资源描述
广东移动IP城域网SR业务配置规范
上海贝尔7750分册-试行稿(V1.1)
中国移动通信集团广东有限公司
2010年10月
编制说明
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规范。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对阿尔卡特7750设备制定相关业务配置规范。
版本变更记录
日期
版本
说明
作者
2009.9.28
最初版本
珠海分公司李万鹏
2010.1.18
1.0
修改固定IP专线业务配置,增加业务常用检查命令
珠海分公司罗宇文
2010.11.8
1.1
经一年试行,全省讨论,修改固定IP专线业务配置,修改VPLS业务配置,增加跨域VPN业务配置
佛山公司 潘晓伟 珠海公司 罗宇文
目 录
1. 概述 5
1.1 目标网络结构 5
1.2 配置原则 6
1.3 说明 7
2. 基本业务介绍及配置 7
2.1 固定IP专线业务概述 7
2.2固定IP专线业务配置 7
2.3VPN业务概述 15
2.3 VPN业务配置 15
2.3.1 MPLS-VPN配置方式接入 15
2.3.2 VPLS配置方式接入 19
2.3.3 跨域VPN配置方式接入 25
3. 常用检查命令 33
3.1 IES 业务 33
3.2 vprn 业务 33
3.3 vpls 业务 33
1. 概述
1.1 目标网络结构
IP城域网的定位:
1、网络定位:IP城域网是位于用户驻地网和CMnet网之间的网络,既要满足用户的需求也需要适应企业未来的发展。IP城域网与城域传送网共同构成了我公司城域综合业务承载平台。
2、业务定位:
(1)为公司内部业务应用系统 (营业厅、OA、BOSS等)提供接入以及实现自有机楼数据互连等。
(2) 为用户提供互联网接入、VPN接入、集团增值业务接入等。
城域网现状结构图(一二类公司):
城域网现状结构图(三类公司):
在上图中,将IP城域网划分成四个层次:骨干层、核心汇聚层、区域汇聚层和接入层。
Ø 骨干层实现城域网与CMnet的连接,完成高速数据转发,并充当MPLS VPN的P设备。
Ø 在核心汇聚层选择两个节点充当跨域MPLS VPN业务互通的ASBR(跨域边界路由器),并与CMNET的汇聚路由器CR直接连接。
Ø BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备,并充当MPLS VPN的PE设备,还支持组播复制功能等。
Ø 区域汇聚层完成接入层接入到城域网,一般只起二层功能。
Ø 接入层负责用户接入,采用二层网络。
Ø 按照目前规划的设计,WLAN在AC上认证,不接入BRAS。
1.2 配置原则
配置总体原则
为保证配置的规范性和统一性,以减少维护工作的难度和工作量,设备配置过程中应遵循一下基本原则:
l 配置语法、语义必须正确无误,保证网络能够正常运行,各种管理接口能够正常通信;
l 能够统一的策略和参数必须统一;
l 配置应尽量简洁,无用的配置命令不应出现在配置文件中,用于试验的配置应及时删除;
l 配置应具有一定的扩展性,方便未来修改和扩展(如ACL的序号安排);
l 配置应保证较好的可读性,尽量通过description参数对重要命令进行注解;
l 汇聚层及其以上设备AAA认证必须采用集中服务器认证;
l PPPOE用户的命名要符合命名规范;
l PPPOE初始密码要符合密码规范;
l QoS的配置必须规范;
1.3 说明
l 本文档灰底字体表示需注意或表示一定要统一配置的内容
l 本文档将7750为示例,当7750兼做CR时需同时满足CR的局数据要求。
l 为简便起见,如果7750SR与7750CR要求相同时,在本文档中将不再重复。
2. 基本业务介绍及配置
2.1 固定IP专线业务概述
2.2固定IP专线业务配置
n 配置内容:
ü 物理接口配置用户网关
n 规范要求:
ü 配置网关地址要求地址掩码精确
ü 与大客户可以采用静态路由和BGP协议进行互联
n 配置示例1
配置实例资源分配如下:
业务类型
单层vlan (dot1q)
双层vlan (qinq)
不带子接口
端口
GE 1/0/8
GE 1/0/9
GE 1/0/10
带宽
1000M
1000M
1000M
IES
10000101
10000102
10000103
Vlan
vlan 2003
vlan 80.10
无
IP地址
120.196.18.1/30
120.196.19.1/30
120.196.20.1/30
客户名称
全宝电子
格力电器
远光软件
一、业务配置
configure port 1/1/9 ethernet mode access //配置1/1/9 为业务端口
configure port 1/1/9 ethernet no autonegotiate //取消自协商
configure port 1/1/9 ethernet speed 1000 //速率
configure port 1/1/9 ethernet duplex full //双工模式
configure port 1/1/9 ethernet encap-type dot1q//配置1/1/9为单层vlan模式
configure port 1/1/9 no shutdown //激活1/1/9 端口
configure port 1/1/8 ethernet mode access//配置1/1/8 为业务端口
configure port 1/1/8 ethernet encap-type qinq//配置1/1/8为双层vlan模式
configure port 1/1/8 ethernet speed 1000 //速率
configure port 1/1/8 no shutdown //激活1/1/8 端口
configure port 1/1/10 ethernet mode access//配置1/1/10 为业务端口
configure port 1/1/10 ethernet speed 1000 //速率
configure port 1/1/10 no shutdown//激活1/1/10 端口
configure service
ies 10000101 customer 1000 create // IES id分配原则:非多客户共用网关下,一个客户一个IES,业务id为全局唯一 ID参照附录表--其它IES业务(按需使用),根据业务情况顺延
description " O-INTER-ZH-QuanBaoDianZi "
interface "ge-1/1/9:2003" create //配置三层逻辑接口,全局唯一
description "O-INTER-ZH-QuanBaoDianZi" //具体用户名见命名规范
address 120.196.18.1/30 //配置客户的网关
sap 1/1/9:2003 create //配置客户user1的业务接入口,单层vlan模式
exit
exit
configure service
ies 10000102 customer 1000 create
description " O-INTER-ZH-GeLiDianQi "
interface "ge-1/1/8:80.10" create //配置三层逻辑接口,全局唯一
description "O-INTER-ZH-GeLiDianQi"
urpf-check //逆向路径检查,防攻击
address 120.196.19.1/30 //配置客户格力电器的网关
sap 1/1/8:80.10 create //配置客户格力电器的业务接入口,双层vlan模式
ingress
filter ip 3000 //防病毒列表
exit
exit
exit
configure service
ies 10000103 customer 1000 create
description " O-INTER-ZH-YuanGuangRuanJian "
interface "ge-1/1/10" create //配置三层逻辑接口,全局唯一
description " O-INTER-ZH-YuanGuangRuanJian "
address 120.196.20.1 //配置客户远光软件的网关
sap 1/1/10 create //配置客户远光软件的业务接入口,非子接口模式
ingress
filter ip 3000
exit
exit
exit
二、业务路由发布
A:GDZH-MS-IPMAN-TXZX-SR02-7750>config>router>policy-options#
prefix-list "Direct_Route"
prefix 120.196.18.1/30 exact
prefix 120.196.19.1/30 exact
prefix 120.196.20.1/30 exact
exit
n 示例2:
7750SR通过IES实现super vlan功能配置,该功能即多个vlan共享一个网关,以达到节省IP地址的目的。
配置实例资源分配如下:
客户名称
全宝电子
格力电器
远光软件
端口
GE 1/0/9
GE 1/0/9
GE 1/0/10
IES
10000101
10000101
10000101
Vlan
vlan 2003
vlan 2004.100
vlan2005
IP地址
218.204.223.2
218.204.223.4
218.204.223.5
网关
218.204.223.1
218.204.223.1
218.204.223.1
configure port 1/1/9 ethernet mode access
configure port 1/1/9 ethernet encap-type dot1q
configure port 1/1/9 no shutdown
configure port 1/1/10 ethernet mode access
configure port 1/1/10 ethernet encap-type dot1q
configure port 1/1/10 no shutdown
configure service
ies 10000101 customer 1000 create // IES id 分配原则:共用网关使用相同IES,IES id为全局唯一,ID参照附录表--其它IES业务(按需使用),根据业务情况顺延
description "O-INTER-ZH-PUBLIC-GW-10000103 " //10000103为ies id号
subscriber-interface "public-gw-1" create //从1开始以此类推,全局唯一
address 218.204.223.1/24 //设置共用网关,IP地址段1
address 218.204.224.1/24 //设置共用网关,IP地址段2
group-interface “ge-1/1/9-group1" create // 从group1开始,以此类推,配置,group-interface “ge-1/1/9-group1",全局唯一。另外相同group-interface的sap物理端口必须为同一个,例如此例中group-interface “GE1/1/9”中配置sap都为1/1/9接口下带的业务
no local-proxy-arp //不启用本地arp代理
sap 1/1/9:2003.0 create //配置1/1/9物理端口下带的vlan2003业务
description " O-INTER-ZH-QuanBaoDianZi "
anti-spoof ip //必须配置源地抵制校验
static-host ip 218.204.223.2 create //必须配置客户ip地址,需要将每一个1/1/9:2003接口下带的用户ip都配置上去
no shutdown //一定要激活该用户
static-host ip 218.204.223.3 create //本例为给该用户分配2个IP地址
no shutdown
exit
exit
sap 1/1/9:2004.100 create //配置1/1/9物理端口下带的qinq vlan2004.100业务
description "O-INTER-ZH-GeLiDianQi"
anti-spoof ip
static-ip 218.204.223.4
no shutdown
exit
exit
group-interface “ge-1/1/10-group1" create
no local-proxy-arp //不启用本地arp代理
sap 1/1/10:2005 create
description " O-INTER-ZH-YuanGuangRuanJian "
anti-spoof ip //必须配置源地抵制校验
static-host ip 218.204.223.5 create
no shutdown//一定要激活该用户
exit
exit
该功能可以用来终结来自不同vlan的用户,该功能的sap下必须启用anti-spoof功能,并配置该static-host命令以邦定该端口vlan下的用户ip地址。
n 示例3:
VRRP配置
业务开通原则:
VRRP数据流需经过交换机(即SR1—SW—SR2,绿色部分),SW—SR传输采用光纤直连,VRRP的保护效果才能得到更好体现。不建议VRRP的数据流经过OLT(即SR1—SW1—OLT—SW2—SR2,红色部分),如OLT网管的VRRP方式,如下图所示:
如图,二台SR通过二层交换机接入用户,二台7750启用VRRP作为冗余接入,缺省用户网关在SR1上,当SR1发生故障则网关倒换到SR2上,如果VRRP的客户使用两台交换机和分别和两台SR互联,这两台用户交换机之间级联或堆叠,相关配置参考如下
客户名称
通信中心SR2
综合楼SR2
端口
GE 1/1/1
GE 1/1/1
虚拟网关
218.204.223.1/24
IP
218.204.223.2/24
218.204.223.3/24
Vlan
vlan 2001
vlan 2001
虚拟网关
218.204.223.1
218.204.223.1
IES
10000104
10000104
SR1的配置
configure 1/1/1 ethernet mode access //配置1/1/1为业务端口
configure 1/1/1 no shutdown //激活1/1/1端口
SR1>config service
ies 10000104 customer 1000 create // IES id分配原则:非多客户共用网关下,一个客户一个IES,业务id为全局唯一 ID参照附录表--其它IES业务(按需使用),根据业务情况顺延
interface "ge-1/1/1:2001" create //配置三层逻辑接口名,全局唯一
address 218.204.223.2/24 //配置SR1的真实网关地址
vrrp 2001 //配置vrid,vlan号一致,全局唯一,且需要和SR2一致
backup 218.204.223.1 //配置虚拟网关
priority 110 //配置vrrp的优先级,默认为100,优先级越大越高
policy 1 //配置vrrp 优先级改变策略,可选配置
ping-reply //配置使用浮动地址相应客户的ping request
traceroute-reply //配置使用浮动地址响应客户的traceroute
exit
sap 1/1/1:2001 create //配置SR1 使用1/1/1接入业务
exit
exit
SR1>config vrrp //可选配置
policy 1 //配置vrrp 优先级策略 1
priority-event //配置优先级改变事件
port-down 1/1/2 //配置监视端口为1/1/2
priority 20 delta //配置在1/1/2发生down事件时,SR1的VRRP优先级自动减20
exit
exit
exit
SR2的配置
假定1/1/2为SR2的上联端口,以下参数定义,请参考上例
configure 1/1/1 ethernet mode access
configure 1/1/1 no shutdown
SR2>config service
ies 10000104 customer 1000 create
interface "ge-1/1/1:2001" create //配置三层逻辑接口名,全局唯一
address 218.204.223.3/24 //配置SR2的真实网关地址
vrrp 2001
backup 218.204.223.1
policy 1 //配置vrrp 优先级改变策略,可选配置
ping-reply
traceroute-reply
exit
sap 1/1/1:2001 create //配置SR2 使用1/1/1接入业务
exit
exit
SR2>config>vrrp# info
policy 1
priority-event
port-down 1/1/2
priority 20 delta//配置在1/1/2发生down事件时,SR1的VRRP优先级自动减20
exit
exit
exit
2.3VPN业务概述
VPN是利用公众网资源为客户构成专用网的一种业务。通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别。它是一种逻辑上的专用网络,它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。
企业用VPN通过公众网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并且提供了安全的端到端的数据通讯。企业不用专门租线自己组网,从而减轻了远程访问和租线的费用负担,节省设备、人员和管理所需的投资。VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的安全 、灵活、高效结合在一起。
2.3 VPN业务配置
根据VPN实现层次的不同主要分为网络层VPN方式接入、二层VPN方式接入
2.3.1 MPLS-VPN配置方式接入
n 配置内容:配置MPLS-VPN接入;
n 规范要求:
RD、RT等相关资源的使用符合《广东移动IP城域网网络资源分配规范》
n 配置示例
MPLS/VPN的建立应该是在CR与BR路由之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通。
在确认以上信息后,开始VPN的配置,步骤如下:
vpn接入业务接入端口――service SAP 必须的access类型
配置VPRN
SR1 配置如下:
步骤一:配置MP-BGP(参考局数据规范)
configure router mpls //进入mpls配置模式
//在mpls模式下加入system三层逻辑接口,和SR1上联到CR的三层逻辑接口
interface "system" //system三层逻辑逻辑接口
exit
interface "GE-" //pe1-p为SR1上联到CR的三层逻辑接口
exit
no shutdown //开启mpls
exit
步骤二:配置ldp协议(参考局数据规范)
configure router ldp //进入ldp协议配置模式
interface-parameters //进入三层接口配置模式
interface "pe1-p" //pe1-p为SR1上联到CR的三层逻辑接口,在该端口开启ldp协议
exit
exit
步骤三:配置mp-bgp协议(参考局数据规范)
configure router bgp //进入bgp配置模式
family ipv4 vpn-ipv4 //配置vpn-ipv4参数,标志bgp具有mp-bgp协议能力,配置ipv4,则表示bgp是普通bgp,如果sr需要配置三层vpn,则必须配置vpn-ipv4参数。
group "vpn" //配置一个vpn的bgp 组,相同组的bgp peer具有相同的参数,如用户建立bgp session的本地地址等。
type internal //设置该bgp为ibgp
local-address 10.1.1.1 //设置用于建立bgp session本地地址,ibgp一般使用system地址
neighbor 10.1.1.2 //配置对方用于建立bgp session的地址
exit
exit
步骤四:配置vprn业务使用的vrf策略模版,此模版创建后,可以供所有vprn业务引用
config router policy-options //进入策略配置模式
begin //在配置策略前,要开启配置开关begin
community GDZH_CMCC_OLT_WangGuan members "target: 65280:7400000"//配置community GDZH_CMCC_OLT_WangGuan,该community含一个rt为:target: 65280:7400000,本例为移动内部用户,名称原则为:GD地市_客户公司_业务,内部为CMCC,外部客户如工商银行则为GDZH_GSYH,在同一个域下,客户名称一致,vprn号一致,RT号参考资源规范
policy-statement " GDZH_CMCC_OLT_WangGuan_export“ //参考业务ID,名称原则为:业务-export ,配置一个策略名GDZH_CMCC_OLT_WangGuan_export,从名字意义上讲,这是一个发布策略。以下配置的是一个将所有业务直连路由发布到mp-bgp中,同时加上GDZH_CMCC_OLT_WangGuan_export community
entry 10
from
protocol direct
exit
to
protocol bgp-vpn
exit
action accept
community add " GDZH_CMCC_OLT_WangGuan "
exit
exit
policy-statement " GDZH_CMCC_OLT_WangGuan_import "
//配置一个策略名GDZH_CMCC_OLT_WangGuan_import,从名字意义上讲,这是一个导入策略。以下配置的是一个将所有含用community GDZH_CMCC_OLT_WangGuan_import mp-bgp路由导入到业务中
entry 10
from
protocol bgp-vpn
community " GDZH_CMCC_OLT_WangGuan"
exit
action accept
exit
exit
commit //在完成策略修改后,commit确认修改
步骤五:配置三层vpn业务
SR1>config>service#
customer 2000 create // VPN配置必须要与一个Customer绑定, 参考资源规范。
description "VPRN customer"
exit
vprn 20000000 customer 2000 create //创建一个业务id为20000000的vprn业务,和customer 2000绑定。业务id必须为全局唯一。后继vprn号顺延, 参考资源规范
vrf-import " GDZH_CMCC_OLT_WangGuan_import" //引用vrf-import策略
vrf-export " GDZH_CMCC_OLT_WangGuan_export" //引用vrf-export策略
route-distinguisher 65280:74000 //配置RD
auto-bind ldp //自动绑定ldp建立的lsp通道
interface "ge-1/1/4:1000.100" create //创建toce1的三层逻辑接口名,在该vprn业务中,这个名称为唯一。
address 11.1.0.1/24 //配置该业务接入客户的网关
sap 1/1/4:1000.100 create //如1/1/4为qinq封装
exit
no shutdown //激活该业务
exit
SR2 配置参照PE1配置
2.3.2 VPLS配置方式接入
(晓伟完善,1、同一个OLT下带同一个客户,通过OLT进行交互数据,2、通过SR交互数据的,在同一个OLT下面客户的不同分支节点,需要重新分配外层vlan,从vlan3500-3999开始)
n 配置内容:配置VPLS-VPN接入;
n 规范要求:
移动MPLS VPN业务规划请参看《IP城域网一期总体集成方案》
另外7750只支持martini vpls(原则:martini vpls方式)
n 配置示例1
VPLS的建立应该是在PE与PE之间已经确认建立好相应的IGP以及LDP等协议,并且可以达到互通,如下组网,三台7750作PE,构通VPLS网络,使同一VPLS下的用户能实现二层互通, PE1、PE2和PE3配置如下:
//vpn接入业务接入端口――service SAP 必须为access类型
.
PE1的配置:
步骤一:配置mpls协议,可以参考三层vpn的配置
步骤二:配置ldp协议,可以参考三层vpn的配置
步骤三:配置二层vpn业务vpls
步骤四:配置业务通道,即sdp
configure service//进入业务配置模式
sdp 1002 mpls create //配置一个 mpls sdp,sdp id为1002,此id为全局唯一。SDP号为1000+” far-end地址最后一个扩展成三位”,下同
far-end 10.1.1.2 //PE2的system接口地址
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
