中国电信CDMA 网IP综合承载实施配置规范(华为CE分册)
(试行)
中国电信集团有限公司
二〇〇八年十月
编制单位:
修订记录
版本号日期描述V0. 1 2008年9月9日初稿
V1.0 2008年9月21日征求意见稿/省公司审查稿
V1.1 2008年9月28日添加配置模板
V1.9 2008年10月5日集团审查稿定稿
V2.0 2008年10月7日试行版定稿
目录
编制说明 (4)
缩略语 (4)
1.CE设备基本信息及可靠性 (1)
1.1.设备的访问及访问控制 (1)
1.1.1.设备远程管理要求 (1)
1.1.2.路由器访问控制 (1)
1.2.设备系统日志 (2)
1.3.设备高可靠性措施 (3)
1.4.设备负载均衡的方式 (3)
1.5.其他特性 (4)
1.6.配置需求 (4)
1.6.1.设备基本信息配置需求 (4)
1.6.2.设备高可靠性配置需求 (5)
1.7.配置模板 (5)
2.端口配置要求 (9)
2.1.配置需求 (9)
2.2.配置模板 (10)
3.路由设计和转发实现方案及配置 (11)
3.1.总体路由和转发策略 (11)
3.2.IGP路由策略及规划 (11)
3.3.MP-BGP路由方案 (12)
3.4.配置需求 (13)
3.4.1.修改路由优先级配置 (13)
3.4.2.ISIS协议配置需求 (14)
3.4.3.BGP路由协议配置需求 (15)
3.4.4.MPLS LDP配置需求 (16)
3.5.1.修改路由优先级配置 (18)
3.5.2.ISIS协议配置 (18)
3.5.3.BGP/MP-BGP协议配置 (19)
3.5.4.MPLS LDP配置 (20)
4.CE与CN2 PE互联配置 (21)
4.1.配置需求 (21)
4.2.CE配置模板 (24)
4.3.PE配置模板 (34)
5.CE与163互联配置 (39)
5.1.配置需求 (39)
5.2.配置模板 (40)
6.CE与网元互联配置 (41)
6.1.路由接入模式 (41)
6.1.1.配置需求 (41)
6.1.2.配置模板 (41)
6.2.二三层(BVI)接入模式 (45)
6.2.1.配置需求 (45)
6.2.2.配置模板 (46)
6.3.VPLS接入模式 (48)
6.3.1.配置需求 (48)
6.3.2.配置模板 (48)
7.BFD配置 (50)
7.1.配置需求 (50)
7.2.配置模板 (50)
8.网络服务质量(QOS)配置 (52)
8.1.配置需求 (52)
9.网元互联模式 (61)
10.设备命名规范 (63)
10.1.网元命名规范 (63)
10.2.链路命名规范 (64)
编制说明
本文档为中国电信CDMA网IP综合承载网实施配置规范华为CE分册,包括CE网络组网配置要求及模板、CE网络与163、CN2网络互联配置要求及模板、C网网元接入配置要求及模板等内容。
CDMA网IP综合承载相关工程设计与本规范内容存在不符的以本规范内容为准,相关设计应按照本规范进行修订。CDMA网IP综合承载的工程施工工作应按照本规范执行。
目前CDMA网IP综合承载正处在工程建设期,在本阶段工程建设工作结束后,集团公司将根据网络变化情况,对本规范进行完善修订并下发。
本规范由中国电信集团网络运行维护事业部进行解释说明。
缩略语
本文中将使用下列缩略语,除非文中特别说明,否则意义如下;对于未说明的缩略语,应做业界标准或惯例理解。
AAA Authentication Authorization, and
Accounting
鉴权、授权、计费
BSC Base Station Controller 基站控制器
EV-DO Evolution - Data Only,全称为CDMA 1x EV-DO CDMA2000 1x演进3G第一个阶段
IMSI International Mobile Station Identity 国际移动台标识L2TP Layer 2 Tunneling Protocol 二层隧道协议PCF Packet Control Function 分组控制功能PDSN Packet Data Serving Node 分组数据服务节点CDMA Code Division Mutiple Access 码分多址
DNS Domain Name Server 域名服务器
FA Foreign Agent 拜访代理
HA Home Agent 归属代理
LNS L2TP Network Server L2TP网络服务器
PPP Point to Point Protocol 点对点协议
QoS Quality of Service 业务质量
WAP Wireless Application Protocol 无线应用协议
P-I网络PDSN-Internet PDSN与所有数据通信节
点之间的网络,如PDSN
与其他路由器之间的网
络
R-P网络Radio-PDSN 介于无线网络(特指PCF)
和PDSN之间的网络VPDN Virtual Private Dail-up Network 虚拟拨号专用网
GRE Generic Routing Encapsulation 通用路由封装
IPsec IP Security IP安全协议
LAC Layer 2 tunnel protocol Access
Concentrator 第二层隧道协议访问集中器
LCP Link Control Protocol 链路控制协议IPCP IP Control Protocol IP控制协议
1.CE设备基本信息及可靠性
1.1. 设备的访问及访问控制
1.1.1.设备远程管理要求
对CE路由器远程管理需要进行严格控制,只允许信任用户以特定方式(Telnet/SSH/SNMP等)进行访问。
1.1.
2.路由器访问控制
1.1.
2.1.VTY接口访问控制
对CE路由器VTY接口访问进行控制,防止非法用户通过Telnet/SSH方式获取CE设备的控制能力。
具体采取以下措施对VTY接口访问进行控制:
n修改VTY并发连接数缺省值,调整为厂商允许最大值。华为设备最多允许同时15个,阿朗设备为7个。
n针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问。
访问控制列表通过区分不同用户的网段来进行过滤:
?允许以下地址段访问:
CN2国内设备地址段59.43.0.0-59.43.47.255
集团网管地址段59.43.48.0-59.43.55.255
集团NOC地址段202.97.3.0-202.97.3.255
全网CE设备地址段115.168.128.0-115.168.253.255
?正常情况下,不允许其他地址登陆。
n路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接,这样可以防止所有远程登录VTY端口占用而无法对
设备进行管理,将此超时时间设置为5分钟。
n加强VTY用户密码管理,对VTY用户采用TACACS+集中认证技术,同时进行认证、授权、审计操作。
n考虑到采用TACACS+服务器对VTY用户帐号、权限进行统一管理,安全性相对较高,暂时关闭SSH 访问服务。
n紧急故障处理期间,允许外网设备通过L2TP(IPSEC) VPN拨号方式登陆到网管中心专用设备上,通过该设备进行跳转访问CE网络路由器,正常期间需关闭
L2TP VPN拨号访问的通道。
1.1.
2.2.SNMP访问控制
对SNMP访问进行控制,防止非法用户通过SNMP管理接口获取设备信息或对设备进行控制。
CE网络采取以下措施对SNMP访问进行控制:
n开启SNMP V2/v3 Agent的功能,提高安全性,并采用Auth&Priv安全模式,并采用MD5算法;
n开放网管系统需要的MIB View,对表变量(如路由表,转发表等)设置MIB View 限制网管系统访问。
n设置相应的访问控制列表只允许信任主机通过SNMP方式访问设备。
1.1.
2.
3.其他服务访问控制
关闭HTTP服务,防止非法用户通过设备提供的HTTP服务对设备进行访问控制。
关闭FTP服务,防止非法用户通过设备提供的FTP服务下载设备重要文件,维护时期如需上传软件,则临时开启FTP SERVER服务。
关闭路由器其他小端口服务如:ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)等,增强设备本身的安全性。
1.2. 设备系统日志
CE设备的系统日志包括告警日志及操作日志在设备本地和日志服务器上保存,其中日志服务器记录的级别为Warnings以上。
CE网络上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器,要求每
天对系统日志进行检查,及时发现异常及时处理,日志在日志服务器保留期限至少三个月。
1.3. 设备高可靠性措施
CE 路由器可靠性是网元接入可靠性的基础。路由器的关键部件,包括控制引擎、交换矩阵、电源、风扇等,大多采用热备份冗余设计,这是保证CE 网络可靠性的最基本要求。
在网络运营过程中,即使控制引擎采用了冗余备份技术,在主控引擎切换期间,由于相邻的网络设备会中断原有的连接关系,导致数据包无法继续转发,从而引起业务中断。于是,NSF-GR 联动、NSR 和ISSU 等技术陆续出现,这些技术在主控引擎倒换或软件升级期间,保持业务转发不受中断。
控制平面NSR/NSF/G 高性能、交ISSU 在线软件维护升级
出现硬件或者设备硬件冗余:主控单元、交换单元等
资源保护
R 高可靠性技术
换容量大
在线软件升级有计划解决软件BUG ,提高可靠性。
软件故障时,设备仍然能够
正常运行。
不间断服务
图表1.3-1设备网元可靠性模型
本期工程关于设备网元可靠性措施如下:
n 路由器主备引擎冗余配置:配置控制引擎之间的配置文件和动态数据同步,配置
控制引擎在故障情况下的无缝倒换。
n CE 网络路由器开启CPU 保护功能,防止非法流量对路由器引擎CPU 的攻击。
1.4. 设备负载均衡的方式
目前主流厂家设备的负载均衡,可以分为两种方式: n per packet 负载均衡方式 n per flow 负载均衡方式
对于per packet 方式,在转发时按照报文进入路由器的次序进行负载均衡,但容易乱序并造成TCP 转发速度慢。对于per flow 方式,设备实现中采用五元组Hash 的方式,这种方
式不会产生乱序。本期工程所采购的路由器缺省采用per flow负载均衡方式。
1.5. 其他特性
对阿朗设备,原则上内部端口配置为Network模式,外部端口配置为Access模式。
CE设备未使用端口,全部手动关闭,防止非法用户接入。
1.6. 配置需求
1.6.1.设备基本信息配置需求
设备基本配置需求如下:
n配置设备名称,要求符合资源命名规范要求。
n配置系统时间,要求采用标准北京时间;
n定义Router-ID,思科、华为设备配置为Loopback0地址,阿朗设备缺省使用system关键字作为Loopback端口;
n思科、华为设备配置VTY接口并发连接数为15,阿朗设备配置VTY接口并发连接数为7,空闲时间为5分钟;
n添加访问控制列表只允许指定的地址段通过TELNET访问设备;考虑到采用tacacs+服务器对用户帐号、权限进行统一管理,安全性相对较高,暂时关闭SSH 访问服务。
n配置路由器支持通过TACACS+认证和本地认证,本地认证优先。
n路由器本地配置用户名和管理组作为备份管理方式,需要配置全部读写权限和只读权限2个级别的管理组;
n关闭HTTP、FTP服务(缺省关闭),防止非法用户对设备进行控制。
n关闭其他小端口服务,增强设备本身的安全性。
n配置Console端口口令,防止非法用户对设备进行控制;
n配置系统的所有级别告警日志和操作日志,保存到本地,其中阿朗设备LOG-ID 为20;华为设备log缓冲区大小设置为1024。
n所有设备的系统日志要求预先设置发送至总部网管中心日志服务器,日志服务器
记录的级别为warnings以上。
n设备系统日志及其他信息显示时间为设备NTP时间。
1.6.
2.设备高可靠性配置需求
设备高可靠性配置需求:
n路由器主备引擎配置为自身支持的最优冗余保护方式,华为NSF模式、阿朗NSR 模式。
n配置路由器控制引擎之间的配置文件和动态数据同步。
n设备负载均衡采用Per-flow方式,如有可能,调整hash因子更好的支持MPLS 流量负载均衡。
n开启CPU保护功能,防止非法流量对路由器引擎CPU的攻击。
1.7. 配置模板
#系统配置:
#
sysname GD-GZ-JCX-CE-1.CDMA //设备名称,参考设备命名规范
#
router id 115.168.128.1
VTY接口访问控制
#
acl number 2999
rule 5 permit source 59.43.0.0 0.0.31.255 //CN2设备地址
rule 10 permit source 59.43.32.0 0.0.15.255 //CN2设备地址
rule 15 permit source 59.43.48.0 0.0.7.255 //网管地址
rule 20 permit source 202.97.3.0 0.0.0.255 //集团NOC地址
rule 25 permit source 115.168.128.0 0.0.127.255 //CE地址
# //与CN2设备认证服务器相同
hwtacacs-server template tacacs
hwtacacs-server authentication 59.43.53.20
hwtacacs-server authentication 59.43.49.13 secondary
hwtacacs-server authorization 59.43.53.20
hwtacacs-server authorization 59.43.49.13 secondary hwtacacs-server accounting 59.43.53.20
hwtacacs-server accounting 59.43.49.13 secondary hwtacacs-server source-ip 59.43.0.32
hwtacacs-server shared-key Cy1TaApORzJ0v
undo hwtacacs-server user-name domain-included #
aaa
local-user cdma-admin password xxxx
local-user cdma-admin service-type ftp telnet ssh local-user cdma-admin level 3
authentication-scheme default
authentication-mode local hwtacacs
#
authorization-scheme default
authorization-mode local hwtacacs
#
accounting-scheme default
accounting-mode hwtacacs
accounting start-fail online
accounting interim-fail max-times 3 online
#
domain default
hwtacacs-server tacacs
#
recording-scheme tacacs
recording-mode hwtacacs tacacs
#
cmd recording-scheme tacacs
#
#
user-interface maximum-vty 15
user-interface con 0
authentication-mode aaa // console接口密码
user-interface vty 0 14
acl 2999 inbound //应用访问控制列表authentication-mode aaa
idle-timeout 5 0 //空闲时间为5分钟
protocol inbound telnet //默认配置,关闭SSH
// FTP Server 默认关闭
SNMP访问控制
#
acl number 2000
rule 10 permit source 59.43.48.0 0.0.7.255 //网管地址段
#
snmp-agent
snmp-agent local-engineid 000007DB7F00000100000988 //设备自动产生
snmp-agent community write huawei acl 2000
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 59.43.53.99 udp-port 161 params securityname huawei v2c
snmp-agent trap source LoopBack0
snmp-agent mib-view included name String//Subtree name of MIB object
#
info-center source default channel 2 log level warning
info-center loghost source LoopBack0
info-center loghost x.x.x.x //待明确
info-center loghost x.x.x.x //待明确
info-center logbuffer size 1024 //设置log缓冲区大小为1024
#
ntp-service authentication enable //始能NTP认证
ntp-service authentication-keyid 1 authentication-mode md5 huawei
ntp-service authentication-keyid 2 authentication-mode md5 huawei1
ntp-service reliable authentication-keyid 1
ntp-service reliable authentication-keyid 2
ntp-service source-interface LoopBack0
ntp-service unicast-server 59.43.1.196 preference //成都S1
ntp-service unicast-server 59.43.0.248 //武汉S1
ntp-service unicast-server 59.43.1.80 //天津S1
#
undo ftp server //关闭FTP服务器
#
clock timezone BEIJING minus 08:00:00
#
// 关闭路由器其他小端口服务如:ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)等,增强设备本身的安全性。
acl number 3100
rule 5 permit tcp destination-port eq echo
rule 10 permit tcp destination-port eq CHARgen
rule 15 permit udp destination-port eq 19
rule 20 permit tcp destination-port eq finger
//适用于LPUG单板(policy4-10)
cpu-defend policy 4
blacklist acl 3100
slot 1
cpu-defend-policy 4
//适用于LPUF-20单板(policy14-20)cpu-defend policy 14
blacklist acl 3100
slot 2
cpu-defend-policy 14
2.端口配置要求
2.1. 配置需求
路由器端口MTU值配置要求如下:
n CE网络所有内部互连端口,不论类型、速率为何,IP MTU(MPLS MTU随IP MTU 调整)统一取定为:9178字节。
n与外部连接端口的MTU值需与对端设备协商保持一致,尽可能取大值。
各厂家设备的设备端口配置下MTU具体含义有所不同,具体见下表:
序号设备厂
商
设备类
型
端口类
型MTU值含义
支持Jumbo
包
缺省
值
建议
值
1 华为NE系列Ethernet IP MTU N/A 1500 9178
2 思科Ethernet IP MTU 1500 9178
2 阿朗SR7750 Ethernet IP MTU+
14 N/A 1514 9192
图表2.1-1 MTU规划表
备注:华为设备对接采用IP Trunk技术,IP Trunk MTU值也统一设置为9178。
GE端口的参数配置要求如下:
以下要求除非特别说明,否则对主端口和子端口均适用:
n配置正确、规范的描述。
n(仅主端口)MTU:取两侧能共同支持的最大值(CN2侧L3 Protocol MTU最大为9178字节)。
n(仅主端口)关闭GE端口自动协商。
n(仅主端口)打开端口的波动抑制功能:
?Cisco、华为用缺省参数值;
?Alcatel up holdtime设置为5s;down holdtime设置为0。
n(仅主端口)Cisco设备专有参数:
?互连端口的CCErier-Delay均设置为0。
?load-interval设为30。
?hold-queue 1500 in
n(仅子端口)配置dot1Q封装,且子端口编号(GEm/n.x中的x)应与
“encapsulation dot1Q VLANID”中的VLANID相同。
n关闭GE端口自动协商。
n配置ISIS时,GE端口配置类型为点对点。
n关闭存在安全风险的漏洞,如ICMP Redirect、Direct Broadcast、Proxy CEP等;
2.2. 配置模板
#
interface Loopback0 //设备loopback0端口配置
description Loopback for management
ip address loopback0_IPAddress 255.255.255.255
#
interface gigabitethernet interface-number
description To https://www.doczj.com/doc/7d7533550.html,2 GE/1
ip address ip-address ip-mask
mtu 9178 //CE上连PE、CE互联接口使用9178,与网元、163互联需要对端相同control-flap
undo shutdown
#
interface GigabitEthernet1/0/0.1000
vlan-type dot1q 1000
MTU 9178
isis enable 100
isis cost 50
isis circuit-type p2p //ISIS点对点模式
#
3.路由设计和转发实现方案及配置
3.1. 总体路由和转发策略
CE网络以城市为单位独立组网,提供C网网元的接入,根据每个城市的C网建设规模其物理拓扑可分为三种情况,相对应的路由组织如下图所示:
图表3.1-1 总体路由组织示意图
从网络业务拓展和维护管理等各方面综合考虑,为每个CE网络分配独立的私有AS号,AS号资源由集团公司统一分配。
CE网络域内IGP协议采用ISIS路由协议,ISIS路由采用扁平化结构设计,域内所有CE路由器共同组成Level2区域,ISIS路由协议仅承载CE设备Loopback地址和内部互联地址。
CE网络内部所有中继链路互联端口均启用MPLS LDP标签分发协议。
CE网络作为MPLS VPN网络,部署MP-BGP,采用MP-BGP 协议分发VPNv4 路由,考虑到MP-BGP的方便部署和维护,每个CE网络选取两台CE做为VRR,两台VRR属于同一个反射簇。
CE网络部署BGP协议用于转发IPv4流量,每个CE网络使用VRR做为RR。
3.2. IGP路由策略及规划
CE网络域内IGP协议采用ISIS路由协议,ISIS路由采用扁平化结构设计,域内所有CE 路由器共同组成Level2区域,ISIS路由协议仅承载CE设备Loopback地址和内部互联地址。
NET采用如下格式:
采用86.4809.XXXX.IP地址.00格式,其中:“86.4809”表示中国国家码和CN2网络的AS号,XXXX区分不同AREA,采用核心CE所在城市的电话区号(十进制格式,不足4位的首位补0,如广州为0020)。
System-ID:
采用Loopback地址,用十进制格式,每字节用3个十进制位表示,不足3位的空位补0。例如:Loopback地址为115.168.32.1,则System ID为:1151.6803.2001。
NET编址实例:
86.4809.0020.1151.6803.2001.00,表示广州CE网络中Loopback地址为115.168.32.1的路由器。
ISIS Metric规划
根据CE网络接入模型,Metric值设计遵循以下原则:
1.ISIS Metric值规划考虑扩展性和可管理性。
2.链路两端ISIS Metric值设置一致。
3.同一局点内CE流量不经过任何其它局点CE。
满足上述原则的一组Metric值如下:
链路Metric值
同一局点内CE之间的链路50
同城不同局点CE间链路500
核心地市与汇接地市CE之间的链路1000
图表3.2-1 ISIS Metric值
3.3. MP-BGP路由方案
CE网络作为MPLS VPN网络,不需要配置IPv4 BGP协议,只部署MP-BGP,采用MP-BGP 协议分发VPNv4 路由,考虑到MP-BGP的方便部署和维护,每个CE网络选取两台CE做为VRR,两台VRR属于同一个反射簇。
n对于仅有两台CE的普通地市组网情况,不需要配置VRR。
n对于省会城市组网情况,每个局址选取一台CE做为VRR。
n对于大城域网组网情况,选取核心地市两台CE做为VRR。
两台CE之间建立MP-IBGP邻居关系,其它CE做为客户端与两台VRR建立MP-IBGP 邻居关系。
两台VRR的cluster-id为0.0.0.10。
3.4. 配置需求
3.4.1.修改路由优先级配置
考虑到CE网络未来的扩展性,需要对路由协议的优先级进行统一规划,如缺省值不同于下表值,则将路由器路由协议的优先级/管理距离统一修改为下表值:
Route type Route Preference/AD
Direct attached 0*
Static routes 1或5**
EBGP 10
IS-IS level 2 internal 21***
IS-IS level 1 internal 20
IS-IS level 2 external 26
IS-IS level 1 external 25
OSPF internal 30
OSPF external 35
RIP 50
IBGP & Local BGP Routes 170
手工汇总路由100****
图表3.4-1 路由优先级
注:
*:一般不可更改。
**:之所以没有统一,是因为:
l缺省值:Cisco 1;Alcatel 5;华为60
l Cisco和Alcatel均无法用一条命令修改所有静态路由的缺省优先级(只能逐条修改每条静态路由),华为可以修改。
按上述调整,1或5对路由选择都不会产生实质性的影响,故除华为设备需要将静态路由的缺省优先级修改为1外,其他厂家设备保持缺省值即可。
***:因Cisco路由器不区分IS-IS L1/L2、Internal/External路由的优先级/管理距离,故只能将其IS-IS路由管理距离/优先级统一设为20;华为路由器难以区分IS-IS Internal/External路由的优先级/管理距离,故只区分为L1和L2路由,分别取优先级20和21。