3G技术资料-GPRS网络中iGGSN割接配置原理

3G技术资料-GPRS⽹络中iGGSN割接配置原理
GPRS⽹络中iGGSN割接配置原理
成都通信建设⼯程局赵艳明王玺邮政编码 611130
[摘要]本⽂通过对某省移动通信⽹内部cmnet、cmwap和VPN割接到iGGSN的基本配置及遇到的问题介绍，简要的阐述了同类型IGGSN割接配置的思路。

以及以后处理类似问题的⽅向作了有益的探讨。

[关键词]CMNET CMWAP VPN IGGSN 防⽕墙配置
⽬录
⼀、前⾔ (2)
⼆、cmnet割接 (2)
1．iGGSN配置 (2)
2．防⽕墙配置 (2)
3．SGSN中配置 (3)
三、cmwap割接 (3)
1．iGGSN的配置 (3)
2．防⽕墙的配置 (3)
3．SGSN的配置 (4)
四、VPN的割接 (4)
1. iGGSN的配置 (5)
2．GGSN的设置 (6)
3．防⽕墙设置 (6)
五、遇到的问题 (6)
⼀、前⾔
某地⽬前有5套G配置的SGSN，忙时PDP数约为1.3万左右，两台GGSN采⽤负荷分担形式承载cmnet、cmwap和VPN；⽬前已将全部业务割接到iGGSN上，同时启⽤cbc 业务，iGGSN中有⼀个Vigilon、两个Senteon和三个WN，WN1和WN2采⽤负荷分担形式承载全部业务，每个WN上启⽤四块Gn板和三块Gi，其中slot 4 Gi承载全部不⾛GRE 隧道的VPN，slot 5 Gi承载全部⾛GRE的VPN，slot 6 Gi承载cmnet和cmwap业务，四块Gn板采⽤负荷分担的形式，WN3没有割接相关业务；
本章将讲述cmnet、cmwap和VPN割接到iGGSN的基本配置及遇到的问题。

⼆、cmnet割接
1．iGGSN配置
⾸先要在iGGSN上创建cmnet这个APN，同时将这个APN和WN的Gi接⼝关联，并配置下⼀跳地址，这⾥把Gi switch的vlan ip 作为下⼀跳使得cmnet的数据报全部送到Gi switch；
图1
配置地址池，为了在割接前能够顺利测试，需要⽤户提供新的地址池；
为了能够顺利浏览⽹页还需要配置DNS来解析公⽹的域名，如图2所⽰，然后将DNS 关联到cmnet上；
同时为了能够进⾏计费还需要配置CG，如图3所⽰，然后将CG关联到cmnet;
图2
图3
2．防⽕墙配置
防⽕墙上⾸先要在Objectd⾥边配置cmnet的地址池并将其分配在Trust⾥，以⽅便⽤来配置策略，如图4，
图4
配置地址后要配置策略，并同时将地址池内的私有地址翻译成公⽹地址⼀边收集能够访问公⽹⽹站，如图5
图5
最后还需要配置⼿机地址池的回包路由使得回来的数据包能够顺利到达⼿机侧，如图6
图6
3．SGSN中配置
为了便于测试，我们需要将个别的IMSI指向iGGSN进⾏激活，着需要两个步骤：
在SGSN中找出⽤于测试的IMSI所在的station，⽤命令./paction SDM ALL 1010 IMSI –o /var/ll.log，然后⽤cmd.sh找出还有VLR信息的station;
在对应的station的/etc/hosts⾥边添加221.177.177.129 cMnEt.mnc000.mcc460.gprs cMnEt，其中221.177.177.129是Senteon 的GTP-C地址；
这样⽤对应的IMSI就可以测试cmnet业务了，在随意⾏中将APN设置为cMnEt，在激活后可以在WN上⽤show pdp imsi的命令进⾏验证；
测试成功的话，割接只需要将DNS⾥边cmnet的指向改称指向iGGSN并重启DNS进程，然后在SGSN上清除DNS缓存就可以了；
三、cmwap割接
1．i GGSN的配置
APN的配置和cmnet基本相同，这⾥不做描述；
因为cmwap是通过GRE隧道与⽹关之间进⾏通信的，不能直接访问公⽹，所以cmwap 上边不需要配置DNS；
同样cmwap也要进⾏计费，所以也要关联CG，与cmne⼀样；
Cmwap还要到Radius进⾏accouting,所以与cmnet不同的是它还需要配置radius服务器，如图7，并把它关联到cmwap
图7
2．防⽕墙的配置
在防⽕墙的配置和cmnet基本相同，由于其⾛GRE隧道的特性所以还有⼀定的区别：
Radius的路由和策略配置，由于radius源地址采⽤的是私有地址，所以他必须通过nat 翻译穿过防⽕墙，
图8
由于iGGSN中⽆法实现GRE隧道，所以在防⽕墙上实现，在防⽕墙上配置源地址路由，
如图9
图9
Cmwap地址池中的地址到达防⽕墙后根据其源地址判断进⼊GRE隧道，实现了封装；
3．S GSN的配置
在割接cmwap之前同样需要进⾏业务的测试，按照cmnet割接的⽅法找到测试IMSI 对应所在的station，并在/etc/hosts⾥边添加221.177.177.129 cMwAp.mnc000.mcc460.gprs cMwAp，在测试⼿机中将APN设置为cMwAp，进⾏wap浏览以及彩信的发送和接收，在WN上⽤命令show pdp imsi可以进⾏验证；
测试成功后，割接只需在DNS⾥将cmwap的指向由GGSN改到iGGSN，并重启DNS 进程，在SGSN⾥边清除DNS缓存即可；
四、VPN的割接
VPN的较为特殊，因为cmnet和cmwap都是从新的防⽕墙直接出去的，⽽VPN都要⾛旧的防⽕墙，VPN中有些是通过GRE隧道的，有些是直接经过防⽕墙翻译的，由于旧的防⽕墙不能配置GRE隧道，所以那些⾛GRE隧道的VPN还需要经过GGSN进⾏GRE封装，按照现⽹GGSN上VPN的配置情况我们基本将其克隆到iGGSN上，总体情况如下：
1.iGGSN的配置
每个VPN都要关联⼀个Gi接⼝，但是VPN的数⽬要对于Gi接⼝，所以要配置⼦端⼝来将它们划分不到不同的VLAN⾥边来为不同的VPN通信，基本情况如下
bankcomm.sn410 WN1-4-1 172.24.141.1172.24.141.10⽆
xagaidel.sn410 WN1-4-1 172.24.141.1172.24.141.10 172.24.141.2 chinaunionpay.sn410 WN1-4-1
172.24.141.1172.24.141.10 172.24.141.2 ludeng.sn410 WN1-4-1 172.24.141.1172.24.141.10 172.24.141.2
2．GGSN的设置
然后在对应的GGSN上配置⼦端⼝并设置vlan tag，对于⾛GRE的VPN还要在端⼝关联vrf将数据流送到对应的隧道⾥边，例如：
interface FastEthernet0/1.516
description iGGSN vpn ylpm.sn
encapsulation dot1Q 516
ip vrf forwarding vrf_ylpm
ip address 172.24.151.106 255.255.255.240
no ip redirects
no ip route-cache
no ip mroute-cache
对于不⾛GRE隧道的VPN则不需在对应的⼦端⼝上配置vrf，只需要将它们根据默认路由送到防⽕墙就⾏了；
对于⾛GRE隧道的VPN要通过vrf配置回包路由，将防⽕墙返回的数据送回到iGGSN。

例如：
ip route vrf vrf_axpos 10.181.13.64 255.255.255.240 172.24.152.33
对于不⾛GRE隧道的VPN，要通过设置普通的回包路由使其送回到iGGSN，例如：ip route 10.181.13.96 255.255.255.240 172.24.141.1
3．防⽕墙设置
对于⾛GRE隧道的VPN需要设置出去和回来的策略：
set policy id 51 from "Trust" to "Untrust" "GI_GRE" "GRE_Server" "GRE" Permit
set policy id 53 from "Untrust" to "Trust" "GRE_Server" "GI_GRE" "GRE" Permit
对于不通过GRE隧道出去的VPN需要设置出去和回来的策略，同时还要设置回包路由，例如：
set policy id 109 from "Trust" to "Untrust" "ludeng_user_1" "Any" "ANY" Permit
set policy id 111 from "Untrust" to "Trust" "Any" "ludeng_user_1" "ANY" Permit
set route 10.181.4.128/26 interface ethernet2 gateway 10.131.64.121
五、遇到的问题
Cmnet割接后第⼆套outoforder⼀直⽐较⾼，⽽且恢复很慢，在sation上ping cmnet 测试发现有的station上回复很慢，逐段检
查路由发现SGSNRt2上的Gn⼝假死，⽽这时SGSNRt2是主⽤，将其切换后恢复正常，然后将这个端⼝shutdown再起来恢复正常； WN2升版后发现slot 11上边没有PDP，检查发现是默认路由没有⽣效，但是在autoscript.config⾥边是配置了的，于是⼜⼿⼯配置了这两条默认路由，然后恢复正常； WN3升版后⼀直⽆法与vigilon同步，⽤命令configure snmp no nms-server ip 172.24.89.202 port 8010将其去关联，然后再configure snmp nms-server ip 172.24.89.202 port 8010将其加上后WN3成功与vigilon同步；
[作者简介]
赵艳明毕业于北京邮电⼤学，成都通信建设⼯程局GPRS核⼼⽹络测试⼯程师，长期从事GPRS核⼼⽹络测试等项⽬实施，积累了丰富的核⼼⽹理论和实践知识，现积极参与阿尔卡特GPRS核⼼⽹络产品的现⽹测试⼯程中，对GPRS核⼼⽹络⽅⾯知识有较深的理解。

王玺1998年毕业于成都电⼦科技⼤学电⼦⼯程系，现任职成都通信⼯程局交换处副处长，毕业后⼀直从事移动通信设备软硬件测试和⽹络优化等⼯程项⽬实施，对阿尔卡特和爱⽴信等多种移动核⼼⽹设备有较深的掌握运⽤，完成过国内外很多移动通信项⽬，有丰富的移动通信核⼼⽹经验。