《中国移动TDPSBG接入方案》由会员分享,可在线阅读,更多相关《中国移动TDPSBG接入方案(16页珍藏版)》请在金锄头文库上搜索。
1、TD PS BG接入方案V1.2007-7目 录1概述32业务和PS域系统对承载的需求32.1业务需求32.2TD PS与CMNET网间互联拓扑结构32.3方案说明42.3.1网间互联流量的对称性和冗余实现42.3.2北京或广州站点内流量的对称性和冗余实现42.3.3防火墙的配置说明5HA配置7端口配置8静态路由配置8OSPF配置9安全策略配置93BG接入方案异常场景保护机制103.1北京站点故障103.2北京站点内BG和主用FW链路故障103.3主用防火墙故障113.4主用防火墙与AR间链路故障114实施建议124.1北京站点124.2广州站点124.3其他121 概述本方案规定了TD核心网
2、分组域设备BG路由器接入CMNET及IP承载网方案。 2 业务和PS域系统对承载的需求2.1 业务需求TD PS全网通过在北京、广州的TD PS域出口,经过防火墙与CMNET在北京、广州新设的两台两台BG(北京、广州各一台)接入CMNET及其它运营商TD网络路由器相连,通过CMNET实现到移动GPRS网络的互通。两台BG处于热主备工作,由于流量流经防火墙,必须保证流量的对称,因此采用BGP路由协议的属性实现流量对称和冗余,网络正常状态下通过路由优选北京BG作为出口BG,由承载网。此外,在北京和广州,路由规划实现。每台BG具有冗余链路分别连接当地的两台AR,冗余保证BG接入的可靠性。2.2 TD
3、 PS与CMNET网间互联组网拓扑结构BG接入的组网拓扑结构如下图所示(北京、广州没有区别):中国移动BG通过两条GE接口连接CMNET AR,保证到CMNET的链路冗余可靠,IGP为ISIS,与CMNET位于同一个AS内,AS号码9808;新设的CMNET BG路由器采用共出两条GE链路连接到Gp口一对防火墙,Gp口防火墙和IP承载网AR通过GE接口口字形连接,如上图所示拓扑结构。注意两台防火墙之间的连线用于会话同步,不起任何路由协议,不进行流量转发。防火墙和BG的所有接口开启动态路由协议,通过路由优选一台防火墙主用,另一台防火墙处于热备份状态。2.3 方案说明网间互联流量的对称性和冗余实现
4、2.4 TD PS域作为IP承载网的一个VPN,需要在北京、广州通过两台BG路由器实现与CMNET网络的联通,鉴于北京、广州的网间互联点都有防火墙,因此需要确保BGP流量的对称性,在对称的基础上实现流量的冗余。总体要求为:采用北京BG作为流量进出的主用节点,广州BG作为备用节点,通过AS-Path和Local prefer来实现。具体实现策略如下:2.5 针对北京AR1将9808增加1个,针对北京AR2将9808增加2个;针对广州AR1将9808增加3个,针对广州AR2将9808增加4个,另外对北京BGFW2AR2之间的OSPF 链路Metric设为高于BGFW1AR1之间的OSPF 链路,对
5、广州BGFW2AR2之间的OSPF 链路Metric设为高于BGFW1AR1之间的OSPF 链路;在CMNET广州BG路由器上向CMNET内部宣告中国移动TD PS网络时,将路由的本地优先属性设为90,低于北京的缺省值100。这样配置网络的效果如下:所有进出流量对称;第一优选链路:北京BG-FW1-AR1; 第二优选链路:北京BG-FW2-AR2;第三优选链路:广州BG-FW1-AR1;第四优选链路:北京BG-FW2-AR2;北京或广州站点内流量的对称性和冗余实现以北京站点为例。CMNET BG路由器经过防火墙与IP承载网的AR建立EBGP Multihop连接,BG相当于中国移动TD PS域
6、VPN的一台CE;双方路由通过EBGP Multihop互通,实现两个网络的IP可达。防火墙和BG、AR的所有接口开启OSPF动态路由协议,OSPF协议仅用于实现AR-FW-BG之间的接口地址可达,BG分别与AR1和AR2建立两条EBGP Multihop session,通过设定路由Metric优选其中一个Session作为主用,另一个EBGP Multihop session处于热备份状态。由于采用两条BGP连接,主用为Active,备用为Inactive,当主用链路故障,备用链路激活过程中无需TCP重建、无需BGP连接重建、无需双方路由重新发布,因此流量切换时间较快。为了保障在一个站点内
7、的流量对称性,BG针对AR1通告的AS-Path将9808增加1个,针对AR2通告的AS-Path将9808增加2个,然后再设备从BG到AR2的OSPF link metric高于BG到AR1的OSPF Link;当主用路径故障时,原Metric 高的EBGP Multihop session启用,同时IP承载网中原AS-Path更长的那台路由器也被激活,流量经一定的BGP收敛时间后切换到备用链路。由于防火墙处于EBGP Multihop session的中间一跳,对到达CMNET或TD PS VPN的路由无法感知,因此需要配置到TD PS VPN的静态路由,下一跳指向AR的接口地址;同时针对
8、去往CMNET方向的流量配置一条缺省路由,下一跳指向BG的接口地址,以实现流量的正常转发。另一个需要说明的问题:北京两台Alcatel AR路由器,同时还接有本地TD PS域的CE,Alcatel路由器不支持本地同一个VPN起两个OSPF进程,因此导致北京BG1通过OSPF和EBGP收到两份TD PS VPN路由,而且缺省状态下OSPF路由优先级高于EBGP,因此会导致BG不将EBGP学到的路由通告到CMNET,解决的方法为在BG1上将OSPF的优先级进行调整,从150调整至200。2.5.1 防火墙的配置说明2.5.1.1 实施方案说明全网通过两台BG(北京、广州各一台)接入CMNET及其它
9、运营商TD网络,通过CMNET实现到移动GPRS网络的互通。两台BG处于热主备工作,通过路由优选北京BG作为出口BG,由承载网路由规划实现。每台BG具有链路冗余保证BG接入的可靠性。2.5.1.2 组网拓扑结构BG接入的组网拓扑结构如下图所示(北京、广州没有区别):中国移动BG通过两条GE接口连接CMNET AR,保证到CMNET的链路冗余可靠;移动BG共出两条GE链路到Gp口一对防火墙,Gp口防火墙和IP承载网AR通过GE接口口字形连接,如上图所示拓扑结构。防火墙和BG的所有接口开启动态路由协议,通过路由优选一台防火墙主用,另一台防火墙处于热备份状态。2.5.1.3 防火墙实施步骤启用osp
10、f路由协议实现网络故障动态收敛,两防火墙间通过NSRP心跳线相连,用于同步防火墙间session表同步,通过设定metric值实现网络流量热主备工作,并保证优选一台防火墙同时出入流量经过同一台防火墙。防火墙作如下配置:两防火墙间通过心跳线连接(接口置于HA zone并启用NSRP),删除缺省的NSRP VSD 0 group,取消缺省的配置同步功能,启用NSRP的session同步功能,并配置nsrp rto-mirror session non-vsi命令,实现非vsi环境下session信息在两防火墙间的同步。配置两防火墙策略,使之始终保持一致。在正常情况下两防火墙各自处理进出的网络流量(
11、由于做了路由优选策略,只有一台防火墙上有流量,另一台处于热备份状态),并互相同步彼此建立的session表,当网络出现故障时(路由器、防火墙或连接线缆),通过ospf动态路由协议进行收敛和路径切换,由于两防火墙间session信息始终保持一致,即使应用流量从一侧进来,因路径切换而从另一侧返回时,另一个防火墙也能正确地进行状态检查和流量转发,保证应用的session不会发生中断。2.5.1.4 实施步骤2.5.1.4.1 准备1 光纤4对(LCLC)2 备份核心路由器的配置和IOS3 上线工具一套2.5.1.4.2 涉及人员移动公司:中兴通讯公司2.5.1.4.3 防火墙接口连接图SSG550-
12、A的接口配置如下:本地接口对端设备对端接口区域Eth0/0移动BGTrustEth0/1AR1UntrustEth0/2MGTEth0/3SSG550-BEth0/3HASSG550-B的接口配置如下:本地接口对端设备对端接口区域Eth0/0移动BGTrustEth0/1AR2UntrustEth0/2MGTEth0/3SSG550-AEth0/3HA2.5.1.4.4 防火墙的配置步骤HA配置set nsrp cluster id 1/创建NSRP群组set nsrp rto-mirror sync/启用RTO对象同步set nsrp rto-mirror session ageout-ac
13、k/ Specifies a time value based on which the backup device sends an ack message to the primary device to refresh its sessions or time them out. The session age-out value of a backup device is eight times that of the primary device.set nsrp rto-mirror session non-vsi/ Enables the synchronization of n
14、on-VSI sessionsunset nsrp vsd-group id 0/删除默认的vsd组0set nsrp monitor interface ethernet0/0/设置监控端口set nsrp monitor interface ethernet0/1/设置监控端口unset nsrp config sync/强制防火墙双机不能同步配置端口配置set interface ethernet0/0 zone Trust/将端口0/0放进trust区set interface ethernet0/1 zone Untrust/将端口0/1放进untrust区set interface
15、 ethernet0/2 zone MGT/将端口0/2放进MGT区set interface ethernet0/3 zone HA/将端口0/3放进HA区set interface ethernet0/0 ip 30.0.1.2/24/给端口0/0配置IPset interface ethernet0/0 route/配置端口为路由模式set interface ethernet0/1 ip 30.0.3.1/24/给端口0/1配置IPset interface ethernet0/1 route/配置端口为路由模式set interface ethernet0/2 ip 172.16.1.12
