上海电信WLAN测试报告-阿朗7750课案.doc

Wlan私网地址扩展方案测试－7750 中国电信上海研究院 前言 上海电信目前有大量的郊县阿朗7750，除了承载公众家庭上网业务，也承载WLAN系统的业务接入。每台7750 上分配了32C(8K)的公网地址。但是只有不到10%的WLAN用户通过portal认证，使用电信的WLAN服务。随着WLAN用户的增加，需要的公网IP地址越来越多，在当前IP地址紧缺的情况下，需要采用NAT技术来解决这个问题。 组网及测试方案 由于7750支持CGN直接插卡方式，所以建议直接在7750上插CGN卡实现NAT功能，做NAT444的转换。这样给用户分配的是10/8的私网地址，在对目前的AAA和radius进行一定程度的改造情况下，当用户获得私网地址后，先进行认证，认证结束后，通过NAT板卡访问internet。 整体流程如下： 用户DHCP获得私网地址，通过BRAS可以访问portal(适当的网络部署方案或隧道方案，需要讨论)，输入用户名密码，portal和AAA交互完成认证。 用户通过NAT板卡可以访问internet . 整体流程如下： 公网访问portal上线业务流程： 公网访问portal下线业务流程： 测试环境 测试拓扑 图1 图2 测试网元 设备名称 版本 数量 7750 11.0 1 PC Windows XP 1 Portal Server 联创Portal Server 1 Radius Server 1 Test Center Spirent 1 CGN单板+子卡 IOM3-XP、ISA-MS 1 7750-NAT444原理 NAT映射行为 7750支持两种NAT映射行为：与目的地址/端口无关的NAT映射，与目的地址/端口相关的NAT映射。 与目的地址/端口无关的NAT映射，该映射行为由源地址/端口二元组决定，即只要源地址/端口二元组是固定的，映射关系也是固定的，与目的地址/端口无关。如图3所示： 图3 与目的地址/端口相关的NAT映射，该映射行为由源地址/端口/目的地址/目的端口四元组决定，即只有源地址/端口/目的地址/目的端口四元组是固定的，映射关系才是固定的。如图4所示： 图4 NAT资源分配、释放和监控 7750会为一个inside私网地址分配一对outside公网地址/端口块二元组，形成NAT映射关系。采用端口块的方式，可以减少因NAT映射导致的log数量。端口块中的端口是随机分配的，用来减少可预测性。新的inside私网地址会顺序使用outside公网地址/端口块资源。缺省情况下，NAT映射不会采用小于1024的知名端口，端口块使用1024至65535的端口。当然，端口块的大小可按照要求进行调整，每个地址池中的所有端口块的大小都是一致的。 缺省情况下，一个inside私网地址只能使用一个端口块，为其分配的outside端口块中的端口耗尽后，新增的session会被丢弃，不会形成新的NAT映射关系，也不会破坏已经形成的老的NAT映射关系。新增session被丢弃的同时，7750会给终端用户回送code为13的ICMP报文（ICMP通讯管理性过滤禁止差错报文 图11 7750还为以下端口类型规定了超时时间： TCP – SYN_SENT TCP – Transitory (FIN_WAIT1/2, CLOSE_WAIT, LAST_ACK, CLOSING) TCP – Established TCP – TIME_WAIT ( time-wait-assassination) UDP – Initial Packet (ie. When only one packet is sent) UDP – DNS ( port 53 traffic only ) UDP 当一个inside私网用户的以上端口类型在规定时间内没有任何流量，达到了超时计时器时，7750会为该inside私网用户释放相关端口资源，最后一个端口资源释放后，才会释放整个端口块资源。 NAT映射模式 7750支持两种NAT映射模式：Large Scale模式和L2Aware模式。 Large Scale模式主要用于集中式的NAT，主要部署在承载网和移动网络中。Large Scale模式中，只有用户流量触发了NAT映射条件，才会导致NAT映射关系的形成。Large Scale模式可以由两个触发条件来形成NAT映射关系，ip-filter和destination-prefix。 以ip-filter为条件触发NAT映射关系，举例如下：来自sap 1/1/3:1150的流量触发了ip-filter 50，目的地址段为80.80.80.0/24的流量触发ip-filter 50中的entry10，只做普