1、2.3VPN业务概述152.3 VPN业务配置152.3.1 MPLS-VPN配置方式接入152.3.2 VPLS配置方式接入192.3.3 跨域VPN配置方式接入253. 常用检查命令333.1 IES 业务333.2 vprn 业务333.3 vpls 业务331. 概述1.1 目标网络结构IP城域网的定位:1、网络定位:IP城域网是位于用户驻地网和CMnet网之间的网络,既要满足用户的需求也需要适应企业未来的发展。IP城域网与城域传送网共同构成了我公司城域综合业务承载平台。2、业务定位:(1)为公司内部业务应用系统 (营业厅、OA、BOSS等)提供接入以及实现自有机楼数据互连等。(2)为
2、用户提供互联网接入、VPN接入、集团增值业务接入等。城域网现状结构图(一二类公司):城域网现状结构图(三类公司):在上图中,将IP城域网划分成四个层次:骨干层、核心汇聚层、区域汇聚层和接入层。骨干层实现城域网与CMnet的连接,完成高速数据转发,并充当MPLS VPN的P设备。在核心汇聚层选择两个节点充当跨域MPLS VPN业务互通的ASBR(跨域边界路由器),并与CMNET的汇聚路由器CR直接连接。BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备,并充当MPLS VPN的PE设备,还支持组播复制功能等。区域汇聚层完成接入层接入到城域网,一般只起二层功能。接入层负责用户接入,采用二层网
3、络。按照目前规划的设计,WLAN在AC上认证,不接入BRAS。1.2 配置原则配置总体原则为保证配置的规范性和统一性,以减少维护工作的难度和工作量,设备配置过程中应遵循一下基本原则:配置语法、语义必须正确无误,保证网络能够正常运行,各种经管接口能够正常通信;能够统一的策略和参数必须统一;配置应尽量简洁,无用的配置命令不应出现在配置文件中,用于实验的配置应及时删除;配置应具有一定的扩展性,方便未来修改和扩展(如ACL的序号安排);配置应保证较好的可读性,尽量通过description参数对重要命令进行注解;汇聚层及其以上设备AAA认证必须采用集中服务器认证;PPPOE用户的命名要符合命名规范;P
4、PPOE初始密码要符合密码规范;QoS的配置必须规范;1.3 说明本文档灰底字体表示需注意或表示一定要统一配置的内容本文档将7750为示例,当7750兼做CR时需同时满足CR的局数据要求。为简便起见,如果7750SR与7750CR要求相同时,在本文档中将不再重复。2. 基本业务介绍及配置2.1 固定IP专线业务概述2.2固定IP专线业务配置配置内容:物理接口配置用户网关规范要求:配置网关地址要求地址掩码精确与大客户可以采用静态路由和BGP协议进行互联配置示例1配置实例资源分配如下:业务类型单层vlan (dot1q)双层vlan (qinq)不带子接口端口GE 1/0/8GE 1/0/9GE
5、1/0/10带宽1000MIES100001011000010210000103Vlanvlan 2003vlan 80.10无IP地址120.196.18.1/30120.196.19.1/30120.196.20.1/30客户名称全宝电子格力电器远光软件一、业务配置configure port 1/1/9 ethernet mode access /配置1/1/9 为业务端口configure port1/1/9 ethernet no autonegotiate /取消自协商configure port 1/1/9 ethernet speed 1000 /速率configure por
6、t 1/1/9 ethernet duplex full /双工模式configure port 1/1/9 ethernet encap-type dot1q/配置1/1/9为单层vlan模式configure port 1/1/9 no shutdown /激活1/1/9 端口configure port 1/1/8 ethernet mode access/配置1/1/8 为业务端口configure port 1/1/8 ethernet encap-type qinq/配置1/1/8为双层vlan模式configure port 1/1/8 ethernet speed 1000 /
7、速率configure port 1/1/8 no shutdown /激活1/1/8 端口configure port 1/1/10 ethernet mode access/配置1/1/10 为业务端口configure port 1/1/10 ethernet speed 1000 /速率configure port 1/1/10 no shutdown/激活1/1/10 端口configure service ies 10000101 customer 1000create / IES id分配原则:非多客户共用网关下,一个客户一个IES,业务id为全局唯一ID参照附录表-其它IES业
8、务(按需使用),根据业务情况顺延description O-INTER-ZH-QuanBaoDianZi interface ge-1/1/9:2003 create /配置三层逻辑接口,全局唯一O-INTER-ZH-QuanBaoDianZi /具体用户名见命名规范 address 120.196.18.1/30/配置客户的网关 sap 1/1/9:2003 create /配置客户user1的业务接入口,单层vlan模式 exit ies 10000102 customer 1000 createO-INTER-ZH-GeLiDianQi interface ge-1/1/8:80.10O
9、-INTER-ZH-GeLiDianQiurpf-check/逆向路径检查,防攻击 address 120.196.19.1/30/配置客户格力电器的网关sap 1/1/8:80.10 create /配置客户格力电器的业务接入口,双层vlan模式ingress filter ip 3000 /防病毒列表exitexit ies 10000103 customer 1000 createO-INTER-ZH-YuanGuangRuanJian ge-1/1/10 description O-INTER-ZH-YuanGuangRuanJian address 120.196.20.1/配置客户
10、远光软件的网关 sap 1/1/10 create /配置客户远光软件的业务接入口,非子接口模式 filter ip 3000 exit二、业务路由发布A:GDZH-MS-IPMAN-TXZX-SR02-7750configrouterpolicy-options# prefix-list Direct_Route prefix 120.196.18.1/30 exactprefix 120.196.19.1/30 exact prefix 120.196.20.1/30 exact示例2:7750SR通过IES实现super vlan功能配置,该功能即多个vlan共享一个网关,以达到节省IP
11、地址的目的。vlan 2004.100vlan2005218.204.223.2218.204.223.4218.204.223.5网关218.204.223.1configure port 1/1/9 ethernet mode accessconfigure port 1/1/9 ethernet encap-type dot1qconfigure port 1/1/9 no shutdownconfigure port 1/1/10 ethernet mode accessconfigure port 1/1/10 ethernet encap-type dot1qconfigure p
12、ort 1/1/10 no shutdown ies 10000101customer 1000 create / IES id 分配原则:共用网关使用相同IES,IES id为全局唯一,ID参照附录表-其它IES业务(按需使用),根据业务情况顺延O-INTER-ZH-PUBLIC-GW-10000103 /10000103为ies id号 subscriber-interface public-gw-1 create /从1开始以此类推,全局唯一 address 218.204.223.1/24 /设置共用网关,IP地址段1address 218.204.224.1/24 /设置共用网关,I
13、P地址段2 group-interface “ge-1/1/9-group1 create/从group1开始,以此类推,配置,group-interface “ge-1/1/9-group1,全局唯一。另外相同group-interface的sap物理端口必须为同一个,例如此例中group-interface “GE1/1/9”中配置sap都为1/1/9接口下带的业务 no local-proxy-arp /不启用本地arp代理2003.0 create /配置1/1/9物理端口下带的vlan2003业务 anti-spoof ip /必须配置源地抵制校验 static-host ip 21
14、8.204.223.2create /必须配置客户ip地址,需要将每一个1/1/9:2003接口下带的用户ip都配置上去 no shutdown/一定要激活该用户static-host ip 218.204.223.3 create /本例为给该用户分配2个IP地址no shutdown2004.100 create/配置1/1/9物理端口下带的qinq vlan2004.100业务 anti-spoof ip static-ip 218.204.223.4 no shutdowngroup-interface “ge-1/1/10-group1 createno local-proxy-ar
15、p /不启用本地arp代理 sap 1/1/10:2005 create static-host ip 218.204.223.5create该功能可以用来终结来自不同vlan的用户,该功能的sap下必须启用anti-spoof功能,并配置该static-host命令以邦定该端口vlan下的用户ip地址。示例3:VRRP配置业务开通原则:VRRP数据流需经过交换机(即SR1SWSR2,绿色部分),SWSR传输采用光纤直连,VRRP的保护效果才能得到更好体现。不建议VRRP的数据流经过OLT(即SR1SW1OLTSW2SR2,红色部分),如OLT网管的VRRP方式,如下图所示:如图,二台SR通过
16、二层交换机接入用户,二台7750启用VRRP作为冗余接入,缺省用户网关在SR1上,当SR1发生故障则网关倒换到SR2上,如果VRRP的客户使用两台交换机和分别和两台SR互联,这两台用户交换机之间级联或堆叠,相关配置参考如下通信中心SR2综合楼SR2GE 1/1/1虚拟网关218.204.223.1/24IP218.204.223.2/24218.204.223.3/24vlan 200110000104SR1的配置configure 1/1/1 ethernet mode access /配置1/1/1为业务端口configure 1/1/1 no shutdown /激活1/1/1端口SR1
17、configservice ies 10000104 customer 1000 create/ IES id分配原则:ge-1/1/1:2001 create /配置三层逻辑接口名,全局唯一 address 218.204.223.2/24 /配置SR1的真实网关地址 vrrp 2001 /配置vrid,vlan号一致,全局唯一,且需要和SR2一致backup 218.204.223.1/配置虚拟网关priority 110 /配置vrrp的优先级,默认为100,优先级越大越高 policy 1/配置vrrp 优先级改变策略,可选配置 ping-reply /配置使用浮动地址相应客户的pin
18、g request traceroute-reply /配置使用浮动地址响应客户的traceroute sap 1/1/1:2001 create /配置SR1 使用1/1/1接入业务configvrrp/可选配置 policy 1 /配置vrrp 优先级策略 1 priority-event /配置优先级改变事件 port-down 1/1/2 /配置监视端口为1/1/2 priority 20 delta /配置在1/1/2发生down事件时,SR1的VRRP优先级自动减20SR2的配置假定1/1/2为SR2的上联端口,以下参数定义,请参考上例configure 1/1/1 etherne
19、t mode access configure 1/1/1 no shutdown SR2 ies 10000104 customer 1000 create create/配置三层逻辑接口名,全局唯一 address 218.204.223.3/24/配置SR2的真实网关地址 vrrp 2001 backup 218.204.223.1 ping-reply traceroute-reply2001 create/配置SR2 使用1/1/1接入业务vrrp# info policy 1 priority-event port-down 1/1/2 priority 20 delta/配置在1
20、/1/2发生down事件时,SR1的VRRP优先级自动减202.3VPN业务概述VPN是利用公众网资源为客户构成专用网的一种业务。通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别。它是一种逻辑上的专用网络,它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。企业用VPN通过公众网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并且提供了安全的端到端的数据通讯。企业不用专门租线自己组网,从而减轻了远程访问和租线的费用负担,节省设备、人员和经管所需的投资。VPN兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功
21、能与专用网的安全 、灵活、高效结合在一起。2.3 VPN业务配置根据VPN实现层次的不同主要分为网络层VPN方式接入、二层VPN方式接入2.3.1MPLS-VPN配置方式接入配置MPLS-VPN接入;RD、RT等相关资源的使用符合广东移动IP城域网网络资源分配规范配置示例MPLS/VPN的建立应该是在CR与BR路由之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通。在确认以上信息后,开始VPN的配置,步骤如下:vpn接入业务接入端口service SAP 必须的access类型配置VPRN SR1 配置如下:步骤一:配置MP-BGP(参考局数据规范)configure
22、router mpls /进入mpls配置模式/在mpls模式下加入system三层逻辑接口,和SR1上联到CR的三层逻辑接口system /system三层逻辑逻辑接口GE- /pe1-p为SR1上联到CR的三层逻辑接口 no shutdown /开启mpls步骤二:配置ldp协议(参考局数据规范)configure router ldp /进入ldp协议配置模式 interface-parameters /进入三层接口配置模式pe1-p /pe1-p为SR1上联到CR的三层逻辑接口,在该端口开启ldp协议步骤三:配置mp-bgp协议(参考局数据规范)configure router bgp
23、 /进入bgp配置模式 family ipv4 vpn-ipv4 /配置vpn-ipv4参数,标志bgp具有mp-bgp协议能力,配置ipv4,则表示bgp是普通bgp,如果sr需要配置三层vpn,则必须配置vpn-ipv4参数。 group vpn /配置一个vpn的bgp 组,相同组的bgp peer具有相同的参数,如用户建立bgp session的本地地址等。 type internal /设置该bgp为ibgp local-address 10.1.1.1 /设置用于建立bgp session本地地址,ibgp一般使用system地址neighbor 10.1.1.2 /配置对方用于建
24、立bgp session的地址步骤四:配置vprn业务使用的vrf策略模版,此模版创建后,可以供所有vprn业务引用config router policy-options /进入策略配置模式begin /在配置策略前,要开启配置开关begin community GDZH_CMCC_OLT_WangGuan members target:65280:7400000/配置community GDZH_CMCC_OLT_WangGuan,该community含一个rt为: 65280:7400000,本例为移动内部用户,名称原则为:GD地市_客户公司_业务,内部为CMCC,外部客户如工商银行则为GDZH_GSYH,在同一个域下,客户名称一致,vprn号一致,RT号参考资源规范policy-statement GDZH_CMCC_OLT_WangGuan_export“/参考业务ID,名称原则为:业务-export,配置一个策略名GDZH_CMCC_OLT_WangGuan_export,从名字意义上讲,这是一个发布策略。以下配置的是一个