上海电信WLAN测试报告

1. 前言

上海电信目前有大量的郊县阿朗7750，除了承载公众家庭上网业务，也

承载WLAN系统的业务接入。每台7750 上分配了32C(8K)的公网地址。但是

只有不到10%的WLAN用户通过portal认证，使用电信的WLAN服务。随着

WLAN用户的增加，需要的公网IP地址越来越多，在当前IP地址紧缺的情况

下，需要采用NAT技术来解决这个问题。

2. 组网及测试方案

由于7750支持CGN直接插卡方式，所以建议直接在7750上插CGN卡实现NAT

功能，做NAT444的转换。这样给用户分配的是10/8的私网地址，在对目前的

AAA和radius进行一定程度的改造情况下，当用户获得私网地址后，先进行认

证，认证结束后，通过NAT板卡访问internet。

整体流程如下：

用户DHCP获得私网地址，通过BRAS可以访问portal(适当的网络部署方案或隧道方

案，需要讨论)，输入用户名密码，portal和AAA交互完成认证。

用户通过NAT板卡可以访问internet .

整体流程如下：

公网访问portal上线业务流程：

公网访问portal下线业务流程：

3. 测试环境

3.1 测试拓扑

Portal Server

Client

7750

Radius Server

图1

7750

Test Center

图2

3.2 测试网元

设备名称 版本 数量

7750 11.0 1

PC Windows XP 1

Portal Server 联创Portal Server 1

Radius Server 1

Test Center Spirent 1

CGN单板+子卡 IOM3-XP、ISA-MS 1

4. 7750-NAT444原理

4.1 NAT映射行为

7750支持两种NAT映射行为：与目的地址/端口无关的NAT映射，与目的地址/端口相

关的NAT映射。

与目的地址/端口无关的NAT映射，该映射行为由源地址/端口二元组决定，即只要源地

址/端口二元组是固定的，映射关系也是固定的，与目的地址/端口无关。如图3所示：

图3

与目的地址/端口相关的NAT映射，该映射行为由源地址/端口/目的地址/目的端口四元

组决定，即只有源地址/端口/目的地址/目的端口四元组是固定的，映射关系才是固定的。如

图4所示：

#

Source

insideouside

ip-Xport-xip-X'port-x'ip-Yport-y

1192.6.1.1241481.0.0.16153630.0.0.11

NAT

2192.6.1.1241481.0.0.16154430.0.0.12

3192.6.1.1241481.0.0.16153031.0.0.11

图4

Destination

4.2 NAT资源分配、释放和监控

7750会为一个inside私网地址分配一对outside公网地址/端口块二元组，形成NAT映

射关系。采用端口块的方式，可以减少因NAT映射导致的log数量。端口块中的端口是随

机分配的，用来减少可预测性。新的inside私网地址会顺序使用outside公网地址/端口块资

源。缺省情况下，NAT映射不会采用小于1024的知名端口，端口块使用1024至65535的

端口。当然，端口块的大小可按照要求进行调整，每个地址池中的所有端口块的大小都是一

致的。

缺省情况下，一个inside私网地址只能使用一个端口块，为其分配的outside端口块中

的端口耗尽后，新增的ssion会被丢弃，不会形成新的NAT映射关系，也不会破坏已经形

成的老的NAT映射关系。新增ssion被丢弃的同时，7750会给终端用户回送code为13

的ICMP报文（ICMP通），告之终端用户NAT映射失败。当然，

讯管理性过滤禁止差错报文

可以通过配置，让一个inside私网地址使用多个端口块，一个端口块耗尽，该私网用户会顺

序选择一个未使用的端口块。

7750还可通过识别QoS标记，为高优先级业务预留端口，例如DNS、Email和VoIP业

务，从而确保高优先级业务使用NAT功能的可靠性。

端口块分配流程如图11所示：

图11

7750还为以下端口类型规定了超时时间：

 TCP – SYN_SENT

 TCP – Transitory (FIN_WAIT1/2, CLOSE_WAIT, LAST_ACK, CLOSING)

 TCP – Established

 TCP – TIME_WAIT ( time-wait-assassination)

 UDP – Initial Packet (ie. When only one packet is nt)

 UDP – DNS ( port 53 traffic only )

 UDP

当一个inside私网用户的以上端口类型在规定时间内没有任何流量，达到了超时计时器

时，7750会为该inside私网用户释放相关端口资源，最后一个端口资源释放后，才会释放

整个端口块资源。

4.3 NAT映射模式

7750支持两种NAT映射模式：Large Scale模式和L2Aware模式。

Large Scale模式主要用于集中式的NAT，主要部署在承载网和移动网络中。Large Scale

模式中，只有用户流量触发了NAT映射条件，才会导致NAT映射关系的形成。Large Scale

模式可以由两个触发条件来形成NAT映射关系，ip-filter和destination-prefix。

以ip-filter为条件触发NAT映射关系，举例如下：来自sap 1/1/3:1150的流量触发了

ip-filter 50，目的地址段为80.80.80.0/24的流量触发ip-filter 50中的entry10，只做普通转发；

当目的地址不在80.80.80.0/24中，且源地址段是192.168.0.0/16的流量触发entry20，送往该

sap所在router的nat inside。后者流量通过nat inside的nat-policy调用nat outside的nat pool，

从而实现NAT转换。需要说明的是，当nat outside pool中的地址段配置好后，会在nat outside

所在的router中形成针对该地址段的下一跳为nat outside的静态路由，可以通过路由重分布

将其发布至动态路由中，实现路由回指。如图5和图6所示：

图5

图6

以destination-prefix为条件触发NAT映射关系，举例如下：当来自router 51的流量的

目的地址为100.100.100.0/24时，触发destination-prefix 100.100.100.0/24，送往该sap所在

router的nat inside。该流量通过nat inside的nat-policy调用nat outside的nat pool，从而实现

NAT转换。同ip-filter方式一样，当nat outside pool中的地址段配置好后，会在nat outside

所在的router中形成针对该地址段的下一跳为nat outside的静态路由，可以通过路由重分布

将其发布至动态路由中，实现路由回指。如图7和图8所示：

图7

图8

需要补充说明的是，在Large Scale模式中，当nat inside和nat outside都在同一个router

中时，只能用ip-filter方式实现NAT功能，无法用destination-prefix方式实现。如图9所示：

图9

另外一种L2Aware模式主要用于分布式的NAT，主要部署在BRAS上。L2Aware模式

中，只要用户认证成功获得私网地址，就会马上导致NAT映射关系的形成，无需流量触发

NAT映射条件。终端用户通过认证后获得私网地址的同时，通过sub-profile属性中的

nat-policy，调用nat outside的nat pool，且需匹配nat inside的l2-aware的IP地址（该IP地

址与用户私网地址同网段即可，无需是网关地址），即可实现NAT转换。此时NAT映射关

系作为终端用户数据，保存在7750中，只有用户下线才解除NAT映射关系。如图10和图

11所示：

图10

图11

5. 7750配置

5.1 NAT板卡配置

configure isa

nat-group 1 create #创建NAT group 1

active-mda-limit 1 #设定该NAT group的主用ISA板卡数量为1

mda 5/1 #将mda 5/1加入NAT group 1

no shutdown

exit

exit

5.2 NAT policy配置

configure rvice

nat

nat-policy " nat-policy-ixia" create #创建仪表打流用户的NAT policy

pool "nat-pool-ixia" router Ba #将仪表打流用户的NAT地址池绑定

至router Ba

exit

exit

nat-policy "nat-policy-portal" create #创建portal用户的NAT policy

pool "nat-pool-portal" router Ba #将portal用户的NAT地址池绑定至

router Ba

exit

exit

exit

exit

5.3 NAT转换后公网地址池配置

configure router

nat

outside #NAT转换后的公网地址池配置

pool "nat-pool-ixia" nat-group 1 type large-scale create #将仪表打流

用户地址池、相应NAT group、large-scale模式进行三方绑定

address-range 192.168.1.3 192.168.1.100 #定义NAT映射后地址

池范围，并在router Ba路由表中生成下一跳为NAT的静态路由

port-rervation ports 98 #定义每个地址块有98个端口

exit

no shutdown

exit

pool "nat-pool-portal" nat-group 1 type l2-aware #将portal用户地址

池、相应NAT group、l2-aware模式进行三方绑定

address-range 116.228.171.84 116.228.171.84 create #定义NAT

映射后地址池范围，并在router Ba路由表中生成下一跳为NAT的静态路由

exit

no shutdown

exit

exit

5.4 业务配置

5.4.1 仪表打流用户

5.4.1.1 地址池配置

configure rvice

customer 1 create

description "Default customer"

exit

vprn 444 create #为仪表打流用户创建VPRN

dhcp

local-dhcp-rver "dhcp-r-ixia" create #为仪表打流用户创建NAT

转换前私网地址池的local-dhcp-rver

u-gi-address

pool "dhcp-pool-ixia" create #为仪表打流用户创建NAT转换前

私网地址池的地址池

subnet 10.64.0.0/18 create #仪表打流用户NAT转换前私网

地址段

options

default-router 10.64.0.1

exit

address-range 10.64.0.2 10.64.63.255

exit

subnet 10.65.0.0/18 create #仪表打流用户NAT转换前私网

地址段

options

default-router 10.65.0.1

exit

address-range 10.65.0.2 10.65.63.255

exit

exit

no shutdown

exit

exit

5.4.1.2 地址池接口配置

configure rvice

customer 1 create

description "Default customer"

exit

vprn 444 create #为仪表打流用户创建VPRN

interface "loopback-dhcp" create #为仪表打流用户创建loopback接口

address 1.1.1.1/32 # local-dhcp-rver地址

local-dhcp-rver "dhcp-r-ixia" #绑定local-dhcp-rver

loopback

exit

5.4.1.3 subscriber-interface配置

configure rvice

customer 1 create

description "Default customer"

exit

vprn 444 create #为仪表打流用户创建VPRN

subscriber-interface "sub-inter-ixia" create

allow-unmatching-subnets

address 10.65.0.1/18

address 10.64.0.1/18

dhcp

gi-address 10.64.0.1

exit

group-interface "gro-inter-ixia" create

arp-populate

dhcp

rver 1.1.1.1

trusted

lea-populate 32767

client-applications dhcp ppp

gi-address 10.64.0.1

no shutdown

exit

sap 2/1/1 create

sub-sla-mgmt

def-sub-id u-auto-id

def-sub-profile "sub-100"

def-sla-profile "sla-100"

multi-sub-sap 32767

no shutdown

exit

exit

exit

exit

5.4.1.4 NAT inside配置

configure rvice

customer 1 create

description "Default customer"

exit

vprn 444 create #为仪表打流用户创建VPRN

nat

inside

nat-policy "nat-policy-ixia" #绑定相应nat-policy

destination-prefix 0.0.0.0/0 #定义对所有出流量的IP报文进行NAT

转换，并在router 444中生成一个下一跳为NAT的缺省路由

exit

exit

exit

exit

5.4.1.5 与仪表network侧直连接口配置

configure router

interface "to-ixia"

address 192.168.44.2/24

port 2/1/4

no shutdown

exit

5.4.2 portal用户

5.4.2.1 地址池配置

configure router

dhcp

local-dhcp-rver "dhcp-r-portal" create #为portal用户创建NAT转

换前私网地址池的local-dhcp-rver

u-gi-address

pool "dhcp-pool-portal" create #为portal用户创建NAT转换前私

网地址池的地址池

options

dns-rver 202.96.209.5 #为portal用户配置DNS地址

exit

subnet 10.66.0.0/24 create #portal用户NAT转换前私网地

址段

options

default-router 10.66.0.1

exit

address-range 10.66.0.3 10.66.0.254

exit

exit

no shutdown

exit

exit

5.4.2.2 地址池接口配置

configure router

interface "loopback-dhcp" create #为portal用户创建loopback接口

address 2.2.2.2/32 # local-dhcp-rver地址

local-dhcp-rver "dhcp-r-portal" #绑定local-dhcp-rver

loopback

no shutdown

exit

5.4.2.3 subscriber-interface配置

configure rvice

customer 1 create

description "Default customer"

exit

ies 443 create #为portal用户创建IES

subscriber-interface "sub-inter-portal" create

address 10.66.0.1/24

dhcp

gi-address 10.66.0.1

exit

group-interface "gro-inter-portal" create

arp-populate

dhcp

rver 2.2.2.2

trusted

lea-populate 32767

client-applications dhcp ppp

gi-address 10.66.0.1

no shutdown

exit

authentication-policy "auth-policy-portal"

oper-up-while-empty

sap 2/1/3 create

sub-sla-mgmt

def-sub-id u-auto-id

def-sub-profile "sub-100"

def-sla-profile "sla-portal"

sub-ident-policy "sub-ident-local"

multi-sub-sap 1000

no shutdown

exit

exit

wpp #portal用户触发portal协议

initial-sla-profile "sla-portal"

initial-sub-profile "sub-100"

portal router "Ba" name "portal" #绑定portal Server

no shutdown

exit

exit

exit

no shutdown

5.4.2.4 NAT inside配置

configure router

nat

inside

l2-aware

address 10.66.0.1/24 #portal用户通过该IP地址触发NAT

exit

exit

exit

exit

5.4.2.5 认证配置

configure subscriber-mgmt

authentication-policy " auth-policy-portal" create #配置portal用户的认证策略

radius-authentication-rver

rver 1 address 218.80.254.216 cret "" hash2 port 1642

testing123

source-address 116.228.171.72

exit

accept-authorization-change

pppoe-access-method pap-chap

include-radius-attribute

nas-port-id

nas-identifier

mac-address

calling-station-id sap-string

exit

exit

5.4.2.6计费配置

radius-accounting-policy "acct-policy-nat-wlan" create #配置portal用户的计费

策略

include-radius-attribute

calling-station-id sap-string

circuit-id

framed-ip-addr

framed-ip-netmask

nas-identifier

nas-port-id prefix-string "shgd-"

remote-id

sla-profile

sub-profile

subscriber-id

ur-name

exit

ssion-id-format number

u-std-acct-attributes

radius-accounting-rver

rver 1 address 218.80.254.216 cret "" hash2 port 1642

testing123

source-address 116.228.171.72

exit

exit

5.4.2.7 Portal Server配置

configure router

portals

portal "portal" address 115.239.138.17 create #配置Portal Server IP地址

no shutdown

exit

exit

exit

5.4.3 用户属性配置

5.4.3.1 sub-profile配置

configure subscriber-mgmt

sub-profile " sub-100" create

nat-policy "nat-policy-portal" #绑定portal用户的nat-policy

radius-accounting-policy "acct-policy-wlan"

exit

5.4.3.2 sla-profile配置

sla-profile "sla-portal" create

exit

5.4.3.3 sub-ident-policy配置

sub-ident-policy "sub-ident-local" create

sub-profile-map

u-direct-map-as-default

exit

sla-profile-map

u-direct-map-as-default

exit

exit

6. 测试例

6.1 wlan私网流程穿越测试（私网访问portal）

测试编号： 1 测试项目：wlan私网流程穿越测试

测试目的：验证wlan的私网地址方式下用户上网的上线和下线流程（私网访问portal）

测试环境：

模拟环境见图1

测试步骤：

1. 电脑终端发起DHCP请求，获取私网地址。

2. 用户输入网址后可以直接重定向到 portal页面，输入用户名和密码进行认证。

3. 认证通过后，AAA下发相关策略

4. 用户通过7750的NAT板卡可以上网

5. 在上网一段时间后，用户点击下线框，可以正常下线

预期结果：

 认证通过，可以上网

 验证各个需要改造网元接口的报文内容和格式，符合预期要求

测试结果:

认证通过，用户能上网，流程也满足测试要求。

备注：

6.2 wlan私网流程穿越测试（公网访问portal）

测试编号： 2 测试项目：wlan私网流程穿越测试

测试目的：验证wlan的私网地址方式下用户上网的上线和下线流程（公网访问portal）

测试环境：

模拟环境见图1

测试步骤：

1. 电脑终端发起DHCP请求，获取私网地址。

2. 用户输入网址后可以直接重定向到 portal页面，输入用户名和密码进行认证。

3. 认证通过后，AAA下发相关策略

4. 用户通过7750的NAT板卡可以上网

5. 在上网一段时间后，用户点击下线框，可以正常下线

预期结果：

 认证通过，可以上网

 验证各个需要改造网元接口的报文内容和格式，符合预期要求

测试结果:

认证通过，用户能上网，流程也满足测试要求。

备注：

6.3 CGN单板会话表规格测试

测试编号： 3 测试项目：CGN单板会话规格

测试目的：验证CGN单板的NAT444的会话规格

测试环境：图2

测试步骤：

1. 如图组网，搭建测试环境

2. 在7750上配置配置NAT444功能。

3. IXIA1向IXIA2发送IPv4业务流量，IPv4五元组发生变化，触发NAT会话，检查NAT最大可

支持会话个数。

4. 检查NAT网关地址转换是否正常，会话表是否达到厂商宣称的规格。

预期结果：

 CGN设备每板卡最大支持流表数达到宣称值，且NAT转换正常。

测试结果:

以下内容为：通过show命令显示仪表打流时NAT相关内容

1、 显示nat-group中的成员：show isa nat-group 1 members

===============================================================================

ISA Group 1 members

===============================================================================

Group Member State Mda Address Blocks Se-% Hi Se-Prio

-------------------------------------------------------------------------------

1 1 active 5/1 253 632 99 N 0

-------------------------------------------------------------------------------

No. of members: 1

===============================================================================

2、显示mda 5/1的NAT资源使用情况：tools dump nat isa resources mda 5/1

Resource Usage for Slot #5 Mda #1:

flow log packets t 2 | 50 | 0 | 50

3、显示nat-group中的统计情况：show isa nat-group 1 member 1 statistics

===============================================================================

ISA NAT Group 1 Member 1

===============================================================================

IPv4 ttl zero : 0

subscriber-id unknown : 0

subscriber-id delayed : 0

subscriber-id timeout : 0

V6 pkts fragmented : 0

forwarded DS-Lite V6 pkts : 0

Inside router : vprn444

Inside IP address : 10.64.11.7

-------------------------------------------------------------------------------

Number of blocks: 299

===============================================================================

Range Drain Num-blk

-------------------------------------------------------------------------------

192.168.1.3 - 192.168.1.254 299

-------------------------------------------------------------------------------

No. of ranges: 1

===============================================================================

===============================================================================

NAT policies

===============================================================================

Policy Description

-------------------------------------------------------------------------------

hostsActive : 299

hostsPeak : 498

ssionsTcpCreated : 0

ssionsTcpDestroyed : 0

ssionsUdpCreated : 127122442

ssionsUdpDestroyed : 120835950

No. of subscribers: 299

===============================================================================

11、显示当前NAT ssions信息：tools dump nat ssions

===============================================================================

Matched 300 ssions on Slot #5 MDA #1

===============================================================================

Owner : LSN-Host@10.64.0.3

"{23} Map 192.168.1.3 [1024-1121] MDA 5/1 -- 142606336 classic-lsn-sub vprn444

10.64.0.3 at 2013/07/22 14:53:28"

备注：

6.4 CGN单板会话新建速率测试

测试编号： 3 测试项目：CGN单板会话新建速率

测试目的：验证CGN单板的NAT444的会话的新建速率

测试环境：图2

测试步骤：

1. 如图组网，搭建测试环境

2. 在7750上配置配置NAT444功能。

3. IXIA1向IXIA2发送IPv4业务流量，IPv4五元组发生变化，触发NAT会话，流量速率按照厂

商支持的新建速率发一次burst流，burst的数量为单板支持的最大会话个数。

4. 检查NAT网关地址转换是否正常，单板支持的最大会话是否建立完整。

预期结果：

 CGN设备成功建立了厂家宣称规格的流表，NAT转换正常，新建速率为测试仪上设置的burst

个数。

备注：