收藏
下载资源 加入VIP免费专享

中国移动TDPSBG接入方案.doc

上传人:文库蛋蛋多 文档编号:4136526 上传时间:2023-04-07 格式:DOC 页数:12 大小:1.16MB
返回 下载 相关 举报
中国移动TDPSBG接入方案.doc_第1页
第1页 / 共12页
中国移动TDPSBG接入方案.doc_第2页
第2页 / 共12页
中国移动TDPSBG接入方案.doc_第3页
第3页 / 共12页
中国移动TDPSBG接入方案.doc_第4页
第4页 / 共12页
中国移动TDPSBG接入方案.doc_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《中国移动TDPSBG接入方案.doc》由会员分享,可在线阅读,更多相关《中国移动TDPSBG接入方案.doc(12页珍藏版)》请在三一办公上搜索。

1、TD PS BG接入方案V1.2007-7目 录1概述32业务和PS域系统对承载的需求32.1业务需求32.2TD PS与CMNET网间互联拓扑结构32.3方案说明42.3.1网间互联流量的对称性和冗余实现42.3.2北京或广州站点内流量的对称性和冗余实现42.3.3防火墙的配置说明5HA配置7端口配置8静态路由配置8OSPF配置9安全策略配置93BG接入方案异常场景保护机制103.1北京站点故障103.2北京站点内BG和主用FW链路故障103.3主用防火墙故障113.4主用防火墙与AR间链路故障114实施建议124.1北京站点124.2广州站点124.3其他121 概述本方案规定了TD核心网

2、分组域设备BG路由器接入CMNET及IP承载网方案。 2 业务和PS域系统对承载的需求2.1 业务需求TD PS全网通过在北京、广州的TD PS域出口,经过防火墙与CMNET在北京、广州新设的两台BG路由器相连,通过CMNET实现到移动GPRS网络的互通。两台BG处于热主备工作,由于流量流经防火墙,必须保证流量的对称,因此采用BGP路由协议的属性实现流量对称和冗余,网络正常状态下优选北京BG作为出口。此外,在北京和广州,每台BG具有冗余链路分别连接当地的两台AR,保证BG接入的可靠性。2.2 TD PS与CMNET网间互联拓扑结构拓扑结构如下图所示:中国移动BG通过两条GE接口连接CMNET

3、AR,保证到CMNET的链路冗余可靠,IGP为ISIS,与CMNET位于同一个AS内,AS号码9808;新设的CMNET BG路由器采用共出两条GE链路连接到Gp口一对防火墙,Gp口防火墙和IP承载网AR通过GE接口口字形连接,如上图所示拓扑结构。注意两台防火墙之间的连线用于会话同步,不起任何路由协议,不进行流量转发。2.3 方案说明2.3.1 网间互联流量的对称性和冗余实现TD PS域作为IP承载网的一个VPN,需要在北京、广州通过两台BG路由器实现与CMNET网络的联通,鉴于北京、广州的网间互联点都有防火墙,因此需要确保BGP流量的对称性,在对称的基础上实现流量的冗余。总体要求为:采用北京

4、BG作为流量进出的主用节点,广州BG作为备用节点,通过AS-Path和Local prefer来实现。具体实现策略如下:针对北京AR1将9808增加1个,针对北京AR2将9808增加2个;针对广州AR1将9808增加3个,针对广州AR2将9808增加4个,另外对北京BGFW2AR2之间的OSPF 链路Metric设为高于BGFW1AR1之间的OSPF 链路,对广州BGFW2AR2之间的OSPF 链路Metric设为高于BGFW1AR1之间的OSPF 链路;在CMNET广州BG路由器上向CMNET内部宣告中国移动TD PS网络时,将路由的本地优先属性设为90,低于北京的缺省值100。这样配置网络

5、的效果如下:所有进出流量对称;第一优选链路:北京BG-FW1-AR1; 第二优选链路:北京BG-FW2-AR2;第三优选链路:广州BG-FW1-AR1;第四优选链路:北京BG-FW2-AR2;2.3.2 北京或广州站点内流量的对称性和冗余实现以北京站点为例。CMNET BG路由器经过防火墙与IP承载网的AR建立EBGP Multihop连接,BG相当于中国移动TD PS域VPN的一台CE;双方路由通过EBGP Multihop互通,实现两个网络的IP可达。防火墙和BG、AR的所有接口开启OSPF动态路由协议,OSPF协议仅用于实现AR-FW-BG之间的接口地址可达,BG分别与AR1和AR2建立

6、两条EBGP Multihop session,通过设定路由Metric优选其中一个Session作为主用,另一个EBGP Multihop session处于热备份状态。由于采用两条BGP连接,主用为Active,备用为Inactive,当主用链路故障,备用链路激活过程中无需TCP重建、无需BGP连接重建、无需双方路由重新发布,因此流量切换时间较快。为了保障在一个站点内的流量对称性,BG针对AR1通告的AS-Path将9808增加1个,针对AR2通告的AS-Path将9808增加2个,然后再设备从BG到AR2的OSPF link metric高于BG到AR1的OSPF Link;当主用路径故

7、障时,原Metric 高的EBGP Multihop session启用,同时IP承载网中原AS-Path更长的那台路由器也被激活,流量经一定的BGP收敛时间后切换到备用链路。由于防火墙处于EBGP Multihop session的中间一跳,对到达CMNET或TD PS VPN的路由无法感知,因此需要配置到TD PS VPN的静态路由,下一跳指向AR的接口地址;同时针对去往CMNET方向的流量配置一条缺省路由,下一跳指向BG的接口地址,以实现流量的正常转发。另一个需要说明的问题:北京两台Alcatel AR路由器,同时还接有本地TD PS域的CE,Alcatel路由器不支持本地同一个VPN起

8、两个OSPF进程,因此导致北京BG1通过OSPF和EBGP收到两份TD PS VPN路由,而且缺省状态下OSPF路由优先级高于EBGP,因此会导致BG不将EBGP学到的路由通告到CMNET,解决的方法为在BG1上将OSPF的优先级进行调整,从150调整至200。2.3.3 防火墙的配置说明2.3.3.1 实施方案说明全网通过两台BG(北京、广州各一台)接入CMNET及其它运营商TD网络,通过CMNET实现到移动GPRS网络的互通。两台BG处于热主备工作,通过路由优选北京BG作为出口BG,由承载网路由规划实现。每台BG具有链路冗余保证BG接入的可靠性。2.3.3.2 组网拓扑结构BG接入的组网拓

9、扑结构如下图所示(北京、广州没有区别):中国移动BG通过两条GE接口连接CMNET AR,保证到CMNET的链路冗余可靠;移动BG共出两条GE链路到Gp口一对防火墙,Gp口防火墙和IP承载网AR通过GE接口口字形连接,如上图所示拓扑结构。防火墙和BG的所有接口开启动态路由协议,通过路由优选一台防火墙主用,另一台防火墙处于热备份状态。2.3.3.3 防火墙实施步骤启用ospf路由协议实现网络故障动态收敛,两防火墙间通过NSRP心跳线相连,用于同步防火墙间session表同步,通过设定metric值实现网络流量热主备工作,并保证优选一台防火墙同时出入流量经过同一台防火墙。防火墙作如下配置:两防火墙

10、间通过心跳线连接(接口置于HA zone并启用NSRP),删除缺省的NSRP VSD 0 group,取消缺省的配置同步功能,启用NSRP的session同步功能,并配置nsrp rto-mirror session non-vsi命令,实现非vsi环境下session信息在两防火墙间的同步。配置两防火墙策略,使之始终保持一致。在正常情况下两防火墙各自处理进出的网络流量(由于做了路由优选策略,只有一台防火墙上有流量,另一台处于热备份状态),并互相同步彼此建立的session表,当网络出现故障时(路由器、防火墙或连接线缆),通过ospf动态路由协议进行收敛和路径切换,由于两防火墙间session

11、信息始终保持一致,即使应用流量从一侧进来,因路径切换而从另一侧返回时,另一个防火墙也能正确地进行状态检查和流量转发,保证应用的session不会发生中断。2.3.3.4 实施步骤2.3.3.4.1 准备1 光纤4对(LCLC)2 备份核心路由器的配置和IOS3 上线工具一套2.3.3.4.2 涉及人员移动公司:中兴通讯公司2.3.3.4.3 防火墙接口连接图SSG550-A的接口配置如下:本地接口对端设备对端接口区域Eth0/0移动BGTrustEth0/1AR1UntrustEth0/2MGTEth0/3SSG550-BEth0/3HASSG550-B的接口配置如下:本地接口对端设备对端接口

12、区域Eth0/0移动BGTrustEth0/1AR2UntrustEth0/2MGTEth0/3SSG550-AEth0/3HA2.3.3.4.4 防火墙的配置步骤HA配置set nsrp cluster id 1/创建NSRP群组set nsrp rto-mirror sync/启用RTO对象同步set nsrp rto-mirror session ageout-ack/ Specifies a time value based on which the backup device sends an ack message to the primary device to refresh

13、its sessions or time them out. The session age-out value of a backup device is eight times that of the primary device.set nsrp rto-mirror session non-vsi/ Enables the synchronization of non-VSI sessionsunset nsrp vsd-group id 0/删除默认的vsd组0set nsrp monitor interface ethernet0/0/设置监控端口set nsrp monitor

14、interface ethernet0/1/设置监控端口unset nsrp config sync/强制防火墙双机不能同步配置端口配置set interface ethernet0/0 zone Trust/将端口0/0放进trust区set interface ethernet0/1 zone Untrust/将端口0/1放进untrust区set interface ethernet0/2 zone MGT/将端口0/2放进MGT区set interface ethernet0/3 zone HA/将端口0/3放进HA区set interface ethernet0/0 ip 30.0.

15、1.2/24/给端口0/0配置IPset interface ethernet0/0 route/配置端口为路由模式set interface ethernet0/1 ip 30.0.3.1/24/给端口0/1配置IPset interface ethernet0/1 route/配置端口为路由模式set interface ethernet0/2 ip 172.16.1.12/24/给端口0/2配置IPset interface ethernet0/2 route/配置端口为路由模式静态路由配置set route 10.0.0.0/16 interface ethernet0/0 gatew

16、ay 30.0.1.1set route 20.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 70.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 80.0.0.0/16 interface ethernet0/0 gateway 30.0.1.1set route 90.0.0.0/16 interface ethernet0/1 gateway 30.0.3.2set route 100.0.0.0/16 interface ethernet0/1 gate

17、way 30.0.3.2set route 1.0.1.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.2.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.3.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.4.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.5.0/24 interface ethernet0/0 gateway 3

18、0.0.1.1set route 1.0.6.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.7.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.8.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.9.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.10.0/24 interface ethernet0/0 gateway 30.0.

19、1.1set route 1.0.11.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.12.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.13.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.14.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.15.0/24 interface ethernet0/0 gateway 30.0.

20、1.1set route 1.0.16.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.17.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.18.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.19.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.20.0/24 interface ethernet0/0 gateway 30.0.

21、1.1set route 1.0.21.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.22.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.23.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.24.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.25.0/24 interface ethernet0/0 gateway 30.0.

22、1.1set route 1.0.26.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.27.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.28.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.29.0/24 interface ethernet0/0 gateway 30.0.1.1set route 1.0.30.0/24 interface ethernet0/0 gateway 30.0.

23、1.1set route 0.0.0.0/0 interface ethernet0/1 gateway 30.0.3.2OSPF配置set vrouter trust-vr/设置trust-vrunset auto-route-export/强制不公告默认路由set protocol ospfset enable/启用ospfexitset interface ethernet0/0 protocol ospf area 0.0.0.0/设置端口0/0启用area 0set interface ethernet0/0 protocol ospf enable/设置端口0/0启用ospfset

24、 interface ethernet0/0 protocol ospf cost 1/设置端口0/0启用cost值为1set interface ethernet0/1 protocol ospf area 0.0.0.0/设置端口0/1启用area 0set interface ethernet0/1 protocol ospf enable/设置端口0/1启用ospfset interface ethernet0/1 protocol ospf cost 1/设置端口0/1启用cost值为1安全策略配置set zone Untrust screen tear-drop/在untrust区

25、启用tear-drop攻击保护set zone Untrust screen syn-flood/在untrust区启用syn-flood攻击保护set zone Untrust screen ping-death/在untrust区启用ping-death攻击保护set zone Untrust screen ip-filter-src/在untrust区启用基于源路由的攻击保护set zone Untrust screen land/在untrust区启用land攻击保护set policy id 1 from Trust to Untrust Any Any ANY permit log

26、/设置从trust区到untrust区的源地址.目的地址及服务为any的策略set policy id 2 from Untrust to Trust Any Any ANY permit log/设置从trust区到untrust区的源地址.目的地址及服务为any的策略3 BG接入方案异常场景保护机制本章节描述站点内各中异常场景保护机制。3.1 北京站点故障北京站点故障包括北京BG设备故障,或者北京BG到CMNET链路故障,中国移动TD PS VPN会通过IP承载网选择广州BG实现与CMNET的联通。3.2 北京站点内BG和主用FW链路故障如上图所示,BG到主用FW1链路故障后,原备用EBG

27、P Multihop session激活,所有流量收敛到热备份FW2,同时两台防火墙之间通过心跳线保障Session状态表同步。3.3 主用防火墙故障如上图所示,主用FW1故障后,原备用EBGP Multihop session激活,所有流量收敛到热备份FW2,同时两台防火墙之间通过心跳线保障Session状态表同步。3.4 主用防火墙与AR间链路故障如上图所示,主用FW1到AR2链路故障后,原备用EBGP Multihop session激活,所有流量收敛到热备份FW2,同时两台防火墙之间通过心跳线保障Session状态表同步。4 实施建议4.1 北京站点新设两台FW应该设置在菜市口2层,与

28、BG路由器同一房间;两台FW之间的心跳线采用GE电口或光口连接;两台FW与BG路由器由于在同一个机房,可以采用GE电口或光口连接;菜市口2层的BG与CMNET路由器经过位于菜市口6层的SW应通过GE光口连接;菜市口2层FW与菜市口7层的AR之间通过GE 光口连接;菜市口2层FW与望京10层AR通过GE光口或MSTP链路连接;4.2 广州站点新设两台FW放置在清河东四层,与BG路由器同一房间;两台FW之间的心跳线采用GE电口或光口连接;两台FW与BG路由器由于在同一个机房,可以采用GE电口或光口连接;清河东四层的FW与清河东AR采用GE电口或光口连接;清河东四层的FW与西德胜的AR采用GE光口或MSTP链路连接;清河东四层的BG与西德胜的SW之间通过GE光口或MSTP链路连接;4.3 其他北京BG1和广州BG2位于CMNET网络,采用同一个自治域号码-9808;TD PS采用公有IP地址,CMNET也采用公有IP地址,二者网间互联相互通告各自的地址,无需地址转换;

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 其他范文


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号