文/解麟猛
中国电信开展的移动互联网业务发展迅猛, ctwap业务采用给用户分配私网地址的方式访问电信自有增值业务及互联网业务。由于C网用户分配私有地址,10.2.0.0-10.198.255.255,共199B,对每个省新老用户地址池地址空间不重叠,原有的用户私有地址空间已经不能满足全国业务的发展,多个省份已经出现私网地址紧缺的情况,需要研究各省ctwap用户复用其它省的10网段私网地址方案。
ctwap业务访问流量主要有以下几种情况:
场景一:ctwap终端通过WAP GW做代理访问电信彩信、WAP业务等电信增值业务以及WAP GW允许的WAP站点、HTTP站点等。该场景中终端仅与本省WAP GW互通,不存在访问外省业务情况,不存在地址冲突的问题,不需要做地址转换。此类终端可以复用其它省份10网段私网地址。
场景二:Qchat/VT等ctwap终端直接访问Qchat、VT业务平台;由于ctbb/Qchat/VT平台功能所限,现阶段还不支持NAT转换之后用户的注册以及呼叫,该场景中不能进行NAT转换。此类终端不能复用其它省份10网段私网地址,需要保持现有的AAA授权策略,由PDSN给ctbb/Qchat/VT用户分配本省私网地址,访问电信自营业务平台不需要进行地址翻译。
场景三:ctwap终端直接访问Brew等电信自营业务平台,不需要经过WAP GW做代理;终端需要与集团平台或者外省进行跨省互访,此类终端可以复用其它省份10网段私网地址,但存在地址冲突的问题,该场景必须进行NAT转换。
场景四:ctwap终端直接通过融合防火墙做NAT转换上公网;此类终端可以复用其它省份10网段私网地址。
根据以上分析,仅需要对ctbb/Qchat/VT等应用的ctwap终端分配本省10网段私网地址,其它ctwap终端都可以复用其它省份的10网段私网地址。
Ctwap终端在经过PDSN认证授权后,通过CE设备接入IP综合承载网,访问PI-0及PI-1业务。
IP综合承载网示意图如下:
图一:IP综合承载网示意图
IP承载网VPN设置:
IP综合网管VPN,为全国组网,仅在CN2 PE部署,省综合网管VPN仅访问本省各本地网带外网管(outband),全国综合网管VPN可以访问全国网带外网管、PI-n,RP,AAA等;
RP VPN:以省为单位部署,在本地网和省会的CE和PE设置VRF,为星型组网;
PI-0 VPN(互联网、国际漫游),PI-1 VPN(自营业务),PI-2 VPN(VPDN、彩e):只在省会CE和PE部署,为全网状结构;
AAA VPN,只在省CE部署,长途通过PI-1 VPN进行承载;
IT VPN为集团到省的IT计费专网,为全网状结构;省内IT沿用原有省内DCN网传送。
电路域VPN设置:
C网软交换VPN,承载C网语音的信令和媒体信息,为全网状连接;
C网软交换网管VPN,承载软交换带外网管,为全网状连接。
网络互通要点:
1. 通过在本地AAA与漫游AAA上配置不同的授权策略,仅对本省用户在本省使用的场景下才授权私网复用的VR属性及地址池,其他业务以及ctwap业务的漫入、漫出场景都保持不变。
2. 在PDSN的VR2中,保留ctwap地址池,该地址池供外省用户漫入以及Qchat/VT业务使用,地址池大小可以根据实际情况做预留;保留ctbb地址池,该地址池专门用户黑莓业务。
3. 在PDSN上新创建VR4,在该VR中新增privatewap地址池,该地址池专门用于本省用户在本省使用情况下私网地址复用,即该地址池服用其它省份的10网段私网地址。
4. 在承载网CE上创建一个新CDMA-PI3 VPN,PDSN的privatewap用户通过该 VPN来承载,PDSN的VR4与CE的CDMA-PI3 VPN互通;
5. 将WAP GW双挂到承载网络的CDMA-PI1 VPN与CDMA-PI3 VPN。WAP GW与privatewap用户之间的互通通过CDMA-PI3 VPN完成,WAP GW与其他私网地址段互通通过CDMA-PI1 VPN来完成。
6. 融合承载网元作为NAT设备,通过多个物理接口或者子接口的方式接入到承载网CE的CDMA-PI0、CDMA-PI1、CDMA-PI3 VPN;
7. 在承载网CE上配置路由策略,将需要进行地址转换的流量引导至融合承载网元;
8. 融合承载网元上配置地址转换策略,将需要跨省访问私网的流量进行私网地址到私网地址的转换,转换之后的地址能够允许跨省互访,转换之后再将流量引导至CDMA-PI1 VPN;融合承载网元上配置地址转换策略,将需要访问公网的流量进行私网地址到公网地址的转换,转换之后再将流量引导至CDMA-PI0 VPN。
图二:ctwap私网地址复用网络互通示意图
各业务和流量访问路径说明如下:
1. ctwap/ctbb地址池用户访问各网络及业务的流量路径保持不变,其访问私网时不需要通过融合承载网元进行NAT转换。
2. privatewap地址池用户访问路径:
a) privatewap地址池用户访问WAP GW时,通过CDMA-PI3 VPN直接互访,流量不需要通过融合承载网元进行NAT转换。
b) privatewap地址池用户访问10网段其他私网以及私网DNS时,流量需要通过融合承载网元进行NAT转换,融合承载网元上将复用的私网地址转换成能够跨省互访的本省地址,再将流量路由到CDMA-PI1 VPN,实现跨省互访。
c) privatewap地址池用户访问公网时,流量需要通过融合承载网元进行NAT转换,将复用的私网地址转换成公网地址,实现手机上网的需求。
H3C公司提供的融合承载网元方案,采用IRF技术,实现融合承载网元双机框高可靠性的部署。同时采用NAT业务单板插卡的方式,实现整机容量的灵活扩容。
因整机容量和商务的不同,目前可以选择的机框有S75E、S95E和S12500,目前可以选择的NAT业务插卡有Secblade II、SecbladeIII和Secblade v7板卡。
融合承载网元采用旁挂CE的方式接入网络,网元上需要配置PI-0、PI-1等VPN,和CE采用Option-a的方式互联。
图三:融合承载网元网络旁挂示意图
1. 融合承载网元与CE物理连接设计
融合承载网元采用跨框聚合的方式,分别于CE1、CE2进行物理连接。并配置等价路由,下一跳分别指向CE1、CE2。
两台融合承载网元机框之间进行IRF堆叠,堆叠线路总带宽至少为融合承载网元到CE的总物理带宽的1/4。
图四:融合承载网元与CE的物理连接图
2. 融合承载网元VPN设计
融合承载网元上配置三个VPN,分别是PI-0、PI-1和带外网管VPN,为方便配置策略路由,PI-3不单独配置成VPN,而配置在融合承载网元的物理网上。
图五:融合承载网元VPN设计
3. 融合承载网元防火墙插卡的冗余设计
融合承载网元上的防火墙插卡成对使用,每一对防火墙插卡分别插在主框和备框的对应槽位上,运行VRRP,采用主备模式,正常情况下只有一块防火墙卡在工作状态。主机框的插卡1-1和备机框的插卡2-1规划为同一组VRPP,主机框的插卡1-2和备机框的插卡2-2规划为同一组VRPP,其他以此类推。
每一对防火墙插卡进行配置同步,正常情况进行防火墙策略维护时,仅需维护主防火墙就可以,备用防火墙配置会自动与主防火墙同步。
每一对防火墙插卡还需进行会话状态同步,在主防火墙故障情况下,备用防火墙替代主用防火墙后不需要重新建立会话。直接依据同步过来的会话进行数据报文转发。
4. 融合承载网元和CE互联路由设计
融合承载网元和CE之间采用配置静态路由互指的方式,为加快CE和融合承载网元之间的路由收敛速度,所有CE和融合承载网元之间的静态路由(含缺省路由)都配置和BFD联动,BFD启用BFD control模式。
路由设计在上期文档中有详细描述,在此不再赘述。
5. 融合承载网元的NAT设计
为便于地址溯源,融合承载网元需要支持地址转换信息的溯源功能。建议采用NAT444静态转换方式。
针对具体业务要求如下:
a) 针对PI-3到PI-1的NAT转换,采用NAT444方式,给每个用户分配64个port;
b) 针对PI-3到PI-0的NAT转换,采用NAT444方式,给每个用户分配256个port。
融合承载网元NAT session定时器要求:
session aging-time syn 15
session aging-time fin 15
session aging-time udp-open 90
session aging-time udp-ready 90
session aging-time icmp-open 15
session aging-time icmp-closed 15
session aging-time rawip-open 15
application aging-time dns 15
application aging-time msn 120
ALG功能:根据现网应用,此种环境下ALG仅需要开启FTP ALG和RTSP ALG,其它ALG功能关闭。