中国电信移动承载网实施配置规范(EPC CE分册模板)1115.doc

中国电信移动承载网实施配置规范（EPC CE分册）（试行）中国电信集团有限公司二二二二年一月编制单位： 编写单位：中国电信股份有限公司、中国电信股份有限公司广州研究院组长：编写人：统稿人：审核人：联系人：联系方式：修订记录版本号日期描述设备软硬件适用范围设备类型适用软件版本适用硬件版本3中国电信移动承载网实施配置规范（EPC CE分册模板）编制说明本文档为中国电信移动承载网实施配置规范EPC CE设备分册，包括EPC CE设备组网配置要求及模板、与CN2网络互联配置要求及模板等内容。移动承载网的工程建设应比照本规范执行。在相关工程建设结束后，集团公司会正式下发本规范的修订版。本规范由中国电信集团网络运行维护事业部进行解释说明。 27中国电信移动承载网实施配置规范（EPC CE分册模板）目 录缩略语11 设备基本信息31.1设备基本信息配置31.2设备的访问及访问控制31.2.1 设备远程管理要求31.2.2 路由器访问控制41.3设备系统日志61.4设备高可靠性措施61.5设备负载均衡的方式71.6其他特性72 网管要求82.1 省级IPRAN网管对EPC CE的管理方式82.2 NTP实现方式83 端口配置要求93.1 接口通用要求94 路由组织104.1 IGP104.1.1EPC CE-省级ER/EPC CE-EPC CE104.2MP-BGP设置要求104.2.1AS设置要求104.2.2EPC CE与VRR对接要求114.2.3MP-eBGP设置要求114.3路由快速收敛124.3.1EPC CE故障检测和路由快速收敛125 基站的业务实现145.1基站业务在EPC CE上的实现145.2EPC的承载与业务实现145.2.1EPC网元的接入要求145.2.2SGi业务实现156 VPN组织166.1RAN VPN166.2CTVPN193 VPN166.3CTVPN194 VPN176.4PI-3 VPN176.5EPC VPN187 网络服务质量（QoS）配置197.1QoS部署方案197.1.1业务标识（入方向）197.1.2队列调度（出方向）217.2EPC CE网络服务质量（QoS）配置217.2.1业务标识（入方向）217.2.2业务端口调度（出方向）227.2.3网络口出队列策略（中继接口）CE-CE228 设备命名规范238.1设备命名238.2网络端口命名258.3Loopback接口命名268.4基站业务接口命名269 配置示例279.1EPC CE设备配置示例（插入附件）27中国电信移动承载网实施配置规范（EPC CE分册模板）缩略语本文中将使用下列缩略语，除非文中特别说明，否则意义如下；对于未说明的缩略语，应做业界标准或惯例理解。缩写英文全称中文eNodeBEvolved Node B演进的Node BMMEMobility Management Entity移动性管理实体HSSHome subscriber Server归属用户服务器SGWServing-GateWay服务网关PGWPacket Data Network GateWay分组数据网网关LTELong Term Evolution长期演进EPCEvolved Packet Core演进的分组核心网PCRFPolicy and Charging Rules Function策略和计费规则功能HSGWHRPD Serving GateWay高速分组数据网络服务网关OCSOnline Charging Systerm在线计费系统PIPDSN to InternetPI网络AAAAuthentication Authorization, and Accounting鉴权、授权、计费DNSDomain Name Server域名服务器NTPNetwork Time Protocol时间同协议P-I网络PDSN-InternetPDSN与所有数据通信节点之间的网络，如PDSN与其他路由器之间的网络R-P网络Radio-PDSN介于无线网络（特指PCF）和PDSN之间的网络ER移动承载网的核心路由器，在不同的网络层级包括三类ER：汇聚ER（D-ER）、城域ER（M-ER）、省级ER（汇聚省内各本地网流量的设备）A设备基站接入设备B设备基站接入设备的汇聚路由器MCE多业务承载CE，包括C网CE、EPC CEBSC CE指接入BSC/RNC的B设备RAN CE专指阿朗用于基站回传的IPBH设备中国电信移动承载网实施配置规范（EPC CE分册模板）1 设备基本信息1.1设备基本信息配置l 配置设备名称，要求符合资源命名规范要求。l 配置系统时间，要求采用标准北京时间。l 定义Router-ID，思科、华为设备配置为Loopback0地址，中兴设备配置为Loopback1地址，阿朗设备缺省使用system关键字作为Loopback端口。配置模板：1.2 设备的访问及访问控制1.2.1 设备远程管理要求对EPC CE路由器远程管理需要进行严格控制，只允许信任用户以特定方式（SSH/SNMP等）直接进行访问。在设备的初始化管理阶段允许通过TELNET对设备进行访问。配置模板：1.2.2 路由器访问控制 VTY接口访问控制对EPC CE设备VTY接口访问进行控制，防止非法用户通过Telnet/SSH方式获取EPC CE设备的控制能力。具体采取以下措施对VTY接口访问进行控制：l 修改VTY并发连接数缺省值，调整为厂商允许最大值。华为设备最多允许同时15个，阿朗设备为15个，空闲时间为5分钟。l 针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤： 允许以下地址段访问（根据实际情况进行调整）：CN2国内设备地址段-55 集团网管地址段-55 集团NOC地址段-55 全网CE设备地址段55 省内网管地址段和IPRAN设备管理地址段各省自定 正常情况下，不允许其他地址登陆。l 路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接，这样可以防止所有远程登录VTY端口占用而无法对设备进行管理，将此超时时间设置为5分钟。l 加强VTY用户密码管理，对VTY用户采用TACACS+集中认证和本地认证技术，TACASCS+认证优先，同时进行认证、授权、审计操作。l 考虑到采用TACACS+服务器对VTY用户帐号、权限进行统一管理。设备的TACACS管理密码应实现动态更新。l 紧急故障处理期间，允许外网设备通过L2TP(IPSEC) VPN拨号方式登陆到网管中心专用设备上，通过该设备进行跳转访问EPC CE设备，正常期间需关闭L2TP VPN拨号访问的通道。l EPC CE设备可管理后，需关闭telnet，只允许使用SSH。l TACACS认证只用于用户登录，设备命令授权推荐在设备上实现。l 路由器本地配置用户名和管理组作为备份管理方式，需要配置全部读写权限和只读权限2个级别的管理组。l 配置Console端口口令，防止非法用户对设备进行控制。配置模板： SNMP访问控制对SNMP访问进行控制，防止非法用户通过SNMP管理接口获取设备信息。EPC CE设备采取以下措施对SNMP访问进行控制：l 开启SNMP v2/v3 Agent的功能，提高安全性，并采用Auth&Priv安全模式，并采用MD5算法。l 开放网管系统需要的MIB View，对表变量（如路由表，转发表等）设置MIB View限制网管系统访问。l 设置相应的访问控制列表只允许信任主机通过SNMP方式访问设备。l SNMP只开启只读权限，SNMP团体名应定期更新。配置模板： 其他服务访问控制l 关闭HTTP服务，防止非法用户通过设备提供的HTTP服务对设备进行访问控制。l 关闭FTP服务，防止非法用户通过设备提供的FTP服务下载设备重要文件，维护时期如需上传软件，则临时开启FTP SERVER服务。l 关闭路由器未使用的其他端口服务，包括：ECHO（TCP 7）、HCEGEN（TCP 19和UDP 19）、FINGER（TCP 79）等，增强设备本身的安全性。配置模板：1.3 设备系统日志l EPC CE设备的系统日志包括告警日志及操作日志，在设备本地和日志服务器上保存，其中日志服务器记录的级别为Warnings以上。l EPC CE设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求每天对系统日志进行检查，及时发现异常及时处理，日志在日志服务器保留期限至少三个月。l 配置系统的所有级别告警日志和操作日志，保存到本地，其中阿朗设备LOG-ID为20；华为设备log缓冲区大小设置为1024。l 设备系统日志及其他信息显示时间为设备NTP时间。配置模板：1.4 设备高可靠性措施l 路由器主备引擎配置为自身支持的最优冗余保护方式，优选NSR模式。l 配置路由器控制引擎之间的配置文件和动态数据同步。l 开启CPU保护功能，防止非法流量对路由器引擎CPU的攻击。配置模板：1.5 设备负载均衡的方式目前主流厂家设备的负载均衡，可以分为两种方式：l per packet负载均衡方式l per flow负载均衡方式对于per packet方式，在转发时按照报文进入路由器的次序进行负载均衡，但容易乱序并造成TCP转发速度慢。对于per flow方式，设备实现中采用Hash的方式，这种方式不会产生乱序。本期工程所采购的路由器缺省采用per flow负载均衡方式；并采用缺省或配置hash因子实现MPLS流量负载均衡。配置模板：1.6 其他特性EPC CE设备未使用端口，全部关闭，防止非法用户接入。配置模板：2 网管要求2.1 省级IPRAN网管对EPC CE的管理方式省会城市，通过EPC CE与CN2 PE的互联链路，建立Global的EBGP peer，广播省会IPRAN设备管理地址的汇聚路由和网管路由到CN2，并接收CN2广播的IPRAN管理地址汇聚路由。配置模板：2.2 NTP实现方式NTP时间同步采用分级部署方式：l EPC CE设置为ER的NTP client。l EPC CE的管理loopback地址路由和二级NTP server（ER）路由通过Global网管通道相互通告。 配置模板：3 端口配置要求3.1 接口通用要求MTU设置要求：l 华为设备网络侧IP MTU 配置为9000字节，业务侧IP MTU配置为2000字节。l 中兴、阿朗、烽火、思科、Juniper等设备设置物理接口MTU；网络侧配置为9000字节，业务侧配置为2000字节。配置模板：以太接口的协商模式要求：l 网络侧接口采用强制模式。l 对于业务侧接口，以业务系统接口的协商模式为主。配置模板：4 路由组织4.1 IGPEPC CE与ER/BSC CE/B等设备配置在相同的ISIS域。4.1.1 EPC CE-省级ER/EPC CE-EPC CEEPC CE-省级ER、EPC CE-EPC CE间的互联链路统一开启ISIS Level-2和LDP。进程号建议设置为100。EPC CE-省级ER间cost为500，EPC CE-EPC CE间cost为200。配置模板：4.2 MP-BGP设置要求4.2.1 AS设置要求l EPC CE使用省会MCE的AS号；配置模板：4.2.2 EPC CE与VRR对接要求EPC CE与VRR建立MP-IBGP peer，向VRR通告EPC业务路由，并从VRR接收VPNv4路由。配置模板：4.2.3 MP-eBGP设置要求EPC CE与CN2 PE采用option A方式对接，EBGP配置要求如下： 优先采用loopback-n地址建立EBGP连接，loopback-n地址之间互通配置BFD+静态路由； 路由策略由EPC CE/ER侧进行控制，CE采用MED控制CE入方向的流量，采用Local-preference控制CE出方向的流量； 启用BFD关联EBGP实现快速故障发现； PE开启AS-Override，为防止路由环，需配置SOO； 关闭PE与EPC CE/ER之间的BGP send-community extended，采用Standard community； PE侧VRF分发静态路由和直联路由； EPC CE/ER按照白名单方式向CN2 VPN发送本地VPN汇总路由A，按需发送明细路由（本机房路由An），实现流量流向调整； EPC CE/ER按照黑名单方式拒收缺省路由，并按需增加黑名单路由； EBGP连接不做MD5认证； 关闭Damping以加速收敛； EBGP设置 ebgp-multihop 2； Timer设置： keepalive设为30s，hold time设为90s； 打开BGP 多路径EIBGP maximum-paths 8。配置模板：4.3 路由快速收敛4.3.1 EPC CE故障检测和路由快速收敛对于省会城市或是跨地市部署EPC网元场景，EPC CE与B、ER、BSC CE位于相同MPLS VPN域内。图表 1 B以上故障检测和路由快速收敛EPC CE所在核心层网络快速收敛部署方式：l EPC CE作为VPN PE节点，配置双RD，发布等价VPNv4路由，形成VPNv4 ECMP负载分担方式。l 配置下一跳跟踪触发（NHT）机制，并结合下一跳分离技术加速路由的快速收敛。l 开启BFD for IGP来实现IGP快速检测，检测时间间隔3*30ms。l 启用部分路由计算（PRC）和增量路由收敛特性（ISPF）。l 为避免链路抖动，配置carrier-delay（down 0/up 200ms）。l 配置LDP/IP FRR，实现LSP快速切换。l 对于EPC CE与B设备为同厂家设备的情况，要求在EPC CE与B设备之间配置BFD for Loopback或BFD for LSP端到端快速检测，检测时间间隔配置3*50ms；对于EPC CE与B设备为异厂家的情况，暂不考虑BFD for loopback或BFD for LSP。配置模板：5 基站的业务实现5.1 基站业务在EPC CE上的实现对于RAN VPN，EPC CE用于承载基站业务，配置双RD，采用Option A与CN2对接。配置模板：5.2 EPC的承载与业务实现5.2.1 EPC网元的接入要求新建EPC CE用于EPC网元接入，要求如下：l 方式一：采用静态路由+BFD（优先推荐），检测周期为50ms*3l 方式二：采用CE+VRRP方式接入（不推荐）l 方式三：允许采用OSPF+三层交换机+VRRP不允许直接通过二层交换机透传VRRP方式进行接入。配置模板（静态路由+BFD）：配置模板（OSPF+三层交换机+VRRP）：5.2.2 SGi业务实现按照现有的CTNET和CTWAP业务接入模式，LTE用户需要根据NAI的不同分别获取PI-0和PI-1的地址。地址的获取分为2种方式：l 方式一：对于PI-0和PI-1地址充足的情况，P-GW直接给CTNET用户分配PI-0的IPv4公网地址，给CTWAP用户分配PI-1的私网地址。l 方式二：对于PI-0和PI-1存在地址不足的省份，推荐通过PI-3 VPN间接获取PI-0和PI-1的地址。PI-3 VPN设置原则如下：l P-GW为CTNET和CTWAP用户统一分配PI-3地址：/10地址（剔除用于业务平台2段B类地址，/16和/16），该段地址可省间复用。l PI-3 VPN统一设置NAT设备，经过NAT设备后分别接入PI-0和PI-1 VPN。l PI-3的NAT设备根据LTE用户的访问目标地址把PI-3地址转换成PI-0或PI-1地址。l PI-0 NAT地址池使用IPv4公网地址，PI-1 NAT地址池使用集团原分配CTWAP地址。LTE用户访问互联网，主要有以下2种方式：l 方式一：通过MCE的PI-0/PI-1 VPN现有的方式访问互联网。配置模板：l 方式二：通过EPC CE新增到ChinaNet的出口，实现LTE用户对互联网的访问。配置模板：6 VPN组织6.1 RAN VPN以省为单位设置，1X、Do及LTE基站共用同一VPN承载，RAN VPN CN2侧采用Hup-Spoke结构，本地网侧采用Full-Mesh结构。本地网侧RD/RT的设置如下：VPNRD1RD2export1import1CDMA-RAN4134:30504134:31504134:3050004134:305000配置模板：6.2 CTVPN193 VPNCTVPN193 VPN提供A 和B类设备的网管通道，以省为单位进行组网，VPN城域内采用星型组网，网管中心所在节点为Hub节点，其它节点为Spoke节点。考虑到A设备即插即管采用DCN自通方式，A 设备内置网管loopback1023接口（初始128.x.x.x-135.x.x.x 地址段,其中华为128.x.x.x ，烽火130.x.x.x，ZTE 131.x.x.x,其它保留），为满足网管系统通过CN2 193 VPN访问A设备需要， CN2 PE接受193 VPN本地网汇总地址段和(128135).x.x.x/32。CN2 PE控制193 VPN接收CE侧路由数量500条。在A上线后，网管系统将该管理地址统一重置为规划地址段,以避免对CN2产生大量/32细碎路由。RD/RT定义如下：以河北本地网为例，CTVPN193在城域网RD/RT定义如下：VPNRD1（PE1本地网）HUP节点 importHUP节点 exportSPOKE importSPOKE节点 exportCTVPN193-HE4134:16034134:1603004134:1603014134:1603004134:1603004134:160301配置模板：6.3 CTVPN194 VPNCTVPN194 VPN按需设置，提供基站环境监控系统互联，在城域内采用Hub-Spoke方式进行组网，RD/RT定义如下：VPNRD1（PE1本地网）HUP节点 importHUP节点 exportSPOKE importSPOKE节点 exportCTVPN1944134:30704134:3070004134:3070014134:3070004134:3070004134:307001配置模板：6.4 PI-3 VPNPI-3 VPN的部署有以下两种场景：l 对于C网和LTE用户NAT设备合设的场景，在省会MCE和EPC CE上以省为单位进行部署，采用全互联结构，用于CTNET和CTWAP地址的扩展。VPNRD1（CE1）RD1（CE2）Export1import1CDMA-PI34134:30034134:30034134:3003004134:300300配置模板：l 对于C网和LTE用户NAT设备分设的场景，考虑到扩展性及PI-3 VPN可能存在路由冲突，对MCE以及EPC CE上PI-3 VPN规划不同的RT，实现路由相互隔离。VPN（VRF命名）CE类别RD1（CE1）RD1（CE2）Export1import1CDMA-PI3MCE4134:30034134:30034134:3003004134:300300CDMA-PI3EPC CE4134:30034134:30034134:3003014134:300301配置模板：6.5 EPC VPN以全国统一组新增EPC VPN，满足EPC网元间互联，本地采用全网状组网。其RD/RT设置如下：VPN部署位置RD1（PE1本地网）RD1（PE2本地网）ExportimportCDMA-EPCEPC CE4134:30104134:31104134:3010004134:3011994134:3010004134:301100(AAA)配置模板：7 网络服务质量（QoS）配置7.1 QoS部署方案EPC CE为多业务合设，为保障关键业务的传送质量，承载网QOS部署总体采取预防性QOS策略，简化QOS部署的复杂性。7.1.1 业务标识（入方向）EPC网元优先进行IP QOS标识，除特殊要求外，要求承载网提供IP QOS透传，承载网需要根据业务种类（接口或子接口）进行MPLS映射并进入相应队列进行调度。对于由EPC网元完成的IP QOS标识要求完全符合中国电信相关规范，在CE和PE业务侧入方向采取自动MPLS映射，并进入相应队列调度；对于EPC网元进行的IP QOS标识不符合中国电信相关规范，需要在承载网边缘（CE和PE）业务端口进行EXP重新映射。总体业务标识的流程入下图所示：图7-1 EPC CE QOS业务标识流程对应的业务接口标识要求如下（DSCP根据业务的DSCP标识进行调整）：业务类型DSCPEXPLTE网管（高优先级）、LTE信令、IMS/PS信令（VOIP）、LTE话音、IP时钟464IKE483G信令50OAM541X语音49视频、在线流媒体345eMBMS组播403G专线用户47钻石用户、白金政企客户/1X数据322DO数据/金、银政企客户/LTE网管（低优先级）140实时游戏、高速上网类10铜政企客户/7.1.2 队列调度（出方向）在PE与CE、CE与CE、CE与网元之间的链路上，对出方向流量进行队列调度。带宽预留如下：IPP网内映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE注：信令与业务流的PQ队列尽量分开设置，根据设备不同情况也可以合并队列设置。7.2 EPC CE网络服务质量（QoS）配置7.2.1 业务标识（入方向）l 业务侧入方向进行QOS标识映射。配置模板：l 将业务侧入方向QOS策略绑定到业务侧接口或子接口。配置模板：7.2.2 业务端口调度（出方向）EPC CE路由器，带宽预留如下：IPP网内映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE注：信令与业务流的PQ队列尽量分开设置，根据设备不同情况也可以合并队列设置。l 网络侧出方向将fc映射到EXP。配置模板：l 网络侧出方向DIFFSERV调度策略。配置模板：7.2.3 网络口出队列策略（中继接口）CE-CE对EPC CE路由器，带宽预留如下：IPP网内映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE注：信令与业务流的PQ队列尽量分开设置，根据设备不同情况也可以合并队列设置。 配置模板：8 设备命名规范8.1 设备命名城市缩写-县缩写-节点缩写-设备属性-设备编号.网络（业务）类型.设备类型符号字符字符字符字符字符字符字符字符数字字符字符字符字符字符数818181固定111417选项必选必选可选可选必选必选必选必选必选必选必选必选可选l 字母大小各市需要采用统一标准，全部大写。l 两端、中间不带任何空格。l 城市标识，取城市名称拼音的首字母大写，如南京：NJ。l 当出现郊区县时，在城市标识后加郊区县名称拼音的首字母，如南京六合县：NJ-LH。l 节点标识，取节点名称拼音的首字母大写，如两节点的首