中国联通移动网CE局数据规范

1,2020/5/24,中国联通移动网CE局数据规范,V2009.01,2,目录,组网结构及设置原则路由原则VPN划分IP地址划分CE组网结构CE设备命名规范设备基本信息路由转发要求,3,组网结构及设置原则,同一局址内，CS域和PS域（不含Gi）采用不同CE路由器，且仅各有一对；同一局址内RNC设备和GSN设备共用PS域CE路由器，各类流量通过VPN隔离；各类业务CE路由器统一接入本地AR路由器；以本地网为单位，如设备局址超过五个（含五个），与AR同局址的两台CE做为汇聚路由器MCE（兼做本局址CE）口字形连接上联到承载网B网的AR路由器，其他节点CE设备通过口字形连接到这两台路由器；,4,组网结构及设置原则,要求各设备双上联到上层设备；PS域核心网相关设备通过LAN-Switch汇聚接入CE；RNC设备采用直连方式接入PS域CE路由器，建议采用静态路由；长途汇接局除语音流量直接接入IP承载网B网外，其余流量均由LANswitch汇聚后接入承载网；CS域软交换端局MSCServer和MGW设备需求端口较少的，可以不采用LANswitch汇聚的形式，而直接上联至CE设备（分公司根据本省实际情况决定），各类流量通过VLAN划分；,5,路由原则,AR与CE之间采用跨域VPN-OptionA方式，针对每个VRF分别建立BGP邻居。RNC和CE之间：子接口上起VRRP或ARP探测；,6,路由原则,本地CE之间：在CE上配置全局的ISIS、VPNv4邻居和VRFOSPF。本地两台CE之间，利用Trunk互联，采用子接口进行三层互通。CE与CE之间启用MPLS/LDP/MP-BGP协议；CE与GSN、RNC之间：采用静态路由。在CE上将静态路由注入OSPF中；,7,VPN划分和RD、RT等参数,8,VPN划分和RD、RT等参数,9,IP地址划分,10,CE组网结构,11,汇聚CE组网结构,12,CE设备命名规范,【格式】：省名地市_机房缩写_设备型号_设备类型_设备角色r【举例】：HEBSJZ-XZHL-N80E-Gn-MCE1表示石家庄新综合楼机房的PS域的第一台Gn业务接入路由器，型号为NE80E；目前格式：HEBSJZ-XZHLL2-NE80E-GnR1HEBBD-GKL5-7750-RNCR1设备类型：2个字符；CS：CS域设备。Gn：PS域设备。Gi：PS域设备。,13,端口配置,设备端口命名【格式】：POSslot/subslot/portGEslot/subslot/port【举例】：POS1/1/1表示“第一插槽第一子槽的第一个POS端口”,14,端口配置,网络端口描述（NN电路）【格式】：本端端口号To对端设备名对端端口号带宽【示例】：POS1/1/1ToBJBJ-JM-N80E-CS-MCE1POS2/1/110G，表示本端端口POS1/1/1连接到北京京门机房第一台汇聚路由器NE80E、对端端口号POS2/1/1、链路带宽10G,15,端口配置,用户端口描述（NI电路）【格式】：To对端设备名对端端口号业务设备端口【说明】：业务设备端口：取软交换业务的接口名称，如Nb、Mc【示例】：ToHUNCD_ZXJ_MGW1GE2/4/1/1MGWMC1表示与湖南常德MGW的MC互联端口。,16,设备基本信息,访问控制对CE路由器远程管理需要进行严格控制，只允许信任用户以特定方式（Telnet/SSH/SNMP等）进行访问。对路由器VTY接口访问进行控制，防止非法用户通过Telnet/SSH方式获取设备的控制能力。可针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问；允许省公司网管中心的登陆网段；允许通过CE承载网路由器跳转登入其他路由器，正常情况下，不允许其他地址登陆。,17,设备基本信息,访问控制修改VTY并发连接数缺省值，最多允许同时8个访问；空闲时间5分钟；配置Console端口口令；路由器本地配置用户名和管理组作为备份管理方式，至少配置全部读写权限和只读权限2个级别的管理组；,18,设备基本信息,SNMP网络上所有设备要求打开SNMPTRAP功能，路由器需要有SNMPTRAP的配置以便可以接受网管系统的SNMP查询，并可以向网管系统发送TRAP信息。,19,设备基本信息,时钟及NTP配置系统时间，要求采用标准北京时间；可从网管NTP服务器获取时间。系统日志配置所有设备的系统日志包括告警日志及操作日志在设备本地；系统日志及命令调试输出使用即时时间戳（如已具备专用网管必须将所有设备的系统日志预先设置发送至网管服务器）。,20,设备基本信息,其他关闭HTTP、FTP服务（缺省关闭）关闭其他小端口服务，增强设备本身的安全性。MTUCE设备的所有内部互连端口，统一取默认值。与外部连接端口的MTU值需与对端设备协商保持一致，尽可能取大值。,21,设备基本信息,POSPOS封装：PPP模式（采用POSIPTrunk技术，则需要把封装模式改为HDLC模式）；打开POS故障告警；设备未使用端口，全部手动关闭；,22,设备基本信息,BFDCE到业务侧视业务设备的支持BFD的能力及接入方案具体问题具体分析。建议配置如下：设备设置全局BFD延时UP的机制，延时时间180s。设备设置BFDFORTRUNK延时UP的机制，延时时间5min。与业务侧设备互连GE链路需要配置BFD链路故障检测功能，并绑定业务侧静态业务路由。与PE设备互联GE链路需要配置BFD链路故障检测功能，并BFD与BGP联动,23,路由转发ISIS,ISIS路由协议仅承载CE设备Loopback地址和互联地址，路由器全部划分到ISIS.LEVEL2区域。为保护ISIS协议免受非法用户的攻击，与WCDMA网路由器建立非法的ISIS邻居。建议采用如下保护措施：CE面向用户业务端口禁止运行ISIS协议，IGP协议可以选择静态路由、OSPF和RIP协议。当路由器重启或设备故障时，可能会出现路由表IGP和BGP不同步，或者路由表不完整，进而可能出现路由黑洞，设置Overloadbit避免这种情况出现。,24,路由转发ISIS,具体规划如下：CE之间的互联接口，都参与ISIS.L2路由，ISIScost类型为Wide。协议进程号为200。设备需要支持并打开ISISPRC（部分路由计算）和Incremental-SPF特性；与其他WCDMA网路由器间为信任关系；连接外网的端口又关闭了ISIS的处理，故不需做任何ISIS认证或加密。设备启用ISISOverloadon-startup功能。启用“ISIS动态主机名交换”功能（RFC2763TLV137）。打开flash-Floodlevel-2功能.打开smallHello功能。配置路由器记录ISISlog邻居变化信息。,25,路由转发ISIS,NET采用如下格式：采用AS.XXXX.IP地址.00格式，其中：AS号本地私网自治域号，XXXX区分不同Area，采用每个省的省会城市的电话区号电话区号（十进制格式属于同一省的所有路由器划归同一Area）。NET编址实例：06.4751.0311.0102.4210.3220.00表示：石家庄lookback地址为20的路由器。,26,路由转发AS号码,27,路由转发MP-BGP,仅作为VPN业务承载，不需配置IPv4BGP协议，只部署MP-BGP，采用MP-BGP协议发布VPNv4私网路由。BGP策略实施原则：CE路由器将承载全部IGP路由（所有设备Loopback与端口互联地址），汇聚CE（直接连接PE的路由器）路由器做为本AS的RR反射器，其它CE做为客户端。两台汇聚CE使用相同的CLUSTER-ID:0,28,路由转发MP-BGP,具体规划如下：设置BGProuter-id为Loopback0地址，AS号根据各地分配设置。关闭所有路由器的IPv4协议族BGPSession，只开启VPNv4协议族。设置MP-IBGP的update-source为Loopback0地址。发送community属性给MP-BGP邻居。关闭IGP-BGPsynchronization功能。将BGP自动路由汇总特性关闭。设备开启BGPGR功能。（需设备支持）关闭Dampen（为加速收敛）配置路由器记录log邻居变化信息,29,路由转发OSPF,每个VRF实例运行OSPF，在CE上将静态路由注入到OSPF中，设置类型为Type1.不划分AREA，所有接口都运行AREA0。ABR不进行路由汇总。在CE上将OSPF路由注入到相应的BGPVRF中，可适当过滤。CE与CE之间的所有链路、Loopback接口都运行在OSPF中，与AR之间的链路不运行OSPF。OSPFcost值建议采用自动计算的方式，参考带宽以10G作为计算基准。与AR连接的CE路由器产生缺省路由，发送给其它CE路由器。OSPF的Router-ID指定为Loopback0的IP地址。,30,路由转发MPLSVPN,所有CE互联