中国移动TD_PS_BG接入方案

S 入 方案 2007 2 目 录 1 概述 . 3 2 业务和 系统对承载的需求 . 3 务需求 . 3 D 间互联拓扑结构 . 3 案说明 . 4 间互联流量的对称性和冗余实现 . 4 京或广州站点内流量的对称性和冗余实现 . 4 火墙的配置说明 . 5 置 . 7 端口配置 . 8 静态路由配置 . 8 置 . 9 安全策略配置 . 9 3 入方案异常场景保护机制 . 10 京站点故障 . 10 京站点内 主用 路故障 . 10 用防火墙故障 . 11 用防火墙与 链路故障 . 11 4 实施建议 . 12 京站点 . 12 州站点 . 12 他 . 12 3 1 概述 本方案 规定了 心网分组域 设备 由器接入 P 承载网方案。 2 业务和 系统 对承载的 需求 务需求 北京、广州的 过防火墙与 州新设的两台 由器相连 ，通过 台 于热主备工作， 由于流量流经防火墙， 必须 保证流量的 对称，因此 采用 网络正常状态下 优选北京 为出口 。 此外，在北京和广州， 每台 有 冗余 链路 分别连接 当地的两台 保证 入的可靠性。 D 间互联 拓扑结构 拓扑结构如下图所示 ： 4 中国移动 过两条 口连接 R，保证到 S 内， 码 9808； 新设的 由器采用 共出两条 路 连接 到 一对防火墙， P 承载网 过 口口字形连接，如上图所示拓扑结构。 注意 两台防火墙之间的连线用于会话同步，不起任何 路由协议 ，不进行流量转发。 案说明 间互联流量的 对称性和冗余实现 S 域作为 载网的一个 要在北京、广州通过两台 由器实现与 络的联通，鉴于北京、广州 的网间互联点 都有防火墙， 因此 需要 确保 量的对称性 ，在对称的基础上实现流量的冗余。 总体要求为：采用北京 为流量进出的主用节点，广州 为备用节点，通过 实现。 具体实现策略如下： 针对北京 9808 增加 1 个，针对北京 9808 增加 2 个；针对广州 9808 增加 3个，针对广州 9808 增加 4 个，另外对北京 间的 路 为高于间的 路，对广州 间的 路 为高于间的 路； 在 州 由器 上向 部 宣告 中国移动 将路由 的本地优先属性设为 90，低于北京的缺省值 100。 这样配置网络的效果如下： 所有进出流量对称； 第一优选链路：北京 第二优选链路：北京 第三优选链路：广州 第四优选链路：北京 京或广州站点内 流量的对称性和冗余实现 以北京站点为例。 G 路由器经过防火墙与 载网的 立 当于中国移动 E； 双方路由通过 现两个网络的 达 。 防火墙和 所有接口开启 现 间的接口地址可达， 别与 立两条 通过 设定 路由 中一个 用，另一 个 由 于采用两条 用为 用为 5 主用链路故障，备用链路激活过程中无需 建、无需 需双方路由重新发布，因此流量切换时间较快。 为了保障在一个站点内的流量对称性， 对 808增加 1个，针对 808增加 2个，然后再设备从 G 到 当主用 路径故障时，原 的 同时 载网中原 那台路由器也 被激活 ，流量经一定 的 间后切换到备用链路。 由于 防火墙处于 到达 D 此需要配置到 S 下一跳 指向 接口地址 ；同时针对去往 下一跳 指向 接口地址 ， 以实现流量的正常转发。 另一个 需要说明的问题： 北京两台 时还接有本地 E， 同一个 此导致北京 D 且缺省状态下 此会导致 将 决的方法 为 在 150调整至 200。 火墙的配置说明 施方案说明 全网通过两台 京、广州各一台）接入 D 网络，通过 台 于热主备工作，通过路由优选北京 为出口 承载网路由规划实现。每 台 G 接入的可靠性。 网拓扑结构 入的组网拓扑结构如下图所示（北京、广州没有区别）： 6 移 动 B N E TG 1A R 2电 信 / 网 通 B E 1 接 口F W 1F W 2中国移动 过两条 口连接 R，保证到 动 出两条 路到 一对防火墙， 防火墙和 载网 过 口口字形连接，如上图所示拓扑结构。防火墙和所有接口开启动态路由协议，通过路由优选一台防火墙主用，另一台防火墙处于热备份状态。 火墙实施步骤 启用 络故障动态收敛，两防火墙间通过 于同步防火墙间 过设定 保证优选一台防火墙同时出入流量经过同一台防火墙。 防火墙作如下配置：两防火墙间通过心跳线连接（接口置于 HA 删除缺省的 消缺省的配置同步功能，启用 配置 现非 配 置两防火墙策略，使之始终保持一致。 在正常情况下两防火墙各自处理进出的网络流量（由于做了路由优选策略，只有一台防火墙上有流量，另一台处于热备份状态），并互相同步彼此建立的 网络出现故障时（路由器、防火墙或连接线缆），通过 于两防火墙间 使应用流量从一侧进来，因路径切换而从另一侧返回时，另一个防火墙也能正确地进行状态检查和流量转发，保证应用的 7 施步骤 备 1 光纤 4对（ 2 备份核心路 由器的配置和 上线工具一套 及人员 移动公司： 中兴通讯公司 火墙接口连接图 本地接口 对端设备 对端接口 区域 移动 本地接口 对端设备 对端接口 区域 移动 防火墙的配置步骤 置 /创建 组 8 /启用 象同步 /将端口 0/0 放进 /将端口 0/1 放进 /将端口 0/2 放进 /将端口 0/3 放进 4 /给端口 0/0 配置 IP /配置端口为路由模式 4 /给端口 0/1 配置 IP /配置端口为路由模式 4 /给端口 0/2 配置 IP /配置端口为路由模式 静态路由配置 6 6 6 6 6 6 4 4 4 4 4 4 4 4 4 4 4 4 4 9 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 置 /设置 /强制不公告默认路由 /启用 /在 启用 击保护 。 京 站点 故障 北京 站点故障包括北京 备故障，或者北京 中国移动 S P 承载网选择广州 现与 京站点内 移 动 B N E TG 1A R 2电 信 / 网 通 B E 1 接 口F W 1F W 2如上图所示， 主用 原备用 所有流量 收敛到热备份同时 两台防火墙之间通过心跳线保障 11 用防火墙故障 移 动 B N E TG 1A R 2电 信 / 网 通 B E 1 接 口F W 1F W 2如上图所示， 主 用 原备用 所有流量收敛到热备份 同时两台防火墙之间通过心跳线保障 用防火墙与 移 动 B N E TG 1A R 2电 信 / 网 通 B E 1 接 口F W 1F W 2 12 如上图所示， 主 用 障后， 原备用 所有流量收敛到热备份 同时两台防火墙之间通过心跳线保障 4 实施建议 京站点 新设 两台 该设置在菜市口 2层 ，与 由器同一房间； 两台 间的心跳线采用 口或光口连接；两台 由器 由于在同一个机房，可以采用 口或光口连接 ； 菜市口 2层的 层的 通过 口连接 ； 菜市口 2层 菜市口 7层的 间通过 口 连接 ； 菜市口 2层 望京 10 层 过 口 或 州 站点 新设 两台 置在清河东四层，与 两台 间的心跳线