城域集中型CGN流量牵引及灾备方案汇编.pptx

城域集中型CGN流量牵引及灾备方案 2014.5 1、CGN网络架构 2、CGN实施方案 3、CGN灾备实现 * CGN网络架构——三种实现方式 （1）省干旁挂CGN （2）BRAS添加NAT板卡 （3）地市核心旁挂CGN CGN网络架构——省干旁挂CGN设备 CGN旁挂省干 由于集团要求，私网用户数不能超过50W，不符合集团规范。 CGN网络架构——BRAS添加NAT板卡 地市核心 BRAS （2） BRAS添加NAT板卡实现 BRAS添加板卡一旦出现故障，无法进行切换 添加NAT板卡成本过高 CGN网络架构——地市核心旁挂CGN 每个地市部署两台CGN设备； CGN设备单挂城域数据网地市核心； CGN设备：H3C M9000、华为E8000E-X16、中兴M6000-S CGN旁挂地市核心 1、CGN网络架构 2、CGN实施方案 3、CGN灾备实现 * CGN实施方案——出网流量 地市核心路由器配置策略路由，对于源地址需要NAT转换的流量，下一跳指向NAT设备，由NAT设备负责完成地址转换； 通过缺省路由回注到核心路由器； 由于两台CGN间未做会话同步，同时为避免同一用户一个应用出现不同公网IP以影响部分应用正常使用（例如网银），所有出网流量需根据源地址段（例如将各地市私网段划分为2个，即IP1和IP2）在城域网中做流量牵引，设备正常工作时将源地址段为IP1的流量引向CGN1，源地址段为IP2的流量引向CR2。 CGN-1 CMNET省网 地市核心 CGN-2 出网流量-CNG1 BRAS 出网流量-CGN2 BRAS上行流量靠BPG负载均衡自动实现。 CGN实施方案——入网流量 CGN-1 CMNET省网 地市核心 CGN-2 入网流量-CGN1 BRAS 入网流量-CGN2 CR上将NAT后公网地址段注入到BGP路由中。 NAT转换后的流量，通过静态路由回注到核心路由器。 CGN设备与核心路由器之间需要开启IGP路由协议，仅用于通告设备Loopback1地址以及内部互联地址。 注意：为保持CR至BRAS链路流量均衡，每台BRAS应平均启用属于CGN1（IP1）和CGN2（IP2）的地址池。 CGN实施方案——部署方案 CGN-2跟CR-2建立BGP邻居，CGN-2宣告公网地址池、loopback0地址等 CR放行CGN公网地址池 CGN-1跟CR-1建立BGP邻居，CGN-1宣告公网地址池、loopback0地址等 配置默认路由指向CR 通过静态路由将公网地址池、loopback0地址指向CGN，并通过BGP发布到省网 方案一： 方案二： 方案一：由于CR是二级路由反射器，具有相同的cluster-id，会造成CGN-1的公网地址池，在CR2上没有路由。 CGN部署采用方案二 1、CGN网络架构 2、CGN实施方案 3、CGN灾备实现 * CGN灾备实现——集团建议方案 实现方式： 省网汇接路由器或者城域核心路由器通过物理端口与NAT设备相连。2台NAT设备建议分别双归连接到两台核心路由器，同时NAT设备之间实现会话同步。 优势： 秒级倒换、用户无感知 技术成熟 劣势： 浪费设备性能（会话数） 安全风险相对较高 我省现状： 中兴设备不支持会话同步 华为、华三设备支持，但未配置多余端口用于心跳 因此无法采取集团建议的灾备方案 CGN灾备实现——路由方式 方案一 CR上配置策略路由 设备正常工作时Core1 NAT数据通过CGN1设备，同时CR和CGN间启用BFD功能，在策略路由中写下CGN2作为备份转发路径，全局下策略选择冗余模式。当出现CGN1设备问题或者链路问题时，实现快速切换。 方案二 建立VPN通道 BARS分别与CGN1和CGN2起MPLS VPN，数据通过CGN后直接通过Core到达外网，配置BARS上行接口联动，当与CGN1通信失败，VPN自动断开，BARS通往Core1上行链路联动断开，自动选择Core2作为下一条转发地址，Core2 NAT到公网自动选择CGN2，实现冗余。（BARS实现切换）。 方案三 在BAS上配策略路由 设备正常工作时IP1流量由BAS通过策略路由引导到CR1，再由CR1引导到CGN1设备，同时BAS、CR和CGN间启用BFD功能，在策略路由中写下BAS-CR2作为备份转发路径，全局下策略选择冗余模式。当出现BAS-CR-CGN1间链路故障或CR、CGN1设备问题时，实现快速切换。IP2到CGN2的配置原理一致。 方案概述 优劣对比 故障倒换方案 方案优点 方案缺点 方案1：CR上配置策略路由 1)部署相对简单； 2)由省公司统一维护，技术力量有保障 1)CR上已配有大量策略; 2）CR间中继链路需承担一半流量 方案2：BAS-CGN间构建VPN 1)私网地址均封装在VPN