創(chuàng)新靈活子卡

創(chuàng)新靈活子卡，實現(xiàn)平滑擴容，保護已有投資形態(tài)容量描述VSUF-16080G雙子卡槽VSUF-8040G單子卡槽Sub-card40G靈活子卡，可以插到VSUF-160/VSUF-80.bandwidthVSUF-80VSUF-80+

sub-cardVSUF160+sub-card40G80G160G靈活的端口分配方式CGN業(yè)務流程：用戶到網(wǎng)絡的流量是接口板通過流策略方式把流量引入到VSUF業(yè)務板，業(yè)務板負責CGN的處理，完成后再交給接口板發(fā)到網(wǎng)絡側。網(wǎng)絡到用戶的流量是接口板通過查找NAT公網(wǎng)地址池FIB的方式把流量引到VSUF業(yè)務板，業(yè)務板負責CGN的處理，完成后再交給接口板發(fā)到用戶側。Page30SFULPU1LPU2VSUF(CGN)123567用戶側網(wǎng)絡側CGN業(yè)務流程簡介Page31CGN故障處理流程基本定位思路1、首先要定界，問題的故障節(jié)點是ME60，通過流統(tǒng)方式確定故障節(jié)點。2、如果故障定界在ME60設備上，還需要定界是接口板問題，還是VSUF業(yè)務板問題，通過查看相關處理芯片確定。Page32CGN故障處理流程定界思路：網(wǎng)絡側和用戶側部署流量統(tǒng)計。1、網(wǎng)絡側流量統(tǒng)計的方法：

如：用戶ip為0，用戶訪問目的IP(上行設備直連接口地址)：，分配的公網(wǎng)ip是，網(wǎng)絡測接口為GE2/1/1。配置舉例：aclnumber3100rule5permiticmpsource0destination0//

匹配到網(wǎng)絡側出去的正向流量rule10perminticmpsource0destination0//

匹配從網(wǎng)絡側回來的反向流量Trafficclassifier3100operatororif-matchacl3100Trafficbehavior3100//動作內容為空Trafficpolicy3100statisticsenable//使能流量統(tǒng)計功能classifier3100behavior3100InterfaceGigabitEthernet2/1/1undoshutdownipaddresstraffic-policy3100outbound//匹配出方向的流量

traffic-policy3100inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1outboundverboserule-basedclass3100[huawei]displaytrafficpolicystatisticsinterfaceGigabitEthernet2/1/1inboundverboserule-basedclass3100

Page33CGN故障處理流程2、用戶側流量統(tǒng)計的方法：

如：用戶ip為0，用戶訪問目的IP(上行設備直連接口地址)：。配置舉例：aclnumber6200rule1permiticmpsourceuser-groupnat444destinationip-address0//

匹配用戶側到網(wǎng)絡側的明細流量rule2permiticmpsourceip-address0destinationuser-groupnat444//

匹配用戶側到網(wǎng)絡側的明細流量rule5permitipsourceuser-groupnat444//

匹配用戶側到網(wǎng)絡側的總體流量Trafficclassifier6200operatororif-matchacl6200Trafficbehavior6200//動作內容為空

natbindinstancenat444Trafficpolicy6200statisticsenable//使能流量統(tǒng)計功能classifier6200behavior6200全局下發(fā)：

traffic-policy6200outbound//匹配出方向的流量

traffic-policy6200inbound//匹配入方向的流量查看方法：[huawei]displaytrafficpolicystatisticsuclinboundverboserule-basedclass6200[huawei]displaytrafficpolicystatisticsucloutboundverboserule-basedclass6200

注：在配置用戶側流統(tǒng)時，首先在部署上流統(tǒng)后，觀察是否能統(tǒng)計到流量，如果能統(tǒng)計到，則需要更換目的地址，可以使用，前提是在設備上ping不丟包。Page34

NAT故障處理流程Page34Page35

NAT故障處理流程Page35步驟一：報文是否到達業(yè)務板TM

報文從接口板進入業(yè)務板，首先到達TM。如果TM沒有進入的報文計數(shù)，說明報文沒有進入業(yè)務板。

查詢命令，進入診斷試圖：

displaytm70received-packetsTM收到的報文計數(shù)//7號單板為業(yè)務板步驟二：報文是否到達CPU

報文從TM進入CPU，如果是首包，會先建立會話表，然后根據(jù)會話表做NAT轉換，然后根據(jù)目的IP查詢FIB進行報轉發(fā)。后續(xù)報文直接查詢會話表，如果匹配會話表的話進行NAT轉換，然后根據(jù)目的IP查詢FIB進行轉發(fā)。確認報文是否到達CPU，查詢命令：displaynatstatisticsreceivedslot7engine0步驟三：在CPU上是否建立用戶表

分布式場景用戶上線的時候就會創(chuàng)建用戶表。查詢CPU上是否創(chuàng)建用戶表，查詢命令：displaynatuser-information

Page36

NAT故障處理流程Page36步驟四：在CPU上是否建立會話表首包創(chuàng)建會話表，后續(xù)包直接查詢會話表，然后進行nat轉換。三元組模式會話表的目的IP和端口無法看到，五元組模式可以查看到目的IP和端口。會話表查詢命令：displaynatsessiontableslot7engine0

查詢cpu上的所有會話信息

displaynatsessiontableslot7engine0verberse查詢會話表向信息

步驟五：報文是否從CPU發(fā)送出去查詢命令：displaynatstatisticstransmittedslot7engine0如果報文沒有從CPU發(fā)送出去，可能是因為某種原因丟包：查詢命令：displaynatstatisticsdiscardslot7engine0如果報文沒有從CPU發(fā)送出去，可能是會話資源耗盡：查詢命令：displaynatstatisticstableslot7engine0步驟六：報文是否到TM并且從TM發(fā)送出去報文做完nat轉換之后，根據(jù)目的IP查詢FIB，根據(jù)路由信息將報文轉發(fā)到接口板。從CPU出來，首先進入TM，然后經過交換網(wǎng)板，進入接口板。確認報文進入TM和從TM轉發(fā)出去的查詢命令：displaytm70transmitted-packetsTM發(fā)送報文計數(shù)Page37

NAT故障處理流程Page37從交換網(wǎng)板出來，首先到達業(yè)務板的TM。查看報文是否到達TM下行，通過命令行查看計數(shù)，多次查詢看是否計數(shù)有增長[huawei-diagnose]displaytm70received-packetsTMIRxReceivedTotal0x00000000028bpackets(0x000000080ca4bytes)(UC)收到的單播報文TMIRxReceivedTotal0x000000000516packets(MC)TMIRxSP:0COS:7Received0x00000516packets(0x00102374bytes)TMIRxSP:63COS:7Received0x0000028bpackets(0x0000a2c0bytes)TMERxSB(6)Received0x00000002packets(0x00000458bytes)TMERxSB(7)Received0x00000003packets(0x00000684bytes)2.查看報文是否到達CPU[huawei-diagnose]displaynatstatisticsreceivedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Packetsreceivedfrominterface:390243177CPU收到從TM過來的報文計數(shù)Packetsreceivedfrommainboard:4040

Packetsreceivedbynatentry:390242120送到NAT模塊處理的報文計數(shù)

NAT故障處理流程<huawei>displaynatstatisticsglobalslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:5Engine:0Totalnumberofreceivedpackets:1361659434Totalnumberoftransmittedpackets:283041568

Sessiontablenumber:16710283Usertablenumber:99547totalsetupsessions:196586555totalteardownsessions:1798762723.查看是否在業(yè)務板上建立用戶表先查到用戶的Id[huawei]displayaccess-useruser-id1

Useraccessindex:1State:UsedUsername:user#Domainname:yxmaUserbackupstate:NoUseraccessinterface:GigabitEthernet2/1/0UseraccessPeVlan/CeVlan:-/-Useraccessslot:2UserMAC:0030-0101-0101

UserIPaddress:53Usergatewayaddress:Page39

NAT故障處理流程Page39業(yè)務板上的用戶表信息[huawei-diagnose]displayNATuser-informationuser-id1slot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Totalnumber:1.

CPEIP:52VPNInstance:-

PublicIP:09

StartPort:1024

PortRange:4096ExtendPortAllocTimes:0ExtendPortAllocNumber:0First/Second/ThirdExtendPortStart:0/0/0Total/TCP/UDP/ICMPSessionLimit:8192/10240/10240/512Total/TCP/UDP/ICMPSessionCurrent:1/0/1/0Total/TCP/UDP/ICMPPortLimit:0/0/0/0Total/TCP/UDP/ICMPPortCurrent:1/0/1/0NatALGEnable:NULL

Page40NAT故障處理流程Page40

4.查看業(yè)務板上的是否有會話表[huawei]displaynatsessiontableslot7engine0verbose

Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Currenttotalsessions:1.

udp:53:234[63:1037]-->*:**:*-->63:1037[53:234]NATInstance:nat444User-id:1VPN:>-Tag:0x2,FixedTag:0x1,Status:hit,Create:2010-1-1608:10:26,TTL:00:04:00,Left:00:04:00,MasterAppProID:0x0,CPEIP:53,FwdType:NATPTStatus:hit表示有報文命中會話Create:2010-1-1608:10:26會話表創(chuàng)建的時間TTL:00:04:00會話老化時間Left:00:04:00剩余老化時間<hauwei>displaynatstatisticstableslot7Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Servermaptblnumber:252FragSsntblnumber:23521Totalcurrentnat444sessionsinMemory:780020TotalcurrentdslitesessionsinMemory:0currentsessionspeed(num/s):2500Page41NAT故障處理流程Page415.查看報文是否從CPU發(fā)送出去[cgn]displaynatstatisticstransmittedslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0Packetstransmittedtointerface:132Packetstransmittedtomainboard:132sessionlogpacketstransmitted:0userlogpacketstransmitted:0

Transparentpacketwithnat:29684258做完nat發(fā)送出去的報文計數(shù)

Transparentpacketwithoutnat:0沒有做nat發(fā)送出去的報文計數(shù)

查看報文是否在CPU丟包[cgn-diagnose]displaynatstatisticsdiscardslot7engine0Thisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0

Fibmissdiscard:2190892444沒有路由導致丟包查看路由方法：[huawei]displayiprouting-table[huawei]displayfib7[huawei-diagnose]displaycgntablemodulefpislot7table-typefib4dipvrfid0Page42

NAT故障處理流程Page426.報文是否從TM發(fā)送到網(wǎng)板[huawei-diagnose]displaytm70transmitted-packetsTMITxTB:24COS:0Transmit0x000000000001packets(0x0000000005ddbytes)從TM發(fā)送到交換網(wǎng)板的報文TMITxMulticastCOS:0Transmit0x000000000002packets(0x000000000621bytes)TMETxTP:0COS:7Transmit0x00000005c924packets(0x000006dedac0bytes)TMETxTP:1COS:0Transmit0x000000000008packets(0x000000000d3abytes)TMETxTP:65COS:0Transmit0x000000000006packets(0x000000000174bytes)7.查看VSUF單板是否超性能<huawei>displaynatstatisticspayloadThisoperationwilltakeafewminutes.Press'Ctrl+C'tobreak...Slot:7Engine:0currentreceivepacketspeed(pps):403166currentreceivepacketbitspeed(bps):2881406928currenttransmitpacketspeed(pps):321866currenttransmitpacketbitspeed(bps):992841600標紅的結果相加，查看是否超過了VSUF單板的轉發(fā)性能，receive是網(wǎng)絡到用戶的流量，transmit是用戶到網(wǎng)絡的流量。Page43

NAT故障處理流程Page438.查看單個用戶會話信息命令行查詢單個用戶支持使用五元組方式過濾查詢單個用戶的會話信息。<huawei>displaynatsessiontable?cpeCustomerPremisesEquipmentdestinationDestinationIPdestination-portDestinationportinformationdestination-vpn-instanceDestinationVPNinstanceinformationdslite-instanceInstanceviewnat-instanceInstanceviewprotocolProtocolinformationslotSlot-idsourceSourceIPsource-vpn-instanceSourceVPNinstanceinformationuser-idUserIDverboseDetailinformation<cr>Page44

常用維護命令displaylicense//查看license資源里是否有nat資源displaynatsession-tablesize//查詢給業(yè)務板分配的會話資源displaynatsessiontable//查詢會話表displaynatinstancename//

查詢實例信息displaynatsessionaging-time//查看會話老化時間displayservice-location//查看實例下配置的單板的主備狀態(tài)（配置和實際）displaynatuser-information//查看業(yè)務板用戶表信息displaynataddress-usageinstancexxaddress-groupxx//查詢某個實例地址池地址使用率displaynatstatisticsalg//alg統(tǒng)計報文displaynatstatisticsglobal//全局統(tǒng)計報文

displaynatstatisticsdiscard//丟包統(tǒng)計報文

displaynatstatisticsreceived//業(yè)務板cpu收到的報文計數(shù)displaynatstatisticssession-usage//業(yè)務板會話使用率

displaynatstatisticstable//業(yè)務板會話統(tǒng)計displaynatstatisticstransmittedslotx//從業(yè)務板發(fā)送出去的報文displaynatstatisticsreceivedslotx//從業(yè)務板接收到的報文案例1：在nat實例下綁定業(yè)務CGN1.5單板失敗。現(xiàn)象在nat實例下add業(yè)務板時，返回錯誤，業(yè)務板add失敗。[HUAWEI-nat-instance-1]addslot3masterError:Thenatsessionlicenseofthisslotisinvalid.問題原因

1、業(yè)務板沒有分配會話資源，就不能建立會話。所以，在nat實例下add業(yè)務板時，必須先給業(yè)務板分配會話資源，否則add單板失敗。2、license中未包含CGNlicense項。解決方法1、申請正確的CGNlicense2、首先給單板分配會話資源，然后再在實例下add業(yè)務板。

給業(yè)務板分配nat會話資源的方法：natsession-tablesize2Mslot8說明

cgn2.0通過在實例下綁定service-instance-group的方式綁定單板CPU，流量會因為沒有l(wèi)icense而轉發(fā)不通。

Page45

案例2：natoutbound中ACL規(guī)則漏配。

現(xiàn)象nat用戶上線失敗，失敗原因是：Onlinefailreason:Addnatuserdatafail(SynUserToCPUFail)問題原因

1、匹配引流策略引到業(yè)務板的報文，必須匹配natoutbound中的acl規(guī)則，才會從對應的地址池中給用戶分配公網(wǎng)ip和端口，用戶才能成功上線。否則，如果在outbound中找不到匹配的acl規(guī)則，用戶上線失敗。

如果nat域下的地址池包含2個C地址，但是綁定outbound的acl規(guī)則中漏掉一個C地址，就會出現(xiàn)這種現(xiàn)象。2、如下配置，遺漏~網(wǎng)段：aclnumber3001rule5permitipsource55rule10permitipsource55解決方法修改配置在acl規(guī)則中添加漏掉的私網(wǎng)地址。natoutbound中綁定的acl規(guī)則中包含的地址一定要與nat域下面的ippool中的地址相同。

Page46

案例3：CGNlicense申請錯誤，導致業(yè)務中斷。

現(xiàn)象

設備打上新申請的CGNlicense后，業(yè)務中斷。問題原因NAT業(yè)務目前有VSUA、SPUC、VSUI-20A單板可以支持，其中VSUA、SPUC單板的license和VSUI-20A單板的license是不一樣。一線錯誤的申請了VSUA、SPUC單板的license，導致CGN業(yè)務中斷。各單板license區(qū)別：LME0SNAT00NATforSPUCVSUA、SPUCLME0NATDS002MNATSession VSUI-20-A/VSUF-80規(guī)避方法第一時間去其他現(xiàn)網(wǎng)設備取下CGNlicense，該license分配的session數(shù)要與該設備一樣多，打上其他設備取來的license，業(yè)務可以恢復。解決方法

重新申請CGNlicense，在設備上激活，業(yè)務就正常。

Page47

案例4：部分用戶回程流量不通。

現(xiàn)象

用戶上線后，無法訪問網(wǎng)絡，但重新上線后，又可以正常訪問網(wǎng)絡。問題原因

1、NAT實例下部分NAT公網(wǎng)池地址，被其他設備占用，這樣上游設備的回程路由無法指回到ME60設備，導致回程流量丟棄。2、用戶上線時，如果分配到已經被其他設備占用的NAT公網(wǎng)地址，這樣就無法訪問網(wǎng)絡，再重新上線后，分配到其他NAT公網(wǎng)地址，又可以正常訪問網(wǎng)絡。規(guī)避方法如果私網(wǎng)IP地址足夠用，可以把NAT地址轉換錯誤的私網(wǎng)地址池（ippool）鎖住，讓后續(xù)上線用戶申請正確的私網(wǎng)地址。解決方法

鎖住domain域，cut所有用戶，修改NAT公網(wǎng)池地址。

Page48

案例5：公私網(wǎng)比例配置超大，導致用戶無法上線。

現(xiàn)象某局點升級割接后，發(fā)現(xiàn)大量CGN用戶無法上線，失敗原因(Addnatuserdatafail(PortPreAllocFail))問題原因

查看NAT實例下配置：nataddress-groupzndx-inter-154port-range4096

那么推薦配置1個C網(wǎng)段的公網(wǎng)地址，可以支持12個C網(wǎng)段私網(wǎng)地址。

查看設備natoutbound2501address-groupzndx-inter-1aclnumber2501rule5permitsource55

配置16個C網(wǎng)段私網(wǎng)地址，超過公私網(wǎng)比例，導致后上線用戶無法分配到公網(wǎng)地址上線失敗。解決方法

重新規(guī)劃公私網(wǎng)比例，推薦配置1：12。

Page49

案例6：公網(wǎng)池地址和黑洞路由沖突，導致回程流量丟棄。

現(xiàn)象某局點升級上V6R5C00SPCB00版本后，發(fā)現(xiàn)大量CGN用戶可以上線，但無法訪問網(wǎng)絡。問題原因1、動態(tài)路由協(xié)議引入NAT公網(wǎng)地址池的黑洞路由發(fā)布到上游設備，使回程流量能引到ME60設備。2、NAT實例下配置：nataddress-group10mask24

同時設備上配置黑洞路由iproute-staticNULL03、由于黑洞路由和NAT地址池UNR路由都是在ME60都生成24位掩碼路由，由于黑洞路由優(yōu)先級為60比NAT地址池路由64高，因此用戶的回程流量在ME60上命中黑洞路由而丟棄。解決方法1、修改黑洞路由掩碼，回程流量會根據(jù)最長匹配原則先命中掩碼長的路由。iproute-staticNULL02、刪除黑洞路由，通過策略路由方式引入NAT公網(wǎng)池地址的UNR路由發(fā)布。

Page50

案例7：UNR路由導致上游設備路由超規(guī)格。

現(xiàn)象上游設備接收到了大量的UNR明細路由，導致路由超規(guī)格。問題原因nat實例配置：natinstance10id10port-range4096service-instance-group10nataddress-groupUNINORgroup-id10section055section155natoutboundanyaddress-groupUNINOR

這樣