通信公司承载网实施配置规范

36/44中国电信移动承载网实施配置规范（ER分册）（试行）中国电信集团有限公司TIME\@"EEEE年O月"二〇一三年十一月

编制单位：编写单位：中国电信股份有限公司、中国电信股份有限公司广州研究院组长：编写人：统稿人：审核人：联系人：联系方式：修订记录版本号日期描述设备软硬件适用范围设备类型适用软件版本适用硬件版本编制讲明本文档为中国电信移动承载网实施配置规范ER设备分册，包括ER设备组网配置要求及模板、与CN2网络互联配置要求及模板等内容。移动承载网的工程建设应比照本规范执行。在相关工程建设结束后，集团公司会正式下发本规范的修订版。本规范由中国电信集团网络运行维护事业部进行解释讲明。目录TOC\h\z\t"标题1,1,标题2,2,标题3,3,标题7,1,标题8,2,标题9,3,Heading1NoNumber,1"1设备差不多信息及可靠性 31.1设备差不多信息配置 31.2.1设备远程治理要求 31.2.2路由器访问操纵 42网管要求 82.1省级IPRAN网管对ER的治理方式 82.2NTP实现方式 83端口配置要求 94路由组织 104.1IGP 104.1.1B-ER/ER-ER/EPCCE-ER/BSCCE-ER/省会MCE-ER 104.2MP-BGP设置要求 114.2.1AS设置要求 114.2.2VRR设置要求 114.2.3MP-eBGP设置要求 124.3路由快速收敛 134.3.1ER故障检测和路由快速收敛 135基站的业务实现 155.1基站业务在ER上的实现 156VPN组织 166.1RANVPN 166.2CTVPN193VPN 166.3CTVPN194VPN 177网络服务质量（QoS）配置 187.1QoS整体部署原则 187.2PW+L3VPN方案QoS部署策略 187.2.1业务标识 187.3队列调度 208通道类业务实现 218.1CN2三层VPN在城域内二层通道落地点案 218.1.1业务从B设备接入/落地 218.1.2业务从B设备接入/落地 218.1.3业务从A设备接入/落地 228.2QoS部署方案 229设备命名规范 239.1设备命名 239.2网络端口命名 249.3Loopback接口命名 259.4基站业务接口命名 2510配置示例 2610.1ER设备配置示例（插入附件） 26缩略语本文中将使用下列缩略语，除非文中特不讲明，否则意义如下；关于未讲明的缩略语，应做业界标准或惯例理解。缩写英文全称中文eNodeBEvolvedNodeB演进的NodeBMMEMobilityManagementEntity移动性治理实体HSSHomesubscriberServer归属用户服务器SGWServing-GateWay服务网关PGWPacketDataNetworkGateWay分组数据网网关LTELongTermEvolution长期演进EPCEvolvedPacketCore演进的分组核心网PCRFPolicyandChargingRulesFunction策略和计费规则功能HSGWHRPDServingGateWay高速分组数据网络服务网关OCSOnlineChargingSysterm在线计费系统PIPDSNtoInternetPI网络AAAAuthenticationAuthorization,andAccounting鉴权、授权、计费DNSDomainNameServer域名服务器NTPNetworkTimeProtocol时刻同协议P-I网络PDSN-InternetPDSN与所有数据通信节点之间的网络，如PDSN与其他路由器之间的网络R-P网络Radio-PDSN介于无线网络（特指PCF）和PDSN之间的网络ER移动承载网的核心路由器，在不同的网络层级包括三类ER：汇聚ER（D-ER）、城域ER（M-ER）、省级ER（汇聚省内各本地网流量的设备）A设备基站接入设备B设备基站接入设备的汇聚路由器MCE多业务承载CE，包括C网CE、EPCCEBSCCE指接入BSC/RNC的B设备RANCE专指阿朗用于基站回传的IPBH设备设备差不多信息及可靠性设备差不多信息配置配置设备名称，要求符合资源命名规范要求。配置系统时刻，要求采纳标准北京时刻。定义Router-ID，思科、华为设备配置为Loopback0地址，中兴设备配置为Loopback1地址，阿朗设备缺省使用system关键字作为Loopback端口。配置模板：设备的访问及访问操纵设备远程治理要求对ER设备远程治理需要进行严格操纵，只同意信任用户以特定方式（SSH/SNMP等）进行访问。在设备的初始化治理时期同意通过TELNET对设备进行访问。路由器访问操纵VTY接口访问操纵对ER设备VTY接口访问进行操纵，防止非法用户通过Telnet/SSH方式猎取ER设备的操纵能力。具体采取以下措施对VTY接口访问进行操纵：修改VTY并发连接数缺省值，调整为厂商同意最大值。华为设备最多同意同时15个，阿朗设备为15个，空闲时刻为5分钟。针对VTY端口设置相应的访问操纵列表来限制通过VTY端口对路由器的访问。访问操纵列表通过区分不同用户的网段来进行过滤：同意以下地址段访问（依照实际情况进行调整）：CN2国内设备地址段-55集团网管地址段-55集团NOC地址段-55全网CE设备地址段－55省内网管地址段和IPRAN设备治理地址段各省自定正常情况下，不同意其他地址登陆。路由器VTY端口的超时配置的作用是当远程登录连接在指定时刻内没有操作时由设备主动中断远程连接，如此能够防止所有远程登录VTY端口占用而无法对设备进行治理，将此超时时刻设置为5分钟。加强VTY用户密码治理，对VTY用户采纳TACACS+集中认证和本地认证技术，TACASCS+认证优先，同时进行认证、授权、审计操作。考虑到采纳TACACS+服务器对VTY用户帐号、权限进行统一治理。设备的TACACS治理密码应实现动态更新。紧急故障处理期间，同意外网设备通过L2TP(IPSEC)VPN拨号方式登陆到网管中心专用设备上，通过该设备进行跳转访问ER设备，正常期间需关闭L2TPVPN拨号访问的通道。ER设备可治理后，需关闭telnet，只同意使用SSH。TACACS认证只用于用户登录，设备命令授权推举在设备上实现。路由器本地配置用户名和治理组作为备份治理方式，需要配置全部读写权限和只读权限2个级不的治理组。配置Console端口口令，防止非法用户对设备进行操纵。配置模板：SNMP访问操纵对SNMP访问进行操纵，防止非法用户通过SNMP治理接口猎取设备信息。ER设备采取以下措施对SNMP访问进行操纵：开启SNMPV2/v3Agent的功能，提高安全性，并采纳Auth&Priv安全模式，并采纳MD5算法。开放网管系统需要的MIBView，对表变量（如路由表，转发表等）设置MIBView限制网管系统访问。设置相应的访问操纵列表只同意信任主机通过SNMP方式访问设备。SNMP只开启只读权限，SNMP团体名每半年更新一次。配置模板：其他服务访问操纵关闭HTTP服务，防止非法用户通过设备提供的HTTP服务对设备进行访问操纵。关闭FTP服务，防止非法用户通过设备提供的FTP服务下载设备重要文件，维护时期如需上传软件，则临时开启FTPSERVER服务。关闭路由器其他小端口服务如：ECHO(TCP7)、HCEGEN(TCP19和UDP19)、FINGER(TCP79)等，增强设备本身的安全性。配置模板：设备系统日志ER设备的系统日志包括告警日志及操作日志，在设备本地和日志服务器上保存，其中日志服务器记录的级不为Warnings以上。ER设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求每天对系统日志进行检查，及时发觉异常及时处理，日志在日志服务器保留期限至少三个月。配置系统的所有级不告警日志和操作日志，保存到本地，其中阿朗设备LOG-ID为20；华为设备log缓冲区大小设置为1024。设备系统日志及其他信息显示时刻为设备NTP时刻。配置模板：设备高可靠性措施路由器主备引擎配置为自身支持的最优冗余爱护方式，优选NSR模式。配置路由器操纵引擎之间的配置文件和动态数据同步。开启CPU爱护功能，防止非法流量对路由器引擎CPU的攻击。配置模板：设备负载均衡的方式目前主流厂家设备的负载均衡，能够分为两种方式：perpacket负载均衡方式perflow负载均衡方式关于perpacket方式，在转发时按照报文进入路由器的次序进行负载均衡，但容易乱序并造成TCP转发速度慢。关于perflow方式，设备实现中采纳Hash的方式，这种方式可不能产生乱序。本期工程所采购的路由器缺省采纳perflow负载均衡方式；并采纳缺省或配置hash因子实现MPLS流量负载均衡。配置模板：其他特性关于ER设备未使用端口，全部关闭，防止非法用户接入。配置模板：网管要求省级IPRAN网管对ER的治理方式非省会地市IPRAN，通过城域ER与CN2PE的互联链路，建立Global的EBGPpeer，广播本地市IPRAN设备治理地址的汇聚路由到CN2，并接收CN2广播的本省IPRAN网管地址路由及其他地市的IPRAN治理地址路由。配置模板：NTP实现方式NTP时刻同步采纳分级部署方式：ER设置为二级NTPserver。B、EPCCE和BSCCE作为ER的NTPclient。设备与NTPserver路由交换方式如下：ER的治理loopback地址路由和一级NTPserver路由通过Global网管通道互相通告。B、EPCCE、BSCCE的治理loopback地址路由和二级NTPserver（ER）路由通过Global网管通道相互通告。配置模板：端口配置要求接口通用要求MTU设置要求：华为设备网络侧IPMTU配置为9000字节，业务侧IPMTU配置为2000字节。中兴、阿朗、烽火、思科、Juniper等设备设置物理接口MTU；网络侧配置为9000字节，业务侧配置为2000字节。配置模板：以太接口的协商模式要求：网络侧接口采纳强制模式。关于业务侧接口，以业务系统接口的协商模式为主。路由组织IGP汇聚ER、城域ER、省级ER等设备配置在相同的ISIS域。B-ER/ER-ER/EPCCE-ER/BSCCE-ER/省会MCE-ERB-ER、ER-ER、EPCCE-ER、BSCCE-ER、省会MCE-ER间的互联链路统一开启ISISLevel-2和LDP。ISIS进程号推举采纳100。Cost配置详见下表：链路ISISmetricB-DER3000B-城域ER1500DER-城域ER1500DER-DER50城域ER-城域ER100BSCCE-城域ER500城域ER-EPCCE500城域ER-省会MCE500城域ER-省级ER1000省级ER-省级ER150配置模板：MP-BGP设置要求AS设置要求ER统一使用省会MCE的AS号。汇聚ER不开启PE功能。配置模板：VRR设置要求场景一：通过CN2实现省内长途互联，以本地网为单位设置VRR。城域ER兼作VRR；关于VRRClient数超过200的地市，以及省会都市，要求采纳独立VRR；B、EPCCE和BSCCE分不作为VRR的Client；汇聚ER不作为VRR的Client。场景一ER（VRR）配置模板：场景二：省内长途通过省级ER直连，设置二级VRR。非省会本地网选取一对城域ER作为二级VRR，省会选取省级ER作为一级VRR；为加快MP-BGP路由域内的收敛速度，EPCCE既属于一级VRR的Client，也属于二级VRR的Client；随着网络规模的扩大，应设置独立VRR，按一级VRR进行统一部署Cluster操纵在3个以内。场景二ER（VRR）配置模板：场景三：EPC网元在省内跨地市部署。省会采纳省级ER兼作VRR，EPC网元所在非省会都市采纳城域ER作为VRR，两组VRR配置不同的clusterID；两组VRR间配置一般MP-IBGP全互联peer关系。每个地市的B、EPCCE和BSCCE分不作为本地VRR的Client；汇聚ER不作为VRR的Client。场景三ER（VRR）配置模板：MP-eBGP设置要求非省会都市ER与CN2PE采纳optionA方式对接，EBGP配置要求如下：优先采纳loopback-n地址建立EBGP连接，loopback-n地址之间互通配置BFD+静态路由；路由策略由EPCCE/ER侧进行操纵，CE采纳MED操纵CE入方向的流量，采纳Local-preference操纵CE出方向的流量；启用BFD关联EBGP实现快速故障发觉；PE开启AS-Override，为防止路由环，需配置SOO；关闭PE与EPCCE/ER之间的BGPsend-communityextended，采纳Standardcommunity；PE侧VRF分发静态路由和直联路由；EPCCE/ER按照白名单方式向CN2VPN发送本地VPN汇总路由A，按需发送明细路由（本机房路由An），实现流量流向调整；EPCCE/ER按照黑名单方式拒收缺省路由，并按需增加黑名单路由；EBGP连接不做MD5认证；关闭Damping以加速收敛；EBGP设置ebgp-multihop2；Timer设置：keepalive设为30s，holdtime设为90s；打开BGP多路径EIBGPmaximum-paths8。非省会都市MCE与ER之间在本地优先采纳EBGPOptionA方式对接。按需打通EPCVPN与PI-1VPN、RANVPN。后期移动承载网建成之后，可将MCE与ER调整到同一个AS号。配置模板：路由快速收敛ER故障检测和路由快速收敛本地网或者省网内，ER与B、BSCCE、EPCCE位于相同MPLSVPN域内。图表SEQ图表\*ARABIC1B以上故障检测和路由快速收敛ER所在核心层网络快速收敛部署方式：关于非省会都市，ER作为VPNPE节点，配置双RD，公布等价VPNv4路由，形成VPNv4ECMP负载分担方式。配置下一跳跟踪触发（NHT）机制，并结合下一跳分离技术加速路由的快速收敛。开启BFDforIGP来实现IGP快速检测，检测时刻间隔3*30ms。启用部分路由计算（PRC）和增量路由收敛特性（ISPF）。为幸免链路抖动，配置carrier-delay（down0/up200ms）。配置LDP/IPFRR，实现LSP快速切换。关于非省会都市，ER与B设备为同厂家设备的情况，要求在ER与B设备之间配置BFDforLoopback或BFDforLSP端到端快速检测，检测时刻间隔配置3*50ms；关于ER与B设备为异厂家的情况，暂不考虑BFDforloopback或BFDforLSP。配置模板：基站的业务实现基站业务在ER上的实现关于非省会都市RANVPN，ER用于承载基站业务，配置双RD，采纳OptionA与CN2对接。关于省内直连链路实现长途互联方式，ER只作为P设备。非省会都市ER配置模板：VPN组织RANVPN以省为单位设置，1X、Do及LTE基站共用同一VPN承载，RANVPN在本地网侧采纳Full-Mesh结构。本地网侧的RD/RT设置如下：VPNRD1RD2export1import1CDMA-RAN4134:30504134:31504134:3050004134:305000配置模板：CTVPN193VPNCTVPN193VPN提供A和B设备的网管通道，以省为单位进行组网，VPN城域内采纳星型组网，网管中心所在节点为Hub节点，其它节点为Spoke节点。关于非省会都市ER，配置EBGPOPTIONA与CN2对接；向CN2通告193VPN本地网汇总地址段和(128~131).x.x.x/32，并接收CN2通告的网管系统路由。RD/RT定义如下：以河北本地网为例，CTVPN193在城域网RD/RT定义如下：VPNRD1（PE1本地网）HUB节点importHUB节点exportSPOKEimportSPOKE节点exportCTVPN193-HE4134:16034134:160300

4134:1603014134:1603004134:1603004134:160301配置模板：CTVPN194VPNCTVPN194VPN按需设置，提供基站环境监控系统互联，在城域内采纳Hub-Spoke方式进行组网。关于非省会都市ER，配置EBGPOPTIONA与CN2对接。RD/RT定义如下：VPNRD1（PE1本地网）HUB节点importHUB节点exportSPOKEimportSPOKE节点exportCTVPN1944134:30704134:307000

4134:3070014134:3070004134:3070004134:307001配置模板：网络服务质量（QoS）配置QoS整体部署原则保持与CN2的QoS部署规范一致；精简队列数量，降低部署难度；规范并信任无线业务优先级，透传无线业务优先级；政企客户业务按照接入端口/VLAN进行映射，透传政企业务优先级。PW+L3VPN方案QoS部署策略业务标识上下行标识流程如下图所示：图表2PW+L3VPN方案上行业务标识流程图表3PW+L3VPN方案下行业务标识流程关于基站业务，基于IPDSCP进行标识，重置EXP值，IPQoS在基站到BSC/EPC之间的承载网络实现透传。关于政企客户业务，基于端口/VLAN进行标识，重置EXP值，IPQoS在承载网络实现透传。业务与队列映射关系如下表（DSCP依照业务的DSCP标识进行调整）：业务类型DSCP（参考值）网内映射（EXP）LTE信令、IMS/PS信令（VOIP）、LTE话音、IP时钟464IKE483G信令50OAM541X语音49视频、在线流媒体345eMBMS组播403G专线用户47政企客户钻石、白金等级流量/1X数据322DO数据/政企客户金、银等级流量/LTE网管（低优先级）140实时游戏、高速上网类10政企客户铜等级流量/配置模板：队列调度调度策略建议如下：IPP网内映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速90%5轮询队列1剩余带宽的80%2轮询队列2剩余带宽的20%0BE注：信令与业务流的PQ队列尽量分开设置，依照设备不同情况也能够合并队列设置。配置模板：通道类业务实现CN2三层VPN在城域内二层通道落地点案业务从B设备接入/落地业务从A设备接入/落地，双侧采纳单归接入方式，通过多段PW承载，配置端到端BFDforPW进行故障检测。配置模板：业务从B设备接入/落地业务从B设备接入/落地，单侧采纳双归接入方式，通过单段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFDforPW进行故障检测。配置模板：业务从A设备接入/落地业务从A设备接入/落地，单侧采纳双归接入方式，通过多段PW承载，双归接入侧配置Bypass-PW，用于故障场景下的流量迂回，配置BFDforPW进行故障检测。配置模板：QoS部署方案通道类业务QoS部署原则：不能修改业务报文的优先级；依照签约SLA信息，统一设置业务优先级；对通道类业务进行限速，幸免对1X/DO/LTE等高价值业务造成阻碍；针对专线存在多个等级的情况，统一按照EXP2进行映射；配置模板：设备命名规范设备命名都市缩写-县缩写-节点缩写-设备属性-设备编号.网络（业务）类型.设