移動IP承載網中的路由策略路由策略概述1.1路由策略的應用種類移動業(yè)務IP承載網中采用三層MPLSVPN作為全網業(yè)務應用的統(tǒng)一組織方式。通過MPLSVPN配置以相應路由策略來承載2G/3G/4G移動業(yè)務、增值業(yè)務、IMS業(yè)務以及相應的網管業(yè)務。為了確保所承載各種業(yè)務能安全、快捷的在網上傳送，移動IP承載網中針對路由方面做了比較細致的規(guī)劃，并且靈活的使用了各種策略。目前移動IP承載網路由策略的應用主要包括以下10種:12345678910ISISCOST值QOS策略EBGP+BFDSTATIC+BFDIPprefix-listRR反射器BGP團體屬性FRRVRRP1.2路由策略的應用場景路由策略是為了改變網絡流量所經過的途徑而對路由信息采用的方法。主要通過改變路由屬性（包括可達性）來實現(xiàn)。路由器在發(fā)布與接收路由信息時，可能需要實施一些策略，以便對路由信息進行過濾。路由策略主要有兩種應用方式：1、路由協(xié)議在引入其它路由協(xié)議發(fā)現(xiàn)的路由時，通過路由策略只引入滿足條件的路由信息。2、路由協(xié)議在發(fā)布或接收本路由協(xié)議發(fā)現(xiàn)的路由信息時，通過路由策略對信息進行過濾，只接收或發(fā)布滿足給定條件的路由信息。現(xiàn)網中針對不同設備、業(yè)務，根據(jù)各設備在網絡中所扮演的角色的不同，各種路由策略的實施不盡相同，目前移動IP承載網路由策略的應用場景如下圖所示：1.3主要設備上路由策略的應用概括由路由策略的應用場景圖可以看出，移動IP承載網設備大致可以分為CE/MCE、PE、P路由器，各設備路由策略的應用概括如下：CE路由器CE設備通過口字形連接到MCE，CE/MCE之間運行ISIS作為IGP，用來承載所有CE設備的直連和環(huán)回路由，提供BGP協(xié)議的路由可達性。CE之間、CE和MCE設備之間在互聯(lián)端口啟用MPLS/LDP協(xié)議。CE作為客戶端與VPNRR(MCE)建立VPNV4的IBGP鄰居關系，通過RR反射業(yè)務路由。CE與MGW\SBC之間運行Static+bfd負載分擔模式，并聯(lián)動IPFRR（華為設備）。CE掛AGCF：CE之間互聯(lián)接口切換二層模式，并透傳IMS業(yè)務網元相應的Vlan，用于VRRP心跳報文的傳遞。MCE路由器MCE與CE、MCE之間的路由：CE/MCE之間運行ISIS作為IGP，用來承載所有CE設備的直連和環(huán)回路由，提供BGP協(xié)議的路由可達性。設備之間在互聯(lián)端口啟用MPLS/LDP協(xié)議。MCE作為本市CE設備的VPNV4路由反射器RR,與客戶端CE建立IBGP鄰居，接入CE作為客戶端只需要與RR建立VPNV4鄰居,通過RR反射業(yè)務路由；VPNRR之間建立普通VPNV4的IBGP鄰居關系，使用相同的CLUSTER-IDMCE與AR之間路由：BFD-FOR-BGP方式對互聯(lián)鏈路進行保護MCE與AR之間采用跨域MPLSVPNOPTIONA方式互通，將MCE路由器接入聯(lián)通IP承載網B網。PE和P路由器全網采用ISIS，全部置于Level2層,啟動ISIS快速收斂，ISIS路由協(xié)議僅承載骨干設備loopback地址和互聯(lián)地址、管理型CE的接口地址、網管中心地址，不做業(yè)務路由的承載。域間路由和VPN路由采用BGP承載，在AS邊界通過EBGP(OPTION-A方式）來控制路由的發(fā)送、接收、匯總以及路由屬性。全網開通MPLSVPN同一節(jié)點的2臺AR發(fā)布相同路由時，采用不同的RD值以加快路由的收斂速度與負載均衡。設置BGPcommunity屬性控制路由輸入輸出及流量實現(xiàn)負載均：2、路由策略的具體應用2.1ISIS的應用2．1．1ISIS的應用場景ISIS作為全局的IGP路由協(xié)議，其主要的應用在CE\MCE、PE、P路由器，僅承載設備Loopback地址和互聯(lián)地址、網管中心地址，不做業(yè)務路由的承載。用來提供BGP協(xié)議的路由可達性。Isis的應用場景如下圖所示：2．1．2不同設備上ISIS配置2．1．2．1AR7750配置echo"ISISConfiguration"#--------------------------------------------------isislevel-capabilitylevel-2graceful-restartexitoverload-on-boottimeout300traffic-engineeringspf-wait15050lsp-wait101level2external-preference26preference21wide-metrics-onlyexitinterface"system"level-capabilitylevel-2level2passiveexitexitinterface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2．1．2．2CISCO設備（7609）#routerisis100is-typelevel-2-onlymetric-stylewidefast-floodset-overload-biton-startup10spf-interval15050lsp-gen-intervallevel-215050nohellopaddinglog-adjacency-changes!#interfaceLoopback0ipaddress10.10.10.iprouterisis100isiscircuit-typelevel-2-only##interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2．1．2．3華為設備（NE40E）#isis200graceful-restartis-levellevel-2cost-stylewidetimerlsp-generation15050level-2flash-floodlevel-2timerspf15050#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2．2COST值的應用2.2.1COST值的應用場景網絡中合理的設置COST值，可以有效的控制網絡中的回程流量，有效的使得業(yè)務流能均衡承載在不同的設備上，實現(xiàn)業(yè)務的負載分擔，盡可能防止網絡流量的橫穿。如下圖所示，業(yè)務流量會沿著圖中藍色線路到達MGW1，正常情況下不會出現(xiàn)流量橫穿現(xiàn)象。2.2.2不同設備上COST值的配置2.2.2.1AR7750配置#--------------------------------------------------interface"GE1/2/8"level-capabilitylevel-2interface-typepoint-to-pointlsp-pacing-interval5level2hello-interval10metric10exitexitinterface"POS2/1/1"level-capabilitylevel-2lsp-pacing-interval5level2hello-interval10metric6000#--------------------------------------------------2.2.2..2CISCO設備（7609）#interfaceGigabitEthernet1/2descriptionTOSDHZ_533JU6L_7609_CS_MCE2G1/21Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric1000level-2!interfaceGigabitEthernet1/3descriptionTOSDHZ_ZHL3L_7606_CS_CE1_G1/31Gmtu1600iprouterisis100speednonegotiatemplsipisiscircuit-typelevel-2-onlyisismetric100level-2!------2.2.2..3華為設備（NE40E）#interfaceGigabitEthernet1/1/0isisenable200isiscircuit-typep2pisiscircuit-levellevel-2isiscost1000level-2#2.3QOS策略2．3．1AR路由器上QOS的等級規(guī)劃表移動IP承載網中QOS策略的應用主要在PE和P設備上。以AR即PE設備為例，阿朗7750SR支持8個forwardingclass：nc,h1,ef,h2,l1,af,l2,be。這8個轉發(fā)類在設備中是唯一的,業(yè)務數(shù)據(jù)分類標記、不同類型接口進出隊列調度的配置都需要基于這8個轉發(fā)類。IP承載網QoS采用DiffServ技術體系，將QoS需求相近的業(yè)務流分成一類，因此需要在網絡邊緣處對業(yè)務流量進行分類和標記，以便網絡中的每一臺設備能夠根據(jù)這個標記執(zhí)行相同的PHB（Per-HopBehavior），獲得網絡端到端的QoS質量保證。業(yè)務等級標記轉發(fā)類Q-idCIRPIR丟棄網絡控制7Nc7580Tailordrop6H12G/3G/

固定終端/固網/IMS業(yè)務的信令以及固定終端媒體5EF61090Tailordrop2G/3G/固網/IMS業(yè)務的媒體業(yè)務4H253090Tailordrop增值業(yè)務3L143090WRED網管2AF31240WRED預留1L22440WRED預留0BE1940WRED由上圖可以看出QoS規(guī)劃信令的業(yè)務以及固定終端媒體業(yè)務等級為5，高等級隊列，帶寬保證值(CIR)為10%，PIR為90％；其它媒體業(yè)務等級為4，高等級隊列，帶寬保證值(CIR)為30%，PIR為90％；增值業(yè)務（3G_IuPS）等級為3，帶寬保證值(CIR)為30%，PIR為90％；軟交換網管流量的業(yè)務等級為2，高等級隊列，帶寬保證值(CIR)為12%，PIR為40％。2．3．2AR路由器上QOS部署帶寬預留參數(shù)是根據(jù)各類優(yōu)先等級業(yè)務所占用網絡容量的百分比來預留鏈路的帶寬，為了防止PQ隊列搶占其余隊列的帶寬，甚至搶占網絡控制隊列的帶寬，所以對PQ進行限速。對網絡控制、2G/3G信令業(yè)務、2G/3G語音業(yè)務、IMS業(yè)務、增值業(yè)務、及其它業(yè)務的隊列進行帶寬的分配，具體等級規(guī)劃如下：1、AR路由器（AR之間和AR至BR）互聯(lián)端口出方向啟用隊列調度和擁塞避免機制,使用策略：CU-NetworkEgressQ\CU-WRED，該策略是根據(jù)上面的《QOS等級規(guī)劃表》來制定的，目的是實現(xiàn)各類業(yè)務的帶寬保證的。Network-Queue策略:Ingress應用到板卡上，Egress應用在物理端口上面。AR信任CR和PR過來的業(yè)務流量等級、所以端口進方向不需要進行分類標記。策略：network100將AR收到的業(yè)務流的等級變成CE/MCE可以識別的等級類型，即做《QOS等級規(guī)劃表》中的映射關系。3、業(yè)務互聯(lián)子接口ingress方向，對業(yè)務流量進行標記、分類，最終實現(xiàn)《QOS等級規(guī)劃表》各業(yè)務的帶寬要求的保證。Sap-Ingress策略：應用在VPN上面，即QOS44、QOS55等應用到網絡接口。各策略作用如下圖所示：2.4EBGP+BFD的應用EBGP+BFD的應用場景EBGP協(xié)議使用在不同的AS系統(tǒng)之間路由的傳遞，移動IP承載網中EBGP+BFD的應用主要在AR和CE/MCE之間即PE和CE之間。在網絡高速發(fā)展的今天，網絡故障時的業(yè)務收斂速度要求越來越快。在任何一個節(jié)點發(fā)生故障時，相鄰節(jié)點業(yè)務倒換小于50ms，端到端業(yè)務收斂小于1s已經逐步成為承載網的門檻級指標。但是，BGP協(xié)議的Keepalive時間間隔缺省為60秒，最小可配置為1秒，這樣holdtime缺省為180秒，最小為3秒，鄰居關系檢查比較慢，對于報文收發(fā)速度快的接口會導致大量報文的丟失。bgp與BFD進行綁定大大提提路由檢測級別。通過bfd進行快速檢測故障，加快bgp協(xié)議的收斂?，F(xiàn)網中EBGP+BFD的應用情況如下圖所示：不同設備上EBGP+BFD的配置如上圖所示：IP承載網AR和移動核心網MCE分別屬于不同的AS，IGP協(xié)議全部為ISIS，AR和MCE之間為EBGP+BFD，相關互聯(lián)物理接口和IP地址如圖中所示，則各設備上EBGP+BFD的配置如下：如上圖所示：IP承載網AR和移動核心網MCE分別屬于不同的AS，IGP協(xié)議全部為ISIS，AR和MCE之間為EBGP+BFD，相關互聯(lián)物理接口和IP地址如圖中所示，則各設備上EBGP+BFD的配置如下：AR1設備（7750）：echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn1customer1createinterface"GE1/2/9.300"createexitexitvprn1customer1createdescription"ForSSW_Media"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldpinterface"GE1/2/9.300"createdescription"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"address11.11.11.1/30bfd150receive150multiplier3interface"GE3/2/5.300"createdescription"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"address10.10.10.1/30bfd150receive150multiplier3bgpgroup"ZHLF-7609-MCE1-CS-Media-64992"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as64992local-address11.11.11.1enable-peer-trackingneighbor11.11.11.2description"ToSDHZ_ZHL3L_7609_CS_MCE1GE1/5->SSW_Media"bfd-enablesplit-horizonexitexitgroup"ZHLF-NE40E-MCE1-IGW-Media-65210"keepalive60hold-time180min-as-origination2typeexternallocal-as38351peer-as65210enable-peer-trackingneighbor10.10.10.2description"ToSDHZ-ZHL-NE40E-IGW-MCE01GE1/0/0->SSW_Media"local-address10.10.10.1bfd-enableexitexitnoshutdownexitnoshutdownexitSDHZ-ZHL-NE40E-IGW-MCE01#interfaceGigabitEthernet2/0/5descriptionGE1/0/0TOSDHZ-ZHL-7750-AR1-CSGE3/2/51Gundoshutdowncontrol-flap#interfaceGigabitEthernet2/0/5.300vlan-typedot1q300mtu9192descriptionGE2/0/5.300TOSDHZ-ZHL-7750-AR1-CSGE3/2/5.3001GSSW_Mediacontrol-flapipbindingvpn-instanceSSW_Media#ipv4-familyvpn-instanceSSW_Mediaimport-routedirectimport-routestaticmaximumload-balancing8peer10.10.10.1as-number38351peer10.10.10.1descriptionTOSDHZ-ZHL-7750-AR1peer10.10.10.1bfdmin-tx-interval150min-rx-interval150peer10.10.10.1bfdenablepeer10.10.10.1advertise-communitypeer10.10.10.1route-update-interval5#SDHZ_ZHL3L_7609_CS_MCE1#interfaceGigabitEthernet1/5.300descriptionGE1/5.300toSDHZ-ZHL-7750-A1GE1/2/9.30010Gencapsulationdot1Q300ipvrfforwardingSSW_Mediaipaddressbfdinterval150min_rx150multiplier3end#routerbgp64992bgprouter-id****。。。。。。!#address-familyipv4vrfSSW_Medianeighbor11.11.11.1remote-as38351neighbor11.11.11.1descriptionAR1neighbor11.11.11.1fall-overbfdneighbor11.11.11.1activateneighbor11.11.11.1send-communityextendedexit-address-family#備注：在接口上啟用BFD功能與在協(xié)議進程下啟用的作用是一樣的，但是接口啟用的優(yōu)先級高于全局啟用的優(yōu)先級。2.5STATIC+BFD2．5．1STATIC+BFD的應用場景BFD是一個雙向檢測協(xié)議，需要檢查兩端建立會話。對于動態(tài)路由協(xié)議來說是有鄰居概念的，因此在檢測兩端動態(tài)路由協(xié)議都會將鄰居信息通知給BFD會話，這樣BFD進行檢測兩端的任務時可以通過動態(tài)路由的鄰居之間發(fā)送BFD控制報文來建立BFD的會話。但靜態(tài)路由沒有鄰居的概念，BFD檢測是如何實現(xiàn)的？一般用下面的方法解決：靜態(tài)路由使用控制報文方式BFD功能時，對端也必須存在對應的BFD會話。檢測兩個方向上的BFD會話，實現(xiàn)毫秒級別的鏈路故障檢測。配置靜態(tài)路由和BFD檢測時必須同時指定出接口和路由下一跳的BFD地址。靜態(tài)路由僅支持使用BFD檢測直連的下一跳，如果靜態(tài)路由配置的路由的下一跳不是直連的，則不支持BFD檢查。移動核心網絡設備不能在IP層保持對等會話關系，因而整個網絡“不可見”，也就無法實現(xiàn)各網關與IP邊緣路由器間的故障檢測；其次，當移動核心網的某遠端部分發(fā)生故障時，不能用有效的方式通知主機或路由器。即使是高速鏈接失敗檢測工具也難以快速檢測到在主機與路由器間有交換機介入時的網絡故障情況。此時，BFD協(xié)議完全可以融入移動網關平臺中，這時它用于保持網關與邊緣路由器間的連接。BFD能檢測到介入以太網段或獨立網段的故障，它在網關與路由器間交替構建冗余路徑，一旦檢測到故障并確認得到確認，BFD便可以在所有路由、傳輸及隧道系統(tǒng)中觸發(fā)相應倒換機制，保證網絡的可靠。因此，目前移動IP承載網中STATIC+BFD的應用范圍在各業(yè)務網關和CE接入路由器之間，如下圖紅色線所示：2．5．2不同設備上STATIC+BFD的配置如上，圖中MGW下掛在CE下面，所承載的業(yè)務為VPN：SSW_Media,設備端口的互聯(lián)地址如圖中所示，MGW和CE之間路由協(xié)議為STATIC+BFD方式，各設備的具體配置數(shù)據(jù)如下：Cisco760-CE1#interfaceGigabitEthernet3/2descriptionGi3/2TOZXMGW1_3-2-1ipvrfforwardingSSW_Mediaipaddressspeednonegotiatebfdinterval100min_rx100multiplier3end##iproutevrfSSW_Media.247255.255.255.255GigabitEthernet3/2.14iproutevrfSSW_Media.248255.255.255.255GigabitEthernet3/2.14#NE40E-CE2#bfddelay-up180#interfaceGigabitEthernet1/0/2bfdtriggerif-downdescriptionTO_GMGW2-1undoshutdownipaddress3#interfaceGigabitEthernet1/0/2.2801vlan-typedot1q2801ipbindingvpn-instanceSSW_Mediaipaddress3#interfaceGigabitEthernet1/0/3bfdtriggerif-downdescriptionTOGMGW2-2undoshutdown#interfaceGigabitEthernet1/0/3.2802vlan-typedot1q2802ipbindingvpn-instanceSSW_Media##discriminatorlocal1001discriminatorremote2001detect-multiplier5process-pstcommit#discriminatorlocal1002discriminatorremote2002detect-multiplier5process-pstcommit##備注：對于華為設備不建議接口綁定vpn的同時啟用bfd功能。一般如果在接口下啟用bfd時，要求物理接口下啟用，子接口綁定vpn，這樣bfd不受影響。ZXMGW1（中興）1、分別進入GIPI端口（2架-1框-1槽和3架-3框-1槽），配置接口：ipaddressipaddress.14Mask255.255.255.2522、增加環(huán)回地址（即業(yè)務地址）：interfaceloopback：port=101addipaddress.247Mask255.255.255.252；interfaceloopback：port=101addipaddress.248Mask255.255.255.252；3、設置BFD:1）、打開bfd全局參數(shù)：setrebfd：enable=open2）、bfd全局屬性設置：setbfdglobalProp=activeenable=enable3）、bfd會話配置（兩端參數(shù)需要協(xié)商一致）addbfdsession：SRCIP=.10DSTIP=.9interval100000min_rx100000multiplier3addbfdsession：SRCIP=.14DSTIP=.13interval100000min_rx100000multiplier34）、增加到其它網元Nb業(yè)務地址靜態(tài)路由，使用最大匹配，兩個業(yè)務地址都要添加，負荷分擔。addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.9,DISSTANCE=1,BFDDETECT=YES;addiproute:NEIPRE=.0,MASK=255.255.255.0,NEXTHOP=.13,DISSTANCE=1,BFDDETECT=YES;GMGW2（華為）1、將互聯(lián)的GE端口劃分到相應的VLAN中ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=0,VID=2801,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=0,IFT=GE,IFN=1,VID=2811,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=0,VID=2802,VBEARBW=512000;ADDIFVLAN:BT=HRB,BN=1,IFT=GE,IFN=1,VID=2812,VBEARBW=512000;2、增加業(yè)務地址段4",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2801,IFMPLS=NO;ADDIPADDR8",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2811,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2802,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26",MASK="255.255.255.252",FLAG=MASTER,INVLAN=YES,VID=2812,IFMPLS=NO;3、增加業(yè)務地址的靜態(tài)路由4",GWIP="10.215.229.13",TIMEOUT=NoAging;8",GWIP="10.215.229.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.22",GWIP="10.215.229.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="10.215.229.26",GWIP="10.215.229.25",TIMEOUT=NoAging;4、增加業(yè)務路由互為備份48";ADDRTBAK:BN=0,IFT=GE,IFN=1,IPADDR="10.215.229.18",IPADDRBAK="10.215.229.14";ADDRTBAK:BN=1,IFT=GE,IFN=0,IPADDR="10.215.229.22",IPADDRBAK="10.215.229.26";ADDRTBAK:BN=1,IFT=GE,IFN=1,IPADDR="10.215.229.26.22";5、增加私有地址，用來BFD4",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;8,MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="192.168.0.22",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;ADDIPADDR:BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="192.168.0.26",MASK="255.255.255.252",FLAG=SLAVE,INVLAN=NO,IFMPLS=NO;43",TIMEOUT=NoAging;8",GWIP="192.168.0.17",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.22",GWIP="192.168.0.21",TIMEOUT=NoAging;ADDGWADDR:BN=1,IPADDR="192.168.0.26",GWIP="192.168.0.25",TIMEOUT=NoAging;4",SPORT=0,EPORT=65535;8",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.22",SPORT=0,EPORT=65535;ADDRSVPORT:BN=1,IPADDR="192.168.0.26,SPORT=0,EPORT=65535;7、物理端口上啟用BFD檢測功能（兩端參數(shù)需要協(xié)商一致）4",DSTIP="192.168.0.13",DISCLO=2001,DISCRE=1001,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=0,IFT=GE,IFN=1,BFDNM="HRB01-BFD",TYPE=IF,SRCI87",DISCLO=2023,DISCRE=1011,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=0,BFDNM="HRB10-BFD",TYPE=IF,SRCIP="192.168.0.22",DSTIP="192.168.0.21",DISCLO=2002,DISCRE=1002,TXINT=10,RXINT=10;ADDBFD:BT=HRB,BN=1,IFT=GE,IFN=1,BFDNM="HRB11-BFD",TYPE=IF,SRCIP="192.168.0.26",DSTIP="192.168.0.25",DISCLO=2023,DISCRE=1012,TXINT=10,RXINT=10;華為設備不建議接口綁定vpn的同時啟用bfd功能，因此業(yè)務地址和物理互聯(lián)地址是分開的。2.6IPprefix-list2.6.1IPprefix-list的應用場景ipprefix-list的內容包括兩部分數(shù)據(jù)：地址前綴列表名稱+匹配的地址范圍。地址前綴列表的作用類似ACL，比較靈活。地址前綴列表在應用于路由信息的過濾時，其匹配對象為路由信息的目的地址域。每個前綴列表可以包含多個表項，每個表項可以獨立指定一個網絡前綴形式的匹配范圍，并用一個索引號來標識，索引號指明了進行匹配檢查的順序。在匹配的過程中，路由器按升序依次檢查由index-number標識的各個表項。只要有某一表項滿足條件，就意味著本次匹配過程結束，而不再進行下一個表項的匹配。如果所有表項都是deny模式，則任何路由都不能通過該過濾列表。因此，需要在多條deny模式的表項后定義一條permit0.0.0.00greater-equal0less-equal32表項，允許其它所有IPv4路由信息通過。配置方式如下：ipip-prefixip-prefix-name[indexindex-number]{permit|deny}ip-addressmask-length[greater-equalgreater-equal-value][less-equalless-equal-value]移動IP承載網中前綴列表用于BGP路由。BGP的路由選擇協(xié)議中，可以對BGP路由選擇更新進行過濾，這個工作用到前綴列表。移動IP承載網中各設備上前綴列表的應用場景如下圖中標注紅色區(qū)域所示：2.6.1IPprefix-list配置：目前移動IP承載網中使用到IPprefix-list的設備類型主要有三種：阿郎的AR、華為NE40E、思科的CISCO7600系列。當然IPprefix-list只是路由策略的匹配規(guī)則，即過濾器，要有具體的路由策略來調動它，才能最終應用于路由信息的過濾。如上圖所示，VPN業(yè)務SSW_Signal分別從不同的MGW接入移動IP承載網，在AS:65210中外圍接入系統(tǒng)CE設備為華為的NE40E，AS64992中外圍接入系統(tǒng)CE設備為CISCO7600設備，各設備的端口信息和路由信息如圖中所示。為了杜絕端局設備將非法業(yè)務ip段的路由信息引入承載網中，我們在網絡中使用了ipprefix-list，通過過濾器過濾掉非法地址，最終實現(xiàn)了只允許VPN：SSW_Signal的ip地址段通過網絡。該策略的實施我們分別以NE40E-CE1和CISCO7609-MCE2為例。同理AR上針對該VPN業(yè)務也制定了相應的過濾策略，保證AR所收到的來自MCE的路由的純潔性。各設備的具體的配置方法如下：AR設備[AR2]#--------------------------------------------------policy-optionsbeginprefix-list"pl_SSW_Signal"exitpolicy-statement"rp_SSW_Signal_in"entry10fromprotocolbgpprefix-list"pl_SSW_Signal"exitactionacceptexitexitdefault-actionrejectexit#--------------------------------------------------echo"ServiceConfiguration"#--------------------------------------------------servicecustomer1createdescription"ForSSWCustomer"exitvprn2customer1createinterface"GE3/2/2.100"createexitexitvprn2customer1createdescription"ForSSW_Signal"ecmp8autonomous-system38351route-distinguisher38351:10010auto-bindldpinterface"GE3/2/2.100"createdescription"To7609_MCE2GE1/1->SSW_Signal"bfd150receive150multiplier3bgpmultipath8group"7609-MCE2-Signal-64992"keepalive60hold-time180min-as-origination2min-route-advertisement2typeexternalimport"rp_SSW_Signal_in"local-as38351peer-as64992enable-peer-trackingbfd-enablesplit-horizonexitexitnoshutdownexitservice-name"VPRNservice-2SDHZ-ZHL-7750-A1(116.79.16.23)"noshutdownexitcisco設備:[CISCO7609-MCE2]ipvrfSSW_Signalrd64992:228640route-targetexport64992:228640route-targetimport64992:228640!!interfaceGigabitEthernet1/1descriptionGE1/1toAR2gei_g3/2/21000Mmtu9192noipaddressspeednonegotiate!interfaceGigabitEthernet1/1.100encapsulationdot1Q100ipvrfforwardingSSW_Signalbfdinterval150min_rx150multiplier3!!route-mapSSW_Signal,permit,sequence10Matchclauses:ipaddressprefix-lists:SSW_Signal!routerbgp64992!address-familyipv4vrfSSW_Signalnosynchronizationneighbor10.215.118.1remote-as38351neighbor10.215.118.1descriptionlink-AR2neighbor10.215.118.1fall-overbfdneighbor10.215.118.1activateneighbor10.215.118.1send-communityextendedneighbor10.215.118.1advertisement-interval5route-mapSSW_Signaloutexit-address-family華為設備[NE40E-CE1]#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429tnl-policylsp-num6apply-labelper-instancevpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#Vlan2200#interfaceVlanif2200descriptionTOHZMGW1-Bipbindingvpn-instanceSSW_Signal#interfaceGigabitEthernet1/1/2descriptionSDHZ-ZHL-GMGW22/8/OMCslaveundoshutdownportswitchportdefaultvlan2200#interfaceGigabitEthernet2/1/0descriptionSDHZ-ZHL-GMGW22/7/OMCMasterundoshutdownportswitchportdefaultvlan2200#ipip-prefixHZSIGNALindex10permit10.215.179.024greater-equal24less-equal32#Route-policy:HZSIGNALpermit:1Matchclauses:if-matchip-prefixHZSIGNAL#ipv4-familyvpn-instanceSSW_Signalimport-routedirectroute-policyHZSIGNAL#2.7RR路由反射器RR路由反射器使用場景為保證IBGP對等體之間的連通性，需要在IBGP對等體之間建立全連接關系。假設在一個AS內部有n臺路由器，那么應該建立的IBGP連接數(shù)就為n(n-1)/2。當IBGP對等體數(shù)目很多時，對網絡資源和CPU資源的消耗都很大。利用路由反射可以解決這一問題。在一個AS內，其中一臺路由器作為路由反射器RR（RouterReflector），其它路由器做為客戶機（Client）與路由反射器之間建立IBGP連接。路由反射器在客戶機之間傳遞（反射）路由信息，而客戶機之間不需要建立BGP連接。IP承載網中RR的應用場景如下圖所示：對內網AR，采用“一級RR+備份RR＋異地分簇方案”，全網設置7對MP-iBGP的路由反射器RR,AR路由器與所在大區(qū)RR路由器、本省內省會城市AR1建立3個MP-iBGP鄰居；MCE作為本市CE設備的VPNV4路由反射器RR,與客戶端CE建立IBGP鄰居，接入CE作為客戶端只需要與RR建立VPNV4的IBGP鄰居關系,通過RR反射業(yè)務路由。CE/MCE與AR之間采用跨域MPLSVPNOPTIONA方式互通，將MCE路由器接入聯(lián)通IP承載網B網。2.7.2RR路由反射器的配置普通地市ARbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN“l(fā)ocal-as38351peer-as38351description"ToSHSH-JC-N40E-V1"exitdescription"ToHBWH-KJG-N40E-V1"exitdescription"ToSDJN-YXS-7750-A1"濟南AR至一級RRbgpgroup"pgVRR"description"For_VPN-RR-of-Internal-VPN"………exitlocal-as38351peer-as38351description"ToSHSH-JC-N40E-V1"split-horizonexitdescription"ToHBWH-KJG-N40E-V1"split-horizonexitexit濟南AR至普通地市group"pgAcessIn"description"For_AR-of-Internal-VPN";;;;exitlocal-as38351peer-as38351description"ToSDQD-SDL-7750-A1"split-horizonexitdescription"ToSDQD-HRL-7750-A1"split-horizonexitdescription"ToSDZB-JWSL-7750-A1"split-horizonexit;;;;;CECISCO設備!routerbgp64992bgplog-neighbor-changesbgpgraceful-restartrestart-time120bgpgraceful-restartstalepath-time360bgpgraceful-restartneighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0!address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-clientCE華為設備NE40E#bgp65210undodefaultipv4-unicastgraceful-restartpeer10.215.46.38as-number65210peer10.215.46.38descriptionTOSDHZ-ZHL-NE40E-IGW-CE01peer10.215.46.38connect-interfaceLoopBack0#ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38reflect-clientpeer10.215.46.38advertise-community2.8BGP團體屬性CommunityBGP團體屬性應用場景Community:團體，可選傳遞。主要用來做策略的。將某些路由條目設置一個相同的標記----Community值。BGP的團體屬性有別于其它任何一種屬性，他不限于一個網絡或者一個自治系統(tǒng)，它沒有物理邊界，可以穿過多個AS。團體屬性其實就是對bgp路由更新的一種標記方法。在傳遞的過程中途中的路由器可以根據(jù)該屬性來對路由進行相應的操作例如控制和過濾，不需要再依賴繁瑣的acl或者是ip-prefix列表一條路由一條路由的指定，這簡化了路由策略的配置，增強了靈活性。配置BGP團體時，必須使用路由策略來定義具體的團體屬性，然后在發(fā)布路由信息時應用此路由策略。BGP團體屬性配置ARecho"PolicyConfiguration"#--------------------------------------------------policy-optionsbegincommunity"SSW_Media_comm_in1"members"38351:2001"community"SSW_Media_comm_in1"members"target:38351:10000"policy-statement"SSW_Media_in"entry10fromprotocolbgp-vpncommunity“SSW_Media_comm_in1"exitactionacceptexit#--------------------------------------------------vprn1customer1createdescription"ForSSW_Media"vrf-import"SSW_Media_in"vrf-export"SSW_Media_out"ecmp8autonomous-system38351route-distinguisher38351:10000auto-bindldp………….CISCOrouterbgp64992neighbor10.215.44.7remote-as64992neighbor10.215.44.7descriptionTOSDHZ_533Ju6L_7606_CS_CE1neighbor10.215.44.7update-sourceLoopback0address-familyvpnv4neighbor10.215.44.7activateneighbor10.215.44.7send-communityextendedneighbor10.215.44.7route-reflector-client！address-familyipv4vrfSSW_Medianeighbor10.215.228.1remote-as38351neighbor10.215.228.1descriptionlink-ZHL-7750-AR1neighbor10.215.228.1fall-overbfdneighbor10.215.228.1activateneighbor10.215.228.1send-communityextended！ipvrfSSW_Mediard64992:200050route-targetexport64992:200050route-targetimport64992:200050NE40E#ipvpn-instanceSSW_Signalroute-distinguisher65210:228429vpn-target65210:228429export-extcommunityvpn-target65210:228429import-extcommunity#bgp65210ipv4-familyvpnv4undopolicyvpn-targetpeer10.215.46.38enablepeer10.215.46.38advertise-community#ipv4-familyvpn-instanceSSW_Signalpeer10.215.112.65as-number38351peer10.215.112.65descriptionTOHZ-ZHL-AR1peer10.215.112.65bfdmin-tx-interval150min-rx-interval150peer10.215.112.65bfdenablepeer10.215.112.65advertise-community2.9FRRFRR的使用場景FRR（FastReRoute）是指當物理層或鏈路層檢測到故障時將此消息上報上層路由系統(tǒng)，同時立即開始采取措施，使用一條備份的鏈路將報文轉發(fā)出去，從而將鏈路故障對于承載業(yè)務的影響降低到最小限度?，F(xiàn)網中FRR的使用主要在針對華為片區(qū)接入CE所帶的VPN:SSW_Media業(yè)務。移動ip承載網中用到的FRR技術有IPFRR和VPNFRR。其中IPFRR的使用分為公網IPFRR和私網IPFRR兩種，現(xiàn)網中使用的是私網IPFRR。VPNFRR致力于解決CE雙歸這種最普遍的網絡模型的端到端業(yè)務收斂問題，將PE節(jié)點故障情況下的端到端業(yè)務的收斂時間控制在1s以內。VPNFRR、端到端收斂。VPNFRR簡單可靠，易于部署，有效的縮短了CE雙歸屬網絡中，PE設備故障引起的端到端業(yè)務中斷時間。VPNFRR利用基于VPN的私網路由快速切換技術，通過預先在遠端PE中設置指向主用PE和備用PE的主備用轉發(fā)項，并結合PE故障快速探測，旨在解決CE雙歸PE的MPLSVPN網絡中，PE節(jié)點故障導致的端到端業(yè)務收斂時間長（大于1s）的問題，同時解決PE節(jié)點故障恢復時間與其承載的私網路由的數(shù)量相關的問題，在PE節(jié)點故障情況下，端到端業(yè)務收斂時間小于1s。VPNFRR關注的是內層標簽，或者說內層隧道的快速切換。FRR的配置方法如上圖所示，要求在局向1的CE1上針對發(fā)布過來的遠端路由配置私網備份出接口和備份下一跳，使鏈路B為鏈路A的備份，鏈路A出現(xiàn)故障時可以快速切換到鏈路B上。同時在CE上針對本端至業(yè)務網元側的路由開啟ipFRR功能，正常情況下路由為linkc，備份為LinkD。配置如下：#aclnumber2000#route-policyIP_FRR_Mediapermitnode10if-matchacl2000applybackup-interfaceEth-Trunk1.2000#route-policyVPN_FRR_INpermitnode10applybackup-nexthopauto#ipvpn-instanceSSW_Mediaroute-distinguisher64982:200030ipfrrroute-policyIP_FRR_Mediavpnfrrroute-policyVPN_FRR_INapply-labelper-instancevpn-target64982:200030export-extcommunityvpn-target64982:200030import-extcommunity#interfaceEth-Trunk1