中國移動TD_PS_BG接入方案.doc

td ps bg接入方案v1.2007-7目 錄1概述32業(yè)務和ps域系統(tǒng)對承載的需求32.1業(yè)務需求32.2td ps與cmnet網間互聯(lián)拓撲結構32.3方案說明42.3.1網間互聯(lián)流量的對稱性和冗余實現(xiàn)42.3.2北京或廣州站點內流量的對稱性和冗余實現(xiàn)42.3.3防火墻的配置說明5ha配置7端口配置8靜態(tài)路由配置8ospf配置9安全策略配置93bg接入方案異常場景保護機制103.1北京站點故障103.2北京站點內bg和主用fw鏈路故障103.3主用防火墻故障113.4主用防火墻與ar間鏈路故障114實施建議124.1北京站點124.2廣州站點124.3其他121 概述本方案規(guī)定了td核心網分組域設備bg路由器接入cmnet及ip承載網方案。 2 業(yè)務和ps域系統(tǒng)對承載的需求2.1 業(yè)務需求td ps全網通過在北京、廣州的td ps域出口，經過防火墻與cmnet在北京、廣州新設的兩臺兩臺bg（北京、廣州各一臺）接入cmnet及其它運營商td網絡路由器相連，通過cmnet實現(xiàn)到移動gprs網絡的互通。兩臺bg處于熱主備工作，由于流量流經防火墻，必須保證流量的對稱，因此采用bgp路由協(xié)議的屬性實現(xiàn)流量對稱和冗余，網絡正常狀態(tài)下通過路由優(yōu)選北京bg作為出口bg，由承載網。此外，在北京和廣州，路由規(guī)劃實現(xiàn)。每臺bg具有冗余鏈路分別連接當地的兩臺ar，冗余保證bg接入的可靠性。2.2 td ps與cmnet網間互聯(lián)組網拓撲結構bg接入的組網拓撲結構如下圖所示（北京、廣州沒有區(qū)別）：中國移動bg通過兩條ge接口連接cmnet ar，保證到cmnet的鏈路冗余可靠，igp為isis，與cmnet位于同一個as內，as號碼9808；新設的cmnet bg路由器采用共出兩條ge鏈路連接到gp口一對防火墻，gp口防火墻和ip承載網ar通過ge接口口字形連接，如上圖所示拓撲結構。注意兩臺防火墻之間的連線用于會話同步，不起任何路由協(xié)議，不進行流量轉發(fā)。防火墻和bg的所有接口開啟動態(tài)路由協(xié)議，通過路由優(yōu)選一臺防火墻主用，另一臺防火墻處于熱備份狀態(tài)。2.3 方案說明2.4 網間互聯(lián)流量的對稱性和冗余實現(xiàn)2.5 td ps域作為ip承載網的一個vpn，需要在北京、廣州通過兩臺bg路由器實現(xiàn)與cmnet網絡的聯(lián)通，鑒于北京、廣州的網間互聯(lián)點都有防火墻，因此需要確保bgp流量的對稱性，在對稱的基礎上實現(xiàn)流量的冗余?？傮w要求為：采用北京bg作為流量進出的主用節(jié)點，廣州bg作為備用節(jié)點，通過as-path和local prefer來實現(xiàn)。2.6 具體實現(xiàn)策略如下：2.7 針對北京ar1將9808增加1個，針對北京ar2將9808增加2個；針對廣州ar1將9808增加3個，針對廣州ar2將9808增加4個，另外對北京bgfw2ar2之間的ospf 鏈路metric設為高于bgfw1ar1之間的ospf 鏈路，對廣州bgfw2ar2之間的ospf 鏈路metric設為高于bgfw1ar1之間的ospf 鏈路；在cmnet廣州bg路由器上向cmnet內部宣告中國移動td ps網絡時，將路由的本地優(yōu)先屬性設為90，低于北京的缺省值100。這樣配置網絡的效果如下：所有進出流量對稱；第一優(yōu)選鏈路：北京bg-fw1-ar1； 第二優(yōu)選鏈路：北京bg-fw2-ar2；第三優(yōu)選鏈路：廣州bg-fw1-ar1；第四優(yōu)選鏈路：北京bg-fw2-ar2；2.82.92.9.1 北京或廣州站點內流量的對稱性和冗余實現(xiàn)以北京站點為例。cmnet bg路由器經過防火墻與ip承載網的ar建立ebgp multihop連接，bg相當于中國移動td ps域vpn的一臺ce；雙方路由通過ebgp multihop互通，實現(xiàn)兩個網絡的ip可達。防火墻和bg、ar的所有接口開啟ospf動態(tài)路由協(xié)議，ospf協(xié)議僅用于實現(xiàn)ar-fw-bg之間的接口地址可達，bg分別與ar1和ar2建立兩條ebgp multihop session，通過設定路由metric優(yōu)選其中一個session作為主用，另一個ebgp multihop session處于熱備份狀態(tài)。由于采用兩條bgp連接，主用為active，備用為inactive，當主用鏈路故障，備用鏈路激活過程中無需tcp重建、無需bgp連接重建、無需雙方路由重新發(fā)布，因此流量切換時間較快。為了保障在一個站點內的流量對稱性，bg針對ar1通告的as-path將9808增加1個，針對ar2通告的as-path將9808增加2個，然后再設備從bg到ar2的ospf link metric高于bg到ar1的ospf link；當主用路徑故障時，原metric 高的ebgp multihop session啟用，同時ip承載網中原as-path更長的那臺路由器也被激活，流量經一定的bgp收斂時間后切換到備用鏈路。由于防火墻處于ebgp multihop session的中間一跳，對到達cmnet或td ps vpn的路由無法感知，因此需要配置到td ps vpn的靜態(tài)路由，下一跳指向ar的接口地址；同時針對去往cmnet方向的流量配置一條缺省路由，下一跳指向bg的接口地址，以實現(xiàn)流量的正常轉發(fā)。另一個需要說明的問題：北京兩臺alcatel ar路由器，同時還接有本地td ps域的ce，alcatel路由器不支持本地同一個vpn起兩個ospf進程，因此導致北京bg1通過ospf和ebgp收到兩份td ps vpn路由，而且缺省狀態(tài)下ospf路由優(yōu)先級高于ebgp，因此會導致bg不將ebgp學到的路由通告到cmnet，解決的方法為在bg1上將ospf的優(yōu)先級進行調整，從150調整至200。2.9.2 防火墻的配置說明2.9.2.1 實施方案說明全網通過兩臺bg（北京、廣州各一臺）接入cmnet及其它運營商td網絡，通過cmnet實現(xiàn)到移動gprs網絡的互通。兩臺bg處于熱主備工作，通過路由優(yōu)選北京bg作為出口bg，由承載網路由規(guī)劃實現(xiàn)。每臺bg具有鏈路冗余保證bg接入的可靠性。2.9.2.2 組網拓撲結構bg接入的組網拓撲結構如下圖所示（北京、廣州沒有區(qū)別）：中國移動bg通過兩條ge接口連接cmnet ar，保證到cmnet的鏈路冗余可靠；移動bg共出兩條ge鏈路到gp口一對防火墻，gp口防火墻和ip承載網ar通過ge接口口字形連接，如上圖所示拓撲結構。防火墻和bg的所有接口開啟動態(tài)路由協(xié)議，通過路由優(yōu)選一臺防火墻主用，另一臺防火墻處于熱備份狀態(tài)。2.9.2.3 防火墻實施步驟啟用ospf路由協(xié)議實現(xiàn)網絡故障動態(tài)收斂，兩防火墻間通過nsrp心跳線相連，用于同步防火墻間session表同步，通過設定metric值實現(xiàn)網絡流量熱主備工作，并保證優(yōu)選一臺防火墻同時出入流量經過同一臺防火墻。防火墻作如下配置：兩防火墻間通過心跳線連接（接口置于ha zone并啟用nsrp），刪除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，啟用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，實現(xiàn)非vsi環(huán)境下session信息在兩防火墻間的同步。配置兩防火墻策略，使之始終保持一致。在正常情況下兩防火墻各自處理進出的網絡流量（由于做了路由優(yōu)選策略，只有一臺防火墻上有流量，另一臺處于熱備份狀態(tài)），并互相同步彼此建立的session表，當網絡出現(xiàn)故障時（路由器、防火墻或連接線纜），通過ospf動態(tài)路由協(xié)議進行收斂和路徑切換，由于兩防火墻間session信息始終保持一致，即使應用流量從一側進來，因路徑切換而從另一側返回時，另一個防火墻也能正確地進行狀態(tài)檢查和流量轉發(fā)，保證應用的session不會發(fā)生中斷。2.9.2.4 實施步驟2.9.2.4.1 準備1 光纖4對（lclc）2 備份核心路由器的配置和ios3 上線工具一套2.9.2.4.2 涉及人員移動公司：中興通訊公司2.9.2.4.3 防火墻接口連接圖ssg550-a的接口配置如下：本地接口對端設備對端接口區(qū)域eth0/0移動bgtrusteth0/1ar1untrusteth0/2mgteth0/3ssg550-beth0/3hassg550-b的接口配置如下：本地接口對端設備對端接口區(qū)域eth0/0移動bgtrusteth0/1ar2untrusteth0/2mgteth0/3ssg550-aeth0/3ha2.9.2.4.4 防火墻的配置步驟ha配置set nsrp cluster id 1/創(chuàng)建nsrp群組set nsrp rto-mirror sync/啟用rto對象同步set nsrp rto-mirror session ageout-ack/ specifies a time value based on which the backup device sends an ack message to the primary device to refresh its sessions or time them out. the session age-out value of a backup device is eight times that of the primary device.set nsrp rto-mirror session non-vsi/ enables the synchronization of non-vsi sessionsunset nsrp vsd-group id 0/刪除默認的vsd組0set nsrp monitor interface ethernet0/0/設置監(jiān)控端口set nsrp monitor interface ethernet0/1/設置監(jiān)控端口unset nsrp config sync/強制防火墻雙機不能同步配置端口配置set interface ethernet0/0 zone trust/將端口0/0放進trust區(qū)set interface ethernet0/1 zone untrust/將端口0/1放進untrust區(qū)set interface ethernet0/2 zone mgt/將端口0/2放進mgt區(qū)set interface ethernet0/3 zone ha/將端口0/3放進ha區(qū)set interface ethernet0/0 ip 30.0.1.2/24/給端口0/0配置ipset interface ethernet0/0 route/配置端口為路由模式set interface ethernet0/1 ip 30.0.3.1/24/給端口0/1配置ipset interface ethernet0/1 route/配置端口為路由模式set interface ethernet0/2 ip 172.16.1.12/24/給端口0/2配置ipset interface ethernet0/2 route/配置端口為路由模式靜態(tài)路由配置set route 10.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 20.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 70.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 80.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 90.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 100.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 1.0.1.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.2.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.3.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.4.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.5.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.6.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.7.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.8.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.9.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.10.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.11.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.12.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.13.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.14.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.15.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.16.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.17.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.18.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.19.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.20.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.21.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.22.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.23.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.24.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.25.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.26.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.27.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.28.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.29.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.30.0/24 interface ethernet0/0 gateway 30.0.1.1set route 0.0.0.0/0 interface ethernet0/1 gateway 30.0.3.2ospf配置set vrouter trust-vr/設置trust-vrunset auto-route-export/強制不公告默認路由set protocol ospfset enable/啟用ospfexitset interface ethernet0/0 protocol ospf area 0.0.0.0/設置端口0/0啟用area 0set interface ethernet0/0 protocol ospf enable/設置端口0/0啟用ospfset interface ethernet0/0 protocol ospf cost 1/設置端口0/0啟用cost值為1set interface ethernet0/1 protocol ospf area 0.0.0.0/設置端口0/1啟用area 0set interface ethernet0/1 protocol ospf enable/設置端口0/1啟用ospfset interface ethernet0/1 protocol ospf cost 1/設置端口0/1啟用cost值為1安全策略配置set zone untrust screen tear-drop/在untrust區(qū)啟用tear-drop攻擊保護set zone untrust screen syn-flood/在untrust區(qū)啟用syn-flood攻擊保護set zone untrust screen ping-death/在untrust區(qū)啟用ping-death攻擊保護set zone untrust screen ip-filter-src/在untrust區(qū)啟用基于源路由的攻擊保護set zone untrust screen land/在untrust區(qū)啟用land攻擊保護set policy id 1 from trust to untrust any any any permit log/設置從trust區(qū)到untrust區(qū)的源地址.目的地址及服務為any的策略set policy id 2 from untrust to trust any any any permit log/設置從trust區(qū)到untrust區(qū)的源地址.目的地址及服務為any的策略眾所周知，狀態(tài)檢測防火墻依據策略來決定會話的建立，一旦策略匹配且應用連接建立后，防火墻將根據會話的具體信息建立相應的session（會話條目），并通過session來匹配該連接的后續(xù)數據報，只有匹配某session的數據包才能夠通過數據流狀態(tài)的檢查。通常來講，進入某防火墻的數據流，其返回數據包也必須流經該防火墻。如果當網絡出現(xiàn)故障或不對稱路由（進出流量經過不同路徑）時，netscreen防火墻是否能保證已建的session不中斷，保證業(yè)務不間斷運行呢？經過測試驗證，netscreen防火墻支持兩獨立防火墻間的session同步和不對稱路由環(huán)境下的流量正常轉發(fā)。解決方案：啟用ospf路由協(xié)議實現(xiàn)網絡故障動態(tài)收斂，兩防火墻間通過nsrp心跳線相連，用于同步防火墻間session表同步，通過設定metric值實現(xiàn)網絡流量熱主備工作，并保證優(yōu)選一臺防火墻同時出入流量經過同一臺防火墻。防火墻作如下配置：兩防火墻間通過心跳線連接（接口置于ha zone并啟用nsrp），刪除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，啟用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，實現(xiàn)非vsi環(huán)境下session信息在兩防火墻間的同步。配置兩防火墻策略，使之始終保持一致。在正常情況下兩防火墻各自處理進出的網絡流量（由于做了路由優(yōu)選策略，只有一臺防火墻上有流量，另一臺處于熱備份狀態(tài)），并互相同步彼此建立的session表，當網絡出現(xiàn)故障時（路由器、防火墻或連接線纜），通過ospf動態(tài)路由協(xié)議進行收斂和路徑切換，由于兩防火墻間session信息始終保持一致，即使應用流量從一側進來，因路徑切換而從另一側返回時，另一個防火墻也能正確地進行狀態(tài)檢查和流量轉發(fā)，保證應用的session不會發(fā)生中斷。3 bg接入方案異常場景保護機制本章節(jié)描述站點內各中異常場景保護機制。3.1 北京站點bg到cmnet鏈路故障如上圖所示，北京站點故障包括北京bg設備故障，或者北京bg到cmnet一條鏈路故障后，中國移動td ps vpn會通過ip承載網選擇廣州bg實現(xiàn)與cmnet的聯(lián)通。由于bg開啟動態(tài)路由協(xié)議，所有流量收斂到另一條鏈路，如圖所示。防火墻工作狀態(tài)保持不變。3.2 北京站點內bg和主用fw鏈路故障如上圖所示，bg到主用fw1鏈路故障后，由于bg與fw間開啟