移動IP承載網(wǎng)中的路由設(shè)計和配置方法20230805

移動IP承載網(wǎng)中的路由策略路由策略概述1.1路由策略的應(yīng)用種類移動業(yè)務(wù)IP承載網(wǎng)中采用三層MPLSVPN作為全網(wǎng)業(yè)務(wù)應(yīng)用的統(tǒng)一組織方式。通過MPLSVPN配置以相應(yīng)路由策略來承載2G/3G/4G移動業(yè)務(wù)、增值業(yè)務(wù)、IMS業(yè)務(wù)以及相應(yīng)的網(wǎng)管業(yè)務(wù)。為了確保所承載各種業(yè)務(wù)能安全、快捷的在網(wǎng)上傳送，移動IP承載網(wǎng)中針對路由方面做了比較細(xì)致的規(guī)劃，并且靈活的使用了各種策略。目前移動IP承載網(wǎng)路由策略的應(yīng)用主要包括以下10種:12345678910ISISCOST值QOS策略EBGP+BFDSTATIC+BFDIPprefix-listRR反射器BGP團(tuán)體屬性FRRVRRP1.2路由策略的應(yīng)用場景路由策略是為了改變網(wǎng)絡(luò)流量所經(jīng)過的途徑而對路由信息采用的方法。主要通過改變路由屬性（包括可達(dá)性）來實現(xiàn)。路由器在發(fā)布與接收路由信息時，可能需要實施一些策略，以便對路由信息進(jìn)行過濾。路由策略主要有兩種應(yīng)用方式：1、路由協(xié)議在引入其它路由協(xié)議發(fā)現(xiàn)的路由時，通過路由策略只引入滿足條件的路由信息。2、路由協(xié)議在發(fā)布或接收本路由協(xié)議發(fā)現(xiàn)的路由信息時，通過路由策略對信息進(jìn)行過濾，只接收或發(fā)布滿足給定條件的路由信息。現(xiàn)網(wǎng)中針對不同設(shè)備、業(yè)務(wù)，根據(jù)各設(shè)備在網(wǎng)絡(luò)中所扮演的角色的不同，各種路由策略的實施不盡相同，目前移動IP承載網(wǎng)路由策略的應(yīng)用場景如下圖所示：1.3主要設(shè)備上路由策略的應(yīng)用概括由路由策略的應(yīng)用場景圖可以看出，移動IP承載網(wǎng)設(shè)備大致可以分為CE/MCE、PE、P路由器，各設(shè)備路由策略的應(yīng)用概括如下：CE路由器CE設(shè)備通過口字形連接到MCE，CE/MCE之間運行ISIS作為IGP，用來承載所有CE設(shè)備的直連和環(huán)回路由，提供BGP協(xié)議的路由可達(dá)性。CE之間、CE和MCE設(shè)備之間在互聯(lián)端口啟用MPLS/LDP協(xié)議。CE作為客戶端與VPNRR(MCE)建立VPNV4的IBGP鄰居關(guān)系，通過RR反射業(yè)務(wù)路由。CE與MGW\SBC之間運行Static+bfd負(fù)載分擔(dān)模式，并聯(lián)動IPFRR（華為設(shè)備）。CE掛AGCF：CE之間互聯(lián)接口切換二層模式，并透傳IMS業(yè)務(wù)網(wǎng)元相應(yīng)的Vlan，用于VRRP心跳報文的傳遞。MCE路由器MCE與CE、MCE之間的路由：CE/MCE之間運行ISIS作為IGP，用來承載所有CE設(shè)備的直連和環(huán)回路由，提供BGP協(xié)議的路由可達(dá)性。設(shè)備之間在互聯(lián)端口啟用MPLS/LDP協(xié)議。MCE作為本市CE設(shè)備的VPNV4路由反射器RR,與客戶端CE建立IBGP鄰居，接入CE作為客戶端只需要與RR建立VPNV4鄰居,通過RR反射業(yè)務(wù)路由；VPNRR之間建立普通VPNV4的IBGP鄰居關(guān)系，使用相同的CLUSTER-IDMCE與AR之間路由：BFD-FOR-BGP方式對互聯(lián)鏈路進(jìn)行保護(hù)MCE與AR之間采用跨域MPLSVPNOPTIONA方式互通，將MCE路由器接入聯(lián)通IP承載網(wǎng)B網(wǎng)。PE和P路由器全網(wǎng)采用ISIS，全部置于Level2層,啟動ISIS快速收斂，ISIS路由協(xié)議僅承載骨干設(shè)備loopback地址和互聯(lián)地址、管理型CE的接口地址、網(wǎng)管中心地址，不做業(yè)務(wù)路由的承載。域間路由和VPN路由采用BGP承載，在AS邊界通過EBGP(OPTION-A方式）來控制路由的發(fā)送、接收、匯總以及路由屬性。全網(wǎng)開通MPLSVPN同一節(jié)點的2臺AR發(fā)布相同路由時，采用不同的RD值以加快路由的收斂速度與負(fù)載均衡。設(shè)置BGPcommunity屬性控制路由輸入輸出及流量實現(xiàn)負(fù)載均：2、路由策略的具體應(yīng)用2.1ISIS的應(yīng)用2．1．1ISIS的應(yīng)用場景ISIS作為全局的IGP路由協(xié)議，其主要的應(yīng)用在CE\MCE、PE、P路由器，僅承載設(shè)備Loopback地址和互聯(lián)地址、網(wǎng)管中心地址，不做業(yè)務(wù)路由的承載。用來提供BGP協(xié)議的路由可達(dá)性。Isis的應(yīng)用場景如下圖所示：2．1．2不同設(shè)備上ISIS配置2．1．2．1AR7750配置echo"ISISConfiguration"#--------------------------------------------------isislevel-capabilitylevel-2graceful-restartexitoverload-on-boottimeout300traffic-engineeringspf-wait15050lsp-wait101level2external-preference26preference21wide-metrics-onlyexitinterface"system"level-capabilitylevel-2level2passiveexitexitinterface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2．1．2．2CISCO設(shè)備（7609）#routerisis100is-typelevel-2-onlymetric-stylewidefast-floodset-overload-biton-startup10spf-interval15050lsp-gen-intervallevel-215050nohellopaddinglog-adjacency-changes!#interfaceLoopback0ipaddress10.10.10.iprouterisis100isiscircuit-typelevel-2-only##interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2．1．2．3華為設(shè)備（NE40E）#isis200graceful-restartis-levellevel-2cost-stylewidetimerlsp-generation15050level-2flash-floodlevel-2timerspf15050#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2．2COST值的應(yīng)用2.2.1COST值的應(yīng)用場景網(wǎng)絡(luò)中合理的設(shè)置COST值，可以有效的控制網(wǎng)絡(luò)中的回程流量，有效的使得業(yè)務(wù)流能均衡承載在不同的設(shè)備上，實現(xiàn)業(yè)務(wù)的負(fù)載分擔(dān)，盡可能防止網(wǎng)絡(luò)流量的橫穿。如下圖所示，業(yè)務(wù)流量會沿著圖中藍(lán)色線路到達(dá)MGW1，正常情況下不會出現(xiàn)流量橫穿現(xiàn)象。2.2.2不同設(shè)備上COST值的配置2.2.2.1AR7750配置#--------------------------------------------------interface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2.2.2..2CISCO設(shè)備（7609）#interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2.2.2..3華為設(shè)備（NE40E）#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2.3QOS策略2．3．1AR路由器上QOS的等級規(guī)劃表移動IP承載網(wǎng)中QOS策略的應(yīng)用主要在PE和P設(shè)備上。以AR即PE設(shè)備為例，阿朗7750SR支持8個forwardingclass：nc,h1,ef,h2,l1,af,l2,be。這8個轉(zhuǎn)發(fā)類在設(shè)備中是唯一的,業(yè)務(wù)數(shù)據(jù)分類標(biāo)記、不同類型接口進(jìn)出隊列調(diào)度的配置都需要基于這8個轉(zhuǎn)發(fā)類。IP承載網(wǎng)QoS采用DiffServ技術(shù)體系，將QoS需求相近的業(yè)務(wù)流分成一類，因此需要在網(wǎng)絡(luò)邊緣處對業(yè)務(wù)流量進(jìn)行分類和標(biāo)記，以便網(wǎng)絡(luò)中的每一臺設(shè)備能夠根據(jù)這個標(biāo)記執(zhí)行相同的PHB（Per-HopBehavior），獲得網(wǎng)絡(luò)端到端的QoS質(zhì)量保證。業(yè)務(wù)等級標(biāo)記轉(zhuǎn)發(fā)類Q-idCIRPIR丟棄網(wǎng)絡(luò)控制7Nc7580Tailordrop6H12G/3G/

固定終端/固網(wǎng)/IMS業(yè)務(wù)的信令以及固定終端媒體5EF61090Tailordrop2G/3G/固網(wǎng)/IMS業(yè)務(wù)的媒體業(yè)務(wù)4H253090Tailordrop增值業(yè)務(wù)3L143090WRED網(wǎng)管2AF31240WRED預(yù)留1L22440WRED預(yù)留0BE1940WRED由上圖可以看出QoS規(guī)劃信令的業(yè)務(wù)以及固定終端媒體業(yè)務(wù)等級為5，高等級隊列，帶寬保證值(CIR)為10%，PIR為90％；其它媒體業(yè)務(wù)等級為4，高等級隊列，帶寬保證值(CIR)為30%，PIR為90％；增值業(yè)務(wù)（3G_IuPS）等級為3，帶寬保證值(CIR)為30%，PIR為90％；軟交換網(wǎng)管流量的業(yè)務(wù)等級為2，高等級隊列，帶寬保證值(CIR)為12%，PIR為40％。2．3．2AR路由器上QOS部署帶寬預(yù)留參數(shù)是根據(jù)各類優(yōu)先等級業(yè)務(wù)所占用網(wǎng)絡(luò)容量的百分比來預(yù)留鏈路的帶寬，為了防止PQ隊列搶占其余隊列的帶寬，甚至搶占網(wǎng)絡(luò)控制隊列的帶寬，所以對PQ進(jìn)行限速。對網(wǎng)絡(luò)控制、2G/3G信令業(yè)務(wù)、2G/3G語音業(yè)務(wù)、IMS業(yè)務(wù)、增值業(yè)務(wù)、及其它業(yè)務(wù)的隊列進(jìn)行帶寬的分配，具體等級規(guī)劃如下：1、AR路由器（AR之間和AR至BR）互聯(lián)端口出方向啟用隊列調(diào)度和擁塞避免機制,使用策略：CU-NetworkEgressQ\CU-WRED，該策略是根據(jù)上面的《QOS等級規(guī)劃表》來制定的，目的是實現(xiàn)各類業(yè)務(wù)的帶寬保證的。Network-Queue策略:Ingress應(yīng)用到板卡上，Egress應(yīng)用在物理端口上面。AR信任CR和PR過來的業(yè)務(wù)流量等級、所以端口進(jìn)方向不需要進(jìn)行分類標(biāo)記。策略：network100將AR收到的業(yè)務(wù)流的等級變成CE/MCE可以識別的等級類型，即做《QOS等級規(guī)劃表》中的映射關(guān)系。3、業(yè)務(wù)互聯(lián)子接口ingress方向，對業(yè)務(wù)流量進(jìn)行標(biāo)記、分類，最終實現(xiàn)《QOS等級規(guī)劃表》各業(yè)務(wù)的帶寬要求的保證。Sap-Ingress策略：應(yīng)用在VPN上面，即QOS44、QOS55等應(yīng)用到網(wǎng)絡(luò)接口。各策略作用如下圖所示：2.4EBGP+BFD的應(yīng)用EBGP+BFD的應(yīng)用場景EBGP協(xié)議使用在不同的AS系統(tǒng)之間路由的傳遞，移動IP承載網(wǎng)中EBGP+BFD的應(yīng)用主要在AR和CE/MCE之間即PE和CE之間。在網(wǎng)絡(luò)高速發(fā)展的今天，網(wǎng)絡(luò)故障時的業(yè)務(wù)收斂速度要求越來越快。在任何一個節(jié)點發(fā)生故障時，相鄰節(jié)點業(yè)務(wù)倒換小于50ms，端到端業(yè)務(wù)收斂小于1s已經(jīng)逐步成為承載網(wǎng)的門檻級指標(biāo)。但是，BGP協(xié)議的Keepalive時間間隔缺省為60秒，最小可配置為1秒，這樣holdtime缺省為180秒，最小為3秒，鄰居關(guān)系檢查比較慢，對于報文收發(fā)速度快的接口會導(dǎo)致大量報文的丟失。bgp與BFD進(jìn)行綁定大大提提路由檢測級別。通過bfd進(jìn)行快速檢測故障，加快bgp協(xié)議的收斂?，F(xiàn)網(wǎng)中EBGP+BFD的應(yīng)用情況如下圖所示：不同設(shè)備上EBGP+BFD的配置如上圖所示：IP承載網(wǎng)AR和移動核心網(wǎng)MCE分別屬于不同的AS，IGP協(xié)議全部為ISIS，AR和MCE之間為EBGP+BFD，相關(guān)互聯(lián)物理接口和IP地址如圖中所示，則各設(shè)備上EBGP+BFD的配置如下：如上圖所示：IP承載網(wǎng)AR和移動核心網(wǎng)MCE分別屬于不同的AS，IGP協(xié)議全部為ISIS，AR和MCE之間為EBGP+BFD，相關(guān)互聯(lián)物理接口和IP地址如圖中所示，則各設(shè)備上EBGP+BFD的配置如下：AR1設(shè)備（7750）：echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn1customer1createinterface"GE1/2/9.300"createexitexitvprn1customer1createdescription"ForSSW_Media"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldpinterface"GE1/2/9.300"createdescription"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"address11.11.11.1/30bfd150receive150multiplier3interface"GE3/2/5.300"createdescription"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"address10.10.10.1/30bfd150receive150multiplier3bgpgroup"ZHLF-7609-MCE1-CS-Media-64992"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as64992local-address11.11.11.1enable-peer-trackingneighbor11.11.11.2description"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"bfd-enablesplit-horizonexitexitgroup"ZHLF-NE40E-MCE1-IGW-Media-65210"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as65210enable-peer-trackingneighbor10.10.10.2description"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"local-address10.10.10.1bfd-enableexitexitnoshutdownexitnoshutdownexitSDHZ-ZHL-NE40E-IGW-MCE01#interfaceGigabitEthernet2/0/5descriptionGE1/0/0TOSDHZ-ZHL-7750-AR1-CSGE3/2/51Gundoshutdowncontrol-flap#interfaceGigabitEthernet2/0/5.300vlan-typedot1q300mtu9192descriptionGE2/0/5.300TOSDHZ-ZHL-7750-AR1-CSGE3/2/5.3001GSSW_Mediacontrol-flapipbindingvpn-instanceSSW_Media#ipv4-familyvpn-instanceSSW_Mediaimport-routedirectimport-routestaticmaximumload-balancing8peer10.10.10.1as-number38351peer10.10.10.1descriptionTOSDHZ-ZHL-7750-AR1peer10.10.10.1bfdmin-tx-interval150min-rx-interval150peer10.10.10.1bfdenablepeer10.10.10.1advertise-communitypeer10.10.10.1route-update-interval5#SDHZ_ZHL3L_7609_CS_MCE1#interfaceGigabitEthernet1/5.300descriptionGE1/5.300toSDHZ-ZHL-7750-A1GE1/2/9.30010Gencapsulationdot1Q300ipvrfforwardingSSW_Mediaipaddressbfdinterval150min_rx150multiplier3end#routerbgp64992bgprouter-id****。。。。。。!#address-familyipv4vrfSSW_Medianeighbor11.11.11.1remote-as38351neighbor11.11.11.1descriptionAR1neighbor11.11.11.1fall-overbfdneighbor11.11.11.1activateneighbor11.11.11.1send-communityextendedexit-address-family#備注：在接口上啟用BFD功能與在協(xié)議進(jìn)程下啟用的作用是一樣的，但是接口啟用的優(yōu)先級高于全局啟用的優(yōu)先級。2.5STATIC+BFD2．5．1STATIC+BFD的應(yīng)用場景BFD是一個雙向檢測協(xié)議，需要檢查兩端建立會話。對于動態(tài)路由協(xié)議來說是有鄰居概念的，因此在檢測兩端動態(tài)路由協(xié)議都會將鄰居信息通知給BFD會話，這樣BFD進(jìn)行檢測兩端的任務(wù)時可以通過動態(tài)路由的鄰居之間發(fā)送BFD控制報文來建立BFD的會話。但靜態(tài)路由沒有鄰居的概念，BFD檢測是如何實現(xiàn)的？一般用下面的方法解決：靜態(tài)路由使用控制報文方式BFD功能時，對端也必須存在對應(yīng)的BFD會話。檢測兩個方向上的BFD會話，實現(xiàn)毫秒級別的鏈路故障檢測。配置靜態(tài)路由和BFD檢測時必須同時指定出接口和路由下一跳的BFD地址。靜態(tài)路由僅支持使用BFD檢測直連的下一跳，如果靜態(tài)路由配置的路由的下一跳不是直連的，則不支持BFD檢查。移動核心網(wǎng)絡(luò)設(shè)備不能在IP層保持對等會話關(guān)系，因而整個網(wǎng)絡(luò)“不可見”，也就無法實現(xiàn)各網(wǎng)關(guān)與IP邊緣路由器間的故障檢測；其次，當(dāng)移動核心網(wǎng)的某遠(yuǎn)端部分發(fā)生故障時，不能用有效的方式通知主機或路由器。即使是高速鏈接失敗檢測工具也難以快速檢測到在主機與路由器間有交換機介入時的網(wǎng)絡(luò)故障情況。此時，BFD協(xié)議完全可以融入移動網(wǎng)關(guān)平臺中，這時它用于保持網(wǎng)關(guān)與邊緣路由器間的連接。BFD能檢測到介入以太網(wǎng)段或獨立網(wǎng)段的故障，它在網(wǎng)關(guān)與路由器間交替構(gòu)建冗余路徑，一旦檢測到故障并確認(rèn)得到確認(rèn)，BFD便可以在所有路由、傳輸及隧道系統(tǒng)中觸發(fā)相應(yīng)倒換機制，保證網(wǎng)絡(luò)的可靠。因此，目前移動IP承載網(wǎng)中STATIC+BFD的應(yīng)用范圍在各業(yè)務(wù)網(wǎng)關(guān)和CE接入路由器之間，如下圖紅色線所示：2．5．2不同設(shè)備上STATIC+BFD的配置如上，圖中MGW下掛在CE下面，所承載的業(yè)務(wù)為VPN：SSW_Media,設(shè)備端口的互聯(lián)地址如圖中所示，MGW和CE之間路由協(xié)議為STATIC+BFD方式，各設(shè)備的具體配置數(shù)據(jù)如下：Cisco760-CE1#interfaceGigabitEthernet3/2descriptionGi3/2TOZXMGW1_3-2-1ipvrfforwardingSSW_Mediaipaddressspeednonegotiatebfdinterval100min_rx100multiplier3end##iproutevrfSSW_Media.247255.255.255.255GigabitEthernet3/2.14iproutevrfSSW_Media.248255.255.255.255GigabitEthernet3/2.14#NE40E-CE2#bfddelay-up180#interfaceGigabitEthernet1/0/2bfdtriggerif-downdescriptionTO_GMGW2-1undoshutdownipaddress3#interfaceGigabitEthernet1/0/2.2801vlan-typedot1q2801ipbindingvpn-instanceSSW_Mediaipaddress3#interfaceGigabitEthernet1/0/3bfdtriggerif-downdescriptionTOGMGW2-2undoshutdown#interfaceGigabitEthernet1/0/3.2802vlan-typedot1q2802ipbindingvpn-instanceSSW_Media##discriminatorlocal1001discriminatorremote2001detect-multiplier5process-pstcommit#discriminatorlocal1002discriminatorremote2002detect-multiplier5process-pstcommit##備注：對于華為設(shè)備不建議接口綁定vpn的同時啟用bfd功能。一般如果在接口下啟用bfd時，要求物理接口下啟用，子接口綁定vpn，這樣bfd不受影響。ZXMGW1（中興）1、分別進(jìn)入GIPI端口（2架-1框-1槽和3架-3框-1槽），配置接口：ipaddressipaddress.14Mask255.255.255.2522、增加環(huán)回地址（即業(yè)務(wù)地址）：interfaceloopback：port=101addipaddress.247Mask255.255.255.252；interfaceloopback：port=101addipaddress.248Mask255.255.255.252；3、設(shè)置BFD:1）、打開bfd全局參數(shù)：setrebfd：enable=open2）、bfd全局屬性設(shè)置：setbfdglobalProp=activeenable=enable3）、bfd會話配置（兩端參數(shù)需要協(xié)商一致）addbfdsession：SRCIP=.10DSTIP=.9interval100000min_rx100000multiplier3addbfdsession：SRCIP=.14DSTIP=.13interval100000min_rx100000multiplier34）、增加到其它網(wǎng)元Nb業(yè)務(wù)地址靜態(tài)路由，使用最大匹配，兩個業(yè)務(wù)地址都要添加，負(fù)荷分擔(dān)。addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.9,DISSTANCE=1,BFDDETECT=YES;addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.13,DISSTANCE=1,BFDDETECT=YES;GMGW2（華為）1、將互聯(lián)的GE端口劃分到相應(yīng)的VLAN中ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=0,VID=2801,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=1,VID=2811,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=0,VID=2802,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=1,VID=2812,VBEARBW=512000;2、增加業(yè)務(wù)地址段4",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2801,IFMPLS=NO;ADDIPADDR8",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2811,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2802,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2812,IFMPLS=NO;3、增加業(yè)務(wù)地址的靜態(tài)路由4",GWIP="10.215.229.13",TIMEOUT=NoAging;8",GWIP="10.215.229.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.22",GWIP="10.215.229.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.26",GWIP="10.215.229.25",TIMEOUT=NoAging;4、增加業(yè)務(wù)路由互為備份48";ADDRTBAK:BN=0,IFT=GE,IFN=1,IPADDR="10.215.229.18",IPADDRBAK="10.215.229.14";ADDRTBAK:BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",IPADDRBAK="10.215.229.26";ADDRTBAK:BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26.22";5、增加私有地址，用來BFD4",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;8,MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="192.168.0.22",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="192.168.0.26",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;43",TIMEOUT=NoAging;8",GWIP="192.168.0.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.22",GWIP="192.168.0.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.26",GWIP="192.168.0.25",TIMEOUT=NoAging;4",SPORT=0,EPORT=65535;8",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.22",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.26,SPORT=0,EPORT=65535;7、物理端口上啟用BFD檢測功能（兩端參數(shù)需要協(xié)商一致）4",DSTIP="192.168.0.13",DISCLO=2001,DISCRE=1001,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=0,IFT=GE,IFN=1,BFDNM="HRB01-BFD",TYPE=IF,SRCI87",DISCLO=2023,DISCRE=1011,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=0,BFDNM="HRB10-BFD",TYPE=IF,SRCIP="192.168.0.22",DSTIP="192.168.0.21",DISCLO=2002,DISCRE=1002,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=1,BFDNM="HRB11-BFD",TYPE=IF,SRCIP="192.168.0.26",DSTIP="192.168.0.25",DISCLO=2023,DISCRE=1012,TXINT=10,RXINT=10;華為設(shè)備不建議接口綁定vpn的同時啟用bfd功能，因此業(yè)務(wù)地址和物理互聯(lián)地址是分開的。2.6IPprefix-list2.6.1IPprefix-list的應(yīng)用場景ipprefix-list的內(nèi)容包括兩部分?jǐn)?shù)據(jù)：地址前綴列表名稱+匹配的地址范圍。地址前綴列表的作用類似ACL，比較靈活。地址前綴列表在應(yīng)用于路由信息的過濾時，其匹配對象為路由信息的目的地址域。每個前綴列表可以包含多個表項，每個表項可以獨立指定一個網(wǎng)絡(luò)前綴形式的匹配范圍，并用一個索引號來標(biāo)識，索引號指明了進(jìn)行匹配檢查的順序。在匹配的過程中，路由器按升序依次檢查由index-number標(biāo)識的各個表項。只要有某一表項滿足條件，就意味著本次匹配過程結(jié)束，而不再進(jìn)行下一個表項的匹配。如果所有表項都是deny模式，則任何路由都不能通過該過濾列表。因此，需要在多條deny模式的表項后定義一條permit0.0.0.00greater-equal0less-equal32表項，允許其它所有IPv4路由信息通過。配置方式如下：ipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value][less-equalless-equal-value]移動IP承載網(wǎng)中前綴列表用于BGP路由。BGP的路由選擇協(xié)議中，可以對BGP路由選擇更新進(jìn)行過濾，這個工作用到前綴列表。移動IP承載網(wǎng)中各設(shè)備上前綴列表的應(yīng)用場景如下圖中標(biāo)注紅色區(qū)域所示：2.6.1IPprefix-list配置：目前移動IP承載網(wǎng)中使用到IPprefix-list的設(shè)備類型主要有三種：阿郎的AR、華為NE40E、思科的CISCO7600系列。當(dāng)然IPprefix-list只是路由策略的匹配規(guī)則，即過濾器，要有具體的路由策略來調(diào)動它，才能最終應(yīng)用于路由信息的過濾。如上圖所示，VPN業(yè)務(wù)SSW_Signal分別從不同的MGW接入移動IP承載網(wǎng)，在AS:65210中外圍接入系統(tǒng)CE設(shè)備為華為的NE40E，AS64992中外圍接入系統(tǒng)CE設(shè)備為CISCO7600設(shè)備，各設(shè)備的端口信息和路由信息如圖中所示。為了杜絕端局設(shè)備將非法業(yè)務(wù)ip段的路由信息引入承載網(wǎng)中，我們在網(wǎng)絡(luò)中使用了ipprefix-list，通過過濾器過濾掉非法地址，最終實現(xiàn)了只允許VPN：SSW_Signal的ip地址段通過網(wǎng)絡(luò)。該策略的實施我們分別以NE40E-CE1和CISCO7609-MCE2為例。同理AR上針對該VPN業(yè)務(wù)也制定了相應(yīng)的過濾策略，保證AR所收到的來自MCE的路由的純潔性。各設(shè)備的具體的配置方法如下：AR設(shè)備[AR2]#--------------------------------------------------policy-optionsbeginprefix-list"pl_SSW_Signal"exitpolicy-statement"rp_SSW_Signal_in"entry10fromprotocolbgpprefix-list"pl_SSW_Signal"exitactionacceptexitexitdefault-actionrejectexit#--------------------------------------------------echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn2customer1createinterface"GE3/2/2.100"createexitexitvprn2customer1createdescription"ForSSW_Signal"ecmp8autonomous-system38351route-distinguisher38351:10010auto-bindldpinterface"GE3/2/2.100"createdescription"To7609_MCE2GE1/1->SSW_Signal"bfd150receive150multiplier3bgpmultipath8group"7609-MCE2-Signal-64992"keepalive60hold-time180min-as-origination2min-route-advertisement2typeexternalimport"rp_SSW_Signal_in"local-as38351peer-as64992enable-peer-trackingbfd-enablesplit-horizonexitexitnoshutdownexitservice-name"VPRNservice-2SDHZ-ZHL-7750-A1(116.79.16.23)"noshutdownexitcisco設(shè)備:[CISCO7609-MCE2]ipvrfSSW_Signalrd64992:228640route-targetexport64992:228640route-targetimport64992:228640!!interfaceGigabitEthernet1/1descriptionGE1/1toAR2gei_g3/2/21000Mmtu9192noipaddressspeednonegotiate!interfaceGigabitEthernet1/1.100encapsulationdot1Q100ipvrfforwardingSSW_Signalbfdinterval150min_rx150multiplier3!!route-mapSSW_Signal,permit,sequence10Matchclauses:ipaddressprefix-lists:SSW_Signal!routerbgp64992!address-familyipv4vrfSSW_Signalnosynchronizationneighbor10.215.118.1remote-as38351neighbor10.215.118.1descriptionlink-AR2neighbor10.215.118.1fall-overbfdneighbor10.215.118.1activateneighbor10.215.118.1send-communityextendedneighbor10.215.118.1advertisement-interval5route-mapSSW_Signaloutexit-address-family華為設(shè)備[NE40E-CE1]#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429tnl-policylsp-num6apply-labelper-instancevpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#Vlan2200#interfaceVlanif2200descriptionTOHZMGW1-Bipbindingvpn-instanceSSW_Signal#interfaceGigabitEthernet1/1/2descriptionSDHZ-ZHL-GMGW22/8/OMCslaveundoshutdownportswitchportdefaultvlan2200#interfaceGigabitEthernet2/1/0descriptionSDHZ-ZHL-GMGW22/7/OMCMasterundoshutdownportswitchportdefaultvlan2200#ipip-prefixHZSIGNALindex10permit10.215.179.024greater-equal24less-equal32#Route-policy:HZSIGNALpermit:1Matchclauses:if-matchip-prefixHZSIGNAL#ipv4-familyvpn-instanceSSW_Signalimport-routedirectroute-policyHZSIGNAL#2.7RR路由反射器RR路由反射器使用場景為保證IBGP對等體之間的連通性，需要在IBGP對等體之間建立全連接關(guān)系。假設(shè)在一個AS內(nèi)部有n臺路由器，那么應(yīng)該建立的IBGP連接數(shù)就為n(n-1)/2。當(dāng)IBGP對等體數(shù)目很多時，對網(wǎng)絡(luò)資源和CPU資源的消耗都很大。利用路由反射可以解決這一問題。在一個AS內(nèi)，其中一臺路由器作為路由反射器RR（RouterReflector），其它路由器做為客戶機（Client）與路由反射器之間建立IBGP連接。路由反射器在客戶機之間傳遞（反射）路由信息，而客戶機之間不需要建立BGP連接。IP承載網(wǎng)中RR的應(yīng)用場景如下圖所示：對內(nèi)網(wǎng)AR，采用“一級RR+備份RR＋異地分簇方案”，全網(wǎng)設(shè)置7對MP-iBGP的路由反射器RR,AR路由器與所在大區(qū)RR路由器、本省內(nèi)省會城市AR1建立3個MP-iBGP鄰居；MCE作為本市CE設(shè)備的VPNV4路由反射器RR,與客戶端CE建立IBGP鄰居，接入CE作為客戶端只需要與RR建立VPNV4的IBGP鄰居關(guān)系,通過RR反射業(yè)務(wù)路由。CE/MCE與AR之間采用跨域MPLSVPNOPTIONA方式互通，將MCE路由器接入聯(lián)通IP承載網(wǎng)B網(wǎng)。2.7.2RR路由反射器的配置普通地市ARbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN“l(fā)ocal-as38351peer-as38351description"ToSHSH-JC-N40E-V1"exitdescription"ToHBWH-KJG-N40E-V1"exitdescription"ToSDJN-YXS-7750-A1"濟南AR至一級RRbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN"………exitlocal-as38351peer-as38351description"ToSHSH-JC-N40E-V1"split-horizonexitdescription"ToHBWH-KJG-N40E-V1"split-horizonexitexit濟南AR至普通地市g(shù)roup"pgAcessIn"description"For_AR-of-Internal-VPN";;;;exitlocal-as38351peer-as38351description"ToSDQD-SDL-7750-A1"split-horizonexitdescription"ToSDQD-HRL-7750-A1"split-horizonexitdescription"ToSDZB-JWSL-7750-A1"split-horizonexit;;;;;CECISCO設(shè)備!routerbgp64992bgplog-neighbor-changesbgpgraceful-restartrestart-time120bgpgraceful-restartstalepath-time360bgpgraceful-restartneighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0!address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-clientCE華為設(shè)備NE40E#bgp65210undodefaultipv4-unicastgraceful-restartpeer10.215.46.38as-number65210peer10.215.46.38descriptionTOSDHZ-ZHL-NE40E-IGW-CE01peer10.215.46.38connect-interfaceLoopBack0#ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38reflect-clientpeer10.215.46.38advertise-community2.8BGP團(tuán)體屬性CommunityBGP團(tuán)體屬性應(yīng)用場景Community:團(tuán)體，可選傳遞。主要用來做策略的。將某些路由條目設(shè)置一個相同的標(biāo)記----Community值。BGP的團(tuán)體屬性有別于其它任何一種屬性，他不限于一個網(wǎng)絡(luò)或者一個自治系統(tǒng)，它沒有物理邊界，可以穿過多個AS。團(tuán)體屬性其實就是對bgp路由更新的一種標(biāo)記方法。在傳遞的過程中途中的路由器可以根據(jù)該屬性來對路由進(jìn)行相應(yīng)的操作例如控制和過濾，不需要再依賴繁瑣的acl或者是ip-prefix列表一條路由一條路由的指定，這簡化了路由策略的配置，增強了靈活性。配置BGP團(tuán)體時，必須使用路由策略來定義具體的團(tuán)體屬性，然后在發(fā)布路由信息時應(yīng)用此路由策略。BGP團(tuán)體屬性配置ARecho"PolicyConfiguration"#--------------------------------------------------policy-optionsbegincommunity"SSW_Media_comm_in1"members"38351:2001"community"SSW_Media_comm_in1"members"target:38351:10000"policy-statement"SSW_Media_in"entry10fromprotocolbgp-vpncommunity“SSW_Media_comm_in1"exitactionacceptexit#--------------------------------------------------vprn1customer1createdescription"ForSSW_Media"vrf-import"SSW_Media_in"vrf-export"SSW_Media_out"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldp………….CISCOrouterbgp64992neighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-client！address-familyipv4vrfSSW_Medianeighbor10.215.228.1remote-as38351neighbor10.215.228.1descriptionlink-ZHL-7750-AR1neighbor10.215.228.1fall-overbfdneighbor10.215.228.1activateneighbor10.215.228.1send-communityextended！ipvrfSSW_Mediard64992:200050route-targetexport64992:200050route-targetimport64992:200050NE40E#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429vpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#bgp65210ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38advertise-community#ipv4-familyvpn-instanceSSW_Signalpeer10.215.112.65as-number38351peer10.215.112.65descriptionTOHZ-ZHL-AR1peer10.215.112.65bfdmin-tx-interval150min-rx-interval150peer10.215.112.65bfdenablepeer10.215.112.65advertise-community2.9FRRFRR的使用場景FRR（FastReRoute）是指當(dāng)物理層或鏈路層檢測到故障時將此消息上報上層路由系統(tǒng)，同時立即開始采取措施，使用一條備份的鏈路將報文轉(zhuǎn)發(fā)出去，從而將鏈路故障對于承載業(yè)務(wù)的影響降低到最小限度?，F(xiàn)網(wǎng)中FRR的使用主要在針對華為片區(qū)接入CE所帶的VPN:SSW_Media業(yè)務(wù)。移動ip承載網(wǎng)中用到的FRR技術(shù)有IPFRR和VPNFRR。其中IPFRR的使用分為公網(wǎng)IPFRR和私網(wǎng)IPFRR兩種，現(xiàn)網(wǎng)中使用的是私網(wǎng)IPFRR。VPNFRR致力于解決CE雙歸這種最普遍的網(wǎng)絡(luò)模型的端到端業(yè)務(wù)收斂問題，將PE節(jié)點故障情況下的端到端業(yè)務(wù)的收斂時間控制在1s以內(nèi)。VPNFRR、端到端收斂。VPNFRR簡單可靠，易于部署，有效的縮短了CE雙歸屬網(wǎng)絡(luò)中，PE設(shè)備故障引起的端到端業(yè)務(wù)中斷時間。VPNFRR利用基于VPN的私網(wǎng)路由快速切換技術(shù)，通過預(yù)先在遠(yuǎn)端PE中設(shè)置指向主用PE和備用PE的主備用轉(zhuǎn)發(fā)項，并結(jié)合PE故障快速探測，旨在解決CE雙歸PE的MPLSVPN網(wǎng)絡(luò)中，PE節(jié)點故障導(dǎo)致的端到端業(yè)務(wù)收斂時間長（大于1s）的問題，同時解決PE節(jié)點故障恢復(fù)時間與其承載的私網(wǎng)路由的數(shù)量相關(guān)的問題，在PE節(jié)點故障情況下，端到端業(yè)務(wù)收斂時間小于1s。VPNFRR關(guān)注的是內(nèi)層標(biāo)簽，或者說內(nèi)層隧道的快速切換。FRR的配置方法如上圖所示，要求在局向1的CE1上針對發(fā)布過來的遠(yuǎn)端路由配置私網(wǎng)備份出接口和備份下一跳，使鏈路B為鏈路A的備份，鏈路A出現(xiàn)故障時可以快速切換到鏈路B上。同時在CE上針對本端至業(yè)務(wù)網(wǎng)元側(cè)的路由開啟ipFRR功能，正常情況下路由為linkc，備份為LinkD。配置如下：#aclnumber2000#route-policyIP_FRR_Mediapermitnode10if-matchacl2000applybackup-interfaceEth-Trunk1.2000#route-policyVPN_FRR_INpermitnode10applybackup-nexthopauto#ipvpn-instanceSSW_Mediaroute-distinguisher64982:200030ipfrrroute-policyIP_FRR_Mediavpnfrrroute-policyVPN_FRR_INapply-labelper-instancevpn-target64982:200030export-extcommunityvpn-target64982:200030import-extcommunity#interfaceEth-Trunk1