中國移動TD_PS_BG接入方案

S 入 方案 2007 2 目 錄 1 概述 . 3 2 業(yè)務(wù)和 系統(tǒng)對承載的需求 . 3 務(wù)需求 . 3 D 間互聯(lián)拓撲結(jié)構(gòu) . 3 案說明 . 4 間互聯(lián)流量的對稱性和冗余實現(xiàn) . 4 京或廣州站點內(nèi)流量的對稱性和冗余實現(xiàn) . 4 火墻的配置說明 . 5 置 . 7 端口配置 . 8 靜態(tài)路由配置 . 8 置 . 9 安全策略配置 . 9 3 入方案異常場景保護機制 . 10 京站點故障 . 10 京站點內(nèi) 主用 路故障 . 10 用防火墻故障 . 11 用防火墻與 鏈路故障 . 11 4 實施建議 . 12 京站點 . 12 州站點 . 12 他 . 12 3 1 概述 本方案 規(guī)定了 心網(wǎng)分組域 設(shè)備 由器接入 P 承載網(wǎng)方案。 2 業(yè)務(wù)和 系統(tǒng) 對承載的 需求 務(wù)需求 北京、廣州的 過防火墻與 州新設(shè)的兩臺 由器相連 ，通過 臺 于熱主備工作， 由于流量流經(jīng)防火墻， 必須 保證流量的 對稱，因此 采用 網(wǎng)絡(luò)正常狀態(tài)下 優(yōu)選北京 為出口 。 此外，在北京和廣州， 每臺 有 冗余 鏈路 分別連接 當(dāng)?shù)氐膬膳_ 保證 入的可靠性。 D 間互聯(lián) 拓撲結(jié)構(gòu) 拓撲結(jié)構(gòu)如下圖所示 ： 4 中國移動 過兩條 口連接 R，保證到 S 內(nèi)， 碼 9808； 新設(shè)的 由器采用 共出兩條 路 連接 到 一對防火墻， P 承載網(wǎng) 過 口口字形連接，如上圖所示拓撲結(jié)構(gòu)。 注意 兩臺防火墻之間的連線用于會話同步，不起任何 路由協(xié)議 ，不進行流量轉(zhuǎn)發(fā)。 案說明 間互聯(lián)流量的 對稱性和冗余實現(xiàn) S 域作為 載網(wǎng)的一個 要在北京、廣州通過兩臺 由器實現(xiàn)與 絡(luò)的聯(lián)通，鑒于北京、廣州 的網(wǎng)間互聯(lián)點 都有防火墻， 因此 需要 確保 量的對稱性 ，在對稱的基礎(chǔ)上實現(xiàn)流量的冗余。 總體要求為：采用北京 為流量進出的主用節(jié)點，廣州 為備用節(jié)點，通過 實現(xiàn)。 具體實現(xiàn)策略如下： 針對北京 9808 增加 1 個，針對北京 9808 增加 2 個；針對廣州 9808 增加 3個，針對廣州 9808 增加 4 個，另外對北京 間的 路 為高于間的 路，對廣州 間的 路 為高于間的 路； 在 州 由器 上向 部 宣告 中國移動 將路由 的本地優(yōu)先屬性設(shè)為 90，低于北京的缺省值 100。 這樣配置網(wǎng)絡(luò)的效果如下： 所有進出流量對稱； 第一優(yōu)選鏈路：北京 第二優(yōu)選鏈路：北京 第三優(yōu)選鏈路：廣州 第四優(yōu)選鏈路：北京 京或廣州站點內(nèi) 流量的對稱性和冗余實現(xiàn) 以北京站點為例。 G 路由器經(jīng)過防火墻與 載網(wǎng)的 立 當(dāng)于中國移動 E； 雙方路由通過 現(xiàn)兩個網(wǎng)絡(luò)的 達 。 防火墻和 所有接口開啟 現(xiàn) 間的接口地址可達， 別與 立兩條 通過 設(shè)定 路由 中一個 用，另一 個 由 于采用兩條 用為 用為 5 主用鏈路故障，備用鏈路激活過程中無需 建、無需 需雙方路由重新發(fā)布，因此流量切換時間較快。 為了保障在一個站點內(nèi)的流量對稱性， 對 808增加 1個，針對 808增加 2個，然后再設(shè)備從 G 到 當(dāng)主用 路徑故障時，原 的 同時 載網(wǎng)中原 那臺路由器也 被激活 ，流量經(jīng)一定 的 間后切換到備用鏈路。 由于 防火墻處于 到達 D 此需要配置到 S 下一跳 指向 接口地址 ；同時針對去往 下一跳 指向 接口地址 ， 以實現(xiàn)流量的正常轉(zhuǎn)發(fā)。 另一個 需要說明的問題： 北京兩臺 時還接有本地 E， 同一個 此導(dǎo)致北京 D 且缺省狀態(tài)下 此會導(dǎo)致 將 決的方法 為 在 150調(diào)整至 200。 火墻的配置說明 施方案說明 全網(wǎng)通過兩臺 京、廣州各一臺）接入 D 網(wǎng)絡(luò)，通過 臺 于熱主備工作，通過路由優(yōu)選北京 為出口 承載網(wǎng)路由規(guī)劃實現(xiàn)。每 臺 G 接入的可靠性。 網(wǎng)拓撲結(jié)構(gòu) 入的組網(wǎng)拓撲結(jié)構(gòu)如下圖所示（北京、廣州沒有區(qū)別）： 6 移 動 B N E TG 1A R 2電 信 / 網(wǎng) 通 B E 1 接 口F W 1F W 2中國移動 過兩條 口連接 R，保證到 動 出兩條 路到 一對防火墻， 防火墻和 載網(wǎng) 過 口口字形連接，如上圖所示拓撲結(jié)構(gòu)。防火墻和所有接口開啟動態(tài)路由協(xié)議，通過路由優(yōu)選一臺防火墻主用，另一臺防火墻處于熱備份狀態(tài)。 火墻實施步驟 啟用 絡(luò)故障動態(tài)收斂，兩防火墻間通過 于同步防火墻間 過設(shè)定 保證優(yōu)選一臺防火墻同時出入流量經(jīng)過同一臺防火墻。 防火墻作如下配置：兩防火墻間通過心跳線連接（接口置于 HA 刪除缺省的 消缺省的配置同步功能，啟用 配置 現(xiàn)非 配 置兩防火墻策略，使之始終保持一致。 在正常情況下兩防火墻各自處理進出的網(wǎng)絡(luò)流量（由于做了路由優(yōu)選策略，只有一臺防火墻上有流量，另一臺處于熱備份狀態(tài)），并互相同步彼此建立的 網(wǎng)絡(luò)出現(xiàn)故障時（路由器、防火墻或連接線纜），通過 于兩防火墻間 使應(yīng)用流量從一側(cè)進來，因路徑切換而從另一側(cè)返回時，另一個防火墻也能正確地進行狀態(tài)檢查和流量轉(zhuǎn)發(fā)，保證應(yīng)用的 7 施步驟 備 1 光纖 4對（ 2 備份核心路 由器的配置和 上線工具一套 及人員 移動公司： 中興通訊公司 火墻接口連接圖 本地接口 對端設(shè)備 對端接口 區(qū)域 移動 本地接口 對端設(shè)備 對端接口 區(qū)域 移動 防火墻的配置步驟 置 /創(chuàng)建 組 8 /啟用 象同步 /將端口 0/0 放進 /將端口 0/1 放進 /將端口 0/2 放進 /將端口 0/3 放進 4 /給端口 0/0 配置 IP /配置端口為路由模式 4 /給端口 0/1 配置 IP /配置端口為路由模式 4 /給端口 0/2 配置 IP /配置端口為路由模式 靜態(tài)路由配置 6 6 6 6 6 6 4 4 4 4 4 4 4 4 4 4 4 4 4 9 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 置 /設(shè)置 /強制不公告默認路由 /啟用 /在 啟用 擊保護 。 京 站點 故障 北京 站點故障包括北京 備故障，或者北京 中國移動 S P 承載網(wǎng)選擇廣州 現(xiàn)與 京站點內(nèi) 移 動 B N E TG 1A R 2電 信 / 網(wǎng) 通 B E 1 接 口F W 1F W 2如上圖所示， 主用 原備用 所有流量 收斂到熱備份同時 兩臺防火墻之間通過心跳線保障 11 用防火墻故障 移 動 B N E TG 1A R 2電 信 / 網(wǎng) 通 B E 1 接 口F W 1F W 2如上圖所示， 主 用 原備用 所有流量收斂到熱備份 同時兩臺防火墻之間通過心跳線保障 用防火墻與 移 動 B N E TG 1A R 2電 信 / 網(wǎng) 通 B E 1 接 口F W 1F W 2 12 如上圖所示， 主 用 障后， 原備用 所有流量收斂到熱備份 同時兩臺防火墻之間通過心跳線保障 4 實施建議 京站點 新設(shè) 兩臺 該設(shè)置在菜市口 2層 ，與 由器同一房間； 兩臺 間的心跳線采用 口或光口連接；兩臺 由器 由于在同一個機房，可以采用 口或光口連接 ； 菜市口 2層的 層的 通過 口連接 ； 菜市口 2層 菜市口 7層的 間通過 口 連接 ； 菜市口 2層 望京 10 層 過 口 或 州 站點 新設(shè) 兩臺 置在清河?xùn)|四層，與 兩臺 間的心跳線