地鐵無線解決方案-實施篇v2.0文檔密級：目錄Contents地鐵場景產(chǎn)品介紹1地鐵場景拓撲規(guī)劃2345地鐵車地橋接方案地鐵方案優(yōu)化配置地鐵站臺站廳方案認證核心N18K&數(shù)據(jù)核心N18KN18010RG-S6220-48XS4QXSRG-S5750-S系列安全智能萬兆交換機車廂工業(yè)交換機RG-IS2708M-4P目錄Contents地鐵場景產(chǎn)品介紹1地鐵場景拓撲介紹2345地鐵車地橋接方案地鐵方案優(yōu)化地鐵站臺站廳方案XX地鐵有線整網(wǎng)組網(wǎng)拓撲說明XX地鐵有線核心組網(wǎng)拓撲說明地鐵XX局點X號線組網(wǎng)拓撲說明站臺站廳AP站臺站廳AP軌旁AP車頭AP車尾APN18KAC1AC2VSUERPS1ERPS2S6220S5750S5750InternetRSR77核心匯聚接入車地用戶終端流量目錄Contents地鐵場景產(chǎn)品介紹1地鐵場景拓撲規(guī)劃2345地鐵車地橋接方案地鐵方案優(yōu)化配置地鐵站臺站廳方案認證核心開啟的功能Supervlan：用戶網(wǎng)關VRRP：VRRP主備作用，兩臺18K組成VRRP組定制ARP-MAC降噪：本機VRRP組的特定網(wǎng)段可以MAC學習和ARP學習定制DHCP：對整網(wǎng)進行均衡分配地址DHCPSNOOPING：與VRRP聯(lián)動，為DHCP服務定制WEB/AAA：WEB認證ERPS：核心環(huán)網(wǎng)的可靠性ACL：堡壘機BFD：與DHCP聯(lián)動OSPF靜態(tài)路由NTPSNMPLOG匯聚設備開啟的功能VSURLDP：鏈路檢測REUP：上行vlan均衡，主備鏈路ERPS：環(huán)網(wǎng)提升可靠性SNTP默認路由接入設備開啟的功能ACLERPSRLDPNTP默認路由核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能1：網(wǎng)關-SuperVLANauth-modegateway網(wǎng)關模式，支持大容量認證，需重啟switch-modegatewayslot*所有線卡UTF模式為網(wǎng)關模式，重啟生效*純ED環(huán)境整機認證用戶容量最大為15W，ARP表15w，MAC表16w。*ED+DB環(huán)境整機認證用戶容量最大為7.5W。vlan300創(chuàng)建網(wǎng)關二層VLAN300supervlan配置該VLAN為supervlansubvlan301-304,401-404,501-504……指定用戶所屬vlan為子vlanN18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能1：網(wǎng)關-SVI_VRRPinterfaceVLAN300用戶網(wǎng)關ipaddress

本機實網(wǎng)關ipaddresssecondary本機實網(wǎng)關ipaddresssecondary18k3網(wǎng)段ipaddresssecondary18k4網(wǎng)段ipaddresssecondary18k5網(wǎng)段ipaddresssecondary18k6網(wǎng)段vrrp1ip

本機VRRP虛網(wǎng)關vrrp2ip

本機VRRP虛網(wǎng)關vrrpdetection-vlan2010VRRP組報文協(xié)商通道vrrp1priority120

VRRP組1的優(yōu)先級為主vrrp1version3vrrp1preemptdelay30

VRRP狀態(tài)變化抑制30svrrp2priority80

VRRP組1的優(yōu)先級為備vrrp2version3vrrp2preemptdelay30N18K5N18K4N18K3N18K6N18K1核心功能1：網(wǎng)關-SVIinterfaceVLAN300

用戶網(wǎng)關arptimeout1200

推薦參數(shù)，arp老化時間arpgratuitous-sendinterval1201//推薦參數(shù)，每120s往外以1pps速率發(fā)送虛網(wǎng)關的免費arpnoipdhcpmonitor-vrrp-state//關閉監(jiān)控vrrp狀態(tài)變化功能，默認開啟。監(jiān)控功能主要用在A-B互為主備，只起一個vrrp，AB上起相同的普通地址池，當主機宕機，備機接管的時候地址池可以分配作用。核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_SERVERipdhcpsnoopinginformationoptionvrrp-ip-format開啟SNOOPING與VRRP聯(lián)動noipdhcpsnoopingvlan3011-3014,3021-3024……基于vlan關閉snooping功能ipdhcpsnooping

開啟snoopingservicedhcp

開啟DHCP功能ipdhcpbfdVLAN2002DHCP依賴與18k2的BFD檢測確認設備在線情況ipdhcpbfdVLAN2002DHCP依賴與18k3的BFD檢測確認設備在線情況ipdhcpbfdVLAN2002DHCP依賴與18k4的BFD檢測確認設備在線情況ipdhcpbfdVLAN2002DHCP依賴與18k5的BFD檢測確認設備在線情況ipdhcpbfdVLAN2002DHCP依賴與18k6的BFD檢測確認設備在線情況ipdhcpbackupsrc-port12091dst-ipdst-port12090僅作為DHCPSERVER的18k1主機配置，指定dhcp熱備端口ipdhcpbackupsrc-port12090僅作為DHCPSERVER的18k2備機配置，與主機的目的端口號保持一致。ipdhcppingpackets0參數(shù)配置為0可以使地址分配性能提高。interfaceVLAN2002

DHCP進行整網(wǎng)均衡及熱備通道ipaddress

bfdinterval500min_rx50multiplier3與其他認證核心配置bfd檢測N18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_SERVER將6臺所有認證核心的虛和實網(wǎng)關地址排斥N18K5N18K4N18K3N18K6N18K1包含需要排斥的IP第一部分VRRP1虛ip，實ip*2第二部分VRRP2虛ip，實ip*2第三部分VRRP3虛ip，實ip*4第四部分VRRP4虛ip，實ip*4第五部分VRRP5虛ip，實ip*4第六部分VRRP6虛ip，實ip*4核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_SERVER將6臺所有認證核心的虛和實網(wǎng)關地址排斥ipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-address

ipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressipdhcpexcluded-addressN18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_SERVERipdhcppoolshanghaimetro_1

為N18k1分配地址rolemaster

該地址池在N18k1為主角色

lease010

租約時間1hnetwork

分配用戶網(wǎng)段dns-server

內網(wǎng)DNS服務器，或外網(wǎng)DNSdefault-router

指定用戶網(wǎng)關ipdhcppoolshanghaimetro_2

為N18k2分配地址roleslavebfd

該地址池在N18k1為從角色

lease010networkdns-serverdefault-routeripdhcppoolshanghaimetro_3為N18k3分配地址rolemasterbfdgroup1該地址池在N18k1為主角色，18k3和18k4對應的地址池為group1，優(yōu)先分配group地址。lease010networkdns-serverdefault-routeripdhcppoolshanghaimetro_4為N18k4分配地址rolemasterbfdgroup1該地址池在N18k1為主角色，18k3和18k4對應的地址池為group1，優(yōu)先分配group地址。

lease010networkdns-serverdefault-routerN18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_SERVERipdhcppoolshanghaimetro_1

為N18k1分配地址rolemaster

該地址池在N18k1為主角色

lease010

租約時間1hnetwork

分配用戶網(wǎng)段dns-server

內網(wǎng)DNS服務器，或外網(wǎng)DNSdefault-router

指定用戶網(wǎng)關ipdhcppoolshanghaimetro_2

為N18k2分配地址roleslavebfd

該地址池在N18k1為從角色

lease010networkdns-serverdefault-routeripdhcppoolshanghaimetro_5為N18k5分配地址roleslavebfdgroup2該地址池在N18k1為從主角色，18k5和18k6對應的地址池為group2，優(yōu)先分配group地址lease010networkdns-serverdefault-routeripdhcppoolshanghaimetro_6為N18k6分配地址

roleslavebfdgroup2該地址池在N18k1為從主角色，18k5和18k6對應的地址池為group2，優(yōu)先分配group地址lease010networkdns-serverdefault-routerN18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能2：DHCP_非SERVERipdhcpbfdVLAN2002此處為非DHCPSERVER的設備，與N18k1創(chuàng)建DHCP的BFD聯(lián)動ipdhcpbfdVLAN2002此處為非DHCPSERVER的設備，與N18k2創(chuàng)建DHCP的BFD聯(lián)動ipdhcppingpackets0interfaceVLAN2002ipaddressbfdinterval500min_rx50multiplier3N18K5N18K4N18K3N18K6N18K1包含必須配直通目的或者免認證地址第一部分ERPS和VRRP的組播報文目的地址直通第二部分所有非本機的VRRP直通目的虛MAC放直通第三部分所有非本機的VRRP組虛MAC配置為免認證第四部分所有非本機的VRRP組實MAC配置為免認證核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能3：WEB認證_直通&免認證N18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能3：WEB認證_直通&免認證httpredirectdirect-site0119.a700.0001將ERPS協(xié)議組播報文放直通，只有組環(huán)網(wǎng)或者VRRP組且互聯(lián)口開受控的時候需要配置httpredirectdirect-site0100.5e00.0012將VRRP協(xié)議組播報文放直通，只有組環(huán)網(wǎng)或者VRRP組且互聯(lián)口開受控的時候需要配置httpredirectdirect-site0000.5e00.0102將非本機的VRRP目的放直通，只有組環(huán)網(wǎng)或者VRRP組且互聯(lián)口開受控的時候需要配置，下同httpredirectdirect-site0000.5e00.0103httpredirectdirect-site0000.5e00.0104N18K5N18K4N18K3N18K6N18K1web-authdirect-host0000.5e00.0102將非本機的VRRP虛MAC免認證，只有組環(huán)網(wǎng)或者VRRP組且互聯(lián)口開受控的時候需要配置，下同web-authdirect-host0000.5e00.0103web-authdirect-host0000.5e00.0104web-authdirect-host5869.6c4c.48e3將非本機的VRRP管理板三層實MAC免認證，只有組環(huán)網(wǎng)或者VRRP組且互聯(lián)口開受控的時候需要配置。下同web-authdirect-host5869.6c4c.41dbweb-authdirect-host5869.6c4c.4253web-authdirect-host5869.6c4c.4483web-authdirect-host5869.6c4c.4663web-authdirect-host5869.6c4c.463bweb-authdirect-host5869.6c4c.431bweb-authdirect-host1414.4b82.3dccdirect-vlan1001,2002,2005,3011-3014,3021-3024將核心互某著名企業(yè)道及無線ap管理放行直通，dhcp和web的熱備通道直通。注意：不要將用戶的subvlan作為直通vlan。核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能3：WEB認證_VRRP主備web-authvrrpsrc-port10000WEB受控與VRRP聯(lián)動做主備指定端口web-authvrrp1interfaceVLAN300dst-ipdst-port10000WEB認證與VRRP聯(lián)動，指定VRRP組用戶的網(wǎng)關、熱備通道、目的端口號web-authvrrp2interfaceVLAN300dst-ipdst-port10000web-authvrrpsupportWEB與VRRP聯(lián)動開啟，開啟后WEB具備主備功能web-authdefaultcontrolinterfaceAggregatePort101指定WEB進行VRRP切換后默認安裝用戶認證表項的接口web-authaclwhite-urllog.shlm.wifi8配置域名白名單，所配置的域名解析到的ip都直接放行。核心功能3：WEB認證_多SSID模板映射web-authmappingnfyg_001vlan501,601templatenfyg_001ssid力美web-authmappingnfyg_001vlan502,602templatenfyg_002ssid游戲多SSID映射功能，不同的VLAN（SSID）映射到不同的template模板，同一個SSID下無感知遷移，蘋果手機跨SSID切換彈新portal，無感知認證web-authtemplateeportalv2

配置認證模板，基礎模板ip01

指定portal服務器的ip地址url

指定終端重定向頁面web-authtemplatenfyg_001v2

多SSID映射對應的模板配置ip01urlweb-authtemplatenfyg_002v2

多SSID映射對應的模板配置ip01urlweb-authstation-moveautoapply-mappingmap1開啟多SSID映射功能N18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能3：WEB認證_基礎配置web-authstation-moveauto

開啟無感知遷移功能noweb-authstation-movearp-detect

關閉遷移arp代理功能aaanew-model

開啟AAA功能aaaaccountingnetworkdefaultstart-stopnone記賬方式為noneaaaauthenticationweb-authdefaultnone

WEB認證方式為nonenoaaalogenable

關閉AAAlog記錄，提高認證性能interfaceVLAN2005

WEB進行VRRP熱備指定的通道ipaddressoffline-detectinterval30threshold0配置無流量下線時間30minstation-movepermit

開啟端口遷移功能N18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2核心功能3：WEB_下聯(lián)受控口interfaceTenGigabitEthernet1/1

descriptionTo-MMIS01&02_MSL_DIS_S6220switchportmodetrunk

switchporttrunkallowedvlanonly301-302,3011-3014下聯(lián)口做vlan裁剪，放行下聯(lián)路線的subvlan，下聯(lián)AP的管理vlan

web-authapply-mappingnfyg_001多SSID映射功能web-authenableeportalv2核心功能3：WEB_互聯(lián)受控口interfaceTenGigabitEthernet1/7port-group101interfaceTenGigabitEthernet1/8port-group101interfaceAggregatePort101descriptionto_N18K_2switchportmodetrunkswitchporttrunkallowedvlanonly1-2110,2118-2130,2138-2140,2148-2199,2203-4094做vlan裁剪，只放行AP管理vlan，互某著名企業(yè)道vlan，用戶subvlanipdhcpsnoopingtrust互聯(lián)口配置dhcpsnooping的信任口

web-authapply-mappingnfyg_001web-authenableeportalv21號線N18K1VSUS6220核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能4：降噪N18K5N18K4N18K3N18K6N18K1包含必須配直通目的或者免認證地址第一部分本機兩個VRRP組的IP段需要MAC學習第二部分本機互聯(lián)網(wǎng)段的IP端需要MAC學習第三部分本機管理網(wǎng)段的IP端需要MAC學習第四部分經(jīng)過本機無線AP管理網(wǎng)段要MAC學習第五部分本機用戶SVI下兩個VRRP組的IP段需要ARP學習備注本機未配置MAC學習的網(wǎng)段都不會被學習備注本機其他非用戶SVI的網(wǎng)段的ARP不被降噪控制核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能4：降噪ARPnoise-controlmacmatch本機用戶網(wǎng)段的MAC允macmatch本機用戶網(wǎng)段的MAC允macmatch本機的互聯(lián)網(wǎng)段的MAC允macmatch本機的互聯(lián)網(wǎng)段的MAC允macmatch92本機的互聯(lián)網(wǎng)段的MAC允macmatch40本機上AP的管理網(wǎng)段的MAC允，下同macmatchmacmatch

macmatch

macmatchmacmatchmacmatchmacmatcharpinterfaceVLAN300matchSUPERVLAN下本機VRRP用戶網(wǎng)段的ARP允arpinterfaceVLAN300matchSUPERVLAN下本機VRRP用戶網(wǎng)段的ARP允N18K5N18K4N18K3N18K6N18K1核心交換機關鍵技術N18K2ERPS環(huán)網(wǎng)核心功能5：ERPSerpsraps-vlan3000

指定erps環(huán)ring-portwestAggregatePort102eastAggregatePort101指定erps環(huán)的兩個端口，這兩個口必須是trunk口stateenableinterfaceAggregatePort101descriptionto_N18K_2switchportmodetrunkinterfaceAggregatePort102descriptionto_N18K_4switchportmodetrunkerpsenable

開啟ERPS功能N18K5N18K4N18K3N18K6N18K1匯聚交換機關鍵技術N18KVSUS622013號線匯聚功能1：VSUSW1switchvirtualdomain1!switch1priority150switch1descriptionMMIS13-LDL-S6220-1!vsl-aggregateport1port-memberinterfaceTenGigabitEthernet0/45fiberport-memberinterfaceTenGigabitEthernet0/46fiberport-memberinterfaceTenGigabitEthernet0/47fiberport-memberinterfaceTenGigabitEthernet0/48fiber!switchconvertmodevirtual!SW2switchvirtualdomain1!switch2priority90switch2descriptionMMIS13-LDL-S6220-2!vsl-aggregateport1port-memberinterfaceTenGigabitEthernet0/45fiberport-memberinterfaceTenGigabitEthernet0/46fiberport-memberinterfaceTenGigabitEthernet0/47fiberport-memberinterfaceTenGigabitEthernet0/48fiber!switchconvertmodevirtual重啟完成后配置BFD檢測switchvirtualdomain1dual-activebfdinterfaceTenGigabitEthernet1/0/42dual-activebfdinterfaceTenGigabitEthernet2/0/42此處domain默認為1隨意配置，只要用vsl端口連接的交換機domain一致即可。VSU是針對交換機不是針對接口的1表示switch的id，為了后續(xù)維護方便，priority表示的是設備的優(yōu)先級，值越大優(yōu)先級越高，該值用于決策出VSU系統(tǒng)中設備的角色指定VSL成員口配置完成后，模式切換命令即可完成單機到VSU模式的切換。配置完成后設備自動重啟匯聚交換機關鍵技術N18K2REUP匯聚功能2：REUPspanning-treemstconfiguration

配置實例instance0vlan1-300,302-400,402-3010,3015-4094指定缺省實例0關聯(lián)的vlaninstance1vlan301,401,3011-3014指定實例1關聯(lián)的vlanmac-address-tablemoveupdatetransitMAC地址遷移更新功能interfaceTenGigabitEthernet1/0/1switchportmodetrunkswitchportbackupinterfaceTenGigabitEthernet2/0/1指定上聯(lián)主端口的備份口為2/0/1switchportbackupinterfaceTenGigabitEthernet2/0/1preferinstance1指定上聯(lián)主端口的備份口為2/0/1，對應的實例為1.storm-controlunicast5000descriptiontoSH-DBXL-CORE-N18010_2_Te1/1

interfaceTenGigabitEthernet2/0/1switchportmodetrunkstorm-controlunicast5000descriptiontoSH-DBXL-CORE-N18010_1_Te1/1!1號線N18K1VSUS6220匯聚交換機關鍵技術匯聚功能2：ERPSerpsraps-vlan4000

指定raps-vlanring-portwestTenGigabitEthernet1/0/7eastTenGigabitEthernet2/0/7指定與S57S互聯(lián)的左右兩個端口

rpl-porteastrpl-owner//選配，rpl-owner可以在本機上，也可以指定在S57上，隨場景需要改動

stateenable

開啟狀態(tài)interfaceTenGigabitEthernet1/0/7switchportmodetrunkswitchportprotected保護口之間無法通信，保護口與非保護口之間可以通信。起到防環(huán)作用。descriptionTO-MMIS01-SHMXC-SWinterfaceTenGigabitEthernet2/0/7switchportmodetrunkswitchportprotecteddescriptionTO-MMIS01-GFXC-SWerpsenable使能erpsVSUS6220ERPS1S5750Rpl

oner指定口1724匯聚交換機關鍵技術N18K2REUP匯聚功能3：RLDPrldpenable

使能rldp功能。檢測下聯(lián)S57s的鏈路異常后的處理辦法。errdisablerecoveryinterval30定時重新啟動被rlp設置成違例的端口的RLDP檢測。interfaceTenGigabitEthernet1/0/7//rldpportbidirection-detectshutdown-portrldp配置策略，雙向鏈路檢測到故障將端口列為違例shutdown處理，此處配置在下聯(lián)S57s端口。!1號線N18K1VSUS6220接入交換機關鍵技術VSUS622013號線接入功能1：ERPS匯聚交換機作為RPLOwner節(jié)點erpsraps-vlan4000配置R-APSVLAN，此VLAN只做erps用，不能配置到接口!intTenGigabitEthernet1/1配置ERPS環(huán)接口switchportmodetrunkrldpportbidirection-detectshutdown-portintTenGigabitEthernet1/2switchportmodetrunkrldpportbidirection-detectshutdown-port！rldpenable全局使能rldperrdisablerecoveryinterval30！erpsraps-vlan4000ring-portwestTenGigabitEthernet1/1eastTenGigabitEthernet1/2

配置參與環(huán)網(wǎng)計算端口rpl-portwestrpl-owner配置環(huán)網(wǎng)阻塞端口，即rpl-owner！erpsraps-vlan4000stateenable使能ERPS環(huán)網(wǎng)的功能！

erpsenable使能全局ERPS功能ERPS1S5750rldp雙向鏈路檢測功能，避免erps環(huán)無法發(fā)現(xiàn)鏈路假死狀態(tài)。如1、兩臺erps交換機間接了一臺友商交換機（有隔離端口），erps交換機接口是up的，但是無法通信，此時erps是無法檢測的；2、光纖鏈路收發(fā)一路不正常，此時接口是UP的，但是數(shù)據(jù)不通，erps無法檢測。為避免如上兩種情況，需在erps口增加rldp功能，便于發(fā)現(xiàn)問題，rldp發(fā)現(xiàn)時間是S級的（5-8S）；erps恢復時間是50ms接入交換機關鍵技術VSUS622013號線接入功能2：全局ACLERPS1S5750包含說明第一部分過濾報文源MAC為認證核心虛網(wǎng)關或者AC虛網(wǎng)關的IP和ARP報文第二部分放行站臺AP、軌旁AP、站臺和車內交換機管理vlan的IP和ARP報文第三部分過濾源MAC為認證核心網(wǎng)關和AC的實MAC的IP和ARP報文第四部分過濾組播報文第五部分放行其他任意報文接入交換機關鍵技術VSUS622013號線接入功能2：全局ACL-應用在下聯(lián)口進方向expertaccess-listextended2702入口方向除了只允ap及站臺車內交換機的管理vlan報文，其他都過濾。10denyipany0000.5e00.00000000.0000.ffffanyany下聯(lián)口上行報文過濾源MAC為認證核心網(wǎng)關或AC卡網(wǎng)關虛MAC的ip報文20denyarp0000.5e00.00000000.0000.ffffanyanyanyany下聯(lián)口上行報文過濾源MAC為認證核心網(wǎng)關或AC卡網(wǎng)關虛MAC的arp報文30permitipVID3011anyanyanyany下聯(lián)口上行報文放行站臺軌旁無線AP及站臺、車內交換機管理vlan的ip報文40permitarpVID3011anyanyanyanyany下聯(lián)口上行報文放行站臺軌旁無線AP及站臺、車內交換機管理vlan的arp報文50permitipVID3012anyanyanyany60permitarpVID3012anyanyanyanyany70permitipVID3013anyanyanyany80permitarpVID3013anyanyanyanyany90permitipVID3014anyanyanyany100permitarpVID3014anyanyanyanyany110denyipany5869.6c00.00000000.00ff.ffffanyany下聯(lián)口上行報文過濾源MAC為認證核心網(wǎng)關實MAC的ip報文120denyarp5869.6c00.00000000.00ff.ffffanyanyanyany下聯(lián)口上行報文過濾源MAC為認證核心網(wǎng)關實MAC的arp報文130denyipany1414.4b00.00000000.00ff.ffffanyany下聯(lián)口上行報文過濾源MAC為AC卡網(wǎng)關實MAC的ip報文140denyarp1414.4b00.00000000.00ff.ffffanyanyanyany下聯(lián)口上行報文過濾源MAC為AC卡網(wǎng)關實MAC的arp報文150denyipanyany55any下聯(lián)口上行報文過濾目的組播地址的組播報文160permitipanyanyanyany

下聯(lián)口的上行報文放行其他任意的ip報文170permitarpanyanyanyanyany下聯(lián)口的上行報文放行其他任意的arp報文ERPS1S5750接入交換機關鍵技術VSUS622013號線接入功能2：全局ACL-應用在下聯(lián)口出方向ERPS1S5750包含說明第一部分放行源MAC為AC卡2/3層實MAC下行的IP和ARP報文第二部分放行源MAC為VRRP的虛MAC下行的IP和ARP報文（包括了認證核心與AC的虛MAC）第三部分過濾站臺AP、軌旁AP、站臺和車內交換機管理vlan的IP和ARP報文第四部分放行源MAC為認證核心網(wǎng)關和AC實MAC的IP和ARP報文第五部分默認最后過濾其他所有報文接入交換機關鍵技術VSUS622013號線接入功能2：全局ACL-應用在下聯(lián)口出方向expertaccess-listextended2801

應用在下聯(lián)口出口方向10permitipanyhost1414.4b81.f609anyany放行源MAC為AC卡三層MAC下行的ip報文（showinvlan1/showinag1收集）20permitipanyhost1414.4b81.f608anyany放行源MAC為AC卡二層MAC下行的ip報文

，包括主備板30permitarphost1414.4b81.f609anyanyanyany放行源MAC為AC卡三層MAC下行的arp報文，包括主備板40permitarphost1414.4b81.f608anyanyanyany放行源MAC為AC卡二層MAC下行的arp報文，包括主備板90permitipany0000.5e00.00000000.0000.ffffanyany放行源MAC為VRRP的虛MAC下行的ip報文（認證核心與AC）100permitarp0000.5e00.00000000.0000.ffffanyanyanyany放行源MAC為VRRP的虛MAC下行的arp報文（認證核心與AC）110denyipVID3011anyanyanyany過濾站臺軌旁無線AP及站臺、車內交換機管理vlan的ip報文120denyarpVID3011anyanyanyanyany過濾站臺軌旁無線AP及站臺、車內交換機管理vlan的arp報文130denyipVID3012anyanyanyany

140denyarpVID3012anyanyanyanyany190permitipany5869.6c00.00000000.00ff.ffffanyany放行源MAC為認證核心網(wǎng)關實MAC的ip報文200permitarp5869.6c00.00000000.00ff.ffffanyanyanyany放行源MAC為認證核心網(wǎng)關實MAC的arp報文210permitipany1414.4b00.00000000.00ff.ffffanyany放行源MAC為AC卡網(wǎng)關實MAC的ip報文220permitarp1414.4b00.00000000.00ff.ffffanyanyanyany放行源MAC為AC卡網(wǎng)關實MAC的arp報文ERPS1S5750接入交換機關鍵技術VSUS622013號線接入功能3：下聯(lián)AP口與S57之間互聯(lián)口配置：ipv6access-listv6-list10denyipv6anyany!interfaceGigabitEthernet0/1

下聯(lián)口switchportmodetrunkswitchporttrunknativevlan3012

下聯(lián)APswitchportprotectedexpertaccess-group2702in

優(yōu)化配置，防環(huán)ipv6traffic-filterv6-listin

入口方向過濾v6報文expertaccess-group2801out

優(yōu)化配置，防環(huán)rldpportloop-detectshutdown-portrldp功能，環(huán)路檢測到環(huán)路將端口列為違例shutdown處理descriptionTo-SH01CZ-SHTYG-AP1-B1FinterfaceTenGigabitEthernet1/1選擇一個erps環(huán)網(wǎng)的互聯(lián)口進行分析

switchportmodetrunkstorm-controlunicast5000推薦優(yōu)化，未知名單播風暴控制rldpportbidirection-detectshutdown-portrldp功能，雙向鏈路檢測到故障將端口列為違例shutdown處理ERPS1S5750APGi0/1Te1/1目錄Contents地鐵場景產(chǎn)品介紹1地鐵場景拓撲規(guī)劃2345地鐵車地橋接方案地鐵方案優(yōu)化配置地鐵站臺站廳方案車廂接入工業(yè)交換機關鍵技術車頭AP車尾AP車廂負載AP核心功能1：環(huán)網(wǎng)VSU拓撲描述：每節(jié)車廂都安裝有一臺IS2708M-4P交換機。一列車的所有IS2708M-4P根據(jù)布線情況可以組成環(huán)形/鏈形VSU。每臺IS2708M-4P下都接有兩臺的車內覆蓋AP。只有車頭/車尾的IS2708M-4P還會各接一臺車地橋接AP。車頭的IS2708M-4P還會多接一臺車載工控機。為了方便實施和后續(xù)的管理，需要按照如下規(guī)范IS2708M-4P的接入端口。1、IS2708M-4P的g0/3-4口用來建立VSU（環(huán)形VSU），G0/1-2用來建立鏈式VSU（比較節(jié)省線纜，冗余性不如環(huán)形VSU），XX局點地鐵使用3、4口建立環(huán)形VSU2、IS2708M-4P的g0/7-8口用來連接車廂AP530-S2（可設計成5、6口連接車廂AP，施工前建議確定清楚并同步施工隊）3、SW1、SW6為車頭車尾交換機，g0/6分別連接車頭車尾AP530-S24、SW1的g0/5連接工控機，工控機主要作用用戶通過APP可直接訪問資源及當橋接斷開對于新上線用戶起到DHCP、DNS等作用5、SW1-SW6的連接建議第一臺3口與第二臺4口連接一次類推123456G0/3G0/3G0/3G0/3G0/3G0/3G0/4G0/4G0/4G0/4G0/4G0/4G0/6G0/6車廂接入工業(yè)交換機關鍵技術車頭AP車尾AP車廂負載AP核心功能1：環(huán)網(wǎng)VSUswitchvirtualdomainwitch1priority200!vsl-aggregateport1port-memberinterfacegigabitEthernet0/3copper!vsl-aggregateport2port-memberinterfacegigabitEthernet0/4copper!123456G0/3G0/3G0/3G0/3G0/3G0/3G0/4G0/4G0/4G0/4G0/4G0/4G0/6G0/6IS2708M-4P啟機默認為單機模式，因此需要先轉換成VSU模式才能加入VSU系統(tǒng)，在轉換成VSU模式前，先完成指定VSL口。設備啟機進入特權模式需要輸入密碼，默認密碼為admin。在當前場景中，需要將車頭和車尾的設備配置成主/從設備，其余車廂為候選設備，因此對應的此條配置中各車廂的配置如下：車廂1：switch1priority200車廂2：switch2priority100車廂3：switch3priority100車廂4：switch4priority100車廂5：switch5priority100車廂6：switch6priority150!如上配置即為配置成功，再執(zhí)行模式切換命令即可完成單機到VSU模式的切換。switchconvertmodevirtual車廂接入工業(yè)交換機關鍵技術車頭AP車尾AP車廂負載AP核心功能1：環(huán)網(wǎng)VSU所有車廂都配置完成后，依次從車廂1到車廂6對IS2708M-4P設備進行下電再上電操作。此步驟是為了防止由于各臺設備配置時間長短不同，導致存在設備拓撲收斂超時，拓撲直接收斂，導致VSU收斂錯誤。每臺設備依次下電再上電后，等待5分鐘后，串口連接車廂1的IS2708M-4P，執(zhí)行如下命令，確保VSU已按照配置正常收斂。Ruijie#showversionslots

Device

Slot

Ports

MaxPorts

Serialnumber

Module

------

----

-----

----------

-------------------------

-------------------------

108

8

-IS2708M-4P

208

8

-IS2708M-4P

308

8

-IS2708M-4P

408

8

-IS2708M-4P

508

8

-IS2708M-4P

608

8

-IS2708M-4P如果可以看到已經(jīng)有6臺設備加入到VSU，說明VSU已正常收斂，可進入下一個步驟進行功能配置。123456G0/3G0/3G0/3G0/3G0/3G0/3G0/4G0/4G0/4G0/4G0/4G0/4G0/6G0/6車廂接入工業(yè)交換機關鍵技術車頭AP車尾AP車廂負載AP核心功能2：基礎功能配置hostnameMMIS-AABB!AA指地鐵線路，BB指車號。如1301：13號線01車vlan132Nameguanli!interfacevlan132Ipadd10.113.240.XX/24!Vlan2900Namesta-vlan!123456G0/3G0/3G0/3G0/3G0/3G0/3G0/4G0/4