資源描述:
《上海電信WLAN測試報(bào)告-阿朗7750》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、Wlan私網(wǎng)地址擴(kuò)展方案測試一7750中國電信上海研究院上海電信目前有犬量的郊縣阿朗7750,除了承載公眾家庭上網(wǎng)業(yè)務(wù)����,也承載WLAN系統(tǒng)的業(yè)務(wù)接入。每臺(tái)7750上分配了32C(8K)的公網(wǎng)地址。但是只有不到10%的WLAN用戶通過portal認(rèn)證��,使用電信的WLAN服務(wù)�����。隨著WLAN用戶的增加����,需要的公網(wǎng)IP地址越來越多,在當(dāng)前1P地址緊缺的情況下�,需要采用NAT技術(shù)來解決這個(gè)問題。2.組網(wǎng)及測試方案曲于7750支持CGN直接插卡方式��,所以建議直接在7750上插CGN卡實(shí)現(xiàn)NAT功能��,做NAT444的轉(zhuǎn)換����。這樣給用戶分配的是10/8的私網(wǎng)地址���,在對(duì)
2�����、口前的AAA和radius進(jìn)行一定程度的改造情況下�����,當(dāng)用戶獲得私網(wǎng)地址后���,先進(jìn)行認(rèn)證,認(rèn)證結(jié)束后,通過NAT板卡訪問interneto整體流程如下:用戶DIICP獲得私網(wǎng)地址��,通過BRAS町以訪問portal(適當(dāng)?shù)木W(wǎng)絡(luò)部署方案或隧道方案,需要討論)��,輸入用戶名密碼,portal和AAA交互完成認(rèn)證��。用戶通過NAT板卡可以訪問internet.整體流程如下:公網(wǎng)訪問portal上線業(yè)務(wù)流程:公網(wǎng)訪問portal下線業(yè)務(wù)流程:2.測試環(huán)境3.1測試拓?fù)銯ortulSener圖17750TestCenter圖23?2測試網(wǎng)元設(shè)備名稱版本數(shù)量775011.
3�����、01PCWindowsXP1PortalServer聯(lián)創(chuàng)PortalServer1RadiusServer1TestCenterSpirent1CGN單板+子卡IOM3?XP����、ISA-MS12.7750-NAT444原理4.1NAT映射行為7750支持兩種NAT映射行為:與冃的地址/端口無關(guān)的NAT映射�,與H的地址/端口相關(guān)的NAT映射。與目的地址/端口無關(guān)的NAT映射��,該映射行為由源地址/端口二元組決定����,即只要源地址/端口二元組是固定的���,映射關(guān)系也是固定的,與目的地址/端口無關(guān)���。如圖3所示:#SourceDestinationinsideNATou
4�、sideip-Xport-xip-Xport-x'ip-Yport-v1192.6.1.1241481.0.0.161536*#SourceDestinationinsideNATousideip-Xport-xip-Xport-x'ip-Yport-y1192.6.1.1241481.0.0.16153630.0.0.199012192.6.1.1241481.0.0.16153630.0.0.29901#SourceDestinationinsideNATousideip-Xport-xip-X*port-x1ip-Yport-y1192.6.1
5��、.1241481.0.0.16153630.0.0.199012192.6.1.1241481.0.0.16153630.0.0.19902圖3與目的地址/端口相關(guān)的NAT映射�,該映射行為由源地址/端U/0的地址/目的端U四元組決定,即只有源地址/端口/目的地址/目的端口四元組是固定的��,映射關(guān)系才是固定的�。如圖4所示:#SourceDestinationinsideNATousideip-Xport-xip?X'port-x'ip-Yport-y1192.6.1.1241481.0.0.16153630.0.0.112192.6.1.1241481.
6、0.0.16154430.0.0.123192.6.1.1241481.0.0.16153031.0.0.11圖44.2NAT資源分配����、釋放和監(jiān)控力50會(huì)為一個(gè)inside私網(wǎng)地址分配一對(duì)outside公網(wǎng)地址/端口塊二元組,形成NAT映射關(guān)系�。采用端口塊的方式,可以減少因NAT映射導(dǎo)致的log數(shù)量��。端口塊屮的端口是隨機(jī)分配的�,用來減少可預(yù)測性。新的inside私網(wǎng)地址會(huì)順序便用outside公網(wǎng)地址/端口塊資源���。缺省情況下��,NAT映射不會(huì)采用小于1024的知名端口�,端口塊使用1024至65535的端口�。當(dāng)然,端口塊的大小對(duì)按照耍求進(jìn)行調(diào)整��,每個(gè)地址
7�����、池中的所有端口塊的大小都是一致的��。缺省情況下,一個(gè)inside私網(wǎng)地址只能使用一個(gè)端口塊,為其分配的outside端口塊中的端口耗盡后���,新增的session會(huì)被丟棄���,不會(huì)形成新的NAT映射?關(guān)系,也不會(huì)破壞已經(jīng)形成的老的NAT映射關(guān)系�。新增session被丟棄的同時(shí),7750會(huì)給終端用戶回送code為13的ICMP報(bào)文(ICMP通訊管理性過濾禁止差錯(cuò)報(bào)文),告之終端用戶NAT映射失敗�。當(dāng)然�,可以通過配置�,讓一個(gè)inside私網(wǎng)地址使用多個(gè)端口塊,一個(gè)端口塊耗盡��,該私網(wǎng)用戶會(huì)順序選擇一個(gè)未使用的端口塊���。7750還可通過識(shí)別QoS標(biāo)記����,為高優(yōu)先級(jí)業(yè)務(wù)預(yù)留
8�����、端口���,例如DNS��、Email和VoIP業(yè)務(wù)�,從而確保高優(yōu)先級(jí)業(yè)務(wù)使用NAT功能的町靠性����。端口塊分配流程如圖1
