for customergbss15.1特性01-cn基站om通道自建立sran

1、2013-09-2013-09-。您。您总部办公：客户服务邮箱：i文档介范目标读变更信概定增应用的组网场文档介范目标读变更信概定增应用的组网场OM通道协议非IPsec组网场景下的OM 通道协议IPsec组网场景下的OM 通道协议获取传输配置的原OM通道的传输模DHCP介DHCPC nt 和DHCPDHCP流获取DHCP报文的VLAN方3.3 的OM通道自建3.3.1 概在非IPsec组网场景下的OM 通道自建在IPsec组网场景一下的OM 通道自建在IPsec组网场景二下的OM 通道自建在IPsec组网场景三下的OM 通道自建3.4 的OM通道自建OM通道组网介OM通道自建立流DHCPServ

2、er配置要网络设备配置要OM通道自建立应用限和网络设备的配置要3.5.2M2000部署形态对PnP开站的影4 ATMOM 通道自建3.5.2M2000部署形态对PnP开站的影4 ATMOM 通道自建4.1 概BOOTP流端口侦端口配建立PVC并发起BOOTP请RNC 返回BOOTP响应IPoA 配4.3 配置指5 TDM OM 通道自建5.1 概TDM探测流发送L2ML建链请保存探测信6 参7 性能指8 术9 参考文1 11.1 WRFD-031100 LOFD-002004Self-configuration LOFD-002004Self-configuration1.2 l1.3 l1

3、11.1 WRFD-031100 LOFD-002004Self-configuration LOFD-002004Self-configuration1.2 l1.3 ll01 (2013-09-11 Draft A (2013-07-与SRAN8.002(2013-06-30)2增加DHCP Server数据与描述，请参见DHCP Server配置要求1 Draft A (2013-07-与SRAN8.002(2013-06-30)2增加DHCP Server数据与描述，请参见DHCP Server配置要求。l 将原第37章归类l 将原第8章标题“BOOTP”改为4 基于ATMOMl 将原

4、第9章标题“TDM探测”改为5 基于TDM的基l 将原第10章“工程指导”移到4.3 2 22.1 信lll2 22.1 信llll说和分离主控多。共主控多分离主控多eNodeB。、32 2-1OM l基本的传输配置信息，包括OMIP地址、OMVLANID、接口IP地址、接口IP地址掩码、下一跳网关IP地址、M2000 /BSC IP地址、M2000 /BSC IP地址掩码。l2 2-1OM l基本的传输配置信息，包括OMIP地址、OMVLANID、接口IP地址、接口IP地址掩码、下一跳网关IP地址、M2000 /BSC IP地址、M2000 /BSC IP地址掩码。lCA IP地址、CA、C

5、APath，以及SeGW信息，即SeGWIP地址和SeGW需要与其他设备通过运营商CA才需获取运营商CA关获取上述传输配置信息的原理，请参见获取传输配置的原理2.2 2.3 42 2-1OM 说5TDM2 2-1OM 说5TDMIP模式下，非IPsec所有报文，包括报钟报文不受IPsec保护。IP模式下，IPsec安全（IPsec组网场景一 3.1 OM 与3.1.1IPsecOM 3-1eGBTS、NodeB、eNodeB3.1 OM 与3.1.1IPsecOM 3-1eGBTS、NodeB、eNodeBM2000OM TCP协议和SSL（SecureSocketsLayer）协议上。其中，

6、SSL建立另外， 者6与间通道协议栈如图3-23-2GBTS BSCOM 与后，BSC与间通道协议栈如图3-23-2GBTS BSCOM 与后，BSC3.1.2IPsecOM3-3IPsecOM 协议栈如图3-4与通道协议栈如图3-573-5GBTSBSCOM通道协议栈（IPsec组网场景说是否支持IPsecIPsec的数据受IPsec保护。3-5GBTSBSCOM通道协议栈（IPsec组网场景说是否支持IPsecIPsec的数据受IPsec保护。IPsec是ernet Engineering 会使用如下两种源、目的IPl非安全域内的IP即安全域内的IPl8即 地址与安全域内的DHCP服务器通

7、信）。具体流程请参见3.3.3 在IPsec组网场景一下的OM通道自建立和3.3.4 通道自建立IP运营商使用IPsec 的管理等的详细描述，请参见SingleRAN PKI即 地址与安全域内的DHCP服务器通信）。具体流程请参见3.3.3 在IPsec组网场景一下的OM通道自建立和3.3.4 通道自建立IP运营商使用IPsec 的管理等的详细描述，请参见SingleRAN PKI特性参数描述。 说的详细信息，请参考3900系通信矩阵和DHCPServer间与与BSC Protocol）从FTP描述，请参见3.2.1 OM IPoverFE/GE IP over 3.2.2 DHCP DHCP

8、 没有配置任何数据，无法与网络中的其它设备进行IP9l一跳网关IP地址、M2000/BSC IP地址、M2000 /BSC IP地址掩码。l时，还需获取运营商CA信息，包含：CAname、CA采用的传输协议（HTTP、CAPathll一跳网关IP地址、M2000/BSC IP地址、M2000 /BSC IP地址掩码。l时，还需获取运营商CA信息，包含：CAname、CA采用的传输协议（HTTP、CAPathlname主机动态配置的协议，实现了配置参数的分配和分发。DHCP 协议采用C nt/Server 模lDHCPC nt，是指利用DHCPDHCPServer，是指给DHCPC ntDHCP

9、 Relay Agent，是指在DHCP Server和DHCP C nt间传输DHCP报文的设备。当DHCPC nt和DHCPServer不在同一广播域时，DHCPServer和DHCPC nt间需要部署DHCP Relay Agent。当DHCP 交互过程中，DHCPServer和DHCPRelayAgent侦听UDPDHCPDHCP 如果DHCP C3-6DHCP工作原理（DHCP RelayAgent 参与的场景DHCP Cnt启动后，广播DHCPDISCOVER报文，以查找可用的DHCPServer。 DHCPDISCOVER报文中会携带DHCP CDHCP Server发送DHCP

10、OFFER报文给DHCP CDHCP Cnt发送DHCPREQUEST报文给某DHCP Server，请求IP地址等参数。DHCPServer发送DHCPACK报文给DHCPnt，分配IP地址等参数DHCP Server发送DHCPOFFER报文给DHCP CDHCP Cnt发送DHCPREQUEST报文给某DHCP Server，请求IP地址等参数。DHCPServer发送DHCPACK报文给DHCPnt，分配IP地址等参数给DHCPServer，通知DHCPServer如果DHCPServer分配的参数不再被使用，则DHCPC nt发送DHCPRELEASE报文他DHCP C nt。在DH

11、CPCnt与DHCP Server间不能直接进行广播通信时，需要在DHCP C播域内启动DHCP Relay Agent功能（一般在网关上开启），协助DHCP C 3-7 DHCP工作原理（DHCP Relay Agent参与的场景DHCP 3-8 DHCP说图3-8l的接口IPl承载DHCPRelayAgent的IP3-8 DHCP说图3-8l的接口IPl承载DHCPRelayAgent的IPoptionl 的大部分配置信息都承载在option 4343option43中的subcode1承载了由于option43的长度有限，在SRAN8.0及以后版本，option224也用来承载私关于DH

12、CP的详细描述，参见RFC2131DynamicHostConfigurationProtocol(DHCP)RFC2132DHCPOptionsandBOOTPVendor3.2.3 DHCP nt DHCP 在本文中，DHCPnt对应的DHCPServer如表3-13-1 DHCP Server说DHCPServer和M2000可能部署在同一个硬件上，但DHCPServer和M2000是不同的逻辑通信实体。因此本文将分开进行描述DHCP Server和M2000。DHCPServer与控制器能位于同一L2网络；由于option43的长度有限，在SRAN8.0及以后版本，option224也

13、用来承载私关于DHCP的详细描述，参见RFC2131DynamicHostConfigurationProtocol(DHCP)RFC2132DHCPOptionsandBOOTPVendor3.2.3 DHCP nt DHCP 在本文中，DHCPnt对应的DHCPServer如表3-13-1 DHCP Server说DHCPServer和M2000可能部署在同一个硬件上，但DHCPServer和M2000是不同的逻辑通信实体。因此本文将分开进行描述DHCP Server和M2000。DHCPServer与控制器能位于同一L2网络；DHCPServer部署在，被 只能处理被DHCPRelayA

14、gent转发的DHCP DHCPServer当与DHCPServer不在同一L2网络时，必须部署DHCPRelayAgent。在部署RelayAgentl在 的DHCP Server IP地址。对GBTS、NodeB来说，控制器也能作为DHCP Relay Agent。但是控制器的同一个端口不能同时作为DHCPRelayAgent和DHCPServer。如果控制器作为DHCP Server或者DHCP Relay Agent，则与其连接的所有GBTS、 NodeB都以该控制器为DHCP Server或者DHCP Relay Agent。l DHCP Server的部DHCPServer的部DH

15、CP Server。DHCPServerAgent，则意味着连接到该端口下所有的eGBTS和NodeB都以该端口为DHCP Relay 的DHCPServer的DHCPServer的IPADD DHCPRLY: DHCPRLYID=1, DHCPRLYGATEWAYIP=.1, /开启控制器的DHCP Relay Agent功能。此时管理控制器的M2000的DHCP ServerADDDHCPRLY:DHCPRLYID=1,DHCPRLYGATEWAYIP=.1,DHCPSRVISEMSIP=No, 的DHCP说控制器的一个端口不能同时做DHCPRelayAgent和DHCPServerl的D

16、HCPServer的下一跳网关上开启DHCPAgent，则意味着连接到该端口下所有的eGBTS和NodeB都以该端口为DHCP Relay 的DHCPServer的DHCPServer的IPADD DHCPRLY: DHCPRLYID=1, DHCPRLYGATEWAYIP=.1, /开启控制器的DHCP Relay Agent功能。此时管理控制器的M2000的DHCP ServerADDDHCPRLY:DHCPRLYID=1,DHCPRLYGATEWAYIP=.1,DHCPSRVISEMSIP=No, 的DHCP说控制器的一个端口不能同时做DHCPRelayAgent和DHCPServerl

17、的DHCPServer的下一跳网关上开启DHCPRelayAgent功能，且在下一跳网关上配置DHCP l当上配置DHCPRelayAgent的DHCPServer的IP令SET DHCPRELAYSWITCH，设置参数ES为ENABLE，以开启DHCP Relay Agent功能。再通过执行MML命令ADDDHCPSVRIP，设置参数DHCPSRVIP为下级的DHCPServerIP地址。且最多允许配置4个DHCPServerIPSET DHCPRELAYSWITCH: 的DHCP Relay AgentADD DHCPSVRIP: 也可以作为同一L2l的DHCPRelayAgent。相应的

18、,站也需要开启DHCP Relay Agent功能,并配置其他的DHCPServer的IP地址。配3.2.4 DHCP 与DHCPServer交互DHCP报文时，DHCPServer站标识来查找和下发对应的配置。与SRAN8.0及以后版本配套M2000以（ESN或（DIDBBU的框TopoSlot）M2000，以（ESNNEType）或者（DIDNEType）l 的ESN自动上报ESNl l系。使用（DID + BBU的框Topo）可以唯一确定一个BBU框。llNEType的ESN。如果以（DIDBBU的框TopoSlot）作为说l系。使用（DID + BBU的框Topo）可以唯一确定一个BB

19、U框。llNEType的ESN。如果以（DIDBBU的框TopoSlot）作为说公共DHCPServer下 TopoSlot）IPsecDHCPRelayAgent当DHCPC nt与DHCPServer在同一个L2网络中时，DHCPC nt与DHCPServer可以直网络中无需部署DHCPRelayAgent获取配置的流程如图3-93-9 DHCP Relay Agent 据。DHCPRelayAgent当DHCP 的下一跳网关上的DHCPRelayAgent转发DHCP时，DHCP Relay Agent必须和DHCP Cnt位于同一L2网络，DHCPServer位于L3网络。时，DHCP

20、 Relay Agent必须和DHCP Cnt位于同一L2网络，DHCPServer位于L3网络。网络中部署了DHCPRelayAgent时获取配置流程如图3-10所示3-10 DHCP Relay AgentDHCPRelayAgent Agent上配置的DHCPServer。DHCPServer对DHCP请求做应答时，将DHCP报文单播发送给DHCP Relay Agent。最后，DHCP Relay Agent在L2网络内广播该报文。IPsec在IPsec组网场景下，安全域中的DHCPServer可以受IPsec保护，也可以不受IPsec保护。在受IPsec保护场景下，非安全域中还必须额

21、外部署一个公共DHCPServer。此IPsec组网3-11IPsecOM 在图3-11两次获取传输配置的流程如图3-123-12 IPsec2 地址、SeGWIP，还获取CAIP地址等。此过程简称为“第一次DHCP与SeGW间协商IKESA、IPsecSA，进而建立IPsec。3-12 IPsec2 地址、SeGWIP，还获取CAIP地址等。此过程简称为“第一次DHCP与SeGW间协商IKESA、IPsecSA，进而建立IPsec。 安全域的OMDHCP流程有差异，其详细信息请参见“从M2000内置DHCPServer获取正式传输 自定义的DHCPoption共DHCPServer只能从IP

22、地址池中选择一个IP中，M2000内置DHCPServer直接根据当从M2000内置DHCPServer获取配置后，不再需要公共DHCPServer 配置的流程如图3-133-说3.2.5 DHCP VLANVLAN发送的报文需要携带VLANID。在OM前， 3-说3.2.5 DHCP VLANVLAN发送的报文需要携带VLANID。在OM前， VLANID的DHCP报文，并与DHCPServer报文的VLAN-ID，并记入PnP VLAN-ID列表。SRAN8.0及以后版本方案如表3-23-2VLAN 1否方案方案 。即 或主 该报文携带的VLANIDl方案1方案2，即部署在M2000上的D

23、HCPServer周期发送DHCPOffer的非安全域接口IP方案 。即 或主 该报文携带的VLANIDl方案1方案2，即部署在M2000上的DHCPServer周期发送DHCPOffer的非安全域接口IP址，从而触2是3是DHCPServer向方案4是方案5是方案3不发带有VLANID的DHCP报文，L2VLAN方案1适用于表3-2所示的场景1和场景23-14和图3-153-143不发带有VLANID的DHCP报文，L2VLAN方案1适用于表3-2所示的场景1和场景23-14和图3-153-14OM IPsecVLAN 总体流程（向的，网关需要获取目的IP确的VLANID。该VLANID可能

24、网关附上，也可能由L2网络附上ARP报文中的VLANIDID的DHCP报文才能到达DHCPRelayAgent3-15OM IPsecVLAN 总体流程（向 3-15OM IPsecVLAN 总体流程（向 时，会携带正确的ID。该VLANID网关附上，也可能由L2发给它的ARP报文中的VLAN ID。ID的DHCP报文才能到达DHCPRelayAgentVLAN方案23-16VLAN 流程（网关需要获取目的IPVLANID。该VLANID发给它的ARP报文中的VLANID。网关附上，也可能由L2 网关需要获取目的IPVLANID。该VLANID发给它的ARP报文中的VLANID。网关附上，也可

25、能由L2 ID的DHCP报文才能到达DHCPRelayAgentVLAN方案33-17VLAN 流程（发送不带VLANID的DHCP到 网络中转发至DHCPRelayAgent，最终到达DHCPServerVLAN方案43-18VLAN 流程（的非安全域接口IP所在网段的某个IP报发时，会携带正确的VLANID发给它的ARP报文中的VLAN ID。尝试以所下来的VLAN3-18VLAN 流程（的非安全域接口IP所在网段的某个IP报发时，会携带正确的VLANID发给它的ARP报文中的VLAN ID。尝试以所下来的VLANID发送DHCP报文。最终，只有携带了正确VLAN的DHCP报文才能到达DH

26、CPRelayAgent打开/VLAN 过SET DHCPSW命令，在远端或近端打开或关闭VLAN扫描功能。l输入MML命令SETDHCPSW：设置SWITCH为ENABLE，VLANSCANSWENABLE输入MML命令SETDHCPSWSWITCH为ENABLE，VLANSCANSWl说SET DHCPSW命令用于VLAN3.3 OM 说SET DHCPSW命令用于VLAN3.3 OM 3.3.1 安全域。根据各种网元在安全域和非安全域的分布，IPseclll3.3.2IPsecOM OM 3-19OM l和DHCPServer不在同一L2DHCPRelayAgentOM 3-20OM 3

27、-19OM l和DHCPServer不在同一L2DHCPRelayAgentOM 3-20OM 该报文的源IP地址为M2000或BSCIP地址，目的IP地址的OMIP地址。该网关说目标制式不一致时，会修改当前制式并重新启动。之后重新进行DHCP获取VLAN。详细信息，请参见“3.2.5 获取DHCP报文的VLAN方案”。 首先尝试发送不带VLANID的DHCP报文，然后再尝试发送携带VLANID的网关、DHCPServer交互DHCP报文，说目标制式不一致时，会修改当前制式并重新启动。之后重新进行DHCP获取VLAN。详细信息，请参见“3.2.5 获取DHCP报文的VLAN方案”。 首先尝试发

28、送不带VLANID的DHCP报文，然后再尝试发送携带VLANID的网关、DHCPServer交互DHCP报文，的。DHCP ServerDHCPServer必须配置目的IPIP 3-4所示，option43字段中的subcode如表3-53-3 DHCP可选/DHCPerfaceIP 4IP3-4 DHCP Serveroption（）可选/14DHCPC3DHCPCN表示DHCP C3-4 DHCP Serveroption（）可选/14DHCPC3DHCPCN表示DHCP C下一跳网关的个数0-用于DHCP C可选/DHCPRelayAgent 4Relay AgentRelay 的IPD

29、HCPRelay 2131）（）可选/41 5DHCPACK4DHCPServer的IP地（）可选/41 5DHCPACK4DHCPServer的IP地(T1)Time 4(T2)Time 4REBINDING0-0-DHCP C3-5 option 43可选/DHCP13-5 option 43可选/DHCP1Server1MPT1stSlot 1MPT 2nd SlotNumber1可选/DHCP可选/DHCPBBU框间通 必选Server的框+Slot）OMBearing 1l0表l1表通道板隧道上。可选/DHCP21可选/DHCP21为M2000关IPSlotNumber1在PortN

30、umber1在可选/DHCP3在OM34本端IPOMSubnetMask44可选/DHCP3在OM34本端IPOMSubnetMask44M200054M2000Subnet64OMVlan2OMVlan 1BSC 4BSC IPOMNext Hop IP 4开到DHCPServer需要修改DHCPServer上的这些配置，则必须在GUI界面上手动修改。如果DHCPServer上未配置表3-5中必选项，或者某些场景下的可在修改的内容同步到M2000DHCPServer，以确保开到DHCPServer需要修改DHCPServer上的这些配置，则必须在GUI界面上手动修改。如果DHCPServer

31、上未配置表3-5中必选项，或者某些场景下的可在修改的内容同步到M2000DHCPServer，以确保M2000DHCPServer当数据，必须在M2000 GUI界面上手动修改。由于网元名称、网元类型、ESN、WorkingMode、SecurityGatewayEmergencyBypass据自动同步需要CME的Current区存在当前网元的数据，若CMECurrent区中当前网元数OM 可选/DHCP1SRAN7.03-21OM SSL的OMIP获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案首先尝试发送不带VLANID的DHCP报文，然后再尝试发送携带VLANID网

32、关、DHCP3-21OM SSL的OMIP获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案首先尝试发送不带VLANID的DHCP报文，然后再尝试发送携带VLANID网关、DHCPServer交互DHCP报文，鉴3-6 M2000DHCP ServerCA 1-l DH l DH 1-获取到接口地址和CA。出厂的LMPT单板），的向CA作标识。CA也需要预如CAURL、CAName）会使用如表3-7说3-源IP获取到接口地址和CA。出厂的LMPT单板），的向CA作标识。CA也需要预如CAURL、CAName）会使用如表3-7说3-源IP发机构CMPv2对端CA的来自DHCP

33、配置中的CA参数值为类型可以为新申请 、更新 两种，默认为新申请 。参数值称名称（common name）获取到运营商颁发的设，同时获取到CA的。3-8 的第一跳L2L2l 配置允许获取到运营商颁发的设，同时获取到CA的。3-8 的第一跳L2L2l 配置允许DHCP广播和单播报文通过，l配置参数值为在SRAN6.0之前版本，LMPT主控SRAN 7.0及以后版本的参数值为 用名称的DNS Name字 本端本端IPIP3.3.3IPsecOM OM 的第一跳L33.3.3IPsecOM OM 的第一跳L3DHCP Server的IP地址。该IP地址一般 l 如果的OM IP地址不是OM IP地址

34、的路由。l 如果OM通道需要SSL鉴权，则需要配L3l 配置目的IP地址为OMIP地址和 l 配置目的IP地址为DHCPRelayAgentl 如果OM通道需要SSL鉴权，则需要配 DHCP配置目的IP地址为DHCPRelayAgentIP地FTPl 配置目的IP地址为OMIP地址的路l 在指定的目录下l 为l 其IP。l配3-22OM l 置DHCPServer 从M2000内置DHCPServerll网络中部署CA。在开站期间，CA可以被非安全域的网元的IP3-22OM l 置DHCPServer 从M2000内置DHCPServerll网络中部署CA。在开站期间，CA可以被非安全域的网元

35、的IPDHCPServer分配的接口IPlOM 在IPsec组网场景一下必须先从公共DHCPServer获取接口IP地址， 和第二次获取的接口IP3-23IPsecOM 获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案从公共DHCPServer获取用于建立临时IPsec的接口IP地址，CA信息、SeGW信息、M2000内置DHCPServerIP址等配置信息。关于公共DHCPServer上的配置信息，请参见公共DHCPServer配基于CMPv2向CA和CA。会将获取到的的加入默认的信营失败或超时（约30秒），则后续流程使用预说建立IPsec运营商3-23IPsecOM

36、获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案从公共DHCPServer获取用于建立临时IPsec的接口IP地址，CA信息、SeGW信息、M2000内置DHCPServerIP址等配置信息。关于公共DHCPServer上的配置信息，请参见公共DHCPServer配基于CMPv2向CA和CA。会将获取到的的加入默认的信营失败或超时（约30秒），则后续流程使用预说建立IPsec运营商CA向CA设备目标制式不一致时，会修改当前制式并重新启动。之后重新进行DHCP在临时IPsec 根据是否已经获取到内网IP地址，是否已经获得M2000内置DHCPServer的信通道。在本阶段在

37、10分DHCP Server公共DHCPServer必须配置目的IP的IP的路由。DHCPServer还必须配置如表3-9所示的承载在DHCP报文中的选项。如果没有特别说明，这些信息承载在DHCP报文中的option 43中的subcode中。3-9 DHCP Server可选DHCP Server公共DHCPServer必须配置目的IP的IP的路由。DHCPServer还必须配置如表3-9所示的承载在DHCP报文中的选项。如果没有特别说明，这些信息承载在DHCP报文中的option 43中的subcode中。3-9 DHCP Server可选/DHCP文4 1CA 2。CA 1-可选/DHC

38、P文CA 1- CA 可选/DHCP文CA 1- CA 字 认CA 1-4置可选/DHCP文localname1-可选/DHCP文localname1-置Server IP置 于SRAN置Server IPIP-4表3-9中的所有参数中，除了M2000内置DHCPServerIP地址或地址列表以外，其余的。如果CA，无法获取到运营说 option43的获取到临时地址和CA。如CAURL、CAName）。此过程中各种配置除表3-10所示外，完全与表3-73-，同时获取到CA。表3-9中的所有参数中，除了M2000内置DHCPServerIP地址或地址列表以外，其余的。如果CA，无法获取到运营说

39、option43的获取到临时地址和CA。如CAURL、CAName）。此过程中各种配置除表3-10所示外，完全与表3-73-，同时获取到CA。以通过IPSecIPsec从公共DHCPServer接口IP地址、SeGWIP地址、CA地址等后，再从CA发机构CMPv2对端CA的来自DHCP配置中的CAURL或由CA Protocol，CAIP，CA Path，CA Port拼接而成CAPath为可选项，取决于CA上为可选/DHCP文-4option IP-4option 无法预知采用的IKE会优先尝试该IKE本；否先尝试IKEv2，再尝试IKE v1IKESA在正常运行过程中协商IKESA说 有2

40、无法预知采用的IKE会优先尝试该IKE本；否先尝试IKEv2，再尝试IKE v1IKESA在正常运行过程中协商IKESA说 有2manGroup有3种取值，PRFAlgorithm有2列组合，后得出48种组合，即48=4*2*3*2120种IKEv13-11 IKE v23-12 IKE v1继续尝试使用其余IKE提议算法来协商IKESA(Only RSAPRF 重新从公共DHCPServer获取用于建立临时IPsec隧道的传输配置，重新协商IKE SA。IKEv2算法组的配置有限制，如果不按此顺序配置，可能导致IKEv23-13 IKEv25 IPsecSA在正常运行过程中协商IPsecSA

41、在正常运行过程中协商IPsecSA仅支持如图3-24所示的IPsec按图重新从公共DHCPServer获取用于建立临时IPsec隧道的传输配置，重新协商IKE SA。IKEv2算法组的配置有限制，如果不按此顺序配置，可能导致IKEv23-13 IKEv25 IPsecSA在正常运行过程中协商IPsecSA在正常运行过程中协商IPsecSA仅支持如图3-24所示的IPsec按图3-24分两次协商采用图3-24中绿色部分的63-24 IPsecPRFAlgorithm (Only IKEv2)12345说支持的安全参数很多，因IPsec另外，因为M2000、BSC、DHCPServer、FTPSe

42、rver等都不支持说支持的安全参数很多，因IPsec另外，因为M2000、BSC、DHCPServer、FTPServer等都不支持IPsec，所以在PnP开站期间，基M2000 DHCP Server除表3-5中的参数以外，M2000内置DHCPServer还必须额外配置如表3-14所示的承载在 DHCP报文中的选项。这些选项都承载在option 43的subcode中。3-14 M2000DHCP Server可选/DHCP文SecGWIP41-M2000 DHCP Server既可通过IKE协商中的CONFIG安全域的临时逻辑IPCONFIG模式，也可以通过公共DHCPServer获得M

43、2000内置DHCPServer的IP地址。针对前者， 最多可以获取一个M2000内置DHCPServerM2000 DHCP Server既可通过IKE协商中的CONFIG安全域的临时逻辑IPCONFIG模式，也可以通过公共DHCPServer获得M2000内置DHCPServer的IP地址。针对前者， 最多可以获取一个M2000内置DHCPServerIP地址，针对后者， 最多可以获取8个M2000内置DHCP Server IP地址。说 ernet Key Exchange (IKEv2) Protocol。根据是否已经获取到安全域的逻辑IP地址，是否已经获得M2000内置DHCP Se

44、rver的IP地址，顺序尝试如表3-15所示的3种流程，从M2000内置DHCPServer获取正式传输可选/DHCP文CACA 1-CA 1-3-15 M2000DHCP Server则3-15 M2000DHCP Server则取到内网DHCPServer的有DHCP Server单播 息的DHCPServer为基l 自动配置一项“any toany”的ACL规则，允许DHCP报文进入 参见表3-M2000内置DHCPServer的 DHCPServer的IP地址，向所有DHCP Server单信息的DHCP Server为DHCPServer的IP地址。 参见表3-置DHCP Serve

45、r的IP地址”，目的地参见表3-3-16 网络设备配置要求3-17 网络设备配置要求公共DHCP配置如表3-9公共DHCP Server必须配置M2000内置 3-16 网络设备配置要求3-17 网络设备配置要求公共DHCP配置如表3-9公共DHCP Server必须配置M2000内置 公共DHCPServer的IP地址，则公共DHCP Server必须配置M2000内置DHCPServer的IPl 配置如表3-9中所列的参数DHCPServer地址。也可以只下发临时Server下发M2000内置DHCP Server IPOMIPlSeGW通过MODE-CONFIG方式下发IP址 to an

46、y”的ACL规则。无需手工配置 与M2000内置DHCPServer间的所有l 配置l 配置目的IP地址为M2000内置DHCP3-18 网络设备配置要求 ll 的DHCPServerl 3-18 网络设备配置要求 ll 的DHCPServerl IPsec从M2000内置DHCPServer获取的SeGWIP地址有可能与从PublicDHCPServer 发的SeGW协商IKESAIPsecSA，进而建立IPsecl与SeGW建立IKESA和IPsec隧道时，使用M2000内置DHCPServer公共DHCP配置如表3-9与M2000内置DHCPServer间的所有l 配置为67或68，目的

47、UDP为67或68 M2000内置DHCPRelay Agent的IP地址的路由。与M2000内置DHCPServer间的所有l 配置l 配置目的IP地址为配置目的网段所在网段的路由M2000内置DHCPIPtoany”的ACL规则。相应地SeGW可以配置与 “any to OM IP 地址”或“any to any”的ACL规则。lOM 与是否通过IPsecIPtoany”的ACL规则。相应地SeGW可以配置与 “any to OM IP 地址”或“any to any”的ACL规则。lOM 与是否通过IPsecIPsec组网场景一下，相关网络设备的传输配置要求如表3-193-19 IPse

48、c网元/L2l 配置允许DHCP广播和单播报文通过，l 配置正确的VLAN的第一跳L3l配置为DHCP Server或开启并配置 DHCPRelayAgent，配置正确的DHCP l 配置目的IP地址为CA IP地址、SeGW L3l 在非安全域网络上配置目的IP地址为基由，配置目的地址为CA IP地址、 SeGW IP地址的路由。OMIP地址、M2000IP地址和FTP Server IP地址的路由。 M2000内置DHCP如果SeGW做DHCP Relay Agent，则需要配置目的IP地址为DHCPRelayAgent的IP地址。否则，需要配置到 临时接口地3.3.4IPsecOM OM

49、 网元/3.3.4IPsecOM OM 网元/FTPl 配置目的IP地址为OMIP地址的路l 在指定的目录下l 为l允许M2000交互的DHCP报文通l允许 和M2000间的传输的OM报文通过；允许 与FTPServer间传输的l 配置表3-10描述的安全参数l 配置的ACL规则允许l配置“anytoany”或“any- 配置DHCP Relay Agent并打开。l 如果SeGW为DHCPServer地址，则需要在SeGW配l 配置运营商的CAl 其IP地址必须能可被非安全域中网络设l配3-25IPsecOM l网络中部署一个DHCPServer。该DHCPServer部署在安全域中，称为M

50、2000 程，获3-25IPsecOM l网络中部署一个DHCPServer。该DHCPServer部署在安全域中，称为M2000 程，获l网络中部署CA网元和IPlIPsecOM IP地址等信息，然后从CA。通道自建立流程如图3-263-26IPsecOM 获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案 说发送的DHCP报文经DHCPRelayAgent转发后，到达位于M2000上的DHCPServer目标制式不一致时，会修改当前制式并重新启动。之后重新进行DHCP的流程请参见DHCPServer，而不是publicDHCP 说发送的DHCP报文经DHCPRelayA

51、gent转发后，到达位于M2000上的DHCPServer目标制式不一致时，会修改当前制式并重新启动。之后重新进行DHCP的流程请参见DHCPServer，而不是publicDHCPServer 颁发M2000 DHCP Server除表3-5描述的配置参数外，M2000内置DHCPServer额外需要配置如表3-20所示的承载在DHCP报文中的选项。这些选项都承载在option 43的subcode中。3-20 IPsecM2000DHCP Server可选/DHCP文SecGWIP41-此流程完全与IPsec组网场景二下，相关网络设备的传输配置要求如表3-213-21 IPsec网元/L2

52、l 配置允许DHCP广播和单播报文通过，l 配置正确的VLANl 配置的下一跳此流程完全与IPsec组网场景二下，相关网络设备的传输配置要求如表3-213-21 IPsec网元/L2l 配置允许DHCP广播和单播报文通过，l 配置正确的VLANl 配置的下一跳网关为DHCPRelay Agent，配置正确的DHCPServer地址。l配置目的IP地址为DHCPServerIP地 L3地址为 接口IP、CAIP地址、SeGW 址为 OMIP地址、M2000IP地址和 FTP Server IP地址的路由。 可选/DHCP文CACA 1-CA 1-3.3.5IPsecOM OM 3-273.3.5

53、IPsecOM OM 3-27IPsecOM 网元/M2000内置DHCPl 配置目的IP地址为DHCPRelayAgentl 允许与FTP Server间流通过。l 配置表3-11、表3-12、表3-21描述的开l 配置“any-any”或“any-l 配置运营商的CAl 配置一个可在非安全的地址l配CAl网络中仅部署一个DHCPServer，即M2000内置DHCPServer。相应地，内置DHCP Server获取OM信息，CA信息等。DHCP报文不受IPsec保护。lOM通道不受IPsecOM IP地址能llIPsec。要去运营管理中心申请运营。CA在开站期间，可以被非安全域的的接口I

54、POM 3-28l网络中仅部署一个DHCPServer，即M2000内置DHCPServer。相应地，内置DHCP Server获取OM信息，CA信息等。DHCP报文不受IPsec保护。lOM通道不受IPsecOM IP地址能llIPsec。要去运营管理中心申请运营。CA在开站期间，可以被非安全域的的接口IPOM 3-28IPsecOM 获取VLAN。详细信息，请参见3.2.5获取DHCP报文的VLAN方案从DHCPServer采用数作为鉴权方式，向CA申请运营。说式不一致时，会修改当前制式并重新启动。之后重新进行DHCP 与M2000 DHCP Server在option 43的subcod

55、e中。3-22 IPsecM2000DHCP ServerIPsec组网场景三下，相关网络设备的传输配置要求如表3-233-23 IPsec网元/的L2l 配置允许DHCP广播和单播报文通过，3-22 IPsecM2000DHCP ServerIPsec组网场景三下，相关网络设备的传输配置要求如表3-233-23 IPsec网元/的L2l 配置允许DHCP广播和单播报文通过，l 配置正确的VLAN可选/CA 1- CA 1-3.4 OM 3.4.1 OM 的DHCPRelayAgent基于面板互连的分离主控多网元/3.4 OM 3.4.1 OM 的DHCPRelayAgent基于面板互连的分离

56、主控多网元/DHCP Server的IP地址。该IP地址一般 l如OM IP地址的路由。l 配置目的地址为CAIP地址的路由的L3l 非安全域网络中的所有设备配置目的IP接口IP、OM IP地址、 M2000IP地址、FTPServerIP地址、 CA IP地址的路由。址为 OMIP地址，M2000IP地址和 FTP Server IP地址的路由。 M2000内置DHCP配置目的IP地址为DHCPRelayAgent的路l 配置一个可在非安全的IP地址l配CA3-29 OM3-30 OM有3-29 OM3-30 OM有3.4.2 OM 分离主控多3-31 OM立的描述，请参见3.3 和共主控多

57、的OM通道自建立下 说3-31 OM立的描述，请参见3.3 和共主控多的OM通道自建立下 说式不一致时，会修改当前制式并重新启动。之后重新进行DHCP3.4.3 DHCP Server对DHCPServer模对应的DHCPServer配置要求，请参见3.3的OM自建立中的描述。本节仅介绍对DHCPServer的DHCPServer还必须增加如表3-243-24 DHCP Server说3.4.4 作为下的DHCPRelayAgent，用于转发DHCP报文，同时也作为一个3-24 DHCP Server说3.4.4 作为下的DHCPRelayAgent，用于转发DHCP报文，同时也作为一个可选/

58、DHCPOMBearing 1l0表l1表模 ，3DHCPServer的DHCP的传输网络也必须额外配置一些数据。这些额外配置的数据如表3-253-25 网元/DHCPServer的DHCP的传输网络也必须额外配置一些数据。这些额外配置的数据如表3-253-25 网元/级 的DHCPServerIP地址。l增加目的IP地址为下级 的DHCP l增加为下级 服务的相关路由，包括目的IP地址为下级 的地址的下行路由，以及目的IP地址为下级 对端设备IP地址的上行路由。如果下级 是 M2000IP地址、MME/S-GWIP地址的配置一个IP地址。如果 的下联接口上配置了多个IP地址， 转序的差异，导

59、致 转发DHCP报l 如果下级相应的安全参数，包滤规则l 配置目的IP地址为下级l 配置目的IP地址为DHCPRelayAgent的 的IP地址为 下联口的IP地址的地址为 的OMIP的路由或配置目的网段为 到DHCP-Server的下的DHCP增加目的IP地址的路由3.5 OM 配置、DHCPServer3.5 OM 配置、DHCPServer网元/配置目的IP地址为 OMIP地址的路由。如果分离主控多模 采用面板互的下联口IP地址或上联口IP3- 文件中的传输配 1l 3- 文件中的传输配 1l M2000 IP地址， 由，则要求FTP ServerPeerIP配置为M2000 IPl与接

60、口IP配配于GBTS OMCH DSCP。VLANMODE23配置BFD“RELIABILITY(可靠性4如果以（DID + BBU的框 Topo + Slot）作为识，则必须配置MONE的3-27 IPsec说1DHCPServer的SeGW参数时出错，进而导致PnP开站失败。 3-27 IPsec说1DHCPServer的SeGW参数时出错，进而导致PnP开站失败。 l 参数SIP和DIP的值为，参数SWC和DWC55,即配置AnytoAny的ACLl 参数SIP为OM IP地址，DIP为M2000 IP地址，或者为 l2LMO IPSECPRO34不允对端的L2设备手工配置以太网链路聚合