设备管理_某通信公司承载网实施配置规范

中国电信移动承载网实施配置规范（ER分册）（试行）中国电信集团有限公司二一九二一九年六月编制单位：编写单位：中国电信股份有限公司、中国电信股份有限公司广州研究院组长：编写人：统稿人：审核人：联系人：联系方式：修订记录版本号日期描述设备软硬件适用范围设备类型适用软件版本适用硬件版本编制说明本文档为中国电信移动承载网实施配置规范ER设备分册，包括ER设备组网配置要求及模板、与CN2网络互联配置要求及模板等内容。移动承载网的工程建设应比照本规范执行。在相关工程建设结束后，集团公司会正式下发本规范的修订版。本规范由中国电信集团网络运行维护事业部进行解释说明。目 录1 设备基本信息及可靠性31.1 设备基本信息配置31.2.1 设备远程管理要求31.2.2 路由器访问控制42 网管要求82.1 省级IPRAN网管对ER的管理方式82.2 NTP实现方式83 端口配置要求94 路由组织104.1 IGP104.1.1 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会MCE-ER104.2 MP-BGP设置要求114.2.1 AS设置要求114.2.2 VRR设置要求114.2.3 MP-eBGP设置要求124.3 路由快速收敛134.3.1 ER故障检测和路由快速收敛135 基站的业务实现155.1 基站业务在ER上的实现156 VPN组织166.1 RAN VPN166.2 CTVPN193 VPN166.3 CTVPN194 VPN177 网络服务质量（QoS）配置187.1 QoS整体部署原则187.2 PW+L3VPN方案QoS部署策略187.2.1 业务标识187.3 队列调度208 通道类业务实现218.1 CN2三层VPN在城域内二层通道落地方案218.1.1 业务从B设备接入/落地218.1.2 业务从B设备接入/落地218.1.3 业务从A设备接入/落地228.2 QoS部署方案229 设备命名规范239.1 设备命名239.2 网络端口命名249.3 Loopback接口命名259.4 基站业务接口命名2510 配置示例2610.1 ER设备配置示例（插入附件）26缩略语本文中将使用下列缩略语，除非文中特别说明，否则意义如下；对于未说明的缩略语，应做业界标准或惯例理解。缩写英文全称中文eNodeBEvolved Node B演进的Node BMMEMobility Management Entity移动性管理实体HSSHome subscriber Server归属用户服务器SGWServing-GateWay服务网关PGWPacket Data Network GateWay分组数据网网关LTELong Term Evolution长期演进EPCEvolved Packet Core演进的分组核心网PCRFPolicy and Charging Rules Function策略和计费规则功能HSGWHRPD Serving GateWay高速分组数据网络服务网关OCSOnline Charging Systerm在线计费系统PIPDSN to InternetPI网络AAAAuthentication Authorization, and Accounting鉴权、授权、计费DNSDomain Name Server域名服务器NTPNetwork Time Protocol时间同协议P-I网络PDSN-InternetPDSN与所有数据通信节点之间的网络，如PDSN与其他路由器之间的网络R-P网络Radio-PDSN介于无线网络（特指PCF）和PDSN之间的网络ER移动承载网的核心路由器，在不同的网络层级包括三类ER：汇聚ER（D-ER）、城域ER（M-ER）、省级ER（汇聚省内各本地网流量的设备）A设备基站接入设备B设备基站接入设备的汇聚路由器MCE多业务承载CE，包括C网CE、EPC CEBSC CE指接入BSC/RNC的B设备RAN CE专指阿朗用于基站回传的IPBH设备1 设备基本信息及可靠性1.1 设备基本信息配置l 配置设备名称，要求符合资源命名规范要求。l 配置系统时间，要求采用标准北京时间。l 定义Router-ID，思科、华为设备配置为Loopback0地址，中兴设备配置为Loopback1地址，阿朗设备缺省使用system关键字作为Loopback端口。配置模板：1.2 设备的访问及访问控制1.2.1 设备远程管理要求 对ER设备远程管理需要进行严格控制，只允许信任用户以特定方式（SSH/SNMP等）进行访问。在设备的初始化管理阶段允许通过TELNET对设备进行访问。1.2.2 路由器访问控制 VTY接口访问控制 对ER设备VTY接口访问进行控制，防止非法用户通过Telnet/SSH方式获取ER设备的控制能力。 具体采取以下措施对VTY接口访问进行控制：l 修改VTY并发连接数缺省值，调整为厂商允许最大值。华为设备最多允许同时15个，阿朗设备为15个，空闲时间为5分钟。l 针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤： 允许以下地址段访问（根据实际情况进行调整）：CN2国内设备地址段-55 集团网管地址段-55 集团NOC地址段-55 全网CE设备地址段55 省内网管地址段和IPRAN设备管理地址段各省自定 正常情况下，不允许其他地址登陆。l 路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接，这样可以防止所有远程登录VTY端口占用而无法对设备进行管理，将此超时时间设置为5分钟。l 加强VTY用户密码管理，对VTY用户采用TACACS+集中认证和本地认证技术，TACASCS+认证优先，同时进行认证、授权、审计操作。l 考虑到采用TACACS+服务器对VTY用户帐号、权限进行统一管理。设备的TACACS管理密码应实现动态更新。l 紧急故障处理期间，允许外网设备通过L2TP(IPSEC) VPN拨号方式登陆到网管中心专用设备上，通过该设备进行跳转访问ER设备，正常期间需关闭L2TP VPN拨号访问的通道。l ER设备可管理后，需关闭telnet，只允许使用SSH。l TACACS认证只用于用户登录，设备命令授权推荐在设备上实现。l 路由器本地配置用户名和管理组作为备份管理方式，需要配置全部读写权限和只读权限2个级别的管理组。l 配置Console端口口令，防止非法用户对设备进行控制。配置模板： SNMP访问控制对SNMP访问进行控制，防止非法用户通过SNMP管理接口获取设备信息。ER设备采取以下措施对SNMP访问进行控制：l 开启SNMP V2/v3 Agent的功能，提高安全性，并采用Auth&Priv安全模式，并采用MD5算法。l 开放网管系统需要的MIB View，对表变量（如路由表，转发表等）设置MIB View限制网管系统访问。l 设置相应的访问控制列表只允许信任主机通过SNMP方式访问设备。l SNMP只开启只读权限，SNMP团体名每半年更新一次。配置模板： 其他服务访问控制l 关闭HTTP服务，防止非法用户通过设备提供的HTTP服务对设备进行访问控制。l 关闭FTP服务，防止非法用户通过设备提供的FTP服务下载设备重要文件，维护时期如需上传软件，则临时开启FTP SERVER服务。l 关闭路由器其他小端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)等，增强设备本身的安全性。配置模板：1.3 设备系统日志l ER设备的系统日志包括告警日志及操作日志，在设备本地和日志服务器上保存，其中日志服务器记录的级别为Warnings以上。l ER设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求每天对系统日志进行检查，及时发现异常及时处理，日志在日志服务器保留期限至少三个月。l 配置系统的所有级别告警日志和操作日志，保存到本地，其中阿朗设备LOG-ID为20；华为设备log缓冲区大小设置为1024。l 设备系统日志及其他信息显示时间为设备NTP时间。配置模板：1.4 设备高可靠性措施l 路由器主备引擎配置为自身支持的最优冗余保护方式，优选NSR模式。l 配置路由器控制引擎之间的配置文件和动态数据同步。l 开启CPU保护功能，防止非法流量对路由器引擎CPU的攻击。配置模板：1.5 设备负载均衡的方式 目前主流厂家设备的负载均衡，可以分为两种方式：l per packet负载均衡方式l per flow负载均衡方式对于per packet方式，在转发时按照报文进入路由器的次序进行负载均衡，但容易乱序并造成TCP转发速度慢。对于per flow方式，设备实现中采用Hash的方式，这种方式不会产生乱序。本期工程所采购的路由器缺省采用per flow负载均衡方式；并采用缺省或配置hash因子实现MPLS流量负载均衡。配置模板：1.6 其他特性 对于ER设备未使用端口，全部关闭，防止非法用户接入。 配置模板：2 网管要求2.1 省级IPRAN网管对ER的管理方式非省会地市IPRAN，通过城域ER与CN2 PE的互联链路，建立Global的EBGP peer，广播本地市IPRAN设备管理地址的汇聚路由到CN2，并接收CN2广播的本省IPRAN网管地址路由及其他地市的IPRAN管理地址路由。配置模板：2.2 NTP实现方式 NTP时间同步采用分级部署方式：l ER设置为二级NTP server。l B、EPC CE和BSC CE作为ER的NTP client。 设备与NTP server路由交换方式如下：l ER的管理loopback地址路由和一级NTP server路由通过Global网管通道互相通告。l B、EPC CE、BSC CE的管理loopback地址路由和二级NTP server（ER）路由通过Global网管通道相互通告。配置模板：3 端口配置要求3.1 接口通用要求MTU设置要求：l 华为设备网络侧IP MTU 配置为9000字节，业务侧IP MTU配置为2000字节。l 中兴、阿朗、烽火、思科、Juniper等设备设置物理接口MTU；网络侧配置为9000字节，业务侧配置为2000字节。配置模板： 以太接口的协商模式要求：l 网络侧接口采用强制模式。l 对于业务侧接口，以业务系统接口的协商模式为主。4 路由组织4.1 IGP 汇聚ER、城域ER、省级ER等设备配置在相同的ISIS域。 4.1.1 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会MCE-ER B-ER、ER-ER、EPC CE-ER、BSC CE-ER、省会MCE-ER间的互联链路统一开启ISIS Level-2和LDP。ISIS进程号推荐采用100。Cost配置详见下表：链路ISIS metricB-DER3000B-城域ER1500DER-城域ER1500DER-DER50城域ER-城域ER100BSC CE-城域ER500城域ER-EPC CE500城域ER-省会MCE500城域ER-省级ER1000省级ER-省级ER150配置模板：4.2 MP-BGP设置要求4.2.1 AS设置要求l ER统一使用省会MCE的AS号。l 汇聚ER不开启PE功能。 配置模板：4.2.2 VRR设置要求l 场景一：通过CN2实现省内长途互联，以本地网为单位设置VRR。 城域ER兼作VRR； 对于VRR Client数超过200的地市，以及省会城市，要求采用独立VRR； B、EPC CE和BSC CE分别作为VRR的Client； 汇聚ER不作为VRR的Client。 场景一ER（VRR）配置模板：l 场景二：省内长途通过省级ER直连，设置二级VRR。 非省会本地网选取一对城域ER作为二级VRR，省会选取省级ER作为一级VRR； 为加快MP-BGP路由域内的收敛速度，EPC CE既属于一级VRR的Client，也属于二级VRR的Client； 随着网络规模的扩大，应设置独立VRR，按一级VRR进行统一部署Cluster控制在3个以内。 场景二ER（VRR）配置模板：l 场景三： EPC网元在省内跨地市部署。 省会采用省级ER兼作VRR，EPC网元所在非省会城市采用城域ER作为VRR，两组VRR配置不同的cluster ID； 两组VRR间配置普通MP-IBGP全互联peer关系。 每个地市的B 、EPC CE和BSC CE分别作为本地VRR的Client； 汇聚ER不作为VRR的Client。 场景三ER（VRR）配置模板：4.2.3 MP-eBGP设置要求l 非省会城市ER与CN2 PE采用option A方式对接，EBGP配置要求如下： 优先采用loopback-n地址建立EBGP连接，loopback-n地址之间互通配置BFD+静态路由； 路由策略由EPC CE/ER侧进行控制，CE采用MED控制CE入方向的流量，采用Local-preference控制CE出方向的流量； 启用BFD关联EBGP实现快速故障发现； PE开启AS-Override，为防止路由环，需配置SOO； 关闭PE与EPC CE/ER之间的BGP send-community extended，采用Standard community； PE侧VRF分发静态路由和直联路由； EPC CE/ER按照白名单方式向CN2 VPN发送本地VPN汇总路由A，按需发送明细路由（本机房路由An），实现流量流向调整； EPC CE/ER按照黑名单方式拒收缺省路由，并按需增加黑名单路由； EBGP连接不做MD5认证； 关闭Damping以加速收敛； EBGP设置 ebgp-multihop 2； Timer设置： keepalive设为30s，hold time设为90s； 打开BGP 多路径EIBGP maximum-paths 8。 非省会城市MCE与ER之间在本地优先采用EBGP Option A方式对接。按需打通EPC VPN与PI-1 VPN、RAN VPN。后期移动承载网建成之后，可将MCE与ER调整到同一个AS号。 配置模板：4.3 路由快速收敛4.3.1 ER故障检测和路由快速收敛 本地网或者省网内，ER与B、BSC CE、EPC CE位于相同MPLS VPN域内。图表 1 B以上故障检测和路由快速收敛ER所在核心层网络快速收敛部署方式：l 对于非省会城市，ER作为VPN PE节点，配置双RD，发布等价VPNv4路由，形成VPNv4 ECMP负载分担方式。l 配置下一跳跟踪触发（NHT）机制，并结合下一跳分离技术加速路由的快速收敛。l 开启BFD for IGP来实现IGP快速检测，检测时间间隔3*30ms。l 启用部分路由计算（PRC）和增量路由收敛特性（ISPF）。l 为避免链路抖动，配置carrier-delay（down 0/up 200ms）。l 配置LDP/IP FRR，实现LSP快速切换。l 对于非省会城市，ER与B设备为同厂家设备的情况，要求在ER与B设备之间配置BFD for Loopback或BFD for LSP端到端快速检测，检测时间间隔配置3*50ms；对于ER与B设备为异厂家的情况，暂不考虑BFD for loopback或BFD for LSP。 配置模板：5 基站的业务实现5.1 基站业务在ER上的实现对于非省会城市RAN VPN，ER用于承载基站业务，配置双RD，采用Option A与CN2对接。对于省内直连链路实现长途互联方式，ER只作为P设备。 非省会城市ER配置模板：6 VPN组织6.1 RAN VPN 以省为单位设置，1X、Do及LTE基站共用同一VPN承载，RAN VPN 在本地网侧采用Full-Mesh结构。本地网侧的RD/RT设置如下：VPNRD1RD2export1import1CDMA-RAN4134:30504134:31504134:4134: 配置模板：6.2 CTVPN193 VPNCTVPN193 VPN提供A和B设备的网管通道，以省为单位进行组网，VPN城域内采用星型组网，网管中心所在节点为Hub节点，其它节点为Spoke节点。对于非省会城市ER，配置EBGP OPTION A与CN2对接；向CN2通告193 VPN本地网汇总地址段和(128131).x.x.x/32，并接收CN2通告的网管系统路由。 RD/RT定义如下： 以河北本地网为例，CTVPN193在城域网RD/RT定义如下：VPNRD1（PE1本地网）HUB节点 importHUB节点 exportSPOKE importSPOKE节点 exportCTVPN193-HE4134:16034134:4134:4134:4134:4134: 配置模板：6.3 CTVPN194 VPN CTVPN194 VPN按需设置，提供基站环境监控系统互联，在城域内采用Hub-Spoke方式进行组网。对于非省会城市ER，配置EBGP OPTION A与CN2对接。RD/RT定义如下：VPNRD1（PE1本地网）HUB节点 importHUB节点 exportSPOKE importSPOKE节点 exportCTVPN1944134:30704134:4134:4134:4134:4134: 配置模板：7 网络服务质量（QoS）配置7.1 QoS整体部署原则l 保持与CN2的 QoS部署规范一致；l 精简队列数量，降低部署难度；l 规范并信任无线业务优先级，透传无线业务优先级；l 政企客户业务按照接入端口/VLAN进行映射，透传政企业务优先级。7.2 PW+L3VPN方案QoS部署策略7.2.1 业务标识上下行标识流程如下图所示：图表 2 PW+L3VPN方案上行业务标识流程图表 3 PW+L3VPN方案下行业务标识流程对于基站业务，基于IP DSCP进行标识，重置EXP值，IP QoS在基站到BSC/EPC之间的承载网络实现透传。对于政企客户业务，基于端口/VLAN进行标识，重置EXP值，IP QoS在承载网络实现透传。业务与队列映射关系如下表（DSCP根据业务的DSCP标识进行调整）：业务类型DSCP（参考值）网内映射（EXP）LTE信令、IMS/PS信令（VOIP）、LTE话音、IP时钟464IKE483G信令50OAM541X语音49视频、在线流媒体345eMBMS组播403G专线用户47政企客户钻石、白金等级流量/1X数据322DO数据/政企客户金、银等级流量/LTE网管（低优先级）140实时游戏、高速上网类10政企客户铜等级流量/配置模板：7.3 队列调度 调度策略建议如下：IPP网内映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE 注：信令与业务流的PQ队列尽量分开设置，根据设备不同情况也可以合并队列设置。 配置模板：8 通道类业务实现8.1 CN2三层VPN在城域内二层通道落地方案8.1.1 业务从B设备接入/落地业务从A设备接入/落地，双侧采用单归接入方式，通过多段PW承载，配置端到端BFD for PW进行故障检测。配置模板：8.1.2 业务从B设备接入/落地业务从B设备接入/落地，单侧采用双归接入方式，通过单段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFD for PW进行故障检测。配置模板：8.1.3 业务从A设备接入/落地业务从A设备接入/落地，单侧采用双归接入方式，通过多段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFD for PW进行故障检测。配置模板：8.2 QoS部署方案通道类业务QoS部署原则：l 不能修改业务报文的优先级；l 根据签约SLA信息，统一设置业务优先级；l 对通道类业务进行限速，避免对1X/DO/LTE等高价值业务造成影响；l 针对专线存在多个等级的情况，统一按照EXP2进行映射；配置模板：9 设备命名规范9.1 设备命名城市缩写-县缩写-节点缩写-设备属性-设备编号.网络（业务）类型.设备类型符号字符字符字符字符字符字符字符字符数字字符字符字符字符字符数818181固定111417选项必选必选可选可选必选必选必选必选必选必选必选必选可选l 字母大小各市需要采用统一标准，全部大写。l 两端、中间不带任何空格。l 城市标识，取城市名称拼音的首字母大写，如南京：NJ。l 当出现郊区县时，在城市标识后加郊区县名称拼音的首字母，如南京六合县：NJ-LH。l 节点标识，取节点名称拼音的首字母大写，如两节点的首字母有重叠则取拼音不相同的字用全拼，分两种情况：当前一个字不同，则前个字用全拼，如汉中门（HanZM）和后宰门（HouZM）；当后一个字不同时则后一个用全拼。A设备的节点名称需要各省统一规划。l 设备属性标识，规定如下： IP RAN接入层