黑莓业务网络部署配置方案.doc

《黑莓业务网络部署配置方案.doc》由会员分享，可在线阅读，更多相关《黑莓业务网络部署配置方案.doc（23页珍藏版）》请在三一办公上搜索。

1、中国电信黑莓业务网络部署配置方案 （V2.0）电信股份有限公司广东研究院数据通信研究部二二三年二月修订记录版本号日期描述v0. 12009年8月24日初稿V0.82009年9月3日对三种可选方案进行了考虑和对比V1.02009年9月23日增加了地址规划，各设备配置模板V1.22009年10月15日对BG的部署方案进行了修订，增加了ACL控制V2.02009年10月19日对中兴AAA的配置、BG的配置进行了修订目 录1.1概述11.2网络配置要求21.2.1分组域的配置21.2.2承载网络CE的配置31.2.3CN2 网络配置41.2.4国际网关BG（CT）的配置41.3配置模板51.3.1PD

2、SN配置模板51.3.2AAA配置模板71.3.3CE配置模板161.3.4PE配置模板181.3.5广州BG配置模板18中国电信黑莓业务网络部署配置方案1.1 概述黑莓(BlackBerry)业务是指把用户在邮件服务器收到的邮件，通过端到端的安全连接，主动推送给专有BlackBerry终端的一种业务形式。用户通过BlackBerry业务可以随时随地使用专有终端接收、回复、转发和撰写加密电子邮件。中国电信的黑莓业务需要实现以下互访需求：1. 黑莓用户能够访问黑莓服务器，使用黑莓业务；2. 非黑莓用户不能使用黑莓业务；3. 用户使用wap拨号时，不能访问黑莓资源；4. 黑莓用户能够正常使用WAP

3、业务。为实现上述互访需求，黑莓手机终端需要通过专用的NAI拨号，获取IP地址之后，实现与黑莓服务器之间的互访。RIM公司的黑莓服务器通过国际互联网专线接入到中国电信CN2网络在美国的POP节点，使用GRE tunnel方式与中国电信广州的BG实现互通，通过广州BG实现与中国电信PI1 VPN的ctbb用户的互访。广州BG目前还处在国际漫游业务的割接期间，由AS号的原因，广州BG与CN2 PE互通时暂时还不能启用BGP的方式，所以本次黑莓业务部署时，广州BG与CN2 PE之间采用静态路由的方式互通。为方便静态路由方式的部署，集团统一为各省PDSN分配了10.224.128.0/17的ctbb的地

4、址池地址。考虑到将来BG与CN2 PE互通也会采用BGP的方式，为方便对各省ctbb地址池路由的控制，要求CN2 PE在接收各省ctbb地址段路由时，为ctbb地址段统一打上community标识。1.2 网络配置要求1.2.1 分组域的配置为了区分黑莓用户，需要在各省AAA上启用单独的NAI，并启用绑定功能，只允许申请了黑莓业务的用户使用该NAI。AAA的配置要求如下：1. AAA上启用新的NAI，该NAI为：ctbb,密码为vnet.mobi；2. AAA上启用NAI绑定功能，将申请了黑莓业务的IMSI号码与ctbb的NAI绑定，不允许其他用户使用该NAI；（对于使用中兴AAA的省份，如四

5、川、贵州、海南、甘肃等，由于设备的功能限制，暂时不做IMSI与NAI的绑定，待后续版本支持该功能后再做调整。）3. AAA根据该NAI，给PDSN返回VR属性2（PI1），地址池名称为ctbb（小写），并授权私网业务DNS；4. 为了实现ctbb拨号之后，也能够访问WAP业务，需要AAA将ctbb业务的计费包转发给WAP GW。各省PDSN需要为黑莓业务配置单独的地址池，要求如下：1. PDSN上配置新的地址池； 地址池名称：ctbb（小写） 所属VR：VR 2（思科的PDSN，需要检查核对策略路由，保证黑莓用户的业务流量能够被路由到PI1 网络） 地址段：集团分配给各省的ctbb地址段2.

6、完成PDSN与承载网CE路由互通数据的配置； PDSN使用静态默认路由的方式将下一跳指向CE； CE上将到各PDSN ctbb地址池的明细路由指向相应的PDSN；1.2.2 承载网络CE的配置集团公司统一规划一段地址作为ctbb地址池地址，各省CE将本省ctbb地址池地址段汇总路由发布到CN2 PI1VPN中。CE相关配置要求如下：1. CE上将到各PDSN ctbb地址池的明细路由指向相应的PDSN；2. CE上对本省PDSN ctbb地址池地址进行手动汇总，汇总隔离度最小一个C，并将汇总后的路由发布到CN2 PI-1 VPN；3. 各省ctbb地址规划如下：针对黑莓业务的用户地址池，为每个

7、省规划如下地址作为ctbb专用地址池，该地址段和其他私网业务的地址段分开。黑莓用户地址规划表省份地址量（C）IP地址范围备注1.2.3 CN2 网络配置广州BG（CT）通过CDMA-PI1 VPN实现与各省PDSN上ctbb地址池互通，相关的互通策略如下：在连接C网CE的CN2 PE上，修改原接收策略，增加对ctbb地址池路由的接收，路由颗粒度控制在1个C，接收ctbb路由的同时增加community标记4134:10010作为后期扩展使用。1.2.4 国际网关BG（CT）的配置广州BG（CT）做为国际漫游出口已经接入CN2网络中，通过两条GE电路双上连到广州CN2两台PE，通过子接口方式接入

8、CN2的Global及CDMA-PI0、CDMA-PI1、CDMA-PI2 VPN以满足漫游访问需求；广州BG（CT）使用AS4809（同CN2 AS号）与其它运营商互联，广州BG（CT）与CN2 PE采用静态方式交互路由。黑莓用户访问RIM Server的流量承载在广州BG（CT）上，在BG上新建CDMA-PI1-CTBB VPN专门用于承载黑莓业务路由；在BG与PE互连电路上划分子接口，将BG上的CDMA-PI1-CTBB VPN与CN2 CDMA-PI1 VPN互联，采用静态Option-A方式交互路由，CN2侧将RIM Server汇总路由指向BG，BG侧将黑莓用户地址池汇总路由指向C

9、N2。BG（RIM）通过2条加拿大至美国的长途互联网专线，接入CN2的2个美国POP节点，广州BG（CT）通过与CN2的Global接口与BG（RIM）互通，黑莓用户访问RIM Server的流量完全承载在CN2网络中，从而保障了链路质量和安全。广州BG（CT）与BG（RIM）建立GRE Tunnel用于承载黑莓用户访问RIM Server的流量，广州BG（CT）将Tunnel终结到CDMA-PI1-CTBB VPN中，广州BG（CT）与BG（RIM）间采用EBGP方式交互路由，CT侧将黑莓用户地址池汇总路由发布到RIM，RIM侧将RIM Server汇总路由发布给CT，CT侧对接收的路由进行

10、严格匹配。1.3 配置模板1.3.1 PDSN配置模板1.3.1.1思科PDSN配置 地址池创建ip local pool ctbb 10.x.x.x 10.y.y.yip route 10.x.x.x 掩码 Null0 (将ctbb地址池指向Null0) 策略路由检查核对检查ctbb地址池地址段是否已经包含在策略路由中，保证ctbb地址池用户能够接入到PI1 网络ip access-list standard pdsn-ctbb-pool permit 10.224.128.0 0.0.127.255 route-map pdsn-pool-to-CE permit xx match ip

11、address pdsn-ctbb-pool set ip next-hop verify-availability x.x.x.x track xx 在相应接口上启用该略interface xxxxx ip policy route-map pdsn-pool-to-CE1.3.1.2星运PDSN配置context 2ip pool ctbb range 10.x.x.x 10.y.y.y private 01.3.1.3 UT PDSN配置set context=pdsnadd ip-pool pool rid=2 name=ctbb initial-address=10.x.x.x,si

12、ze=yyyy netmask=z.z.z.z state=active type=privateadd route blackhole rid=2 dest=10.x.x.x mask=z.z.z.z1.3.1.4中兴PDSN配置1. 增加IP地址池操作：1）增加IP地址池ADD IPPOOL:IPPNAME=ctbb,IPPNO=5,IPPATTR=Normal,VRFID=2,ADDRTYPE=PrivateWAP;2）在增加的IP地址池中增加地址段ADD IPPOOL SEG:IPPNAME=ctbb,IPPNO=5,STARTIP=10.x.x.x,ENDIP=10.x.x.x,NE

13、TMASK=255.x.x.x,UPUNIT=5,PRIORITY=100,REALMNAME= ;/备注：a) UPUNIT指的是GGUP的单元号，需要根据现场的实际情况配置。b) STARTIP、ENDIP 根据现场实际分配的地址填写2.增加策略路由操作：1）增加ACLACL:ACLNAME=ctbb;ADD ACL LIST NETWORK:INDEX=1,ACTION=PERMIT,SRCIP=10.x.x.x-0.x.x.x,ANYDEST=YES,IP=YES;EXIT ACL;/备注：a) SRCIP=10.x.x.x-0.x.x.x 10.x.x.x为策略路由的源地址，为ctb

14、b地址池中分配给用户的地址，需要根据现场的实际地址规划填写。0.x.x.x为反掩码，需要根据分配的地址段填写。2）增加ROUTE-MAPADD ROUTE MAP:ROUTEMAP=MAPROUTE,ACTION=PERMIT,SEQUENCE=105ADD MATCH ACL:ACL=ctbb;ADD IP NEXT HOP:NEXTHOP=x.x.x.x,enablebfd=enable;ADD IP NEXT HOP:NEXTHOP=x.x.x.x,enablebfd=enable;ADD IP NEXT HOP:NEXTHOP=x.x.x.x,enablebfd=enable;ADD

15、IP NEXT HOP:NEXTHOP=x.x.x.x,enablebfd=enable;EXIT ROUTE MAP;/备注：a) ROUTEMAP=MAPROUTE ROUTEMAP的名称可以根据现场具体情况配置b) SEQUENCE=105 SEQUENCE需要根据现场情况进行配置c) ADD IP NEXT HOP 为添加的下一跳地址，根据现场路由规划进行相应的配置d) enablebfd=enable; BFD检测开关打开，务必确认与PDSN连接的CE上开启了BFD，否则会BFD检测为DOWN状态会导致策略路由不通。1.3.2 AAA配置模板1.3.2.1首信AAA配置1、 新建ct

16、bb：登录AAA OMC界面，进入“AAA用户信息管理”“NAI信息管理”，单击“添加”按钮，出现如图1所示界面： 图1其中，域名为默认的telecom，用户名为ctbb,密码为vnet.mobi，用户组为默认的default，用户MDN空，用户服务类型选SIP，内容计费方式为默认的离线，MN-HA密钥空，用户IMSI空，静态IP地址为默认的0.0.0.0，IP地址池为ctbb，授权属性列名称空，在线时长-1，空闲时长-1，用户类型为绑定用户，用户状态可用，漫出状态不受限制。填好以上信息后点确定。2、 给ctbb绑定IMSI：进入“绑定业务配置”“业务绑定配置”，出现如图2所示界面。图2点击c

17、tbb后边的业务绑定，出现如图3所示信息图3单机“添加”按钮，为ctbb添加绑定的IMSI，也就是可以使用这个NAI的IMS，添加绑定的IMSI有两种方式，单个IMSI和区间IMSI，如果要添加区间IMSI的话，IMSI必须是连续的，输入单个imsi或者区间IMSI后，点击确定即可。界面如图4所示：图43、 VR属性及DNS的授权：点“击业务授权管理”“动作授权”，出现如图5所示界面：图5点击“添加”按钮，出现如图6所示信息：图6记录位置不选，动作名称配置为ctbb_vr2，设备商选standard，属性名选Framed-Pool，属性值输入ctbb，输入好后，点击“添加”按钮，然后点击“下一

18、步”，出现如图7所示界面：图7添加各种动作： UT PDSN VR属性 ,动作选delattr，设备商选3COM，属性选UT-Virtual-VR，属性值输入-1，然后点击添加；动作选addattr，设备商选3COM，属性选UT-Virtual-VR，属性值输入2，然后点击添加。 中兴 PDSN VR属性，动作选delattr，设备商选ZTE，属性选ZTE-Virtual-VR，属性值输入-1，然后点击添加；动作选addattr，设备商选ZTE，属性选ZTE-Virtual-VR，属性值输入2，然后点击添加； 星运PDSN VR属性，动作选delattr，设备商选STRENT，属性选SN1-V

19、PN-Name，属性值输入*，然后点击添加； 动作选addattr，设备设备商选STRENT，属性选SN1-VPN-Name，属性值输入2，然后点击添加； DNS授权，动作选delattr，设备商选3GPP2，属性选DNS-Server-IP-Address，属性值输入*，然后点击添加；动作选addattr，设备商选3GPP2，属性选DNS-Server-IP-Address，属性值输入私网DNSIP，然后点击添加。界面如图8所示，所有属性添加好后，点击确定即可。图84、 计费包转发配置，添加新的动作授权，动作名输入ctbb_wap,设备商选standard，属性选User-Name，属性值输

20、入ctbb*，然后点击添加，再点击下一步，出现图7界面后，动作名选proxygateway，动作值选,然后点击确定。5、 配置生效，点击OMC界面左下角的重载配置使其生效即可。1.3.2.2中兴AAA配置 中兴AAA配置概述1. 创建黑莓业务用户，用户名为ctbb,密码为vnet.mobi；2. 创建IP地址池，地址池名称为ctbb（小写）3. 黑莓业务用户关联VPN ID（属性2）以及DNS4. 黑莓业务用户关联WAP GW 中兴AAA配置步骤详述1. 创建黑莓业务用户，用户名为ctbb，密码为vnet.mobi登录OMC，视图-命令终端，选择MML命令-AAA数据配置-业务配置-用户信息配

21、置-CDMA公用账号配置-创建CDMA公用帐号输入用户名称为ctbb，所属组ID为0，用户口令为vnet.mobi，是否向WAP网关发送消息选择【是】，点击执行，创建成功查询CDMA公共用户结果如下（同级路径下选择【查询CDMA公共帐号】）2. 创建IP地址池，地址池名称为ctbb（小写）选择MML命令-AAA数据配置-业务配置-授权信息配置-PDSN IP池配置-创建PDSN IP池输入PDSN标识号，本例为1（可通过SHOW AAASA查询）；输入用户ID，即黑莓用户ctbb的用户ID，本例为4；输入PDSN IP池名称ctbb, 点击执行，创建成功3. 三、黑莓业务用户关联VPN ID（

22、属性2）以及DNS选择MML命令-AAA数据配置-业务配置-授权信息配置-VPNID和DNS授权配置-创建VPNID和DNS授权规则类型选择【IPPool Tag 地址池名称】；规则值填写为ctbb；VPN标识填写为2；主用DNS IP地址以及备用DNS IP地址以实际情况为准。4. 黑莓业务用户关联WAP GW（1） 如果未配置WAP GW安全关联，需要先配置；如已经配置则直接跳至第（2）步选择MML命令-AAA数据配置-路由配置-Radius安全关联-创建Radius安全关联输入客户端IP，本例为192.168.51.253；选择客户端类型【WAP GATE】；输入安全密钥，本例为wap；

23、输入客户端名称，本例为WAP GW，点击执行，创建成功（2） 如果未配置WAP GATE转发服务器，则先配置；如已经配置则直接跳至第（3）步选择MML命令-AAA数据配置-路由配置-WAP GATE与转发服务器配置-创建WAP GATE与转发服务器输入WAP GATE与转发服务器标识，本例为3；选择消息转发类型，请根据实际情况选择，本例全选，点击执行，创建成功（本例无备用WAP GATE）（3） 黑莓业务用户关联WAP GW选择MML命令-AAA数据配置-业务配置-用户信息配置-CDMA公用账号转发配置-创建CDMA公用帐号转发输入CDMA公用帐号ID，本例为4；选择服务器类【WAP GATE

24、】；输入服务器ID，本例为3；点击执行，创建成功1.3.3 CE配置模板1.3.3.1华为CE配置/在CDMA-PI1中对本省ctbb地址池地址段进行手动汇总ip route-static vpn-instance CDMA-PI1 x.x.x.x x.x.x.x NULL0 /在CDMA-PI1中将到各PDSN ctbb ip pool的明细路由指向相应PDSNip route-static vpn-instance CDMA-PI1 x.x.x.x x.x.x.x 下一跳地址为相应PDSN PI1接口地址/根据实际情况增加路由条目#/配置路由策略，过滤发布的路由（只发布本省ctbb汇总路由

25、）ip ip-prefix PI1-ctbb index 10 permit A（各省 ctbb汇总路由）#route-policy PE-PI1-peer1 permit node 10 if-match ip-prefix PI1-ctbbbgp xxxx ipv4-family vpn-instance CDMA-PI1 peer x.x.x.x route-policy PE-PI1-peer1 export / 向外发布路由时使用路由策略1.3.3.2阿郎CE配置#配置在VRF-PI1内与CN2 PE进行互通，为了篇幅只列出与黑业务相关的配置 vprn 1001 customer 1

26、 create description CDMA-PI1 /在CDMA-PI1中将到各PDSN ctbb ip pool的明细路由指向相应PDSNstatic-route x.x.x.x/y next-hop PDSN PI-1 互联地址/在CDMA-PI1中对本省ctbb地址池地址段进行手动汇总static-route X.X.X.X/x black-hole bgp #与CN2建立EBGP邻居 group CDMA-PI1 export route-to-PE-PI1 #发布需要的路由 local-as xxxx peer-as 4809 neighbor x.x.x.x /在BGP中发布

27、本省ctbb路由 prefix-list route-to-PE-PI1-ctbbr prefix X.X.X.X/x exact #需要发布的汇聚路由 policy-statement route-to-PE-PI1 #发布路由的策略 entry 10 from prefix-list route-to-PE-PI1-ctbbr exit to protocol bgp exit action accept exit exit 1.3.3.3思科CE配置/在CDMA-PI1中对本省ctbb地址池地址段进行手动汇总ip route vrf CDMA-PI1 x.x.x.x x.x.x.x NU

28、LL0 /在CDMA-PI1中将到各PDSN ctbb ip pool的明细路由指向相应PDSNip route vrf CDMA-PI1 x.x.x.x x.x.x.x 下一跳地址为相应PDSN PI1接口地址/根据实际情况增加路由条目#/配置路由策略，过滤发布的路由（只发布本省ctbb汇总路由）ip prefix-list PI1-A permit 10 A（各省 ctbb汇总路由）#route-map PE-PI1-peer1 permit 10 match ip address prefix-list PI1-ctbbrouter bgp xxxxaddress-family ipv4

29、 vrf CDMA-PI1 red staticneighbor x.x.x.x route-map PE-PI1-peer1 out / 向外发布路由时使用路由策略1.3.4 PE配置模板1.3.4.1与各省CE互联的PE的配置/配置脚本参考如下：!ip prefix-list pl_CDMA-PI1_ctbb permit x.x.x.x/y le 24!route-map rp_CDMA-PI1_in permit 5 match ip address prefix-list pl_CDMA-PI1_ctbbset community 4134:10010!/在相应的bgp peer上启

30、用该策略router bgp 4809address-family ipv4 vrf CDMA-PI1neighbor X.X.X.X route-map rp_CDMA-PI1_in in1.3.4.2与广州BG互联的PE的配置/配置脚本参考如下：!ip route vrf CDMA-PI1 10.224.128.0 255.255.128.0 null0ip route vrf CDMA-PI1 x.x.x.x y.y.y.y next-hop为与广州BG互联的接口地址/x.x.x.x代表RIM Relay Server地址段/y.y.y.y代表RIM Relay Server地址段掩码1

31、.3.5 广州BG配置模板1.3.5.1与PE互联的配置/配置脚本参考如下：ip vrf CDMA-PI1-CTBBrd 4134:3010route-target export 4134:301000route-target import 4134:301000!ip route vrf CDMA-PI1-CTBB 10.224.128.0 255.255.128.0 next-hop为与PE PI-1 VPN互联的接口地址1.3.5.2与RIM BG GRE Tunnel的配置interface Tunnel0 ip vrf forwarding CDMA-PI1-CTBB ip mtu

32、xxxx/mtu值需要双方协商确定，由于gre开销为24byte，建议mtu1476ip address x.x.x.x y.y.y.y tunnel source gex/y.z /源地址为与PI0 VPN互通的公网IP地址 tunnel destination A.A.A.A/目标地址为黑莓BG的国际互联网专线公网IP地址1.3.5.3与黑莓 BG EBGP的配置router bgp 4809 no synchronization bgp log-neighbor-changes no auto-summary ! address-family ipv4 vrf CDMA-PI1-CTBB

33、redistribute static neighbor x.x.x.x remote-as aaaa neighbor x.x.x.x update-source Tunnel0 /使用GRE Tunnel地址与对方建立EBGP neighbor x.x.x.x activate neighbor x.x.x.x send-community neighbor x.x.x.x route-map rp_CDMA-ctbb_in in/使用路由策略仅接收RIM Relay Server IP地址段的路由 neighbor x.x.x.x route-map rp_CDMA-ctbb_out o

34、ut/使用路由策略仅将ctbb用户地址池地址段的路由发布给黑莓公司 no synchronization exit-address-family!ip route vrf CDMA-PI1-CTBB 10.224.0.0 255.255.128.0 Null0!ip community-list standard cl_CDMA_ctbb permit 4134:10010!ip prefix-list pl_CDMA_ctbb seq 5 permit 10.224.128.0/17!ip prefix-list pl_RIM_relay_server seq 5 permit x.x.x.x/y /黑莓 RIM relay server 地址段，按需增加!route-map rp_CDMA-ctbb_in permit 10 match ip address prefix-list pl_RIM_relay_server! route-map rp_CDMA-ctbb_out permit 10 match ip address prefix-list pl_CDMA_ctbb!route-map rp_CDMA-ctbb_out permit 20 match community cl_CDMA_ctbb/为将来使用community方式发布路由做准备!