中国电信移动承载网实施配置要求规范(ER设备分册实用模板)1115

word中国电信移动承载网实施配置规XER分册试行中国电信集团18:12编制单位：编写单位：中国电信股份、中国电信股份某某研究院组长：编写人：统稿人：审核人：联系人：联系方式：修订记录版本号日期描述设备软硬件适用X围设备类型适用软件版本适用硬件版本26 / 32编制说明本文档为中国电信移动承载网实施配置规XER设备分册，包括ER设备组网配置要求与模板、与2网络互联配置要求与模板等内容。移动承载网的工程建设应比照本规X执行。在相关工程建设完毕后，集团公司会正式下发本规X的修订版。本规X由中国电信集团网络运行维护事业部进展解释说明。目 录1 设备根本信息与可靠性3 设备根本信息配置3 设备远程管理要求3 路由器访问控制42 网管要求8 省级IPRAN网管对ER的管理方式8 NTP实现方式83 端口配置要求94 路由组织10 IGP10 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会MCE-ER10 MP-BGP设置要求11 AS设置要求11 VRR设置要求11 MP-eBGP设置要求12 路由快速收敛13 ER故障检测和路由快速收敛135 基站的业务实现15 基站业务在ER上的实现156 VPN组织16 RAN VPN16 CTVPN193 VPN16 CTVPN194 VPN177 网络服务质量QoS配置18 QoS整体部署原如此18 PW+L3VPN方案QoS部署策略18 业务标识18 队列调度208 通道类业务实现21 2三层VPN在城域内二层通道落地方案21 业务从B设备接入/落地21 业务从B设备接入/落地21 业务从A设备接入/落地22 QoS部署方案229 设备命名规X23 设备命名23 网络端口命名24 Loopback接口命名25 基站业务接口命名2510 配置示例26 ER设备配置示例插入附件26缩略语本文中将使用如下缩略语，除非文中特别说明，否如此意义如下；对于未说明的缩略语，应做业界标准或惯例理解。缩写英文全称中文eNodeBEvolved Node B演进的Node BMMEMobility Management Entity移动性管理实体HSSHome subscriber Server归属用户服务器SGWServing-GateWay服务网关PGWPacket Data Network GateWay分组数据网网关LTELong Term Evolution长期演进EPCEvolved Packet Core演进的分组核心网PCRFPolicy and Charging Rules Function策略和计费规如此功能HSGWHRPD Serving GateWay高速分组数据网络服务网关OCSOnline Charging Systerm在线计费系统PIPDSN to InternetPI网络AAAAuthentication Authorization, and Accounting鉴权、授权、计费DNSDomain Name Server域名服务器NTPNetwork Time Protocol时间同协议P-I网络PDSN-InternetPDSN与所有数据通信节点之间的网络，如PDSN与其他路由器之间的网络R-P网络Radio-PDSN介于无线网络特指PCF和PDSN之间的网络ER移动承载网的核心路由器，在不同的网络层级包括三类ER：会聚ERD-ER、城域ERM-ER、省级ER会聚省内各本地网流量的设备A设备基站接入设备B设备基站接入设备的会聚路由器MCE多业务承载CE，包括C网CE、EPC CEBSC CE指接入BSC/RNC的B设备RAN CE专指阿朗用于基站回传的IPBH设备1 设备根本信息与可靠性1.1 设备根本信息配置l 配置设备名称，要求符合资源命名规X要求。l 配置系统时间，要求采用标准时间。l 定义Router-ID，思科、华为设备配置为Loopback0地址，中兴设备配置为Loopback1地址，阿朗设备缺省使用system关键字作为Loopback端口。配置模板：1.2 设备的访问与访问控制1.2.1 设备远程管理要求对ER设备远程管理需要进展严格控制，只允许信任用户以特定方式SSH/SNMP等进展访问。在设备的初始化管理阶段允许通过TELNET对设备进展访问。1.2.2 路由器访问控制1.2.2.1 VTY接口访问控制对ER设备VTY接口访问进展控制，防止非法用户通过Telnet/SSH方式获取ER设备的控制能力。具体采取以下措施对VTY接口访问进展控制：l 修改VTY并发连接数缺省值，调整为厂商允许最大值。华为设备最多允许同时15个，阿朗设备为15个，空闲时间为5分钟。l 针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进展过滤： 允许以下地址段访问根据实际情况进展调整：2国内设备地址段集团网管地址段集团NOC地址段全网CE设备地址段省内网管地址段和IPRAN设备管理地址段各省自定 正常情况下，不允许其他地址登陆。l 路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接，这样可以防止所有远程登录VTY端口占用而无法对设备进展管理，将此超时时间设置为5分钟。l 加强VTY用户密码管理，对VTY用户采用TACACS+集中认证和本地认证技术，TACASCS+认证优先，同时进展认证、授权、审计操作。l 考虑到采用TACACS+服务器对VTY用户某某、权限进展统一管理。设备的TACACS管理密码应实现动态更新。l 紧急故障处理期间，允许外网设备通过L2TP(IPSEC) VPN拨号方式登陆到网管中心专用设备上，通过该设备进展跳转访问ER设备，正常期间需关闭L2TP VPN拨号访问的通道。l ER设备可管理后，需关闭telnet，只允许使用SSH。l TACACS认证只用于用户登录，设备命令授权推荐在设备上实现。l 路由器本地配置用户名和管理组作为备份管理方式，需要配置全部读写权限和只读权限2个级别的管理组。l 配置Console端口口令，防止非法用户对设备进展控制。配置模板：1.2.2.2 SNMP访问控制对SNMP访问进展控制，防止非法用户通过SNMP管理接口获取设备信息。ER设备采取以下措施对SNMP访问进展控制：l 开启SNMP V2/v3 Agent的功能，提高安全性，并采用Auth&Priv安全模式，并采用MD5算法。l 开放网管系统需要的MIB View，对表变量如路由表，转发表等设置MIB View限制网管系统访问。l 设置相应的访问控制列表只允许信任主机通过SNMP方式访问设备。l SNMP只开启只读权限，SNMP团体名每半年更新一次。配置模板：1.2.2.3 其他服务访问控制l 关闭HTTP服务，防止非法用户通过设备提供的HTTP服务对设备进展访问控制。l 关闭FTP服务，防止非法用户通过设备提供的FTP服务下载设备重要文件，维护时期如需上传软件，如此临时开启FTP SERVER服务。l 关闭路由器其他小端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)等，增强设备本身的安全性。配置模板：1.3 设备系统日志l ER设备的系统日志包括告警日志与操作日志，在设备本地和日志服务器上保存，其中日志服务器记录的级别为Warnings以上。l ER设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求每天对系统日志进展检查，与时发现异常与时处理，日志在日志服务器保存期限至少三个月。l 配置系统的所有级别告警日志和操作日志，保存到本地，其中阿朗设备LOG-ID为20；华为设备log缓冲区大小设置为1024。l 设备系统日志与其他信息显示时间为设备NTP时间。配置模板：1.4 设备高可靠性措施l 路由器主备引擎配置为自身支持的最优冗余保护方式，优选NSR模式。l 配置路由器控制引擎之间的配置文件和动态数据同步。l 开启CPU保护功能，防止非法流量对路由器引擎CPU的攻击。配置模板：1.5 设备负载均衡的方式目前主流厂家设备的负载均衡，可以分为两种方式：l per packet负载均衡方式l per flow负载均衡方式对于per packet方式，在转发时按照报文进入路由器的次序进展负载均衡，但容易乱序并造成TCP转发速度慢。对于per flow方式，设备实现中采用Hash的方式，这种方式不会产生乱序。本期工程所采购的路由器缺省采用per flow负载均衡方式；并采用缺省或配置hash因子实现MPLS流量负载均衡。配置模板：1.6 其他特性对于ER设备未使用端口，全部关闭，防止非法用户接入。配置模板：2 网管要求2.1 省级IPRAN网管对ER的管理方式非省会地市IPRAN，通过城域ER与2 PE的互联链路，建立Global的EBGP peer，广播本地市IPRAN设备管理地址的会聚路由到2，并接收2广播的本省IPRAN网管地址路由与其他地市的IPRAN管理地址路由。配置模板：2.2 NTP实现方式NTP时间同步采用分级部署方式：l ER设置为二级NTP server。l B、EPC CE和BSC CE作为ER的NTP client。设备与NTP server路由交换方式如下：l ER的管理loopback地址路由和一级NTP server路由通过Global网管通道互相通告。l B、EPC CE、BSC CE的管理loopback地址路由和二级NTP serverER路由通过Global网管通道相互通告。配置模板：3 端口配置要求3.1 接口通用要求MTU设置要求：l 华为设备网络侧IP MTU 配置为9000字节，业务侧IP MTU配置为2000字节。l 中兴、阿朗、烽火、思科、Juniper等设备设置物理接口MTU；网络侧配置为9000字节，业务侧配置为2000字节。配置模板：以太接口的协商模式要求：l 网络侧接口采用强制模式。l 对于业务侧接口，以业务系统接口的协商模式为主。4 路由组织4.1 IGP会聚ER、城域ER、省级ER等设备配置在一样的ISIS域。4.1.1 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会MCE-ERB-ER、ER-ER、EPC CE-ER、BSC CE-ER、省会MCE-ER间的互联链路统一开启ISIS Level-2和LDP。ISIS进程号推荐采用100。Cost配置详见下表：链路ISIS metricB-DER3000B-城域ER1500DER-城域ER1500DER-DER50城域ER-城域ER100BSC CE-城域ER500城域ER-EPC CE500城域ER-省会MCE500城域ER-省级ER1000省级ER-省级ER150配置模板：4.2 MP-BGP设置要求4.2.1 AS设置要求l ER统一使用省会MCE的AS号。l 会聚ER不开启PE功能。配置模板：4.2.2 VRR设置要求l 场景一：通过2实现省内长途互联，以本地网为单位设置VRR。 城域ER兼作VRR； 对于VRR Client数超过200的地市，以与省会城市，要求采用独立VRR； B、EPC CE和BSC CE分别作为VRR的Client； 会聚ER不作为VRR的Client。场景一ERVRR配置模板：l 场景二：省内长途通过省级ER直连，设置二级VRR。 非省会本地网选取一对城域ER作为二级VRR，省会选取省级ER作为一级VRR； 为加快MP-BGP路由域内的收敛速度，EPC CE既属于一级VRR的Client，也属于二级VRR的Client； 随着网络规模的扩大，应设置独立VRR，按一级VRR进展统一部署Cluster控制在3个以内。场景二ERVRR配置模板：l 场景三： EPC网元在省内跨地市部署。 省会采用省级ER兼作VRR，EPC网元所在非省会城市采用城域ER作为VRR，两组VRR配置不同的cluster ID； 两组VRR间配置普通MP-IBGP全互联peer关系。 每个地市的B、EPC CE和BSC CE分别作为本地VRR的Client； 会聚ER不作为VRR的Client。场景三ERVRR配置模板：4.2.3 MP-eBGP设置要求l 非省会城市ER与2 PE采用option A方式对接，EBGP配置要求如下： 优先采用loopback-n地址建立EBGP连接，loopback-n地址之间互通配置BFD+静态路由； 路由策略由EPC CE/ER侧进展控制，CE采用MED控制CE入方向的流量，采用Local-preference控制CE出方向的流量； 启用BFD关联EBGP实现快速故障发现； PE开启AS-Override，为防止路由环，需配置SOO； 关闭PE与EPC CE/ER之间的BGP send-munity extended，采用Standard munity； PE侧VRF分发静态路由和直联路由； EPC CE/ER按照白方式向2 VPN发送本地VPN汇总路由A，按需发送明细路由本机房路由An，实现流量流向调整； EPC CE/ER按照黑方式拒收缺省路由，并按需增加黑路由； EBGP连接不做MD5认证； 关闭Damping以加速收敛； EBGP设置 ebgp-multihop 2； Timer设置： keepalive设为30s，hold time设为90s； 打开BGP 多路径EIBGP maximum-paths 8。非省会城市MCE与ER之间在本地优先采用EBGP Option A方式对接。按需打通EPC VPN与PI-1 VPN、RAN VPN。后期移动承载网建成之后，可将MCE与ER调整到同一个AS号。配置模板：4.3 路由快速收敛4.3.1 ER故障检测和路由快速收敛本地网或者省网内，ER与B、BSC CE、EPC CE位于一样MPLS VPN域内。图表 1 B以上故障检测和路由快速收敛ER所在核心层网络快速收敛部署方式：l 对于非省会城市，ER作为VPN PE节点，配置双RD，发布等价VPNv4路由，形成VPNv4 ECMP负载分担方式。l 配置下一跳跟踪触发NHT机制，并结合下一跳别离技术加速路由的快速收敛。l 开启BFD for IGP来实现IGP快速检测，检测时间间隔3*30ms。l 启用局部路由计算PRC和增量路由收敛特性ISPF。l 为防止链路抖动，配置carrier-delaydown 0/up 200ms。l 配置LDP/IP FRR，实现LSP快速切换。l 对于非省会城市，ER与B设备为同厂家设备的情况，要求在ER与B设备之间配置BFD for Loopback或BFD for LSP端到端快速检测，检测时间间隔配置3*50ms；对于ER与B设备为异厂家的情况，暂不考虑BFD for loopback或BFD for LSP。配置模板：5 基站的业务实现5.1 基站业务在ER上的实现对于非省会城市RAN VPN，ER用于承载基站业务，配置双RD，采用Option A与2对接。对于省内直连链路实现长途互联方式，ER只作为P设备。非省会城市ER配置模板：6 VPN组织6.1 RAN VPN以省为单位设置，1X、Do与LTE基站共用同一VPN承载，RAN VPN 在本地网侧采用Full-Mesh结构。本地网侧的RD/RT设置如下：VPNRD1RD2export1import1CDMA-RAN4134:30504134:31504134:3050004134:305000配置模板：6.2 CTVPN193 VPNCTVPN193 VPN提供A和B设备的网管通道，以省为单位进展组网，VPN城域内采用星型组网，网管中心所在节点为Hub节点，其它节点为Spoke节点。对于非省会城市ER，配置EBGP OPTION A与2对接；向2通告，并接收2通告的网管系统路由。RD/RT定义如下：以某某本地网为例，CTVPN193在城域网RD/RT定义如下：VPNRD1PE1本地网HUB节点 importHUB节点 exportSPOKE importSPOKE节点 exportCTVPN193-HE4134:16034134:1603004134:1603014134:1603004134:1603004134:160301配置模板：6.3 CTVPN194 VPNCTVPN194 VPN按需设置，提供基站环境监控系统互联，在城域内采用Hub-Spoke方式进展组网。对于非省会城市ER，配置EBGP OPTION A与2对接。RD/RT定义如下：VPNRD1PE1本地网HUB节点 importHUB节点 exportSPOKE importSPOKE节点 exportCTVPN1944134:30704134:3070004134:3070014134:3070004134:3070004134:307001配置模板：7 网络服务质量QoS配置7.1 QoS整体部署原如此l 保持与2的 QoS部署规X一致；l 精简队列数量，降低部署难度；l 规X并信任无线业务优先级，透传无线业务优先级；l 政企客户业务按照接入端口/VLAN进展映射，透传政企业务优先级。7.2 PW+L3VPN方案QoS部署策略7.2.1 业务标识上下行标识流程如如下图所示：图表 2PW+L3VPN方案上行业务标识流程图表 3PW+L3VPN方案下行业务标识流程对于基站业务，基于IP DSCP进展标识，重置EXP值，IP QoS在基站到BSC/EPC之间的承载网络实现透传。对于政企客户业务，基于端口/VLAN进展标识，重置EXP值，IP QoS在承载网络实现透传。业务与队列映射关系如下表DSCP根据业务的DSCP标识进展调整：业务类型DSCP参考值网内映射EXPLTE信令、IMS/PS信令VOIP、LTE话音、IP时钟464IKE483G信令50OAM541X语音49视频、在线流媒体345eMBMS组播403G专线用户47政企客户钻石、白金等级流量/1X数据322DO数据/政企客户金、银等级流量/LTE网管低优先级140实时游戏、高速上网类10政企客户铜等级流量/配置模板：7.3 队列调度调度策略建议如下：IPP网内映射EXP队列调度调度策略66PQ优先队列不限速4PQ优先队列限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE注：信令与业务流的PQ队列尽量分开设置，根据设备不同情况也可以合并队列设置。配置模板：8 通道类业务实现8.1 2三层VPN在城域内二层通道落地方案8.1.1 业务从B设备接入/落地业务从A设备接入/落地，双侧采用单归接入方式，通过多段PW承载，配置端到端BFD for PW进展故障检测。配置模板：8.1.2 业务从B设备接入/落地业务从B设备接入/落地，单侧采用双归接入方式，通过单段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFD for PW进展故障检测。配置模板：8.1.3 业务从A设备接入/落地业务从A设备接入/落地，单侧采用双归接入方式，通过多段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFD for PW进展故障检测。配置模板：8.2 QoS部署方案通道类业务QoS部署原如此：l 不能修改业务报文的优先级；l 根据签约SLA信息，统一设置业务优先级；l 对通道类业务进展限速，防止对1X/DO/LTE等高价值业务造成影响；l 针对专线存在多个等级的情况，统一按照EXP2进展映射；配置模板：9 设备命名规X9.1 设备命名城市缩写-县缩写-节点缩写-设备属性-设备编号.网络业务类型.设备类型符号字符字符字符字符字符字符字符字符数字字符字符字符字符字符数818181固定111417选项必选必选可选可选必选必选必选必选必选必选必选必选可选l 字母大小各市需要采用统一标准，全部大写。l 两端、中间不带任何空格。l 城市标识，取城市名称拼音的首字母大写，如某某：NJ。l 当出现郊区县时，在城市标识后加郊区县名称拼音的首字母，如某某六合县：NJ-LH。l 节点标识，取节点名称拼音的首字母大写，如两节点的首字母有重叠如此取拼音不一样的字用全拼，分两种情况：当前一个字不同，如此前个字用全拼，如某某门HanZM和后宰门HouZM；当后一个字不同时如此后一个用全拼。A设备的节点名称需要各省统一规划。l 设备属性标识，规定如下： IP RAN接入层设备A类设备：A IP RAN会聚层设备B类设备：B 会聚ER设备：D 城域ER设备：M 省级ER设备:X EPC CE/BSC CE：MCE VPN路由反射器:Vl 设备序号，取阿拉伯数字，从1开始。同节点的一样属性的设备间以设备序号区别。l 网络类型：Ml 设备型号：华为CX600、ATN950；中兴：9000系列、6000系列；阿朗：7705S。l 示例：9.2 网络端口命名l 网络端口指网络的互连接口，其命令格式为： 端口网络位置:对端设备名称：链路输出编号对段端口类型 对端端口标志uT:上行)pT：(平行)dT：(下行)对端设备名称：链路传输编号对端端口类型对端端口标志符号字符字符字符字符字符数字/字符字符数320115108选项必选必选必选必选必选可选l 该类型端口的描述端口描述包含下面几局部： 端口网络位置：uT:上行)pT:(平行)dT:(下行) 对端设备名称：在点对点链路情况下，采用与设备直接连接的对方设备名称；对于以太网点对多点的链路情况下，填写直接连接的网段名称。 对端端口类型：FE、GE、POS、10GE； 对端端口标志：表示链路对端设备对应端口的具体标志规X； 链路传输编号：表示链路的传输号,如果同机房内设备互联无传输编号,如此为(Local)； 调测期间的链路描述最后增加“:PROCESSING，调测完成加业务后取消。l 示例uT:NJ-XX-ME40E:(S-16N0001IP)GE2/0/0表示该接口上行到某某市XX节点第一台ER NE40E的GE2/0/0端口，传输号S-16N001IP。9.3 Loopback接口命名Loopback环回接口的描述格式为“For-固定字符串。其中，固定字符串应为有意义的英文字符串小于30个字符，可以标注出该接口的特殊功能，如：Management、Multicast、VPN、Global Routing、BGP Load balance、LSP等。l 示例description For-VPN9.4 基站业务接口命名dT:基站名称-业务编号l 该类型接口的描述端口描述包含下面几局部： 基站名称：按无线专业进展命名； 业务编号： 包括1X、DO和 LTE。配置模板：10 配置示例10.1 ER设备配置示例插入附件