解決方案廣域數(shù)據(jù)通信網(wǎng)BPV300R001B01D002版本之電子政務(wù)網(wǎng)開局配置指導(dǎo)書

杭州華三技術(shù)HangzhouTechnologiesCo.,Ltd.解決方案名稱Solutionname密級Confidentialitylevel廣域數(shù)據(jù)網(wǎng)之電子政務(wù)外網(wǎng)內(nèi)部公開解決方案版本Solutionversion共31頁Total31pagesV300R001B01D002解決方案廣域數(shù)據(jù)通信網(wǎng)BPV300R001B01D002版本電子政務(wù)外網(wǎng)開局配置指導(dǎo)書擬制Preparedby詹學(xué)鵬04267Date日期2021-02-21評審人ReviewedbyDate日期批準(zhǔn)ApprovedbyDate日期杭州華三技術(shù)HangzhouH3CTechnologiesCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved修訂記錄Date日期RevisionVersion修訂版本SecNo.章節(jié)ChangeDescription修改描述Author作者2021-2-21V1.0初稿完成詹學(xué)鵬04267目 錄TOC\o"1-4"\h\z\u1 電子政務(wù)外網(wǎng)業(yè)務(wù)模型簡介 72 電子政務(wù)外網(wǎng)組網(wǎng)介紹 82.1 組網(wǎng)圖 82.2 組網(wǎng)說明 9 國網(wǎng)邊界 10 省網(wǎng)邊界&省級核心 10 省級城域網(wǎng) 10 地市核心 10 地市城域網(wǎng) 11 區(qū)縣節(jié)點 112.3 業(yè)務(wù)部署 11 公網(wǎng)OSPF 11 BGP/MPLSVPN 11 QoS 12 可靠性 123 電子政務(wù)外網(wǎng)局限性 134 電子政務(wù)外網(wǎng)考前須知 145 產(chǎn)品和版本信息 156 電子政務(wù)外網(wǎng)特性部署配置說明 156.1 國網(wǎng)邊界NE40 156.2 省網(wǎng)邊界&省級核心SR88 176.3 地市核心SR66 216.4 區(qū)縣節(jié)點MSR 266.5 省級城域網(wǎng)S9500 286.6 地市城域網(wǎng)S7500E 30圖 目 錄TOC\t"插圖題注"\c"圖表"圖1廣域數(shù)據(jù)通信網(wǎng)－電子政務(wù)外網(wǎng)組網(wǎng)圖 8圖2廣域數(shù)據(jù)通信網(wǎng)－電子政務(wù)外網(wǎng)IP部署圖 9表 目 錄TOC\t"表格題注"\c"表格"表1廣域數(shù)據(jù)通信網(wǎng)解決方案V300R001B01D002版本產(chǎn)品及版本列表 15解決方案廣域數(shù)據(jù)通信網(wǎng)BPV300R001B01D002版本電子政務(wù)外網(wǎng)開局配置指導(dǎo)書電子政務(wù)外網(wǎng)業(yè)務(wù)模型簡介電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。政務(wù)內(nèi)網(wǎng)主要是副省級以上政府部門的辦公網(wǎng)，與副省級以下政府部門的辦公網(wǎng)物理隔離。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運(yùn)行政府部門面向社會的專業(yè)性效勞業(yè)務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。政府行業(yè)用戶的業(yè)務(wù)需求主要有如下幾種類型：同部門的各個不同省、市單位間互相訪問，比方不同省、市的財政局〔廳〕之間、公安局〔廳〕之間的互相訪問；政府內(nèi)部不同部門間的協(xié)作，比方某省、市財政局〔廳〕提供應(yīng)政府內(nèi)部其他職能部門的效勞，但是這種效勞不提供應(yīng)公眾；政府部門提供應(yīng)公眾的效勞，比方政府各職能部門的網(wǎng)站；為了加強(qiáng)政府各職能部門間的及時溝通和橫向合作、豐富政府部門的業(yè)務(wù)類型，需要一個多媒體實時交互平臺，用于視頻會議、視頻點播、IP、語音郵箱等；政府部門內(nèi)部訪問Internet，比方訪問新浪，搜狐主頁等。電子政務(wù)外網(wǎng)通過MPLSL3VPN隔離不同政府職能部門的業(yè)務(wù)系統(tǒng)、區(qū)分同一政府部門內(nèi)部不同的業(yè)務(wù)子系統(tǒng)。電子政務(wù)外網(wǎng)VPN分為五類：共享資源VPN：主要放置各個部門在政務(wù)網(wǎng)內(nèi)對其他部門開放的資源效勞器；設(shè)備包括所有部門的共享資源效勞器及資源共享區(qū)前置機(jī)；一個省電子政務(wù)外網(wǎng)只有一個共享資源VPN。公眾效勞VPN主要放置各個部門對Internet公眾開放的門戶網(wǎng)站信息資源；設(shè)備包括所有部門的門戶網(wǎng)站效勞器；一個省電子政務(wù)外網(wǎng)只有一個公眾效勞VPN?？v向?qū)＞W(wǎng)VPN縱向?qū)＞W(wǎng)VPN用于承載各個職能部門的專網(wǎng)業(yè)務(wù)，如：工商專網(wǎng)、審計專網(wǎng)等等。專網(wǎng)VPN的數(shù)量在600個以上；縱向?qū)＞W(wǎng)VPN包含專網(wǎng)內(nèi)部效勞器和專網(wǎng)內(nèi)部用戶主機(jī)；縱向?qū)＞W(wǎng)VPN間是完全邏輯隔離的，不能訪問其他VPN，也不能被其他VPN訪問；舉行說明：A市民政局、B市民政局、省民政廳網(wǎng)絡(luò)需要劃分在同一個VPN內(nèi)。InternetVPN用于政府各職能部門內(nèi)部用戶訪問Internet，其中只有一條路由：缺省路由。多媒體VPN為了加強(qiáng)政府各職能局部的橫向合作，規(guī)劃一個VPN做為實時交互的邏輯平臺，會在上面進(jìn)行一些諸如視頻會議的組播業(yè)務(wù)。電子政務(wù)外網(wǎng)組網(wǎng)介紹組網(wǎng)圖廣域數(shù)據(jù)通信網(wǎng)－電子政務(wù)外網(wǎng)組網(wǎng)圖廣域數(shù)據(jù)通信網(wǎng)－電子政務(wù)外網(wǎng)IP部署圖組網(wǎng)說明下文簡略語介紹：國家電子政務(wù)廣域網(wǎng)，簡稱“國網(wǎng)〞；省級電子政務(wù)廣域網(wǎng)，簡稱“省網(wǎng)〞；省級電子政務(wù)廣域網(wǎng)省核心節(jié)點，簡稱“省級核心〞；省級電子政務(wù)城域網(wǎng)，簡稱“省級城域網(wǎng)〞；省級電子政務(wù)廣域網(wǎng)地市核心節(jié)點，簡稱“地市核心〞；省級電子政務(wù)地市城域網(wǎng)，簡稱“地市城域網(wǎng)〞；省級電子政務(wù)廣域網(wǎng)地市下屬區(qū)縣廣域網(wǎng)節(jié)點，簡稱“區(qū)縣節(jié)點〞；分層PE組網(wǎng)模式中負(fù)責(zé)會聚下層PE的私網(wǎng)明細(xì)路由，同時抑制向下發(fā)布私網(wǎng)明細(xì)路由并向下層PE發(fā)布私網(wǎng)缺省路由的上層PE設(shè)備稱為SuperstratumPE，，簡稱“SPE〞；分層PE組網(wǎng)模式中向上層PE發(fā)送私網(wǎng)明細(xì)路由并直接連接用戶的PE設(shè)備稱為UnderlayerPE，簡稱“UPE〞；分層PE嵌套組網(wǎng)模式中既作為上層SPE的UPE，又作為下層UPE的SPE，這樣的PE設(shè)備稱為Middle-levelPE，簡稱“MPE〞；國網(wǎng)邊界國網(wǎng)邊界部署2臺NE40作ASBR、互為備份，并分別通過1條以太鏈路與省網(wǎng)的ASBR設(shè)備互連；2臺作為國網(wǎng)邊界ASBR的NE40設(shè)備是放置在省中心機(jī)房、與省網(wǎng)ASBR背靠背連接，因此是通過以太鏈路互連的。實際組網(wǎng)環(huán)境中，2臺國網(wǎng)邊界的NE40設(shè)備與國網(wǎng)內(nèi)部PE設(shè)備應(yīng)當(dāng)是通過POS鏈路互連，當(dāng)前為了簡化組網(wǎng)環(huán)境，用1臺AR46模擬國網(wǎng)內(nèi)部PE設(shè)備，AR46和2臺NE40間通過以太鏈路互連。省網(wǎng)邊界&省級核心省網(wǎng)邊界部署2臺SR88作ASBR、互為備份，上行分別通過1條以太鏈路與國網(wǎng)ASBR互連；2臺SR88同時作為省網(wǎng)的省級核心設(shè)備、互為備份；一方面分別通過1條以太鏈路與省級城域網(wǎng)的S9500設(shè)備互連，將省級城域網(wǎng)接入省級電子政務(wù)廣域網(wǎng)；另一方面，省級核心主用設(shè)備SR88-4通過POS鏈路與下端的地市核心SR66-7、SR66-8互連，省級核心備用設(shè)備SR88-5通過N*2M鏈路與地市核心SR66-7、SR66-8互連。省級城域網(wǎng)本次解決方案主要關(guān)注省級電子政務(wù)廣域網(wǎng)局部，為簡化組網(wǎng)環(huán)境，部署1臺S9500設(shè)備模擬省級城域網(wǎng)，分別通過1條以太鏈路與省級核心的2臺SR88設(shè)備互連。地市核心省網(wǎng)中各地市核心分別部署1臺SR66，其中一個地市核心的SR66-7設(shè)備上行通過1條POS鏈路連接省級核心主用設(shè)備SR88-4，通過N*2M鏈路連接省級核心備用設(shè)備SR88-5，下行分別通過1條2M鏈路連接本地市所屬各區(qū)縣的廣域網(wǎng)節(jié)點設(shè)備MSR-10、MSR-11；另一地市核心的SR66-8設(shè)備上行通過1條POS鏈路連接省級核心主用設(shè)備SR88-4，通過N*2M鏈路連接省級核心備用設(shè)備SR88-5，下行那么通過1條以太鏈路與地市城域網(wǎng)設(shè)備S7500E互連。地市城域網(wǎng)本次解決方案主要關(guān)注省級電子政務(wù)廣域網(wǎng)局部，為簡化組網(wǎng)環(huán)境，部署1臺S7500E設(shè)備模擬地市城域網(wǎng)，通過1條以太鏈路與地市核心SR66-8設(shè)備互連。區(qū)縣節(jié)點地市下屬各區(qū)縣廣域網(wǎng)節(jié)點部署MSR設(shè)備，通過1條2M鏈路上連地市核心SR66設(shè)備。業(yè)務(wù)部署公網(wǎng)OSPF國網(wǎng)和省網(wǎng)分屬于不同的自治系統(tǒng)，因此國網(wǎng)設(shè)備和省網(wǎng)設(shè)備分別部署在各自的OSPF進(jìn)程中。AR46-1、NE40-2及NE40-3間的Link-1-2、Link-1-3、Link-2-3鏈路部署在國網(wǎng)OSPF進(jìn)程的area0中。省網(wǎng)OSPF進(jìn)程中，SR88-4、SR88-5、S9500、SR66-7及SR66-8間的Link-4-5、Link-4-6、Link-5-6、Link-4-7、Link-4-8、Link-5-7、Link-5-8鏈路部署在area0；SR66-7、MSR-10及MSR-11間的Link-7-10、Link-7-11鏈路部署在area1；SR66-8和S7500E間Link-8-9鏈路部署在area2；在實際組網(wǎng)環(huán)境中，各省網(wǎng)都會有多個地市核心，那么各地市核心下行局部鏈路依次部署在area1……n。BGP/MPLSVPN電子政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運(yùn)行政府各職能部門面向社會的專業(yè)性效勞業(yè)務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。考慮到平安性，各政府職能部門間的業(yè)務(wù)需要相互隔離；考慮到合作性和公眾效勞性，各政府職能部門間以及電子政務(wù)外網(wǎng)與Internet間又需要在受控方式下到達(dá)一定程度的互訪。綜合考慮，BGP/MPLSVPN技術(shù)最能適應(yīng)這種業(yè)務(wù)需求。同時，考慮到政府職能部門的層級結(jié)構(gòu)以及業(yè)務(wù)模型，在電子政務(wù)廣域網(wǎng)中部署HOPE技術(shù)將能夠充分發(fā)揮各層級網(wǎng)絡(luò)設(shè)備的性能，保護(hù)用戶的投資效益。因國網(wǎng)和省網(wǎng)分屬于不同的自治系統(tǒng)，為了能夠在兩網(wǎng)間互傳私網(wǎng)路由，需要在國網(wǎng)ASBR〔NE40〕和省網(wǎng)ASBR〔SR88〕間部署B(yǎng)GP/MPLSVPN的A類跨域或B類跨域方式；考慮到本方案組網(wǎng)環(huán)境中跨域互通的VPN數(shù)量較多，假設(shè)采用A類跨域方式，配置工作量大且會消耗大量IP地址資源和ASBR的系統(tǒng)資源，所以在本方案組網(wǎng)環(huán)境中建議國網(wǎng)ASBR和省網(wǎng)ASBR間部署B(yǎng)類跨域方式。當(dāng)跨域互通的VPN數(shù)量較少時可考慮采用A類跨域方式，部署比擬簡單。省網(wǎng)內(nèi)部署HOPE，省級核心SR88作為SPE，會聚省級城域網(wǎng)S9500和各地市核心SR66設(shè)備上傳的私網(wǎng)路由，并為它們下發(fā)私網(wǎng)默認(rèn)路由。省級城域網(wǎng)S9500設(shè)備作為省級核心SR88設(shè)備的UPE。地市核心SR66設(shè)備那么作為MPE，一方面作為省級核心SR88設(shè)備的UPE；另一方面作為SPE，會聚地市城域網(wǎng)S7500E和各區(qū)縣節(jié)點MSR設(shè)備上傳的私網(wǎng)路由，并為它們下發(fā)私網(wǎng)默認(rèn)路由。地市城域網(wǎng)S7500E設(shè)備和各區(qū)縣節(jié)點MSR設(shè)備作為各地市核心SR66設(shè)備的UPE。QoS在省網(wǎng)中的UPE設(shè)備的私網(wǎng)接口上，根據(jù)不同業(yè)務(wù)類型對應(yīng)的IP五元組/DSCP/IPPreference為各種數(shù)據(jù)流進(jìn)行流分類操作，并打上相應(yīng)的優(yōu)先級標(biāo)記；根據(jù)流分類結(jié)果將相應(yīng)的優(yōu)先級標(biāo)記映射到公網(wǎng)MPLS標(biāo)簽的EXP字段中；根據(jù)流分類和優(yōu)先級分配的結(jié)果對不同的業(yè)務(wù)數(shù)據(jù)流進(jìn)行CAR流量限速操作。在UPE設(shè)備的公網(wǎng)接口上可根據(jù)需要在公網(wǎng)接口上對VPN數(shù)據(jù)流進(jìn)行GTS流量整形操作。MPE和SPE設(shè)備上，信任UPE設(shè)備上傳數(shù)據(jù)報文中的EXP字段值，并據(jù)此在數(shù)據(jù)流的入接口上對不同的業(yè)務(wù)數(shù)據(jù)流進(jìn)行CAR流量限速操作，在出接口上進(jìn)行PQ優(yōu)先級調(diào)度和擁塞防止操作。可靠性雙向轉(zhuǎn)發(fā)檢測(BFD)IP網(wǎng)絡(luò)在設(shè)計上無法在不到1秒的時間內(nèi)恢復(fù)故障，實時業(yè)務(wù)對故障檢測和恢復(fù)提出了電信級的要求。雙向轉(zhuǎn)發(fā)檢測〔BFD〕技術(shù)可以將故障檢測與恢復(fù)速度提高到毫秒級。BFD協(xié)議通過定期發(fā)送基于數(shù)據(jù)報協(xié)議(UDP)層的故障檢測數(shù)據(jù)包，不但可以檢測和判斷傳輸鏈路、光接口和設(shè)備端口的中斷故障，還可以檢測和判斷傳輸層、鏈路層、IP層和應(yīng)用層存在的誤碼、丟包等軟故障，彌補(bǔ)了現(xiàn)今基于SDH故障檢測只能實現(xiàn)傳輸層故障檢測的缺乏。目前BFD最小檢測間隔是10ms，連續(xù)3次檢測到故障，就判斷鏈路故障，也就是30ms就可以檢測和判斷故障。任何需要維護(hù)鄰居關(guān)系的通信協(xié)議都可以通過在相鄰設(shè)備見建立一個BFDSession來快速獲取鏈路故障信息。本方案中，通過在除MSR外的省網(wǎng)設(shè)備間的鏈路上部署B(yǎng)FDforOSPF來加速公網(wǎng)路由的收斂，減少因鏈路或節(jié)點故障導(dǎo)致的數(shù)據(jù)傳輸中斷的恢復(fù)時間。平滑重啟〔GracefulRestart〕GracefulRestart〔GR〕是一種控制路由器主控板主備倒換或路由協(xié)議重啟影響最小化的機(jī)制，其目的是在重新建立網(wǎng)絡(luò)鄰接關(guān)系的過程中保證轉(zhuǎn)發(fā)平面的持續(xù)性并盡量減少因路由器或協(xié)議重啟導(dǎo)致的路由抖動、減少路由計算資源和網(wǎng)絡(luò)帶寬資源的浪費(fèi)。當(dāng)配置了GR的其中一臺路由器的主控板發(fā)生主備倒換導(dǎo)致路由協(xié)議會話中斷時，對端路由器不會刪除相關(guān)的路由條目，而是將相關(guān)路由條目在路由表中保存一段時間，待故障路由器主備倒換完畢、會話重新建立后，再重新交互路由信息。這樣就可以降低路由器主備倒換或路由協(xié)議故障重啟引發(fā)的路由泛洪對網(wǎng)絡(luò)產(chǎn)生的負(fù)面影響。本方案中，在全網(wǎng)OSPFpeer間、BGPpeer間〔跨域EBGPpeer間除外，原因詳見下文考前須知7〕以及LDP會話的peer間部署GR特性以減少網(wǎng)絡(luò)中路由抖動和泛洪的頻率，提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性。電子政務(wù)外網(wǎng)考前須知及建議NE40使用腳本進(jìn)行大量VPN實例〔200個OSPF多實例進(jìn)程〕配置過程中會出現(xiàn)CPU利用率100％，SR88沒問題；NE40不同license對設(shè)備性能有限制；SR66上同時配備FIP-200和FIP-100線卡時，整機(jī)性能會低于全部配備FIP-200線卡的情況；S9500上，在配置200個MPLSVPN的過程中同時與其他PE設(shè)備進(jìn)行私網(wǎng)路由交互、更新〔每個VPN大概400條私網(wǎng)路由〕，出現(xiàn)無法創(chuàng)立VLAN、無法向FIB下發(fā)路由信息等錯誤，須重啟路由器方可恢復(fù)；在雙鏈路上行的組網(wǎng)中，上、下層級設(shè)備如果同時配置BGPRR特性，為防止出現(xiàn)BGP路由環(huán)路，建議為每個BGP反射器配置cluster-id；建議在相同VPNinstance的不同Site上配置不同的RD值；NE40當(dāng)前版本都只支持靜態(tài)BFD，且只能和ISIS/VRRP聯(lián)動，所以不能在NE40和SR88/SR66間部署B(yǎng)FD；當(dāng)前版本NE40不支持BGPvpnv4GR能力，我們設(shè)備沒問題；SR88設(shè)備的BFD報文走QoS的7隊列，如果有其他數(shù)據(jù)報文也走7隊列，就可能將BFD報文沖掉，從而會導(dǎo)致協(xié)議震蕩，在網(wǎng)絡(luò)規(guī)劃時應(yīng)該防止數(shù)據(jù)流量走7隊列；建議IBGPpeer間不部署B(yǎng)FDforBGP，只在EBGPpeer間部署B(yǎng)FDforBGP，否那么如果IGP收斂時間過長會導(dǎo)致BGP鄰居中斷，從而導(dǎo)致更長時間的斷流；S9500/S7500E設(shè)備不支持BFD；S9500不支持LDP/BGPGR；S9500/S7500E無法針對MPLSEXP字段進(jìn)行QoS操作；產(chǎn)品和版本信息產(chǎn)品產(chǎn)品版本SR88ComwareSoftware,Version5.20,Release3121P02ComwarePlatformSoftwareVersionCOMWAREV500R002B43D304H3CSR8800SoftwareVersionSR8800V300R001B02D006SP03SR66ComwareSoftware,Version5.20,B2111ComwarePlatformSoftwareVersionCOMWAREV500R002B43D005H3CSR6608SoftwareVersionV200R001B01D019S9500ComwareSoftware,Version3.10,Release1632P07ComwarePlatformSoftwareVersionCOMWAREHZV300R001B10D015SP12H3CS9505SoftwareVersionV100R006B01D015SP12H3CS9505ProductVersionS9500-CMW310-R1632P07(EI).S7500EComwareSoftware,Version5.20,Ess6200ComwarePlatformSoftwareVersionCOMWAREV500R002B46D001H3CS7503ESoftwareVersionV600R002B01D046SP02MSRComwareSoftware,Version5.20,Beta1608,StandardComwarePlatformSoftwareVersionCOMWAREV500R002B47D001H3CMSR30-40SoftwareVersionV300R002B03D008iMCMVM智能管理平臺3.20-E0301V300R002B03D005告警管理組件3.20-E0301V300R002B03D005性能管理組件3.20-E0301V300R002B03D005網(wǎng)元組件3.20-E0301V300R001B05D028MPLSVPN管理組件3.20-E0301V300R002B03D002廣域數(shù)據(jù)通信網(wǎng)解決方案V300R001B01D002版本產(chǎn)品及版本列表電子政務(wù)外網(wǎng)特性部署配置說明國網(wǎng)邊界NE40#sysnameNE40-2#/*配置路由協(xié)議使用的router-id值，建議配置為loopback接口地址*/routerid#/*配置VPN實例*/ipvpn-instancegw1route-distinguisher:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instancegw2route-distinguisher:2vpn-target100:2export-extcommunityvpn-target100:2import-extcommunity#/*進(jìn)行MPLS和MPLSLDP能力根底配置，并配置LDPGR特性*/mplslsr-id#mpls#mplsldpgraceful-restart#/*在與SR88-4互通的鏈路接口上配置IP地址及MPLS轉(zhuǎn)發(fā)能力，目前設(shè)備均默認(rèn)為PHP模式，即倒數(shù)第二跳彈出外層標(biāo)簽，因此B類跨域方式下接口無需配置MPLSLDP能力*/interfaceGigabitEthernet3/1/4undoshutdownipaddress255mpls#/*在與國網(wǎng)內(nèi)部設(shè)備互連的接口上配置IP地址和MPLS、MPLSLDP能力*/interfaceGigabitEthernet3/1/5undoshutdownipaddressmplsmplsldp#interfaceGigabitEthernet3/1/6undoshutdownipaddressmplsmplsldp#/*配置loopback接口用作路由協(xié)議router-id，或在BGPpeer建連時用作源接口*/interfaceLoopBack1ipaddress#/*配置BGP相關(guān)根本參數(shù)、GR特性及VPNV4路由交互能力*/bgp100/*配置BGPGR特性*/graceful-restartpeeras-number200groupgw_internalinternalpeergw_internalconnect-interfaceLoopBack1peeras-number100peergroupgw_internal#ipv4-familyunicastundosynchronizationpeerenablepeergw_internalenablepeerenablepeergroupgw_internal#/*配置BGPVPNV4路由交互相關(guān)參數(shù)*/ipv4-familyvpnv4defaultlocal-preference200policyvpn-targetpeerenablepeergw_internalenablepeerenablepeergroupgw_internal#ipv4-familyvpn-instancegw1#ipv4-familyvpn-instancegw2#/*配置OSPF路由協(xié)議，進(jìn)行國網(wǎng)內(nèi)公網(wǎng)路由交互*/ospf1/*配置OSPFGR能力*/enablelink-local-signalingenableout-of-band-resynchronizationgraceful-restartopaque-capabilityenable/*將相關(guān)鏈路參加到OSPF路由網(wǎng)絡(luò)中*/networknetwork202.1.2network202.2.3#省網(wǎng)邊界&省級核心SR88#sysnameSR88-4#/*配置路由協(xié)議使用的router-id值，建議配置為loopback接口地址*/routerid#/*配置VPN實例*/ipvpn-instancesw1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instancesw2route-distinguisher100:2vpn-target100:2export-extcommunityvpn-target100:2import-extcommunity#/*進(jìn)行MPLS和MPLSLDP能力根底配置，并配置LDPGR特性*/mplslsr-id#mpls#mplsldpgraceful-restart#/*配置QoS優(yōu)先級映射，將入方向優(yōu)先級為5的報文映射到出方向優(yōu)先級6隊列〔即EF隊列〕；SR88設(shè)備的QoS配置相比照擬復(fù)雜，其他更多內(nèi)容請參閱SR88配置手冊的QoS局部*/qosmap-tableinboundup-upimport5export6#/*配置loopback接口用作路由協(xié)議router-id，或在BGPpeer建連時用作源接口*/interfaceLoopBack1ipaddress#/*在與SR88-5互連的接口上配置IP地址、MPLS及MPLSLDP能力，啟用OSPFBFD特性*/interfaceGigabitEthernet3/1/1portlink-moderouteipaddressospfbfdenablemplsmplsldp#/*在與S9500-6互連的接口上配置IP地址、MPLS及MPLSLDP能力*/interfaceGigabitEthernet3/1/2portlink-moderouteipaddressmplsmplsldp#/*在與SR66-8互連的接口上配置IP地址、MPLS及MPLSLDP能力，啟用OSPFBFD特性*/interfacePos3/1/3portlink-moderouteipaddressospfbfdenablemplsmplsldp#/*在與SR66-7互連的接口上配置IP地址、MPLS及MPLSLDP能力，啟用OSPFBFD特性；并根據(jù)入報文的優(yōu)先級進(jìn)行優(yōu)先級隊列調(diào)度*/interfacePos3/1/7portlink-moderouteipaddressospfbfdenablemplsmplsldpqostrustauto#/*在與NE40-2互連的接口上配置IP地址、MPLS能力；目前設(shè)備均默認(rèn)為PHP模式，即倒數(shù)第二跳彈出外層標(biāo)簽，因此B類跨域方式下接口無需配置MPLSLDP能力*/interfaceGigabitEthernet3/1/8portlink-moderouteipaddressmpls#/*配置BGP相關(guān)根本參數(shù)、GR特性及VPNV4路由交互能力*/bgp200undosynchronization/*配置BGPGR特性*/graceful-restartpeeras-number100groupsw_internalinternalpeersw_internalconnect-interfaceLoopBack1peergroupsw_internalpeergroupsw_internalpeergroupsw_internal#/*配置BGPVPNV4路由交互相關(guān)參數(shù)*/ipv4-familyvpnv4defaultlocal-preference200peerenablepeersw_internalenable/*配置對等體組中的成員為UPE，即將設(shè)備配置成SPE，指定下端S9500-6、SR66-7和SR66-8為UPE設(shè)備，并為對等體組中的成員下發(fā)VPNsw1和sw2的私網(wǎng)默認(rèn)路由*/peersw_internalupepeersw_internaldefault-route-advertisevpn-instancesw1peersw_internaldefault-route-advertisevpn-instancesw2peerenablepeergroupsw_internalpeerenablepeergroupsw_internalpeerenablepeergroupsw_internal#ipv4-familyvpn-instancesw1#ipv4-familyvpn-instancesw2#/*配置OSPF路由協(xié)議，進(jìn)行省網(wǎng)內(nèi)公網(wǎng)路由交互*/ospf1/*配置OSPFGR能力*/opaque-capabilityenablegraceful-restartietf/*將相關(guān)鏈路參加到OSPF路由網(wǎng)絡(luò)中*/networknetworknetwork202.4.7network202.4.8network202.4.5#/*如果需要在SR66至SR88方向上建立MPLSTE隧道對指定VPN的數(shù)據(jù)流進(jìn)行保護(hù)，可以增加以下斜體加粗局部配置*/#/*配置MPLSTE根本能力*/mplsmplstemplsrsvp-templstecspf#/*在相關(guān)接口上配置MPLSTE參數(shù)并啟用MPLSTE能力*/interfaceGigabitEthernet3/1/1portlink-moderouteospfbfdenablemplsmplstemplstemax-link-bandwidth100000mplstemax-reservable-bandwidth5000mplsldpmplsrsvp-te#interfaceGigabitEthernet3/1/7portlink-moderouteospfbfdenablemplsmplstemplstemax-link-bandwidth100000mplstemax-reservable-bandwidth5000mplsldpmplsrsvp-te#/*配置OSPF路由協(xié)議的MPLSTE能力*/ospf1opaque-capabilityenablempls-teenable#地市核心SR66#sysnameSR66-7#/*配置qospq列表，將exp值為5的報文放入top隊列中〔即優(yōu)先級最高的隊列〕*/qospql1protocolmplsexp5queuetop#/*配置路由協(xié)議使用的router-id值，建議配置為loopback接口地址*/routerid#mplslsr-id#/*配置VPN實例*/ipvpn-instancesw1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instancesw2route-distinguisher100:2vpn-target100:2export-extcommunityvpn-target100:2import-extcommunity#/*進(jìn)行MPLS和MPLSLDP能力根底配置，并配置LDPGR特性*/mpls#mplsldpgraceful-restart#/*配置E1鏈路使用透明2M的模式*/controllerE12/1/0usinge1#controllerE12/1/1usinge1#controllerE12/1/2usinge1#controllerE12/1/3usinge1#controllerE12/1/4usinge1#controllerE12/1/7usinge1#/*在與MSR-10互連的接口上配置IP地址、MPLS及MPLSLDP能力*/interfaceSerial2/1/0:0link-protocolpppipaddressmplsmplsldp#/*將2/1/1:0～2/1/4:0這4個2M接口配置為pppmultilink模式*/interfaceSerial2/1/1:0link-protocolppppppmpMp-group2/1/1#interfaceSerial2/1/2:0link-protocolppppppmpMp-group2/1/1#interfaceSerial2/1/3:0link-protocolppppppmpMp-group2/1/1#interfaceSerial2/1/4:0link-protocolppppppmpMp-group2/1/1#/*在與MSR-11互連的接口上配置IP地址、MPLS及MPLSLDP能力*/interfaceSerial2/1/7:0link-protocolpppipaddressmplsmplsldp#/*配置loopback接口用作路由協(xié)議router-id，或在BGPpeer建連時用作源接口*/interfaceLoopBack1ipaddress#/*在與SR88-5互連的多鏈路捆綁接口上配置IP地址、MPLS及MPLSLDP能力，并啟用OSPFBFD特性*/interfaceMp-group2/1/1ipaddressospfbfdenablemplsmplsldp#/*在與SR88-4互連的接口上配置IP地址、MPLS及MPLSLDP能力，啟用OSPFBFD特性；并根據(jù)已定義的pq列表對匹配的報文進(jìn)行優(yōu)先級調(diào)度*/interfacePos4/1/2ipaddress202.ospfbfdenablemplsmplsldpqospqpql1#/*配置BGP相關(guān)根本參數(shù)、GR特性及VPNV4路由交互能力*/bgp200undosynchronization/*配置BGPGR特性*/graceful-restartgroupsw_internalinternalpeersw_internalconnect-interfaceLoopBack1peergroupsw_internalpeerbfdpeergroupsw_internalpeerbfdgroupupeinternalpeerupeconnect-interfaceLoopBack1peer0groupupepeer11groupupe#/*配置BGPVPNV4路由交互相關(guān)參數(shù)*/ipv4-familyvpnv4peersw_internalenablepeerenablepeergroupsw_internalpeerenablepeergroupsw_internalpeerupeenable/*配置對等體組中的成員為UPE，即將設(shè)備配置成SPE，指定下端MSR-10和MSR-11為UPE設(shè)備，并為對等體組中的成員下發(fā)VPNsw1和sw2的私網(wǎng)默認(rèn)路由*/peerupeupepeerupedefault-route-advertisevpn-instancesw1peerupedefault-route-advertisevpn-instancesw2peer0enablepeer0groupupepeer11enablepeer11groupupe#ipv4-familyvpn-instancesw1#ipv4-familyvpn-instancesw2#/*配置OSPF路由協(xié)議，進(jìn)行省網(wǎng)內(nèi)公網(wǎng)路由交互*/ospf1/*配置OSPFGR能力*/opaque-capabilityenablegraceful-restartietf/*將相關(guān)鏈路參加到OSPF路由網(wǎng)絡(luò)中*/work202.4.7networknetwork202.7network202.7.11#/*如果需要在SR66至SR88方向上建立MPLSTE隧道對指定VPN的數(shù)據(jù)流進(jìn)行保護(hù)，可以增加以下斜體加粗局部配置*/#/*配置MPLSTE根本能力*/mplsmplstemplsrsvp-templstecspf#/*在相關(guān)接口上配置MPLSTE參數(shù)并啟用MPLSTE能力*/interfaceGigabitEthernet4/1/0ospfbfdenablemplsmplstemplstemax-link-bandwidth100000mplstemax-reservable-bandwidth5000mplsldpmplsrsvp-te#interfaceMp-group2/1/1ospfbfdenablebfdmin-transmit-interval200mplsmplstemplstemax-link-bandwidth100000mplstemax-reservable-bandwidth1000mplsldpmplsrsvp-te/*配置OSPF路由協(xié)議的MPLSTE能力*/ospf1opaque-capabilityenablempls-teenable#/*配置MPLSTE隧道Tunnel接口并配置MPLSTE相關(guān)參數(shù)*/interfaceTunnel3/0/0tunnel-protocolmplsteospfcost1mplstetunnel-id1mplsterecord-routemplstebandwidthbc02000mplstepathdynamicpreference5mplstecommit#iproute-static32Tunnel3/0/0#區(qū)縣節(jié)點MSR#sysnameMSR-10#/*配置路由協(xié)議使用的router-id值，建議配置為loopback接口地址*/routerid0#mplslsr-id0#/*配置VPN實例*/ipvpn-instancesw1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instancesw2route-distinguisher100:2vpn-target100:2export-extcommunityvpn-target100:2import-extcommunity#/*進(jìn)行MPLS和MPLSLDP能力根底配置，并配置LDPGR特性*/mpls#mplsldpgraceful-restart#/*配置ACL規(guī)那么，對匹配的數(shù)據(jù)報文進(jìn)行流分類并為將其內(nèi)外層MPLS標(biāo)簽中的EXP值設(shè)置為優(yōu)先級5*/aclnumber3000rule1permitipvpn-instancesw1source000#trafficclassifiervoiceoperatorandif-matchacl3000#trafficbehaviorvoiceremarkmpls-exp5#qospolicyvoiceclassifiervoicebehaviorvoice#/*配置E1鏈路使用透明2M模式*/controllerE12/0usinge1#/*在與SR66-7互連的接口上配置IP地址、MPLS及MPLSLDP能力*/interfaceSerial2/0:0link-protocolpppipaddress0mplsmplsldp#/*配置loopback接口用作路由協(xié)議router-id，或在BGPpeer建連時用作源接口*/interfaceLoopBack1ipaddress0#/*將私網(wǎng)接口綁定到指定的VPN實例中，配置私網(wǎng)IP地址，并在入方向上應(yīng)用QoS策略為指定數(shù)據(jù)流打上優(yōu)先級標(biāo)記，并對其進(jìn)行CAR操作*/interfaceGigabitEthernet0/1ipbindingvpn-instancesw1qosapplypolicyvoiceinboundqoscarinboundacl3000cir1000cbs65535ebs0greenpassreddiscard#interfaceGigabitEthernet0/2ipbindingvpn-instancesw2ipaddress#/*配置BGP相關(guān)根本參數(shù)、GR特性及VPNV4路由交互能力*/bgp200undosynchronization/*配置BGPGR特性*/graceful-restartgroupsw_internalinternalpeersw_internalconnect-interfaceLoopBack1peergroupsw_internal#/*配置BGPVPNV4路由交互相關(guān)參數(shù)*/ipv4-familyvpnv4peersw_internalenablepeerenablepeergroupsw_internal#ipv4-familyvpn-instancesw1import-routedirect#ipv4-familyvpn-instancesw2import-routedirect#/*配置OSPF路由協(xié)議，進(jìn)行省網(wǎng)內(nèi)公網(wǎng)路由交互*/ospf1/*配置OSPFGR能力*/opaque-capabilityenablegraceful-restartietf/*將相關(guān)鏈路參加到OSPF路由網(wǎng)絡(luò)中*/network202.7.10network0#省級城域網(wǎng)S9500#sysnameS9500-6#/*配置路由協(xié)議使用的router-id值，建議配置為loopback接口地址*/routerid#/*進(jìn)行MPLS和MPLSLDP能力根底配置*/mplslsr-id#mpls#mplsldp#/*配置VPN實例*/ipvpn-instancesw1route-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instancesw2route-distinguisher100:2vpn-target100:2export-extcommunityvpn-target100:2import-extcommunity#vlan100#vlan200#/*在與SR88-4互連的vlan接口上配置IP地址、MPLS及MPLSLDP能力*/interfaceVlan-interface100ipaddressmplsmplsldpenable#/*在與SR88-5互連