业务保护原理及配置

业务保护原理及配置

业务保护分类网内：LSP1：1/LSP1+1、PW冗余、MS-PW、VPNFRR网间：DL1+1、DL1：1、LAG、VRRP、IPFRR业务保护话题的引入LSP1:1PW冗余/VPNFRRVRRP/IPFRR隧道保护业务保护网关保护主用业务备用业务主用网关备用网关保护模式应用技术示意图应用场景源宿节点不变源节点不变，宿节点变化网关场景隧道保护业务保护网关保护网关保护1,2,3,456主用隧道备用隧道接入层核心汇聚层端业务层

123456隧道保护业务保护网关保护网关保护GE核心层汇聚层接入层GEeNBeNBBTSNodeBRNC业务层保护方式VRRP+IPFRR

+LAGLSP1：1VPNFRRLSP1：1PW双归主PW备PWLAGIPFRR核心设备1核心设备2核心设备3核心设备4VRRP主LSP1备LSP1备LSP2主VPN备VPN备LSP1主LSP2备LSP2主LSP保护技术分网络层次介绍接入设备1LSP1:1单向链路倒换5单向链路1:1保护：源节点将业务发送到主用路径上，宿节点从主用路径上接收业务。当主用路径发生故障时，宿节点发生倒换动作，从备用路径上接收业务，同时向源节点发送APS。源节点接收到APS后发生桥接，将业务发送到备用路径上。因为发生故障时，只有发生故障方向的业务倒换到备用路径，所以称之为单向链路1:1保护。单向链路1:1保护需要在源宿节点之间传递APS信息。动态1:1和自动1：1保护方式配置说明优点缺点动态1:1主备用均严格约束主备用路径均按照严格约束路径生成，路径可控1.主备用中断后，无法计算出新的主备用。2.主备用均中断时，能逃生，但逃生时间为S级。3.在环路进行破环加点时，主备用需要进行约束路径修复自动1:1主用严格约束，备用不约束1.主备用路径均按照严格约束路径生成，路径可控1.主用中断后，无法计算出新的主用。2.备用故障故障后，可以协议计算再生成一条备用2.先中断主用，再中断备用，业务依旧需要触发逃生保护，逃生为S级3.环路破环加点，如果是备用路径经过的，无需进行约束修复

6LSP1：1配置7静态LSP1:1动态LSP1:1自动LSP1:1PW冗余保护原理PW冗余保护与隧道1:1保护的保护方式类似，PW冗余保护基于BFDForPW或OAMForPW在PW层实现保护，隧道1:1保护基于BFDForTunnel或OAMForTunnel在隧道层实现保护。PW冗余保护，通过备用PW来保护主用PW上传送的业务，业务单发单收。其倒换及恢复的过程如下：1.宿网元检测到主用通道出现故障后，立刻倒换并发送倒换请求至源网元；2.源网元收到倒换请求后，倒换至备用PW通道，并发送确认消息，完成倒换操作；3.宿网元检测到主用通道恢复后，发送倒换请求至源网元，并倒换到主用通道；4.源网元收到倒换恢复请求后，倒换至主用通道，并发送确认消息，完成恢复操作。8PW冗余保护配置9MS-PW保护MS-PW(Multi-SegmentPseudowire):多段PW，MS-PW穿越两个或多个PSN（PacketSwitchingNetwork)网络，由两端或多段PW组成，每一段PW都承载在该PSN网络的Tunnel中，这些PW在一个或多个S-PE节点进行PWS交换配置方法：10VPNFRR保护技术对于作为TE隧道起始点和终结点的两个PE设备之间的链路故障和节点故障,MPLSTEFRR能够实现快速的业务倒换。但是这种技术不能解决作为隧道起始点和终结点的PE设备的故障，一旦PE节点发生故障，只能通过端到端的路由收敛、LSP收敛来恢复业务，其业务收敛时间与MPLSVPN内部路由的数量、承载网的跳数密切相关，在典型组网中一般在5s左右，无法达到节点故障端到端业务收敛小于1s的要求VPNFRR是一项旨在解决CE双归属网络中当PE设备故障时业务快速收敛的技术。常常和LSP1：1叠加使用，对L3VPN进行保护，是一种L3保护技术。某种意义上类似与PW冗余保护，只不过PW冗余保护是对L2

VPN进行保护，VPNFRR是对L3

VPN进行保护。11VPNFRR利用基于VPN的私网路由快速切换技术，通过预先在远端PE中设置指向主用PE和备用PE的主备用转发项，并结合PE故障快速探测，旨在解决CE双归PE的MPLSVPN网络中，PE节点故障导致的端到端业务收敛时间长（大于1s）的问题，同时解决PE节点故障恢复时间与其承载的私网路由的数量相关的问题，在PE节点故障情况下，端到端业务收敛时间小于1s。VPNFRR技术面向内层标签的快速倒换，在外层隧道的选择方面，可以是LDPLSP，可以是RSVPTE，可以是静态配置的LSP，转发引擎在报文转发的时候感知到外层隧道的状态为不可用就可以进行快速的基于内层标签的倒换。12VPNFRR保护原理VPNFRR倒换过程13假设CE-B访问CE-A的路径为：CE-B——PE-E——P-C——PE-A——CE-A，当PE-A节点故障之后，CE-B访问CE-A的路径收敛为：CE-B——PE-E——P-D——PE-B——CE-A。VPNFRR配置14L2L3主用-主用下一跳L3主L2L3主用-备用下一跳L3备L2L3备用-主用下一跳L3主L2L3备用-备用下一跳L3备IPFRR保护技术IPFRR其原理是采用一个接口作为另外一个接口的备份。当主用接口失效，或主用接口连接的邻居失效后，本路由器通过硬件技术快速感知，也可通过BFD联动IPFRR，其工作原理是BFD感知链路故障之后将PST（portstatetable）表项置down，IPFRR当检测到该位置down后开始生效，在路由收敛之前将通过这个接口转发的流量快速倒换到备份接口上。由于备份接口的下一跳路由器能够对倒换过来的IP流量重新路由，报文不会丢弃。一直到路由收敛之后刷新FIB表项，IPFRR失效，流量走路由收敛后的路径转发。IP

FRR只能实现UNI侧的保护,不能保护NNI侧业务.IP

FRR的实现原理本质上是在转发平面存在到同一个目的地有两条不同的路由,也就是两个不同的下一跳,一个为主,一个为备.当故障发生时,NP盘产生告警,将主路径上的业务切换到备用路径.当故障消失后,NP盘产生告警消除,等待时间之后,然后将业务切回.

15在主路径和备份路径之间运行BFD协议，在路由器上配置IPFRR的备份出接口和下一跳，这样在路由表项和FIB表项中就生成了备份下一跳，这样当BFD检测到链路故障时，会将PST表项置down，联动IPFRR生效，在路由收敛前将流量切换到备份路径，当路由收敛后刷新FIB表，IPFRR失效，流量切换到路由收敛后的路径。

16IPFRR配置17在主用设备配置VRRP保护技术相关术语虚拟路由器：由一个Master路由器和多个Backup路由器组成。主机将虚拟路由器当作默认网关。VRID：虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器。Master路由器：虚拟路由器中承担报文转发任务的路由器。Backup路由器：Master路由器出现故障时，能够代替Master路由器工作的路由器。18虚拟IP地址：虚拟路由器的IP地址。一个虚拟路由器可以拥有一个或多个IP地址。IP地址拥有者：接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。虚拟MAC地址：一个虚拟路由器拥有一个虚拟MAC地址。虚拟MAC地址的格式为00-00-5E-00-01-{VRID}。通常情况下，虚拟路由器回应ARP请求使用的是虚拟MAC地址，只有虚拟路由器做特殊配置的时候，才回应接口的真实MAC地址。19优先级：VRRP根据优先级来确定虚拟路由器中每台路由器的地位。非抢占方式：如果Backup路由器工作在非抢占方式下，则只要Master路由器没有出现故障，Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。抢占方式：如果Backup路由器工作在抢占方式下，当它收到VRRP报文后，会将自己的优先级与通告报文中的优先级进行比较。如果自己的优先级比当前的Master路由器的优先级高，就会主动抢占成为Master路由器；否则，将保持Backup状态。20VRRP工作过程(1)虚拟路由器中的路由器根据优先级选举出Master。Master路由器通过发送免费ARP报文，将自己的虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务；(2)Master路由器周期性发送VRRP报文，以公布其配置信息（优先级等）和工作状况；(3)如果Master路由器出现故障，虚拟路由器中的Backup路由器将根据优先级重新选举新的Master；21(4)虚拟路由器状态切换时，Master路由器由一台设备切换为另外一台设备，新的Master路由器只是简单地发送一个携带虚拟路由器的MAC地址和虚拟IP地址信息的免费ARP报文，这样就可以更新与它连接的主机或设备中的ARP相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。(5)Backup路由器的优先级高于Master路由器时，由Backup路由器的工作方式（抢占方式和非抢占方式）决定是否重新选举Master。22为了保证Master路由器和Backup路由器能够协调工作，VRRP需要实现以下功能：Master路由器的选举；Master路由器状态的通告；23VRRP的优先级VRRP优先级的取值范围为0到255（数值越大表明优先级越高），可配置的范围是1到254，优先级0为系统保留给路由器放弃Master位置时候使用，255则是系统保留给IP地址拥有者使用。当路由器为IP地址拥有者时，其优先级始终为255。因此，当虚拟路由器内存在IP地址拥有者时，只要其工作正常，则为Master路由器。24VRRP配置25LAG-链路聚合组链路聚合组（LAG）是指将多条连接到同一设备的链路捆绑在一起，以便于增加带宽和改善链路的可靠性。聚合的链路可以当作是一条逻辑链路。目前我司支持最多将8条物理链路进行捆绑。只能对链路进行保护LAG按照聚合类型分类可以分为手工聚合和静态聚合；按照负载分担类型进行分类可以分为负载分担和非负载分担。26LAG聚合分类LAG分为以下两种聚合类型：手工聚合由用户手工创建聚合组，增删成员端口时，不运行LACP（LinkAggregationControlProtocol）协议。端口存在UP和DOWN两种状态，根据端口物理状态（UP和DOWN）来确定是否进行聚合。静态聚合由用户创建聚合组，增删成员端口时，要运行LACP协议。端口存在Selected（活动状态）、Unselected（非活动状态）和Standby（备用状态）三种状态。通过LACP协议在设备之间交互聚合信息，对聚合信息达成一致。静态聚合与手工聚合相比，对聚合的控制更加准确和有效。27LAG支持以下两种负载分担类型：

负载分担聚合组的各成员链路上同时都有流量（traffic）存在，它们共同进行负载的分担。采用负载分担后可以给链路带来更高的带宽。当聚合组成员发生改变，或者部分链路发生失效时，流量会自动重新分配。28负载分担示意图非负载分担示意图29非负载分担聚合组只有一条成员链路有流量存在，其它链路则处于Standby状态LACP协议简介LACP协议是用来实现以太网链路动态汇聚和解汇聚的协议。LACP（LinkAggregationControlProtocol）是基于IEEE802.3ad标准的一种协议，主要有以下功能：为交换数据的设备提供一种标准的协商方式，系统根据自身配置自动形成聚合链路并启动聚合链路收发数据。聚合链路形成后，负责维护链路状态，在聚合条件发生变化时，自动调整或解散链路聚合。30LAG负载分担算法：基于源MAC、基于目的MAC、基于源和目的MAC地址、基于源IP、基于目的IP、基于源和目的IP地址；在我司IPRAN设备在CLI命令上分别使用数值(1、2、3、4、5、6)表示。

目前我司

IPRAN设备支持手工负载分担、LACP静态负载分担、LACP静态非负载分担、手工非负载分担四种模式。31NodeBRNC汇聚层接入层ABC核心层DEFL2VPN方案（MS-PW保护）备PW主PW备PW主PW故障1故障2故障3故障4故障5GHI故障类型故障点保护方式保护路径网内保护1LSP1:1A-C-E-D-F-H-RNC2PW冗余A-C-E-G-I-RNC3LSP1:1A-B-D-E-G-I-H-RNC4PW冗余A-C-E-G-I-RNC网间保护5PW冗余A-C-E-G-I-RNCTDM/3GCS/专线PW冗余+LSP1:1LSP1:1双归LSP检测技术Y1731APSBFDPW端到端OAMY1731NodeBRNC汇聚层接入层ABC核心层DEFFE业务保护方案H备PW主PWVpn-frrVpn-frrIp-frrVrrp故障1故障2故障3故障4故障5故障类型故障点保护方式保护路径网内保护1LSP1:1A-C-E-D-F-H-RNC2PW冗余+VPN-FRRA-C-E-G-I-H-RNC3LSP1:1A-B-D-E-G-I-H-RNC4VPN-FRR+VRRPA-B-D-E-G-I-RNC网间保护5IP-FRR+VRRPA-B-D-F-H-I-RNC保护方案检测技术Y1731BFDPW冗余+LSP1:1VPNFRR+LSP1:1VRRP+IPFRRBFDCE中国移动PTN集采L3组网方案34保护要求步骤1)NE5与NE3间链路故障，触发LSP1:1保护，倒换后上、下行方向业务的保护路径应一致：NE5—NE1—NE3步骤2)NE3节点掉电，NE4触发VPN-FRR保护下行业务流量，NE5触发双归保护进行上行业务流量的保护。步骤3)NE3与NE4间链路故障，触发LSP1:1保护，倒换后上、下行方向业务的保护路径应一致：NE3—NE1—NE2—NE4。步骤4)NE4节点掉电，NE3触发VPN-FRR保护上行业务流量，VRRP用于下行业务流量的保护。上行业务是指NE5到CE方向；下行业务是指CE到NE5方向35进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二级干线OTN层面调度局内调度层核心调度层汇聚层落地层221222222222二层业务网内故障倒换上行：LSP1:1下行：LSP1:1IP-FRRIP-FRR36进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二级干线OTN层面调度局内调度层核心调度层汇聚层落地层221222222222二、三层桥接点故障倒换上行：PW冗余下行：VPN-FRRIP-FRRIP-FRR37进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二级干线OTN层面调度局内调度层核心调度层汇聚层落地层221222222222三层业务网内故障倒换上行：LSP1:1下行：LSP1:1VRRPVRRPIP-FRRIP-FRR38进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二级干线OTN层面调度局内调度层核心调度层汇聚层落地层221222222222L3落地设备故障倒换上行：VPN-FRR+IP-FRR下行：IP-FRR+VRRPVRRPVRRPIP-FRRIP-FRR39进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二级干线OTN层面调度局内调度层核心调度层汇聚层落地层221222222222网关间链路故障倒换上行：IP-FRR下行：IP-FRRVRRPVRRPIP-FRRIP-FRR40进乡基地LTE落地设备J1进乡基地LTE局间调度J1进乡基地LTE落地设备J2进乡基地LTE局间调度J2枢纽二干LTE局内调度J1第二生产楼二干LTE局内调度J1L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备L3落地设备1L3落地设备1LTE交叉J1L2-L3LTE交叉J1L2-L3移动枢纽城域调度设备第二生产楼城域调度设备城域网本地网VPN-FRRPW冗余VPN-FRRIP-FRRVPN-FRRIP-FRRVPN-FRR故障二