中国移动TD_PS_BG接入方案.doc

td ps bg接入方案v1.2007-7目 录1概述32业务和ps域系统对承载的需求32.1业务需求32.2td ps与cmnet网间互联拓扑结构32.3方案说明42.3.1网间互联流量的对称性和冗余实现42.3.2北京或广州站点内流量的对称性和冗余实现42.3.3防火墙的配置说明5ha配置7端口配置8静态路由配置8ospf配置9安全策略配置93bg接入方案异常场景保护机制103.1北京站点故障103.2北京站点内bg和主用fw链路故障103.3主用防火墙故障113.4主用防火墙与ar间链路故障114实施建议124.1北京站点124.2广州站点124.3其他121 概述本方案规定了td核心网分组域设备bg路由器接入cmnet及ip承载网方案。 2 业务和ps域系统对承载的需求2.1 业务需求td ps全网通过在北京、广州的td ps域出口，经过防火墙与cmnet在北京、广州新设的两台两台bg（北京、广州各一台）接入cmnet及其它运营商td网络路由器相连，通过cmnet实现到移动gprs网络的互通。两台bg处于热主备工作，由于流量流经防火墙，必须保证流量的对称，因此采用bgp路由协议的属性实现流量对称和冗余，网络正常状态下通过路由优选北京bg作为出口bg，由承载网。此外，在北京和广州，路由规划实现。每台bg具有冗余链路分别连接当地的两台ar，冗余保证bg接入的可靠性。2.2 td ps与cmnet网间互联组网拓扑结构bg接入的组网拓扑结构如下图所示（北京、广州没有区别）：中国移动bg通过两条ge接口连接cmnet ar，保证到cmnet的链路冗余可靠，igp为isis，与cmnet位于同一个as内，as号码9808；新设的cmnet bg路由器采用共出两条ge链路连接到gp口一对防火墙，gp口防火墙和ip承载网ar通过ge接口口字形连接，如上图所示拓扑结构。注意两台防火墙之间的连线用于会话同步，不起任何路由协议，不进行流量转发。防火墙和bg的所有接口开启动态路由协议，通过路由优选一台防火墙主用，另一台防火墙处于热备份状态。2.3 方案说明2.4 网间互联流量的对称性和冗余实现2.5 td ps域作为ip承载网的一个vpn，需要在北京、广州通过两台bg路由器实现与cmnet网络的联通，鉴于北京、广州的网间互联点都有防火墙，因此需要确保bgp流量的对称性，在对称的基础上实现流量的冗余。总体要求为：采用北京bg作为流量进出的主用节点，广州bg作为备用节点，通过as-path和local prefer来实现。2.6 具体实现策略如下：2.7 针对北京ar1将9808增加1个，针对北京ar2将9808增加2个；针对广州ar1将9808增加3个，针对广州ar2将9808增加4个，另外对北京bgfw2ar2之间的ospf 链路metric设为高于bgfw1ar1之间的ospf 链路，对广州bgfw2ar2之间的ospf 链路metric设为高于bgfw1ar1之间的ospf 链路；在cmnet广州bg路由器上向cmnet内部宣告中国移动td ps网络时，将路由的本地优先属性设为90，低于北京的缺省值100。这样配置网络的效果如下：所有进出流量对称；第一优选链路：北京bg-fw1-ar1； 第二优选链路：北京bg-fw2-ar2；第三优选链路：广州bg-fw1-ar1；第四优选链路：北京bg-fw2-ar2；2.82.92.9.1 北京或广州站点内流量的对称性和冗余实现以北京站点为例。cmnet bg路由器经过防火墙与ip承载网的ar建立ebgp multihop连接，bg相当于中国移动td ps域vpn的一台ce；双方路由通过ebgp multihop互通，实现两个网络的ip可达。防火墙和bg、ar的所有接口开启ospf动态路由协议，ospf协议仅用于实现ar-fw-bg之间的接口地址可达，bg分别与ar1和ar2建立两条ebgp multihop session，通过设定路由metric优选其中一个session作为主用，另一个ebgp multihop session处于热备份状态。由于采用两条bgp连接，主用为active，备用为inactive，当主用链路故障，备用链路激活过程中无需tcp重建、无需bgp连接重建、无需双方路由重新发布，因此流量切换时间较快。为了保障在一个站点内的流量对称性，bg针对ar1通告的as-path将9808增加1个，针对ar2通告的as-path将9808增加2个，然后再设备从bg到ar2的ospf link metric高于bg到ar1的ospf link；当主用路径故障时，原metric 高的ebgp multihop session启用，同时ip承载网中原as-path更长的那台路由器也被激活，流量经一定的bgp收敛时间后切换到备用链路。由于防火墙处于ebgp multihop session的中间一跳，对到达cmnet或td ps vpn的路由无法感知，因此需要配置到td ps vpn的静态路由，下一跳指向ar的接口地址；同时针对去往cmnet方向的流量配置一条缺省路由，下一跳指向bg的接口地址，以实现流量的正常转发。另一个需要说明的问题：北京两台alcatel ar路由器，同时还接有本地td ps域的ce，alcatel路由器不支持本地同一个vpn起两个ospf进程，因此导致北京bg1通过ospf和ebgp收到两份td ps vpn路由，而且缺省状态下ospf路由优先级高于ebgp，因此会导致bg不将ebgp学到的路由通告到cmnet，解决的方法为在bg1上将ospf的优先级进行调整，从150调整至200。2.9.2 防火墙的配置说明2.9.2.1 实施方案说明全网通过两台bg（北京、广州各一台）接入cmnet及其它运营商td网络，通过cmnet实现到移动gprs网络的互通。两台bg处于热主备工作，通过路由优选北京bg作为出口bg，由承载网路由规划实现。每台bg具有链路冗余保证bg接入的可靠性。2.9.2.2 组网拓扑结构bg接入的组网拓扑结构如下图所示（北京、广州没有区别）：中国移动bg通过两条ge接口连接cmnet ar，保证到cmnet的链路冗余可靠；移动bg共出两条ge链路到gp口一对防火墙，gp口防火墙和ip承载网ar通过ge接口口字形连接，如上图所示拓扑结构。防火墙和bg的所有接口开启动态路由协议，通过路由优选一台防火墙主用，另一台防火墙处于热备份状态。2.9.2.3 防火墙实施步骤启用ospf路由协议实现网络故障动态收敛，两防火墙间通过nsrp心跳线相连，用于同步防火墙间session表同步，通过设定metric值实现网络流量热主备工作，并保证优选一台防火墙同时出入流量经过同一台防火墙。防火墙作如下配置：两防火墙间通过心跳线连接（接口置于ha zone并启用nsrp），删除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，启用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，实现非vsi环境下session信息在两防火墙间的同步。配置两防火墙策略，使之始终保持一致。在正常情况下两防火墙各自处理进出的网络流量（由于做了路由优选策略，只有一台防火墙上有流量，另一台处于热备份状态），并互相同步彼此建立的session表，当网络出现故障时（路由器、防火墙或连接线缆），通过ospf动态路由协议进行收敛和路径切换，由于两防火墙间session信息始终保持一致，即使应用流量从一侧进来，因路径切换而从另一侧返回时，另一个防火墙也能正确地进行状态检查和流量转发，保证应用的session不会发生中断。2.9.2.4 实施步骤2.9.2.4.1 准备1 光纤4对（lclc）2 备份核心路由器的配置和ios3 上线工具一套2.9.2.4.2 涉及人员移动公司：中兴通讯公司2.9.2.4.3 防火墙接口连接图ssg550-a的接口配置如下：本地接口对端设备对端接口区域eth0/0移动bgtrusteth0/1ar1untrusteth0/2mgteth0/3ssg550-beth0/3hassg550-b的接口配置如下：本地接口对端设备对端接口区域eth0/0移动bgtrusteth0/1ar2untrusteth0/2mgteth0/3ssg550-aeth0/3ha2.9.2.4.4 防火墙的配置步骤ha配置set nsrp cluster id 1/创建nsrp群组set nsrp rto-mirror sync/启用rto对象同步set nsrp rto-mirror session ageout-ack/ specifies a time value based on which the backup device sends an ack message to the primary device to refresh its sessions or time them out. the session age-out value of a backup device is eight times that of the primary device.set nsrp rto-mirror session non-vsi/ enables the synchronization of non-vsi sessionsunset nsrp vsd-group id 0/删除默认的vsd组0set nsrp monitor interface ethernet0/0/设置监控端口set nsrp monitor interface ethernet0/1/设置监控端口unset nsrp config sync/强制防火墙双机不能同步配置端口配置set interface ethernet0/0 zone trust/将端口0/0放进trust区set interface ethernet0/1 zone untrust/将端口0/1放进untrust区set interface ethernet0/2 zone mgt/将端口0/2放进mgt区set interface ethernet0/3 zone ha/将端口0/3放进ha区set interface ethernet0/0 ip 30.0.1.2/24/给端口0/0配置ipset interface ethernet0/0 route/配置端口为路由模式set interface ethernet0/1 ip 30.0.3.1/24/给端口0/1配置ipset interface ethernet0/1 route/配置端口为路由模式set interface ethernet0/2 ip 172.16.1.12/24/给端口0/2配置ipset interface ethernet0/2 route/配置端口为路由模式静态路由配置set route 10.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 20.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 70.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 80.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 90.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 100.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 1.0.1.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.2.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.3.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.4.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.5.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.6.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.7.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.8.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.9.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.10.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.11.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.12.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.13.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.14.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.15.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.16.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.17.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.18.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.19.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.20.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.21.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.22.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.23.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.24.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.25.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.26.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.27.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.28.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.29.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.30.0/24 interface ethernet0/0 gateway 30.0.1.1set route 0.0.0.0/0 interface ethernet0/1 gateway 30.0.3.2ospf配置set vrouter trust-vr/设置trust-vrunset auto-route-export/强制不公告默认路由set protocol ospfset enable/启用ospfexitset interface ethernet0/0 protocol ospf area 0.0.0.0/设置端口0/0启用area 0set interface ethernet0/0 protocol ospf enable/设置端口0/0启用ospfset interface ethernet0/0 protocol ospf cost 1/设置端口0/0启用cost值为1set interface ethernet0/1 protocol ospf area 0.0.0.0/设置端口0/1启用area 0set interface ethernet0/1 protocol ospf enable/设置端口0/1启用ospfset interface ethernet0/1 protocol ospf cost 1/设置端口0/1启用cost值为1安全策略配置set zone untrust screen tear-drop/在untrust区启用tear-drop攻击保护set zone untrust screen syn-flood/在untrust区启用syn-flood攻击保护set zone untrust screen ping-death/在untrust区启用ping-death攻击保护set zone untrust screen ip-filter-src/在untrust区启用基于源路由的攻击保护set zone untrust screen land/在untrust区启用land攻击保护set policy id 1 from trust to untrust any any any permit log/设置从trust区到untrust区的源地址.目的地址及服务为any的策略set policy id 2 from untrust to trust any any any permit log/设置从trust区到untrust区的源地址.目的地址及服务为any的策略众所周知，状态检测防火墙依据策略来决定会话的建立，一旦策略匹配且应用连接建立后，防火墙将根据会话的具体信息建立相应的session（会话条目），并通过session来匹配该连接的后续数据报，只有匹配某session的数据包才能够通过数据流状态的检查。通常来讲，进入某防火墙的数据流，其返回数据包也必须流经该防火墙。如果当网络出现故障或不对称路由（进出流量经过不同路径）时，netscreen防火墙是否能保证已建的session不中断，保证业务不间断运行呢？经过测试验证，netscreen防火墙支持两独立防火墙间的session同步和不对称路由环境下的流量正常转发。解决方案：启用ospf路由协议实现网络故障动态收敛，两防火墙间通过nsrp心跳线相连，用于同步防火墙间session表同步，通过设定metric值实现网络流量热主备工作，并保证优选一台防火墙同时出入流量经过同一台防火墙。防火墙作如下配置：两防火墙间通过心跳线连接（接口置于ha zone并启用nsrp），删除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，启用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，实现非vsi环境下session信息在两防火墙间的同步。配置两防火墙策略，使之始终保持一致。在正常情况下两防火墙各自处理进出的网络流量（由于做了路由优选策略，只有一台防火墙上有流量，另一台处于热备份状态），并互相同步彼此建立的session表，当网络出现故障时（路由器、防火墙或连接线缆），通过ospf动态路由协议进行收敛和路径切换，由于两防火墙间session信息始终保持一致，即使应用流量从一侧进来，因路径切换而从另一侧返回时，另一个防火墙也能正确地进行状态检查和流量转发，保证应用的session不会发生中断。3 bg接入方案异常场景保护机制本章节描述站点内各中异常场景保护机制。3.1 北京站点bg到cmnet链路故障如上图所示，北京站点故障包括北京bg设备故障，或者北京bg到cmnet一条链路故障后，中国移动td ps vpn会通过ip承载网选择广州bg实现与cmnet的联通。由于bg开启动态路由协议，所有流量收敛到另一条链路，如图所示。防火墙工作状态保持不变。3.2 北京站点内bg和主用fw链路故障如上图所示，bg到主用fw1链路故障后，由于bg与fw间开启