《中国移动IP承载网省内延伸项目AR入网割接方案》(分集成)日喀则-AR1.doc

中国移动中国移动 IPIP 承载网省内延伸二期承载网省内延伸二期 ARAR 入网割接方案框架入网割接方案框架 版版本本号号：2 2. .0 0. .0 0 中国移动通信有限公司中国移动通信有限公司 发布发布 2 20 00 08 8- -0 03 3- -2 27 7 发发布布 1 文档说明：本规范为中国移动文档说明：本规范为中国移动 IPIP 承载网省内延伸项目的指导性规范。承载网省内延伸项目的指导性规范。 编号说明：编号说明： （本文档编号依照以下原则进行：（本文档编号依照以下原则进行： x.y.z x: 大版本更新，文档结构变化 y: 具体方案的更改，部分内容的修正 z: 文字修改，奇数为包含对上一版修改记录的稿子 偶数为对上修改稿的定稿 ） 文档修改历史 版本更新日期修改核定更新说明文档状态 V2.0.02008-03-27省内延伸二期项目发布定稿 2 中国移动中国移动 IP 承载网省内延伸二期承载网省内延伸二期 AR 入网割接方案框架割接方案框架 西藏 省省 日喀则 市市 AR 1 （华为公司）（华为公司） 3 1概述.6 1.1网络现状6 1.2网络建设方案7 1.3割接内容7 2AR 割接 8 2.1新增8 2.1.1割接时间8 2.1.2割接人员8 2.1.3割接内容8 2.1.4割接前拓扑9 2.1.5割接后拓扑9 2.1.6割接准备9 2.1.7割接步骤9 2.1.8应急预案11 2.1.9业务测试11 2.1.10割接脚本11 4 1概述概述 1.1 网络现状网络现状 作为中国移动IP 专用承载网的一部分，华为集成商承建西藏省内“IP 专用承载网”覆 盖山南、日喀则、林芝、昌都、那曲、阿里共6个城市6个节点。 （拓扑图要求具备省名，地市名，节点名，设备，链路带宽，连接逻辑关系） 考虑到网络建成初期网络及业务规模比较小，目前西藏省内“IP 专用承载 网”以拉萨BR1节点核心路由器（CR1,CR1/BR1）和拉萨BR2节点核心路由器（CR2,CR2/BR2） 为核心实现简单的星型组网方案，两节点核心路由器兼作省内汇聚路由器。 5 1.2 网络建设方案网络建设方案 本次工程扩容后，网络拓扑如下（详细内容参见施工方案）： 1.3 割接内容割接内容 主要割接内容包括（请在割接方案部分细化相应割接方案）： （1） 、山南 AR 割接入网。 （2） 、日喀则 AR 割接入网。 （3） 、林芝 AR 割接入网。 （4） 、昌都 AR 割接入网。 （5） 、那曲 AR 割接入网。 （6） 、阿里 AR 割接入网。 6 2AR 割接割接 说明：AR 割接分新增、替换、利旧三种割接情形，分集成商根据业务情况确定具体割 接步骤。 2.1 新增新增 2.1.1割接时间割接时间 按照施工进度预期，将可割接时间表提交移动集团及总集成商，按照移动集团下发 的该节点割接时间表按时完成割接。 2008-8-28 00：00 至 2008-8-28 03：00 2.1.2割接人员割接人员 有限公司通信组织处： 有限公司维护优化处： 省工程中心： 省网维中心： 省传输负责人： 市工程中心： 市网维中心： 市传输负责人： 亚信公司： 华为公司：黎岳杰、邓富方、殷澍、曾勇 华讯公司 Alcatel 公司： 2.1.3割接内容割接内容 本节点新增设备割接上线，在新增 AR 与 BR 间启用 IGP、LDP 协议，和 RR、BR 间启 用 MP-IBGP 协议，并在新增 AR 上启用测试 VPN。 7 2.1.4割接前拓扑割接前拓扑 要求：细化到端口、IP 地址、业务 2.1.5割接后拓扑割接后拓扑 要求：细化到端口、IP 地址、业务 8 2.1.6割接准备割接准备 完成设备上架、加电、通讯布放等工作，按照单点测试规范进行单点测，并把测试结果 上报集团。 参照割接步骤准备割接脚本。 请局方发布消息，通知割接时间，并通知业务系统厂家割接时提供现场或远程支持。 2.1.7割接步骤割接步骤 所需时间：所需时间： 3 3 小时小时 业务影响：业务影响：新设备入网，正常情况下不影响现网业务。 割接步骤：割接步骤： 第一步、完成路由器基本配置，关闭第一步、完成路由器基本配置，关闭 ISISISIS 和和 BGPBGP 协议（割接前完成）协议（割接前完成） （1） 、完成基本配置 设备信息、流量采集、SNMP 信息、SYSLOG、NTP、本地登陆账户、CONSOLE 口、 SSH、TELNET 远程访问 # 9 SYSNAME XZRKZ-BA-IPNET-RT01-NE40E # SUPER PASSWORD LEVEL 15 CIPHER huawei # ROUTER ID 221.130.213.170 流量采集 IP NETSTREAM SAMPLER FIX-PACKETS 30000 INBOUND IP NETSTREAM EXPORT SOURCE 221.130.213.170 IP NETSTREAM EXPORT HOST 10.0.102.231 9000 SNMP ACL NUMBER 2000 /配置 SNMP ACL RULE 5 PERMIT SOURCE 10.0.102.224 0.0.0.31 /网管服务器网段 1 RULE 10 PERMIT SOURCE 10.0.102.160 0.0.0.31 /网管服务器网段 2 RULE 15 PERMIT SOURCE 10.0.102.128 0.0.0.31 /网管服务器网段 3 RULE 20 PERMIT SOURCE 10.0.102.96 0.0.0.31 /网管终端网段 RULE 500 DENY ANY /DENY 其它访问 SNMP-AGENT SNMP-AGENT COMMUNITY READ CHINAMOBILE_MANAGER_READ ACL 2000 SNMP-AGENT COMMUNITY WRITE CHINAMOBILE_MANAGER_WRITE ACL 2000 SNMP-AGENT SYS-INFO XZRKZ-AR1 /省名地市名缩写-AR编号 SNMP-AGENT SYS-INFO VERSION ALL /支持 SNMP 所有版本 SNMP-AGENT TARGET-HOST TRAP ADDRESS UDP-DOMAIN 10.0.102.243 PARAMS SECURITYNAME CHINAMOBILE_MANAGER /配置 TRAP SERVER 、密码 SNMP-AGENT TARGET-HOST TRAP ADDRESS UDP-DOMAIN 10.0.102.244 PARAMS SECURITYNAME CHINAMOBILE_MANAGER /配置 TRAP SERVER、 密码 SNMP-AGENT TRAP ENABLE UNDO SNMP-AGENT TRAP ENABLE LSP SNMP-AGENT TRAP SOURCE LOOPBACK 0 SYSLOG INFO-CENTER ENABLE 10 INFO-CENTER LOGHOST SOURCE LOOPBACK0 INFO-CENTER LOGHOST 10.0.102.243 INFO-CENTER LOGBUFFER MAX-SIZE 1024 NTP CLOCK TIMEZONE UTC ADD 00:00:00 NTP-SERVICE UNICAST-SERVER 221.130.208.17 本地登陆账户 AAA LOCAL-USER HUAWEI PASSWORD CIPHER HUAWEI LOCAL-USER HUAWEI SERVICE-TYPE TELNET SSH terminal LOCAL-USER HUAWEI LEVEL 15 SSH USER HUAWEI AUTHENTICATION-TYPE PASSWORD CONSOLE 口 USER-INTERFACE CON 0 AUTHENTICATION-MODE AAA USER PRIVILEGE LEVEL 3 IDLE-TIMEOUT 15 0 USER-INTERFACE AUX 0 AUTHENTICATION-MODE AAA USER PRIVILEGE LEVEL 3 IDLE-TIMEOUT 15 0 SSH、TELNET 远程访问 ACL NUMBER 2007 RULE 5 PERMIT SOURCE 10.0.102.224 0.0.0.31 /网管服务器网段 1 RULE 10 PERMIT SOURCE 10.0.102.160 0.0.0.31 /网管服务器网段 2 RULE 15 PERMIT SOURCE 10.0.102.128 0.0.0.31 /网管服务器网段 3 RULE 20 PERMIT SOURCE 221.130.208.0 0.0.7.255 /承载网 LOOPBACK 地址 RULE 25 PERMIT SOURCE 10.0.102.96 0.0.0.31 /网管终端网段 RULE 30 PERMIT SOURCE 10.1.34.24 0.0.0.3 /上联地址网段 11 RULE 35 PERMIT SOURCE 10.5.170.0 0.0.0.3 /互联地址网段 RULE 500 DENY ANY /DENY 其它访问 USER-INTERFACE MAXIMUM-VTY 15 USER-INTERFACE VTY 0 14 ACL 2007 INBOUND AUTHENTICATION-MODE AAA IDLE-TIMEOUT 15 0 PROTOCOL INBOUND ALL 设备互联配置 INTERFACE G1/0/12 MTU 1516 ETH-TRUNK 2 DESCRIPTION TO- XZRKZ-BA-IPNET-RT02-NE40E-G1/0/12-1G CARRIER DOWN-HOLD-TIME 100 INTERFACE ETH-TRUNK2 MTU 1516 DESCRIPTION TO-ZRKZ-BA-IPNET-RT02-NE40E-ETH-TRUNK2-1*1G LEAST ACTIVE-LINKNUMBER 1 IP ADDRESS 10.5.170.1 30 （2） 、配置 ISIS、ISIS 认证 要求关闭要求关闭 ISISISIS 协议（在协议（在 ISISISIS 下下 passivepassive 上联及互联端口）上联及互联端口） （A） 、配置 ISIS 协议 ISIS 1 IS-LEVEL LEVEL-2 COST-STYLE WIDE TIMER LSP-GENERATION 1 50 50 LEVEL-2 FLASH-FLOOD LEVEL-2 NETWORK-ENTITY 86.0892.2211.3021.3170.00 12 IS-NAME RKZ_XZ-AR1 TIMER SPF 1 100 100 IS-SNMP-TRAP ENABLE LOG-PEER-CHANGE IGNORE-LSP-CHECKSUM-ZERO /设置忽略 LSP 的校验和校验错误 SET-OVERLOAD ON-STARTUP 180 /设置 OVERLOAD TIME 为 180S （B）在上联 BR 端口上配置 ISIS 及 ISIS 认证 INTERFACE POS3/0/0 SHUTDOWN IP-TRUNK 1 LINK-PROTOCOL HDLC DESCRIPTION TO- XZLS-BC-XZNET-RT01-NE80EPOS5/0/2-155M CRC 32 MTU 4470 SCRAMBLE FRAME-FORMAT SDH CLOCK SLAVE ALARM LRDI SENSITIVE ALARM PRDI SENSITIVE ALARM PAIS SENSITIVE CARRIER DOWN-HOLD-TIME 100 INTERFACE IP-TRUNK1 DESCRIPTION TO-XZLS-BC-XZNET-RT01-NE80EIP-TRUNK3-1*155M IP ADDRESS 10.1.34.26 30 ISIS ENABLE 1 ISIS CIRCUIT-LEVEL LEVEL-2 ISIS COST 580 LEVEL-2 ISIS AUTHENTICATION-MODE MD5 24059CM135 13 （C）在互联 AR 端口上配置 ISIS 及 ISIS 认证 INTERFACE ETH-TRANK 2 SHUTDOWN ISIS ENABLE 1 ISIS CIRCUIT-LEVEL LEVEL-2 ISIS CIRCUIT-TYPE P2P ISIS COST 5 LEVEL-2 ISIS AUTHENTICATION-MODE MD5 24059CM135 （D）将 LOOPBACK0 PASSIVE 到 ISIS INTERFACE LOOPBACK0 IP ADDRESS 221.130.213.170 255.255.255.255 ISIS ENABLE 1 （3） 、配置 LDP、LDP 认证 MPLS LSR-ID 221.130.213.170 MPLS MPLS LDP MD5-PASSWORD CIPHER 221.130.208.34 24059CM139 /BR1 MD5-PASSWORD CIPHER 221.130.213.164 24059CM139 /AR2 INTERFACE IP-TRUNK1 MPLS MPLS LDP INTERFACE ETH-TRUNK2 MPLS MPLS LDP （4） 、配置 BGP 及认证 要求关闭要求关闭 BGPBGP 协议（协议（shutdownshutdown bgpbgp peerpeer 或或 bgpbgp 协议）协议） BGP 24059 14 UNDO DEFAULT IPV4-UNICAST MAXIMUM LOAD-BALANCING 6 /最大等价路由为 6，缺省为 1 GROUP IPNET-VPN INTERNAL PEER IPNET-VPN AS-NUMBER 24059 PEER IPNET-VPN PASSWORD CIPHER 24059CM137 PEER IPNET-VPN CONNECT-INTERFACE LOOPBACK0 PEER 221.130.211.253 AS-NUMBER 24059 PEER 221.130.211.253 GROUP IPNET-VPN PEER 221.130.211.253 DESCRIPTION BJ-RR2 PEER 221.130.211.246 AS-NUMBER 24059 PEER 221.130.211.246 GROUP IPNET-VPN PEER 221.130.211.246 DESCRIPTION CD-RR1 PEER 221.130.208.34 AS-NUMBER 24059 PEER 221.130.208.34 GROUP IPNET-VPN PEER 221.130.208.34 DESCRIPTION XZLS-RR1 PEER 221.130.208.35 AS-NUMBER 24059 PEER 221.130.208.35 GROUP IPNET-VPN PEER 221.130.208.35 DESCRIPTION XZLS-RR2 （5）配置测试 VPN IP VPN-INSTANCE CHINAMOBILE_NGN_MEDIA ROUTE-DISTINGUISHER 24059:200 APPLY-LABEL PER-INSTANCE ROUTING-TABLE LIMIT 100000 80 VPN-TARGET 24059:200 EXPORT-EXTCOMMUNITY VPN-TARGET 24059:200 IMPORT-EXTCOMMUNITY # IP VPN-INSTANCE CHINAMOBILE_NGN_SG ROUTE-DISTINGUISHER 24059:300 APPLY-LABEL PER-INSTANCE ROUTING-TABLE LIMIT 100000 80 15 VPN-TARGET 24059:300 EXPORT-EXTCOMMUNITY VPN-TARGET 24059:300 IMPORT-EXTCOMMUNITY # IP VPN-INSTANCE CHINAMOBILE_IPNET_NMS ROUTE-DISTINGUISHER 24059:1200 APPLY-LABEL PER-INSTANCE ROUTING-TABLE LIMIT 6000 80 VPN-TARGET 24059:1200 EXPORT-EXTCOMMUNITY VPN-TARGET 24059:1200 IMPORT-EXTCOMMUNITY （6）配置 QOS 策略（ACL 可以写为 permit any any） ACL NUMBER 3000 # ACL NUMBER 3001 # ACL NUMBER 3002 # ACL NUMBER 3003 # ACL NUMBER 3004 # ACL NUMBER 3005 # TRAFFIC CLASSIFIER EF OPERATOR OR IF-MATCH ACL 3001 TRAFFIC CLASSIFIER AF1 OPERATOR OR IF-MATCH ACL 3005 TRAFFIC CLASSIFIER AF3 OPERATOR OR IF-MATCH ACL 3003 TRAFFIC CLASSIFIER CS7 OPERATOR OR IF-MATCH ACL 3000 16 TRAFFIC CLASSIFIER AF2 OPERATOR OR IF-MATCH ACL 3004 TRAFFIC CLASSIFIER AF4 OPERATOR OR IF-MATCH ACL 3002 # TRAFFIC BEHAVIOR EF REMARK DSCP EF REMARK MPLS-EXP 5 TRAFFIC BEHAVIOR AF1 REMARK DSCP AF11 REMARK MPLS-EXP 1 TRAFFIC BEHAVIOR AF3 REMARK DSCP AF31 REMARK MPLS-EXP 3 TRAFFIC BEHAVIOR CS7 REMARK DSCP CS7 REMARK MPLS-EXP 7 TRAFFIC BEHAVIOR AF2 REMARK DSCP AF21 REMARK MPLS-EXP 2 TRAFFIC BEHAVIOR AF4 REMARK DSCP AF41 REMARK MPLS-EXP 4 # TRAFFIC POLICY QOS_IN_MEDIA CLASSIFIER EF BEHAVIOR EF TRAFFIC POLICY QOS_IN_SG CLASSIFIER CS7 BEHAVIOR CS7 TRAFFIC POLICY QOS_IN_FLOW 17 INTERFACE POS3/0/0 PORT-QUEUE AF4 WFQ WEIGHT 5 SHAPING SHAPING-PERCENTAGE 10 OUTBOUND PORT-QUEUE EF WFQ WEIGHT 70 SHAPING SHAPING-PERCENTAGE 90 OUTBOUND INTERFACE IP-TRUNK1 TRUST UPSTREAM DEFAULT INTERFACE ETH-TRUNK2 TRUST UPSTREAM DEFAULT 第二步、割接前完成设备状态检查（所需时间：第二步、割接前完成设备状态检查（所需时间：1010 分钟）分钟） （1） 、检查设备引擎状态、板卡状态、端口状态 DISPLAY DEVICE DISPLAY IP INTERFACE BRIEF （2） 、测试上联和互联端口连通性 PING 10.1.34.25 PING 10.5.170.2 （3） 、检查当前配置 DISPLAY CU 第三步、打开上联及互联端口第三步、打开上联及互联端口 ISISISIS，检查，检查 ISISISIS 协议状态、邻接情况、协议状态、邻接情况、ISISISIS 路由学习情况（所需路由学习情况（所需 时间：时间：5 5 分钟）分钟） （1） 、打开 ISIS 上联及互联端口协议 （2） 、检查那些端口上启用了 ISIS 协议。 DISPLAY ISIS INTERFACE （3） 、检查 AR 和上联 BR、互联 AR 间是否建立了邻居关系。 DISPLAY ISIS PEER （4） 、检查是否学习到了 ISIS 路由 DISPLAY ISIS ROUTE 第四步、检查第四步、检查 LDPLDP 协议状态、邻接情况、协议状态、邻接情况、LDPLDP LSPLSP 学习情况（所需时间：学习情况（所需时间：5 5 分钟）分钟） （1） 、检查那些端口上启用了 LDP 协议。 18 DISPLAY MPLS LDP INTERFACE DISPLAY MPLS INTERFACE （2） 、检查 AR 和上联 BR、互联 AR 间是否建立了邻居关系。 DISPLAY MPLS LDP PEER （3） 、检查是否产生正确的 LDP LSP DISPLAY MPLS LSP 第五步、打开第五步、打开 BGPBGP 协议、检查协议、检查 BGPBGP 协议工作状态（所需时间：协议工作状态（所需时间：5 5 分钟）分钟） （1） 、打开 BGP 协议 （1） 、检查 AR 是否和两个核心 RR 间建立了 PEER 关系。 DISPLAY BGP