宁夏电信C网融合防火墙实施配置方案v1.0绪论.docxVIP

宁夏电信CDMA IP承载NAT防火墙实施配置方案华为技术服务有限公司二〇一四年三月修订记录日期修订版本描述作者2014-3-12V1.0文档新建敬虎云第1章防火墙配置21.1背景介绍21.2配置需求31.3组网分析：51.3.1 NAT的设置方式51.3.2省内组网方式71.4华为设备配置模板81.4.1防火墙基本配置91.4.2防火墙域zone配置121.4.3防火墙端口配置151.4.4防火墙HA高可靠性配置171.4.5防火墙与CE路由配置181.4.6防火墙NAT配置要求26防火墙配置背景介绍中国电信原有3G移动互联网业务发展迅猛，出现过CTWAP、CTNET业务IPv4的地址池不够用的情况。在IPv6尚未普及商用的时期，宁夏电信通过采用融合网元防火墙做NAT的方式来缓解IP地址不足的压力。在CDMA网络中,业务实现分为以下几个场景：场景一：【业务需求】：ctwap终端通过WAP GW做代理访问电信彩信、WAP业务等电信增值业务以及WAP GW允许的WAP站点、HTTP站点等。该场景中终端与本省WAP GW互通，不存在地址冲突的问题，不需要做地址转换。【实现方式】：通过路由调整实现ctwap终端与WAP GW的直接互访，该流量不经NAT转换。场景二：【业务需求】：3G的Qchat/VT业务在CDMA网络中存在。对于ctbb业务由于ctbb平台功能所限，现阶段还不支持NAT转换之后用户的注册以及呼叫，该场景中不能进行NAT转换。 【实现方式】：这部分业务需要终端新建ctbb的APN隧道从PDSN来获取省内PI1的地址。场景三：【业务需求】：ctwap终端直接访问Brew等电信增值业务平台，不需要经过WAP GW做代理；终端需要与集团平台或者外省进行跨省互访，存在地址冲突的问题，该场景必须进行NAT转换。【实现方式】： 用户终端从PDSN获取PI3地址，通过目的地址路由到融合网元防火墙做NAT地址转换成省内PI1地址来实现跨省互访。场景四：【业务需求】：ctwap终端直接通过融合防火墙做NAT转换上公网。【实现方式】：用户终端从PDSN获取PI3地址，通过目的地址路由到融合网元防火墙做NAT地址转换成公网PI0地址来实现上网。场景五：【业务需求】：ctnet终端直接通过融合防火墙做NAT转换上公网。 【实现方式】：用户终端从PDSN获取PI3地址，通过目的地址路由到融合网元防火墙做NAT地址转换成公网PI0地址来实现上网。配置需求CTWAPCTNET公网转私网地址复用网络互通示意图网络互通要点：本省的PDSN根据AAA/AN-AAA来分配对应IP地址。在PDSN中，新建PI3的地址池，供省用户在本省使用情况下私网地址复用。在MCE上创建一个新CDMA-PI3 VPN，PDSN的privatewap、privatenet用户通过该VPN来承载，PDSN与MCE的CDMA-PI3 VPN互通。同时为防止后续CDMA CE与EPC CE的PI3互通，在CDMA CE与EPC CE上复用的私网地址段不能重合。融合承载网元通过子接口的方式接入到承载网MCE的CDMA-PI0、CDMA-PI1、CDMA-PI3 VPN；在承载网MCE上通过路由控制，将需要进行地址转换的流量引导至融合承载网元；融合承载网元上配置地址转换策略，将需要跨省访问私网的流量进行私网地址到私网地址的转换，转换之后的地址能够允许跨省互访，转换之后再将流量引导至CDMA-PI1 VPN；融合承载网元上配置地址转换策略，将需要访问公网的流量进行私网地址到公网地址的转换，转换之后再将流量引导至CDMA-PI0 VPN。各业务和流量访问路径说明如下：ctwap/ctbb地址池用户访问各网络及业务的流量路径保持不变，其访问私网时不需要通过融合承载网元进行NAT转换。privatewap地址池用户访问路径：privatewap地址池用户访问WAP GW时，通过CDMA-PI3 VPN直接互访，流量不需要通过融合承载网元进行NAT转换。privatewap地址池用户访问10网段其他私网以及私网DNS时，流量需要通过融合承载网元进行NAT转换，融合承载网元上将复用的私网地址转换成能够跨省互访的本省地址，再将流量路由到CDMA-PI1 VPN，实现跨省互访。privatewap地址池用户访问公网时，流量需要通过融合承载网元进行NAT转换，将复用的私网地址转换成公网地址，实现手机上网NAT融合的互访需求。privatenet地址池用户访问路径：privatenet地址池用户访问公网时，流量需要通过融合承载网元进行NAT转换，将复用的私网地址转换成公网地址，实现ctnet私网终端对互联网的访问。组网分析：1.3.1 NAT的设置方式对于NAT的设置有以下