解决方案广域数据通信网BPV300R001B01D002版本之电子政务网开局配置指导书.doc

解决方案 广域数据通信网BP V300R001B01D002版本电子政务外网开局配置指导书内部公开杭州华三技术有限公司Hangzhou Technologies Co., Ltd.解决方案名称Solution name密级 Confidentiality level广域数据网之电子政务外网内部公开解决方案版本Solution version共 31 页 Total 31 pagesV300R001B01D002解决方案 广域数据通信网BP V300R001B01D002版本电子政务外网开局配置指导书拟制Prepared by 詹学鹏04267Date日期2008-02-21评审人Reviewed by Date日期批准Approved byDate日期杭州华三技术有限公司Hangzhou H3C Technologies Co., Ltd.版权所有 侵权必究All rights reserved第32页, 共32页修 订 记 录Date日期RevisionVersion修订版本Sec No.章节Change Description修改描述Author作者2008-2-21V1.0初稿完成詹学鹏04267目录1电子政务外网业务模型简介72电子政务外网组网介绍82.1组网图82.2组网说明92.2.1国网边界102.2.2省网边界&省级核心102.2.3省级城域网102.2.4地市核心102.2.5地市城域网112.2.6区县节点112.3业务部署112.3.1公网OSPF112.3.2BGP/MPLS VPN112.3.3QoS122.3.4可靠性123电子政务外网局限性134电子政务外网注意事项145产品和版本信息156电子政务外网特性部署配置说明156.1国网边界NE40156.2省网边界&省级核心SR88176.3地市核心SR66216.4区县节点MSR266.5省级城域网S9500286.6地市城域网S7500E30图目录图1 广域数据通信网电子政务外网组网图8图2 广域数据通信网电子政务外网IP部署图9表目录表1 广域数据通信网解决方案V300R001B01D002版本产品及版本列表15解决方案 广域数据通信网BP V300R001B01D002版本电子政务外网开局配置指导书1 电子政务外网业务模型简介电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政府部门的办公网，与副省级以下政府部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政府部门面向社会的专业性服务业务和不需在内网上运行的业务。政府行业用户的业务需求主要有如下几种类型： 同部门的各个不同省、市单位间互相访问，比如不同省、市的财政局（厅）之间、公安局（厅）之间的互相访问； 政府内部不同部门间的协作，比如某省、市财政局（厅）提供给政府内部其他职能部门的服务，但是这种服务不提供给公众； 政府部门提供给公众的服务，比如政府各职能部门的网站； 为了加强政府各职能部门间的及时沟通和横向合作、丰富政府部门的业务类型，需要一个多媒体实时交互平台，用于视频会议、视频点播、IP电话、语音邮箱等； 政府部门内部访问Internet，比如访问新浪，搜狐主页等。电子政务外网通过MPLS L3 VPN隔离不同政府职能部门的业务系统、区分同一政府部门内部不同的业务子系统。电子政务外网VPN分为五类：1 共享资源 VPN： 主要放置各个部门在政务网内对其他部门开放的资源服务器； 设备包括所有部门的共享资源服务器及资源共享区前置机； 一个省电子政务外网只有一个共享资源VPN。2 公众服务 VPN 主要放置各个部门对Internet公众开放的门户网站信息资源； 设备包括所有部门的门户网站服务器； 一个省电子政务外网只有一个公众服务VPN。3 纵向专网 VPN 纵向专网VPN用于承载各个职能部门的专网业务，如：工商专网、审计专网等等。专网VPN的数量在600个以上； 纵向专网VPN包含专网内部服务器和专网内部用户主机； 纵向专网VPN间是完全逻辑隔离的，不能访问其他VPN，也不能被其他 VPN 访问； 举行说明：A市民政局、B市民政局、省民政厅网络需要划分在同一个VPN内。4 Internet VPN 用于政府各职能部门内部用户访问Internet，其中只有一条路由：缺省路由。5 多媒体VPN 为了加强政府各职能部分的横向合作，规划一个VPN做为实时交互的逻辑平台，会在上面进行一些诸如视频会议的组播业务。2 电子政务外网组网介绍2.1 组网图图1 广域数据通信网电子政务外网组网图图2 广域数据通信网电子政务外网IP部署图2.2 组网说明下文简略语介绍：1 国家电子政务广域网，简称“国网”；2 省级电子政务广域网，简称“省网”；3 省级电子政务广域网省核心节点，简称“省级核心”；4 省级电子政务城域网，简称“省级城域网”；5 省级电子政务广域网地市核心节点，简称“地市核心”；6 省级电子政务地市城域网，简称“地市城域网”；7 省级电子政务广域网地市下属区县广域网节点，简称“区县节点”；8 分层PE组网模式中负责汇聚下层PE的私网明细路由，同时抑制向下发布私网明细路由并向下层PE发布私网缺省路由的上层PE设备称为Superstratum PE，简称“SPE”；9 分层PE组网模式中向上层PE发送私网明细路由并直接连接用户的PE设备称为Underlayer PE，简称“UPE”；10 分层PE嵌套组网模式中既作为上层SPE的UPE，又作为下层UPE的SPE，这样的PE设备称为Middle-level PE，简称“MPE”；2.2.1 国网边界国网边界部署2台NE40作ASBR、互为备份，并分别通过1条以太链路与省网的ASBR设备互连；2台作为国网边界ASBR的NE40设备是放置在省中心机房、与省网ASBR背靠背连接，因此是通过以太链路互连的。实际组网环境中，2台国网边界的NE40设备与国网内部PE设备应当是通过POS链路互连，当前为了简化组网环境，用1台AR46模拟国网内部PE设备，AR46和2台NE40间通过以太链路互连。2.2.2 省网边界&省级核心省网边界部署2台SR88作ASBR、互为备份，上行分别通过1条以太链路与国网ASBR互连；2台SR88同时作为省网的省级核心设备、互为备份；一方面分别通过1条以太链路与省级城域网的S9500设备互连，将省级城域网接入省级电子政务广域网；另一方面，省级核心主用设备SR88-4通过POS链路与下端的地市核心SR66-7、SR66-8互连，省级核心备用设备SR88-5通过N*2M链路与地市核心SR66-7、SR66-8互连。2.2.3 省级城域网本次解决方案主要关注省级电子政务广域网部分，为简化组网环境，部署1台S9500设备模拟省级城域网，分别通过1条以太链路与省级核心的2台SR88设备互连。2.2.4 地市核心省网中各地市核心分别部署1台SR66，其中一个地市核心的SR66-7设备上行通过1条POS链路连接省级核心主用设备SR88-4，通过N*2M链路连接省级核心备用设备SR88-5，下行分别通过1条2M链路连接本地市所属各区县的广域网节点设备MSR-10、MSR-11；另一地市核心的SR66-8设备上行通过1条POS链路连接省级核心主用设备SR88-4，通过N*2M链路连接省级核心备用设备SR88-5，下行则通过1条以太链路与地市城域网设备S7500E互连。2.2.5 地市城域网本次解决方案主要关注省级电子政务广域网部分，为简化组网环境，部署1台S7500E设备模拟地市城域网，通过1条以太链路与地市核心SR66-8设备互连。2.2.6 区县节点地市下属各区县广域网节点部署MSR设备，通过1条2M链路上连地市核心SR66设备。2.3 业务部署2.3.1 公网OSPF国网和省网分属于不同的自治系统，因此国网设备和省网设备分别部署在各自的OSPF进程中。AR46-1、NE40-2及NE40-3间的Link-1-2、Link-1-3、Link-2-3链路部署在国网OSPF进程的area 0中。省网OSPF进程中，SR88-4、SR88-5、S9500、SR66-7及SR66-8间的Link-4-5、Link-4-6、Link-5-6、Link-4-7、Link-4-8、Link-5-7、Link-5-8链路部署在area 0；SR66-7、MSR-10及MSR-11间的Link-7-10、Link-7-11链路部署在area 1；SR66-8和S7500E间Link-8-9链路部署在area 2；在实际组网环境中，各省网都会有多个地市核心，则各地市核心下行部分链路依次部署在area 1n。2.3.2 BGP/MPLS VPN电子政务外网是政府的业务专网，主要运行政府各职能部门面向社会的专业性服务业务和不需在内网上运行的业务。考虑到安全性，各政府职能部门间的业务需要相互隔离；考虑到合作性和公众服务性，各政府职能部门间以及电子政务外网与Internet间又需要在受控方式下达到一定程度的互访。综合考虑，BGP/MPLS VPN技术最能适应这种业务需求。同时，考虑到政府职能部门的层级结构以及业务模型，在电子政务广域网中部署HOPE技术将能够充分发挥各层级网络设备的性能，保护用户的投资效益。因国网和省网分属于不同的自治系统，为了能够在两网间互传私网路由，需要在国网ASBR（NE40）和省网ASBR（SR88）间部署BGP/MPLS VPN的A类跨域或B类跨域方式；考虑到本方案组网环境中跨域互通的VPN数量较多，若采用A类跨域方式，配置工作量大且会消耗大量IP地址资源和ASBR的系统资源，所以在本方案组网环境中建议国网ASBR和省网ASBR间部署B类跨域方式。当跨域互通的VPN数量较少时可考虑采用A类跨域方式，部署比较简单。省网内部署HOPE，省级核心SR88作为SPE，汇聚省级城域网S9500和各地市核心SR66设备上传的私网路由，并为它们下发私网默认路由。省级城域网S9500设备作为省级核心SR88设备的UPE。地市核心SR66设备则作为MPE，一方面作为省级核心SR88设备的UPE；另一方面作为SPE，汇聚地市城域网S7500E和各区县节点MSR设备上传的私网路由，并为它们下发私网默认路由。地市城域网S7500E设备和各区县节点MSR设备作为各地市核心SR66设备的UPE。2.3.3 QoS在省网中的UPE设备的私网接口上，根据不同业务类型对应的IP五元组/DSCP/IP Preference为各种数据流进行流分类操作，并打上相应的优先级标记；根据流分类结果将相应的优先级标记映射到公网MPLS标签的EXP字段中；根据流分类和优先级分配的结果对不同的业务数据流进行CAR流量限速操作。在UPE设备的公网接口上可根据需要在公网接口上对VPN数据流进行GTS流量整形操作。MPE和SPE设备上，信任UPE设备上传数据报文中的EXP字段值，并据此在数据流的入接口上对不同的业务数据流进行CAR流量限速操作，在出接口上进行PQ优先级调度和拥塞避免操作。2.3.4 可靠性双向转发检测(BFD)IP网络在设计上无法在不到1秒的时间内恢复故障，实时业务对故障检测和恢复提出了电信级的要求。双向转发检测（BFD）技术可以将故障检测与恢复速度提高到毫秒级。BFD协议通过定期发送基于数据报协议(UDP)层的故障检测数据包，不但可以检测和判断传输链路、光接口和设备端口的中断故障，还可以检测和判断传输层、链路层、IP层和应用层存在的误码、丢包等软故障，弥补了现今基于SDH故障检测只能实现传输层故障检测的不足。目前BFD最小检测间隔是10 ms，连续3次检测到故障，就判断链路故障，也就是30 ms就可以检测和判断故障。任何需要维护邻居关系的通信协议都可以通过在相邻设备见建立一个BFD Session来快速获取链路故障信息。本方案中，通过在除MSR外的省网设备间的链路上部署BFD for OSPF来加速公网路由的收敛，减少因链路或节点故障导致的数据传输中断的恢复时间。平滑重启（Graceful Restart）Graceful Restart（GR）是一种控制路由器主控板主备倒换或路由协议重启影响最小化的机制，其目的是在重新建立网络邻接关系的过程中保证转发平面的持续性并尽量减少因路由器或协议重启导致的路由抖动、减少路由计算资源和网络带宽资源的浪费。当配置了GR的其中一台路由器的主控板发生主备倒换导致路由协议会话中断时，对端路由器不会删除相关的路由条目，而是将相关路由条目在路由表中保存一段时间，待故障路由器主备倒换完毕、会话重新建立后，再重新交互路由信息。这样就可以降低路由器主备倒换或路由协议故障重启引发的路由泛洪对网络产生的负面影响。本方案中，在全网OSPF peer间、BGP peer间（跨域EBGP peer间除外，原因详见下文注意事项7）以及LDP会话的peer间部署GR特性以减少网络中路由抖动和泛洪的频率，提高网络的可靠性和稳定性。3 电子政务外网注意事项及建议1 NE40使用脚本进行大量VPN实例（200个OSPF多实例进程）配置过程中会出现CPU利用率100，SR88没问题；2 NE40不同license对设备性能有限制；3 SR66上同时配备FIP-200和FIP-100线卡时，整机性能会低于全部配备FIP-200线卡的情况；4 S9500上，在配置200个MPLS VPN的过程中同时与其他PE设备进行私网路由交互、更新（每个VPN大概400条私网路由），出现无法创建VLAN、无法向FIB下发路由信息等错误，须重启路由器方可恢复；5 在双链路上行的组网中，上、下层级设备如果同时配置BGP RR特性，为避免出现BGP路由环路，建议为每个BGP反射器配置cluster-id；6 建议在相同VPN instance的不同Site上配置不同的RD值；7 NE40当前版本都只支持静态BFD，且只能和ISIS/VRRP联动，所以不能在NE40和SR88/SR66间部署BFD；8 当前版本NE40不支持BGP vpnv4 GR能力，我们设备没问题；9 SR88设备的BFD报文走QoS的7队列，如果有其他数据报文也走7队列，就可能将BFD报文冲掉，从而会导致协议震荡，在网络规划时应该避免数据流量走7队列；10 建议IBGP peer间不部署BFD for BGP，只在EBGP peer间部署BFD for BGP，否则如果IGP收敛时间过长会导致BGP邻居中断，从而导致更长时间的断流；11 S9500/S7500E设备不支持BFD；12 S9500不支持LDP/BGP GR；13 S9500/S7500E无法针对MPLS EXP字段进行QoS操作；4 产品和版本信息产 品产 品 版 本SR88Comware Software, Version 5.20, Release 3121P02Comware Platform Software Version COMWAREV500R002B43D304H3C SR8800 Software Version SR8800V300R001B02D006SP03SR66Comware Software, Version 5.20, B2111Comware Platform Software Version COMWAREV500R002B43D005H3C SR6608 Software Version V200R001B01D019S9500Comware Software, Version 3.10, Release 1632P07Comware Platform Software Version COMWAREHZV300R001B10D015SP12H3C S9505 Software Version V100R006B01D015SP12H3C S9505 Product Version S9500-CMW310-R1632P07(EI).S7500EComware Software, Version 5.20, Ess 6200Comware Platform Software Version COMWAREV500R002B46D001H3C S7503E Software Version V600R002B01D046SP02 MSRComware Software, Version 5.20, Beta 1608, StandardComware Platform Software Version COMWAREV500R002B47D001H3C MSR30-40 Software Version V300R002B03D008iMC MVM智能管理平台 3.20-E0301 V300R002B03D005告警管理组件 3.20-E0301 V300R002B03D005性能管理组件 3.20-E0301 V300R002B03D005网元组件 3.20-E0301 V300R001B05D028MPLS VPN管理组件 3.20-E0301 V300R002B03D002表1 广域数据通信网解决方案V300R001B01D002版本产品及版本列表5 电子政务外网特性部署配置说明5.1 国网边界NE40# sysname NE40-2#/*配置路由协议使用的router-id值，建议配置为loopback接口地址*/router id 100.0.0.2#/*配置VPN实例*/ip vpn-instance gw1 route-distinguisher 100.0.0.2:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity#ip vpn-instance gw2 route-distinguisher 100.0.0.2:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity#/*进行MPLS和MPLS LDP能力基础配置，并配置LDP GR特性*/mpls lsr-id 100.0.0.2#mpls#mpls ldpgraceful-restart#/*在与SR88-4互通的链路接口上配置IP地址及MPLS转发能力，目前设备均默认为PHP模式，即倒数第二跳弹出外层标签，因此B类跨域方式下接口无需配置MPLS LDP能力*/interfaceGigabitEthernet3/1/4 undo shutdown ip address 202.2.4.2 255.255.255.0 mpls#/*在与国网内部设备互连的接口上配置IP地址和MPLS、MPLS LDP能力*/interface GigabitEthernet3/1/5 undo shutdown ip address 202.1.2.2 255.255.255.0 mpls mpls ldp#interface GigabitEthernet3/1/6 undo shutdown ip address 202.2.3.2 255.255.255.0 mpls mpls ldp#/*配置loopback接口用作路由协议router-id，或在BGP peer建连时用作源接口*/interface LoopBack1 ip address 100.0.0.2 255.255.255.255#/*配置BGP相关基本参数、GR特性及VPNV4路由交互能力*/bgp 100 /*配置BGP GR特性*/ graceful-restart peer 202.2.4.2 as-number 200 group gw_internal internal peer gw_internal connect-interface LoopBack1 peer 100.0.0.1 as-number 100 peer 100.0.0.1 group gw_internal# ipv4-family unicast undo synchronization peer 202.2.4.4 enable peer gw_internal enable peer 100.0.0.1 enable peer 100.0.0.1 group gw_internal # /*配置BGP VPNV4路由交互相关参数*/ ipv4-family vpnv4 default local-preference 200 policy vpn-target peer 202.2.4.4 enable peer gw_internal enable peer 100.0.0.1 enable peer 100.0.0.1 group gw_internal # ipv4-family vpn-instance gw1 # ipv4-family vpn-instance gw2#/*配置OSPF路由协议，进行国网内公网路由交互*/ospf 1 /*配置OSPF GR能力*/ enable link-local-signaling enable out-of-band-resynchronization graceful-restart opaque-capability enable /*将相关链路加入到OSPF路由网络中*/area 0.0.0.0 network 100.0.0.1 0.0.0.0 network 202.1.2.0 0.0.0.255 network 202.2.3.0 0.0.0.255#5.2 省网边界&省级核心SR88#sysname SR88-4#/*配置路由协议使用的router-id值，建议配置为loopback接口地址*/router id 100.0.0.4#/*配置VPN实例*/ip vpn-instance sw1 route-distinguisher 100.0.0.4:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity#ip vpn-instance sw2 route-distinguisher 100.0.0.4:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity#/*进行MPLS和MPLS LDP能力基础配置，并配置LDP GR特性*/mpls lsr-id 100.0.0.4#mpls#mpls ldpgraceful-restart#/*配置QoS优先级映射，将入方向优先级为5的报文映射到出方向优先级6队列（即EF队列）；SR88设备的QoS配置相对比较复杂，其他更多内容请参阅SR88配置手册的QoS部分*/qos map-table inbound up-up import 5 export 6#/*配置loopback接口用作路由协议router-id，或在BGP peer建连时用作源接口*/interface LoopBack1 ip address 100.0.0.4 255.255.255.255#/*在与SR88-5互连的接口上配置IP地址、MPLS及MPLS LDP能力，启用OSPF BFD特性*/interface GigabitEthernet3/1/1 port link-mode route ip address 202.4.5.4 255.255.255.0 ospf bfd enable mpls mpls ldp#/*在与S9500-6互连的接口上配置IP地址、MPLS及MPLS LDP能力*/interface GigabitEthernet3/1/2 port link-mode route ip address 202.4.6.4 255.255.255.0 mpls mpls ldp#/*在与SR66-8互连的接口上配置IP地址、MPLS及MPLS LDP能力，启用OSPF BFD特性*/interface Pos3/1/3 port link-mode route ip address 202.4.8.4 255.255.255.0 ospf bfd enable mpls mpls ldp#/*在与SR66-7互连的接口上配置IP地址、MPLS及MPLS LDP能力，启用OSPF BFD特性；并根据入报文的优先级进行优先级队列调度*/interface Pos3/1/7 port link-mode route ip address 202.4.7.4 255.255.255.0 ospf bfd enable mpls mpls ldp qos trust auto#/*在与NE40-2互连的接口上配置IP地址、MPLS能力；目前设备均默认为PHP模式，即倒数第二跳弹出外层标签，因此B类跨域方式下接口无需配置MPLS LDP能力*/interface GigabitEthernet3/1/8 port link-mode route ip address 202.2.4.4 255.255.255.0 mpls#/*配置BGP相关基本参数、GR特性及VPNV4路由交互能力*/bgp 200 undo synchronization /*配置BGP GR特性*/ graceful-restartpeer 202.2.4.2 as-number 100 group sw_internal internal peer sw_internal connect-interface LoopBack1 peer 100.0.0.7 group sw_internal peer 100.0.0.8 group sw_internal peer 100.0.0.6 group sw_internal # /*配置BGP VPNV4路由交互相关参数*/ ipv4-family vpnv4 default local-preference 200 peer 202.2.4.2 enable peer sw_internal enable /*配置对等体组中的成员为UPE，即将设备配置成SPE，指定下端S9500-6、SR66-7和SR66-8为UPE设备，并为对等体组中的成员下发VPN sw1和sw2的私网默认路由*/ peer sw_internal upe peer sw_internal default-route-advertise vpn-instance sw1 peer sw_internal default-route-advertise vpn-instance sw2 peer 100.0.0.6 enable peer 100.0.0.6 group sw_internal peer 100.0.0.7 enable peer 100.0.0.7 group sw_internal peer 100.0.0.8 enable peer 100.0.0.8 group sw_internal # ipv4-family vpn-instance sw1 # ipv4-family vpn-instance sw2#/*配置OSPF路由协议，进行省网内公网路由交互*/ospf 1 /*配置OSPF GR能力*/opaque-capability enable graceful-restart ietf /*将相关链路加入到OSPF路由网络中*/area 0.0.0.0 network 100.0.0.4 0.0.0.0 network 202.4.6.0 0.0.0.255 network 202.4.7.0 0.0.0.255 network 202.4.8.0 0.0.0.255 network 202.4.5.0 0.0.0.255#/*如果需要在SR66至SR88方向上建立MPLS TE隧道对指定VPN的数据流进行保护，可以增加以下斜体加粗部分配置*/#/*配置MPLS TE基本能力*/mpls mpls te mpls rsvp-te mpls te cspf#/*在相关接口上配置MPLS TE参数并启用MPLS TE能力*/interface GigabitEthernet3/1/1 port link-mode route ip address 202.4.5.4 255.255.255.0 ospf bfd enable mpls mpls te mpls te max-link-bandwidth 100000 mpls te max-reservable-bandwidth 5000 mpls ldp mpls rsvp-te#interface GigabitEthernet3/1/7 port link-mode route ip address 202.4.7.4 255.255.255.0 ospf bfd enable mpls mpls te mpls te max-link-bandwidth 100000 mpls te max-reservable-bandwidth 5000 mpls ldp mpls rsvp-te#/*配置OSPF路由协议的MPLS TE能力*/ospf 1 opaque-capability enable area 0.0.0.0 network 100.0.0.4 0.0.0.0 network 202.4.6.0 0.0.0.255 network 202.4.7.0 0.0.0.255 network 202.4.8.0 0.0.0.255 network 202.4.5.0 0.0.0.255 mpls-te enable#5.3 地市核心SR66# sysname SR66-7#/*配置qos pq列表，将exp值为5的报文放入top队列中（即优先级最高的队列）*/ qos pql 1 protocol mpls exp 5 queue top#/*配置路由协议使用的router-id值，建议配置为loopback接口地址*/ router id 100.0.0.7# mpls lsr-id 100.0.0.7#/*配置VPN实例*/ip vpn-instance sw1 route-distinguisher 100.0.0.7:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity#ip vpn-instance sw2 route-distinguisher 100.0.0.7:2 vpn-target 100:2 export-extcommunity vpn-target 100:2 import-extcommunity#/*进行MPLS和MPLS LDP能力基础配置，并配置LDP GR特性*/mpls #mpls ldp graceful-restart#/*配置E1链路使用透明2M的模式*/controller E1 2/1/0 using e1#controller E1 2/1/1 using e1#controller E1 2/1/2 using e1#controller E1 2/1/3 using e1#controller E1 2/1/4 using e1#controller E1 2/1/7 using e1#/*在与MSR-10互连的接口上配置IP地址、MPLS及MPLS LDP能力*/interface Serial2/1/0:0 link-protocol ppp ip address 202.7.10.7 255.255.255.0 mpls mpls ldp#/*将2/1/1:02/1/4:0这4个2M接口配置为ppp multilink模式*/interface Serial2/1/1:0 link-protocol ppp ppp mp Mp-group 2/1/1#interface Serial2/1/2:0 link-protocol ppp ppp mp Mp-group 2/1/1#interface Serial2/1/3:0 link-protocol ppp ppp mp Mp-group 2/1/1#interface Serial2/1/4:0 link-protocol ppp ppp mp Mp-group 2/1/1#/*在与MSR-11互连的接口上配置IP地址、MPLS及MPLS LDP能力*/interface Serial2/1/7:0 link-protocol ppp ip address 202.7.11.7 255.255.255.0 mpls mpls ldp#/*配置loopback接口用作路由协议router-id，或在BGP peer建连时用作源接口*/interface LoopBack1 ip address 100.0.0.7 255.255.255.255#/*在与SR88-5互连的多链路捆绑接口上配置IP地址、MPLS及MPLS LDP能力，并启用OSPF BFD特性*/interface Mp-group2/1/1 ip address 202.5.7.7 255.255.255.0 ospf bfd enable mpls mpls ldp#/*在与SR88-4互连的接口上配置IP地址、MPLS及MPLS LDP能力，启用OSPF BFD特性；并根据已定义的pq列表对匹配的报文进行优先级调度*/interface Pos4/1/2 ip address 202.4.7.7 255.255.255.0 ospf bfd enable mplsmpls ldpqos pq pql 1#/*配置BGP相关基本参数、GR特性及VPNV4路由交互能力*/bgp 200 undo synchronization /*配置BGP GR特性*/ graceful-restart group sw_internal internal peer sw_internal connect-interface LoopBack1 peer 100.0.0.4 group sw_internal peer 100.0.0.4 bfd peer 100.0.0.5 group sw_internal peer 100.0.0.5 bfd group upe internal peer upe connect-interface LoopBack1 peer 100.0.0.10 group upe peer 100.0.0.11 group upe # /*配置BGP VPNV4路由交互相关参数*/ ipv4-family vpnv4 peer sw_internal enable peer 100.0.0.4 enable peer 100.0.0.4 group sw_internal peer 100.0.0.5 enable peer 100.0.0.5 group sw_internal peer upe enable /*配置对等体组中的成员为UPE，即将设备配置成SPE，指定下端MSR-10和MSR-11为UPE设备，并为对等体组中的成员下发VPN sw1和sw2的私网默认路由*/ peer upe upe peer upe default-route-advertise vpn-instance sw1 peer upe default-route-advertise vpn-instance sw2 peer 100.0.0.10 enable peer 100.0.0.10 group upe peer 100.0.0.11 enable peer 100.0.0.11 group upe # ipv4-family vpn-instance sw1 # ipv4-family vpn-instance sw2#/*配置OSPF路由协议，进行省网内公网路由交互*/ospf 1 /*配置OSPF GR能力*/ opaque-capability enable graceful-restart ietf /*将相关链路加入到OSPF路由网络中*/ area 0.0.0.0 network 202.5.7.0 0.0.0.255 network 202.4.7.0 0.0.0.255 network 100.0.0.7 0.0.0.0 area 0.0.0.1 network 202.7.10.0 0.0.0.255 network 202.7.11.0 0.0.0.255#/*如果需要在SR66至SR88方向上建立MPLS TE隧道对指定VPN的数据流进行保护，可以增加以下斜体加粗部分配置*/#/*配置MPLS TE基本能力*/mpls mpls te mpls rsvp-te mpls te cspf#/*在相关接口上配置MPLS TE参数并启用MPLS TE能力*/interface GigabitEthernet4/1/0 ip address 202.4.7.7 255.255.255.0 ospf bfd enable mpls mpls te mpls te max-link-bandwidth 100000 mpls te max-reservable-bandwidth 5000 mpls ldp mpls rsvp-te#interface Mp-group2/1/1 ip address 202.5.7.7 255.255.255.0 ospf bfd enable bfd min-transmit-interval 200 mpls mpls te mpls te max-link-bandwidth 100000 mpls te max-reservable-bandwidth 1000 mpls ldp mpls rsvp-te/*配置OSPF路由协议的MPLS TE能力*/ospf 1 opaque-capability enable area 0.0.0.0 network 202.5.7.0 0.0.0.255 network 202.4.7.0 0.0.0.255 network 100.0.0.7 0.0.0.0 mpls-te enable area 0.0.0.1 network 202.7.10.0 0.0.0.255 network 202.7.11.0 0.0.0.255#/*配置MPLS TE隧道Tunnel接口并配置MPLS TE相关参数*/interface Tunnel3/0/0 ip address 203.4.7.7 255.255.255.0 tunnel-protocol mpls te destination 100.0.0.4 ospf cost 1 mpls te tunnel