1. <form id='Nv6Fzy'></form>
        <bdo id='Nv6Fzy'><sup id='Nv6Fzy'><div id='Nv6Fzy'><bdo id='Nv6Fzy'></bdo></div></sup></bdo>

          • 当前位置:首页 >> 计算机硬件及网络 >>

            江苏电信城域网BRAS(RedBack SE800&1200)局数据配置规范 - 苏州 V1.4-2011.10.11


            江苏电信城域网 BRAS 设备局数据
            (RedBack SE800&1200)

            配置规范

            中国电信江苏公司 2011 年 09 月

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            目 录
            第1章 1.1 1.2 第2章 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2 2.2.3 第3章 3.1 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.3 概述 .................................................................................................................................... 1 术语列表 ............................................................................................................................ 1 网络结构说明 .................................................................................................................... 3 IP 城域网网络设备命名及链路描述规范 ....................................................................... 4 设备命名规范 .................................................................................................................... 4 适用范围 ............................................................................................................................ 4 设备命名规范格式............................................................................................................ 4 端口描述规范 .................................................................................................................... 6 环回接口描述 .................................................................................................................... 6 网络端口描述规范............................................................................................................ 7 空闲端口 ............................................................................................................................ 8 SE800/1200 配置规范 ....................................................................................................... 9 系统基本配置规范 ............................................................................................................ 9 设备名称配置 .................................................................................................................... 9 Banner 配置........................................................................................................................ 9 系统高可靠性配置.......................................................................................................... 10 设备自身时间及 NTP ..................................................................................................... 10 设备自身访问控制.......................................................................................................... 11 AAA 配置......................................................................................................................... 14 端口配置规范 .................................................................................................................. 19 MTU 值设计 .................................................................................................................... 19 Loopback 地址配置......................................................................................................... 20 三层接口配置 .................................................................................................................. 20 GE 端口配置.................................................................................................................... 21

            MULTI-CONTEXT 配置........................................................................................................... 25 CONTEXT 规划 .............................................................................................................. 25 CONTEXT 接口绑定 ...................................................................................................... 28 CONTEXT 路由策略 ...................................................................................................... 28 Domain 配置 .................................................................................................................... 30 路由协议配置规范 .......................................................................................................... 31
            第1页

            3.3.1 3.3.2 3.3.3 3.3.4 3.4

            中国电信江苏公司

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.5 3.5.1 3.5.2 3.5.3 3.5.4 3.5.5 3.5.6 3.6 3.6.1 3.6.2 3.6.3 3.7 3.7.1 3.8 3.8.1 3.8.2 3.8.3 3.9

            城域网路由架构概述 ..................................................................................................... 31 路由优先级/管理距离 .................................................................................................... 32 静态路由配置 .................................................................................................................. 32 ISIS 配置 .......................................................................................................................... 34 BGP 配置 ......................................................................................................................... 38 用户策略配置 .................................................................................................................. 42 IP Pool 配置 ..................................................................................................................... 42 IP Pool 告警阀值 ............................................................................................................. 43 DNS 配置 ......................................................................................................................... 44 用户限速配置 .................................................................................................................. 44 用户 uRPF 配置 ............................................................................................................... 47 页面推送配置 .................................................................................................................. 47 标签配置规范 .................................................................................................................. 48 MPLS 配置 ....................................................................................................................... 48 LDP 协议配置 ................................................................................................................. 49 资源配置 .......................................................................................................................... 52 网管配置 .......................................................................................................................... 54 SNMP 管理代理配置...................................................................................................... 54 组播配置规范 .................................................................................................................. 60 组播概述 .......................................................................................................................... 60 组播配置 .......................................................................................................................... 60 配置范例 .......................................................................................................................... 60

            QOS 配置规范 ...................................................................................................................... 61 QoS 分类和标记.............................................................................................................. 61 江苏城域网 QoS 部署 .................................................................................................... 62 QoS 配置范例 .................................................................................................................. 63 BFD 配置规范 ................................................................................................................. 65 BFD 概述 ......................................................................................................................... 65 BFD 邻居 ......................................................................................................................... 66 BFD 接口参数 ................................................................................................................. 66 静态路由配置 BFD ......................................................................................................... 67 ISIS 协议配置 BFD ......................................................................................................... 67 BGP 协议配置 BFD ........................................................................................................ 67

            3.9.1 3.9.2 3.9.3 3.10

            3.10.1 3.10.2 3.10.3 3.10.4 3.10.5 3.10.6 3.11

            业务配置实例 .................................................................................................................. 68
            第2页

            中国电信江苏公司

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.11.1 3.11.2 3.11.3 3.11.4

            拨号业务配置实例.......................................................................................................... 68 专线业务配置实例.......................................................................................................... 69 IPTV 业务配置实例........................................................................................................ 69 MPLS VPN 业务配置实例 ............................................................................................. 72

            中国电信江苏公司

            第3页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            第1章 概述
            为满足江苏电信 NOC 部门对城域网 SR、BRAS 设备集中运维的需要,提高 现网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统 等环节予以保障。网络配置主要是指通过在设备上实施具体配置,开启设备控制 层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。 同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远。此外,由 于网络规模不断扩大,设备特性不断变化,配置工作变得日益复杂,全网配置发 生错误的概率也在增加,因此在以省为单位统一运维后,很有必要对城域网 SR、 BRAS 设备的配置予以规范。 本文档涉及的对象是城域网 SR、BRAS 设备配置,针对城域网 BRAS 设备 RedBack SE800/1200 制定相关配置规范。 目的是为城域网维护人员提供实用维护 工具。 文主档要内容安排如下: 1. 介绍城域网优化目标网络结构以及 BRAS 设备在城域网中的功能定位; 2. 从网络配置方面阐述 RedBack SE800/1200 设备配置说明以及规范要求, 并给出当前 OS 版本的配置示例。 主要包括系统基本配置、 端口配置、 安全配置、 网管配置等。

            1.1 术语列表
            本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下:对于下 表中未说明的术语和缩写,应做业界标准或惯例理解。
            AAA ACL AS BGP CAR CE CR DDoS DiffServ Autentication Authorization and Accounting 认证、授权与计费 Access Control List 访问控制列表 Autonomous System 自治系统 Boarder Gateway Protocol 边界网关协议 Committed Access Rate 承诺访问速率 Customer Edge 客户边缘设备 Core Router 核心路由器 Distributed Deny of Service 分布式拒绝服务攻击 Differentiated Services 差分服务

            中国电信江苏分公司

            第1页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            DSCP FRR GE GR HA HDLC H-QOS IP ISIS LDP LSP LSR MP-BGP MIB MPLS NSF NSR NTP OAM PE POS PPP QoS RR RSVP SDH SNMP SR TCP TE

            Differentiated Service Code Point 差分服务代码点 Fast Re-route 快速重路由 Gigabyte Ethernet 千兆以太网 Graceful Restart 平滑重启动 High Availability 高可用性 High Data Link Control 高级数据链路控制 Hierarchical Quality of Servie Internet Protocol 互联网协议 Inter System to Inter System 中间系统到中间系统 Label Distribution Protocol 标记分发协议 Label Switching Path 标记交换路径 Label Switch Router 标记交换路由器 Multi-protocol Boarder Gate Protocol 多协议边界网关协议 Management Information Base 管理信息库 Multiple Protocol Label Switching 多协议标签交换 Non Stop Fowarding 不间断转发 Non Stop Routing 不间断路由 Network Time Protocol 网络时间协议 Operation Administration and Maintenance 操作维护管理 Provider Edge 运营商边缘设备 Packet over SDH SDH封装数据包 Point to Point Protocol 点到点协议 Quality of Service 服务质量 Route Reflector 路由反射器 Resource Reservation Protocol 资源预留协议 SymMetric Digital Hierarchy 同步数字序列 Simple Network Management Protocol 简单网络管理协议 Service Router 业务路由器 Transfer Control Protocol 传输控制协议 Traffic Engineering 流量工程

            中国电信江苏分公司

            第2页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            UDP uRPF VPLS VPN VRF VRRP 上行流量 下行流量 ……

            User Data Protocol 用户数据报协议 Reverse Path Fowarding 反向路径转发 Virtual Private LAN Service 虚拟专用局域网业务 Virtual Private Network虚拟专用网 Virtual Routing and Forwarding 虚拟路由转发实例 Virtual Routing Redundancy Protocol 虚拟路由冗余协议 用户发出的流量 用户收到的流量 ……

            1.2 网络结构说明
            经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨 干网和宽带接入网,其中城域骨干网是业务接入控制点(包括 BRAS 和 SR)及 控制点以上的城域网核心路由器组成的三层路由网络, 划分为核心层和业务接入 控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业 务提供和控制,BRAS 和 SR 作为业务接入控制层组成部分,是 IP 城域网实现 “用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。

            中国电信江苏分公司

            第3页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            第2章 IP 城域网网络设备命名及链路描述规范
            2.1 设备命名规范
            2.1.1 适用范围
            本部分规定的 IP 城域网设备命名规范,适用于 IP 城域网内以下设备: ? 出口核心路由器 ? 汇聚路由器 ? 路由反射器 ? BRAS 设备 ? SR 设备 ? 汇聚交换机 ? 园区交换机 ? 楼道交换机 ? DSLAM 设备 ? AC、AP 等 WLAN 设备 ? PON 设备 ? 安全防护设备 ? DNS 设备

            2.1.2 设备命名规范格式
            城市 缩写 符号 字符 数 选项 字符 <8 必选 字 符 1 必 选 县缩 写 字符 <8 可选 字 符 1 可 选 节点 缩写 字符 <8 必选 字 符 1 必 选 设备 属性 字符 固定 必选 字 符 1 必 选 设备 编号 数字 1 必选 . 字 符 1 必 选 网络(业 务)类型 字符 ≤4 必选 . 字 符 1 必 选 设备 类型 字符 ≤7 可选

            ? 字母大小各市需要采用统一标准,全部大写。 ? 两端、中间不带任何空格。 ? 城市标识,取城市名称拼音的首字母大写如:南京 NJ、盐城 YC。
            中国电信江苏分公司 第4页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? 节点标识,取节点名称拼音的首字母大写,如两节点的首字母有重叠则 取拼音不相同的字用全拼,分两种情况:当前一个字不同,则前个字用 全拼,如汉中门(HanZM)和后宰门(HouZM) ;当后一个字不同时则 后一个用全拼。 ? 厂家规定的设备名称最多字符数: REDBACK:SE800 最多 63 个字符; ? 郊区县节点标识与地市首字母合并表示: 江宁:NJJN ? 设备属性标识: 出口/核心路由器:CR 汇聚路由器:BR BRAS 设备:BAS 业务路由器:SR 路由反射器:RR 4-7 层交换机:HSW 汇聚交换机:DSW 接入交换机:ASW 楼道交换机:LSW Dslam:DSL WLAN AC 设备:AC WLAN AP 设备:AP 黑洞设备:HD DNS 设备:DNS ? 设备序号,取阿拉伯数字,从 1 开始。同节点的相同属性的设备间以设 备序号区别。 ? 网络类型:MAN (城域网),M2N(第 2 平面设备) IDC(IDC) NGN (NGN) ITV (IPTV) DCN (DCN)
            中国电信江苏分公司 第5页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? 设备型号:设备型号编码。
            设备 RedBack SE800 RedBack SE1200 设备型号编码 SE800 SE1200

            示例: 示例 1: 城域网出口路由器,南京,游府西街,第一台出口路由器,命名为 NJ-YFXJ-CR-1.MAN.CRS 示例 2: 城域网汇聚路由器,南京,汉中门,第一台汇聚路由器,命名为 NJ-HanZM-BR-1.MAN.C12816 示例 3: 城域网业务路由器,南京江宁,汤山,第一台业务路由器,命名为 NJJN-TS-SR-1.MAN.C12816 示例 4: 城域网汇聚交换机,南京,新街口,第一台汇聚交换机,命名为 NJ-XJK-DSW-1.MAN.S8505 示例 5: 城域网接入交换机,南京,后宰门,第一台接入交换机,命名为 NJ-HouZM-ASW-1.MAN.T64G 示例 6: IPTV 路由器,南京,汉中门,第一台汇聚路由器,命名为 NJ-HanZM-BR-1.ITV.C7609

            2.2 端口描述规范
            2.2.1 环回接口描述
            | 符号 字符数 选项
            中国电信江苏分公司

            For 字符 3 必选

            字符 1 必选

            功能描述 字符串 ≤30 必选
            第6页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            说明: For:固定字符串。 功能描述:描述该 loopback 端口特殊功能,为有意义的英文字符串。如: Management、Multicast、VPN、Global Routing、BGP Load balance 等。
            interface Loopback0 description For-Management

            2.2.2 网络端口描述规范
            2.2.2.1 适用范围 本部分适用于城域网设备的互联端口描述。SE800 端口描述最多 63 个字符; 2.2.2.2 端口描述包含下面几部分
            uT:(上行)pT:(平 行)dT:(下行) 符号 字符数 选项 字符 3 必选 对端设 备名称 字符 ≤50 必选 : 字符 1 必选 (链路传 输编号) 字符 ≤15 必选 对端端 口类型 字符 ≤10 必选 对端端 口标志 数字/字 符 ≤8 可选

            ? “对端端口类型” 要根据对端端口类型进行统一规范; ? “对端端口标志” 表示链路对端设备对应端口的具体标志规范; ? “(链路传输编号)” 表示链路的传输编号,如果同机房内设备互联无传输编号 则为(Local)。调测期间的链路描述最后增加“::PROCESSING”,调测完成加 业务后取消“::PROCESSING”。 端口类型如下表:
            端口类型 POS(2.5G) POS(10G) POS(40G) 以太(GE) 以太(10GE) 端口描述 2.5GPOS*/*/* 10GPOS*/*/* 40GPOS*/*/* GE*/*/* 10GE*/*/*

            示例:

            中国电信江苏分公司

            第7页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            同机房上行至南京游府西街核心路由器,端口为 10GE,链路为在调测状态 uT:NJ-YFXJ-CR-1.MAN.CRS:(Local)10GE0/0/1/0::PROCESSING

            2.2.3 空闲端口
            规范要求设备上的所有空闲未用的端口删除配置,统一 shutdown。

            中国电信江苏分公司

            第8页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            第3章 SE800/1200 配置规范
            3.1 系统基本配置规范
            3.1.1 设备名称配置
            配置说明: 规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备 进行区分,方便设备管理,提高可读性和可管理性。 规范要求: 设备名称要求符合第二章中“IP 城域网网络设备命名及链路描述规范”中规 定。 配置范例:
            system hostname WX-DT-BAS-1.MAN.SE800

            配置验证: 配置后立即生效,hostname 显示在配置命令行的左边。

            3.1.2 Banner 配置
            配置说明: 统一 Banner 语言,以省网标准为主。 规范要求: 城域网所有路由器配置统一的 Banner 信息,登陆时提示: WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! 配置范例:
            banner motd /WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!/

            配置验证: 登陆路由器时应看到 banner 提示。 配置注意细节: Banner 语言应起到提示和警告非授权访问者的作用,严禁在 Banner 中出现
            中国电信江苏分公司 第9页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            任何表示欢迎的字样。

            3.1.3 系统高可靠性配置
            配置说明: 配置系统引擎冗余模式。 规范要求: 自动切换,要求采用最优切换模式 配置规范: SE800 两块主控卡之间的备份机制是系统自动的,无需命令配置。 配置验证:
            show chassis #显示当前卡的状态为active,并列出standby各个状态为yes reload switchover #强制主备引擎切换

            配置注意细节: 无。

            3.1.4 设备自身时间及 NTP
            NTP 实现网络设备时间同步功能,与时间有关的应用,例如 Log 信息,基 于时间限制带宽等,都需要基于正确的时间。 3.1.4.1 时区配置 配置说明: 统一设备的时区配置。 规范要求: 配置系统时区为 GMT+8,北京时区。 配置范例:
            system clock timezone GMT 8

            配置验证:
            show clock

            配置注意细节: 无。 3.1.4.2 NTP 配置 配置说明:
            中国电信江苏分公司 第 10 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            使用 NTP 同步网络上所有设备的时间,保证网络设备得到正确的时间。 规范要求: 配置主和备两组 NTP 服务器。 城域网 NTP 配置为两级结构,城域网出口路由器配置与 ChinaNet 骨干设备 同步时钟,出口以下设备则配置与出口路由器进行时钟同步。 配置现网设备 NTP 协议版本为 V3。 指定本地发出 NTP 消息的接口。 配置范例:
            城域网BRAS路由器SE800使用local context的loopback地址作为NTP消息源地址。

            ntp server x.x.x.x version 3 source loopback0 context local prefer ntp server y.y.y.y version 3 source loopback0 context local

            配置验证:
            show ntp status

            配置注意细节: SE800 默认 NTP 协议版本号为 V3,不需特别配置。 3.1.4.3 NTP 协议加密 配置说明: NTP 协议加密,可以防止伪造 NTP 源引起设备时间错误。 规范要求: 不使用 NTP 协议加密功能。

            3.1.5 设备自身访问控制
            3.1.5.1 连接数限制 配置说明: 对同时远程登陆到设备上的 session 数进行限制,可以防止大量的 session 连 接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。 规范要求: 配置 BRAS 路由器并发连接数限制为 5 个; 在 context local 开启 telnet 服务,用于设备管理。 配置范例:
            中国电信江苏分公司 第 11 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            1、 在context中进行配置

            context local service telnet

            #激活telnet服务

            2、进行连接数的限制 context local ip access-list aclPermitRemote ssh-and-telnet-acl # 蓝体字为必须关健字 seq 10 permit tcp host x.x.x.x any max-sessions 5 min-sessions 3 #同时允许 telnet ssh seq 20 permit tcp host x.x.x.x any eq telnet max-sessions 5 min-sessions 3 seq 30 permit tcp 172.100.30.0 0.0.0.31 any eq telnet max-sessions 5 min-sessions 3 seq 40 permit tcp 172.100.20.0 0.0.0.255 any eq telnet max-sessions 5 min-sessions 3 seq 100 deny ip any any # 此条为必须 service telnet server access-group aclPermitRemote #应用 acl

            4、配置说明 max-session 限制指定地址范围可以建立的最大 telnet 或 SSH 连接数,范围是 1-32 ,并大于 min-session的值; min-session 保证指定的地址范围可以建立的连接数,所以所有条目的总和必须小于32;

            配置注意细节: SE800 全局并发连接数限制数默认为 32,需要进行限制。 3.1.5.2 空闲时间 配置说明: 设置了 Telnet 超时功能,当空闲时间超过设定值后,Telnet 线程断开,防止 未被授权的人员在操作员离开后进行非法操作。 规范要求: 对 Telnet,Console 登录超时设置进行配置,设置空闲时间为 10 分钟; SE800 无需配置 AUX; SE800 空闲时间缺省值为 10 分钟。 配置范例:
            timeout session idle 10 #登录时间为10分钟,在10分钟内无键盘输入将退出登录

            配置验证:
            show config | in "timeout session"

            配置注意细节: 配置空闲时间为 10 分钟后,系统默认不显示。 3.1.5.3 Telnet 配置

            中国电信江苏分公司

            第 12 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置说明: 配置设备的 Telnet 登陆方式 规范要求: 在 local context 开启 Telnet 服务,并配置 access-group 对抵达 context 的流量 进行过滤。其他 context 不开启任何管理类的服务(telnet、ssh、ftp 等)。 配置范例:
            #开启ssh telnet服务 context local service telnet server #通常Telnet和SSH只开启一个服务 ip access-list XCRP-Protect permit tcp x.x.x.x 0.0.0.x any eq telnet admin-access-group XCRP-Protect in #对访问设备的地址进行限制, 根据需要增加省公司和本地网管理网段以及直连网 段

            配置验证:
            show service

            配置注意细节: SE800 admin-access-group 过滤所有的抵达内核的流量,不管流量是从哪一 个接口抵达的。SE800 admin-access-group 是 context 本地有效的。 3.1.5.4 设备本身 XCRP-Protect 配置说明: 限制 Telnet 登录网络的源地址,从而增强设备的安全性,最大限度防止非法 登陆尝试。 规范要求: 配置 Telnet 源地址限制, 包含省公司地址段和最小化的地市网管中心维护 IP 网段,直连网段。 Telnet 访问控制列表条目从 10 开始,条目的间隔步长为 10,在访问控制列 表的最后显示配置一条 permit ip any any 语句,在 local context 开启 telnet 服务, 并配置 access-group 对抵达 context 的流量进行过滤。其他 context 不开启任何管 理类的服务(telnet、ssh、ftp 等),不配置管理用访问控制列表。 SE800 对于 telnet、 ssh、 snmp、 ntp 等抵达设备自己的流量, 放在 XCRP-Protect 一并控制。 配置范例:
            第 13 页

            中国电信江苏分公司

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            context local #在context local配置 ip access-list XCRP-Protect permit tcp xx.xx.xx.xx 0.0.0.xx any eq 23 ip access-list XCRP-Protect permit tcp xx.xx.xx.xx 0.0.0.xx any eq 23 #放行省网管中心其他IP网段的流量: ip access-list XCRP-Protect permit ip xx.xx.xx.xx 0.0.0.xx any ip access-list XCRP-Protect permit ip xx.xx.xx.xx 0.0.0.xx any #放行分公司网管流量: ip access-list XCRP-Protect permit ip xx.xx.xx.xx 0.0.0.xx #拒绝其它所有telnet、ssh、snmp流量: ip access-list XCRP-Protect deny tcp any any eq telnet ip access-list XCRP-Protect deny tcp any any eq ssh ip access-list XCRP-Protect deny udp any any eq snmp #匹配NTP数据包,用于统计: ip access-list XCRP-Protect permit udp any any eq ntp #最后放行其他所有上送到引擎的流量: ip access-list XCRP-Protect permit ip any any #调用acl: context local admin-access-group XCRP-Protect in count log any

            配置验证:
            show access-group ip-filter admin in counters

            配置注意细节: SE800 admin-access-group 过滤所有的抵达内核的流量,不管流量是从那一 个接口抵达的,SE800 admin-access-group 是 context 本地有效的。

            3.1.6 AAA 配置
            3.1.6.1 概述 BRAS 统一验证配置分成管理 AAA 配置和用户 AAA 配置,二种配置使用 不同的统一验证方法。 管理 AAA 使用 Tacacs+统一验证, 用户 AAA 使用 Radius 统一验证,全省统一认证后台。 3.1.6.2 管理 AAA 配置 配置说明: 配置管理 AAA 的认证方式
            中国电信江苏分公司 第 14 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置管理 AAA 的授权方式 配置管理 AAA 的计费方式 配置管理 AAA 认证服务器地址及参数 配置管理 AAA 授权服务器地址及参数 配置管理 AAA 计费服务器地址及参数 配置 Tacacs+协议加密 key 配置 Tacacs+ update 源地址 规范要求: 管理 AAA 采用 tacacs+统一验证方式 设置主备两组 tacacs+服务器,tacacs+ update 源地址设置建议采用路由器的 local context loopback0 地址,需配置 accounting 和 authorization。 配置范例:
            #在context local下配置: context local tacacs+ server x.x.x.x key ****** # 配置主服务器 tacacs+ server x.x.x.x key ****** # 配置备服务器 tacacs+ strip-domain #管理用户名剥离domain tacacs+ timeout 3 #配置超时为3秒 aaa authentication administrator tacacs+ local #配置认证顺序 aaa authentication administrator console local #console用本地 aaa authorization commands 5 tacacs+ # 5级帐号命令授权 aaa accounting administrator tacacs+ aaa accounting commands 5 tacacs+ aaa accounting commands 15 tacacs+

            配置验证:
            show aaa show tacacs+ server

            配置注意细节: 管理 AAA 只需要在 context local 配置即可, 其它 context 不需配置, SSH telnet 也不启用。 3.1.6.3 用户 AAA 配置 配置说明: 配置用户的认证方式 配置用户的计费方式
            中国电信江苏分公司 第 15 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置用户认证服务器地址及参数 配置用户计费服务器地址及参数 配置 radius update 源地址 规范要求: 用户的认证方式采用 radius 方式 用户计费方式采用 radius 方式 认证及计费服务器的地址根据各地的实际情况设置 设置 radius 密钥时要与省后台相关人员协商确定 认证端口号根据各个地方的实际情况设置(一般为 1812) 计费端口号根据各个地方的实际情况设置(一般为 1813) 设置 deadtime 值为 10 分钟,timeout 时间为 5 秒,重发次数为 3 次(具体 参数要参考 radius 服务器的要求) 设置实时计算间隔为 120 分钟 radius update 源地址设置建议采用路由器的 loopback 0 地址 配置二台 Radius 服务器,不分主备,向 radius 服务器查询时采用轮询的方 式。 增加预付费用户 radius 服务器配置:IP 为 x.x.x.x 和 y.y.y.y 配置范例:
            #在local context中配置: context local aaa authentication subscriber radius none aaa accounting subscriber radius aaa update subscriber 120 #实时计算间隔为120分钟 aaa accounting suppress-acct-on-fail #拨号失败不发送计费报文,否则产生大量零时长话单 aaa authorization tunnel radius #指定通过radius来作l2tp授权 radius server x.x.x.x key ****** radius server x.x.x.x key ****** radius accounting server x.x.x.x key ***** radius accounting server x.x.x.x key ***** radius deadtime 10 #配置radius deadtime时间 radius timeout 5 #配置radius timeout时间 radius max-retries 2 #配置radius重传次数 radius attribute nas-ip-address interface loopback0 #指定radius包中包含的源地址为:context local的loopback接口 radius attribute calling-station-id format slot-port #根据radius平台要求确定 radius algorithm round-robin #配置发送radius 认证数据包方式为轮询
            中国电信江苏分公司 第 16 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            radius accounting algorithm round-robin #配置发送radius计费数据包方式为轮询 radius attribute nas-port format physical #可选配置 radius attribute nas-port-id format modified-agent-circuit-id prefix-lg-description #链路聚合端口需要此配置

            配置验证:
            show aaa show radius server

            配置注意细节: 业务 radius 认证方式,配置为先 radius 后 none, 防止认证系统故障,用户大 规模下线。业务 radius 审计方式,对于需要计费的选择为 radius,对于不需要计 费的静态用户选择为 none。 3.1.6.4 认证方式 配置说明: SE800&1200 认证方式可以分为两种: 1. 全局认证方式 ,所有的 context 用户认证都通过全局认证方式来获的认 证通过。 2. 独立认证,每个 context 的拨号认证用户都将通过各自的 context 进行认 证。 规范要求: 建议对 context local、 context pppoe、 context vod、 context wlan 进行独立认证。 配置范例:
            #全局配置引用context local配置的参数: Context local aaa global authentication subscriber radius context local aaa global accounting subscriber radius context local aaa global update subscriber 120 #配置全局实时计费间隔为120分钟 aaa last-resort context pppoe #不带域名的用户将通过 last-resort 被送pppoe context中 context xxx aaa authentication subscriber global #配置好全局参数后,在其他context中调用全局参数:

            配置验证:
            show aaa show radius server

            配置注意细节: 无。

            中国电信江苏分公司

            第 17 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.1.6.5 本地用户帐号 配置说明: 配置本地用户帐号,作为 AAA 服务器连接失败时的应急登陆用。 规范要求: 在 local context 中配置本地用户帐号 admin,统一指定密码,设置较低权限, 需要 enable 密码,控制进入相应级别,进行设备管理。其他 context 不需要配置 本地用户帐号。 通过 console 口登陆使用本地帐号进行认证。 配置范例:
            #在local context中配置本地帐号: administator admin password ****** privilege start 5 # 指定本地帐号为5级 privilege max 5
            enable password level 15 ****** # 配置15级enable密码

            配置验证:
            show config | in admin

            配置注意细节: 无。 3.1.6.6 配置范例
            管理AAA:

            在context local下进行配置: context local tacacs+ server x.x.x.x key ****** tacacs+ server x.x.x.x key ****** tacacs+ strip-domain tacacs+ timeout 5 aaa authentication administrator tacacs+ local aaa authentication administrator console local aaa authorization commands 5 tacacs+ aaa accounting administrator tacacs+ aaa accounting commands 5 tacacs+ 用户AAA: #在local context中: aaa authentication subscriber radius none aaa accounting subscriber radius aaa update subscriber 120 #实时计算间隔为120分钟 aaa accounting suppress-acct-on-fail #拨号失败不发送计费报文,否则产生大量零时长话单 aaa authorization tunnel radius #指定通过radius来作l2tp授权 radius server x.x.x.x key ******
            中国电信江苏分公司 第 18 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            radius server y.y.y.y key ****** radius accounting server x.x.x.x key ****** radius accounting server y.y.y.y key ****** radius deadtime 10 radius timeout 5 radius max-retries 2 radius attribute nas-ip-address interface loopback0 #指定radius包中包含的nas地址为:context local的loopback接口 radius attribute calling-station-id format slot-port radius algorithm round-robin radius accounting algorithm round-robin radius attribute nas-port format physical radius attribute nas-port-id format modified-agent-circuit-id prefix-lg-description aaa last-resort context pppoe #不带域名的用户将通过 last-resort 被送pppoe context中。 配置本地帐号: #在local context中配置本地帐号: context local administator admin password ****** privilege start 5 privilege max 5 enable password level 15 ****** # 配置15级enable密码

            3.2 端口配置规范
            3.2.1 MTU 值设计
            SE800&1200 端口 MTU 值的设计符合《总则》的规范: 建议 IP 城域网内设备所有互联端口,GE/10GE 端口 IP MTU 统一取定为: 1600 字节;POS 口 IP MTU 统一取值为 4470。各厂家具体设置参数略有不同。 各厂家设备的设备端口配置下 MTU 具体含义有所不同,具体见下表:
            序号 1 2 3 4 5 6 RedBack SE 系列 华为 NE 系列 思科 GSR/76/65 系列 设备厂商 设备类型 端口类型 Ethernet POS Ethernet POS Ethernet POS MTU 值含义 IP MTU IP MTU IP MTU IP MTU IP MTU IP MTU 缺省值 1500 4470 1500 4470 1500 4470 建议值 1600 4470 1600 4470 1600 4470

            1 2 3 思科 阿朗 CRS-1 系列 SR7750

            Ethernet POS Ethernet

            IP MTU+14 IP MTU+4 IP MTU+14

            1514 4474 1514

            1614 4474 1614 第 19 页

            中国电信江苏分公司

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            4 6 7 8 Juniper TX EX

            POS Ethernet Ethernet POS

            IP MTU+2 IP MTU+18 IP MTU+14 IP MTU+4

            9208 1518 1514 4474

            4472 1622 1614 4474

            3.2.2 Loopback 地址配置
            配置说明: 配置 loopback 地址作为设备的系统标识(用于某些协议) 、管理地址或作为 专线和宽带拨号用户的参考网关。 规范要求: 为 SE800&1200 每一个 context 配置一个 loopback 地址, 取名为“loopback0”, 掩码必须为 32 位。对每一个 loopback 接口需添加端口描述,端口描述要求符合 第二章中 IP 城域网网络设备命名及链路描述规范中规定。 配置 SE800 context local 的 loopback 地址为所有网管协议数据包的源地址 (包括 telnet、ssh、tacacs+、radius、syslog、snmp 等) 。 配置范例:
            #在context local中配置loopback地址: Context lcoal interface loopback0 loopback description for Network Management ip address xx.xx.xx.xx/32 ip source-address telnet radius tacacs+ snmp syslog netop #配置管理协议源地址 #在其他context中配置loopback地址: interface loopback0 loopback description for Network Management ip address xx.xx.xx.xx/32 ip source-address radius

            配置验证:
            show config interface loopback0

            配置注意细节: SE800 的 Loopback 接口不需要绑定到物理端口上就可以生效。

            3.2.3 三层接口配置
            配置说明: 在 SE800&1200 中,interface、context 是三层的概念,而 port 是二层的概 念,interface 需要绑定到物理 port 上,interface 才能配置三层功能。
            中国电信江苏分公司 第 20 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            规范要求: 命名三层接口时,对于 POS 端口,不区分带宽,命名为 POS-x/y/z; 对于 GE 端口,命名为 ge-x/y/z; 对于 10GE 端口,命名为 Te-x/y/z。对于子接口 vlan-id, id 与接口名称之间使用.号分隔,对于上行子接口编号和 vlan-id 一致。 配置三层接口的描述和对应的二层接口描述一致。 配置范例:
            #创建三层interface context local interface ge-2/1.10 description"uT:CZ-YDL-CR-1.MAN.NE5000E:( )GE12/0/7" ip address xx.xx.xx.xx/30 #全局模式将三层interface和二层port绑定 port ethernet 2/1 bind interface ge-2/1.10 local

            配置验证:
            show ip interface

            配置注意细节: 无。

            3.2.4 GE 端口配置
            3.2.4.1 GE 用做上联接口 配置说明: 配置 GE 端口用做上联接口。 规范要求: 配置 GE 端口 MTU 设置为 1600,关闭 GE 端口自行协商,设置为全双工, 速率为 1000,并与一个或多个 context 中的三层接口绑定。 建议 GE 端口 up-hold-time 和 down-hold-time 时间配置为 2s 和 1s。 配置接口描述符合第二章中 IP 城域网网络设备命名及链路描述规范中规 定。 配置范例:
            #在context local中创建interface: interface ge-1/2.10 description"uT:CZ-YDL-CR-1.MAN.NE5000E:()GE12/0/7" ip address xx.xx.xx.xx/30 #在全局配置模式下关联port: port ethernet 1/2
            中国电信江苏分公司 第 21 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            description"uT:CZ-YDL-CR-1.MAN.NE5000E:()GE12/0/7" mtu 1600 no auto-negotiate #关闭自协商 link-dampening up 2000 down 1000 # up/hold-time时间 encapsulation dot1q #端口封装dot1Q dot1q pvc 10 #定义pvc bind interface ge-1/2.10 local #把port 1/2绑定到context local的三层接口ge-2/0.10上

            配置验证:
            show ip int brief show config port 1/2 show port detail

            配置注意细节: 无。 3.2.4.2 GE 用做拨号下联口(dot1Q) 配置说明: 配置 GE 口用做拨号下联口。 规范要求: 配置 GE 端口 MTU 设置为 1526,关闭 GE 端口自行协商,设置为全双工, 速率为 1000,配置端口封装 dot1Q 。 配置接口描述符合第二章中 IP 城域网网络设备命名及链路描述规范中规定。 配置子端口封装为 pppoe,并根据用户数设置子端口的 pppoe session 数。 配置范例:
            #在全局配置模式下: port ethernet 1/4 description dT :NJ-XJK-DSW-1.MAN.S8505:GE0/1/1 #二层端口描述 mtu 1526 no auto-negotiate encapsulation dot1q #端口封装dot1Q dot1q pvc on-demand 100 encapsulation pppoe #指定vlan 100上传的包为封装pppoe的包 description dT :NJ-XJK-DSW-1.MAN.S8505:GE0/1/1 bind authentication pap chap maximum 4 # 配置每 vlan 用户数

            配置验证:
            show config port ethernet 1/4 show port detail

            配置注意细节: 每个 VLAN 的缺省拨入数量为 1,因此需要在 bind authentication pap 后加 max number,否则会造成每个 Vlan 中只有一个用户能拨上来。

            中国电信江苏分公司

            第 22 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.2.4.3 GE 用做拨号下联口(QinQ) 配置说明: 配置 GE 口用做 QinQ 方式拨号下联口。 规范要求: 配置 GE 端口 MTU 设置为 1526,关闭 GE 端口自行协商,设置为全双工, 速率为 1000,打开端口封装 vlan 功能 配置接口描述符合第二章中 IP 城域网网络设备命名及链路描述规范中规定 配置子端口封装为 QinQ,为新业务预留子端口的 PPPoE session 数 配置范例:
            #在全局配置模式下: port ethernet 1/5 description xxxx #二层端口描述 mtu 1526 #配置MTU no auto-negotiate #关闭协商 encapsulation dot1q #端口封装dot1Q dot1q pvc 150 encapsulation 1qtunnel #指定外层vlan 150上传的包为封装QinQ dot1q pvc on-demand 150:1 through 2000 encapsulation pppoe # 配置2000个QinQ 用户 bind authentication pap chap maximum 4 #配置QinQ 封装的PPPoE上传用户每个VLAN的缺省拨入数量等于4 idle-down 600 #非活动的PVC10分钟后删除

            配置验证:
            show config port ethernet 1/5 show port detail

            配置注意细节: 无。 3.2.4.4 GE 用做专线下联口 配置说明: 配置主端口二层参数配置(mtu 值、工作方式、速率、封装类型、描述等) 、 配置子端口二层参数配置(vlan id、ip unnumbered 端口等) 、配置子端口的速率 策略。 规范要求: 主端口 MTU 设置为 1526,工作方式为全双工,速率为 1000,封装方式为 dot1Q(假设 BAS 的下联口与三层交换机相连,如与路由器相连无需设置) ; 引用的速率策略预先在全局配置模式下配置好;
            中国电信江苏分公司 第 23 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置子端口的描述,格式要求符合配置有关命名规范; 配置该专线用户的 IP 路由; 配置接口描述符合第二章中“IP 城域网网络设备命名及链路描述规范”中规 定。 配置范例:
            #在context配置模式下: context static interface ge-1/2.100 multiband #专线网关 ip add x.x.x.x/x #配置网关地址 escription xxxxx #描述应体现用户网关 ip arp secure-arp #启用secure-arp exit #在全局配置模式下: port eth 1/4 mtu 1526 no auto-negotiate #关闭自动协商 encapsulation dot1q #指定封装类型 dot1q pvc 100 #创建vlan100的pvc description xxxxx bind interface ge-1/2.100 local ip host x.x.x.x #指定用户侧地址,最多4个 注:该专线用户的地址为x.x.x.x,在BRAS 中这段地址对应的路由为 “直连路由”,无 需专门做路由配置。

            配置验证:
            show config port ethernet 1/4 show port detail

            配置注意细节: 无。 3.2.4.5 配置范例
            GE用做上联接口: #在context中: context local interface ge-1/2.10 description xxxx ip address xx.xx.xx.xx/xx #在全局配置模式下: port ethernet 1/2 description xxxx mtu 1600 no auto-negotiate #关闭自协商 link-dampening up 2000 down 1000 #hold-time时间 encapsulation dot1q #端口封装dot1Q dot1q pvc 10 #创建vlan 100的pvc bind interface ge-1/2.10 local
            中国电信江苏分公司 第 24 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            #把port 1/2绑定到context local的三层接口ge-1/2.10上 GE用做拨号下联口(dot1Q): #在全局配置模式下: port ethernet 1/4 description xxxx #二层端口描述 mtu 1526 #配置MTU no auto-negotiate #关闭自动协商 encapsulation dot1q #端口封装dot1Q dot1q pvc on-demand 100 encapsulation pppoe #指定vlan 100上传的包为封装pppoe的包 GE用做拨号下联口(QinQ): #在全局配置模式下: port ethernet 1/5 description xxxx #二层端口描述 mtu 1526 no auto-negotiate #关闭自协商 encapsulation dot1q #端口封装dot1Q dot1q pvc 150 encapsulation 1qtunnel #指定vlan 150上传的包为封装QinQ dot1q pvc on-demand 150:1 through 2000 enc pppoe # 配置2000个QinQ 用户 bind authentication pap chap maximum 4 #配置QinQ 封装的PPPoE上传用户每个VLAN的缺省拨入数量等于4 idle-down 600 #非活动的PVC 10分钟后删除 GE用做专线下联口: #在context配置模式下: interface ge-1/2.100 multibind ip add 100.1.1.1/24 description xxxxx #在全局配置模式下: port eth 1/4 mtu 1526 no auto-negotiate encapsulation dot1q #封装为dot1q dot1q pvc 100 encapsulation #创建外层vlan为100的pvc description xxxxx bind interface ge-1/2.100 local ip host x.x.x.x #指定用户侧地址 注:该专线用户的地址为x.x.x.x,在BRAS 中这段地址对应的路由为“直连路由”,无需 专门做路由配置。

            3.3 Multi-context 配置
            3.3.1 CONTEXT 规划
            配置说明: 配置虚拟路由器功能。 SE800 支持多 context 配置,context 具有一个传统路由器应该具有的一切功
            中国电信江苏分公司 第 25 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            能,例如路由表、路由协议、认证以及 IP 地址空间等。其功能跟 E320VR 相当。 context 支持一个传统路由器应该支持的一切网络业务,可根据不同的业务需要, 将不同业务放到单独的 context 中,如拨号上网、IPTV,都可以设置到不同的 Context 上。 建议给 SE800 分配独立子接口 context 分为以下几种: ? Context local:默认存在,作为管理 context ? Context pppoe:处理所有拨号上网的 context ? Context vod:处理 IPTV 拨号的 context 其它 context,一般采用域间路由的方式进行路由交互。如果其它 context 因 业务发展,流量较大时,可以考虑分配独立子接口。比如:context wlan 如果处 理业务早期,流量较小,采用域间路由的方式。因本地网或地区发展不平衡, wlan 业务大量发展时,可以为 context wlan 分配独立子接口。 规范要求: SE800 Context 命名规范如下表所示,其中 context local 为默认 context,不

            可修改。其他 context 根据业务开展情况配置,根据不同的业务需要,将相关的 业务放到相应的 context 中处理,实现不同业务之间的隔离。 每种业务类型的 context 通常仅配置一个。context 命名格式主要是依据现网 配置,统筹考虑全省相关资源命名的统一性。context 建议做如下规范: 业务描述
            默认 拨号 iptv wlan mpls-vpn 地市自营业务 临时业务测试

            Context
            local pppoe vod wlan 自定义+vpn-rd+RD 地市简拼-自定义字段 Test-自定义字段

            vlan-id
            .10 .20 .30 .40 N/A .110+x .510+x

            domain
            N/A 163.js vod wlan.js N/A N/A N/A

            ? 默认 context local 默认的 context,不能删除,根据统一规范要求,SE800 context local 作为管 理 context,或仅放业务量较小的业务。 ? 拨号业务 context pppoe 此 context 处理所有的拨号上网用户。

            中国电信江苏分公司

            第 26 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? IPTV 业务 context vod context vod 处理所有的 iptv 拨号用户。 ? WLAN 业务 context wlan 此 context 处理所有 WLAN 上网用户。 ? mpls-vpn 业务 每个 mpls-vpn 需要新建一个 vpn context,命名格式如下:
            标识(部分 RD 值) 符号 字符数 选项 字符 <8 必选 空格 字符 1 必选 vpn-rd 固定字符 =6 必选 空格 字符 1 必选 完整 RD 值 字符 =11 必选

            1. 标识只取用完整的 RD 值的 YYYYYYY 部分。如 RD 为 4809:2900001,对应 的就为 2900001,当有多个 RD 时,取最小的 RD 数值; 2. vpn-rd 固定字符串,指明这是一个 vpn context; 3. RD 值,这里是完整的 RD 值; 做为 mpls-vpn 业务的 context,应该进行适当的描述: 格式为:CTVPN+专网号+“-”+客户名简称+“-”+序号 ? 各地自营特色业务 context 地市简拼+自定义字段 地市简拼:取城市名称拼音的首字母大写如:南京 NJ、盐城 YC。 自定义字段:此字段简洁描述此 context 所用业务名称或特点。一般采用小 写字母,如有二个以上单词,每个词首字母大写。 ? 临时业务测试:context Test-自定义字段 对于临时用于测试目的 context,前面加 Test 予以区分,后部分自定义字段 和自营业务规则相同。 配置示例:
            1、创建一个普通context service multiple-contexts context vod description for IPTV service #开启多context功能 #建立一个context iptv #配置context描述

            2、创建一个vpn context context 2900001 vpn-rd 4809:2900001 3、创建一个自定义的context 南京的绿色上网业务,可以表示为: context NJ-GreenWeb
            中国电信江苏分公司 第 27 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置验证:
            show context all

            配置注意细节: 无。

            3.3.2 CONTEXT 接口绑定
            配置说明: 配置 context 与接口绑定关系。 规范要求: 建议 SE800 只为以下 context 绑定上行子接口,并统一 vlan id。 各台设备绑定的上行子接口数目不同,考虑实施过程中的实际困难,保留原 设备上行接口数目,只针对不符合 vlan-id 号规范的进行整改,vlan 号前 100 留 给几个主要的业务使用,自 110 开始可以分配给其它业务。 业务描述
            默认 拨号 iptv

            Context
            local pppoe vod

            vlan-id .10 .20 .30

            其他 context 不绑定独立子接口,使用 inter-context 功能,由 context local 携 带流量。

            3.3.3 CONTEXT 路由策略
            江苏电信城域网里 SE800&1200 设备运行 ISIS 协议做为 IGP 协议。ISIS 路 由协议只承载设备之间的互联链路和 loopback 地址的主机路由,以及城域网核 心下发的默认路由。 ISIS 协议提供的是业务接入控制层及其以上设备之间的可达 性,为 IBGP 提供 IGP 路由可达性。 基于以上原因,SE800 的路由策略考虑 ISIS 及 BGP 二种情况。 3.3.3.1 ISIS 携带设备接口路由 配置说明: 为 context 配置动态路由协议或静态路由。 规范要求:
            中国电信江苏分公司 第 28 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            建议运行 ISIS+BGP 协议的 context 有: ? ? ? context local context pppoe context vod

            其他 context 没有独立上联子接口,使用 inter-context 功能,配置静态缺省 路由的下一跳(出口)指向 context local,然后在 context local 上配置到该 context loopback 接口的回指路由,打上 tag 163,并将其重分布至 ISIS 协议中。回指路 由还包括该 context 用户网段。 配置范例:
            context wlan interface loopback0 loopback ip address 1.1.1.1 255.255.255.255 ip route 0.0.0.0 0.0.0.0 context local #默认路由指向context local #配置SE800的context wlan的loopback0接口及默认路由指向context local context local ip route 1.1.1.1 255.255.255.255 context wlan tag 163 #配置context local,指向context wlan的loopback接口路由,并打上tag163router isis wuxi address-family ipv4 unicast redistribute static level-1 metric 100 metric-type internal route-map rmWlanContextLoopback #重分布静态路由到ISIS,并过滤 #配置context local,将context wlan的loopback接口路由,通过redistribute static方式重分布 使用route-map match tag 163的方法过滤 进isis,并过滤
            context local通常有多条指向其它没有独立出口的context loopback的静态路由, 建议为这些静 态路由打上tag 163,重分布进ISIS时,使用route-map match tag 163过滤即可。

            配置验证:
            show config show isis database show isis adja show isis route show isis database show isis interface

            3.3.3.2 BGP 携带用户路由的城域网 配置说明: 为分配独立子接口的 context 配置 BGP 路由协议。 规范要求: 建议运行 BGP 协议的有子接口的 context: ? ? context local context pppoe
            第 29 页

            中国电信江苏分公司

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ?

            context vod

            其他 context 没有独立上联子接口,使用 inter-context 功能,配置静态缺省路 由的下一跳(出口)指向 context local。 然后在 context local 上配置到该 context 的用 户路由的回指路由,并将通过 netwok+staitc 的方式发布到 BGP 协议中。 配置范例:
            #配置SE800的context xxx的业务地址池,默认路由指向context local

            context wlan interface wlan-01 multibind ip address 192.168.0.1/24 ip pool 192.168.0.0/24 exit ip route 0.0.0.0 0.0.0.0 context local #配置默认路由 #配置SE800的context local,将context wlan的业务路由指向context wlan context local ip route 192.168.0.0 255.255.255.0 context wlan permanent #配置SE800的BGP协议,将context wlan的业务路由路由,通过network+staic的方 式发布进BGP rouer bgp wuxi address-family ipv4 unicast network 192.168.0.0/24 #发布用户路由

            配置验证:
            show bgp neighbors show bgp summary show bgp route

            配置注意细节: 1.以 pool 为目的网段,指向 null0 的路由,需要加参数 permanent 2.context local 指向其它 context 的业务回程路由,需要加参数 permanent 3.context local 指向其它 context 的 loopback 接口主机路由,打上 tag 163。 方便重分布进 ISIS 时,route-mapmatch tag 163 进行匹配。

            3.3.4 Domain 配置
            配置说明: 为 context 配置 domain,目的是通过匹配 domain 为不同的业务分配不同的 用户策略。用户在拨号的时候,SE800 根据 domain 来区分不同的 context,比如 user@ 163.js 会拨到 context pppoe 进行处理。如果用户不带 domain 或携带的 domain 本机无配置,则可以通过 aaa last-resort context 这条命令来指定将此类用 户送到指定的 context 处理。 如下表所示:
            中国电信江苏分公司 第 30 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            类型 动作

            User 携带 domain

            User 不携带 domain

            User 携带 domain, SE800 无配置

            Match domain 送到相 应的 context 处理。

            送到 default context 进行处理

            送到 default context 进 行处理

            Defaulut context 将这些 user 帐号, 不经任何处 理,转给 radius 进行认证。

            规范要求: 根据业务开展需要在 context 下配置 domain,如 domain 163.js,策略相同的 业务应放到同一个 context 中处理。 对于不带 domain 或携带的 domain 本机无配置的用户名要求作为默认域名 (如 163.js)处理,令规划 domain 如下,请参考: 业务描述
            默认 iptv wlan 拨号

            VR(Context)
            local vod wlan pppoe

            Domain
            163.js vod wlan.js 163.js

            配置范例:
            #全局配置模式 pppoe services all-domains pppoe service-name accept-all pppoe always-send-padt aaa last-resort context pppoe #不带域名的用户将通过 last-resort 被送到context pppoe 中。 context pppoe domain 163.js #域名匹配“163.js”,则被送到pppoe context中处理。

            配置验证:
            show config | i domain

            配置注意细节: 无。

            3.4 路由协议配置规范
            3.4.1 城域网路由架构概述
            中国电信江苏分公司 第 31 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            城域网单独形成 AS 域, 分配私有 AS 号, 路由架构分为用户路由生成 (custom routing) 、IGP、BGP、MP-BGP 路由 4 个部分。 用户路由生成:指在宽带接入设备(BRAS)上配置 IP POOL 后生成的用户 路由; IGP:运行在核心层和业务接入控制层,承载两类路由信息: 1. AS 域内设备互联接口(包括 loopback 接口)地址路由; 2. 出口核心下发的缺省路由。 BGP:运行在 CR(RR)与 BRAS(客户端)之间,由 CR(RR)将核心出 口下发的 default 路由发给 BRAS(客户端) ,牵引用户上行流量,同时将 BRAS (客户端)的用户路由发给核心出口,引导宽带流量下行。 MP-BGP:运行在 VRR 和 BRAS(即 PE)之间,用于承载自治域内和跨域 VPNv4 用户路由。

            3.4.2 路由优先级/管理距离
            配置说明: 配置路由协议优先级。 规范要求: SE800 路由优先级别的设定参考如下面规范:
            静态路由 1 黑洞路由 180 EBGP 20 OSPF 110 ISIS 115 External OSPF 150 IBGP 200 浮动静态 210

            3.4.3 静态路由配置
            3.4.3.1 静态路由配置方式 配置说明: 根据需要配置静态路由; 根据需要指定静态路由的 distance metric 值 规范要求: 配置 context 内的静态路由时,可以绑定下一跳地址,也可以绑定出站接口。 规范建议:配置静态路由时,仅绑定下一跳地址,同时需要 connected 参数 配置跨 context 的静态路由时,绑定下一跳 context 名称。
            中国电信江苏分公司 第 32 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置范例:
            #配置context内的静态路由 ip route 192.168.1.0/24 x.x.x.x connected #配置跨context的静态路由,从一个context指向另一个context ip route x.x.x.x/x context xxx

            配置验证:
            show static route

            配置注意细节: SE800 缺省设置静态路由优先级为 1。 3.4.3.2 黑洞路由配置方式 配置说明: BRAS 上配置下挂用户网段汇聚的指向 null0 的黑洞路由, 用于 BGP 协议将 用户网段宣告出去,设备路由优先级/管理距离为 180。 黑洞路由严禁注入到 ISIS 中。 规范要求: 黑洞路由配置路由优先级为 180,严禁注入到 ISIS 中 指向 null0 的黑洞路由建议加参数 permanent 配置注意细节: 配置前需仔细排查设备汇总通过 network 发布的 IBGP 路由是否和本机下挂 的用户网段路由中存在子网掩码长度相同的路由条目,针对这种特例,设备上直 接 network 发布,无需再配置指向 null0 的路由,否则会造成该路由条目的流量 丢弃。 3.4.3.3 浮动静态路由配置方式 配置说明: 根据需要配置浮动静态路由路由; 根据需要指定浮动静态路由的 distance metric 值 210 规范要求: 设备配置静态默认路由, 同时将路由优先级/管理距离设置为 210,严禁注入 ISIS 中。 配置范例:

            中国电信江苏分公司

            第 33 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ip route 0.0.0.0/0 x.x.x.x connected distance 210 #配置浮动静态路由,设置路由优先级为210

            3.4.3.4 配置范例
            ip route 0.0.0.0/0 x.x.x.x connected distance 210 #配置浮动静态路由,记置路由优先级为210 ip route 192.168.1.0/24 x.x.x.x connected #配置context内的静态路由 ip route x.x.x.x/x context xxx #配置跨context的静态路由 ip route 10.1.1.0/24 null0 permanent distance 180 #配置黑洞路由与ip pool对应

            3.4.4 ISIS 配置
            3.4.4.1 概述 城域网业务控制层及核心、汇接层采用间选择 ISIS 做为 IGP 协议。ISIS 路 由协议只承载设备之间的互联互联链路和 loopback 地址的主机路由,不承载默 认路由外的其他用户的路由。 ISIS 协议提供的是业务接入控制层及其以上设备之 间的可达性,为 IBGP 提供 IGP 路由可达性。 3.4.4.2 ISIS 进程名 配置说明: 配置 ISIS 进程标识,用于对不同的 ISIS 进程进行区别。 规范要求: 同一城域网 ISIS process ID 保持统一。对于 SE800 各个运行 ISIS 的 context 统一配置 ISIS 进程名字为地市名字全拼。 3.4.4.3 ISIS NET ID 配置说明: 配置 ISIS NET,唯一标识自治系统中的一台 ISIS 路由器。 规范要求: 配置 ISIS Net ID, 唯一标识城域网内自治系统中的一台 ISIS 路由器。Net ID 地址采用 Area id + System id+ NSEL 地址方式, 其中,XX.YYYY.ZZZZ 为 Area id,其中 XX 固定为 86,YYYY 为各城域网 私有 5 位 AS 号的后 4 位,ZZZZ 为各地市电话区号,不足四位的前面补零。
            中国电信江苏分公司 第 34 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            System id 为 6 位, 格式为 AAAA.AAAA.AAAA, 采用城域网设备 loopback0 的 IP 地址,以左加 0 的方式将每一节补齐 3 位,再从左至右三等分完成格式转 换。比如 202.97.28.105 转换后为 2020.9702.8105。 NSEL 固定为 00。 配置范例:
            #context配置模式下: router isis changzhou net 86.4663.0519.xxxx.xxxx.xxxx.00

            # x为loopback地址补足

            配置验证:
            show isis xxx

            配置注意细节: 无。 3.4.4.4 ISIS 路由类型及 Metric 类型 配置说明: ISIS 的路由器类型可分为 level-1、level-2、level-12 三种,level-1 用于传递 域内路由、level-2 用户传递域间路由。 规范要求: 同一个城域网运行同一个 ISIS 协议,配置 ISIS 路由器类型为 Level-1。 配置范例:
            #context配置模式下: router isis wuxi is type level-1

            配置验证:
            show isis wuxi

            配置注意细节: 默认 ISIS 协议的路由类型为 level-1/2,即两种路由类型并存。 3.4.4.5 ISIS 路由协议优先级 配置说明: 更改 ISIS 协议路由协议优先级/管理距离 规范要求: 统一 ISIS 路由协议优先级/管理距离为 115。 配置范例:
            中国电信江苏分公司 第 35 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            distance 115

            配置验证:
            show config context local | b "router isis "

            配置注意细节: SE800 默认情况下 ISIS 路由协议优先级/管理距离为 115。 3.4.4.6 ISIS log 邻居变化信息 配置说明: 配置 ISIS log 邻居变化信息,记录 ISIS 邻居变化。 规范要求: 为记录 ISIS 邻居变化,打开 ISIS 邻居变化 log 信息功能。 配置范例: SE800 默认支持 ISIS log 邻居变化信息,不需特别配置。 3.4.4.7 ISIS 邻居链路加密 配置说明: 配置 ISIS 邻居加密,对 ISIS 邻居之间的协议报文进行加密和校验。 规范要求: 在邻居之间不开启加密 配置注意细节: 不开启此功能。 3.4.4.8 ISIS 负载均衡条目及其他 配置说明: 配置 ISIS 负载均衡条目,实现流量的负载均衡。 禁止 hello 报文填充,节省网络带宽。 规范要求: 按省公司统一规范要求,SE800&1200 路由器配置 ISIS 负载均衡数为 8 条。 配置范例:
            router isis wuxi maximum paths 8

            配置验证:
            中国电信江苏分公司 第 36 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            show config | i “isis maximum paths”

            配置注意细节: 无 3.4.4.9 ISIS 接口宣告 配置说明: 配置需宣告到 ISIS 协议中的端口。 规范要求: 配置设备 loopback 端口和城域网设备互联链路端口为 ISIS 端口,端口地址 路由自动发布到 ISIS,并设置其 cost 值为 100。 配置范例:
            #context配置模式下: router isis wuxi interface ge-1/1.10

            配置验证:
            show isis interface

            配置注意细节: 无 3.4.4.10 配置范例
            context local router isis xxx #配置实例名,地市拼音 net xxxx #配置NET ID is type level-1 #配置路由器类型 distance 115 #配置协议优先级,默认即为115 maximum paths 8 #配置负载均衡数 address-family ipv4 unicast #配置ipv4 unicast redistribute static level-1 metric 100 metric-type internal route-map rmInterContextLoopback #使用route-map过滤,重分布静态主机路由到ISIS interface ge-1/1.10 #配置接口 circuit type level-1 #配置接口类型 hello padding never #禁止hello报文填充 metric 300 level-1 #配置metric address-family ipv4 unicast #配置ipv4 unicast interface loopback0 #配置loopback passive-interface #配置loopback passive到ISIS isis metric 100 level-1 #配置loopback的metric address-family ipv4 unicast #配置ipv4 unicast

            中国电信江苏分公司

            第 37 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.4.5 BGP 配置
            3.4.5.1 概述 BRAS 与 CR(RR)建立 IBGP 邻居,BRAS 作为为 CR(RR)的 client,BRAS 向 CR(RR)发布自身业务路由,CR(RR)不向 BRAS 发布任何 BGP 路由。 3.4.5.2 自治系统 江苏电信所属城域网上布署的 BGP 采用私有自治系统号,按照集团统一分 配方案,各城域网 AS 号如下: 地市
            南京城域网 无锡城域网 淮安城域网 宿迁城域网 盐城城域网 泰州城域网 镇江城域网 南通城域网 徐州城域网 扬州城域网 常州城域网 连云港城域网 苏州城域网

            城域网 AS
            64660 64662 64669 64672 64522 64519 64664 64518 64668 64665 64663 64671 64513

            163 设置 community 值
            4134:111,4134:3025,4134:3250,4134:64660,64660:10661 4134:111,4134:3025,4134:3250,4134:64662,64662:10661 4134:111,4134:3025,4134:3250,4134:64669,64669:10661 4134:111,4134:3025,4134:3250,4134:64672,64672:10661 4134:111,4134:3025,4134:3250,4134:64522,64522:10661 4134:111,4134:3025,4134:3250,4134:64519,64519:10661 4134:111,4134:3025,4134:3250,4134:64664,64664:10661 4134:111,4134:3025,4134:3250,4134:64518,64518:10661 4134:111,4134:3025,4134:3250,4134:64668,64668:10661 4134:111,4134:3025,4134:3250,4134:64665,64665:10661 4134:111,4134:3025,4134:3250,4134:64663,64663:10661 4134:111,4134:3025,4134:3250,4134:64671,64671:10661 4134:111,4134:3025,4134:3250,4134:64513,64513:10661

            3.4.5.3 城域网 BGP 部署策略 关闭 BGP 自动路由汇总特性。 关闭 IGP 与 BGP 的同步。 关闭 BGP Damping,避免路由抑制对业务的影响。 ? 关闭 bgp always-compare-med 为避免潜在的路由环路,统一对未携带 MED 属性的路由视为 MED=0。 明确配置 BGP router-id 为 Loopback 0 地址。 根据需要确定 BGP Multihop 的 TTL 值, 对大部分情况, 配置 EBGP Multihop 为 2。 明确配置新式 community 格式。 记录 BGP 邻居变化。
            中国电信江苏分公司 第 38 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? 城域网以 ORIGIN IGP 的方式对外发布路由 ? BGP 采用密码建立邻居关系 ? 负载均衡数目:8 ? 配置 BGP 出方向路由过滤 ? 播放给其它 BGP 的路由尽量汇总,采用 network+null 0 发布 ? 使用 Loopback 地址建立 BGP 关系,不使用接口建立邻居关系 ? BGP timer 参数 keepalive 和 Holdtime 定时器统一为 60s 与 180s。 3.4.5.4 BGP 路由引入策略 SE800 上的用户路由发布到 BGP BGP router-id 配置 配置说明: 配置 BGP router-id,唯一标识自治系统中的一台 BGP 路由器。 规范要求: 配置 BGP router-id 地址为 loopback0 接口的 IP 地址,不使用 BGP 协议自动 选举的 router-id。 配置范例:
            router bgp xxxxx router-id xx.xx.xx.xx

            配置验证:
            show configuration bgp

            配置注意细节: SE800&1200 在 context(local、pppoe、vod)启用 BGP 协议,其他 context 使用域间路由。 3.4.5.5 BGP log 邻居变化信息 配置说明: 配置 BGP log 邻居变化信息,记录 BGP 邻居变化。 规范要求: 配置 BGP log 邻居变化信息。 配置范例:

            中国电信江苏分公司

            第 39 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            router bgp xxxxx log-neighbor-changes

            配置验证:
            show configuration bgp show bgp notification

            3.4.5.6 关闭 BGP 同步和自动汇总 配置说明: 配置 BGP 协议的同步和自动汇总功能。 规范要求: 在城域网所有运行 BGP 协议的设备上关闭 BGP 同步和自动汇总功能。 配置注意细节: SE800 默认关闭同步和自动汇总功能,无需配置。 3.4.5.7 BGP 邻居 MD5 加密 配置说明: 配置 BGP 邻居加密。 规范要求: IBGP 邻居不加密 3.4.5.8 BGP 时间参数 配置说明: 配置 BGP 协议的 Keepalive 和 Holdtime 定时器,一个 BGP 对等体每隔 Keepalive 时间向邻居发送一个存活报文,如果 Holdtime 时间内没有必到邻居发 送的存活报文,就认为这个邻居已死亡,从而结束会话。 规范要求: ? 统一 BGP keepalive 时间为 60s,holdtime 时间为 180s。 配置范例:
            router bgp xxxxx address-family ipv4 unicast neighbor 2.2.2.2 internal #配置IBGP领居 timers keepalive 60 holdtime 180

            配置验证:

            中国电信江苏分公司

            第 40 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            show configuration bgp show bgp neighbor 2.2.2.2

            配置注意细节: SE800 BGP Keepalive 和 Holdtime 默认值分别为 60s 和 180s。缺省配置无需 修改。 3.4.5.9 BGP Peer group 命名 配置说明: 配置 BGP peer group 命名。 配置说明: 针对 BGP 属性和应用策略基本相同的多个设备, 采用 Peer Group 来简化配 置,方便管理。 规范要求: IBGP 邻居的 peer group 组规划如下: 城域网 SR,BRAS 设备到城域网出口路由器兼 RR 可命名为:pgCR。 城域网 SR,BRAS 设备到独立 IPV4 RR 的 IBGP 邻居 peer group 命名为 pgGRR。 城域网 SR, BRAS 设备到独立 VPNV4 RR 的 IBGP 邻居 peer group 命令 pgVRR。 配置注意细节: Peer Group 命名为“pg”+自定义字符, pg 为 Peer Group 缩写, 自定义字符需 简明清晰的反映出 BGP Group 成员属性 BRAS BGP 路由策略 配置说明: 配置 BRAS 设备的 BGP 路由策略 规范要求: BRAS->CR:通告本 BRAS 设备的尽量聚合后的用户路由。 CR->BRAS:RR 设备向 BRAS 设备发送默认路由。 3.4.5.10 配置范例
            context local router bgp xxxxx router-id x.x.x.x multi-paths external 8 internal 8 log-neighbor-changes
            中国电信江苏分公司

            #城域网自治系统号 #bgp router-id为设备loopback0地址 #负载均衡数目为8条 #记录BGP邻居变化
            第 41 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            address-family ipv4 unicast address-family ipv4 vpn distance 20 200 200 network x.x.x.x/x network y.y.y.y/y peer-group pgCR internal update-source loopback0 next-hop-self address-family ipv4 unicast address-family ipv4 vpn neighbor xx.xx.xx.xx internal peer-group pgCR description xxxx neighbor xx.xx.xx.xx internal peer-group pgCR description xxxx

            #配置BGP ipv4 unicast地址家族 #BGP协议preference值 #宣告网段 #宣告网段 #BGP组配置 #使用loopback0建立BGP连接

            ip route 0.0.0.0/0 xx.xx.xx.xx connected distance 210 #配置上行浮动静态默认路由 ip route 0.0.0.0/0 yy.yy.yy.yy connected distance 210 ip route x.x.x..x/x context wlan permanent #配置回指域间用户路由 ip route x.x.x.x/32 context wlan #配置域间loopback地址路由 context wlan ip route 0.0.0.0/0 context local #指向context local默认路由 ip routex.x.x.x/x null0 permanent distance 180 #配置context地址池null0路由

            3.5 用户策略配置
            3.5.1 IP Pool 配置
            配置说明: 为拨号用户设置 IP Pool 规范要求: 建议每种业务统一设置一个 IP Pool,并且做好 IP Pool 的命名,IP Pool 的命 名格式为:“业务类型+编号” ,如:普通拨号业务分配的第一个地址池命名为: adsl-01,第二个地址池命名为:adsl-02,依次类推,按序排列。 命名规划: 结合业务 context 规划, 将全省各地市普及性业务的 IP Pool 命名进行统一规 划,建议如下表所示: IP Pool 命名建议:

            中国电信江苏分公司

            第 42 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            业务种类
            宽带拨号 iTV 业务 终端管理 wlan 固网软交换 瘦 AP 管理 胖 AP 或 AC 管理 接入设备管理 绿色上网

            Pool name
            adsl-id vod-id itms-id wlan-id FTTB/C 接入 VRF:voip-trust FTTH 接入 VRF:voip-untrust fit-ap-id wlan-nms-id nms-id lw-id

            每个 IP pool 都需要设置黑洞路由,以防止出现路由环路。 配置范例:
            context pppoe interface adsl-01 multibind #业务类型+编号 ip address 10.1.1.1/24 ip pool 10.1.1.0/24 exit ip route 10.1.1.0/24 null0 permanent distance 180 #配置ip pool的黑洞路由

            配置验证:
            show static route show ip route connected

            配置注意细节: 无

            3.5.2 IP Pool 告警阀值
            配置说明: 配置 IP Pool 告警功能,当 IP Pool 占用率达到设定阀值时,进行告警,告警 内容应通过 syslog 和 snmp trap 形式发送。 规范要求: SE800/1200 设备通常以每业务每 context 的形式进行规划。 所以 IP Pool 告警 命令只需要针对 context 配置,不需要对 IP Pool 配置。同时 SE800/1200 设备支 持针对 IP Pool 配置告警。 对 IP Pool 告警配置分别考虑如下: 1.对于 context 仅开展一种业务的情况,对该 context 做告警阀值设置即可。 2.对于多业务,多个 IP Pool 的 context,按配置先后顺序对最后一个 IP Pool 做
            中国电信江苏分公司 第 43 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            告警阀值设置即可。 示例:
            ip pool falling-threshold 500 trap log #针对 context 配置地址告警,500 为告警阀值,当地址池只有 500 个地址时,触发告警。 interface vod-01 multibind #针对地址池配置告警 ip add x.x.x.x/y ip pool x.x.x.x/y falling-threshold 500 trap log

            配置注意细节: 无。

            3.5.3 DNS 配置
            配置说明: 设置拨号用户获得的 DNS 地址; PPP 用户建立拨号连接时可以从 SE800 得到 DNS 地址,也可以从 radius server 返回 DNS 地址。 规范要求: 保持分公司目前的 DNS 配置。 配置范例:
            subscriber default dns primary x.x.x.x dns secondar y.y.y.y

            配置验证:
            show config context local | i dns

            配置注意细节: 无。

            3.5.4 用户限速配置
            配置说明: 通常只有拨号业务,才使用 radius 下发限速属性。 当用户认证通过后,radius 会在返回给设备的认证回应包中通过上行限速属 性和下行限速属性设定不同的策略名来实现用户上下行的分别限速。 其它静态用 户,在相应的 pvc 下直接应用限速策略。 为每一个速率的 rate-limit 配置 ip policy-list 为每一个速率业务配置 profile SE800 的限速需要跟 radius 服务器配合才能实现, 通过 Redback 的厂商专有
            中国电信江苏分公司 第 44 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            属性 VSA 的 91 号属性 Sub-Profile-Name 即用户描述名称可以实现限速,radius 服务器在 dictionary 文件中增加该属性 VSA。根据用户申请的带宽,对该用户记 录(user 文件)中对这项用户描述名称的字符串类型进行赋值。用户拨号成功后 radius 把该用户的属性值下发给 SE800,SE800 得到 Subscriber profile 名称后, 根据在 BRAS 上设置对应 subscriber profile name 的具体属性值,继而应用到 subscriber 上。 91 号属性的描述如下:
            VSA 序号 91 属性名称 Sub-Profile-Name 含义 用户描述名称 属性值类型 字符串

            SE800 预先设置好具体的 subscriber profile 名称,比如针对 1M 下行,512K 上行速率的用户,设置:
            subscriber profile 1M qos policy 1MDOWN metering qos policy 512KUP policing

            通过 Radius 下发这个 1M 下行速率用户的 91 号 VSA 专有属性值,SE800 根据这个 Sub-Profile-Name 的名称 1M,对应 subscriber profile 1M,把 profile 里 具体的速率设置 1MDOWN 和 512KUP 应用到该用户,从而达到限速的目的。 通过这种方法,当针对 1M 下行速率的用户还需要增加某些其他专有属性 时, 就不需要在 Radius 的 dictionary 文件中增加新的 VSA 了, 只需要在 subscriber profile 里加上新的其他属性, SE800 就可以把它们灵活地应用到 subscriber 里了。 规范示例:
            qos policy 512kUP policing rate 512 burst 51200 qos policy 512kDOWN metering rate 512 burst 51200 qos policy 1MUP policing rate 1024 burst 102400 qos policy 1MDOWN metering rate 1024 burst 102400 qos policy 2MUP policing rate 2048 burst 204800 qos policy 2MDOWN metering rate 2048 burst 204800 qos policy 3MUP policing rate 3072 burst 307200 qos policy 3MDOWN metering rate 3072 burst 307200 qos policy 4MUP policing
            中国电信江苏分公司 第 45 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            rate 4096 burst 409600 qos policy 4MDOWN metering rate 4096 burst 409600 qos policy 5MUP policing rate 5120 burst 512000 qos policy 5MDOWN metering rate 5120 burst 512000 qos policy 6MUP policing rate 6144 burst 614400 qos policy 6MDOWN metering rate 6144 burst 614400 qos policy 7MUP policing rate 7168 burst 716800 qos policy 7MDOWN metering rate 7168 burst 716800 qos policy 8MUP policing rate 8192 burst 819200 qos policy 8MDOWN metering rate 8192 burst 819200 qos policy 9MUP policing rate 9216 burst 921600 qos policy 9MDOWN metering rate 9216 burst 921600 qos policy 10MUP policing rate 10240 burst 1024000 qos policy 10MDOWN metering rate 10240 burst 1024000

            用于专线限速
            qos policy 20MUP policing rate 20480 burst 2048000 qos policy 20MDOWN metering rate 20480 burst 2048000 qos policy 30MUP policing rate 30720 burst 3072000 qos policy 30MDOWN metering rate 30720 burst 3072000 subscriber profile 1M qos policy 1MDOWN metering qos policy 512KUP policing subscriber profile 2M qos policy 2MDOWN metering qos policy 512KUP policing

            端口调用
            port ethernet 14/1 no shutdown encapsulation dot1q dot1q pvc 1531 encapsulation 1qtunnel dot1q pvc 1531:1201 qos policy policing 512kUP qos policy metering 2MDOWN

            context subscriber调用,
            subscriber default
            中国电信江苏分公司 第 46 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            qos policy metering 4MDOWN qos policy policing 512kUP 或 subscriber default qos profile overhead 4M

            配置验证: show qos policy show qos profile

            配置注意细节: 无。

            3.5.5 用户 uRPF 配置
            配置说明: 配置 uRPF 单播反向路径检测功能 规范要求: 配置 uRPF 单播反向路径检测功能 配置范例:
            subscriber default ip source-validation #启用uRPF

            配置验证:
            show config | b “subscriber default”

            配置注意细节: 无。

            3.5.6 页面推送配置
            配置说明: 配置页面的 url 的推送 规范要求: 配置江苏电信门户网站的推送:http://wlan.ct10000.com 配置范例:
            subscriber default pppoe url http://wlan.ct10000.com

            配置验证:
            show config | b “subscriber default”
            中国电信江苏分公司 第 47 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置注意细节: 无。

            3.6 标签配置规范
            3.6.1 MPLS 配置
            3.6.1.1 全局开启 MPLS 功能 配置说明: 当在 BRAS 上提供 MPLS VPN 功能,充当 PE 时,需要开启 MPLS 多协议 标签交换功能。 规范要求: SE800 提供 MPLS VPN 功能,充当 PE 时,在运行 mpls 的 context local 上行 口开启 MPLS 功能。 配置范例(参考) :
            #开启MPLS交换功能 router mpls interface ge-2/0.10 interface ge-1/1.10 ! #开启LDP标签分发协议 router ldp router-id x.x.x.x interface ge-2/0.10 interface ge-1/1.10

            配置验证:
            show mpls show ldp neighbor

            3.6.1.2 LDP router-id 配置说明: 配置 LSR ID(即 MPLS router-id)时,请注意以下情况: ? LSR ID 使用 IPv4 地址格式,在 MPLS 域内唯一。 ? 通常使用 Loopback 接口的 IPv4 地址作为 LSR ID。 ? LSR 没有缺省的 LSR ID,必须手工配置。配置了 LSR ID 后,还需要使 能 MPLS,之后才可以进行其它 MPLS 特性的配置。
            中国电信江苏分公司 第 48 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? LSR ID 与两字节的标签空间序号一起构成 LDP Identifier,用于标识此 LSR 使用的标签空间,并用于 LSR 之间建立和维持 LDP 会话。 规范要求: 统一配置 context local 的 loopback 地址为 LSR-ID。 配置范例(参考) :
            router ldp router-id x.x.x.x

            配置验证:
            show ldp summary

            配置注意细节: 无。

            3.6.2 LDP 协议配置
            3.6.2.1 LDP 协议加密 配置说明: 缺省情况下,SE800 对 LDP 的 TCP 连接没有加密。 规范要求: 加密暂不部署 3.6.2.2 LDP 标签发布和管理 配置说明: 标签分发方式: 在 MPLS 体系中, 由下游 LSR 决定将标签分配给特定 FEC, 再通知上游 LSR。 即,标签由下游指定,标签的分配按从下游到上游的方向分发。 标签发布方式(Label Advertisement Mode)分为两种: ? 下游自主方式 DU (Downstream Unsolicited) : 对于一个特定的 FEC, LSR 无须从上游获得标签请求消息即进行标签分配与分发; ? 下游按需方式 DoD(Downstream on Demand) :对于一个特定的 FEC, LSR 获得标签请求消息之后才进行标签分配与分发; 具有标签分发邻接关系的上游 LSR 和下游 LSR 之间必须对使用的标签发布
            中国电信江苏分公司 第 49 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            方式达成一致,否则 LSP 无法正常建立。 标签分配控制方式: 标签分配控制方式(Label Distribution Control Mode)分为两种: ? 独立标签分配控制(Independent) :LSR 可以在任意时间向与它连接的 LSR 通告标签映射(标签与 FEC 的绑定) 。这种方式可能导致在收到下 游标签之前就发布了上游标签; ? 有序标签控制方式(Ordered) :对于 LSR 上某个 FEC 的标签映射,只 有当该 LSR 已经具有此 FEC 下一跳的标签映射消息、或者该 LSR 就是 此 FEC 的出口节点时,该 LSR 才可以向上游发送此 FEC 的标签映射。 标签保持方式: 标签保持方式(Label Retention Mode)是指 LSR 对收到的、但目前暂时用 不到的标签映射的处理方式。 标签保持方式也分为两种: ? 自由标签保持方式(Liberal) :对于从邻居 LSR 收到的标签映射,无论 邻居 LSR 是不是自己的下一跳都保留; ? 保守标签保持方式(Conservative) :对于从邻居 LSR 收到的标签映射, 只有当邻居 LSR 是自己的下一跳时才保留。 当网络拓扑变化引起下一跳邻居改变时,使用自由标签保持方式,LSR 可以 直接利用原来非下一跳邻居发来的标签, 迅速重建 LSP,但就需要更多的内存和标 签空间; 而使用保守标签保持方式,由于 LSR 只保留了来自下一跳邻居的标签, 节省了内存和标签空间,但 LSP 的重建会比较慢。 保守标签保持方式通常与 DoD 方式一起,用于标签空间有限的 LSR。 规范要求: 配置标签发布方式为下游自主 DU,标签分配控制方式为有序方式 ordered; 标签保持方式为自由方式 liberal。 配置范例: SE800 标签发布和管理使用默认即可,无需修改。 3.6.2.3 LDP 协议时间参数 配置说明:
            中国电信江苏分公司 第 50 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            统一 LDP 协议时间参数。 规范要求: 根据业务需求,统一规范,配置 LDP hello 时间间隔为 5,hello holdtime 时 间为 15 秒。本地和远端会话保持定时器时间间隔使用缺省即可。 配置 LDP hello 时间为 5 秒、hello holdtime 时间为 15 秒。
            配置范例: router ldp hello interval 5 hello holdtime 15

            配置验证:
            show ldp summary

            配置注意细节: SE800&1200 默认 ldp hello 时间间隔是 5 秒,hello holdtime 时间为 15 秒。 如果两个 ldp 对等体的 hello 时间和 hello holdtime 时间不一致,则协商为两 者之中最小的时间参数。 3.6.2.4 LDP 外层标签过滤 配置说明: 配置 LDP 标签过滤功能。 规范要求: 配置 LDP 标签过滤功能,只针对 32 位地址分发标签。 配置范例:
            ip prefix-list plLoopback-Only #ldp标签过滤prefix-list description For-loopback seq 10 permit 0.0.0.0/0 eq 32 router ldp label-binding prefix-list plLoopback-Only in label-binding prefix-list plLoopback-Only out

            配置验证:
            show ip prefix-list show config | b “router ldp”

            配置注意细节: 无。 3.6.2.5 内层标签分配规则 配置说明:
            中国电信江苏分公司 第 51 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            各厂商对外层标签的分配方式没有明显差异,但在内层标签的分配方式上, 有两种类型,一种为 Per-VRF Label,即每个 VPN 生成一个内层标签;另一种为 Per-Route Label,即每条 VPN 路由生成一个内层标签。在业务开放初期,由于 MPLS VPN 业务路由较少, 这两种方式占用网络资源差异不明显。 随着软交换等 承载在 MPLS VPN 的电信自营业务蓬勃发展,不同的内层标签分配方式对网络 资源的占用差异性日益明显。 规范要求: SE800 默认使用 Per-VRF Label 3.6.2.6 配置范例
            context local #在context local中开启MPLS功能 router mpls #开启MPLS标签转发功能 interface ge-2/0.10 interface ge-1/1.10 router ldp #开启LDP标签分发协议 hello interval 5 #调整ldp hello时间 hello holdtime 15 #调整ldp holdtime时间 router-id 10.1.1.1 interface ge-2/0.10 interface ge-1/1.10 label-binding prefix-list plLoopback-Only in label-binding prefix-list plLoopback-Only out ip prefix-list plLoopback-Only description For-loopback seq 10 permit 0.0.0.0/0 eq 32

            #ldp标签过滤 #ldp标签过滤prefix-list

            3.6.3 资源配置
            3.6.3.1 Context VRF 名称和描述 配置说明: 参考 3.3.1 节 vpn context 命名 3.6.3.2 RD/RT 值 配置说明: 城域网 IPV4 VPN RD/RT 值需按各地市为单位统一进行规划。 规范要求: XXXX:为中国电信 CN2 网络公有自治域号码 4809。 YYYYYYY:为序号,由 7 位阿拉伯数字组成从 2900000 到 2999999,各本
            中国电信江苏分公司 第 52 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            地网具体分配的城域网 RD 见附表《江苏电信城域网 RD 分配表》 。 例:某地市电信 IP 城域网可分配的 RD 范围是 4809:2900000 ~ 4809:2909999,则该地市内某单位在电信 IP 城域网内的 VPN 可以分配 RD 4809:2900000。 RT 的数据格式为:XXXX:YYYYYYYZZ,其中 XXXX:YYYYYYY 为 分配给该 VPN 的 RD 号(若有多个 RD 号,可选数值最小的一个) ,ZZ:为序 号,由 2 位阿拉伯数字组成,从 00 到 99,按顺序分配。 RT 值根据 VPN 的拓扑分别取值: 如为 any-To-any 结构,则 RT 值为 RD+00; 如为星型结构,则 HUB 端为 RT 值为 RD+00,spoke 端 RT 值为 RD+01; 如为不完全网状结构,需要多个 RT 值来描述不同客户间路由关系,则 RT 值 RD+01-99 中范围选取。
            《江苏电信 IP 城域网 RD 分配表》
            地市 南京 无锡 苏州 常州 南通 扬州 镇江 泰州 宿迁 淮安 连云港 盐城 徐州 预留 缩写 NJ WX SZ CZ NT YZ ZJ TZ SQ HA LYG YC XZ AS 号 64660 64662 64513 64663 64518 64665 64664 64519 64672 64669 64671 64522 64668 RD 范围 4809:2900000-2909999 4809:2910000-2919999 4809:2920000-2929999 4809:2930000-2939999 4809:2940000-2944999 4809:2945000-2949999 4809:2950000-2954999 4809:2955000-2959999 4809:2960000-2964999 4809:2965000-2969999 4809:2970000-2974999 4809:2975000-2979999 4809:2980000-2984999 4809:2985000-2999999 RD 数统计 10000 10000 10000 10000 5000 5000 5000 5000 5000 5000 5000 5000 5000 15000 备注

            3.6.3.3 配置范例
            #新建VRF,并配置RD、RT,采用full-mash模式 context 2900000 vpn-rd 4809:2900000 router bgp vpn
            中国电信江苏分公司 第 53 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            address-family ipv4 unicast export route-target 4809:2900000 import route-target 4809:2900000 ! no ip domain-lookup no logging console

            3.7 网管配置
            3.7.1 SNMP 管理代理配置
            3.7.1.1 全局开启 SNMP 进程 配置说明: SNMP 的结构分为 NMS(Network Management Station)和 Agent 两部分。 SNMP 就是用来规定 NMS 和 Agent 之间是如何传递管理信息的应用层协议。 NMS,是运行客户端程序的工作站,网管站(NMS)对网络设备发送各种 查询报文,接收来自被管理设备的响应报文及 Trap 报文,并将结果显示出来。 Agent 是驻留在被管理设备上的一个进程,负责接受、处理来自网管站的 Request 报文, 根据报文类型对管理变量进行 Read 或 Write 操作, 并生成 Response 报文,反送给 NMS。另一方面,Agent 在设备发生冷/热启动等异常情况时,也 会主动向 NMS 发送 Trap 报文报告所发生的事件。 规范要求: 要求统一配置路由器作为 SNMP Agent,处理 NMS 发来的查询报文并返回 响应报文。 配置范例:
            context local snmp server
            #开启SNMP agent

            配置验证:
            show snmp server

            配置注意细节: 无。 3.7.1.2 SNMP 版本

            中国电信江苏分公司

            第 54 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置说明: 配置 SNMP 协议版本。 规范要求: 当前,为了统一规范考虑,要求统一配置为 V2c 版本,将来具备条件时再 统一改造为具备更高安全性的 V3 版本。 配置规范: SE800 缺省 SNMP 版本为 v2c,配置不需更改。 3.7.1.3 RO Community 值 配置说明: SNMPV1、SNMPV2C 采用团体名认证,与设备认可的团体名不符的 SNMP 报文将被丢弃。SNMP 团体(Community)由一字符串来命名,称为团体名 (Community Name) 。 不同的团体可具有只读(read-only)或读写(read-write)访问模式。具有只 读权限的团体只能对设备信息进行查询, 而具有读写权限的团体还可以对设备进 行配置。 配置 community 字符串不要过于简单, 一般应由字母、 数字及特殊字符等组 成,用于提高 SNMP 协议安全。严格限制 SNMP 的写源地址限制,可读地址做 段限制。 规范要求: SE800 配置省公司 snmp ro community 为****。

            配置范例:
            #全局配置模式

            snmp view **** internet included snmp community ****view ****

            配置验证:
            show snmp communities

            配置注意细节: 无。 3.7.1.4 RW Community 值

            中国电信江苏分公司

            第 55 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            配置说明: 具有写权限的的团体可以对设备进行配置。 规范要求: 现阶段不建议开启 SNMP 写功能,若需开启 SNMP 写功能,建议规范、统 一配置设备的 snmp wr community 为******。 3.7.1.5 SNMP 访问控制列表 配置说明: 对 SNMP 增加 ACL 访问列表,只允许指定的 IP 地址能通过 SNMP 协议访 问设备。 规范要求: 配置 SNMP 访问列表,只允许指定的 IP 地址能通过 SNMP 协议访问设备。 配置规范: SE800 SNMP 访问限制已经纳入 XCRP-Protect 3.7.1.6 Ifindex 索引一致性 配置说明: 设置 ifIndex 的一致性。 在 SNMP 中,接口索引号(Ifindex)是一个用来标识物理接口或逻辑接口的 数字。通过网管工作站的客户端软件,可以看到路由器每个接口的 IfIndex 属性。 一般情况下,同一个接口的索引序号不是固定的。例如当路由器重启、硬件 配置或软件配置改动时,都有可能会引起同一个接口的 Ifindex 发生改变。 但在 某些应用环境中,比如使用接口索引作为计费的依据,要求接口的索引值必须固 定,不会受到接口的增加、删除、系统重启或者软硬件配置变化的影响而改变。 这时,可以通过配置接口索引固定特性,来满足这一需求。 规范要求: SE800 不能做到完全的 ifindex 一致性,该功能无需开启。 3.7.1.7 配置范例
            snmp server #全局模式下开启SNMP agent snmp view **** internet included snmp community *** view**** #配置RO community字符串
            中国电信江苏分公司 第 56 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.7.2 故障管理配置
            3.7.2.1 SNMP TRAP 信息内容 配置说明: Trap 是被管理设备主动向 NMS 发送的不经请求的信息,用于报告一些紧急 的重要事件。如果需要路由器主动发送这些信息,就必须配置 Trap 功能。 Trap 信息是 SNMP 协议唯一可由被管理设备自动发出的不定期回报特殊状 况信息。 规范要求: 开启 SNMP 主动发送 Trap 信息功能。 配置范例(参考) :
            snmp server traps ifmib ip

            #通告IP层链路up/down事件

            配置验证:
            show config | b “snmp server”

            配置注意细节: 无。 3.7.2.2 SNMP TRAP 服务器地址 配置说明: 通过指定 SNMP Trap 服务器地址,将 Trap 信息发送到制定服务器。 规范要求: 在需要开启 SNMP Trap 功能时, 统一为省网管 SNMP Trap 服务器地址 x.x.x.x 及端口(默认为 udp162) 。 配置范例:
            snmp target trap x.x.x.x security-name **** version 2c

            配置验证:
            show snmp targets

            配置注意细节:
            中国电信江苏分公司 第 57 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            无。 3.7.2.3 SNMP TRAP 消息源地址 配置说明: 通过配置设备 SNMP Trap 消息源,可以快速定位 SNMP Trap 源。 规范要求: 统一配置 SNMP Trap 消息源地址为设备 loopback0 接口。 配置范例:
            context local interface loopback0 ip source-address telnet radius tacacs+ snmp syslog netop # loopback0用于管理协议源地址

            配置验证:
            show config int loopback show snmp server

            配置注意细节: 无。 3.7.2.4 SYSLOG 服务器地址 配置说明: 配置 syslog 服务器地址,发送日志到制定服务器 规范要求: 根据省公司要求,所有的 log 信息需集中保存到 x.x.x.x 上。 3.7.2.5 SYSLOG 信息级别 配置说明: 设置信息级别 level,禁止信息级别大于所设置的 severity 的信息输出。信息 中心按信息的严重等级或紧急程度划分为八个级别,如下表所示,越紧急其信息 级别越小,emergencies 表示的等级为 0,debugging 为 7。

            中国电信江苏分公司

            第 58 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            规范要求: 对于 level 4(warnings)及其以上级别的 log 信息发往 syslog。 配置范例:
            #在context local配置: logging filter syslog notice logging console logging syslog x.x.x.x facility local5

            配置验证:
            show logging

            配置注意细节: 无。 3.7.2.6 SYSLOG 消息源地址 配置说明: 从一台路由器发出的日志消息, 默认的源地址是发送该日志消息的接口的 IP 地址,但用户可以通过配置命令改变这个源地址。对不同的路由器设置不同的源 地址,就可以通过源地址判断日志消息是从哪台路由器发出的,从而便于对收到 的日志消息检索。 规范要求: 要求统一 syslog 消息源地址为 context local 的 loopback 地址。 配置范例:
            context local interface loopback0 ip source-address telnet radius tacacs+ snmp syslog netop

            配置验证:
            中国电信江苏分公司 第 59 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            show config int loopback show snmp server

            配置注意细节:
            无。

            3.7.2.7 配置范例
            snmp server #全局模式下开启snmp agent traps ifmib ip #通告IP层链路up/down事件 traps l2tpmib #Enable L2TP notifications traps nemib #Enable Notify Enhance MIB notifications snmp target trap x.x.x.x security-name ****version 2c #配置snmp trap服务器地址 #在context local配置: context local logging filter syslog notice logging console logging syslog x.x.x.xfacility local7 interface loopback0 ip source-address telnet radius tacacs+ snmp syslog netop #给管理协议作源地址

            3.8 组播配置规范
            3.8.1 组播概述
            组播是一种允许一个或多个发送者(组播源)发送单一的数据包到多个接收 者(一次的,同时的)的网络技术。PIM 不依赖于某一特定单播路由协议,它可 利用各种单播路由协议建立的单播路由表完成 RPF 检查功能,而不是维护一个 分离的组播路由表实现组播转发,PIM 分为 sparse 模式和 dense 模式,dense 模 式采用全网泛洪的方式构造组播路由表,sparse 适用于组成员分布相对分散、范 围较广、大规模的网络。

            3.8.2 组播配置
            配置说明: 配置全局和接口启用组播。 规范要求: SE800 根据需要在上行接口启用组播 sparse 模式。 同时在下联用户接口启用 igmp。

            3.8.3 配置范例
            中国电信江苏分公司 第 60 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            context vod domain vod interface vod-01 multibind #用户侧 ip address 10.10.10.1/24 ip pool 10.10.10.2/24 pim sparse-mode passive # sm模式 subscriber default ip address pool ip multicast send deny ip multicast receive permit ip igmp service-profile quick-leave dns primary x.x.x.x dns secondary y.y.y.y igmp service-profile quick-leave # 快速离开方式 instant-leave pim rp-address x.x.x.x # 指定RP地址

            3.9 QoS 配置规范
            3.9.1 QoS 分类和标记
            江苏电信 IP 城域网 QoS 采用 DiffServ 技术体系, 将 QoS 需求相近的业务流 分成一类,减少调度算法所处理的队列数,减轻路由器的处理压力。因此需要在 网络边缘对业务流量进行分类和标记, 以便网络中的每一台设备能够根据这个标 记执行相同的 PHB(Per-Hop Behavior) ,获得网络端到端的 QoS 质量保证。 IP 城域网中设备识别业务并实现 QoS 分类的依据是各种标记字段、 端口 (物 理端口、逻辑端口和子端口) 、源/目的 MAC 地址、源/目的 IP 地址、IP 层协议 端口、应用层源/目的端口和 BGP 属性等。使用 IP Precedence、IP DSCP、MPLS EXP 和 802.1p 等字段标识 QoS 等级。IP Precedence、MPLS EXP 和 802.1p 等字 段均为 3 位 8 个等级,IP DSCP 则有 6 位 64 个等级。使用 IP DSCP 的前三位来 标识 8 个等级,后三位均设为 0。以上几个字段标识的对应关系如下:
            IP Precedence 0 1 2 3 4 5 6 7
            中国电信江苏分公司

            IP DSCP 0 8 16 24 32 40 48 56

            MPLS exp 0 1 2 3 4 5 6 7

            802.1p 0 1 2 3 4 5 6 7
            第 61 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            对 IP 分组在 IP Precedence 字段上做标记,以便于与 MPLS EXP 标记字段之 间进行相互转换,并兼容仅支持 IP Precedence 的设备。IP DSCP 和 IP Precedence 按照以上图表在 IP DSCP 字段上做相应的标记。

            3.9.2 江苏城域网 QoS 部署
            江苏电信 IP 城域网的 QoS 策略与 CN2 、163 骨干网统筹考虑,按照 IP PRE/EXP/802.1P 的 8 个值划分区间,定义了 8 个业务等级,规划 5 个队列进行 调度。5 个队列为 1 个严格优先队列(PQ)+4 个轮询队列(WRR/WFQ) ,PQ 队列通过限速分配物理端口带宽的 15%,4 个轮询队列按对应业务级别的高低预 留了不同百分比的物理端口带宽、同时应用 WRED 机制来进行拥塞避免。 城域网业务等级的划分名称和 CN2 网保持一致,分为钻石、白金、金、银、 铜等级,城域网信任 CN2 的标签,CN2 的业务数据进出城域网不必重新标记。 城域网内保留一个 ChinaNet 业务等级(标记为 0) 、关键业务等级(如 3G/NGN 业务,标记为 100) 、网络控制业务等级(标记为 110) 。 关键业务放入严格优先队列,ChinaNet 业务、网络控制业务各自独占 1 个轮 询队列,钻石与白金业务共占一个轮询队列,金银铜业务共占一个轮询队列。宽 带接入层的队列不作规定,业务类型的划分原则:以业务为划分基础,可为每个 大客户根据业务给予多个等级队列。 详细分类情况如下表所示:

            中国电信江苏分公司

            第 62 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范
            城域网标记 业务等级 一级(关键业 务) 二级(网络控 制) 三级(钻石) 四级(白金) 五级(金) 六级(银) 业务类别 NGN/3G 语音、NGN/3G 信令等关键业务预 留 路由信令(OSPF、BGP、ISIS),高优先级 OAM(SNMP)等控制信令、ITMS 信令 大客户实时语音 新视通、全球眼,IPTV 组播点播等视频业 务 商务领航业务电信平台, Vnet 金业务 集团级、省市级大客户 VPN 业务,IDC 高 价值业务, vet 银业务 10M 以上(含 10M)大客户静态专线业务, 2M(含 2M)以上 LAN 接入同城/跨域 VPN 七级(铜) 业务, ADSL 接入和 2M 以下 LAN 接入跨域 /同城 VPN 业务,Vnet 铜业务,城域网个人 VIP 业务 八级 (chinanet) 普通 Internet 业务,低价值业务,异常流量 000 轮询 4 25% 001 铜等级(1) (802.1P/IP PRE/EXP) 100 110 111 101 110 010 CN2 标记 (802.1P/IP PRE/EXP) 100 110 钻石等级 (111) 白金等级 (101) 金等级(11) 银等级(10) 轮询 3 20%

            城域网队 列类型 严格优先 轮询 1

            带宽 占比 15% 10%

            轮询 2

            30%

            3.9.3 QoS 配置范例
            考虑到城域网接入网设备的多样性,对 QOS 支持能力差异很大,对数据报 文的标识,不够统一。因此,需要 BRAS 下行接口入方向,对所有进入报文进行 重新标记。SE800/1200 设备,可以在下行 pvc 接口应用标记策略,也可以在相 应的 context 的 subscriber 管理下应用策略: 一、队列映射
            将相应的优先级映射到相应的队列中去 qos queue-map qmQueueMap num-queues 8 queue 0 priority 3 #对应优先级4 queue 1 priority 1 #对应优先级6 queue 2 priority 0 2 #对应优先级7 5 queue 3 priority 4 5 6 #对应优先级3 2 1 queue 4 priority 7 #对应优先级0

            严格优先 轮询1 轮询2 轮询3 轮询4

            二、分类标记
            qos policy qpIPP0 policing mark dscp df exit qos policy qpIPP1 policing mark dscp cs1 exit qos policy qpIPP2 policing
            中国电信江苏分公司 第 63 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            mark dscp cs2 exit qos policy qpIPP3 policing mark dscp cs3 exit qos policy qpIPP4 policing mark dscp cs4 exit qos policy qpIPP5 policing mark dscp cs5 exit qos policy qpIPP6 policing mark dscp cs6 exit qos policy qpIPP7 policing mark dscp cs7 exit ! port ethernet 2/3 dot1q pvc 1301:3600 qos policy policing qpIPP4 三、对上下行流量进行标记转换: 对上层设备来的语音流量信任MPLS EXP标记并转换为DSCP, 对上行的语音 流量标记转换为MPLS EXP。 router mpls propagate qos from mpls propagate qos to mpls

            队列调度和拥塞避免
            一、10*GE 上行板卡版本 1. WRED模板 qos congestion-avoidance-map uplink-out-wred pwfq queue 1 red default min-threshold 4800 max-threshold 6000 probability 10 queue 2 red default min-threshold 4200 max-threshold 6000 probability 15 queue 3 red default min-threshold 3600 max-threshold 6000 probability 15 queue 4 red default min-threshold 1200 max-threshold 4000 probability 20 2. Out方向流量调度: qos policy qpOutQueue pwfq rate maximum 1000000 #指定GE端口速率,这边最多只能配到1000MB queue-map qmQueueMap congestion-map uplink-out-wred queue 0 priority 0 weight 100 #queue 0 放入priority-group 0 queue 1 priority 1 weight 15 #queue1 放入priority-group 1
            中国电信江苏分公司 第 64 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            queue 2 priority 1 weight 35 queue 3 priority 1 weight 30 queue 4 priority 1 weight 30 queue 5 priority 2 weight 100 queue 6 priority 2 weight 100 queue 7 priority 2 weight 100

            #priority-group 0 比 priority-group 1优先 #权重根据带宽来分配权重 #空队列,须配置 #空队列,须配置 #空队列,须配置

            queue priority-group 0 rate percentage 15 #对PQ做限速 queue priority-group 1 rate percentage 85 exceed 3.应用策略 port ethernet 2/3 #上行接口 qos policy queuing qpOutQueue

            二、 单端口10GE板卡板卡 (MDRR) 1. WRED模版 qos congestion-avoidance-map uplink-out-mdrr mdrr queue 1 red default min-threshold 8000 max-threshold 10000 probability 10 queue 2 red default min-threshold 5000 max-threshold 10000 probability 15 queue 3 red default min-threshold 5000 max-threshold 10000 probability 15 queue 4 red default min-threshold 3000 max-threshold 10000 probability 20 2.上行调度模版 qos policy uplink-out-mdrr mdrr rate 10000000 burst 10000 num-queues 8 queue-map qmQueueMap congestion-map uplink-out-mdrr qos mode strict queue 1 weight 10 queue 2 weight 30 queue 3 weight 20 queue 4 weight 25 3.应用策略 port ethernet 6/1 qos policy queuing uplink-out-mdrr 4.队列检查 # show qos port # show qos policy edrr/metering/policing/pq # show qos queue-map

            3.10 BFD 配置规范
            3.10.1 BFD 概述
            BFD(双向转发检测)是一套用来实现快速检测的国际标准化协议,能帮助 IP 网络达到毫秒级的故障检测与恢复速度。一个系统与相邻系统建立对等关系,双
            中国电信江苏分公司 第 65 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            方周期性的发送检测报文, 如果其中一个系统在足够长的时间内未能收到对端发 送的检测报文,则可认为这条到对端系统的双向通道中某个部分出现故障。BFD 可以用于快速检测、监控网络中链路或者 IP 路由的转发连通状况。 BFD 协议描述了实现双向检测的机制:查询模式、异步模式,还有一种辅 助回声功能,可以和两种模式结合使用。 BFD 检测报文是 UDP 报文, 分为两种: 控制报文, 使用 UDP 源端口 49152, 目的端口号 3784;回声报文,使用 UDP 源和目的端口号均为 3785。报文的发送 时间、接收时间和超时接收时间可以毫秒级的设置。

            3.10.2 BFD 邻居
            配置说明: 配置 BFD neighbor 规范要求: 暂时不做部署 配置范例:
            context local router bfd neighbor 192.168.0.24 minimum receive-interval 100 minimum transmit-interval 100 detection-multiplier 3 end

            3.10.3 BFD 接口参数
            配置说明: 配置 BFD 接口 规范要求: 暂时不做部署 配置范例:
            context local router bfd interface ge-1/1 minimum receive-interval 100 minimum transmit-interval 100 detection-multiplier 3 end

            中国电信江苏分公司

            第 66 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            3.10.4 静态路由配置 BFD
            配置说明: 静态路由启用 BFD,配置发送和接收时间间隔为 100 毫秒,检测倍数为 3。 规范要求: 建议根据需要配置静态路由 BFD,配置发送和接收时间间隔为 100 毫秒, 检测倍数为 3。
            配置范例:(参考) context local ip route 1.1.1.1/24 2.2.2.2 bfd minimum-interval 100 detection-multiplier 3

            3.10.5 ISIS 协议配置 BFD
            配置说明: ISIS 协议启用 BFD,配置发送和接收时间间隔为 100 毫秒,检测倍数为 3。 规范要求: 建议根据需要配置 ISIS 协议 BFD,配置发送和接收时间间隔为 100 毫秒, 检测倍数为 3,逻辑接口下配置,默认情况下,逻辑接口的同时被 isis 和 bfd 调 用 配置范例:(参考)
            isis bfd minimum-interval 100 multiplier 3

            3.10.6 BGP 协议配置 BFD
            配置说明: BGP 协议启用 BFD,配置发送和接收时间间隔为 100 毫秒,检测倍数为 3。 规范要求: 建议根据需要配置 BGP 协议 BFD,配置发送和接收时间间隔为 100 毫秒, 检测倍数为 3。 配置范例:(参考)

            中国电信江苏分公司

            第 67 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            router bgp 100 neighbor x.x.x.x internal bfd minimum-interval 100 detection-multiplier 3

            3.11 业务配置实例
            3.11.1 拨号业务配置实例
            ? 配置要求: ? 域名为 163.js ? DNS 服务器 IP 地址:x.x.x.x(主) 、y.y.y.y(备) ; ? Radius 服务器 IP 地址:x.x.x.x(主) 、y.y.y.y(备) ; ? IP POOL 名称为 pool1,地址为 100.1.1.0/24; ? 下联口为 GE1/1(1 槽 1 端口),外层 VLAN 为 100,内层用户 VLAN 为 1000~1040; ? 其他要求参照前文规范描述。 ? 配置示例:
            aaa last-resort context local #配置默认的context 为local ! context pppoe domain 163.js #配置domain interface adsl-01 multibind #配置用户地址池 ip address 100.1.1.1/24 ip pool 100.1.1.2/24 ip verify unicast source reachable-via rx ! ip route 100.1.1.0/0 null0 permanent distance 180 #配置POOL的黑洞路由 ! 配置业务radius参数 radius server x.x.x.x key xxxx radius server y.y.y.y key xxxx aaa authentication subscriber radius aaa accounting subscriber radius aaa accounting suppress-acct-on-fail radius attribute nas-ip-address interface loopback0 radius algorithm first ! subscriber default ip address pool dns primaryx.x.x.x dns secondary y.y.y.y ! port eth 1/1 no shutdown no auto-negotiate link-dampening mtu 1526 encapsulation dot1q
            中国电信江苏分公司 第 68 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            dot1q pvc 100 encapsulation 1qtunnel #外层vlan为100,封装为qinq description xxxxx dot1q pvc on-demand 100:1000 through 1040 profile dot1qpro enca pppoe idle-down 600 bind authencation pap chap max 4

            3.11.2 专线业务配置实例
            配置内容: ? 配置 bras 专线业务 规范要求: ? 配置专线用户的子端口以及路由 ? 用预先定义好的策略对用户进行限速 ? 预先定义好 loopback 10 作为用户接入的网关 ? 采用 bridge1483 的封装方式 配置示例:
            #在全局配置模式下:

            interface looback10 loopback ip address 100.1.1.1/24 interface ge-1/2.100 multiband #专线网关 ip add x.x.x.x/x #配置网关地址 escription xxxxx #描述和二层需要一致 ip arp secure-arp #启用secure-arp exit port eth 1/4 mtu 1526 no auto-negotiate encapsulation dot1q #指定封装类型 dot1q pvc 100 #指定vlan description xxxxx bind interface ge-1/2.100 local ip host x.x.x.x # 指定用户侧地址,最多4个 qos policy 10MDOWN metering #限制下行带宽 qos policy 1MUP policing #限制上行带宽 注: 该专线用户的地址为x.x.x.x, 在BRAS 中这段地址对应的路由为“直连路由”, 无需专门做路由配置。

            3.11.3 IPTV 业务配置实例
            配置内容: ? 配置 IPTV 业务 规范要求:
            中国电信江苏分公司 第 69 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ? 要求参照前文规范描述; ? 以下配置仅供参考。 配置示例:
            # ISIS协议已经正确配置,现增加BGP配置

            context vod router bgp 64513 multi-paths internal 2 address-family ipv4 unicast network 192.168.1.0/24 peer-group pgCR internal update-source loopback0 next-hop-self address-family ipv4 unicast neighbor x.x.x.x internal peer-group pgCR description ************** neighbor y.y.y.y internal peer-group pgCR description ************* #启用组播 context vod domain vod interface ge-1/1 ip address x.x.x.x/30 pim sparse-mode ! interface ge-2/1 ip address x.x.x.x/30 pim sparse-mode interface loopback0 loopback ip address x.x.x.x/32 ip source-address radius pim sparse-mode passive interface vod-01 multibind ip address 192.168.1.1/24 ip pool 192.168.1.0/24 pim sparse passive

            #接口启用组播

            # 回环口启用组播

            #配置ip pool

            # 配置组播限制 ip access-list aclMulticastGroup seq 10 permit ip 239.252.1.0 0.0.0.255 seq 20 permit ip 224.0.0.0 0.0.1.255 igmp service-profile spIPTV max-groups 2 instant-leave access-group aclMulticastGroup #配置radius服务器
            中国电信江苏分公司 第 70 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            aaa authentication subscriber radius none aaa accounting subscriber radius aaa update subscriber 120 aaa accounting suppress-acct-on-fail radius accounting server x.x.x.x key ******* radius accounting server y.y.y.y key ******* ! radius server server x.x.x.x key ******* radius server server x.x.x.x key ******* radius max-retries 2 radius timeout 5 radius algorithm round-robin radius accounting max-retries 5 radius accounting timeout 5 radius accounting algorithm round-robin radius attribute nas-port format physical # 配置用户属性 subscriber default ip address pool ip multicast send deny ip multicast receive permit ip igmp service-profile spIPTV timeout idle 30 ip source-validation dns primary x.x.x.x dns secondar y.y.y.y pim rp-address 61.177.7.114 group-list aclMulticastGroup #配置RP pim static group 239.252.1.1 source 58.223.147.4 send-join #配置加入的组播组,将流量迁引至BRAS,有几个节目配置几个。 ip route 192.168.1.0/24 null0 permanent distance 180 # 配置防护acl ip access-list XCRP-Protect description Input-Traffic-Control- iptv seq 10 permit tcp 221.225.1.128 0.0.0.127 any seq 20 permit udp 221.225.1.128 0.0.0.127 any seq 30 permit tcp 202.102.1.128 0.0.0.127 any seq 40 permit tcp 61.177.1.0 0.0.0.255 any seq 500 permit icmp any any seq 600 permit ip any host 224.0.0.2 seq 605 permit tcp any any eq bgp seq 610 permit tcp any eq bgp any seq 615 permit tcp any any eq 646 seq 620 permit tcp any eq 646 any seq 625 permit udp any any eq 646 seq 630 permit udp any eq 646 any seq 635 permit udp any any eq 1701 seq 640 permit udp any eq 1701 any seq 645 permit udp any any eq bootps seq 650 permit udp any eq bootps any seq 655 permit udp any any eq bootpc seq 660 permit udp any eq bootpc any seq 665 permit igmp any any seq 670 permit pim any any seq 800 permit udp any any eq 1812
            中国电信江苏分公司 第 71 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            seq 810 permit udp any any eq 1813 seq 820 permit udp any eq 1812 any seq 830 permit udp any eq 1813 any seq 10000 deny ip any any admin-access-group XCRP-Protect in count log
            备注: iptv用户不能上公网,若走context间路由的话只指静态,不放默认路由;若 有独立接口采用bgp+Null0的方式发布,详细配置参考bgp。

            3.11.4 MPLS VPN 业务配置实例
            BRAS 作为业务层, 一般是作为 PE 功能, 本规范只介绍 BRAS 作为 PE 时 的配置。 配置内容: ? 启用 MPLS LDP 协议; ? 配置 lsp 参数; ? 所有与 P 设备互联的端口都启用 mpls ldp 协议; ? 配置 bgp vpn 路由协议; ? 配置用户 vrf 以及用户路由。 规范要求: ? 采用 MPLS LDP 协议进行标签分发; ? 采用默认的 LSP Profile 参数; ? 配置 IBGP 的 router-id 为 loopback0 的地址; ? 配置用户 VRF,并配置该用户的接口与相关路由信息。 配置示例:
            PE1的配置:

            context local interface loopback0 loopback ip add 125.40.255.19/32 router bgp xxxxx peer-group pgCR internal update-source loopback0 next-hop-self no address-family ipv4 unicast address-family ipv4 vpn neighborx.x.x.x internal peer-group pgCR #建立BGP 邻居组

            #启用BGP VPN 功能 #指定BGP VPN 邻居地址 #将邻居放入特定组

            #全局模式下 context 2900000 vpn-rd 4809:2900000 #建立vpn context interface BGP-VPN-INT-1 multibind
            中国电信江苏分公司 第 72 页

            江苏电信城域网 BRAS (RedBack SE800&1200) 局数据配置规范

            ip address 192.168.100.1/24 #创建VPN 用户网关 router bgp vpn #启用BGP VPN 协议用来传递私网路由信息 address-family ipv4 unicast export route-target 4809:290000000 #路由导出 import route-target 4809:290000000 #路由导入 redistribute static redistribute connected #全局模式下 port ethernet 6/1 #绑定物理接口 dot1q pvc 999 bind interface BGP-VPN-INT-1 mpls-vpn PE2的配置: context local interface loopback0 local-loopback ip add 125.40.255.59/32 ! router bgp xxxxx peer-group pgCR internal update-source loopback0 next-hop-self no address-family ipv4 unicast address-family ipv4 vpn neighbor x.x.x.y internal peer-group pgCR

            #建立名为mpls-vpn 的BGP 邻居组

            #启用BGP VPN 功能 #指定BGP VPN 邻居地址 #将邻居放入特定组

            #全局模式下 context 2900000 vpn-rd 48092900000 #建立vpn context interface BGP-VPN-INT-1 multibind ip address 192.168.200.1/24 #创建VPN 用户接口 router bgp vpn #启用BGP VPN 协议用来传递私网路由信息 address-family ipv4 unicast export route-target 4809:290000000 #路由导出 import route-target 4809:290000000 #路由导入 redistribute static redistribute connected #全局模式下 port ethernet 6/1 #绑定物理接口 dot1q pvc 999 bind interface BGP-VPN-INT-1 mpls-vpn

            <本文结束>

            中国电信江苏分公司

            第 73 页


            相关文章:
            ...iTV业务数据网QoS方案_广州SE800试点_V1.0
            中国电信广东公司 iTV 业务数据网 QoS 方案版本:V1...再接到城域网的核心路由器上,拓扑图如下所示(图...BRAS(Redback SE800)的操作时间 地点 操作内 容...
            更多相关标签: