中國移動(dòng)TD_PS_BG接入方案.doc

td ps bg接入方案v1.2007-7目 錄1概述32業(yè)務(wù)和ps域系統(tǒng)對(duì)承載的需求32.1業(yè)務(wù)需求32.2td ps與cmnet網(wǎng)間互聯(lián)拓?fù)浣Y(jié)構(gòu)32.3方案說明42.3.1網(wǎng)間互聯(lián)流量的對(duì)稱性和冗余實(shí)現(xiàn)42.3.2北京或廣州站點(diǎn)內(nèi)流量的對(duì)稱性和冗余實(shí)現(xiàn)42.3.3防火墻的配置說明5ha配置7端口配置8靜態(tài)路由配置8ospf配置9安全策略配置93bg接入方案異常場(chǎng)景保護(hù)機(jī)制103.1北京站點(diǎn)故障103.2北京站點(diǎn)內(nèi)bg和主用fw鏈路故障103.3主用防火墻故障113.4主用防火墻與ar間鏈路故障114實(shí)施建議124.1北京站點(diǎn)124.2廣州站點(diǎn)124.3其他121 概述本方案規(guī)定了td核心網(wǎng)分組域設(shè)備bg路由器接入cmnet及ip承載網(wǎng)方案。 2 業(yè)務(wù)和ps域系統(tǒng)對(duì)承載的需求2.1 業(yè)務(wù)需求td ps全網(wǎng)通過在北京、廣州的td ps域出口，經(jīng)過防火墻與cmnet在北京、廣州新設(shè)的兩臺(tái)兩臺(tái)bg（北京、廣州各一臺(tái)）接入cmnet及其它運(yùn)營商td網(wǎng)絡(luò)路由器相連，通過cmnet實(shí)現(xiàn)到移動(dòng)gprs網(wǎng)絡(luò)的互通。兩臺(tái)bg處于熱主備工作，由于流量流經(jīng)防火墻，必須保證流量的對(duì)稱，因此采用bgp路由協(xié)議的屬性實(shí)現(xiàn)流量對(duì)稱和冗余，網(wǎng)絡(luò)正常狀態(tài)下通過路由優(yōu)選北京bg作為出口bg，由承載網(wǎng)。此外，在北京和廣州，路由規(guī)劃實(shí)現(xiàn)。每臺(tái)bg具有冗余鏈路分別連接當(dāng)?shù)氐膬膳_(tái)ar，冗余保證bg接入的可靠性。2.2 td ps與cmnet網(wǎng)間互聯(lián)組網(wǎng)拓?fù)浣Y(jié)構(gòu)bg接入的組網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖所示（北京、廣州沒有區(qū)別）：中國移動(dòng)bg通過兩條ge接口連接cmnet ar，保證到cmnet的鏈路冗余可靠，igp為isis，與cmnet位于同一個(gè)as內(nèi)，as號(hào)碼9808；新設(shè)的cmnet bg路由器采用共出兩條ge鏈路連接到gp口一對(duì)防火墻，gp口防火墻和ip承載網(wǎng)ar通過ge接口口字形連接，如上圖所示拓?fù)浣Y(jié)構(gòu)。注意兩臺(tái)防火墻之間的連線用于會(huì)話同步，不起任何路由協(xié)議，不進(jìn)行流量轉(zhuǎn)發(fā)。防火墻和bg的所有接口開啟動(dòng)態(tài)路由協(xié)議，通過路由優(yōu)選一臺(tái)防火墻主用，另一臺(tái)防火墻處于熱備份狀態(tài)。2.3 方案說明2.4 網(wǎng)間互聯(lián)流量的對(duì)稱性和冗余實(shí)現(xiàn)2.5 td ps域作為ip承載網(wǎng)的一個(gè)vpn，需要在北京、廣州通過兩臺(tái)bg路由器實(shí)現(xiàn)與cmnet網(wǎng)絡(luò)的聯(lián)通，鑒于北京、廣州的網(wǎng)間互聯(lián)點(diǎn)都有防火墻，因此需要確保bgp流量的對(duì)稱性，在對(duì)稱的基礎(chǔ)上實(shí)現(xiàn)流量的冗余。總體要求為：采用北京bg作為流量進(jìn)出的主用節(jié)點(diǎn)，廣州bg作為備用節(jié)點(diǎn)，通過as-path和local prefer來實(shí)現(xiàn)。2.6 具體實(shí)現(xiàn)策略如下：2.7 針對(duì)北京ar1將9808增加1個(gè)，針對(duì)北京ar2將9808增加2個(gè)；針對(duì)廣州ar1將9808增加3個(gè)，針對(duì)廣州ar2將9808增加4個(gè)，另外對(duì)北京bgfw2ar2之間的ospf 鏈路metric設(shè)為高于bgfw1ar1之間的ospf 鏈路，對(duì)廣州bgfw2ar2之間的ospf 鏈路metric設(shè)為高于bgfw1ar1之間的ospf 鏈路；在cmnet廣州bg路由器上向cmnet內(nèi)部宣告中國移動(dòng)td ps網(wǎng)絡(luò)時(shí)，將路由的本地優(yōu)先屬性設(shè)為90，低于北京的缺省值100。這樣配置網(wǎng)絡(luò)的效果如下：所有進(jìn)出流量對(duì)稱；第一優(yōu)選鏈路：北京bg-fw1-ar1； 第二優(yōu)選鏈路：北京bg-fw2-ar2；第三優(yōu)選鏈路：廣州bg-fw1-ar1；第四優(yōu)選鏈路：北京bg-fw2-ar2；2.82.92.9.1 北京或廣州站點(diǎn)內(nèi)流量的對(duì)稱性和冗余實(shí)現(xiàn)以北京站點(diǎn)為例。cmnet bg路由器經(jīng)過防火墻與ip承載網(wǎng)的ar建立ebgp multihop連接，bg相當(dāng)于中國移動(dòng)td ps域vpn的一臺(tái)ce；雙方路由通過ebgp multihop互通，實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)的ip可達(dá)。防火墻和bg、ar的所有接口開啟ospf動(dòng)態(tài)路由協(xié)議，ospf協(xié)議僅用于實(shí)現(xiàn)ar-fw-bg之間的接口地址可達(dá)，bg分別與ar1和ar2建立兩條ebgp multihop session，通過設(shè)定路由metric優(yōu)選其中一個(gè)session作為主用，另一個(gè)ebgp multihop session處于熱備份狀態(tài)。由于采用兩條bgp連接，主用為active，備用為inactive，當(dāng)主用鏈路故障，備用鏈路激活過程中無需tcp重建、無需bgp連接重建、無需雙方路由重新發(fā)布，因此流量切換時(shí)間較快。為了保障在一個(gè)站點(diǎn)內(nèi)的流量對(duì)稱性，bg針對(duì)ar1通告的as-path將9808增加1個(gè)，針對(duì)ar2通告的as-path將9808增加2個(gè)，然后再設(shè)備從bg到ar2的ospf link metric高于bg到ar1的ospf link；當(dāng)主用路徑故障時(shí)，原metric 高的ebgp multihop session啟用，同時(shí)ip承載網(wǎng)中原as-path更長的那臺(tái)路由器也被激活，流量經(jīng)一定的bgp收斂時(shí)間后切換到備用鏈路。由于防火墻處于ebgp multihop session的中間一跳，對(duì)到達(dá)cmnet或td ps vpn的路由無法感知，因此需要配置到td ps vpn的靜態(tài)路由，下一跳指向ar的接口地址；同時(shí)針對(duì)去往cmnet方向的流量配置一條缺省路由，下一跳指向bg的接口地址，以實(shí)現(xiàn)流量的正常轉(zhuǎn)發(fā)。另一個(gè)需要說明的問題：北京兩臺(tái)alcatel ar路由器，同時(shí)還接有本地td ps域的ce，alcatel路由器不支持本地同一個(gè)vpn起兩個(gè)ospf進(jìn)程，因此導(dǎo)致北京bg1通過ospf和ebgp收到兩份td ps vpn路由，而且缺省狀態(tài)下ospf路由優(yōu)先級(jí)高于ebgp，因此會(huì)導(dǎo)致bg不將ebgp學(xué)到的路由通告到cmnet，解決的方法為在bg1上將ospf的優(yōu)先級(jí)進(jìn)行調(diào)整，從150調(diào)整至200。2.9.2 防火墻的配置說明2.9.2.1 實(shí)施方案說明全網(wǎng)通過兩臺(tái)bg（北京、廣州各一臺(tái)）接入cmnet及其它運(yùn)營商td網(wǎng)絡(luò)，通過cmnet實(shí)現(xiàn)到移動(dòng)gprs網(wǎng)絡(luò)的互通。兩臺(tái)bg處于熱主備工作，通過路由優(yōu)選北京bg作為出口bg，由承載網(wǎng)路由規(guī)劃實(shí)現(xiàn)。每臺(tái)bg具有鏈路冗余保證bg接入的可靠性。2.9.2.2 組網(wǎng)拓?fù)浣Y(jié)構(gòu)bg接入的組網(wǎng)拓?fù)浣Y(jié)構(gòu)如下圖所示（北京、廣州沒有區(qū)別）：中國移動(dòng)bg通過兩條ge接口連接cmnet ar，保證到cmnet的鏈路冗余可靠；移動(dòng)bg共出兩條ge鏈路到gp口一對(duì)防火墻，gp口防火墻和ip承載網(wǎng)ar通過ge接口口字形連接，如上圖所示拓?fù)浣Y(jié)構(gòu)。防火墻和bg的所有接口開啟動(dòng)態(tài)路由協(xié)議，通過路由優(yōu)選一臺(tái)防火墻主用，另一臺(tái)防火墻處于熱備份狀態(tài)。2.9.2.3 防火墻實(shí)施步驟啟用ospf路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)故障動(dòng)態(tài)收斂，兩防火墻間通過nsrp心跳線相連，用于同步防火墻間session表同步，通過設(shè)定metric值實(shí)現(xiàn)網(wǎng)絡(luò)流量熱主備工作，并保證優(yōu)選一臺(tái)防火墻同時(shí)出入流量經(jīng)過同一臺(tái)防火墻。防火墻作如下配置：兩防火墻間通過心跳線連接（接口置于ha zone并啟用nsrp），刪除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，啟用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，實(shí)現(xiàn)非vsi環(huán)境下session信息在兩防火墻間的同步。配置兩防火墻策略，使之始終保持一致。在正常情況下兩防火墻各自處理進(jìn)出的網(wǎng)絡(luò)流量（由于做了路由優(yōu)選策略，只有一臺(tái)防火墻上有流量，另一臺(tái)處于熱備份狀態(tài)），并互相同步彼此建立的session表，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)（路由器、防火墻或連接線纜），通過ospf動(dòng)態(tài)路由協(xié)議進(jìn)行收斂和路徑切換，由于兩防火墻間session信息始終保持一致，即使應(yīng)用流量從一側(cè)進(jìn)來，因路徑切換而從另一側(cè)返回時(shí)，另一個(gè)防火墻也能正確地進(jìn)行狀態(tài)檢查和流量轉(zhuǎn)發(fā)，保證應(yīng)用的session不會(huì)發(fā)生中斷。2.9.2.4 實(shí)施步驟2.9.2.4.1 準(zhǔn)備1 光纖4對(duì)（lclc）2 備份核心路由器的配置和ios3 上線工具一套2.9.2.4.2 涉及人員移動(dòng)公司：中興通訊公司2.9.2.4.3 防火墻接口連接圖ssg550-a的接口配置如下：本地接口對(duì)端設(shè)備對(duì)端接口區(qū)域eth0/0移動(dòng)bgtrusteth0/1ar1untrusteth0/2mgteth0/3ssg550-beth0/3hassg550-b的接口配置如下：本地接口對(duì)端設(shè)備對(duì)端接口區(qū)域eth0/0移動(dòng)bgtrusteth0/1ar2untrusteth0/2mgteth0/3ssg550-aeth0/3ha2.9.2.4.4 防火墻的配置步驟ha配置set nsrp cluster id 1/創(chuàng)建nsrp群組set nsrp rto-mirror sync/啟用rto對(duì)象同步set nsrp rto-mirror session ageout-ack/ specifies a time value based on which the backup device sends an ack message to the primary device to refresh its sessions or time them out. the session age-out value of a backup device is eight times that of the primary device.set nsrp rto-mirror session non-vsi/ enables the synchronization of non-vsi sessionsunset nsrp vsd-group id 0/刪除默認(rèn)的vsd組0set nsrp monitor interface ethernet0/0/設(shè)置監(jiān)控端口set nsrp monitor interface ethernet0/1/設(shè)置監(jiān)控端口unset nsrp config sync/強(qiáng)制防火墻雙機(jī)不能同步配置端口配置set interface ethernet0/0 zone trust/將端口0/0放進(jìn)trust區(qū)set interface ethernet0/1 zone untrust/將端口0/1放進(jìn)untrust區(qū)set interface ethernet0/2 zone mgt/將端口0/2放進(jìn)mgt區(qū)set interface ethernet0/3 zone ha/將端口0/3放進(jìn)ha區(qū)set interface ethernet0/0 ip 30.0.1.2/24/給端口0/0配置ipset interface ethernet0/0 route/配置端口為路由模式set interface ethernet0/1 ip 30.0.3.1/24/給端口0/1配置ipset interface ethernet0/1 route/配置端口為路由模式set interface ethernet0/2 ip 172.16.1.12/24/給端口0/2配置ipset interface ethernet0/2 route/配置端口為路由模式靜態(tài)路由配置set route 10.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 20.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 70.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 80.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 90.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 100.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 1.0.1.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.2.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.3.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.4.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.5.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.6.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.7.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.8.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.9.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.10.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.11.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.12.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.13.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.14.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.15.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.16.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.17.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.18.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.19.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.20.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.21.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.22.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.23.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.24.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.25.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.26.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.27.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.28.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.29.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.30.0/24 interface ethernet0/0 gateway 30.0.1.1set route 0.0.0.0/0 interface ethernet0/1 gateway 30.0.3.2ospf配置set vrouter trust-vr/設(shè)置trust-vrunset auto-route-export/強(qiáng)制不公告默認(rèn)路由set protocol ospfset enable/啟用ospfexitset interface ethernet0/0 protocol ospf area 0.0.0.0/設(shè)置端口0/0啟用area 0set interface ethernet0/0 protocol ospf enable/設(shè)置端口0/0啟用ospfset interface ethernet0/0 protocol ospf cost 1/設(shè)置端口0/0啟用cost值為1set interface ethernet0/1 protocol ospf area 0.0.0.0/設(shè)置端口0/1啟用area 0set interface ethernet0/1 protocol ospf enable/設(shè)置端口0/1啟用ospfset interface ethernet0/1 protocol ospf cost 1/設(shè)置端口0/1啟用cost值為1安全策略配置set zone untrust screen tear-drop/在untrust區(qū)啟用tear-drop攻擊保護(hù)set zone untrust screen syn-flood/在untrust區(qū)啟用syn-flood攻擊保護(hù)set zone untrust screen ping-death/在untrust區(qū)啟用ping-death攻擊保護(hù)set zone untrust screen ip-filter-src/在untrust區(qū)啟用基于源路由的攻擊保護(hù)set zone untrust screen land/在untrust區(qū)啟用land攻擊保護(hù)set policy id 1 from trust to untrust any any any permit log/設(shè)置從trust區(qū)到untrust區(qū)的源地址.目的地址及服務(wù)為any的策略set policy id 2 from untrust to trust any any any permit log/設(shè)置從trust區(qū)到untrust區(qū)的源地址.目的地址及服務(wù)為any的策略眾所周知，狀態(tài)檢測(cè)防火墻依據(jù)策略來決定會(huì)話的建立，一旦策略匹配且應(yīng)用連接建立后，防火墻將根據(jù)會(huì)話的具體信息建立相應(yīng)的session（會(huì)話條目），并通過session來匹配該連接的后續(xù)數(shù)據(jù)報(bào)，只有匹配某session的數(shù)據(jù)包才能夠通過數(shù)據(jù)流狀態(tài)的檢查。通常來講，進(jìn)入某防火墻的數(shù)據(jù)流，其返回?cái)?shù)據(jù)包也必須流經(jīng)該防火墻。如果當(dāng)網(wǎng)絡(luò)出現(xiàn)故障或不對(duì)稱路由（進(jìn)出流量經(jīng)過不同路徑）時(shí)，netscreen防火墻是否能保證已建的session不中斷，保證業(yè)務(wù)不間斷運(yùn)行呢？經(jīng)過測(cè)試驗(yàn)證，netscreen防火墻支持兩獨(dú)立防火墻間的session同步和不對(duì)稱路由環(huán)境下的流量正常轉(zhuǎn)發(fā)。解決方案：啟用ospf路由協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)故障動(dòng)態(tài)收斂，兩防火墻間通過nsrp心跳線相連，用于同步防火墻間session表同步，通過設(shè)定metric值實(shí)現(xiàn)網(wǎng)絡(luò)流量熱主備工作，并保證優(yōu)選一臺(tái)防火墻同時(shí)出入流量經(jīng)過同一臺(tái)防火墻。防火墻作如下配置：兩防火墻間通過心跳線連接（接口置于ha zone并啟用nsrp），刪除缺省的nsrp vsd 0 group，取消缺省的配置同步功能，啟用nsrp的session同步功能，并配置nsrp rto-mirror session non-vsi命令，實(shí)現(xiàn)非vsi環(huán)境下session信息在兩防火墻間的同步。配置兩防火墻策略，使之始終保持一致。在正常情況下兩防火墻各自處理進(jìn)出的網(wǎng)絡(luò)流量（由于做了路由優(yōu)選策略，只有一臺(tái)防火墻上有流量，另一臺(tái)處于熱備份狀態(tài)），并互相同步彼此建立的session表，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)（路由器、防火墻或連接線纜），通過ospf動(dòng)態(tài)路由協(xié)議進(jìn)行收斂和路徑切換，由于兩防火墻間session信息始終保持一致，即使應(yīng)用流量從一側(cè)進(jìn)來，因路徑切換而從另一側(cè)返回時(shí)，另一個(gè)防火墻也能正確地進(jìn)行狀態(tài)檢查和流量轉(zhuǎn)發(fā)，保證應(yīng)用的session不會(huì)發(fā)生中斷。3 bg接入方案異常場(chǎng)景保護(hù)機(jī)制本章節(jié)描述站點(diǎn)內(nèi)各中異常場(chǎng)景保護(hù)機(jī)制。3.1 北京站點(diǎn)bg到cmnet鏈路故障如上圖所示，北京站點(diǎn)故障包括北京bg設(shè)備故障，或者北京bg到cmnet一條鏈路故障后，中國移動(dòng)td ps vpn會(huì)通過ip承載網(wǎng)選擇廣州bg實(shí)現(xiàn)與cmnet的聯(lián)通。由于bg開啟動(dòng)態(tài)路由協(xié)議，所有流量收斂到另一條鏈路，如圖所示。防火墻工作狀態(tài)保持不變。3.2 北京站點(diǎn)內(nèi)bg和主用fw鏈路故障如上圖所示，bg到主用fw1鏈路故障后，由于bg與fw間開啟