中国电信移动承载网实施配置规范er设备分册模板1115.doc

中国电信移动承载网实施配置规中国电信移动承载网实施配置规（ERER 分册）分册）（试行）中国电信中国电信集团集团二二二年十月二二二年十月编制单位：编写单位：中国电信股份、中国电信股份研究院组长：编写人：统稿人：审核人：联系人：联系方式：修订记录版本号日期描述设备软硬件适用围设备类型适用软件版本适用硬件版本编制说明编制说明本文档为中国电信移动承载网实施配置规 ER 设备分册，包括 ER 设备组网配置要求及模板、与 CN2 网络互联配置要求及模板等容。移动承载网的工程建设应比照本规执行。在相关工程建设结束后，集团公司会正式下发本规的修订版。本规由中国电信集团网络运行维护事业部进行解释说明。目目录录1 1 设备基本信息及可靠性设备基本信息及可靠性.4 41.1 设备基本信息配置.41.2.1 设备远程管理要求.41.2.2 路由器访问控制.52 2 网管要求网管要求.10102.1 省级 IPRAN 网管对 ER 的管理方式.102.2 NTP 实现方式.103 3 端口配置要求端口配置要求.11114 4 路由组织路由组织.12124.1 IGP.124.1.1 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会 MCE-ER.124.2 MP-BGP 设置要求.134.2.1 AS 设置要求.134.2.2 VRR 设置要求.134.2.3 MP-eBGP 设置要求.144.3 路由快速收敛.164.3.1 ER 故障检测和路由快速收敛.165 5 基站的业务实现基站的业务实现.17175.1 基站业务在 ER 上的实现.176 6 VPNVPN 组织组织.18186.1 RAN VPN.186.2 CTVPN193 VPN.186.3 CTVPN194 VPN.197 7 网络服务质量（网络服务质量（QoSQoS）配置）配置.21217.1 QoS 整体部署原则.217.2 PW+L3VPN 方案 QoS 部署策略.217.2.1 业务标识.217.3 队列调度.238 8 通道类业务实现通道类业务实现.24248.1 CN2 三层 VPN 在城域二层通道落地方案.248.1.1 业务从 B 设备接入/落地.248.1.2 业务从 B 设备接入/落地.258.1.3 业务从 A 设备接入/落地.258.2 QoS 部署方案.269 9 设备命名规设备命名规.27279.1 设备命名.279.2 网络端口命名.289.3 Loopback 接口命名.299.4 基站业务接口命名.301010 配置示例配置示例.303010.1 ER 设备配置示例（插入附件）.30缩略语缩略语本文中将使用下列缩略语，除非文中特别说明，否则意义如下；对于未说明的缩略语，应做业界标准或惯例理解。缩写英文全称中文eNodeBEvolved Node B演进的 Node BMMEMobility Management Entity移动性管理实体HSSHome subscriber Server归属用户服务器SGWServing-GateWay服务网关PGWPacket Data Network GateWay分组数据网网关LTELong Term Evolution长期演进EPCEvolved Packet Core演进的分组核心网PCRFPolicy and Charging Rules Function策略和计费规则功能HSGWHRPD Serving GateWay高速分组数据网络服务网关OCSOnline Charging Systerm在线计费系统PIPDSN to InternetPI 网络AAAAuthentication Authorization,and鉴权、授权、计费AccountingDNSDomain Name Server域名服务器NTPNetwork Time Protocol时间同协议P-I 网络PDSN-InternetPDSN 与所有数据通信节点之间的网络，如PDSN 与其他路由器之间的网络R-P 网络Radio-PDSN介于无线网络（特指PCF）和 PDSN 之间的网络ER移动承载网的核心路由器，在不同的网络层级包括三类 ER：汇聚 ER（D-ER）、城域 ER（M-ER）、省级 ER（汇聚省各本地网流量的设备）A 设备基站接入设备B 设备基站接入设备的汇聚路由器MCE多业务承载 CE，包括 C网 CE、EPC CEBSC CE指接入 BSC/RNC 的 B设备RAN CE专指阿朗用于基站回传的 IPBH 设备1设备基本信息及可靠性设备基本信息及可靠性1.1 设备基本信息配置配置设备名称，要求符合资源命名规要求。配置系统时间，要求采用标准时间。定义 Router-ID，思科、华为设备配置为 Loopback0 地址，中兴设备配置为Loopback1 地址，阿朗设备缺省使用 system 关键字作为 Loopback 端口。配置模板：1.2 设备的访问及访问控制1.2.1 设备远程管理要求对 ER 设备远程管理需要进行严格控制，只允许信任用户以特定方式（SSH/SNMP 等）进行访问。在设备的初始化管理阶段允许通过 TELNET 对设备进行访问。1.2.2 路由器访问控制1.2.2.1 VTY 接口访问控制对 ER 设备 VTY 接口访问进行控制，防止非法用户通过 Telnet/SSH 方式获取 ER 设备的控制能力。具体采取以下措施对 VTY 接口访问进行控制：修改 VTY 并发连接数缺省值，调整为厂商允许最大值。华为设备最多允许同时 15个，阿朗设备为 15 个，空闲时间为 5 分钟。针对 VTY 端口设置相应的访问控制列表来限制通过 VTY 端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤：允许以下地址段访问（根据实际情况进行调整）：CN2 国设备地址段59.43.0.0-59.43.47.255集团网管地址段59.43.48.0-59.43.55.255集团 NOC 地址段202.97.3.0-202.97.3.255全网 CE 设备地址段115.168.128.0115.168.253.255省网管地址段和 IPRAN 设备管理地址段各省自定正常情况下，不允许其他地址登陆。路由器 VTY 端口的超时配置的作用是当远程登录连接在指定时间没有操作时由设备主动中断远程连接，这样可以防止所有远程登录 VTY 端口占用而无法对设备进行管理，将此超时时间设置为 5 分钟。加强 VTY 用户密码管理，对 VTY 用户采用 TACACS+集中认证和本地认证技术，TACASCS+认证优先，同时进行认证、授权、审计操作。考虑到采用 TACACS+服务器对 VTY 用户、权限进行统一管理。设备的 TACACS 管理密码应实现动态更新。紧急故障处理期间，允许外网设备通过 L2TP(IPSEC)VPN 拨号方式登陆到网管中心专用设备上，通过该设备进行跳转访问 ER 设备，正常期间需关闭 L2TP VPN 拨号访问的通道。ER 设备可管理后，需关闭 telnet，只允许使用 SSH。TACACS 认证只用于用户登录，设备命令授权推荐在设备上实现。路由器本地配置用户名和管理组作为备份管理方式，需要配置全部读写权限和只读权限 2 个级别的管理组。配置 Console 端口口令，防止非法用户对设备进行控制。配置模板：1.2.2.2 SNMP 访问控制对 SNMP 访问进行控制，防止非法用户通过 SNMP 管理接口获取设备信息。ER 设备采取以下措施对 SNMP 访问进行控制：开启 SNMP V2/v3 Agent 的功能，提高安全性，并采用 Auth&Priv 安全模式，并采用 MD5 算法。开放网管系统需要的 MIB View，对表变量（如路由表，转发表等）设置 MIB View限制网管系统访问。设置相应的访问控制列表只允许信任主机通过 SNMP 方式访问设备。SNMP 只开启只读权限，SNMP 团体名每半年更新一次。配置模板：1.2.2.3 其他服务访问控制关闭 HTTP 服务，防止非法用户通过设备提供的 HTTP 服务对设备进行访问控制。关闭 FTP 服务，防止非法用户通过设备提供的 FTP 服务下载设备重要文件，维护时期如需上传软件，则临时开启 FTP SERVER 服务。关闭路由器其他小端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19 和 UDP 19)、FINGER(TCP 79)等，增强设备本身的安全性。配置模板：1.3 设备系统日志ER 设备的系统日志包括告警日志及操作日志，在设备本地和日志服务器上保存，其中日志服务器记录的级别为 Warnings 以上。ER 设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求每天对系统日志进行检查，及时发现异常及时处理，日志在日志服务器保留期限至少三个月。配置系统的所有级别告警日志和操作日志，保存到本地，其中阿朗设备 LOG-ID 为20；华为设备 log 缓冲区大小设置为 1024。设备系统日志及其他信息显示时间为设备 NTP 时间。配置模板：1.4 设备高可靠性措施路由器主备引擎配置为自身支持的最优冗余保护方式，优选 NSR 模式。配置路由器控制引擎之间的配置文件和动态数据同步。开启 CPU 保护功能，防止非法流量对路由器引擎 CPU 的攻击。配置模板：1.5 设备负载均衡的方式目前主流厂家设备的负载均衡，可以分为两种方式：per packet 负载均衡方式 per flow 负载均衡方式对于 per packet 方式，在转发时按照报文进入路由器的次序进行负载均衡，但容易乱序并造成 TCP 转发速度慢。对于 per flow 方式，设备实现中采用 Hash 的方式，这种方式不会产生乱序。本期工程所采购的路由器缺省采用 per flow 负载均衡方式；并采用缺省或配置 hash 因子实现 MPLS流量负载均衡。配置模板：1.6 其他特性对于 ER 设备未使用端口，全部关闭，防止非法用户接入。配置模板：2网管要求网管要求2.1 省级 IPRAN 网管对 ER 的管理方式非省会地市 IPRAN，通过城域 ER 与 CN2 PE 的互联链路，建立 Global 的 EBGP peer，广播本地市 IPRAN 设备管理地址的汇聚路由到 CN2，并接收 CN2 广播的本省 IPRAN 网管地址路由及其他地市的 IPRAN 管理地址路由。配置模板：2.2 NTP 实现方式NTP 时间同步采用分级部署方式：ER 设置为二级 NTP server。B、EPC CE 和 BSC CE 作为 ER 的 NTP client。设备与 NTP server 路由交换方式如下：ER 的管理 loopback 地址路由和一级 NTP server 路由通过 Global 网管通道互相通告。B、EPC CE、BSC CE 的管理 loopback 地址路由和二级 NTP server（ER）路由通过 Global 网管通道相互通告。配置模板：3端口配置要求端口配置要求3.1 接口通用要求MTU 设置要求：华为设备网络侧 IP MTU 配置为 9000 字节，业务侧 IP MTU 配置为 2000 字节。中兴、阿朗、烽火、思科、Juniper 等设备设置物理接口 MTU；网络侧配置为 9000字节，业务侧配置为 2000 字节。配置模板：以太接口的协商模式要求：网络侧接口采用强制模式。对于业务侧接口，以业务系统接口的协商模式为主。4路由组织路由组织4.1 IGP汇聚 ER、城域 ER、省级 ER 等设备配置在相同的 ISIS 域。4.1.1 B-ER/ER-ER/EPC CE-ER/BSC CE-ER/省会 MCE-ERB-ER、ER-ER、EPC CE-ER、BSC CE-ER、省会 MCE-ER 间的互联链路统一开启ISIS Level-2 和 LDP。ISIS 进程号推荐采用 100。Cost 配置详见下表：链路ISIS metricB-DER3000B-城域 ER1500DER-城域 ER1500DER-DER50城域 ER-城域 ER100BSC CE-城域 ER500城域 ER-EPC CE500城域 ER-省会 MCE500城域 ER-省级 ER1000省级 ER-省级 ER150配置模板：4.2 MP-BGP 设置要求4.2.1 AS 设置要求 ER 统一使用省会 MCE 的 AS 号。汇聚 ER 不开启 PE 功能。配置模板：4.2.2 VRR 设置要求场景一：通过 CN2 实现省长途互联，以本地网为单位设置 VRR。城域 ER 兼作 VRR；对于 VRR Client 数超过 200 的地市，以及省会城市，要求采用独立 VRR；B、EPC CE 和 BSC CE 分别作为 VRR 的 Client；汇聚 ER 不作为 VRR 的 Client。场景一 ER（VRR）配置模板：场景二：省长途通过省级 ER 直连，设置二级 VRR。非省会本地网选取一对城域 ER 作为二级 VRR，省会选取省级 ER 作为一级 VRR；为加快 MP-BGP 路由域的收敛速度，EPC CE 既属于一级 VRR 的 Client，也属于二级 VRR 的 Client；随着网络规模的扩大，应设置独立 VRR，按一级 VRR 进行统一部署 Cluster 控制在 3 个以。场景二 ER（VRR）配置模板：场景三：EPC 网元在省跨地市部署。省会采用省级 ER 兼作 VRR，EPC 网元所在非省会城市采用城域 ER 作为 VRR，两组 VRR 配置不同的 cluster ID；两组 VRR 间配置普通 MP-IBGP 全互联 peer 关系。每个地市的 B、EPC CE 和 BSC CE 分别作为本地 VRR 的 Client；汇聚 ER 不作为 VRR 的 Client。场景三 ER（VRR）配置模板：4.2.3 MP-eBGP 设置要求 非省会城市 ER 与 CN2 PE 采用 option A 方式对接，EBGP 配置要求如下：优先采用 loopback-n 地址建立 EBGP 连接，loopback-n 地址之间互通配置BFD+静态路由；路由策略由 EPC CE/ER 侧进行控制，CE 采用 MED 控制 CE 入方向的流量，采用 Local-preference 控制 CE 出方向的流量；启用 BFD 关联 EBGP 实现快速故障发现；PE 开启 AS-Override，为防止路由环，需配置 SOO；关闭 PE 与 EPC CE/ER 之间的 BGP send-community extended，采用Standard community；PE 侧 VRF 分发静态路由和直联路由；EPC CE/ER 按照白方式向 CN2 VPN 发送本地 VPN 汇总路由 A，按需发送明细路由（本机房路由 An），实现流量流向调整；EPC CE/ER 按照黑方式拒收缺省路由，并按需增加黑路由；EBGP 连接不做 MD5 认证；关闭 Damping 以加速收敛；EBGP 设置 ebgp-multihop 2；Timer 设置：keepalive 设为 30s，hold time 设为 90s；打开 BGP 多路径 EIBGP maximum-paths 8。非省会城市MCE 与ER之间在本地优先采用EBGP Option A 方式对接。按需打通EPCVPN 与 PI-1 VPN、RAN VPN。后期移动承载网建成之后，可将 MCE 与 ER 调整到同一个AS 号。配置模板：4.3 路由快速收敛4.3.1 ER 故障检测和路由快速收敛本地网或者省网，ER 与 B、BSC CE、EPC CE 位于相同 MPLS VPN 域。图表 1 B 以上故障检测和路由快速收敛ER 所在核心层网络快速收敛部署方式：对于非省会城市，ER 作为 VPN PE 节点，配置双 RD，发布等价 VPNv4 路由，形成 VPNv4 ECMP 负载分担方式。配置下一跳跟踪触发（NHT）机制，并结合下一跳分离技术加速路由的快速收敛。开启 BFD for IGP 来实现 IGP 快速检测，检测时间间隔 3*30ms。启用部分路由计算（PRC）和增量路由收敛特性（ISPF）。为避免链路抖动，配置 carrier-delay（down 0/up 200ms）。配置 LDP/IP FRR，实现 LSP 快速切换。对于非省会城市，ER 与 B 设备为同厂家设备的情况，要求在 ER 与 B 设备之间配置BFD for Loopback 或 BFD for LSP 端到端快速检测，检测时间间隔配置 3*50ms；对于 ER 与 B 设备为异厂家的情况，暂不考虑 BFD for loopback 或 BFD for LSP。配置模板：5基站的业务实现基站的业务实现5.1 基站业务在 ER 上的实现对于非省会城市 RAN VPN，ER 用于承载基站业务，配置双 RD，采用 Option A 与 CN2对接。对于省直连链路实现长途互联方式，ER 只作为 P 设备。非省会城市 ER 配置模板：6VPNVPN 组织组织6.1 RAN VPN以省为单位设置，1X、Do 及 LTE 基站共用同一 VPN 承载，RAN VPN 在本地网侧采用 Full-Mesh 结构。本地网侧的 RD/RT 设置如下：VPNRD1RD2export1import1CDMA-RAN4134:30504134:31504134:3050004134:305000配置模板：6.2 CTVPN193 VPNCTVPN193 VPN 提供 A 和 B 设备的网管通道，以省为单位进行组网，VPN 城域采用星型组网，网管中心所在节点为 Hub 节点，其它节点为 Spoke 节点。对于非省会城市 ER，配置 EBGP OPTION A 与 CN2 对接；向 CN2 通告 193 VPN 本地网汇总地址段和(128131).x.x.x/32，并接收 CN2 通告的网管系统路由。RD/RT 定义如下：以本地网为例，CTVPN193 在城域网 RD/RT 定义如下：VPNRD1（PE1本地网）HUB 节点importHUB 节点exportSPOKEimportSPOKE 节点 exportCTVPN193-HE4134:16034134:1603004134:1603014134:1603004134:1603004134:160301配置模板：6.3 CTVPN194 VPNCTVPN194 VPN 按需设置，提供基站环境监控系统互联，在城域采用 Hub-Spoke 方式进行组网。对于非省会城市 ER，配置 EBGP OPTION A 与 CN2 对接。RD/RT 定义如下：VPNRD1（PE1本地网）HUB 节点importHUB 节点exportSPOKEimportSPOKE 节点exportCTVPN1944134:30704134:3070004134:3070014134:3070004134:3070004134:307001配置模板：7网络服务质量（网络服务质量（QoSQoS）配置）配置7.1 QoS 整体部署原则保持与 CN2 的 QoS 部署规一致；精简队列数量，降低部署难度；规并信任无线业务优先级，透传无线业务优先级；政企客户业务按照接入端口/VLAN 进行映射，透传政企业务优先级。7.2 PW+L3VPN 方案 QoS 部署策略7.2.1 业务标识上下行标识流程如下图所示：图表 2 PW+L3VPN 方案上行业务标识流程图表 3 PW+L3VPN 方案下行业务标识流程对于基站业务，基于 IP DSCP 进行标识，重置 EXP 值，IP QoS 在基站到 BSC/EPC之间的承载网络实现透传。对于政企客户业务，基于端口/VLAN 进行标识，重置 EXP 值，IP QoS 在承载网络实现透传。业务与队列映射关系如下表（DSCP 根据业务的 DSCP 标识进行调整）：业务类型DSCP（参考值）网映射（EXP）LTE 信令、IMS/PS 信令（VOIP）、LTE 话音、IP 时钟464IKE483G 信令50OAM541X 语音49视频、在线流媒体345eMBMS 组播403G 专线用户47政企客户钻石、白金等级流量/1X 数据322DO 数据/政企客户金、银等级流量/LTE 网管（低优先级）140实时游戏、高速上网类10政企客户铜等级流量/配置模板：7.3 队列调度调度策略建议如下：IPP网映射（EXP）队列调度调度策略66PQ（优先队列）不限速4PQ（优先队列）限速 90%5轮询队列 1剩余带宽的 80%2轮询队列 2剩余带宽的 20%0BE注：信令与业务流的 PQ 队列尽量分开设置，根据设备不同情况也可以合并队列设置。配置模板：8通道类业务实现通道类业务实现8.1 CN2 三层 VPN 在城域二层通道落地方案8.1.1 业务从 B 设备接入/落地业务从 A 设备接入/落地，双侧采用单归接入方式，通过多段 PW 承载，配置端到端 BFDfor PW 进行故障检测。配置模板：8.1.2 业务从 B 设备接入/落地业务从 B 设备接入/落地，单侧采用双归接入方式，通过单段 PW 承载，双归接入侧配置 Bypass-PW，用于故障场景下的流量迂回，配置 BFD for PW 进行故障检测。配置模板：8.1.3 业务从 A 设备接入/落地业务从 A 设备接入/落地，单侧采用双归接入方式，通过多段 PW 承载，双归接入侧配置 Bypass-PW，用于故障场景下的流量迂回，配置 BFD for PW 进行故障检测。配置模板：8.2 QoS 部署方案通道类业务 QoS 部署原则：不能修改业务报文的优先级；根据签约 SLA 信息，统一设置业务优先级；对通道类业务进行限速，避免对 1X/DO/LTE 等高价值业务造成影响；针对专线存在多个等级的情况，统一按照 EXP2 进行映射；配置模板：9设备命名规设备命名规9.1 设备命名城市缩写-县缩写-节点缩写-设备属性-设备编号.网络（业务）类型.设备类型符号字符字符字符字符字符字符字符字符数字字符字符字符字符字符数818181固定111417选项必选必选可选可选必选必选必选必选必选必选必选必选可选 字母大小各市需要采用统一标准，全部大写。两端、中间不带任何空格。城市标识，取城市名称拼音的首字母大写，如：NJ。当出现郊区县时，在城市标识后加郊区县名称拼音的首字母，如六合县：NJ-LH。节点标识，取节点名称拼音的首字母大写，如两节点的首字母有重叠则取拼音不相同的字用全拼，分两种情况：当前一个字不同，则前个字用全拼，如门（HanZM）和后宰门（HouZM）；当后一个字不同时则后一个用全拼。A 设备的节点名称需要各省统一规划。设备属性标识，规定如下：IP RAN 接入层设备（A 类设备）：AIP RAN 汇聚层设备（B 类设备）：B汇聚 ER 设备：D城域 ER 设备：M省级 ER 设备:XEPC CE/BSC CE：MCEVPN 路由反射器:V 设备序号，取阿拉伯数字，从 1 开始。同节点的相同属性的设备间以设备序号区别。网络类型：MCN 设备型号：华为 CX600、ATN950；中兴：9000 系列、6000 系列；阿朗：7705S。示例：9.2 网络端口命名 网络端口指网络的互连接口，其命令格式为：端口网络位置:对端设备名称：（链路输出编号）对段端口类型 对端端口标志uT:（上行)pT：(平行)dT：(下行)对端设备名称：（链路传输编号）对端端口类型对端端口标志符号字符字符字符字符字符数字/字符字符数320115108选项必选必选必选必选必选可选 该类型端口的描述端口描述包含下面几部分：端口网络位置：uT:（上行)pT:(平行)dT:(下行)对端设备名称：在点对点链路情况下，采用与设备直接连接的对方设备名称；对于以太网点对多点的链路情况下，填写直接连接的网段名称。对端端口类型：FE、GE、POS、10GE；对端端口标志：表示链路对端设备对应端口的具体标志规；链路传输编号：表示链路的传输号,如果同机房设备互联无传输编号,则为(Local)；调测期间的链路描述最后增加“:PROCESSING”，调测完成加业务后取消。示例uT:NJ-XX-ME-1.MAN.NE40E:(S-16N0001IP)GE2/0/0表示该接口上行到市 XX 节点第一台 ER NE40E 的 GE2/0/0 端口，传输号S-16N001IP。9.3 Loopback 接口命名Loopback 环回接口的描述格式为“For-固定字符串”。其中，固定字符串应为有意义的英文字符串（小于 30 个字符），可以标注出该接口的特殊功能，如：Management、Multicast、VPN、Global Routing、BGP Load balance、LSP 等。示例description For-VPN9.4 基站业务接口命名dT:基站名称-业务编号 该类型接口的描述端口描述包含下面几部分：基站名称：按无线专业进行命名；业务编号：包括 1X、DO 和 LTE。配置模板：10配置示例配置示例10.1 ER 设备配置示例（插入附件）