移动IP承载网中的路由设计和配置方法20230805

移动IP承载网中的路由策略路由策略概述1.1路由策略的应用种类移动业务IP承载网中采用三层MPLSVPN作为全网业务应用的统一组织方式。通过MPLSVPN配置以相应路由策略来承载2G/3G/4G移动业务、增值业务、IMS业务以及相应的网管业务。为了确保所承载各种业务能安全、快捷的在网上传送，移动IP承载网中针对路由方面做了比较细致的规划，并且灵活的使用了各种策略。目前移动IP承载网路由策略的应用主要包括以下10种:12345678910ISISCOST值QOS策略EBGP+BFDSTATIC+BFDIPprefix-listRR反射器BGP团体属性FRRVRRP1.2路由策略的应用场景路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。主要通过改变路由属性（包括可达性）来实现。路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤。路由策略主要有两种应用方式：1、路由协议在引入其它路由协议发现的路由时，通过路由策略只引入满足条件的路由信息。2、路由协议在发布或接收本路由协议发现的路由信息时，通过路由策略对信息进行过滤，只接收或发布满足给定条件的路由信息。现网中针对不同设备、业务，根据各设备在网络中所扮演的角色的不同，各种路由策略的实施不尽相同，目前移动IP承载网路由策略的应用场景如下图所示：1.3主要设备上路由策略的应用概括由路由策略的应用场景图可以看出，移动IP承载网设备大致可以分为CE/MCE、PE、P路由器，各设备路由策略的应用概括如下：CE路由器CE设备通过口字形连接到MCE，CE/MCE之间运行ISIS作为IGP，用来承载所有CE设备的直连和环回路由，提供BGP协议的路由可达性。CE之间、CE和MCE设备之间在互联端口启用MPLS/LDP协议。CE作为客户端与VPNRR(MCE)建立VPNV4的IBGP邻居关系，通过RR反射业务路由。CE与MGW\SBC之间运行Static+bfd负载分担模式，并联动IPFRR（华为设备）。CE挂AGCF：CE之间互联接口切换二层模式，并透传IMS业务网元相应的Vlan，用于VRRP心跳报文的传递。MCE路由器MCE与CE、MCE之间的路由：CE/MCE之间运行ISIS作为IGP，用来承载所有CE设备的直连和环回路由，提供BGP协议的路由可达性。设备之间在互联端口启用MPLS/LDP协议。MCE作为本市CE设备的VPNV4路由反射器RR,与客户端CE建立IBGP邻居，接入CE作为客户端只需要与RR建立VPNV4邻居,通过RR反射业务路由；VPNRR之间建立普通VPNV4的IBGP邻居关系，使用相同的CLUSTER-IDMCE与AR之间路由：BFD-FOR-BGP方式对互联链路进行保护MCE与AR之间采用跨域MPLSVPNOPTIONA方式互通，将MCE路由器接入联通IP承载网B网。PE和P路由器全网采用ISIS，全部置于Level2层,启动ISIS快速收敛，ISIS路由协议仅承载骨干设备loopback地址和互联地址、管理型CE的接口地址、网管中心地址，不做业务路由的承载。域间路由和VPN路由采用BGP承载，在AS边界通过EBGP(OPTION-A方式）来控制路由的发送、接收、汇总以及路由属性。全网开通MPLSVPN同一节点的2台AR发布相同路由时，采用不同的RD值以加快路由的收敛速度与负载均衡。设置BGPcommunity属性控制路由输入输出及流量实现负载均：2、路由策略的具体应用2.1ISIS的应用2．1．1ISIS的应用场景ISIS作为全局的IGP路由协议，其主要的应用在CE\MCE、PE、P路由器，仅承载设备Loopback地址和互联地址、网管中心地址，不做业务路由的承载。用来提供BGP协议的路由可达性。Isis的应用场景如下图所示：2．1．2不同设备上ISIS配置2．1．2．1AR7750配置echo"ISISConfiguration"#--------------------------------------------------isislevel-capabilitylevel-2graceful-restartexitoverload-on-boottimeout300traffic-engineeringspf-wait15050lsp-wait101level2external-preference26preference21wide-metrics-onlyexitinterface"system"level-capabilitylevel-2level2passiveexitexitinterface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2．1．2．2CISCO设备（7609）#routerisis100is-typelevel-2-onlymetric-stylewidefast-floodset-overload-biton-startup10spf-interval15050lsp-gen-intervallevel-215050nohellopaddinglog-adjacency-changes!#interfaceLoopback0ipaddress10.10.10.iprouterisis100isiscircuit-typelevel-2-only##interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2．1．2．3华为设备（NE40E）#isis200graceful-restartis-levellevel-2cost-stylewidetimerlsp-generation15050level-2flash-floodlevel-2timerspf15050#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2．2COST值的应用2.2.1COST值的应用场景网络中合理的设置COST值，可以有效的控制网络中的回程流量，有效的使得业务流能均衡承载在不同的设备上，实现业务的负载分担，尽可能防止网络流量的横穿。如下图所示，业务流量会沿着图中蓝色线路到达MGW1，正常情况下不会出现流量横穿现象。2.2.2不同设备上COST值的配置2.2.2.1AR7750配置#--------------------------------------------------interface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2.2.2..2CISCO设备（7609）#interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2.2.2..3华为设备（NE40E）#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2.3QOS策略2．3．1AR路由器上QOS的等级规划表移动IP承载网中QOS策略的应用主要在PE和P设备上。以AR即PE设备为例，阿朗7750SR支持8个forwardingclass：nc,h1,ef,h2,l1,af,l2,be。这8个转发类在设备中是唯一的,业务数据分类标记、不同类型接口进出队列调度的配置都需要基于这8个转发类。IP承载网QoS采用DiffServ技术体系，将QoS需求相近的业务流分成一类，因此需要在网络边缘处对业务流量进行分类和标记，以便网络中的每一台设备能够根据这个标记执行相同的PHB（Per-HopBehavior），获得网络端到端的QoS质量保证。业务等级标记转发类Q-idCIRPIR丢弃网络控制7Nc7580Tailordrop6H12G/3G/

固定终端/固网/IMS业务的信令以及固定终端媒体5EF61090Tailordrop2G/3G/固网/IMS业务的媒体业务4H253090Tailordrop增值业务3L143090WRED网管2AF31240WRED预留1L22440WRED预留0BE1940WRED由上图可以看出QoS规划信令的业务以及固定终端媒体业务等级为5，高等级队列，带宽保证值(CIR)为10%，PIR为90％；其它媒体业务等级为4，高等级队列，带宽保证值(CIR)为30%，PIR为90％；增值业务（3G_IuPS）等级为3，带宽保证值(CIR)为30%，PIR为90％；软交换网管流量的业务等级为2，高等级队列，带宽保证值(CIR)为12%，PIR为40％。2．3．2AR路由器上QOS部署带宽预留参数是根据各类优先等级业务所占用网络容量的百分比来预留链路的带宽，为了防止PQ队列抢占其余队列的带宽，甚至抢占网络控制队列的带宽，所以对PQ进行限速。对网络控制、2G/3G信令业务、2G/3G语音业务、IMS业务、增值业务、及其它业务的队列进行带宽的分配，具体等级规划如下：1、AR路由器（AR之间和AR至BR）互联端口出方向启用队列调度和拥塞避免机制,使用策略：CU-NetworkEgressQ\CU-WRED，该策略是根据上面的《QOS等级规划表》来制定的，目的是实现各类业务的带宽保证的。Network-Queue策略:Ingress应用到板卡上，Egress应用在物理端口上面。AR信任CR和PR过来的业务流量等级、所以端口进方向不需要进行分类标记。策略：network100将AR收到的业务流的等级变成CE/MCE可以识别的等级类型，即做《QOS等级规划表》中的映射关系。3、业务互联子接口ingress方向，对业务流量进行标记、分类，最终实现《QOS等级规划表》各业务的带宽要求的保证。Sap-Ingress策略：应用在VPN上面，即QOS44、QOS55等应用到网络接口。各策略作用如下图所示：2.4EBGP+BFD的应用EBGP+BFD的应用场景EBGP协议使用在不同的AS系统之间路由的传递，移动IP承载网中EBGP+BFD的应用主要在AR和CE/MCE之间即PE和CE之间。在网络高速发展的今天，网络故障时的业务收敛速度要求越来越快。在任何一个节点发生故障时，相邻节点业务倒换小于50ms，端到端业务收敛小于1s已经逐步成为承载网的门槛级指标。但是，BGP协议的Keepalive时间间隔缺省为60秒，最小可配置为1秒，这样holdtime缺省为180秒，最小为3秒，邻居关系检查比较慢，对于报文收发速度快的接口会导致大量报文的丢失。bgp与BFD进行绑定大大提提路由检测级别。通过bfd进行快速检测故障，加快bgp协议的收敛。现网中EBGP+BFD的应用情况如下图所示：不同设备上EBGP+BFD的配置如上图所示：IP承载网AR和移动核心网MCE分别属于不同的AS，IGP协议全部为ISIS，AR和MCE之间为EBGP+BFD，相关互联物理接口和IP地址如图中所示，则各设备上EBGP+BFD的配置如下：如上图所示：IP承载网AR和移动核心网MCE分别属于不同的AS，IGP协议全部为ISIS，AR和MCE之间为EBGP+BFD，相关互联物理接口和IP地址如图中所示，则各设备上EBGP+BFD的配置如下：AR1设备（7750）：echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn1customer1createinterface"GE1/2/9.300"createexitexitvprn1customer1createdescription"ForSSW_Media"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldpinterface"GE1/2/9.300"createdescription"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"address11.11.11.1/30bfd150receive150multiplier3interface"GE3/2/5.300"createdescription"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"address10.10.10.1/30bfd150receive150multiplier3bgpgroup"ZHLF-7609-MCE1-CS-Media-64992"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as64992local-address11.11.11.1enable-peer-trackingneighbor11.11.11.2description"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"bfd-enablesplit-horizonexitexitgroup"ZHLF-NE40E-MCE1-IGW-Media-65210"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as65210enable-peer-trackingneighbor10.10.10.2description"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"local-address10.10.10.1bfd-enableexitexitnoshutdownexitnoshutdownexitSDHZ-ZHL-NE40E-IGW-MCE01#interfaceGigabitEthernet2/0/5descriptionGE1/0/0TOSDHZ-ZHL-7750-AR1-CSGE3/2/51Gundoshutdowncontrol-flap#interfaceGigabitEthernet2/0/5.300vlan-typedot1q300mtu9192descriptionGE2/0/5.300TOSDHZ-ZHL-7750-AR1-CSGE3/2/5.3001GSSW_Mediacontrol-flapipbindingvpn-instanceSSW_Media#ipv4-familyvpn-instanceSSW_Mediaimport-routedirectimport-routestaticmaximumload-balancing8peer10.10.10.1as-number38351peer10.10.10.1descriptionTOSDHZ-ZHL-7750-AR1peer10.10.10.1bfdmin-tx-interval150min-rx-interval150peer10.10.10.1bfdenablepeer10.10.10.1advertise-communitypeer10.10.10.1route-update-interval5#SDHZ_ZHL3L_7609_CS_MCE1#interfaceGigabitEthernet1/5.300descriptionGE1/5.300toSDHZ-ZHL-7750-A1GE1/2/9.30010Gencapsulationdot1Q300ipvrfforwardingSSW_Mediaipaddressbfdinterval150min_rx150multiplier3end#routerbgp64992bgprouter-id****。。。。。。!#address-familyipv4vrfSSW_Medianeighbor11.11.11.1remote-as38351neighbor11.11.11.1descriptionAR1neighbor11.11.11.1fall-overbfdneighbor11.11.11.1activateneighbor11.11.11.1send-communityextendedexit-address-family#备注：在接口上启用BFD功能与在协议进程下启用的作用是一样的，但是接口启用的优先级高于全局启用的优先级。2.5STATIC+BFD2．5．1STATIC+BFD的应用场景BFD是一个双向检测协议，需要检查两端建立会话。对于动态路由协议来说是有邻居概念的，因此在检测两端动态路由协议都会将邻居信息通知给BFD会话，这样BFD进行检测两端的任务时可以通过动态路由的邻居之间发送BFD控制报文来建立BFD的会话。但静态路由没有邻居的概念，BFD检测是如何实现的？一般用下面的方法解决：静态路由使用控制报文方式BFD功能时，对端也必须存在对应的BFD会话。检测两个方向上的BFD会话，实现毫秒级别的链路故障检测。配置静态路由和BFD检测时必须同时指定出接口和路由下一跳的BFD地址。静态路由仅支持使用BFD检测直连的下一跳，如果静态路由配置的路由的下一跳不是直连的，则不支持BFD检查。移动核心网络设备不能在IP层保持对等会话关系，因而整个网络“不可见”，也就无法实现各网关与IP边缘路由器间的故障检测；其次，当移动核心网的某远端部分发生故障时，不能用有效的方式通知主机或路由器。即使是高速链接失败检测工具也难以快速检测到在主机与路由器间有交换机介入时的网络故障情况。此时，BFD协议完全可以融入移动网关平台中，这时它用于保持网关与边缘路由器间的连接。BFD能检测到介入以太网段或独立网段的故障，它在网关与路由器间交替构建冗余路径，一旦检测到故障并确认得到确认，BFD便可以在所有路由、传输及隧道系统中触发相应倒换机制，保证网络的可靠。因此，目前移动IP承载网中STATIC+BFD的应用范围在各业务网关和CE接入路由器之间，如下图红色线所示：2．5．2不同设备上STATIC+BFD的配置如上，图中MGW下挂在CE下面，所承载的业务为VPN：SSW_Media,设备端口的互联地址如图中所示，MGW和CE之间路由协议为STATIC+BFD方式，各设备的具体配置数据如下：Cisco760-CE1#interfaceGigabitEthernet3/2descriptionGi3/2TOZXMGW1_3-2-1ipvrfforwardingSSW_Mediaipaddressspeednonegotiatebfdinterval100min_rx100multiplier3end##iproutevrfSSW_Media.247255.255.255.255GigabitEthernet3/2.14iproutevrfSSW_Media.248255.255.255.255GigabitEthernet3/2.14#NE40E-CE2#bfddelay-up180#interfaceGigabitEthernet1/0/2bfdtriggerif-downdescriptionTO_GMGW2-1undoshutdownipaddress3#interfaceGigabitEthernet1/0/2.2801vlan-typedot1q2801ipbindingvpn-instanceSSW_Mediaipaddress3#interfaceGigabitEthernet1/0/3bfdtriggerif-downdescriptionTOGMGW2-2undoshutdown#interfaceGigabitEthernet1/0/3.2802vlan-typedot1q2802ipbindingvpn-instanceSSW_Media##discriminatorlocal1001discriminatorremote2001detect-multiplier5process-pstcommit#discriminatorlocal1002discriminatorremote2002detect-multiplier5process-pstcommit##备注：对于华为设备不建议接口绑定vpn的同时启用bfd功能。一般如果在接口下启用bfd时，要求物理接口下启用，子接口绑定vpn，这样bfd不受影响。ZXMGW1（中兴）1、分别进入GIPI端口（2架-1框-1槽和3架-3框-1槽），配置接口：ipaddressipaddress.14Mask255.255.255.2522、增加环回地址（即业务地址）：interfaceloopback：port=101addipaddress.247Mask255.255.255.252；interfaceloopback：port=101addipaddress.248Mask255.255.255.252；3、设置BFD:1）、打开bfd全局参数：setrebfd：enable=open2）、bfd全局属性设置：setbfdglobalProp=activeenable=enable3）、bfd会话配置（两端参数需要协商一致）addbfdsession：SRCIP=.10DSTIP=.9interval100000min_rx100000multiplier3addbfdsession：SRCIP=.14DSTIP=.13interval100000min_rx100000multiplier34）、增加到其它网元Nb业务地址静态路由，使用最大匹配，两个业务地址都要添加，负荷分担。addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.9,DISSTANCE=1,BFDDETECT=YES;addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.13,DISSTANCE=1,BFDDETECT=YES;GMGW2（华为）1、将互联的GE端口划分到相应的VLAN中ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=0,VID=2801,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=1,VID=2811,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=0,VID=2802,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=1,VID=2812,VBEARBW=512000;2、增加业务地址段4",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2801,IFMPLS=NO;ADDIPADDR8",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2811,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2802,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2812,IFMPLS=NO;3、增加业务地址的静态路由4",GWIP="10.215.229.13",TIMEOUT=NoAging;8",GWIP="10.215.229.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.22",GWIP="10.215.229.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.26",GWIP="10.215.229.25",TIMEOUT=NoAging;4、增加业务路由互为备份48";ADDRTBAK:BN=0,IFT=GE,IFN=1,IPADDR="10.215.229.18",IPADDRBAK="10.215.229.14";ADDRTBAK:BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",IPADDRBAK="10.215.229.26";ADDRTBAK:BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26.22";5、增加私有地址，用来BFD4",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;8,MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="192.168.0.22",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="192.168.0.26",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;43",TIMEOUT=NoAging;8",GWIP="192.168.0.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.22",GWIP="192.168.0.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.26",GWIP="192.168.0.25",TIMEOUT=NoAging;4",SPORT=0,EPORT=65535;8",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.22",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.26,SPORT=0,EPORT=65535;7、物理端口上启用BFD检测功能（两端参数需要协商一致）4",DSTIP="192.168.0.13",DISCLO=2001,DISCRE=1001,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=0,IFT=GE,IFN=1,BFDNM="HRB01-BFD",TYPE=IF,SRCI87",DISCLO=2023,DISCRE=1011,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=0,BFDNM="HRB10-BFD",TYPE=IF,SRCIP="192.168.0.22",DSTIP="192.168.0.21",DISCLO=2002,DISCRE=1002,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=1,BFDNM="HRB11-BFD",TYPE=IF,SRCIP="192.168.0.26",DSTIP="192.168.0.25",DISCLO=2023,DISCRE=1012,TXINT=10,RXINT=10;华为设备不建议接口绑定vpn的同时启用bfd功能，因此业务地址和物理互联地址是分开的。2.6IPprefix-list2.6.1IPprefix-list的应用场景ipprefix-list的内容包括两部分数据：地址前缀列表名称+匹配的地址范围。地址前缀列表的作用类似ACL，比较灵活。地址前缀列表在应用于路由信息的过滤时，其匹配对象为路由信息的目的地址域。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个索引号来标识，索引号指明了进行匹配检查的顺序。在匹配的过程中，路由器按升序依次检查由index-number标识的各个表项。只要有某一表项满足条件，就意味着本次匹配过程结束，而不再进行下一个表项的匹配。如果所有表项都是deny模式，则任何路由都不能通过该过滤列表。因此，需要在多条deny模式的表项后定义一条permit0.0.0.00greater-equal0less-equal32表项，允许其它所有IPv4路由信息通过。配置方式如下：ipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value][less-equalless-equal-value]移动IP承载网中前缀列表用于BGP路由。BGP的路由选择协议中，可以对BGP路由选择更新进行过滤，这个工作用到前缀列表。移动IP承载网中各设备上前缀列表的应用场景如下图中标注红色区域所示：2.6.1IPprefix-list配置：目前移动IP承载网中使用到IPprefix-list的设备类型主要有三种：阿郎的AR、华为NE40E、思科的CISCO7600系列。当然IPprefix-list只是路由策略的匹配规则，即过滤器，要有具体的路由策略来调动它，才能最终应用于路由信息的过滤。如上图所示，VPN业务SSW_Signal分别从不同的MGW接入移动IP承载网，在AS:65210中外围接入系统CE设备为华为的NE40E，AS64992中外围接入系统CE设备为CISCO7600设备，各设备的端口信息和路由信息如图中所示。为了杜绝端局设备将非法业务ip段的路由信息引入承载网中，我们在网络中使用了ipprefix-list，通过过滤器过滤掉非法地址，最终实现了只允许VPN：SSW_Signal的ip地址段通过网络。该策略的实施我们分别以NE40E-CE1和CISCO7609-MCE2为例。同理AR上针对该VPN业务也制定了相应的过滤策略，保证AR所收到的来自MCE的路由的纯洁性。各设备的具体的配置方法如下：AR设备[AR2]#--------------------------------------------------policy-optionsbeginprefix-list"pl_SSW_Signal"exitpolicy-statement"rp_SSW_Signal_in"entry10fromprotocolbgpprefix-list"pl_SSW_Signal"exitactionacceptexitexitdefault-actionrejectexit#--------------------------------------------------echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn2customer1createinterface"GE3/2/2.100"createexitexitvprn2customer1createdescription"ForSSW_Signal"ecmp8autonomous-system38351route-distinguisher38351:10010auto-bindldpinterface"GE3/2/2.100"createdescription"To7609_MCE2GE1/1->SSW_Signal"bfd150receive150multiplier3bgpmultipath8group"7609-MCE2-Signal-64992"keepalive60hold-time180min-as-origination2min-route-advertisement2typeexternalimport"rp_SSW_Signal_in"local-as38351peer-as64992enable-peer-trackingbfd-enablesplit-horizonexitexitnoshutdownexitservice-name"VPRNservice-2SDHZ-ZHL-7750-A1(116.79.16.23)"noshutdownexitcisco设备:[CISCO7609-MCE2]ipvrfSSW_Signalrd64992:228640route-targetexport64992:228640route-targetimport64992:228640!!interfaceGigabitEthernet1/1descriptionGE1/1toAR2gei_g3/2/21000Mmtu9192noipaddressspeednonegotiate!interfaceGigabitEthernet1/1.100encapsulationdot1Q100ipvrfforwardingSSW_Signalbfdinterval150min_rx150multiplier3!!route-mapSSW_Signal,permit,sequence10Matchclauses:ipaddressprefix-lists:SSW_Signal!routerbgp64992!address-familyipv4vrfSSW_Signalnosynchronizationneighbor10.215.118.1remote-as38351neighbor10.215.118.1descriptionlink-AR2neighbor10.215.118.1fall-overbfdneighbor10.215.118.1activateneighbor10.215.118.1send-communityextendedneighbor10.215.118.1advertisement-interval5route-mapSSW_Signaloutexit-address-family华为设备[NE40E-CE1]#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429tnl-policylsp-num6apply-labelper-instancevpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#Vlan2200#interfaceVlanif2200descriptionTOHZMGW1-Bipbindingvpn-instanceSSW_Signal#interfaceGigabitEthernet1/1/2descriptionSDHZ-ZHL-GMGW22/8/OMCslaveundoshutdownportswitchportdefaultvlan2200#interfaceGigabitEthernet2/1/0descriptionSDHZ-ZHL-GMGW22/7/OMCMasterundoshutdownportswitchportdefaultvlan2200#ipip-prefixHZSIGNALindex10permit10.215.179.024greater-equal24less-equal32#Route-policy:HZSIGNALpermit:1Matchclauses:if-matchip-prefixHZSIGNAL#ipv4-familyvpn-instanceSSW_Signalimport-routedirectroute-policyHZSIGNAL#2.7RR路由反射器RR路由反射器使用场景为保证IBGP对等体之间的连通性，需要在IBGP对等体之间建立全连接关系。假设在一个AS内部有n台路由器，那么应该建立的IBGP连接数就为n(n-1)/2。当IBGP对等体数目很多时，对网络资源和CPU资源的消耗都很大。利用路由反射可以解决这一问题。在一个AS内，其中一台路由器作为路由反射器RR（RouterReflector），其它路由器做为客户机（Client）与路由反射器之间建立IBGP连接。路由反射器在客户机之间传递（反射）路由信息，而客户机之间不需要建立BGP连接。IP承载网中RR的应用场景如下图所示：对内网AR，采用“一级RR+备份RR＋异地分簇方案”，全网设置7对MP-iBGP的路由反射器RR,AR路由器与所在大区RR路由器、本省内省会城市AR1建立3个MP-iBGP邻居；MCE作为本市CE设备的VPNV4路由反射器RR,与客户端CE建立IBGP邻居，接入CE作为客户端只需要与RR建立VPNV4的IBGP邻居关系,通过RR反射业务路由。CE/MCE与AR之间采用跨域MPLSVPNOPTIONA方式互通，将MCE路由器接入联通IP承载网B网。2.7.2RR路由反射器的配置普通地市ARbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN“local-as38351peer-as38351description"ToSHSH-JC-N40E-V1"exitdescription"ToHBWH-KJG-N40E-V1"exitdescription"ToSDJN-YXS-7750-A1"济南AR至一级RRbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN"………exitlocal-as38351peer-as38351description"ToSHSH-JC-N40E-V1"split-horizonexitdescription"ToHBWH-KJG-N40E-V1"split-horizonexitexit济南AR至普通地市group"pgAcessIn"description"For_AR-of-Internal-VPN";;;;exitlocal-as38351peer-as38351description"ToSDQD-SDL-7750-A1"split-horizonexitdescription"ToSDQD-HRL-7750-A1"split-horizonexitdescription"ToSDZB-JWSL-7750-A1"split-horizonexit;;;;;CECISCO设备!routerbgp64992bgplog-neighbor-changesbgpgraceful-restartrestart-time120bgpgraceful-restartstalepath-time360bgpgraceful-restartneighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0!address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-clientCE华为设备NE40E#bgp65210undodefaultipv4-unicastgraceful-restartpeer10.215.46.38as-number65210peer10.215.46.38descriptionTOSDHZ-ZHL-NE40E-IGW-CE01peer10.215.46.38connect-interfaceLoopBack0#ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38reflect-clientpeer10.215.46.38advertise-community2.8BGP团体属性CommunityBGP团体属性应用场景Community:团体，可选传递。主要用来做策略的。将某些路由条目设置一个相同的标记----Community值。BGP的团体属性有别于其它任何一种属性，他不限于一个网络或者一个自治系统，它没有物理边界，可以穿过多个AS。团体属性其实就是对bgp路由更新的一种标记方法。在传递的过程中途中的路由器可以根据该属性来对路由进行相应的操作例如控制和过滤，不需要再依赖繁琐的acl或者是ip-prefix列表一条路由一条路由的指定，这简化了路由策略的配置，增强了灵活性。配置BGP团体时，必须使用路由策略来定义具体的团体属性，然后在发布路由信息时应用此路由策略。BGP团体属性配置ARecho"PolicyConfiguration"#--------------------------------------------------policy-optionsbegincommunity"SSW_Media_comm_in1"members"38351:2001"community"SSW_Media_comm_in1"members"target:38351:10000"policy-statement"SSW_Media_in"entry10fromprotocolbgp-vpncommunity“SSW_Media_comm_in1"exitactionacceptexit#--------------------------------------------------vprn1customer1createdescription"ForSSW_Media"vrf-import"SSW_Media_in"vrf-export"SSW_Media_out"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldp………….CISCOrouterbgp64992neighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-client！address-familyipv4vrfSSW_Medianeighbor10.215.228.1remote-as38351neighbor10.215.228.1descriptionlink-ZHL-7750-AR1neighbor10.215.228.1fall-overbfdneighbor10.215.228.1activateneighbor10.215.228.1send-communityextended！ipvrfSSW_Mediard64992:200050route-targetexport64992:200050route-targetimport64992:200050NE40E#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429vpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#bgp65210ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38advertise-community#ipv4-familyvpn-instanceSSW_Signalpeer10.215.112.65as-number38351peer10.215.112.65descriptionTOHZ-ZHL-AR1peer10.215.112.65bfdmin-tx-interval150min-rx-interval150peer10.215.112.65bfdenablepeer10.215.112.65advertise-community2.9FRRFRR的使用场景FRR（FastReRoute）是指当物理层或链路层检测到故障时将此消息上报上层路由系统，同时立即开始采取措施，使用一条备份的链路将报文转发出去，从而将链路故障对于承载业务的影响降低到最小限度。现网中FRR的使用主要在针对华为片区接入CE所带的VPN:SSW_Media业务。移动ip承载网中用到的FRR技术有IPFRR和VPNFRR。其中IPFRR的使用分为公网IPFRR和私网IPFRR两种，现网中使用的是私网IPFRR。VPNFRR致力于解决CE双归这种最普遍的网络模型的端到端业务收敛问题，将PE节点故障情况下的端到端业务的收敛时间控制在1s以内。VPNFRR、端到端收敛。VPNFRR简单可靠，易于部署，有效的缩短了CE双归属网络中，PE设备故障引起的端到端业务中断时间。VPNFRR利用基于VPN的私网路由快速切换技术，通过预先在远端PE中设置指向主用PE和备用PE的主备用转发项，并结合PE故障快速探测，旨在解决CE双归PE的MPLSVPN网络中，PE节点故障导致的端到端业务收敛时间长（大于1s）的问题，同时解决PE节点故障恢复时间与其承载的私网路由的数量相关的问题，在PE节点故障情况下，端到端业务收敛时间小于1s。VPNFRR关注的是内层标签，或者说内层隧道的快速切换。FRR的配置方法如上图所示，要求在局向1的CE1上针对发布过来的远端路由配置私网备份出接口和备份下一跳，使链路B为链路A的备份，链路A出现故障时可以快速切换到链路B上。同时在CE上针对本端至业务网元侧的路由开启ipFRR功能，正常情况下路由为linkc，备份为LinkD。配置如下：#aclnumber2000#route-policyIP_FRR_Mediapermitnode10if-matchacl2000applybackup-interfaceEth-Trunk1.2000#route-policyVPN_FRR_INpermitnode10applybackup-nexthopauto#ipvpn-instanceSSW_Mediaroute-distinguisher64982:200030ipfrrroute-policyIP_FRR_Mediavpnfrrroute-policyVPN_FRR_INapply-labelper-instancevpn-target64982:200030export-extcommunityvpn-target64982:200030import-extcommunity#interfaceEth-Trunk1