1.1.服务方案

1.1.1.项目理解及框架思路

1.1.1.1.项目背景

广东移动IP城域网经过多年的发展，业务正走向多元化，家庭宽带业务、互联网业务、流媒体业务、VOIP业务及大客户互联网专线业务大量应用，业务应用场景综合化现象已逐步呈现。随着工信部统筹实施的宽带普及提速工程的持续推进，特别是业务资费的下降和宽带市场竞争的日趋激励，用户的带宽需求将日益增长，目前正向“千兆普及”方向发展，对网络承载能力需求大大提高，与此同时，以5G为代表的业务也将逐步成为互联网的主流业务，对服务质量提出了新的挑战。因此，为接应《“双千兆”网络协同发展行动计划（2022-2023年）》发展战略和流量互联化战略，信息安全三同步，打造具备“端到端”大容量管道能力和智能化综合能力的下一代全业务承载网络，广东移动提出“2022年数据承载网集成服务公开招标项目”。

1.1.1.2.项目意义

本项目的开展是为贯彻落实工信部发布的《“双千兆”网络协同发展行动计划（2022-2023年）》，以千兆光网宽带和5G为代表的“双千兆”网络，能向单个用户提供固定和移动网络千兆接入能力，将具备超大带宽、超低时延、先进可靠等特征。同时将持续扩大千兆光网覆盖范围，推动5G组网规模部署，推进农村网络设施建设升级、深化电信基础设施共建共享，提升网络承载能力，为大力推进“双千兆”网络应用创新等具有重要意义。

1.1.1.3.项目需求

本项目负责完成广东移动2022年数据承载网集成服务项目中的系统集成服务，包括网络设备（含新建及割接等）软件调测、网络配置与改造调整等系统集成工作。

工作具体内容包括但不限于以下内容：

（1）地市汇聚路由器集群升级、出口链路扩容及双跨，提升城域网整体业务承载能力；

集群升级：广州、佛山、珠海、中山、江门、湛江、茂名、韶关、阳江、云浮各两台。

出口扩容链路：广州34条、佛山10条、珠海4条、中山8条、江门6条、湛江10条、茂名10条、韶关4条、阳江4条、云浮2条。

（2）新建网元入网及下带业务割接，提升城域网整体业务承载能力；

广州7台、佛山4台、中山2台、江门4台、湛江4台、云浮2台。

（3）BNG链路扩容，提升城域网整体业务承载能力；

佛山848条、珠海200条、中山156条、江门160条、湛江400条、茂名320条、韶关348条、阳江136条、云浮179条。

（4）板卡扩容（包含NAT板卡），提升城域网整体业务承载能力；

广州8块、韶关2块。

（5）5G核心网、CDN、工业互联网等业务接入。

广州48条、佛山28条、珠海10条、中山18条、江门10条、湛江22条、茂名14条、韶关10条、阳江10条、云浮10条。

1.1.1.4.项目目标

（1）地市汇聚路由器集群升级、出口扩容及双跨，提升城域网整体业务承载能力：

地市汇聚路由器集群升级，每台设备升级后提供高达800G的背板资源：广州、佛山、珠海、中山、江门、湛江、茂名、韶关、阳江、云浮各两台。

出口扩容链路，每条链路增长100GE带宽资源：广州34条、佛山10条、珠海4条、中山8条、江门6条、湛江10条、茂名10条、韶关4条、阳江4条、云浮2条。

（2）新建网元入网及下带业务割接，提升城域网整体业务承载能力：

新建网元入网及下带业务割接，新建每台增加一个街道以上的覆盖范围，其中广州7台、佛山4台、中山2台、江门4台、湛江4台、云浮2台。

（3）BNG链路扩容，提升城域网整体业务承载能力：

链路扩容，每条链路增长10GE带宽资源，其中佛山848条、珠海200条、中山156条、江门160条、湛江400条、茂名320条、韶关348条、阳江136条、云浮179条。

（4）板卡扩容，提升城域网整体业务承载能力：

板卡扩容（包含NAT板卡），每增加一块板卡资源，为所在的扩容设备增加20%的效能，其中广州8块、韶关2块。

（5）5G核心网、CDN、工业互联网等业务接入：

根据5G核心网、CDN、工业互联网等项目业务接入需求，每接入一条，为城域网用户访问该资源提供更快，更高链路质量，降低丢包率等优点，其中，广州48条、佛山28条、珠海10条、中山18条、江门10条、湛江22条、茂名14条、韶关10条、阳江10条、云浮10条。

1.1.1.5.项目开展思路与框架

本项目在实际运作中涉及广东移动、系统集成服务商、工程施工商和工程设计单位四种角色。在本项目中承担系统集成服务的角色。

该角色“系统集成服务商”负责完成本期工程涉及的网络设备（含新建及割接等）的软件调测、网络配置等系统集成工作。具体包括制定网络总体建设方案、制定割接方案以及数据脚本配置，协助工程施工方完成单点安装与调测，推进工程进度，协调各参与方共同完成系统入网、联网调测等各项集成相关服务工作。

开展思路与框架具体如下：

一、项目需求理解及框架思路：本公司对中国移动广东公司2022年数据承载网集成服务项目中的系统集成服务的理解与分析，内容包括：本项目背景、项目意义、项目需求、项目目标、开展思路与框架及项目输出成果的具体理解描述。

二、本公司对本项目的合理性和可执行性讲述：其中包括：

1. 总体建设方案，我司对总体设计思路和架构的详细描述，其中包括：整体网络拓扑架构、业务类型、各协议部署、网管网部署、网络安全部署等；
2. 项目实施方案，我司对实施项目从开始到结束的整个项目周期进行描述，主要内容包括：地市汇聚路由器集群升级、出口扩容及出口双跨、新建网元入网及下带业务割接、BNG链路扩容、板卡扩容、5G核心网、CDN、工业互联网等业务接入。

三、本公司对本项目完备性的讲述：包括项目背景和目的的理解、开展思路及方案的设想，介绍本公司简介、本公司相关项目经验介绍、项目团队人员配备、项目服务质量监控、项目投诉流程及处理方式、项目服务承诺、服务响应承诺、团队应急服务流程进行全面描述。

四、本公司对本项目服务方案的承诺：包括项目日常服务、项目临时性服务、项目突发性服务、项目变更服务响应、项目人员配备服务、技术专家服务承诺、7*24小时服务响应承诺、节假日保障服务承诺、重要时段服务承诺。

1.1.1.6.项目输出成果

本项目的输出成果包括但不限于以下内容：

输出成果	详细内容
扩大千兆光网覆盖范围	实现广东移动在城市及重点乡镇进行10G-PON 光线路终端（OLT）设备规模部署，OLT上联组网优化和老旧小区、工业园区等光纤到户薄弱区域光分配网（ODN）改造升级，促进全光接入网进一步向用户端延伸。按需开展了支持千兆业务的家庭和企业网关（光猫）设备升级，对家庭内部布线改造、千兆无线局域网组网优化以及引导用户接入终端升级等，提供端到端千兆业务体验。
增强骨干传输网络承载能力	实现广东移动部署骨干网200/400Gbps超高速、超大容量传输系统，骨干传输网络综合承载能力。推动灵活全光交叉、智能管控等技术发展应用，提升网络调度能力和服务效能。100Gbps及以上超高速光传输系统向城域网下沉。
增大5G承载网络建设	实现广东移动5G承载网城域接入层按需部署50Gbps系统，城域汇聚层和核心层按需部署100Gbps或200Gbps系统。
推进“双千兆”网络应用创新	实现广东移动“双千兆”网络在超高清视频、AR/VR等消费领域的业务应用，网络与教育、医疗等行业深度融合。
优化网络架构	实现广东移动城域网在交换中心连接企业数量和流量交换规模，新增不低于30台汇聚控制设备的直连点；城域网CDN扩容和下沉，实现互联网内容的就近访问，提高访问服务质量。
提升网络服务能力	能向单个用户提供固定千兆接入能力，提供超大带宽、低时延、可靠性的用户感知能力。

1.1.2.项目合理性与可执行性

1.1.2.1.项目集成方案

1.1.2.1.1.总体网络架构

全省各分公司城域网总体网络架构图

CMNET地市延伸网络（即IP城域网）为企业和个人客户提供综合业务的接入与承载服务。作为面向全业务运营的网络，其业务承载主要有固定宽带、集团专线、WLAN、IMS、IPTV、地市自有业务等。

CMNET地市延伸分为核心层、业务控制层和业务汇聚层：

核心层：各地市均独立设置一对城域网核心路由器CR/RT，主要提供高带宽的业务承载和传输能力；

业务控制层：由业务路由器(SR)和宽带接入服务器(BRAS)及两者相结合的宽带网络网关设备（BNG）组成，采用集中布放的方式实现对用户和业务的接入、控制（认证、计费、资源分配）等；

业务汇聚层：由三层高端交换机（SW）组成，采用分散布放的方式设置，负责宽带接入网（GPON）、PTN和SDH的汇聚上联，满足业务区域覆盖；按照网络的发展规划，将逐步退网SW设备，该层的接入能力由业务控制层BNG设备接替，实现扁平化网络。

全省各分公司城域网总体网络架构如下：

CR/RT，即IP城域网核心层设备，是地市城域网与省骨干网交汇点，IP广域骨干网的延续，是同城信息的高速交换和宽、窄带接入的汇聚，主要负责数据的快速转发以及整个城域网路由表的维护，同时实现与IP广域骨干网的互联，提供城市的高速IP数据出口，其网络结构重点考虑可靠性和可扩展性；由于IP城域网建成后的网上承载的业务将以基于IP包传送的业务为主，因此，城域网的组网技术将以IP包交换技术为核心，它的建设目标是：

①规范标准的数据传送平台;

②数字化、宽带化、综合化的接入平台，具备数据、图像及语音的多种业务综合接入能力;

③具有丰富的业务提供能力，设备支持大容量（10GE以上端口容量）端口扩容能力，满足地市普通家庭用户，集团用户、行业用户和商业住宅用户不断增长的业务需求;

④稳定且有效的网络管理能力和设备运行能力。

BRAS，即IP城域网宽带接入服务器（BRAS）是面向宽带网络应用的接入网关，用来完成用户的认证和管理，承载公共用户业务。它主要提供两方面功能：一是网络承载功能：负责终结用户的PPPoE（Point-to-Point Protocol Over Ethernet,是一种以太网上传送PPP会话的方式）连接、汇聚用户的流量功能；二是控制实现功能：与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能。

SR，即IP城域网业务路由器(SR)被用来连接用户与网络边缘，承接普通集团专线业务，大客户集团专线业务，BGP业务，MPLS-VPN业务，提供高带宽，高速率转发。

BNG，即IP城域网宽带网络网关控制设备（BNG），是基于“大容量、扁平化、广覆盖”的原则，用来替代SR和BRAS设备，拥有两者设备的所有功能，并提供高密度端口，更大的业务处理能力，实现多业务多数量接入。

1.1.2.1.2.业务承载类型  

CMNET地市延伸网络（即IP城域网）主要包括下列客户业务（包括但不限于以下内容）：家庭宽带业务、IP互联网专线业务、IMS多媒体语音业务、WLAN无线业务、VPN电路租用业务、IPTV互联网电视业务。

1.1.2.1.2.1.家庭宽带业务

家庭宽带为IP城域网对普通家庭客户开放的一种廉价的拨号认证方式的，通过PON网络接入的互联网上网业务。提供普通家庭用户和集团用户高速接入因特网、局域网互连以及VPN/VPDN等业务，技术上综合采用了各种广域网技术（IP over ATM、IP over SDH、IP/MPLS、ATM/MPLS等）、局域网技术（以太网技术：10Mbit/s、100Mbit/s、1000Mbit/s等），具有宽带、高性能、综合多种业务、覆盖面广等特点。

1.1.2.1.2.2.IP互联网专线业务

互联网专线接入业务是指为客户提供各种速率的专用链路（主要提供传输速率为2M及以上速率），直接连接IP骨干网络，实现方便快捷的高速互联网上网服务。互联网专线接入业务按照客户需求可提供更高速率的专线接入，主要有10Mb/s、20Mb/s、50Mb/s、100Mb/s、1000Mb/s，其特点是客户通过相对永久的通信线路接入Internet，与拨号上网的最大区别是专线与Internet之间保持着永久、高速、稳定的连接，客户可以实现24小时对Internet的访问，随时获取全球信息资源，提高商务交易的效率，专线客户拥有固定的真实IP地址，可以相对方便地向Internet上的其他客户提供信息服务。

1.1.2.1.2.3.IMS多媒体语音业务

语音和多媒体类主要指VoIP实时语音、视频会议、多媒体融合通讯、IPTV流媒体类等业务，现阶段语音和媒体类业务主要通过CM-IMS系统实现。IMS用户通过IP城域网接入IMS核心网网元（SBC和IMS业务平台），IMS用户通过城域接入网接入IP城域网的SR设备，SBC和IMS业务平台通过三层CE设备接入IP城域网的SR设备。为保证站点安全，CE与SR之间设置防火墙，IP城域网通过轻载以及DiffServ/E-LSP技术提供QoS保障，根据需求可考虑通过MPLS VPN实现业务隔离，城域内IMS核心网网元间互联通过接入IP专网的CE设备实现疏通，通过IP城域网进行承载，跨城域流量疏通通过IP专网实现 。

1.1.2.1.2.4.WLAN无线业务

通过IP城域网承载的广域网无线WLAN业务，满足城市企业中日益增长的宽带无线接入无线接入点需求，提供类似家庭宽带的认证接入，采用无线局域网制定802.11等标准。

1.1.2.1.2.5.VPN电路租用业务

VPN电路租用（英文名称Virtual Private Network，虚拟专网），采用MPLS（多协议标记交换）协议，结合服务等级、流量控制等技术，为用户在公共IP城域网网络上构建企业的虚拟专网，满足其不同地理位置的分支机构客户间安全、快速、可靠的通信需求，采用通过路由隔离技术实现的，MPLS-VPN借助MPLS技术，利用两层标记（Lable），自动为不同用户的节点间建立不同的信道，使用户的流量分别穿行在不同的“虚通道”中，实现了用户流量的隔离，并能够支持数据、语音、图像等高质量、高可靠性多媒体业务。

1.1.2.1.2.6.IPTV互联网电视业务

IPTV即交互式网络电视，是一种利用宽带网，集互联网、多媒体、通讯等技术于一体，向家庭用户提供包括数字电视在内的多种交互式服务的点播+组播电视业务，利用宽带有线电视网的基础设施，以家用电视机作为主要终端电器，通过互联网络协议来提供包括电视节目在内的多种数字媒体服务。

1.1.2.1.3.网络扁平化设计

一、网络扁平化

随着大容量数据设备包括出口集群路由器以及多业务边缘路由器以及OTN技术的成熟，网络汇聚层包括核心骨干网的汇聚路由器和接入网的汇聚交换机的流量汇聚作用正在消失，而从网络的性能、可管理和可维护等方面来看，逐步取消网络的汇聚层使得网络更加扁平化是大势所趋。

城域网扁平化目标架构如下：

• 采用三级网络架构：核心、边缘、端局。
• 全部采用10G以上端口组网。
• MSE提供集成业务管理，为FTTH用户提供完整的“三网合一”业务。
• 全部采用新型可用的下一代网络技术架构，包括集群路由器、大容量MSE和大容量PON。
• 在MSE节点上，提供用户业务服务体验的保障。
• 从分光器到OLT、MSE、CR全程都有保护路径设计。

二、多边缘向单边缘演进

业务控制层在IP城域网中起到了承上启下的作为，是网络中二层接入网络和三层路由网络的分界点，业务控制设备是城域网实现多业务融合承载的关键设备。

业务边缘控制层网络有两种部署架构：

• 单边缘：一个用户的所有业务都终结在同一台边缘设备上（如宽带上网、IPTV、语音等都终结在一台BNG设备上）就成为单边缘。
• 多边缘：一个用户的不同业务终结在不同的边缘设备上（如宽带上网业务终结在一台BRAS设备上，IPTV、语音等都终结在一台SR设备上）就成为多边缘。

多边缘结构有一些问题，主要表现为：

• 对接入网技术要求高：需要对不同业务做分离；
• 成本高：不同业务在不同的边缘设备上，导致边缘设备数量增多、成本增大；
• 运营成本高：设备数量多，接入网实现业务分离的VLAN/PVC规划维护复杂。

目前，三大运营商城域网已逐渐采用单边缘的业务控制层网络架构，一个用户的所有业务都终结在同一台边缘设备上（如宽带上网、IPTV、语音等都终结在一台BNG设备上）。

随着多业务边缘路由器MSE技术的成熟，网络从多边缘向单边缘转化成为趋势。

1.1.2.1.4.设备命名和端口描述规划

1.1.2.1.4.1.设备命名规划

IP城域网主要由核心路由器、业务控制路由器及汇聚交换机组成，本章规定的城域网设备命名规划，适用于IP城域网内的设备。

省名	地市名	网络层次	业务系统分类	序号（可选）	网元功能	序号（可选）	节点名称	设备标识
字符	字符	字符	字符/数字	数字	字符	数字	字符/数字	字符/数字
2（大写字母）	2或3（大写字母）	2（大写字母）	≤6(大写字母或数字)	1	≤4（大写字母或数字）	2	≤5(大写字母或数字)	≤2(大写字母)

 

• 字母大小各区需要采用统一标准，全部大写。
• 两端、中间不带任何空格。
• 城市标识，用2位大写字母表示省会，用3为大写字母表示地市。
• “网络层次”：表示网元所处的网络层次，2个大写字母。

城域网网络设备的网络层次定义见下表：

符号表示	网络层次
MC	核心层
MS	业务控制层
MA	接入层

• “业务系统分类”和“序号”：表示网元设备所属的网络。对于IP城域网的网元设备此字段统一使用“IPMAN”。其后的“序号”字段用于区分相同地理位置和网络层次下同一业务类型的多套系统，具体规则见后文详述，该字段为可选，1位数字。城域网中的IMS系统的CE与防火墙设备业务系统分类使用“IMS”。
• “网元功能”：表示网元设备的基本功能，网元功能的定义如下表所列。建议固定为2位长度，城域网中的IMS系统的CE归类为SR。

网元功能	简写
边界网关	BG
媒体网关	MG
信令网关	SG
软交换服务器	SS
路由器	RT
业务控制路由器	SR
汇聚交换机	SW
接入交换机	ASW
GPON/EPON设备	PON
防火墙	FW
路由反射器	RR
VPN网关设备	VG
宽带(远端)接入服务器BAS/BRAS	BRAS
磁盘阵列	DA
磁带库	TB
主机设备、服务器	SV
终端	TM
HUB	HB
SR+BRAS	BNG

• “序号”：当存在多台物理位置、网络层次、业务系统、节点和网元功能均相同的设备时，用不同序号进行区分，在同一个节点中，同层同类型设备序号保持唯一。
• “节点名称”：表示网元所在的机房节点，使用机房名称的拼音大写字母组成，各地市根据各自实际情况制定规则，保证不重复即可。
• “设备标识”：表示设备的生产厂商及设备型号在广东移动IP城域网内的标识。“设备标识”字段严格按照下表规定填写，包括字母大小写。

1.1.2.1.4.2.端口描述规划

一、环回接口描述：

	For	空格	功能描述
符号	字符	字符	字符串
字符数	3	1	≤30
选项	必选	必选	必选

说明：

For：固定字符串。

功能描述：描述该loopback端口特殊功能，为有意义的英文字符串。如：Management、Multicast、VPN、Global Routing、BGP Load balance等。

二、设备互联端口描述

uT:(上行)pT:(平行)dT:(下行) NM：（网管）	对端设备名称	:	带宽 信息	(链路传输代码)	::	对端端口名称
字符	字符	字符	字符	字符	字符	字符
3	≤31	1	≤4	≤15	2	≤20
必选	必选	必选	必选	可选	必选	必选

“(链路传输代码)”表示链路的传输号,如果同机房内设备互联无传输编号,则为(N/A)。长途传输中继编号应符合相关规范，如广州-深圳10G链路传输代号为XXXXX，对应链路传输编号为（GZ/SZ-XXXXX），调测期间链路描述最后增加“::PROCESSING”，调测完成加载业务后取消“::PROCESSING”。

    其中对端端口名称要根据不同设备类型区别如下表：

	阿朗	华为	Cisco
POS(155M/2.5G/10G)	POS*/*/*	POS*/*/*	POS*/*/*
千兆以太网(GE/10G)	GE*/*/*	GE*/*/*	GE*/*/*
百兆以太网(FE)	ETH*/*/*	ETH*/*/*	ETH*/*/*

 

三、业务端口描述

对于直接连接业务的接口或子接口，端口描述原则是：

1.能表示出端口接入的业务类别；

2.能表示出端口接入业务的基本信息。

格式： 客户类型标识-业务类型标识-业务简称

客户类型标识	-	业务类型标识	-	业务简称
字符	字符	字符	字符	字符
1（大写字母）	1	5（大写字母）	1	不限（小写字母）

 

说明：

客户类型标识：用于区分接入业务是属于内部客户或是外部客户，定义如下：

内外部客户标识	标识号
内部客户	I
外部客户	O

 

业务类型标识：用于区分不同的业务种类，定义如下：

业务类型分类说明	业务类型标识
GPRS设备	GPRS
VPN设备	VPN
短信平台设备	MS
GPRS核心网Gn	GN
GPRS核心网Gi	GI
WLAN设备	WLAN
NAS设备	NAS
IOD网关设备	IOD
Wap网关设备	WAPGW
DNS设备	DNS
MMS彩信网关设备	MMSGW
彩铃平台设备	CTON
应急通信车设备	SCC
TD-CMDA接入设备	TD
智能网接入设备	IN
互联网专线接入	INTER
IP多媒体子系统	IMS
测试系统/设备接入	TEST
家宽业务	PPPOE
其他类型	业务名称首字母简写
互联网电视	OTTV
网管业务	NMS

 

四、空闲端口描述

要求设备上的所有端口均需要配置描述，对于设备上空闲未用的端口统一描述内容为no-use，便于网管监控。

1.1.2.1.5.VLAN规划方案

当前，随着互联网应用的不断丰富，运营商网络规模不断扩大，特别是在“三网融合”的背景下，随着光进铜退工程建设的日渐推进，各种宽带业务产品不断推出，给传统的宽带业务网络部署及维护模式带来了极大的挑战。在城域网中，从接入终端以上至业务汇聚点BRAS/SR以下，通过基于VLAN的二层网络进行业务承载。为了有效利用网络资源，实现网络数据的统一规划、统一部署，精确进行业务和用户识别，必须正对IP城域网宽带业务VLAN资源进行合理规划和有效部署。

目前城域网能提供多种宽带业务，包括公众宽带互联网、VPN、VOIP、IPTV等业务。在城域网中，从接入终端到业务汇聚点BRAS/SR以下，都是通过基于VLAN的二层网络进行业务承载，VLAN用来标记业务和隔离用户，可以实现对用户、业务、位置的精确标示，有利于实现精细化管理与运营。

VLAN规划主要涉及二层接入网络，主要包括二层汇聚交换机、园区交换机、楼道交换机、DSLAM设备、OLT设备、ONU设备，设备数量、类型、型号众多。

城域网业务VLAN规划应能达到精确识别业务/用户及安全隔离的要求，并且要求在尽量不影响现有业务的基础上，统筹考虑，保证各层级设备间，各类业务间清晰不冲突，同时兼顾以后业务增减和迁移、网络优化和割接的便利性。

1.1.2.1.5.1.IP城域网VLAN承载模式

目前，VLAN规划可以采用多种模式，将业务/用户与VLAN进行映射，包括三种基本模式：PUPV、PSPV、PUPSPV，以及三种基本模式的各种组合方式。

一、PUPV：PUPV 模型下，网络为每个用户分配一个VLAN承载多种业务，即每个用户的上网、VoIP、IPTV 和ITMS 等业务均采用同一个VLAN ID 进行承载，各种业务利用IEEE802.1P 的业务优先级或者PPPoE Session 进行区分。这种模式下用户所需要的VLAN ID 数量最少，适用于单边缘网络架构。BRAS/SR需要启用H-QOS 以确保用户多种业务之间的QoS。

下图为PUPV模型的一个典型案例：

在PUPV 模型下，一般是采用PPPoE Session 对IPTV 业务和其他业务进行区分的，所以组播业务复制点在BRAS/SR 上，无法实现组播复制点下移到OLT 或接入交换机，在一定程度上造成了接入设备上行带宽浪费。

在PUPV 模型下，如果家庭网关LAN 口上预置的各种业务VLAN 各不相同，则需要OLT 或接入交换机支持N:1 VLAN 聚合功能。

二、 PUPSPV: PUPSPV 模型下，网络为每用户的每类业务分配一个VLAN，每个用户的上网、VoIP、IPTV 等业务均采用独立的VLAN 进行承载。这种模型可以实现每个用户的每种业务的精确隔离。这种模式下用户所需要的VLAN ID 数量最多。这种模型既适用于单边缘网络架构，也适用于多边缘网络架构。PUPSPV模型下有利于IPTV 组播复制点的下移，提高组播带宽利用效率。

下图为PUPSPV模型的一个典型案例：

三、PSPV：PSPV 模型下，网络为每种业务分配一个VLAN，同一种业务内的不同用户无法实现精确隔离，一般适用于自营的、能够保证安全性的业务。在每个业务VLAN 内部可以用PPPoE+或者DHCP Option82 进行用户接入线路/端口标识，以实现可靠的用户标识和位置确定。这种模型一般适用于多边缘网络架构。PSPV模型有利于IPTV 组播复制点的下移，提高组播带宽利用效率。

下图为PSPV模型的一个典型案例：

由于PSPV 不能实现用户上网业务之间的精确隔离，所以各地的城域网一般不会对所有类型的业务采用纯粹的PSPV 方式，而是将PSPV 与PUPV 或PUPSPV 组合使用，即对于部分自营业务（如IPTV、VoIP）采用PSPV，对其他业务采用PUPV 或者PUPSPV。

由于各省（市）城域网架构不同，现网实际的VLAN 规划的方式也不同，除上述三种模型外，还存在几种组合VLAN 模型。

目前主要的组合VLAN 模型包括如下几种：

四、 PUPSPV＋PSPV：这是各地最普遍采用的方式。一般是用户的上网业务采用PUPSPV（用户的上网业务VLAN 各不相同），移动自营的、有安全保证的业务采用PSPV（所有用户或者特定区域内所有用户的IPTV 业务共享同一个IPTV VLAN，所有用户或者特定区域内所有用户的VoIP 业务共享同一个VoIP VLAN，所有用户或者特定区域内所有用户的ITMS 业务共享同一个ITMS VLAN）。也有部分本地网的上网和IPTV 业务采用PUPSPV模型，VoIP 和ITMS 业务采用PSPV 模型，还有部分本地网的ITMS和VoIP 共享同一个VLAN。城域网上属于PSPV 的业务（如IPTV、VoIP、ITMS 业务）VLAN ID 可以与集团建议的家庭网关WAN 口预置的业务VLAN（43、45、46）相同，也可以不同（在不同的情况下要求家庭网关上行的接入设备满足VLAN 转换功能）。

下图为这种组合模式下的VLAN 承载方式的一个示例：

五、 PUPV＋PSPV：这也是某些本地网采用的方式之一。即：一方面用户的上网业务和IPTV 业务共用一个用户VLAN，并一起终结于BRAS，BRAS 利用PPPoE Session ID 进行业务的区分并采用H-QoS 机制确保IPTV 业务相对于上网业务的高优先级。另一方面所有用户或者特定区域内所有用户的VoIP 业务共享同一个VoIP VLAN，所有用户或者特定区域内所有用户的ITMS 业务共享同一个ITMS VLAN，也有部分本地网的ITMS 和VoIP 共享同一个VLAN。

下图为该模型的典型案例：

六、 PUPSPV+PUPV：这种模式下，用户的部分业务（如上网和IPTV）共用一个用户VLAN 并一起终结于BRAS，BRAS 利用PPPoESession ID 进行业务的区分并采用H-QoS 机制确保IPTV 业务相对于上网业务的高优先级；用户的其他业务采用每用户每业务一个VLAN 的模式（例如VoIP 和ITMS 业务）以实现用户和业务的精确隔离。

下图为这种模型的典型案例。这种模式目前应用的比较少。

在PUPV 及其组合模型下，由于家庭网关LAN 口上各种属于PUPV 模式的业务预置有VLAN，且VLAN ID 各不相同，则需要上层接入设备对相关业务进行N:1 聚合。

各地市网络架构不近相同，业务发展也不平衡，可能实际的VLAN规划方法也不同，因此可以灵活采用上述VLAN规划模式或进行多种模式的组合。综合考虑长期业务部署和网络实现简单的要求，推荐VLAN规划部署模式为PUPSPV+PSPV，具体方案如下：普通上网业务属于公众业务，需要实现严格的隔离，使用PUPSPV方式规划部署；IPTV、VOIP等业务属于联通自营、有安全保障的业务，推荐使用PSPV方式规划部署，在城域网内或一定的区域内同一种业务使用同一VLAN承载，对VOIP/IPTV有特别管理需求的城域网，也可以使用PUPSPV。

对于PUPV、PUPV+PSPV等与PUPV有关的模式，由于对BRAS设备性能要求高，网络配置复杂，不利于简易实现业务的精确识别和组播业务复制点的下移，除非有特别的需求，不建议采用。

具体选择哪种模式，既要考虑业务开展的需求，又要考虑网络现状和设备能力。重点应考虑以下因素：

1）用户可溯源性。尤其是上网业务，应遵循每用户每VLAN 的方式，以VLAN 标识用户。

2）满足用户和业务隔离和区分的要求，如业务安全、组播复制等。

从安全性的角度考虑，上网业务有必要通过每用户每VLAN 进行用户间的安全隔离；而IPTV 业务中，机顶盒作为可信终端，用户间可不进行VLAN 隔离；对于SIP 终端、内置IAD 的A 类ONU 等类型的VOIP 业务，如果用户间不做VLAN 隔离，可能存在恶意攻击扩散的潜在危险，但由于同一PON 口下不同的ONU 天然隔离，且每个ONU 上也可以配置端口隔离功能，因此，即使设置相同的VLAN，也可以达到用户隔离的效果。

3）VLAN 资源是否充足

在PUPSPV 情况下，按照每用户4 种业务规划，受内层VLAN ID 资源限制，单个PON 口所带用户数需小于1024。PSPV 则无此限制。

4）配置的复杂性及后续维护和调整的便利性

混合方式与纯PUPSPV方式相比，配置更简单，且对于非上网业务，增加用户时，无需调整VLAN。

在城域网VLAN规划时，除了考虑上述标识业务/用户的VLAN承载模式外，还应结合QinQ等技术手段对VLAN资源进行合理的扩展以满足业务使用需求：QinQ外层VLAN（SVLAN）作为接入设备标识进行规划，如汇聚交换机、OLT、DSLAM等设备ID，当接入设备容量较大时，也可以作为接入设备的板卡或端口（如PON口）标识；内层VLAN作为用户/业务标识行规划。QinQ内外层VLAN的规划应统一规划、统一管理。

1.1.2.1.5.2.城域网VLAN资源规划

城域网业务VLAN 资源的规划应按照全覆盖的方式进行，即确保为每个用户预留足够的业务VLAN（即使ONU 设备不一定覆盖所有的用户），以避免由于将来用户增加导致现有VLAN 资源不足或需要对现有VLAN 进行大幅调整的情况发生。

城域网业务VLAN 的规划示例参见下表：

VLAN范围	个位数限制	业务	说明
1～11	无	交换机管理用	交换机管理用
12～19	无	预留	预留，市公司不得自行使用
20～99、 800-899	无	OLT网管	一、共2段，20-99,800-899,180个VLAN号； 二、优先使用20~99：    前期已经使用的，延续早期使用方式：汇聚交换机A和配对的汇聚交换机B对下挂的每一个OLT从vlan20-vlan99中顺序分配两个vlan，其中第一个vlan做为该OLT网管vlan，第二个vlan做为接该OLT的native vlan。 三、20-99使用完毕后，才能开始使用800-899。 说明：对于广州等采用OLT单上联SW组网模式的市公司，OLT网管可不配置Native VLAN，单独配置一个网管VLAN即可，但市公司需注意组网合理、配置准确，确保不出现环路或广播风暴问题。
100～699	无	汇聚交换机直连互联网专线	直接接汇聚交换机的专线用户，即access口所在vlan（可进一步划分内部和外部，重要和普通客户）
700～799	无	汇聚交换机直连VPN专线	直接汇聚交换机的VPN或语音专线用户，即access口所在vlan。
900~901	无	OTT TV（组播）	OTT TV 组播业务使用 主用：900，备用：901（预留） 一、对于OLT双归上行SW-A/SW-B（配对汇聚交换机）组网：    OLT与SW-A的互联端口：使用主用VLAN 900。SW-A与该OLT互联链路放通该VLAN。    OLT与SW-B的互联端口：使用备用VLAN 900。SW-B与该OLT互联链路不放通该VLAN。【一定要注意】   二、对于OLT单归上行SW-A组网：使用900作为主用VLAN，901预留，暂不启用
902～999	无	预留	预留，市公司不得自行使用
1000～2999	0	家庭宽带	PPPoE
1000～2999	1	家庭宽带	PPPoE（含PPPoE专线）
1000～2999	2	WLAN	用于AP热点
1000～2999	3	互联网专线	固定IP
1000～2999	4	VPN专线	包含语音VPN、传输租赁VPN、各种二层、三层VPN业务
1000～2999	5	社区WLAN	PPPoE及portal双认证模式wlan,考虑回收
1000～2999	6	OTT TV(点播)	OTT TV 点播业务使用
1000～2999	7	语音IMS	IMS业务使用
1000～2999	8	家宽STB/ONU的TR069网管VLAN	家宽STB/ONU的TR069网管VLAN
1000～2999	9	皮飞站	皮飞站等小基站业务
3000～3499	无	预留	预留，市公司不得自行使用
3500～3599	无	广电合作业务	合并到市公司个性化业务中，部分地市应用
3600～3699	无	铁通合作业务	合并到市公司个性化业务中，部分地市应用
3500～3999	无	市公司个性化业务	市公司自定义，使用后需向省公司报备
4000～4095	无	预留	预留，市公司不得自行使用

1、上表为示例，城域网在做VLAN 二次规划时可参考，其中除集团统一规划和预留部分各省应根据要求进行调整外，各省公司可以根据实际情况对各段VLAN采用适宜的方式进行规划。比如：在FTTH 接入方式下，如果采用一个PON 口对应于一个SVLAN 的方式，当一个PON 口所带的最大用户数超过1000 时，则上网业务的CVLAN 段空间就应该大于1001－2000 所规定的1000 个；VOIP/IPTV 如果采用了PSPV方式进行规划，对VLAN 的需求少，可规划较小的VLAN ID 段使用，其余资源可灵活用于其它业务；对外层SVLAN ID 的选择各省也可依据实际情况进行规划，比如可不区分接入方式进行统一分配，或可根据需要对使用范围进行适当的扩展等，不局限于表中所列项。

当使用PUPSPV 方式规划VOIP/IPTV/上网业务时，原则上IPTV/VoIP 业务VLAN 和上网业务VLAN 除了第一位不同外，后几位相同，例如上网业务VLAN 为1087，VOIP 业务VLAN 为2087，IPTV 业务VLAN 为3087。

2、由于QinQ 一般由OLT、汇聚交换机实现，而灵活QinQ 一般是基于CVLAN ID 打SVLAN 标签的，所以在单层VLAN 的域内（即内层VLAN 域和外层VLAN 域两个层面），任何用户的任何业务的CVLAN 都不能重叠，否则OLT 和汇聚交换机无法实现QinQ。

3、家庭网关要求在出厂时对VLAN/PVC 进行预配置，其中ITMS 管理VLAN/PVC 全国统一，其余业务VLAN/PVC 各省可根据实际情况统一规划预配置值，要求尽量与集团保持一致。下表为家庭网关预置VLAN/PVC 优先级及VLAN/PVC 值：

业务类型	优先级	VLAN	VPI/VCI
ITMS	最高优先级	46	规定8/46
VOIP	次高优先级	45	建议8/85，或8/45
IPTV	中优先级	43	建议8/83，或8/43
普通上网	低优先级	41（或不做VLAN标记）	建议8/81

对于ITMS 管理VLAN，由于已在全网内统一规划，推荐使用PSPV 方式进行部署，家庭网关预置与城域网内CVLAN 统一使用VLAN46，无需在城域网内再为其单独规划CVLAN 后进行家庭网关VLAN/PVC 与接入设备间的VLAN 转换。

对于普通上网业务，为了适应家庭网关用户和非家庭网关用户混合接入的网络场景，建议在家庭网关上不做VLAN 标记，直接进行以太数据的透传，相应的VLAN 标记由上层接入设备添加。

1.1.2.1.5.3.宽带业务VLAN部署细则

目前，各省（市）城域网的主流VLAN 规划方式（普通上网/VOIP/IPTV 采用PUPSPV，ITMS 采用PSPV；或者普通上网采用PUPSPV，ITMS/VOIP/IPTV 采用PSPV），以及终端“零配置”的要求，综合考虑现网各层级设备性能现状，参考部署方案如下：

一、 业务控制点BRAS/SR/BNG

根据网络需要配置QinQ 模式，终结各类业务VLAN；在PUPSPV+PSPV 的VLAN 模型下，配置基于VLAN的QOS 策略。

二、 L2 汇聚设备（汇聚交换机/OLT）

基于VLAN 进行转发，根据网络需要配置QinQ 模式，对业务VLAN 打上外层VLAN 标识；在多边缘架构下配置QinQ 时，每台接入设备应配置不同的外层VLAN，并通过外层VLAN 标识对业务进行分流：上网业务上行到BRAS， VOIP/IPTV等业务上行到SR。

在“光进铜退”形式下，OLT 作为FTTX 方式接入的业务汇聚设备存在，考虑到接入网络的长期发展趋势，避免随着业务量的增加带来频繁的网络调整，OLT 作为一级汇聚设备组建网络，其上行直连BRAS或BNG。

在FTTH 接入方式下，OLT 在进行QinQ 操作前，还要对PON上行家庭网关的业务进行VLAN 转换操作。

三、接入设备和终端设备

• DSL 接入方式如下

家庭网关和DSLAM 间工作在Access 模式下，二层网络对业务的识别和区分依赖于接入PVC 的差异。家庭网关与DSLAM 间应至少支持4 条PVC。

可根据实际情况，一种业务单独使用一条PVC，或者两种业务合用一条PVC，例如：

— PVC1：ITMS

— PVC2：VoIP

— PVC3：IPTV

— PVC4：上网

或者：

— PVC1：ITMS＋VoIP

— PVC2：IPTV

— PVC3：预留

— PVC4：上网

1. DSLAM：

在DSLAM 下行端口配置多PVC 方式，并配置PVC 与VLAN 的一一转换关系，上行端口配置为Trunk 模式。对于部分DSLAM可配置PVC 数目存在限制，建议更换或控制每台DSLAM 上接入的用户数目。

1. 家庭网关：

在家庭网关上配置多条PVC，并与设备下行的LAN 口一一绑定；

（基于PON 的FTTB+DSL 场景下的VLAN 配置与上面基本相同：MDU 的VLAN 配置等同于DSLAM，OLT 等同于汇聚交换机。）

• 以太网（传统FTTB+LAN）接入方式如下

家庭网关和接入交换机间工作在Trunk 模式（或混杂模式）下，二层网络对业务的识别和区分依赖于接入VLAN 的差异。家庭网关与接入交换机间应至少支持4 个VLAN。

1. 接入交换机：

接入交换机上下行端口配置为Trunk 模式或混杂模式，对ITMS/VOIP/IPTV 业务VLAN 透传，对上网业务添加VLAN 标签，上行端口设置为Trunk 模式。

楼道交换机应支持VLAN 转换功能，家庭网关上行业务VLAN可统一预设置为ITMS 管理：VLAN46，VoIP：VLAN45，IPTV：VLAN43，上网：不做标记。在楼道交换机上对VOIP/IPTV 业务VLAN 进行一一转换，对ITMS 管理VLAN 可进行一一转换或直接透传，对上网业务添加相应的VLAN 标记（新建交换机要求满足VLAN 转换功能）；

楼道交换机支持VLAN 数必须不少于256 个，小区中心交换机支持VLAN 数不少于4096 个；

1. 家庭网关：

在家庭网关上，ITMS/VOIP/IPTV 配置为VLAN 标记模式，为业务流量打上对应的VLAN 标签，上网业务配置为不标记VLAN直接透传的模式，其业务VLAN 标签由接入交换机添加；

• FTTH 接入方式如下：

PON 上行家庭网关/SFU 和OLT 间工作在Trunk 模式下，二层网络对业务的识别和区分依赖于接入VLAN 的差异。家庭网关/SFU 与OLT 间应至少支持4 个VLAN。

在FTTH 下，各级设备VLAN 配置如下：

1. OLT 的VLAN 配置

OLT 针对家庭网关WAN 口的Untagged 的业务流（上网业务）打VLAN 标签；

OLT 针对IPTV 业务、VoIP 业务和ITMS 管理进行1：1VLAN转换，分别转换为城域网中规划的IPTV VLAN、VoIP VLAN 和ITMSVLAN。例如，如果规划某用户的VOIP VLAN 为2001，则OLT 执行VLAN 45↔VLAN 2001 的转换；如果某个城域网规划了所有用户的IPTV VLAN 为50，则OLT 对所有用户均执行VLAN 43↔VLAN50 的转换；对于 ITMS 管理VLAN 也可不在城域内重新规划（沿用终端设置的46），由OLT 对其VLAN 进行透传。

OLT 根据城域网VLAN 规划对上网、IPTV、VoIP 和ITMS 管理业务流进行QinQ 处理。例如，在单边缘网络架构下，OLT 可对同一PON 口上来的所有业务流打一个SVLAN，上行至BRAS；在双边缘的网络架构下，OLT 可对同一PON 口上来的所有上网业务流打一个SVLAN，上行至BRAS，对该PON 口上来的所有ITMS/VOIP/IPTV 业务流打一个SVLAN，上行至SR。

对于组播IPTV 业务，其业务复制点下移至OLT；对于同时开展有单播IPTV 和组播IPTV 业务的网络场景，OLT 应启用跨VLAN 组播功能，实现组播VLAN 与用户点播VLAN 间的转换。

1. PON 上行家庭网关/SFU 的VLAN 配置：

对于PON 上行家庭网关/SFU 的上联PON 口，工作于VLANTrunk 模式，在下联端口上对ITMS 管理、IPTV、VoIP 进行VLAN标记，其VLAN 分别为 ID=46、43、45。对上网业务不做VLAN标记直接透传。

对于采用SFU+LAN 上行家庭网关组网的场景，家庭网关上联LAN 口，工作于VLAN Trunk 模式，在下联端口上对ITMS 管理、IPTV、VoIP 进行VLAN 标记，其VLAN 分别为 ID=46、43、45。对上网业务不做VLAN 标记直接透传。SFU 上行PON 口和下行LAN 口都工作在Trunk 模式下，对Tag 或Untag 数据不作改变直接透传。

• 基于PON 的FTTB+LAN 接入方式如下：

家庭网关和与MDU 间工作在Trunk 模式下，二层网络对业务的识别和区分依赖于接入VLAN 的差异。家庭网关与MDU 间应至少支持4 个VLAN。

在FTTB+LAN 下，各级设备VLAN 配置如下：

1. OLT 的VLAN 配置

OLT 根据城域网VLAN 规划对上网、IPTV、VoIP 和ITMS 管理业务流进行QinQ 处理。例如，在单边缘网络架构下，OLT 可对同一PON 口上来的所有业务流打一个SVLAN，上行至BRAS；在双边缘的网络架构下，OLT 可对同一PON 口上来的所有上网业务流打一个SVLAN，上行至BRAS，对该PON 口上来的所有ITMS/VOIP/IPTV 业务流打一个SVLAN，上行至SR。

1. MDU 的VLAN 配置

MDU 的以太网端口配置为1：1VLAN 转换（Translation）模式；

MDU 针对家庭网关WAN 口的Untagged 的业务流（上网业务）打VLAN 标签；

MDU 针对IPTV 业务、VoIP 业务和ITMS 管理进行1：1VLAN转换，分别转换为城域网中规划的IPTV VLAN、VoIP VLAN 和ITMS管理VLAN。例如，如果某用户的VOIP VLAN 为2001，则MDU 执行VLAN 45 至VLAN 2001 的转换；如果某个城域网规划了IPTVVLAN 为50，则MDU 对所有用户都执行VLAN 43 至VLAN 50 的转换。对于 ITMS 管理VLAN 也可不在城域内重新规划（沿用终端设置的46），由MDU 对其VLAN 进行透传。

对于组播IPTV 业务，其业务复制点下移至MDU；对于同时开展有单播IPTV 和组播IPTV 业务的网络场景，MDU 应启用跨VLAN 组播功能，实现组播VLAN 与用户点播VLAN 间的转换。

这种方案要求MDU 支持至少3 个VLAN 转换条目/端口。

1. 家庭网关VLAN 配置：

在家庭网关上，上网业务不做VLAN 标记直接透传，ITMS、VoIP、IPTV 分别进行VLAN 标记为：46、45、43。

注：本方案适用于PUPSPV、PUPSPV+PSPV 等VLAN 模型，也可用于PSPV 模型。

考虑到业务开通的便利性，在网络规划和部署阶段， OLT应按照所有端口均承载家庭网关的情况进行VLAN 配置，即为每个用户至少预留包括上网、IPTV、VoIP、ITMS 四种业务VLAN，且在工程建设阶段完成相应网络数据的配置。当用户申请开通/退订该端口时，只需要由网管系统下发一个“打开”或者“关闭”该端口的命令即可完成，无需下发其他网络数据配置信息，对于具体业务的激活/关闭由对业务帐号权限的管理来实现。

本方案下，可以自适应带家庭网关和无家庭网关混合接入的网络场景，不需要因为用户家庭内是否安装了家庭网关而更改ONU 和OLT 的VLAN 配置，方便各种场景下用户业务的自动发放。

1.1.2.1.6.IP地址规划方案

1.1.2.1.6.1.IPv4地址分配方案

IP地址的合理规划是网络设计中的重要一环，IP地址规划的好坏，直接影响网络路由协议算法的效率和路由收敛的快慢，直接关系网络的稳定性、整体性能和可扩展性，影响到网络的管理，也必将直接影响到网络应用的进一步发展。因而合理的IP地址规划是保证网络顺利运行和网络资源有效利用的关键。

IP地址规划要和网络结构规划、路由协议规划、流量规划、业务规划等结合起来考虑，应尽可能和网络层次相对应，应该是自顶向下的一种规划。

IP地址规划的目标：易管理、易扩展、利用率高。

• IPv4地址规划原则

IP 地址的合理分配和使用是保证网络顺利运行和网络资源有效利用的关键，因此，IP 地址的分配应遵循以下原则

• 唯一性：

一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。

• 连续性：

连续地址在层次结构网络中易于进行路由汇总（CIDR 技术），大大缩减路由表，提高路由计算的效率、加速路由收敛。

• 扩展性：

地址分配在每一层次上都要有合理的预留，在网络规模扩展时能保证地址叠合所需的连续性。避免网络扩展造成的地址、路由重新规划。

• 结构化、业务相关性：

地址规划与网络拓扑结构和网络承载业务结合起来，便于路由规划和QoS部署。好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备和对应的业务。

IP 地址的分配应基于业务需求，按照业务量大小分配地址段；必须采用VLSM(变长掩码)技术，保证IP 地址的利用效率。

• IPv4地址分配策略

核心和汇接层网络设备全部采用公有IP地址、设备本身使用的IP地址（loopback管理地址、互联链路地址等）均使用公有IP。

IP地址的分配必须采用VLSM、CIDR技术，业务地址在接入层设备上至少以一个0.5C类IP地址为块进行分配。应该尽量使BRAS/SR/BNG上的地址连续，以便于在这些设备上进行路由汇聚。

对公有地址不足的地市，建议城域网采用公私网地址混合编址，在城域网出口或汇接层统一进行NAT转换。

业务地址分配策略（公有IP不足时）：

1. 需要访问IP骨干网的业务建议全部分配公有IP
2. 专线用户全部分配公有IP，避免出现二次NAT问题
3. VIP用户地址段分配公有地址，方便多业务的部署
4. 普通宽带接入用户（拨号、DHCP）分配私有IP
5. 内部MPLS VPN业务地址按照省公司规划分配
6. 其它MPLS VPN大客户互联业务PE-CE间互联地址分配私有IP
7. 从Internet骨干网转网过来但仍使用原有地址空间的专线客户地址不变
   • IPv4地址用途划分

城域网内部需要分配的地址主要有设备Loopback 地址和设备互联地址、自有业务地址以及用户地址三大类。

• 设备Loopback 地址：在网络规划建设中，为了方便管理，需要为每一台路由器设备创建一个Loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址。Loopback 地址可以提供管理员的远程Telnet 登陆，同时对于动态路由协议如OSPF、BGP 等需要将Loopback 地址作为设备的Router ID，BGP 协议使用Loopback 地址作为TCP 连接的源地址。对于Loopback 地址的分配和管理，应当采用统一、专用、连续的地址空间，便于进行设备的配置、管理以及故障的诊断和排查。Loopback 地址一般为32 掩码。
• 设备互联地址：路由器设备的端口互联地址是完成一条逻辑链路两端设备互通用。为了保证路由处理的高效性，端口互联地址应应尽可能的以分层次的方式进行分配，同时要综合考虑未来的发展需求，预留相应的地址资源。

一条逻辑链路的端口互联地址一般需要一个30 掩码的地址。

• 自有业务地址：为自有业务系统提供通信服务，主要包括有DNS、Cache、CDN、OA等业务系统。
• 业务地址：网络中需要为每一个用户分配一个用户地址，用户地址可根据用户使用业务的不同以及IP地址资源情况选择使用公网地址或私有地址。在整个地址需求中，用户地址的需求量是比较大的。
  • IPv4地址数量核算

网络设备分配的公有IPv4地址数量模型如下：

• 设备地址（Loopback及设备互联地址）按照以下模型测算：

核心骨干路由器（指省网CMNET与骨干CMNET互联的出口路由器）：64个IP*N(N为新增台数)

城域网汇聚路由器（含IDC出口路由器）：32个IP*N（N为新增台数）

接入SR、Bras、汇聚交换机：15个*N(N为新增台数）

AC及防火墙等：5个*N（N为新增台数）

• 自有业务系统（DNS/Cache/CDN）按照以下模型测算：

自有业务系统(一般不放进IDC机房，若放进IDC机房，IP地址在IDC机房分配，不在此计算) ，按照服务器台数及每服务器消耗2个IP地址模型测算

用户分配的公有IPv4地址数量模型如下：

集团客户专线分配的公有IPv4地址数量一般为2个。

WLAN用户分配公有IPv4地址时，应根据峰值在线用户数比例并结合NAT比例计算分配IP地址数量，WLAN活跃用户数以总部经营分析系统数据为准。

有线宽带用户分配公有IPv4地址时，应根据峰值在线用户数比例计算分配IP地址数量。

IDC业务分配公有IPv4地址时，按照实际IDC设备台数和地址需求量进行地址分配。

1.1.2.1.7.路由协议部署方案

1.1.2.1.7.1.路由组织原则

路由协议的选择包括内部路由协议（IGP）的选择和外部路由协议（BGP）的选择。

（1）BGP 的选择

BGP 用于连接不同的自治系统，在不同的自治系统之间交换路由信息，主要使用路由策略和路由过滤等控制路由信息在自治域间的传播。BGP 又可根据交换BGP 报文的两个BGP 对等体是否属于同一AS 区分为EBGP 和IBGP。EBGP 负责不同AS 之间的路由信息的传递，IBGP 负责外部路由和用户路由在AS 内部的穿越。

本期工程，全网城域网均采用EBGP 与骨干网互通，交换路由信息。同时为了满足EBGP 大客户路由及全网外部路由在自治域内的穿越，在IP 城域网内部启用IBGP 协议。

（2）IGP 的选择

OSPF 路由协议和IS-IS 路由协议是目前最流行的两种IGP 协议，两个协议均是基于链路状态，采用SPF 算法来计算路由的。两个协议都是采用Hello 协议来维护邻居关系，但实现方式有所不同。

IS-IS 最初是ISO 的标准协议，为CLNS（connectless network service 无连接网络服务）设计的，后来增加了对IP 的支持；而OSPF 一开始就是IETF 为IP 网络设计的；IS-IS协议直接在链路层上运行，报文直接封装在链路层报文中，支持CLNS、IP 等多种协议；

OSPF 报文封装在IP 中，只支持IP 协议；

IS-IS 协议中整个路由器只能全部属于一个区域，区域边界位于两个路由器之间，路由器的LSDB（链路状态数据库）按Level 来维护；而OSPF 按接口来，一个路由器可以属于多个区域，为每个区域维护一个LSDB 数据库；

OSPF 通过特殊的区域ID Area0 区来定义骨干区，而IS-IS 是通过连续的L2 路由器来组成骨干区；

IS-IS 由于具有更好的可扩展性、灵活性及可调节性，目前在大型骨干网中应用较广泛，OSPF 在中小型ISP 及中小型城域网应用较多。

遵循层次清晰、功能齐全等原则，满足可运营、可管理、高可用性的组网需求，城域网的总体路由组织原则如下：

• 城域网内部采用ISIS+IBGP协议承载网络和用户路由，ISIS负责全网设备loopback及互联IP地址的互通性为建立IBGP做基础，IBGP则为业务路由提供服务，负责最优的转发路径。
• 城域网CR与省网BR、国干BB之间采用eBGP协议，为用户提供省内、国干、第三方运营商的互通互访，。
• 城域网CR之间的链路原则上不允许业务流量横穿两台CR。
• 城域网BNG/SR/BRAS具备提供L2/L3VPN的业务能力，针对不同业务提供差异化承载能力，如Qos、路由策略、带宽差异化选择。
• 城域网PE-ASBR采用Option B方式与省网BR PE互联，通过loopback接口建立MPLS BGP邻居，并维护所有VPN路由。
• IPv6域内路由选择，在自治域内采用ISIS 作为IGP，并在原有ISIS协议的基础上启用多拓扑特性，同时承载IPv4/IPv6 Loopback和Link路由，IPv4/IPv6用户路由分别采用BGP4和BGP4+传送。
• IPv6域间路由选择，各城域网CR与省网BR、国干BB之间采用BGP4/BGP4+进行交换路由。

对路由优先级/管理距离的定义是帮助为了设备在接收到相同路由条目时候进行选路，在路由条目相同的情况下，优先级低的路由将被选择。

广东移动城域网内路由优先级别的设定按照下面规范：

协议类型	普通静态	EBGP	ISIS	ospf	External OSPF	黑洞路由	IBGP	浮动缺省静态
优先级	5	20	100	110	150	253	200	220

 

1.1.2.1.7.2.城域网IGP路由协议

ISIS是为中间系统（IS）之间交换路由所设计的， ISIS开始只是支持OSI网络层的CLNS(connectionless network protocol)协议。为了提供对IP的支持，IntegratedIS-IS对ISIS进行了修改和扩展，IntegratedIS-IS可以同时支持OSI和IP，和OSPF相比，Integrated IS-IS可以占用更少的资源提供更高的效率。ISIS是一种采用链路状态算法的内部网关路由协议，ISIS和OSPF有很多相似之处，和OSPF相比最大的不同是ISIS提供了更好的扩展性。

在IP城域网核心层和业务控制层IGP路由选择均采用为ISIS协议，并采用ISIS Level-2架构。

运行IGP的设备包括：CR、SR、BRAS、BNG运行IGP。所有的接入网设备，包括二层交换机、OLT等均不参与IGP，其路由可达通过在业务接入控制点上生成用户路由的方式实现。

基于工信部IPv4/v6双栈化部署的要求，需要ISIS在承载IPv4路由的同时，同时承载IPv6路由，实现IPv6 BGP邻居间可达，满足BGP4+的要求。

• ISIS参数规划

在ISIS部署及优化方面，需要综合考虑以下各个方面。

序号	ISIS部署参数
1	ISIS进程名
2	ISIS NET
3	ISIS路由类型
4	ISIS metric type
5	ISIS 接口类型
6	ISIS 负载均衡和管理距离
7	ISIS 邻居加密
8	ISIS metric值规划
9	ISIS默认路由

 

（1）ISIS进程名

ISIS进程标识，是用于对不同的ISIS进程进行区别，同一城域网ISIS process ID保持统一。单机不运行多个ISIS进程，所有设备的ISIS进程名统一命名为49。

（2）ISIS NET

ISIS NET是唯一标识自治系统中的一台ISIS路由器，ISIS NET的格式为“区域ID+系统ID+NSEL”，其中区域ID设置为49.地市固话的区号，例如：49.0755，系统ID采用每台设备本身的Loopback0地址，用十进制形式，每字节用3个十进制位表示，不足3位的在之前用0补足，例如loopback0地址为192.6.7.27，则System ID为：1920.0600.7027。由于NET只涉及到路由承载与交换，不涉及传输层信息，所以NSEL统一配置00即可。

（3）ISIS路由类型

ISIS的路由器类型主要分为level-1、level-2、level-1/2三种，广东移动各地市IP城域网的所有设备全部运行为Level-2下，所有设备类型全部为level-2类型，包括CR、SR、BRAS、BNG等。

（4）ISIS metric type

ISIS协议metric-type分为narrow和wide两种方式，narrow方式是老式metric类型，metric值只能从0—63，不支持MPLS TE。wide方式时ISIS metric可以从1 — 16,777,214 。不同metric-type的ISIS对等体不能建立邻居。对全网开启ISIS协议的设备统一配置Metric的类型为wide。

（5）ISIS 接口类型

ISIS接口类型包括广播和点到点两种类型，默认采用广播类型，在该种模式下，将会产生广播类型的LSP。

IP城域网中SR/BRAS以上各层次间的链路均分配/30掩码的IP地址，不存在广播类型需求，所以IP城域网中的所有运行ISIS的物理接口均要配置为point-to-point模式，不发送广播包以减少LSP泛洪。

链路两端的IS-IS接口的网络类型必须一致，否则双方不可以建立起邻居关系。

若设备不支持，可依旧采用network模式。

Loopback 接口需要 Passive进ISIS域内。

其他明确需通过IGP可达的端口，则需passive进ISIS域内。

• 城域网内互联端口（POS或GE/10GE/100GE）：尽可能设置为Point-To-Point
• 设备的Loopback端口：Passive
• 其他端口：Passive（如确需开启ISIS协议）

（6）ISIS 负载均衡和管理距离

配置ISIS负载均衡条目，可实现流量的负载均衡，所有IP城域网的路由器配置ISIS负载均衡数为8条。

根据全网路由协议优先级规划，可配置ISIS协议优先级/管理距离为100。

（7）ISIS 邻居加密

ISIS邻居链路加密，对ISIS邻居之间的协议报文进行加密和校验。在ISIS邻居之间开启ISIS链路MD5加密，配置相同密钥。

（8）ISIS metric值规划

指定运行ISIS接口的metric值，不使用ISIS自动计算的接口metric值。建议统一设计的Metric设定规范来设定链路的Metric，基于接口手工指定ISIS metric值，使用IGP的Metric来引导流量。

metric规划原则如下：

• 除非极端情况下，核心间的流量不经过任何POP点；
• 可以根据Metric，回溯这段路由所处的网络层次；
• 在双上联其中一根链路中断，使得发生横穿流量时，在核心层穿越；
• 任何情况下，任何流量都不经过RR（RR到核心的Metric远大于其他）。

满足上述原则的Metric设定如下表所示：

链路功能	参考Metric
核心路由器CR之间互联	500
核心路由器CR和RR互联	100000
核心路由器CR和SR互联	1000
核心路由器CR和BRAS互联	1000
核心路由器CR和BNG互联	1000

 

（9）ISIS 默认路由

IP城域网内的业务的上行流量通过ISIS默认路由引导，核心路由器采用非强制下发默认路由的方式引导上行流量。

IP城域网核心路由器CR根据从CMNET-GD学到的BGP默认路由，生成ISIS默认路由，发布到整个ISIS域。当该核心路由器上的BGP默认路由消失后，将不再产生ISIS默认路由。

• 核心层和业务控制层ISIS建立流程

IP城域网在CR与SR/BRAS/BNG之间启用ISIS作为域内路由协议，配置相同MD5秘钥，链路类型设置为点对点模式，所有路由器统一使用Level-2-only只划分单个区域。Area ID格式为49：地市固话区号。ISIS路由管理距离统一手动改为100。

域内设备的互联地址和各设备的带外LOOPBACK地址和带内LOOPBACK均宣告进入ISIS路由协议中。实现城域网内全网互联链路和LOOPBACK互通，这样做的目的是用于设备带内管理和部分协议（BGP等）建立邻居使用。

CR根据策略下发默认路由给各SR/BRAS/BNG。只有当CR上联CMNET BR路由器的直连链路至少存在1条生效时，CR会下发默认路由给各SR/BRAS/BNG；如CR上联CMNET BR路由器的每条链路均失效时，该台CR不再下发默认路由给各SR/BRAS/BNG路由器。

• 城域网ISIS配置示例

isis 86                      #启用isis进程，进程名为86 cost-style wide             #配置isis metric类型为wide circuit-cost 100000         #配置电路默认开销为100000 network-entity 86.0755.1920.0600.7027.00    #配置NET实体地址 is-name GDSZH-MC-IPMAN-RT01-GK-SK preference 100             #配置ISIS协议优先级为100 log-peer-change            # log邻居变化信息 maximum load-balancing 8   #配置最大负载均衡路由数为8 default-route-advertise match default    #配置下发非强制默认路由 interface Pos0/0/0 isis enable 86               #接口下启用ISIS isis circuit-type p2p          #配置接口类型 isis circuit-level level-2       #指定ISIS电路类型为LEVEL-2 isis cost 1000 level-2        #指定电路开销为1000 isis authentication-mode md5 xxxxx     #配置ISIS加密 isis timer hello 10           #配置hello报文发送时间间隔为10s isis timer holding-multiplier 3  #配置holetime时间为30s interface LoopBack0 isis enable 86 isis silent                  #配置端口passive   //配置验证 display isis brief display isis peer display isis interface display isis route

1.1.2.1.7.3.城域网BGP路由协议

广东移动IP城域网部署BGP用于承载业务路由，BGP分为IBGP和EBGP，其中IBGP用于承载各城域网内部的业务路由，EBGP运行于IP城域网和CMNET-GD之间，用于交互彼此的路由，实现跨本地网流量的引导。

• BGP参数规划

（1）BGP部署策略

• 关闭BGP自动路由汇总特性。
• 关闭IGP与BGP的同步。
• 关闭BGP DAMPING，避免路由抑制对业务的影响。
• 关闭 bgp always-compare-med。
• 为避免潜在的路由环路，统一对未携带MED属性的路由视为MED=0。
• 明确配置BGP router-id为Loopback 0地址。
• 根据需要确定BGP Multihop的TTL值，对大部分情况，配置EBGP Multihop为2。
• 记录BGP邻居变化。
• IP城域网以ORIGIN IGP的方式对外发布路由。
• BGP 采用密码建立BGP邻居关系，两端密码一致。
• CR设备使能BGP的multipath功能，路径条目：8
• 配置对CMNET-GD方向的路由过滤。
• 发布给CMNET-GD的路由尽量合并，采用prefix+network+null0的方式发布。
• 使用Loopback地址建立EBGP 关系，不使用接口建立关系
• BGP Timer 参数keepalive和Holdtime定时器统一为60s与180s。

（2）BGP router-id

配置BGP router-id，它是定义唯一标识自治系统中的一台BGP路由器。建议配置BGP router-id地址为loopback0接口的IP地址，不使用BGP协议自动选举的router-id。

（3）关闭BGP同步和自动汇总

在IP城域网中所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。

BGP邻居均采用MD5加密，密钥根据统一规划设置，两端需保持一致。

（4）BGP时间参数

BGP协议的Keepalive和Holdtime定时器，一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文，如果Holdtime时间内没有必到邻居发送的存活报文，就认为这个邻居已死亡，从而结束会话。

（5）BGP Peer group命名规则

广东移动IP城域网的BGP Peer group 的命名规划分为eBGP和iBGP两种，其中eBGP采用的格式为“ebgp+‘-’+网络名称”，如CMNET-GD为ebgp-cmnet。

iBGP采用的格式为“ibgp+‘-’+网络名称+网络层次”，如城域网CR为ibgp-man-cr,城域网RR Client为ibgp-man-rrclient。

（6）BGP Community属性规划

BGP community 路由属性标识是在全网范围内实现策略控制的重要手段，城域网出口路由器和CMNET-GD路由器必须开启传递community 的功能，并为各自通告的路由加入相应的community 标识。

集团公司及省公司对于各地市IP城域网的community进行了明确的规划，分为集团要求的community规划和省内要求的第三方出口community规划，具体如下：

1. 集团要求community规划

集团要求的community规划是集团公司对于各城域网向骨干网发送业务路由时标识的community值，用于识别不同方向的路由，实现溯源、流量调整能目的。

地市	广州	深圳	东莞	佛山	江门	惠州	汕头
团体属性	9808:65270	9808:65291	9808:65292	9808:65277	9808:65275	9808:65283	9808:65286
地市	珠海	中山	韶关	河源	梅州	汕尾	阳江
团体属性	9808:65280	9808:65279	9808:65271	9808:65284	9808:65289	9808:65285	9808:65276
地市	湛江	茂名	肇庆	清远	潮州	揭阳	云浮
团体属性	9808:65281	9808:65282	9808:65273	9808:65272	9808:65290	9808:65288	9808:65274

1. 第三方出口community规划

第三方出口community规划是省公司对于省内多个出口（集团出口、NAT第三方出口、非NAT第三方出口）存在的情况下，通过省网部署SCU/DCU技术，实现城域网流量的灵活调整而制定的规范，城域网通过调整community值，实现某些源地址是否通过第三方出口疏导。

第三方出口community由两部分组成，即业务类型+地市标识，城域网出口在进行配置时需要同时标识，具体规划如下：

业务类型	团队属性
移动家庭宽带	56040:201
WLAN	56040:202
互联网专线	56040:203
社区WLAN	56040:205
铁通IP家庭宽带	56040:211
铁通IP专线	56040:213

业务类型community规划

地市	广州	深圳	东莞	佛山	江门	惠州	汕头
团体属性	56040:50202	56040:57552	56040:57692	56040:57572	56040:57502	56040:57522	56040:57542
地市	珠海	中山	韶关	河源	梅州	汕尾	阳江
团体属性	56040:57562	56040:57602	56040:57512	56040:57622	56040:57532	56040:56602	56040:56622
地市	湛江	茂名	肇庆	清远	潮州	揭阳	云浮
团体属性	56040:57592	56040:56682	56040:57582	56040:57632	56040:57682	56040:56632	56040:57662

地市标识community规划

（7）与CMNET-GD的路由策略

配置CR设备与CMNET-GD的BGP 路由策略，用于实现改变网络流量所经过的途径，也就是为用户选取最优及最适合的路径。

IP城域网->CMNET-GD：通告IP城域网内所有的聚合路由（粗路由）。

CMNET-GD->IP城域网：通告缺省路由，如有特殊需求的IP城域网可通告全路由，

（8）BGP负载均衡条目和修改BGP下一跳

缺省情况下，最大等价路由的条数为1，根据IP城域网规划，需将最大负载均衡值为8（maximum load-balancing number 8）。

CR向城域网其他IBGP对等体（组）通告路由时，需把下一跳属性修改为自身的IP地址。

（9）BGP路由宣告方式

IP城域网的BGP路由宣告方式要求如下：

CR：CR尽量聚合城域网内所有路由，然后通过BGP network+静态黑洞路由+白名单前缀列表的方式进行宣告。

BRAS/BNG：BRAS/BNG上的用户地址，原则上需要通过BGP network+静态黑洞路由的方式进行宣告，如无法汇总用户路由通过BGP重分布静态路由+白名单前缀列表的方式实现宣告。

SR：对于SR的静态路由，所有路由均均增加tag，通过策略匹配tag后重分发进BGP，对于直联路由，直接重分发进BGP，建议通过路由策略进行限制。

对于双挂SR的客户，需要将业务路由重分发进ISIS，而不是BGP协议。

（10）BGP路由反射器（RR）配置要求

由于BGP协议本身的防环路特性，致使大型网络环境中出现大量IBGP邻居关系，大大增加设备负载，为解决该问题，IETF在RFC 2796和RFC 3065中分别定义了路由反射器和联盟，用于实现BGP在大型网络环境中的部署使用。当前，中国移动各级骨干网，包括CMNET、CMNET-GD等，均采用部署路由反射器的方式来部署域内BGP协议，即在域内部署一组特殊功能叫做路由反射器（Route Reflector，RR）的路由器，它们被允许把路由从一个IBGP宣告者再通告或反射给另一个IBGP宣告者，路由反射器的BGP部署环境中，包含下述三种角色：

• 路由反射器（RR）
• 路由反射器客户（RR Client）
• 路由反射器非客户（non RR Client）

广东移动IP城域网的核心路由器（CR）兼作IPv4和VPNv4路由反射器，与网内所有的SR、BRAS、BNG建立IBGP邻居关系。

规划如下：

• 使用两台CR兼做RR，以减少IBGP session，优化BGP协议；
• 两个RR使用自己的Loopback0地址作为Cluster ID，即采用双Cluster部署方式；
• 两台RR之间用Loopback0建IBGP邻居关系；
• 使用loopback 0地址与其他设备的环回接口设备建立IBGP邻居；
• 两台RR与Client之间部署路由策略，仅允许本城域网内的路由通过；
• 两台RR接受所有邻居发送的BGP路由；

两台RR之间彼此对接对方发送的所有路由条目。

• 核心层与省干和业务控制层BGP建立流程

如上图所示，IP城域网CR与CMNET BR进行互联，并且均使用LOOPBACK接口和多跳与CMNET BR建立EBGP邻居关系。

CR会接收全部CMNET BR发下来的BGP路由条目，同时也从对端CR接收相应的CMNET路由条目，通过BGP选路原则（EBGP路由优于IBGP路由）使两台CR将从CMNET学到的路由放入本地全局路由表中，而从对端CR学到的CMNET路由作为备份路径，但仍存在BGP表中；一旦CR与CMNET BR的BGP邻居断开后，从对端CR学到的CMNET BGP路由变为最优BGP路由，然后放入本地全局路由表中，业务流量将经过两台CR的互联链路流向CMNET。

IP城域网内的不同业务路由发布到BGP时，需携带相对应的community值， CMNET根据CR携带过来的不同的communit值，做相应路由接收和发布处理，CMNET不接收没有或者错误community值的路由条目。一条路由可携带一个或多个community值。

以下为某地市规范的community值如下：

community	代表业务
9808:61560	设备互联
9808:61530	重要集客互联网专线
9808:61460	LTE/IMS信令和VoLTE/IMS语音/流媒体
9808:61290	普通集客互联网专线
9808:61110	WLAN业务
9808:61010	家庭宽带上网业务
56040:199	跨域VPN路由
56040:201	移动家庭宽带
56040:202	WLAN业务
56040:203	互联网专线
56040:205	社区WLAN（家庭CMCC）
56040:239	IPTV业务

 

CR之间和CR与SR/BRAS/BNG之间使用LOOPBACK接口和多跳建立IBGP邻居关系， 同时两台CR兼作路由反射器（RR），打破IBGP水平分割原则，CR将从对端CR、SR/BRAS/BNG收到的IBGP路由发送给另一SR/BRAS/BNG。另外，CR从CMNET收到的EBGP路由转变为IBGP路由发送给各SR/BRAS/BNG和对端CR。

• 城域网BGP配置示例

bgp 65000  router-id 1.1.1.1                 #配置router-id  undo default ipv4-unicast         #关闭所有邻居的IPv4单播地址族  group egbp-cmnet external        #配置对等体/对等体组的类型为EBGP  group ibgp-man-cr internal        #配置对等体/对等体组的类型为IBGP  group ibgp-man-rrclient internal  peer egbp-cmnet as-number 56040  peer egbp-cmnet password cipher xxxx  peer egbp-cmnet valid-ttl-hops 1                 #设置EBGP的跳数  peer egbp-cmnet connect-interface LoopBack0  peer ibgp-man-cr as-number 65000  peer ibgp-man-cr password cipher xxxx  peer ibgp-man-cr connect-interface LoopBack0 peer ibgp-man-rrclient as-number 65000           #配置对端AS号  peer ibgp-man-rrclient password ciper xxxx #配置密钥     peer ibgp-man-rrclient connect-interface LoopBack0#配置BGP更新使用的源接口 peer 2.2.2.2 group egbp-cmnet                       #将peer 2.2.2.2加入ebgp-cmnet组  peer 2.2.2.2 description TO-GDGZ-PB-CMNET-RT01-TXP  #配置peer 2.2.2.2的设备描述  perr 3.3.3.3 group ibgp-man-cr  perr 3.3.3.3 description TO-GDSZ-MC-IPMAN-QQT-RT02-NE5KE  peer 4.4.4.4 group ibgp-man-rrclient    peer 4.4.4.4 description GDSZH-MS-IPMAN-GT-SR01-NE80E  peer 5.5.5.5 group ibgp-man-rrclient  peer 5.5.5.5 description GDSZH-MS-IPMAN-GT-BRAS01-ME60       ipv4-family unicast   reflector cluster-id 1.1.1.1         #设置RR的cluster-id，取值本设备的loopback管理IP   preference 20 200 200            #设置EBGP的优先级为20、IBGP的优先级为200   undo synchronization             #关闭同步   undo summary automatic         #关闭自动聚合功能   maximum load-balancing 8        #配置BGP 最大等价路由条数为8   peer egbp-cmnet enable           #使能IPv4地址族   peer egbp-cmnet advertise-community   #将标准团体属性传给对等体/对等体组   peer egbp-cmnet advertise-ext-community  #将扩展团体属性传给对等体/对等体组   peer ibgp-man-cr enable    peer ibgp-man-cr advertise-community    peer ibgp-man-cr advertise-ext-community  peer ibgp-man-cr next-hop-local #配置下一跳为自己 peer ibgp-man-rrclient enable   peer ibgp-man-rrclient advertise-community peer ibgp-man-rrclient advertise-ext-community   peer ibgp-man-rrclient reflect-client     #配置路由反射器及其客户   peer ibgp-man-rrclient next-hop-local  #配置下一跳为自己   peer ebgp-cmnet route-policy Export_SZ-MAN-ROUTE export #增加与CMNET路由策略 peer ibgp-man-rrclient route-policy rpToRRClient export  #增加与SR/BRAS路由策略   network 8.0.0.0 255.255.0.0         #发布聚合后的IP地址段   network 9.0.0.0 255.255.0.0   network 10.0.0.0 255.255.0.0   network 20.0.0.0 255.255.255.0    ipv4-family vpnv4   reflector cluster-id x.x.x.x  #cluster-id为本设备的loopbackIP, 两台CR不同   undo policy vpn-target   peer egbp-cmnet enable   peer egbp-cmnet route-policy PB-MPLS-VPN_in import   peer egbp-cmnet route-policy PB-MPLS-VPN_out export   peer egbp-cmnet advertise-community   peer ibgp-man-rrclient reflect-client #配置路由反射器及其客户   peer ibgp-man-rrclient enable         #使能vpnv4地址族   peer ibgp-man-rrclient advertise-community  #将标准团体属性传给对等体/对等体组   peer ibgp-man-cr enable   peer ibgp-man-cr advertise-community   ip route-static 8.0.0.0 255.255.0.0 null 0 preference  253 tag 180   #配置黑洞路由  ip route-static 9.0.0.0 255.255.0.0 null 0 preference  253 tag 180  ip route-static 10.0.0.0 255.255.0.0 null 0 preference  253 tag 180 ip route-static 20.0.0.0 255.255.255.0 null 0 preference  253 tag 180   route-policy Export_SZ-MAN-ROUTE permit node 10        #配置至CMNET路由策略   if-match ip-prefix SZ-MAN-3TH-NAT                     #匹配第三方出口的ip-prefix   apply community 56040:201 56040:57552               #增加community标识   route-policy Export_SZ-MAN-ROUTE permit node 20        #配置至CMNET路由策略   if-match ip-prefix SZ-MAN-ROUTE                      #匹配ip-prefix   apply community 9808:65291                          #增加集团规划community标识   ip ip-prefix SZ-MAN-ROUTE index 10 permit 8.0.0.0 16   #地址长度与相应黑洞路由一致 ip ip-prefix SZ-MAN-ROUTE index 20 permit 9.0.0.0 16 ip ip-prefix SZ-MAN-ROUTE index 30 permit 10.0.0.0 16 ip ip-prefix SZ-MAN-ROUTE index 40 permit 20.0.0.0 24    ip ip-prefix SZ-MAN-3TH-NAT index 10 permit 20.0.0.0 24   ip as-path-filter 1 permit ^$             #配置本AS起源的路由过滤 route-policy rpToRRClient permit node 10  if-match as-path-filter 1 //配置验证 display cur display bgp group display bgp network display bgp peer display bgp routing-table display bgp routing-table statistic display bgp vpnv4 brief display bgp vpnv4 routing-table display bgp vpnv4 routing-table statistic display ip as-path-filter display ip ip-prefix display route-policy

 

1.1.2.1.7.4.静态路由和黑洞路由

• 静态路由规划

在城域网内，所有设备配置静态路由，对优先级/管理距离值进行统一标准，静态路由优先级/管理距离配置为5。

目前在城域网内使用静态路由有以下业务/管理：

1、设备访问网管网路由

2、大客户业务（BGP+静态）

3、针对省干和国干设备的Loopback地址进行静态指向

• 黑洞路由规划

在CR核心出口路由器上配置黑洞路由，是用于将地市城域网段的BGP路由发布给CMNET-GD。

在CR核心路由器上配置IP城域网网段的指向NULL0的黑洞路由，用于BGP协议将城域网网段发布给CMNET-GD，配置优先级为253,并标记为tag 180。

CR核心路由器上的IP城域网的黑洞路由严禁注入到ISIS中。

IP城域网两台CR出口路由器上配置的黑洞路由原则上必须完全相同，以避免流量不均衡。

• 城域网静态和黑洞路由配置示例

ip route-static default-preference 5    #全局一条命令修改静态路由的默认优先级为5 ip route-static 1.1.1.1 255.255.255.255 gi 1/0/0 192.168.1.2  tag 180  #同时指定下一跳地址和出接口 ip route-static 172.16.0.0 255.255.0.0 null0 preference 253  #黑洞路由在除CR之外的路由器上通常不需要配置，已经配置的黑洞路由严禁注入ISIS   检查命令： display ip routing-table protocol static

1.1.2.1.8.IPv6部署方案

中办、国办在2017年底发布了《推进互联网协议第六版（IPv6）规模部署行动计划》。国资委、工信部于2018年分别下发了贯彻落实行动计划的通知，提出了相关具体要求。

根据国资委、工信部指示，中国移动集团提出总体目标：实现LTE、家庭宽带、专线用户的IPv6业务承载能力，全面发展移动互联网IPv6用户，实现企业门户网站、网上营业厅、移动互联网重点应用支持IPv6功能，打造可管理、可运营、具备安全保障的业务网络。

1.1.2.1.8.1.IPv6地址规划设计

• IPV6地址规划原则

中国移动的IPv6地址规划原则如下：

• 满足国家的监管相关要求

地址规划符合国家相关要求，满足行标《YD/T 2682-2014 IPv6接入地址编址编码技术要求》

• 符合路由聚合原则

为保证IP网络的整网运行效率，简化各路由节点的路由表，在规划IPv6地址的过程中，应尽量保证全国骨干网、各省公司地址的连续性，按网络和地域规划连续的IP地址块。对某些具有安全等特殊要求的业务网络可以考虑为其规划一个连续的地址段。

• 满足用户增长和业务发展的长远需求

充分考虑用户增加和业务增长的需求，对未来地址需求进行分析，为每类业务或用户预留足够空间，以便更好地实现地址聚合。

• IPv6地址规划思路

IPv6地址规划的整体思路：

1、IPv6整体地址空间由集团统一规划、管理，地址规划以业务使用为导向，以方便全网策略部署和路由控制为原则；

2、省内具体的IPv6地址使用由各省根据集团规划原则进行规划、分配；

3、网络地址和业务平台地址一次规划到位，使用现有的/24地址，短期内不再为其规划新增；后续申请的IPv6地址全部作为用户地址使用。

IPv6地址规划总体目标如下：

1、满足未来3到5年内网络、业务发展对地址的需求；

2、提高路由效率，彻底解决地址零散、路由无法汇聚等问题；

3、方便网络维护，实时、快速掌握IPv6地址使用情况；

4、通过合理、高兴的地址规划可以更好地支撑业务、网络及用户的发展。

本规划针对IPv6可汇聚全球单播地址，共128比特，分为子网前缀和接口ID两部分，如图1所示。子网前缀由IANA、ISP和各组织分配；接口标识符为64比特，可以由本地链路标识生成或采用随机算法生成以保证唯一性。

IPv6地址结构图

中国移动公司申请的IPv6地址范围为：2409:8000::/20，前20位为固定前缀，前21-64位前缀规划标识地址类型、网络类型、地域等信息。

• IPv6地址用途划分

按照地址用途划分为网络地址与用户地址。下图说明用户地址与网络地址各自在网络中配置的位置，红色框属于用户地址，蓝色框属于网络地址。用户地址还包括PGW、GGSN、AC、BRAS等接入控制设备地址池中的地址。

用户地址与网络地址在网络中配置的位置图

根据国家对用户地址管理的监管要求，用户地址和网络地址采用不同的规划,具体方案如下：

• 网络地址规划

网络地址规划具体结构如下图所示：

IPv6网络地址规划方案图

1. 类型标识（21-24）：4比特，网络地址的类型标识固定为0000，其他编码用于标识用户地址。
2. 省与专业公司标识（25-32）：8比特，用于区分集团总部、省公司以及专业公司。按各省用户数规模划分，每省标示数为2/4/8。广东移动分配的省与专业公司标识范围是0x28至2F。
3. 网络及专业标识（33-40）：8比特，用于区分省公司不同的网络及专业，见下表。

序号	二进制	十六进制	所属网络	地址用途
1	0000 0000	00 (01-07预留)	CMNET	CMNET骨干网、省网、城域网设备地址
2	0000 1000	08 (09-0F预留)		CMNET自有业务平台（彩信网关、短信网关、业务基地、物联网业务平台等，不含IDC内的业务平台）
3	0001 0000	10 (11-17预留)		固定宽带接入网（BRAS、OLT、多业务接入终端等）
4	0001 1000	18 (19-1F预留)		WLAN接入网设备地址（AC、AP、防火墙等）
5	0010 0000	20 (21-27预留)		DNS、Radius、Portal设备地址
6	0010 1000	28 (29-2F预留)		接入CMNET的核心网设备地址
7	0011 0000	30 （31-37预留）		IDC设备及其内部自有业务平台地址
8	0011 1000	38 （39-3F预留）		接入到CMNET的云平台
9	0100 0000	40 （41-47预留）	无线网与传送网	无线网络设备地址，PTN设备地址
10	0100 1000	48 （49-4F预留）	IP专网	IP专网/承载网设备地址（含CR/BR/AR/RR/CE之间互联和loopback地址，不含CE下联地址；此处CE不含集客CE;不含VPN）
11	0101 0000	50 （51-57预留）		接入IP专网的核心网设备，预留8个
12	0101 1000	58 （59预留）		OA网地址，预留2个
13	0101 1010	5A （5B预留）		网管网设备地址，预留2个
14	0101 1100	5C （5D预留）		业务支撑网地址，预留2个
15	0110 000	60 （61-67预留）		接入IP专网的业务系统（包括云平台）
16	0110 1110 –0110 1111	5E-5F	预留	预留
17	0111 1000- 1111 1111	70-FF	预留	预留

 

• 区域或网络层级标识（41-44/41-48）：4/8比特，由省公司规划和管理，使用4比特或8比特用于区分省内区域或网络层级。地市或区域标识从第41位开始规划。为设备分配地址时，网络地址的分配依据设备的物理位置及管理归属，从设备所属区域或管理归属地址段中分配。建议规划省级地址段用于省管设备，如GGSN/PGW地址使用省级地址段。
• 区域内地址空间（45-64/49-64）：20/16比特，由省公司内部规划管理。

移动集团规定IPv6地址中使用41-64的24位地址用于地市公司规划，广东省规划用此地址来标识设备归属、地址类型等。

设备归属：41-48的8位地址用于标识设备所属区域，网络类型包括：省网、21地市、南方基地等。

地址类型：49-52的4位地址用于标识设备类型，设备类型包括：路由器、交换器、防火墙、服务器等

具体地址：53-64的12位地址用于标识设备序号/主机地址，各网络专业根据需求自主规划。

• 用户地址规划

用户地址规划具体结构所示：

IPv6用户地址规划方案

• 类型标识（21-24）：4比特，除网络地址编码0000外，用户地址的类型标识共15个，用于区分不同用户的网络类型，目前启用7个/24前缀的IPv6地址段，

用户地址类型二进制编码规划表

序号	类型标识	地址用途
1	0001	IP专网 /VoLTE用户地址（LTE语音业务）
2	0111	集客专线用户地址
3	1001	LTE/IMS用户地址（LTE上网业务）
4	1010	家庭宽带用户地址
5	1011	WLAN用户地址
6	1100	IDC集客用户地址（不含IDC内的自有业务平台）
7	1101	物联网用户地址-通用APN
8	1110	物联网用户地址-专用APN
预留	1000，1111， 0010～0110	预留地址段

• 省公司标识（25～32）：8比特，用于区分省公司。用户地址规划中不再为集团总部和专业公司分配编码。

	用户地址——省标识编码表
序号	二进制	十六进制	省份	省标识数量	省内单个区县标识数**	省内单个区县标识数总量***
1	0101 0100-0101 1011	54-5B	广东	8	2	16

 

• 区县标识（33～40）：8比特，用于标识区县。根据国家要求，在地址规划中嵌入8比特区县编码，具体编码表参见CCSA行标《YD/T 2682-2014 IPv6接入地址编址编码技术要求》。
• 区县地址空间（41-64）：24比特，由省公司内部规划管理。
  • IPv6前缀分配粒度

（1）网络地址分配粒度

网络设备包括路由器、交换机、核心网等网络管理设备，也包括IDC、DNS和业务平台中的服务器等这些为公众或大规模客户提供服务，并由ISP负责运维的服务器。

对于路由器、交换机以及核心网设备，地址配置粒度如下：

设备的Loopback地址，手工配置/128地址；

设备的链路接口地址，一个链路的两个接口配置一个/127地址，相关接口应关闭子网任播地址（Subnet-Router Anycast）功能。

对于IDC、DNS和业务平台中的服务器设备，按照业务系统内部组网需求，自行规划掩码长度。

编号	ISIS相关数据	配置
1	Loopback接口	根据规划配置128位ipv6地址
2	互联接口	根据规划配置127位ipv6互联地址 ipv6 mtu，参考ipv4配置 自动生成link-local地址
3	VRRPV6接口地址	接口地址根据规划配置125位ipv6地址 选取网段内一个地址作为vrrp6虚地址 vrrp6需自定义一个Link-local虚地址，使用FE80::1和FE80::2。上级设备使用FE80::1。
4	互联接口地址	不同层级设备由下层向上层设备分配IPV6地址：使用下游层级设备的互联地址空间，分配地址的设备本端采用::0/127,即下级设备使用::0/127，上级设备使用::1/127。 不同层级定义：国干>BR>CMNET-CR>EPC-FW>EPC-CE， 国干>BR>城域网CR>BAS/BNG/SR。 比如：BR连接城域网CR，BR使用地址2409:8055:0002:XXXX::1/127，城域网CR使用2409:8055:0002:XXXX::0/127 同级设备互联：由大ID设备向小ID设备(ID即IPV4 loopback地址)分配互联地址，大的设备使用::0/127，设备ID小的设备使用::1/127。 比如：同一对儿设备中 01设备使用2409:8028:0002:0FXX::0/127， 02设备使用2409:8028:0002: 0FXX::1/127

 

（2）用户地址分配粒度

1. VoLTE

为VoLTE用户分配/64前缀；

1. LTE

为手机终端分配/64前缀；

对MiFi，或手机作为热点使用时，为其地址池分配/60前缀；

1. WLAN

为WLAN网络中的PC机或手机终端，分配/64前缀；

1. 家庭宽带

为家庭宽带网络中的PC机终端分配/64前缀；

对于家庭宽带中的家庭网关设备，为其地址池分配/60前缀；

1. 集团客户

对于集团客户CE，上行接口一般手工配置固定地址，可根据需要配置/64或/128地址；下行接口可根据客户需求与用户规模分配/60或/56或/52，如需分配更短的前缀需向总部单独申请。

• IPv6地址核算模型

1、网络设备分配的IPv6地址数量如下：

网络设备包括路由器、交换机、核心网等网络管理设备，也包括IDC、DNS和业务平台中的服务器等这些为公众或大规模客户提供服务，并由ISP负责运维的server。

网络设备的loopback地址，可手工配置/128地址；一条链路上两个接口的互联地址，可配置一个/127地址。

2、集团客户专线分配的IPv6地址数量根据客户需求与用户规模分配/60或/56或/52，更短的长度需要单独向集团申请。

3、WLAN用户分配IPv6地址时，因IPv6地址相对IPv4充裕，可考虑给予每个WLAN用户一个/64的IPv6地址，并结合WLAN活跃用户数综合考虑。

4、有线宽带用户分配IPv6地址时，因IPv6地址相对IPv4充裕，可考虑给予每个宽带用户一个/60的 IPv6地址，并按照规划发展的用户数进行地址分配。

5、IDC业务分配IPv6地址时，按照实际IDC设备台数和地址需求量进行地址分配。

6、为避免网络地址发布大量过细路由，对于IDC、DNS、业务平台等接入CMNET骨干网或省网的业务系统，每个接入节点以/64为最小接入单位。针对不同规模的业务系统具体建议如下：

（1）设备管理地址：同一区域内设备分配1个/64前缀，每台设备分配1个地址，掩码为/128。

举例：某平台内所有设备的管理地址前缀为2409:8080:0801::/64，第一台设备的管理地址为2409:8000:0801::1/128,第二台设备的管理地址为2409:8000:0801::2/128。

（2）网络设备间互联地址：每条互联链路分配1个/64前缀，掩码为/127，本端地址为0、对端地址为1。

举例：某网络或平台第一对互联地址，本端为2409:8080:0801:0001::0/127、对端为2409:8080:0801:0001::1/127；第二对互联地址，本端为2409:8080:0801:0002::0/127、对端为2409:8080:0801:0002::1/127。

（3）业务或平台地址规划：根据平台内组网及业务需要确定地址前缀，建议每个业务系统分配/60或/56地址。

举例：某业务或平台申请地址段为/56，设备管理地址分配第1个/64，网络设备间互联地址分配多个/64，每个业务VLAN用分配1个/64前缀。

1.1.2.1.8.2.IPv6路由规划设计

广东移动CMNET/城域网网络架构：省网BR、各地市城域网CR和地市接入层BNG/BRAS/SR。省核心层为8台BR，实现IPV4/IPv6业务同CMNET对接；地市核心层为2台城域网CR，负责各地市BNG/BRAS/SR的汇聚，并连接省核心BR：地市接入层由多台BRAS和SR(或融合BNG)组成，实现全业务的汇接。

城域网路由协议涉及BGP/BGP4+、ISIS/ISISv6、静态路由。

BGP：省网BR和地市城域网CR部署EBGP/EBGP4+协议，省核心层部署独立路由反射器用于CMNET省网域内IBGP反射路由信息，BGP/BGP4+将承载所有客户IPv4/IPv6业务网段路由；业务平台路由器和BR对接也采用BGP/BGP4+协议；省核心BR与CMNET国干BB、IDC等设备之间采用EBGP/EBGP4+协议。

ISIS ：省核心层、地市核心层、以及地市汇聚层设备运行ISIS/ISISv6，LOOPBACK地址和设备互联地址。

静态路由：省核心层和地市核心层业务网段黑洞聚合；地市CR去往CMNET国干设备loopback地址路由；业务系统CE至业务服务器之间的路由。

• ISISv6部署
  • ISISv6参数规划

广东移动CMNET及城域网使用ISISv6协议作为IGP路由协议，CMNET 核心BR、地市CMNET-CR、RR之间，城域网CR、BRAS/BNG、SR之间分别划分到各自的 ISISv6-LEVEL2 区域，参与 ISISv6.L2 路由。具体规划如下：

• CMNET地市CR互联接口、上行接口以及loopback接口启用 ISISv6-L2 ；
• 城域网地市BNG/BRAS/SR上行接口以及loopback接口启用 ISISv6-L2 ；
• 城域网ISISv6与现网ISIS共用进程号86，CMNET ISISv6与现网ISIS共用进程号1。
• NET 与现网保持一致，采用如下格式：区号.IP 地址.00
• 设备互联接口均通过MD5加密，加密密钥保持和现网V4保持一致。
• 城域网地市CR通过ISISv6非强制下发缺省路由。
• 接口ISISv6的cost与现网V4 ISIS保持一致。
  • 城域网ISISv6配置示例

城域网 CR ISIS实例配置

Ø   isis进程配置 isis 1 ipv6 enable topology ipv6  //IPv4与IPv6的SPF计算在各自的拓扑中单独进行 ipv6 preference 100   //参考IPv4配置协议优化级 ipv6 circuit-cost 100000  //配置接口默认的开销值 ipv6 default-route-advertise match default avoid-learning # Ø   Loopback口地址配置 interface LoopBack0                                             ipv6 enable  ipv6 address X:X::X/128                                                isis ipv6 enable 1 # Ø   物理接口配置 interface Eth-Trunk1                        ipv6 enable ipv6 address auto link-local  ipv6 address X:X::1/127  isis ipv6 enable 1 isis ipv6 cost 1000 level-2 ipv6 netstream inbound  //IPv6 netstream采样，CR建议配置，BRAS\SR可不用配置 statistic mode forward   //v4/v6 流量区分统计，CR\BRAS\SR建议配置

 

城域网BRAS/SR/BNG ISIS实例配置

Ø   isis进程配置 isis 86 ipv6 enable topology ipv6  //IPv4与IPv6的SPF计算在各自的拓扑中单独进行 ipv6 preference 100   //参考IPv4配置协议优化级 ipv6 circuit-cost 100000  //配置接口默认的开销值 # Ø   Loopback口地址配置 interface LoopBack0                                             ipv6 enable  ipv6 address X:X::X/128                                                isis ipv6 enable 86 # Ø   物理接口配置 interface Eth-Trunk1                        ipv6 enable ipv6 address auto link-local  ipv6 address X:X::X/127  isis ipv6 enable 86 isis ipv6 cost 1000 level-2 ipv6 netstream inbound statistic mode forward  //v4/v6流量区分统计，CR\BRAS\SR\BNG建议配置

 

• 静态路由部署
  • 默认路由

在广东移动城域网内，无需手工配置，城域网CR会采用省网动态下发的BGP默认路由。

• 黑洞路由

在广东移动城域网内，黑洞路由使用在汇聚某个地市城域网内的用户地址和网络地址

配置如下： ipv6 route-static X:X:: XX NULL0 preference 253

 

• 静态路由

在广东移动城域网内，静态路由使用在包含城域网CR去往CMNET省网\国干设备loopback地址路由和各设备上业务系统回程静态路由。

配置如下： ipv6 route-static X:X:: XX Y:Y::Y

 

• 城域网BGP4+部署
  • BGP4+参数规划

广东移动省核心层和地市核心层、汇聚层部署BGP/BGP4+协议，BGP/BGP4+将承载所有客户IPv4/IPv6业务网段路由；各个业务平台路由器和BR对接也采用BGP/BGP4+协议；省核心BR与城域网CR设备之间采用EBGP/EBGP4+协议。有如下设计要求：

• BR及CMNET-CR之间通过广深各一台独立RR进行路由反射；
• 省干8台BR均与国干新旧平面对接，接收默认路由和明细路由。
• 省干BR与地市核心城域网CR之间的IPv6业务路由通过EBGP4+承载。
• 地市的BRAS、SR的各IPv6业务路由通过BGP4+承载。
• IPv6业务在地市核心城域网CR通过静态路由聚合发布进EBGP4+。
• BR上配置本省的所有IPV6地址以/32位黑洞路由，通过network+发送到国干。
• 全省的IPv6业务和网络地址路由在省核心BR通过静态黑洞聚合发布，并通过进EBGP4+发布给CMNET骨干设备；由此来引导下行流量。
• 地市核心城域网CR做本地市所有BNG/BRAS/SR的路由反射器，两台城域网CR之间建立普通的iBGP4+邻接关系。
• CMNET省核心层级地市CR设备通过独立RR反射所有路由，两台RR之间建立普通的iBGP4+邻接关系。
  • BGP4+路由发布方式
  • BGP4+路由策略设计
  • BGP4+配置示例

1、开启BGP协议双栈配置模板   1.1 建立CR--BR的EBGP邻居模板和收发路由策略：   #配置匹配CR上行直连BR的loopback0 IPv6地址及缺省IPv6地址前缀列表 ip ipv6-prefix default-route-V6 index 10 permit :: 0 ip ipv6-prefix nei-XX-BRXX index 10 permit XXXX:XXXX:XXXX:XXXX::X 128　 #配置路由策略，当收到来自BR的EBG路由且是缺省路由时将此条缺省路由优先级修改为20 route-policy ChangeDefaultRoutePreference-V6 permit node 10  if-match ipv6 address prefix-list default-route-V6  if-match ipv6 route-source prefix-list nei-XX-BRXX  apply preference 20 #其余所有BGP路由优先级修改为200 route-policy ChangeDefaultRoutePreference-V6 permit node 20  apply preference 200   本地市前缀列表中的路由前缀，并应用团体属性 route-policy Export-XX-MAN-ROUTE-ipv6 permit node 5  ///XX按地市简称配置  if-match ipv6 address prefix-list XX-MAN-ROUTE-LO0&HULIAN-ipv6  apply community 9808:65270             /// 黄色部分为本城域网团体属性 # route-policy Export- XX -MAN-ROUTE-ipv6 permit node 10  if-match ipv6 address prefix-list XX -MAN-ROUTE-ipv6  apply community 9808:61010 9808:65270   //V6 communit 团体属性    # route-policy Import-CMNET-MAN-ROUTE-ipv6 deny node 10  if-match ipv6 address prefix-list XX -MAN-ROUTE-ipv6 # route-policy Import-CMNET-MAN-ROUTE-ipv6 deny node 20  if-match ipv6 address prefix-list XX -MAN-ROUTE-LO0&HULIAN-ipv6 # ip ipv6-prefix XX -MAN-ROUTE-LO0&HULIAN-ipv6 index 5 permit XXXX:XXXX:XXXX:XXXX::X 48 IPv6业务地址前缀列表 ip ipv6-prefix XX -MAN-ROUTE-ipv6 index 10 permit 2409:8A55:: 40 XXXX:XXXX:XXXX:XXXX::X  40 IPv6业务地址前缀列表   #并在bgp IPv6单播下引用此策略   bgp <本城域网AS号>  group ebgp-cmnet-ipv6 external  peer ebgp-cmnet-ipv6 as-number 56040  peer ebgp-cmnet-ipv6 description TO-BR  peer ebgp-cmnet-ipv6 connect-interface LoopBack0 xx <本台设备 loopback0 V6地址>  peer ebgp-cmnet-ipv6 password cipher xxxxxx    //xxxxxx为BGP邻居秘钥    peer <BR1 loopback0 V6地址> group ebgp-cmnet-ipv6  peer <BR1 loopback0 V6地址> description TO-[GDSZH-PB-CMNET-BR01-NE5KE-BG]    //BR1或BR2的设备名  peer <BR1 loopback0 V6地址> valid-ttl-hops 1     #  ipv4-family unicast  undo peer ebgp-cmnet-ipv6 enable #  ipv6-family unicast   undo synchronization    preference route-policy ChangeDefaultRoutePreference-V6 //与原有的preference 200 200 200等配置互斥   maximum load-balancing 8   network 2001:E80:4B80:: 40       //通过network方式宣告本城域网IPv6汇总网段   network 2001:E80:4B80:: 40   network 2001:E80:4B80:: 40   network 2001:E80:4B80:: 40   peer ebgp-cmnet-ipv6 enable   peer ebgp-cmnet-ipv6 advertise-community   peer ebgp-cmnet-ipv6 advertise-ext-community   peer ebgp-cmnet-ipv6 route-policy Import-CMNET-MAN-ROUTE-ipv6 import   peer ebgp-cmnet-ipv6 route-policy Export-GZ-MAN-ROUTE-ipv6 export   peer <BR1 loopback0 V6地址> enable   peer <BR1 loopback0 V6地址> group ebgp-cmnet-ipv6   ipv6 route-static 2001:E80:4B80:: 40 NULL0 preference 253 tag 180  //配置本城域IPv6汇总路由，用于BGP路由宣告   bfd GZBRXX-0X-V6 bind peer-ipv6 XXXX:XXXX:XXXX:XXXX::X interface 100GEX/X/X/X source-ipv6 XXXX:XXXX:XXXX:XXXX::X  auto  ipv6 route-static XXXX:XXXX:XXXX:XXXX::X 128 100GE1/16/0/1 XXXX:XXXX:XXXX:XXXX::X track bfd-session GZBRXX-0X-V6 description To_GDGZ-PB-CMNET-BR01-NE5KE-XDS ///静态路由部署BFD   注：黄色部分按照实际设备进行描述 //配置到省网BR1 或loopback0静态路由，用于建立EBGP邻居关系,     1.2 建立CR--CR的IBGP邻居模板和收发路由策略：   bgp <本城域网AS号>  group ibgp-man-cr-ipv6 internal  peer ibgp-man-cr-ipv6 description TO-CR  peer ibgp-man-cr-ipv6 connect-interface LoopBack0 xx <本台设备 loopback0 V6地址>  peer ibgp-man-cr-ipv6 password cipher gmcc@10086    //gmcc@10086为BGP邻居秘钥    peer <CR2 loopback0 V6地址> as-number <本城域网AS号>  peer <CR2 loopback0 V6地址> group ibgp-man-cr-ipv6  peer <CR2 loopback0 V6地址> description TO-[GDSZH-MC-IPMAN-RT01-XL-HW]   //CR2设备名   #  ipv4-family unicast  undo peer ibgp-man-cr-ipv6 enable #  ipv6-family unicast undo synchronization    preference route-policy ChangeDefaultRoutePreference-V6 //与原有的preference 200 200 200等配置互斥   maximum load-balancing 8 // 统一8条   peer ibgp-man-cr-ipv6 enable   peer ibgp-man-cr-ipv6 advertise-community   peer ibgp-man-cr-ipv6 advertise-ext-community   peer ibgp-man-cr-ipv6 next-hop-local   peer ibgp-man-cr-ipv6 keep-all-routes   peer <CR2 loopback0 V6地址> enable   peer <CR2 loopback0 V6地址> group ibgp-man-cr-ipv6     1.3 建立CR--BRAS\SR\BNG的IBGP邻居模板和收发路由策略：   bgp <本城域网AS号>  group ibgp-man-rrclient_v6 internal  peer ibgp-man-rrclient_v6 description TO-BRAS_SR  peer ibgp-man-rrclient_v6 connect-interface LoopBack0 xx <本台设备 loopback0 V6地址>  peer ibgp-man-rrclient_v6 password cipher xxxxxx    //xxxxxx为BGP邻居秘钥    peer <BRAS loopback0 V6地址> as-number <本城域网AS号>  peer <BRAS loopback0 V6地址> group ibgp-man-rrclient_v6  peer <BRAS loopback0 V6地址> description TO-[GDSZH-MS-IPMAN-BNG01-XL-HW]    //BRAS设备名    peer <SR loopback0 V6地址> as-number <本城域网AS号>  peer <SR loopback0 V6地址> group ibgp-man-rrclient_v6  peer <SR loopback0 V6地址> description TO-[GDSZH-MS-IPMAN-SR03-XL-HW]    //BRAS设备名   #  ipv4-family unicast  undo peer ibgp-man-rrclient_v6 enable #  ipv6-family unicast    undo synchronization    preference route-policy ChangeDefaultRoutePreference-V6 //与原有的preference 200 200 200等配置互斥   maximum load-balancing 8 // 统一8条   peer ibgp-man-rrclient_v6 enable   peer ibgp-man-rrclient_v6 advertise-community   peer ibgp-man-rrclient_v6 advertise-ext-community   peer ibgp-man-rrclient_v6 next-hop-local   peer ibgp-man-rrclient_v6 reflect-client   peer <BRAS loopback0 V6地址> enable   peer <BRAS loopback0 V6地址> group ibgp-man-rrclient_v6   peer <SR loopback0 V6地址> enable   peer <SR loopback0 V6地址> group ibgp-man-rrclient_v6

IPv6地址规划的整体思路：

1、IPv6整体地址空间由集团统一规划、管理，地址规划以业务使用为导向，以方便全网策略部署和路由控制为原则；

2、省内具体的IPv6地址使用由各省根据集团规划原则进行规划、分配；

3、网络地址和业务平台地址一次规划到位，使用现有的/24地址，短期内不再为其规划新增；后续申请的IPv6地址全部作为用户地址使用。

IPv6地址规划总体目标如下：

1、满足未来3到5年内网络、业务发展对地址的需求；

2、提高路由效率，彻底解决地址零散、路由无法汇聚等问题；

3、方便网络维护，实时、快速掌握IPv6地址使用情况；

4、通过合理、高兴的地址规划可以更好地支撑业务、网络及用户的发展。

本规划针对IPv6可汇聚全球单播地址，共128比特，分为子网前缀和接口ID两部分，如图1所示。子网前缀由IANA、ISP和各组织分配；接口标识符为64比特，可以由本地链路标识生成或采用随机算法生成以保证唯一性。

IPv6地址结构

中国移动公司申请的IPv6地址范围为：2409:8000::/20，前20位为固定前缀，前21-64位前缀规划标识地址类型、网络类型、地域等信息。

1.1.2.1.8.3.IPv6业务设计

• 家庭宽带业务
  • 双栈场景

广东移动宽带接入网目前基本实现FTTX接入，由汇聚交换机、PON OLT和MxU、家庭网关和用户PC组成。对于普通家庭宽带用户，采用PPPOE的接入方式，用户的接入认证请求在BRAS终结，BRAS通过RADIUS协议与AAA系统交互进行用户认证。

 如图所示家庭宽带用户采用双栈PON接入场景，根据用户家庭网关HGW的工作模式差别

场景一：用户采用路由型家庭网关，需要支持IPv6拨号能力，由HGW发起PPPOE连接请求通过NDP协议获取WAN口IPv6独享前缀，通过DHCPv6协议获取LAN侧IPv6 PD前缀和IPv6的DNS服务器地址。HG家庭网关作为代理路由器（Prefix-Delegated-Router）通过SLAAC方式给用户终端如PC等分配地址。IPv4地址获取方式同原来一样，给 WAN口分配一个公网地址，由HGW给终端分配私网地址, 并提供NAT功能。

场景二：用户采用桥接型家庭网关，采用透传方式，需要用户终端具备IPv6拨号能力，由用户终端，如PC等发起PPPOE拨号请求，通过NDP方式获取IPv6独享前缀，通过无状态DHCPv6协议获取DNS等配置信息。

在PPPoE接入时，IPv6和IPv4都使用同一个PPPoE链路，因此双栈用户认证和IPv4单栈时的认证方式完全相同，保持以前的方式不变。PPPOE接入方式中通过PPP封装IPv6报文，接入设备二层透传不感知IPv6报文，无需进行改造。对现网二层设备交换机、OLT等的配置保持不变。

BRAS部署IPv6用户的接入认证管理和IPv6路由及转发，针对用户认证计费本阶段仍然基于IPv4网络同AAA系统交互认证计费信息。

• 家宽用户地址分配

因为存在多个行政区县的用户接入到一台BRAS/BNG情况，根据移动规范，用户的IPV6地址需要能表明用户所属的行政区县，设计方案如下：

• 通过BRAS的数据配置确定OLT和BRAS子接口的绑定关系；
• 从资管中获取OLT和区县的对应关系，包括OLT名称、IP地址和区县名称；
• 根据步骤2和3的结果，制作BRAS子接口和区县的对应关系表。
• 制定用户域名和地址池命名规范，用户域名称和地址池名称中包含区县名称；
• 根据IP地址分配规范，给所有区县合理分配IPv6地址。
• BRAS上添加按区县规划后的用户域和IPv6地址池；
• BRAS子接口上使能IPv6并且配置本地链路地址自动生成；
• 根据BRAS子接口与区县的对应关系，在子接口配置按区县规划的强制域名。在现用户下线前仍然保留原域，下线后重新上线则会在新的域中获取IP地址，实现按区县分配IPv6地址。

用户下的地址分配方案依据移动规范：

• 家庭宽带网络中的PC机终端分配/64 IPV6前缀；
• 对于家庭宽带中的家庭网关设备，为其WAN口分配/64 IPV6前缀，为其LAN口分配/60 IPV6前缀。

家宽用户的IPV6地址分配方式下图所示：

• 家宽v6配置示例

//1.业务相关配置：   //1.1 IPV6私网双栈业务开启   //a)  配置DHCP duid # dhcpv6 duid llt         //开启V6下DHCP分配，全局使能ipv6，llt方式生成duid，ipv6 需要先全局使能 # //b) 配置用户v6地址池 //省公司DNS服务器  2409:8057:2000:6::8 粤东家宽节点（南科二）  2409:8057:2000:2::8 粤西家宽节点（西德胜） # ipv6 prefix pppoe_ipv6_nd_01 delegation  prefix 2409:8A54:2E00::/48  slaac-unshare-only # ipv6 prefix pppoe_ipv6_pd_01 delegation  prefix 2409:8A54:2E10::/44 delegating-prefix-length 60         pd-unshare-only # ipv6 pool pppoe_ipv6_nd_01 bas delegation  dns-server 2409:8057:2000:6::8 2409:8057:2000:2::8            2409:8057:2000:2::8   2409:8057:2000:6::8  prefix pppoe_ipv6_nd_01 # ipv6 pool pppoe_ipv6_pd_01 bas delegation  dns-server 2409:8057:2000:6::8 2409:8057:2000:2::8            2409:8057:2000:2::8   2409:8057:2000:6::8  prefix pppoe_ipv6_pd_01 #   //1.2 domain 139.gd下配置v6地址池 # domain 139.gd        prefix-assign-mode unshared    ipv6-pool pppoe_ipv6_nd_01     ipv6-pool pppoe_ipv6_pd_01   # //1.3通告地址池路由 bgp <本城域网AS号>  ipv6-family unicast   network xx:: 48                          // 通过network方式宣告ND地址池   network xx:: 44                          // 通过network方式宣告PD地址池   # //1.4 子接口配置 #  interface Eth-Trunk3.1000  description For-[PPPOE-XiaWuWeiT-ZX-OLT]  ipv6 enable                              //接口开启IPV6双栈  ipv6 address auto link-local                //  user-vlan 1000 2999 qinq 1000  traffic-policy urpf inbound  pppoe-server bind Virtual-Template 1  bas  #   access-type layer2-subscriber default-domain authentication 139.gd   client-option82 basinfo-insert cn-telecom   nas logic-port GigabitEthernet 1/0/0   access-delay 100 odd-mac

 

• 互联网专线业务
  • 双栈场景

当前广东移动集客专线业务分为BNG直接接入、OLT接入及VRRP冗余等不同的实现方式。根据场景接入，可分配专线场景一（ONU路由）和专线场景二（ONU桥接+企业路由）。

• 专线场景一（ONU路由）

 

• PC通过双栈获取到IPV4和IPV6地址。
• ONT设备 下行口 IPV4通过NAT 方式分配私网给PC，IPV6通过DHCPV6/ND分配地址给PC。ONT上行口通过vlan方式对v4/v6进行区分。
• OLT分别透传v4/v6业务vlan。
• BNG新建两个子接口分别终结V4/V6 VLAN。IPV6业务地址通过静态路由下一跳指向ONT（WAN）口。
  • 专线场景二（ONU桥接+企业路由）
• PC通过双栈获取到IPV4和IPV6地址
• 企业CPE路由器上行口终结IPV4和IPV6 VLAN，下行口做PC段V4/V6的网关
• ONT 设备做桥接模式透传IPV4和IPV6 VLAN
• OLT分别透传v4/v6业务vlan
• BNG新建两个子接口分别终结V4/V6 VLAN。IPV6业务地址通过静态路由下一跳指向ONT（WAN）口
  • 专线业务地址分配

客户类型	接入方式	前缀分配	说明
互联网专线	ONU路由模式 ONU桥接+企业路由模式	CPE上行（WAN口）分配/64作为互联地址； CPE下行（LAN口）根据用户规模分配/64、/60、/56、/52，默认分配 /64，可满足大部分互联网专线用户	移动规范专线用户分配/64、/60、/56、/52位前缀，更短前缀需要向集团申请，用户可根据业务需求进一步细化前缀；CPE上行（WAN口）互联地址静态配置，CPE下行（LAN口）业务 地址在SR/BRAS上通过静态回指，用户侧接入使用ND/DHCPv6动态分配/64，或者静态配置方式。
		每客户分配/64，客户终端网关终结在SR/BRAS上。	适用于网关在SR/BRAS上，用户接入为二层CPE、二层交换机或者单机接入，接入用户较少，前缀分配原则同宽带用户，用户侧IP地址采用静态配置或者SR/BRAS ND分配方式。

 

• 专线v6配置示例
• 专线场景一配置示例

BNG/SR-1配置： 1、IPV4子接口配置 BNG/SR-1(主) interface Eth-Trunk5.1003  （OLT上联口） description O-INTER-DGQTDYCSJFKRY-OLT002-ZX-slot2  // O-INTER-OLT名称驼峰全拼-OLT序号-厂家简称 control-vid 1003 qinq-termination //control-vid qinq termination pe-vid 1003 ce-vid 3000 to 3019     //终结内外层已配置，无需配置此指令 ip address 183.234.217.9 255.255.255.248          //共享网关IP //掩码 track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP） traffic-policy QOSNormalJK inbound         //共享网关的限速策略不用做，下移到OLT侧 traffic-policy Deny_Destination_Port_80 outbound   //黑白名单，各地市不一样，静态表维护（策略是固定的） dhcp snooping enable dhcp snooping check arp enable dhcp snooping check ip enable dhcp snooping bind-table static ip-address 183.234.217.13 vlan 1003 ce-vlan 3000 //业务IP，1个IP对应1个内层VLAN dhcp snooping bind-table static ip-address 183.234.217.14 vlan 1003 ce-vlan 3001 //业务IP arp-proxy inter-sub-vlan-proxy enable arp broadcast enable # ip ip-prefix Direct_Route permit 183.234.217.8 29    //索引号 网段IP   BNG/SR-2 (备) interface Eth-Trunk5.1003 description O-INTER-DGQTDYCSJFKRY-OLT002-ZX-slot2 control-vid 1003 qinq-termination qinq termination pe-vid 1003 ce-vid 3000 to 3019 ip address 183.234.217.9 255.255.255.248 track admin-vrrp interface Eth-Trunk5.20 vrid 20 traffic-policy QOSNormalJK inbound traffic-policy Deny_Destination_Port_80 outbound dhcp snooping enable dhcp snooping check arp enable dhcp snooping check ip enable dhcp snooping bind-table static ip-address 183.234.217.13 vlan 1003 ce-vlan 3000 arp-proxy inter-sub-vlan-proxy enable arp broadcast enabl # ip ip-prefix Direct_Route permit 183.234.217.8 29    2、IPV4安全管理策略   BNG/SR-1(主) 定义ACL匹配流 acl number 3501  description For Permit_Destination_Port_80 rule 5 permit tcp destination xx.xx.xx.xx x destination-port eq www rule 10 permit tcp destination xx.xx.xx.xx x destination-port eq 8080  rule 15 permit tcp destination xx.xx.xx.xx x destination-port eq 443 rule 20 permit tcp destination xx.xx.xx.xx x destination-port eq 8443     acl number 3502  description For Deny_Destination_Port_80 rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类 traffic classifier Permit_Destination_Port_80 operator or  if-match acl 3501 traffic classifier Deny_Destination_Port_80 operator or  if-match acl 3502   定义流行为 traffic behavior Permit_Destination_Port_80   traffic behavior Deny_Destination_Port_80 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80  share-mode  statistics enable  classifier Permit_Destination_Port_80 behavior Permit_Destination_Port_80  classifier Deny_Destination_Port_80 behavior Deny_Destination_Port_80   接口调用流策略—注：前面接口配置已配 interface Eth-Trunk5.1003 traffic-policy Deny_Destination_Port_80 outbound   BNG/SR-2(备) 定义ACL匹配流 acl number 3501  description For Permit_Destination_Port_80 rule 5 permit tcp destination xx.xx.xx.xx x destination-port eq www rule 10 permit tcp destination xx.xx.xx.xx x destination-port eq 8080  rule 15 permit tcp destination xx.xx.xx.xx x destination-port eq 443 rule 20 permit tcp destination xx.xx.xx.xx x destination-port eq 8443     acl number 3502  description For Deny_Destination_Port_80 rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类 traffic classifier Permit_Destination_Port_80 operator or  if-match acl 3501 traffic classifier Deny_Destination_Port_80 operator or  if-match acl 3502   定义流行为 traffic behavior Permit_Destination_Port_80   traffic behavior Deny_Destination_Port_80 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80  share-mode  statistics enable  classifier Permit_Destination_Port_80 behavior Permit_Destination_Port_80  classifier Deny_Destination_Port_80 behavior Deny_Destination_Port_80   接口调用流策略—注：前面接口配置已配 interface Eth-Trunk5.1003 traffic-policy Deny_Destination_Port_80 outbound #################################################### IP地址分配： IPv6地址：2409:8754:0001:8000::/64（互联）2409:8754:0010:0000::/64（业务） BNG本端地址：2409:8754:0001:8000::1/64 ONT或CPE侧地址：2409:8754:0001:8000::2/64   3、IPV6子接口配置 BNG/SR-1 # ipv6 # interface Eth-Trunk5.10033020   //子接口编号建议可以由外层vlan叠加内层vlan组成，此处外层vlan为1010，内层vlan为3030，则子接口编号可设置为10103030  description xxxxxx  control-vid xx qinq-termination  // xx范围1~4094，确保同个物理接口或Eth-trunk捆绑口里面不一样即可。  qinq termination pe-vid 1003 ce-vid 3020 ipv6 enable ipv6 address 2409:8754:0001:8000::1/64  ipv6 address auto link-local track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP）   ipv6 route-static 2409:8754:0010:0000::/64 2409:8754:0001:8000::2  //用户网段配置静态路由   IPV6路由发布： ip ipv6-prefix Direct_Route_ipv6 index X permit 2409:8754:0001:8000:: 64 Ip ipv6-prefix Static_Route_ipv6 index X permit 2409:8754:0010:0000:: 64   route-policy Export_Direct_Route_ipv6 permit node 5    if-match ipv6 address prefix-list Direct_Route_ipv6    route-policy Export_Static_Route_ipv6 permit node 5  if-match ipv6 address prefix-list Static_Route_ipv6     bgp <本城域网AS号> ipv6-family unicast import-route direct route-policy Export_Direct_Route_ipv6 import-route static route-policy Export_Static_Route_ipv6   BNG/SR-2 # ipv6 # interface Eth-Trunk5.10033020   //子接口编号建议可以由外层vlan叠加内层vlan组成，此处外层vlan为1010，内层vlan为3030，则子接口编号可设置为10103030  description xxxxxx  control-vid xx qinq-termination  // xx范围1~4094，确保同个物理接口或Eth-trunk捆绑口里面不一样即可。  qinq termination pe-vid 1003 ce-vid 3020 ipv6 enable ipv6 address 2409:8754:0001:8000::1/64  ipv6 address auto link-local track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP）   ipv6 route-static 2409:8754:0010:0000::/64 2409:8754:0001:8000::2  //用户网段配置静态路由   IPV6路由发布： ip ipv6-prefix Direct_Route_ipv6 index X permit 2409:8754:0001:8000:: 64 Ip ipv6-prefix Static_Route_ipv6 index X permit 2409:8754:0010:0000:: 64   route-policy Export_Direct_Route_ipv6 permit node 5  // Export_Direct_Route_ipv6 要求全省统一规范  if-match ipv6 address prefix-list Direct_Route_ipv6   route-policy Export_Static_Route_ipv6 permit node 5  if-match ipv6 address prefix-list Static_Route_ipv6    bgp <本城域网AS号> ipv6-family unicast import-route direct route-policy Export_Direct_Route_ipv6 import-route static route-policy Export_Static_Route_ipv6   4、IPv6的安全管理策略 BNG/SR-1 定义ACL匹配流—白名单 acl ipv6 number 3503  description For Permit_Destination_80_ipv6 rule 5 permit tcp destination xx:xx:xx:: 64 destination-port eq www rule 10 permit tcp destination xx:xx:xx:: 64 destination-port eq 8080  rule 15 permit tcp destination xx:xx:xx:: 64 destination-port eq 443 rule 20 permit tcp destination xx:xx:xx:: 64 destination-port eq 8443   acl ipv6 number 3504  description For Deny_Destination_Port_80  rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类  traffic classifier Permit_Destination_Port _80_ipv6 operator or  if-match ipv6 acl 3503   traffic classifier Deny_Destination_Port_80_ipv6 operator or  if-match ipv6 acl 3504   定义流行为 traffic behavior Permit_Destination _Port _80_ipv6   traffic behavior Deny_Destination_Port_80_ipv6 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80_ipv6  share-mode  statistics enable  classifier Permit_Destination_Port _80_ipv6 behavior Permit_Destination _Port _80_ipv6  classifier Deny_Destination_Port_80_ipv6 behavior Deny_Destination_Port_80_ipv6   接口调用流策略 interface Eth-Trunk5.10033020 traffic-policy Deny_Destination_Port_80_ipv6 outbound   BNG/SR-2 定义ACL匹配流—白名单 acl ipv6 number 3503  description For Permit_Destination_80_ipv6 rule 5 permit tcp destination xx:xx:xx:: 64 destination-port eq www rule 10 permit tcp destination xx:xx:xx:: 64 destination-port eq 8080  rule 15 permit tcp destination xx:xx:xx:: 64 destination-port eq 443 rule 20 permit tcp destination xx:xx:xx:: 64 destination-port eq 8443   acl ipv6 number 3504  description For Deny_Destination_Port_80  rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类  traffic classifier Permit_Destination_Port _80_ipv6 operator or  if-match ipv6 acl 3503   traffic classifier Deny_Destination_Port_80_ipv6 operator or  if-match ipv6 acl 3504   定义流行为 traffic behavior Permit_Destination _Port _80_ipv6   traffic behavior Deny_Destination_Port_80_ipv6 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80_ipv6  share-mode  statistics enable  classifier Permit_Destination_Port _80_ipv6 behavior Permit_Destination _Port _80_ipv6  classifier Deny_Destination_Port_80_ipv6 behavior Deny_Destination_Port_80_ipv6   接口调用流策略 interface Eth-Trunk5.10033020 traffic-policy Deny_Destination_Port_80_ipv6 outbound

 

• 专线场景二配置示例

BNG/SR-1配置： 1、IPV4子接口配置 BNG/SR-1(主) interface Eth-Trunk5.1003  （OLT上联口） description O-INTER-DGQTDYCSJFKRY-OLT002-ZX-slot2  // O-INTER-OLT名称驼峰全拼-OLT序号-厂家简称 control-vid 1003 qinq-termination //control-vid qinq termination pe-vid 1003 ce-vid 3000 to 3019     //终结内外层已配置，无需配置此指令 ip address 183.234.217.9 255.255.255.248          //共享网关IP //掩码 track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP） traffic-policy QOSNormalJK inbound         //共享网关的限速策略不用做，下移到OLT侧 traffic-policy Deny_Destination_Port_80 outbound   //黑白名单，各地市不一样，静态表维护（策略是固定的） dhcp snooping enable dhcp snooping check arp enable dhcp snooping check ip enable dhcp snooping bind-table static ip-address 183.234.217.13 vlan 1003 ce-vlan 3000 //业务IP，1个IP对应1个内层VLAN dhcp snooping bind-table static ip-address 183.234.217.14 vlan 1003 ce-vlan 3001 //业务IP arp-proxy inter-sub-vlan-proxy enable arp broadcast enable # ip ip-prefix Direct_Route permit 183.234.217.8 29    //索引号 网段IP   BNG/SR-2 (备) interface Eth-Trunk5.1003 description O-INTER-DGQTDYCSJFKRY-OLT002-ZX-slot2 control-vid 1003 qinq-termination qinq termination pe-vid 1003 ce-vid 3000 to 3019 ip address 183.234.217.9 255.255.255.248 track admin-vrrp interface Eth-Trunk5.20 vrid 20 traffic-policy QOSNormalJK inbound traffic-policy Deny_Destination_Port_80 outbound dhcp snooping enable dhcp snooping check arp enable dhcp snooping check ip enable dhcp snooping bind-table static ip-address 183.234.217.13 vlan 1003 ce-vlan 3000 arp-proxy inter-sub-vlan-proxy enable arp broadcast enabl # ip ip-prefix Direct_Route permit 183.234.217.8 29      2、IPV4安全管理策略   BNG/SR-1(主) 定义ACL匹配流 acl number 3501  description For Permit_Destination_Port_80 rule 5 permit tcp destination xx.xx.xx.xx x destination-port eq www rule 10 permit tcp destination xx.xx.xx.xx x destination-port eq 8080  rule 15 permit tcp destination xx.xx.xx.xx x destination-port eq 443 rule 20 permit tcp destination xx.xx.xx.xx x destination-port eq 8443     acl number 3502  description For Deny_Destination_Port_80 rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类 traffic classifier Permit_Destination_Port_80 operator or  if-match acl 3501 traffic classifier Deny_Destination_Port_80 operator or  if-match acl 3502   定义流行为 traffic behavior Permit_Destination_Port_80   traffic behavior Deny_Destination_Port_80 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80  share-mode  statistics enable  classifier Permit_Destination_Port_80 behavior Permit_Destination_Port_80  classifier Deny_Destination_Port_80 behavior Deny_Destination_Port_80   接口调用流策略—注：前面接口配置已配 interface Eth-Trunk5.1003 traffic-policy Deny_Destination_Port_80 outbound   BNG/SR-2(备) 定义ACL匹配流 acl number 3501  description For Permit_Destination_Port_80 rule 5 permit tcp destination xx.xx.xx.xx x destination-port eq www rule 10 permit tcp destination xx.xx.xx.xx x destination-port eq 8080  rule 15 permit tcp destination xx.xx.xx.xx x destination-port eq 443 rule 20 permit tcp destination xx.xx.xx.xx x destination-port eq 8443     acl number 3502  description For Deny_Destination_Port_80 rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类 traffic classifier Permit_Destination_Port_80 operator or  if-match acl 3501 traffic classifier Deny_Destination_Port_80 operator or  if-match acl 3502   定义流行为 traffic behavior Permit_Destination_Port_80   traffic behavior Deny_Destination_Port_80 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80  share-mode  statistics enable  classifier Permit_Destination_Port_80 behavior Permit_Destination_Port_80  classifier Deny_Destination_Port_80 behavior Deny_Destination_Port_80   接口调用流策略—注：前面接口配置已配 interface Eth-Trunk5.1003 traffic-policy Deny_Destination_Port_80 outbound ################################################ IP地址分配： IPv6地址：2409:8754:0001:8000::/64（互联）2409:8754:0010:0000::/64（业务） BNG本端地址：2409:8754:0001:8000::1/64 ONT或CPE侧地址：2409:8754:0001:8000::2/64   3、IPV6子接口配置 BNG/SR-1 # ipv6 # interface Eth-Trunk5.10033020   //子接口编号建议可以由外层vlan叠加内层vlan组成，此处外层vlan为1010，内层vlan为3030，则子接口编号可设置为10103030  description xxxxxx  control-vid xx qinq-termination  // xx范围1~4094，确保同个物理接口或Eth-trunk捆绑口里面不一样即可。  qinq termination pe-vid 1003 ce-vid 3020 ipv6 enable ipv6 address 2409:8754:0001:8000::1/64  ipv6 address auto link-local track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP）   ipv6 route-static 2409:8754:0010:0000::/64 2409:8754:0001:8000::2  //用户网段配置静态路由   IPV6路由发布： ip ipv6-prefix Direct_Route_ipv6 index X permit 2409:8754:0001:8000:: 64 Ip ipv6-prefix Static_Route_ipv6 index X permit 2409:8754:0010:0000:: 64     route-policy Export_Direct_Route_ipv6 permit node 5   if-match ipv6 address prefix-list Direct_Route_ipv6      route-policy Export_Static_Route_ipv6 permit node 5  if-match ipv6 address prefix-list Static_Route_ipv6      bgp <本城域网AS号> ipv6-family unicast import-route direct route-policy Export_Direct_Route_ipv6 import-route static route-policy Export_Static_Route_ipv6   BNG/SR-2 # ipv6 # interface Eth-Trunk5.10033020   //子接口编号建议可以由外层vlan叠加内层vlan组成，此处外层vlan为1010，内层vlan为3030，则子接口编号可设置为10103030  description xxxxxx  control-vid xx qinq-termination  // xx范围1~4094，确保同个物理接口或Eth-trunk捆绑口里面不一样即可。  qinq termination pe-vid 1003 ce-vid 3020 ipv6 enable ipv6 address 2409:8754:0001:8000::1/64  ipv6 address auto link-local track admin-vrrp interface Eth-Trunk5.20 vrid 20   （管理VRRP）   ipv6 route-static 2409:8754:0010:0000::/64 2409:8754:0001:8000::2  //用户网段配置静态路由   IPV6路由发布： ip ipv6-prefix Direct_Route_ipv6 index X permit 2409:8754:0001:8000:: 64 Ip ipv6-prefix Static_Route_ipv6 index X permit 2409:8754:0010:0000:: 64     route-policy Export_Direct_Route_ipv6 permit node 5   if-match ipv6 address prefix-list Direct_Route_ipv6      route-policy Export_Static_Route_ipv6 permit node 5  if-match ipv6 address prefix-list Static_Route_ipv6      bgp <本城域网AS号> ipv6-family unicast import-route direct route-policy Export_Direct_Route_ipv6 import-route static route-policy Export_Static_Route_ipv6   4、IPv6的安全管理策略 BNG/SR-1 定义ACL匹配流—白名单 acl ipv6 number 3503  description For Permit_Destination_80_ipv6 rule 5 permit tcp destination xx:xx:xx:: 64 destination-port eq www rule 10 permit tcp destination xx:xx:xx:: 64 destination-port eq 8080  rule 15 permit tcp destination xx:xx:xx:: 64 destination-port eq 443 rule 20 permit tcp destination xx:xx:xx:: 64 destination-port eq 8443   acl ipv6 number 3504  description For Deny_Destination_Port_80  rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类  traffic classifier Permit_Destination_Port _80_ipv6 operator or  if-match ipv6 acl 3503   traffic classifier Deny_Destination_Port_80_ipv6 operator or  if-match ipv6 acl 3504   定义流行为 traffic behavior Permit_Destination _Port _80_ipv6   traffic behavior Deny_Destination_Port_80_ipv6 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80_ipv6  share-mode  statistics enable  classifier Permit_Destination_Port _80_ipv6 behavior Permit_Destination _Port _80_ipv6  classifier Deny_Destination_Port_80_ipv6 behavior Deny_Destination_Port_80_ipv6   接口调用流策略 interface Eth-Trunk5.10033020 traffic-policy Deny_Destination_Port_80_ipv6 outbound   BNG/SR-2 定义ACL匹配流—白名单 acl ipv6 number 3503 description For Permit_Destination_80_ipv6 rule 5 permit tcp destination xx:xx:xx:: 64 destination-port eq www rule 10 permit tcp destination xx:xx:xx:: 64 destination-port eq 8080  rule 15 permit tcp destination xx:xx:xx:: 64 destination-port eq 443 rule 20 permit tcp destination xx:xx:xx:: 64 destination-port eq 8443   acl ipv6 number 3504  description For Deny_Destination_Port_80  rule 5 permit tcp destination-port eq www  rule 10 permit tcp destination-port eq 8080  rule 15 permit tcp destination-port eq 443  rule 20 permit tcp destination-port eq 8443   流分类  traffic classifier Permit_Destination_Port _80_ipv6 operator or  if-match ipv6 acl 3503   traffic classifier Deny_Destination_Port_80_ipv6 operator or  if-match ipv6 acl 3504   定义流行为 traffic behavior Permit_Destination _Port _80_ipv6   traffic behavior Deny_Destination_Port_80_ipv6 deny   流分类和流行为关联 traffic policy Deny_Destination_Port_80_ipv6  share-mode  statistics enable  classifier Permit_Destination_Port _80_ipv6 behavior Permit_Destination _Port _80_ipv6  classifier Deny_Destination_Port_80_ipv6 behavior Deny_Destination_Port_80_ipv6   接口调用流策略 interface Eth-Trunk5.10033020 traffic-policy Deny_Destination_Port_80_ipv6 outbound

 

（1）网络地址分配粒度

网络设备包括路由器、交换机、核心网等网络管理设备，也包括IDC、DNS和业务平台中的服务器等这些为公众或大规模客户提供服务，并由ISP负责运维的服务器。

对于路由器、交换机以及核心网设备，地址配置粒度如下：

设备的Loopback地址，手工配置/128地址；

设备的链路接口地址，一个链路的两个接口配置一个/127地址，相关接口应关闭子网任播地址（Subnet-Router Anycast）功能。

对于IDC、DNS和业务平台中的服务器设备，按照业务系统内部组网需求，自行规划掩码长度。

编号	ISIS相关数据	配置
1	Loopback接口	根据规划配置128位ipv6地址
2	互联接口	根据规划配置127位ipv6互联地址 ipv6 mtu，参考ipv4配置 自动生成link-local地址
3	VRRPV6接口地址	接口地址根据规划配置125位ipv6地址 选取网段内一个地址作为vrrp6虚地址 vrrp6需自定义一个Link-local虚地址，使用FE80::1和FE80::2。上级设备使用FE80::1。
4	互联接口地址	不同层级设备由下层向上层设备分配IPV6地址：使用下游层级设备的互联地址空间，分配地址的设备本端采用::0/127,即下级设备使用::0/127，上级设备使用::1/127。 不同层级定义：国干>BR>CMNET-CR>EPC-FW>EPC-CE， 国干>BR>城域网CR>BAS/BNG/SR。 比如：BR连接城域网CR，BR使用地址2409:8055:0002:XXXX::1/127，城域网CR使用2409:8055:0002:XXXX::0/127 同级设备互联：由大ID设备向小ID设备(ID即IPV4 loopback地址)分配互联地址，大的设备使用::0/127，设备ID小的设备使用::1/127。 比如：同一对儿设备中 01设备使用2409:8028:0002:0FXX::0/127， 02设备使用2409:8028:0002: 0FXX::1/127

 

（2）用户地址分配粒度

• VoLTE

为VoLTE用户分配/64前缀；

• LTE

为手机终端分配/64前缀；

对MiFi，或手机作为热点使用时，为其地址池分配/60前缀；

• WLAN

为WLAN网络中的PC机或手机终端，分配/64前缀；

• 家庭宽带

为家庭宽带网络中的PC机终端分配/64前缀；

对于家庭宽带中的家庭网关设备，为其地址池分配/60前缀；

• 集团客户

对于集团客户CE，上行接口一般手工配置固定地址，可根据需要配置/64或/128地址；下行接口可根据客户需求与用户规模分配/60或/56或/52，如需分配更短的前缀需向总部单独申请。

• IPv6地址核算模型

1、网络设备分配的IPv6地址数量模型如下：

网络设备包括路由器、交换机、核心网等网络管理设备，也包括IDC、DNS和业务平台中的服务器等这些为公众或大规模客户提供服务，并由ISP负责运维的server。

网络设备的loopback地址，可手工配置/128地址；一条链路上两个接口的互联地址，可配置一个/127地址。

2、集团客户专线分配的IPv6地址数量根据客户需求与用户规模分配/60或/56或/52，更短的长度需要单独向集团申请。

3、WLAN用户分配IPv6地址时，因IPv6地址相对IPv4充裕，可考虑给予每个WLAN用户一个/64的IPv6地址，并结合WLAN活跃用户数综合考虑。

4、有线宽带用户分配IPv6地址时，因IPv6地址相对IPv4充裕，可考虑给予每个宽带用户一个/60的 IPv6地址，并按照规划发展的用户数进行地址分配。

5、IDC业务分配IPv6地址时，按照实际IDC设备台数和地址需求量进行地址分配。

6、为避免网络地址发布大量过细路由，对于IDC、DNS、业务平台等接入CMNET骨干网或省网的业务系统，每个接入节点以/64为最小接入单位。针对不同规模的业务系统具体建议如下：

（1）设备管理地址：同一区域内设备分配1个/64前缀，每台设备分配1个地址，掩码为/128。

举例：某平台内所有设备的管理地址前缀为2409:8080:0801::/64，第一台设备的管理地址为2409:8000:0801::1/128,第二台设备的管理地址为2409:8000:0801::2/128。

（2）网络设备间互联地址：每条互联链路分配1个/64前缀，掩码为/127，本端地址为0、对端地址为1。

举例：某网络或平台第一对互联地址，本端为2409:8080:0801:0001::0/127、对端为2409:8080:0801:0001::1/127；第二对互联地址，本端为2409:8080:0801:0002::0/127、对端为2409:8080:0801:0002::1/127。

（3）业务或平台地址规划：根据平台内组网及业务需要确定地址前缀，建议每个业务系统分配/60或/56地址。

举例：某业务或平台申请地址段为/56，设备管理地址分配第1个/64，网络设备间互联地址分配多个/64，每个业务VLAN用分配1个/64前缀。

1.1.2.1.8.4.IPv6安全性设计

• 控制平面

ISISV6邻居、BGP4+邻居采用MD5认证，保证路由和标签协议建立邻居的安全性。

• 管理平面

采用IPv4的管理方法，禁止IPv6的远端SSH telnet登录等。

• 业务平面

采用IPv4的业务管理方法，针对城域网设备核心层和业务控制层设备统一部署非法报文列表，将其应用到设备接口的入方向，从而实现对城域网内部和经外网传送的流量做统一防控。

1.1.2.1.9.组播部署方案

1.1.2.1.9.1.组播路由协议部署

广东移动城域网提供宽带互联网视听业务，如IPTV业务。IPTV平台一般由IPTV业务管理平台和多个CDN节点包括省中心节点以及边缘节点组成。

城域网由核心骨干网、宽带接入网组成，其中核心骨干网包括核心层CR，业务接入控制层（BRAS、SR、BNG）为三层网络，而宽带接入网为二层网络。

整个城域网的核心骨干网将作为一个单独的组播域，部署PIM-SM组播协议。PIM-SM是一种典型的组播路由协议，它独立于其他单播协议，依靠自有机制建立组播分发树，组播报文在分发树的分叉点进行复制，保证在共同的路径上只有一份组播报文发送，最大限度节约了带宽，它适用于大量分散用户接入的组播场景。

省中心平台作为IPTV业务的组播源，以整个城域网（核心骨干网）作为一个组播域，需要在城域网CR、BR、SR/BRAS/BNG等设备相应互联端口开启PIM-SM协议。

地市城域网开通IPTV业务，每个地市建设二级CDN节点，省中心节点通过单播方式将BTV推送到各城域网区域中心，区域中心再将单播BTV转换成组播向城域网用户发送，这样省IP骨干网不需要部署组播。

PIM-SM通过共享树来传送数据包，只有明确请求的活动接收者所在的网段会收到组播流量。PIM-SM在初始化的时候使用的是共享树，这就需要用到RP（集合点）。网络中需要统一配置RP 的信息。源向RP登记，然后数据从RP沿着共享树转发到接收者。可见RP在PIM-SM组播域里是非常重要和必不可少的组成部分。

为了在一个PIM-SM组播域中提供组播网络的冗余和负载分担，可以设置多个RP，并利用MSDP（组播源发现协议） 的一种有用的应用－Anycast RP实现RP的冗余。两个或多个RP 可以配置使用同一个IP 地址，例如将10.0.0.1 配置到loopback 地址上。

所有下游路由器都将这个10.0.0.1 配置为RP 地址。IP 路由协议为每一个源和接收端自动选择拓扑上最近的RP。由于一些源使用其中的一个RP， 另外一些接收端可能使用其他不同的RP，需要用MSDP 将这些RP 连起来，交换关于活动源的信息。所有RP 都配置成为彼此的MSDP 邻居。每个RP 都知道其他RP 片区内的活动源的信息。如果任何一个RP 失效了，路由协议会重新收敛，仍然有效的RP 将成为两个片区的活动RP，有效防止RP的单点失效对组播业务造成的影响。

城域网作为独立的PIM-SM组播域，城域网两台CR作为RP，并使用anycast RP技术实现冗余，RP之间建立MSDP邻居， 城域网内所有其他三层设备通过静态的方式来指定RP。

综上，城域网PIM-SM组播路由协议的具体部署如下：

RP： 两台CR，使用anycast技术

PIM节点：从BRAS/SR/BNG到选定的RP设备沿途三层设备部署PIM Sparse Mode，包括CR、BR、BRAS/SR/BNG及IPTV平台网络。

PIM接口:

• CR、BR、BRAS/SR/BNG的loopback接口（用loopback地址建立PIM邻居关系）；
• CR与BR的的互连接口（两端接口）；
• CR/BR与BRAS/SR/MSE的互联接口；
• CR与IPTV平台的互连端口。

在组播部署的过程中，需要考虑的一个问题是是否需要部署组播流量的负载均衡的功能。考虑1各具备150各高清频道的IPTV平台，每个频道节目的带宽为10M，则总共需要1500M的带宽。如果城域网骨干网的互联链路带宽都为10G以上则无需考虑，但如果有些互联链路是GE，或多条GE链路（并采用ECMP技术）择需要开启组播的流量负载均衡特性了。

对于单播而言，可以通过ECMP等技术，选择多条路径，实现流量的负载均衡。但对组播而言，在组播流量触发之前，需要在第一跳路由器DR与集中点RP之间构建共享树（RPT），进而形成组播转发表，在构建共享树的过程中，DR需要根据单播路由表，发现到RP的最短路径，但受RPF构建过程中的选路原则所限，RP到DR之间只有单条路径承载组播业务流量，造成组播流量压单边的现象。

   目前，针对组播流量的负载分担问题，主要存在两种具备可行性的解决方案，具体如下：

• Load splitting 方式

这种方式只能实现部分组播流量的负载分割，并不能实现组播流量的完全负载均衡；因为这种方式只能是针对组播源S、组播组G、或组播源组（S,G）在多条等价路径上做负载分割（基于流的方式），不能做到基于每个组播数据包流量的负载均衡；虽然不能完全做到负载均衡，但在一定的网络环境下却能避免了流量压单链路的现象。但优点是部署简单，只需要在组播协议下开启multicast multipath（cisco/JUNIPER）,华为开启multicast load-splitting即可。并且由于是基于流的方式实现流量的负载分担，避免了包的乱序问题。

但load splitting 在一定的网络结构下需要考虑环路，RPF检测是基于到源路径最短的端口，如果有多个通过RPF检测的端口，则需要依次比较AD值、metric值、接口 IP地址而选举出一个端口放到SPT的组播路由表中去的，而启用了splitting特性，则将所有通过RPF检测的端口按照splitting 要求（S，G）全部放到SPT的组播路由表中去的，可能会有环路的风险。

• GRE tunnel方式：

这种方式实际上是通过将组播数据包作为净荷封装在tunnel ip包头里，然后通过单播路由协议去实现组播数据包的负载均衡。可以实现真正意义上的负载均衡。

但GRE tunnel方式部署难度大，需要充分考虑现网的网络结构，考虑从tunnel源到tunnel目的之间的路径，在现网多个first-hop 路由器（多个源）和多个last-hop路由器（多个主机接收者），这样树状的分散的情况下，使得部署相当有难度。

GRE tunnel更适合在有较少接受者的情况下部署。

综上分析，基于城域骨干网的拓扑架构，如果需要部署组播流量的负载分担特性，我们建议采用Load splitting 方式。

1.1.2.1.9.2.二层组播技术组成

在业务控制层之下是二层接入网络，用户业务通过VLAN传送。如果不同的VLAN内有组播用户，在业务控制层设备作为组播复制点的情况下，需要在每个VLAN复制一份组播报文，增加了网络带宽。因此，需要部署一些二层组播技术。

• IGMP Snooping

IGMP Snooping即IGMP侦听,其主要作用是在交换机上完成二层组播的动态注册，通过IGMP Snooping实现二层组播时需要在主机和路由器上启用IGMP，交换机只是通过侦听主机和路由器传送的不同类型的IGMP报文来动态维护二层组播组，并且在本交换机上的组播表项一般不会传播到其它交换机上,实现IGMP Snooping后不能改变主机和路由器之间的行为。

• IGMP Proxy

IGMP Proxy通过截获IGMP协议报文，获得主机请求情况，然后组播流仅仅转发到给发送了IGMP report报文请求的主机。IGMP Proxy终结IGMP报文,对上游设备充当主机的角色,对下游主机设备充当路由器的角色.定期向主机设备发送查询报文,收集主机设备加入组的情况并向上游路由器设备发送report或leave报文。

• 组播VLAN

IGMP Snooping是在一个VLAN内转发组播数据,用户可能用多个VLAN接入，组播VLAN可以实现把组播流从一个VLAN转发到其他多个VLAN中，组播VLAN也是基于用户IGMP报文生成组播转发表项来转发组播流。

1.1.2.1.9.3.组播业务流程

IP城域网与OTT组播源均在同一组播域中。在CR层面上来看，CR只是中转组播流量。推荐使用PIM Sparse-Mode，组播域中的所有路由器均静态指定RP地址。组播源到RP为源树，接收者上游路由器到RP可为共享树或为源树。

整个组播协议PIM协议流程如下：

• 源DR选举；
• 通过PIMAnycast RP方式选举RP；
• 源通过源DR向RP注册，RP上生成（S,G）表项，构建出SPT；
• 机顶盒STB发起Igmp report加入组G（ip）请求，对于FTTH: HG（ONU）上开启igmp snooping，该请求会将G(ip)转化为G(mac),在二层网络中广播，传递到ONU。同时本机构建二层组播表项。OLT上开启igmp proxy。对于FTTB：HG开启igmp snooping，MxU、OLT上开启igmp proxy。
• OLT上开启igmp snooping proxy，接收到此请求后，代替STB向SW发出Igmp report加入组请求，同时在本设备上建立二层组播表项。
• SW上开启igmp snooping，接收到此报文，在本设备上建立二层组播表项，同时向上游路由器BRAS发送igmp report请求。
• BRAS开启Igmp 功能[作为三层设备，不需要开启igmp snooping]，识别并终结Igmp report报文，同时建立二层组播表项。
• BRAS作为客户端DR，将向离自己最近的RP发起PIM jion请求，并在本设备上建立（*，G）表项[即BRAS上同时有3层组播路由表项，也有二层组播表项]。
• 该pim jion请求沿着去往RP的路由，逐跳转发至RP，同时在沿途设备上都建立起（*，G）表项。
• RP接收到pim jion 请求，生成（*,G）表项，构建出RPT；
• 此时，RP上完成SPT和RPT的构建，形成一条完整的组播路由表，至此，组播路由表第一阶段表项建立完成。
• RPT和SPT建立后，RP上的组播数据流会沿着RPT逐跳下发，直至接收者DR（BRAS），同时沿途设备均建立（S,G）表项，至此整个SPT也建立起来，组播路由表第二阶段表项建立完成。
• 如果设置SPT切换策略：a、接收者DR按策略触发；b、RP按策略触发；则在接收者DR和源DR之间建立一条切换后的SPT，至此，组播路由表第三阶段表项建立完成。

整个组播流量转发流程如下：

• 源始终向源DR发送组播数据。
• 源DR至RP流量转发：DR通过pim register消息用单播报文发送组播流量到RP发生SPT切换后，源DR使用切换后的SPT（S,G）组播路由表项，转发数据到接收者DR；不再发送流量到RP[RP会发送注册停止消息给源DR]。以后的所有流量都不在经过RP，视频直接从源DR通过最短路径树发送给接受者DR，知道组播树中断。
• RP到接收者DR的流量转发：根据RPT树逐跳下发流量。
• 接收者DR到客户端的流量转发：流量到达BRAS，BRAS查询本机的二层组播表项，将流量发送至对应组播VLAN，到达SW。SW查询二层组播表项(已开启igmp Proxy)，将组播流量从有表项的端口发送出去，到达OLT。OLT将组播流量在组播VLAN中广播，并支持跨VLAN组播复制功能，将组播流量复制到HG(ONU)上关联组播VLAN的单播VLAN。OUN查询本地二层组播表项，转发给机顶盒STB。流量达到客户端STB。

1.1.2.1.9.4.城域网组播配置示例

1、全局使能组播 multicast routing-enable 严格匹配，并保证在全局下 2、配置静态RP acl name FOR-OTV-ACL-GROUP-TEST                             //定义ACL 严格配置acl名称     description permit-multicast-group-test                       //添加描述 rule permit ip source 120.197.230.167 0.0.0.255 destination 239.0.0.0 0.0.0.255 acl name FOR-OTV-ACL-GROUP                                   //定义ACL     description permit-multicast-group                            //添加描述 rule permit ip source 183.235.22.0 0.0.0.128 destination 239.20.0.0 0.0.0.255 rule permit ip source 183.235.22.0 0.0.0.128 destination 239.21.0.0 0.0.0.255 rule permit ip source 183.235.22.0 0.0.0.128 destination 239.22.0.0 0.0.0.255 pim        static-rp 211.139.132.15 acl-name FOR-OTV-ACL-GROUP  prefer          static-rp 211.139.132.13 acl-name FOR-OTV-ACL-GROUP-TEST  prefer //粤东只需要放通粤东的视频源，粤西只需要放通粤西的视频源地址.粤西视频源地址段：183.235.0.16/28. 粤东视频源地址段：183.235.16.33/28   检查是否存在严格放通了以上ip地址段的两个acl，并且把acl名称取出进行下面的pim校验。 pim        static-rp 211.139.132.16 acl-name FOR-OTV-ACL-GROUP  prefer          static-rp 211.139.132.13 acl-name FOR-OTV-ACL-GROUP-TEST  prefer acl名称有固定的对应关系，只有一个ip的acl（FOR-OTV-ACL-GROUP-TEST）必须对应211.139.132.13，另外一个必须对应211.139.132.16或者211.139.132.15，必须在pim下 //只允许特定组播源，源为组播源，目的为组播组.配置业务及测试静态RP。粤东RP是15，粤西16。 3、接口开启PIM协议：（所有互联接口全部开启PIM协议） interface Pos x/x/x            与BR互联接口开启PIM协议  pim sm interface Pos x/x/x            与CR02互联接口开启PIM协议  pim sm interface Pos x/x/x            与BRAS互联接口开启PIM协议  pim sm interface Pos x/x/x            与二级CDN互联接口开启PIM协议关键字ErJiCDN     pim sm   4、组播负载均衡： multicast load-splitting group

 

1.1.2.1.10.MPLS VPN部署方案

1.1.2.1.10.1.MPLS VPN框架组成

MPLS技术使服务提供商可以在他们的IP基础设施上提供IP业务的优势，服务提供商可以应用MPLS建立全新的分级IP VPN。具备MPLS能力的IP VPN是无连接的IP网络，但同时具备与帧中继及多级别IP业务的私密性，这可以适应其商业应用的策略。正是由于基于MPLS的VPN的运营更有效，使服务提供商可以提供更廉价的可管理的IP业务。

最早提出的MPLS VPN技术是基于RFC2547（以及随后的RFC2547bis）的BGP/MPLS VPN，由于它基于对等模型，而且VPN内的路由信息由运营商帮助用户维护，因此又被成为L3的MPLS VPN；我们将讨论这种MPLS VPN的形式，以及它们在广东移动IP城域网中的应用实施。

• MPLS VPN组件

MPLS VPN组网方案包含下列组件：

• PE：Provider Edge Router，骨干网边缘路由器，存储VRF（Virtual Routing Forwarding Instance），处理VPN-IPv4路由，是MPLS VPN的主要实现者。
• CE：Custom Edge Router，用户网边缘路由器，分布用户网络路由。
• P： Provider Router，骨干网核心路由器，负责MPLS转发。
• VPN用户站点（site）：是VPN中的一个孤立的IP网络，一般来说，不通过骨干网不具有连通性，公司总部、分支机构都是site的具体例子。

具体到MPLS VPN的实现方式，根据运营商边界设备PE是否参与客户的VPN路由，运营商在建立基于IP/MPLS的VPN时有两种选择：

• Layer 3 VPN解决方案, 通常称作是Layer3 MPLS VPN；
• Layer 2 VPN解决方案，通常称作是Layer2 MPLS VPN。
  • 三层MPLS VPN

BGP/MPLS VPN把整个网络中的路由器分为三类：CE（用户边缘路由器）、PE（提供商边缘路由器）和P（提供商骨干路由器），其中，PE充当MPLS VPN接入路由器；相应网络分为P-Network和C-Network。如下图所示：

BGP/MPLS VPN通过扩展BGP路由协议来承载VPN成员关系和VPN网络可达性（VPN路由转发表——VRF）；它对BGP的扩充主要包括多协议扩充、VPN扩充和MPLS标签承载扩充。BGP4的多协议扩充，包括多协议网络层可达信息（MP_REACH_NLRI）和多协议网络层不可达信息（MP_UNREACH_NLRI）；它们主要为BGP4提供了网络层协议、下一驿站、NLRI和地址族（Address Family）之间相互关联的能力。而VPN扩充则引入了一种新的地址族，称为VPN-IPv4地址族；它由12个字节表示，8个字节的路由区分器（RD：Route Distinguisher）+ 4字节IPv4地址；一般，可以把RD划分为两个部分：4字节自治系统号（ASN）+ VPN编号（VPN Index）。RD的主要功能是把VPN用户可能重叠的IPv4地址空间映射到全局彼此不重叠的空间。如下图所示：

同时，BGP/MPLS VPN还引入了两种新的64比特长度的BGP社区属性（Community Attribute）VPN Target和VPN of Origin，用于VPN间的通信控制。VPN Target描述当前路由（网络）所属于的VPN，每个路由可以与多个VPN Target属性相关联，具有相应VPN Target属性的路由将从本地PE广播给所有与该VPN有关的其它PE。从语义表达上而言，VPN-IPv4中扩充的RD已经足够，但是，VPN Target的引入，避免了通过采用不同的RD为同一网络产生不同的路由项，将能够获得更具伸缩性的实现。VPN of Origin属性唯一性地标识当前路由（网络）属于特定VPN的特定站点。

通过适当地运用VPN Target和VPN of Origin属性，可以用来构造不同类型的VPN。“Hub and Spoke”VPN是其中一种比较特殊的应用，在这种应用中，设立两个VPN Target属性，一个代表Hub，一个代表Spoke；控制所有来自Spoke的路由可以分配到Hub，而来自Hub的路由则不能分配到Spoke；BGP/MPLS VPN应用中，同一VPN内的通信采用全网状结构，而不同VPN之间的通信可以利用“Hub and Spoke”VPN方式来构造任意网状的拓扑结构。BGP/MPLS VPN的VPN成员关系控制和VPN网络可达性的提供依赖于PE之间IBGP的全网状结构和PE之间的网状LSP。

通过上述手段，BGP/MPLS VPN可以提供Intranet、Extranet和Internet业务。

BGP/MPLS VPN通过单个VPN Target属性可以构造Intranet应用；在单个VPN Target属性下，连接多个站点的PE之间的形成全网状结构。利用多个VPN Target和VPN of Origin属性可以构造Extranet应用或任意网状的Intranet，在Extranet应用中，共享的主机资源应该在Extranet的多个VPN中，其IPv4地址具有全局唯一性，或者通过相应节点的地址翻译设备进行地址翻译；VPN用户访问Internet需要通过站点的缺省路由解决。

由于BGP/MPLS VPN采用PE之间通过BGP来承载VPN成员关系和VPN网络可达性，因此，在广东移动城域网中需要考虑在大规模用户接入的条件下对PE之间IBGP会话数的控制。为了减少每个PE路由器需要处理的IBGP会话数，我们建议采用BGP Route Reflector（RR），建议使用两台高速路由器，作为专门的BGP/MPLS VPN BGP RR，它们之间建立Full Mesh的IBGP Peering关系，所有的MPLS PE设备都分别与它们建立IBGP Peering关系，获取其他节点的VPN用户路由信息。为了防止单点故障，建议在每个MPLS PE设备都和两个RR建立联系。这种方式可带来以下优势：

只有PE需要与RR建立联系，这样可使RR有更好的扩展性；

网络的结构变化不会影响RR, 同时VPN内部需求的变化也不会影响网络中的其他路由信息。

网络的路由与VPN的路由可彼此独立地增长扩展。

对于VPN业务最基本的业务要求包括：透明报文传输、可靠数据安全和服务质量保证。在BGP/MPLS VPN解决方案中，采用MPLS作为通道机制实现透明报文传输，MPLS的标签交换路径（LSP）具有与FR和ATM VCC相类似的安全性；另外，由于广东移动IP城域网的MPLS实现对用户透明，用户还可以采用它已有的手段，如设置防火墙，采用数据安全加密等手段，进一步提高安全性；而服务质量与非VPN网络中的要求没有本质的区别；因此，采用本方案完全可以满足这些基本要求。

MPLS VPN自从被提出，就面对两个难题：

PE和PE之间要建立LSP，需要了解能到达对方IP地址/32的精确路由，但通常在OSPF的Area边界和IS-IS的Level边界要执行地址Summary，屏蔽了到某个IP地址/32的精确路由，因此跨Area/Level时，如何实现MPLS VPN。

采用MP-IBGP承载VPN成员关系和VPN可达性，建立在维持IBGP Peering关系的PE处于统一AS内的基础上，当两个PE处于不同AS时，紧靠IBGP以无法传递VPN路由信息，如何跨越AS实现MPLS VPN？

以上两个问题一直是制约MPLS VPN业务发展的障碍之一。如果一个用户的不同节点连接到不同的AS（比如连接到不同的运营商），用户能否还可以构成一个统一、安全和可靠的VPN？根据现在技术发展，我们认为在一定程度上可以得到解决。

跨Area/Level问题的解决依靠在IGP区域边界上将到PE的IP地址/32的精确路由漏到Area 0/Level2中，同时现在新扩展的OSPF和IS-IS规定了一些新的LSA和PDU，可以将一个子区域内到PE的IP地址/32的路由传递给其他区域的设备。

RFC2547bits中提供了三种跨越AS实现MPLS VPN的办法——它们的一个共性是都要用到EBGP。

在ASBR上实现VRF-VRF的对应。

在两个AS边界，将ASBR设置为PE路由器，彼此通过多个（子）端口互联——如果有N个VPN需要跨越AS边界，则两个ASBR之间至少要有N个（子）端口互联。每个ASBR都将对方看作一个CE，将每个VRF和每个（子）端口映射起来，并通过EBGP将IPv4的地址路由传递给对方。显然，这种方式在边界上并没有用到MPLS，而且扩展性很差。如下图所示。

在边界上通过MP-EBGP广播带有标记的VPN-IPv4地址路由。

在一个AS中，PE通过MP-IBGP将带有标记的VPN-IPv4地址路由广播给ASBR，ASBR通过MP-EBGP将带有标记的VPN-IPv4地址路由广播给另一个AS的ASBR，然后再通过MP-IBGP向另一个AS中的PE广播。

显然，VPN-IPv4的地址路由不能被广播到公用Internet，因此两个AS必须存在私有互联点，并存在BGP Peering信任关系；另一方面，在不同AS的PE之间需要建立LSP，因此也要求存在适当的信任关系。如下图所示。

在不同AS中的PE之间建立Multihop EBGP Peering关系，交换带有标记VPN-IPv4地址路由；在ASBR之间通过EBGP交换带有标记的IPv4地址路由。

采用这种方式，VPN-IPv4地址路由不由ASBR维护和分配。ASBR需要通过EBGP将能指向PE的带有标记的IPv4/32地址路由广播给另一个AS的ASBR，目的是在两个AS的PE之间创建一条LSP，以承载VPN的数据流。VPN的成员关系和可达信息则通过在PE之间建立的Multihop EBGP Peering来交换。

为了提供扩展性，可以只在两个AS的RR之间建立Multihop EBGP Peering，而各个AS里的PE则只和RR建立IBGP Peering。如下图所示。

• 二层MPLS VPN

基于MPLS的第二层VPN解决方案保留了传统基于第二层VPN解决方案的优势。MPLS L2  VPN降低了VPN业务开通复杂度，特别是在现有的VPN中增加站点时，在大多数情况下只需把供应商边缘（PE）路由器连接到新站点上即可，相应也减小了业务提供的周期。通过采用MPLS技术，可以在多元融合的网络中运行二层VPN、三层VPN、流量工程、Diffserv及许多其它业务，服务提供商可以为IP、第三层（MPLS/IP）和二层VPN共同管理和维护单一的基于MPLS的网络。

基于第二层的MPLS VPN解决方案提供了运营商网络和客户的VPN网络之间的完全独立，也就是说，运营商边界的PE设备和CE设备之间没有进行路由交换，运营商只是简单向客户提供一些基于2层的网络功能。运营商的网络和客户的VPN网络和完全架构在层叠的网络模型上，从客户的角度看运营商只是提供了一个简单的2层连接。这种透明简化了运营商网络的结构和配置管理，同时也提供了对客户的多业务支持能力，运营商除了传统的IP业务以外，还可以向客户提供IPv4, IPv6, IPX, DECNet, OSI, SNA等等业务，以及一些传统基于电路业务的仿真，比如说FR、ATM等。

目前Layer2 MPLS VPN的解决方案可以提供以下两种连接方式的服务：

• 点到点连接
• 点到多点连接

点到点仿真虚电路

点到点仿真虚电路方式的Layer2 MPLS VPN主要是基于Layer2 MPLS VPN两个主要的技术流派： Martini和Kompella。两种解决方案在数据层面非常相似，都支持多种二层技术。两个草案的区别主要在控制层面；前者支持点对点的服务，后者可以支持点对多点服务。 Draft-Martini不包括用于VPN成员自动发现机制，更多的操作需要手工完成。支持Martini的运营商和设备厂家主要有Cisco Systems、Nortel Networks等。支持Kompella的主要有Juniper Networks等。由于Draft-Martini比Draft-Kompella的机制简单，实现起来比Draft-Kompella容易，所以提供MPLS的2层VPN的厂家基本上都支持Martini草案，能支持Kompella方式的厂家比较少。

Draft-Martini基于MPLS的二层VPN是一种点对点的解决方案。可以支持的二层技术主要有：帧中继、ATM AAL5 CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。

为了通过运营商MPLS网络承载L2帧，Martini草案引入VC（虚连接）的概念。VC通过MPLS标签栈的方式在MPLS骨干网由LSP构建的隧道中进行复用，其标签的结构如下图所示。

LSP可以看作是承载多条VC的隧道，VC可以看作是实际承载L2帧的电路，VC实际是隧道LSP中的子LSP。隧道LSP提供PE之间的隧道连接，VC承载特定用户（VPN）的数据帧。隧道ISP的建立方式可以有多种，可以使用LDP的方式或者是RSVP信令协议。PE之间VC 标签的分发使用下游标签分配的方式，可以采用静态分配的方法也可以通过信令进行分配，VC和传统的LSP一样也是单向的，为了获得双向的VC连接必须对VC两端的PE都进行配置。为了实现这种等级化的结构，在用户（VPN）的数据帧穿透运营商的网络时被打上了两层的标签：

外层标签或者隧道标签：用于标识隧道LSP，用于定位特定的目的PE路由器；

内层标签或者VC标签：用于标识用户的连接，用于定位目的PE路由器上特定的VPN成员站点。

如下图所示，以PE0为源端、PE1为目的端为例，当PE0发送一个二层PDU到PE1时，PE0首先为二层净荷添加一个VC标签，然后添加一个隧道标签。隧道标签用来确定MPLS分组从PE0到PE1的通路；只有MPLS分组到达PE1时，VC标签才可见，PE1对分组的处理取决于VC标签的内容。

隧道标签用来确定通过MPLS网络的通路，VC标签用来识别端点的VLAN、VPN、或连接。例如，如果MPLS分组的净荷是ATM AAL5 协议数据单元时，PE2能从VC标签推断出净荷对应的出口，以及AAL5 PDU的VPI/VCI值。如果净荷是帧中继PDU时，PE2能从VC标签推断出净荷对应的出口，以及DLCI值。如果净荷是以太网帧时，PE2能从VC标签推断出净荷对应的出口，及VLAN识别符。

使用隧道标签和VC标签的方法，可以将多个二层“VC”复用到单个“Tunnel”中，可以节省运营商骨干MPLS网络中对LSP的需求量，有利于提高网络的扩展性。

Draft-kompella的基于MPLS的二层VPN是一种由点到点连接的集合构成的点对多点解决方案。和Martini方式相比，Kompella的优势是引入了VPN的自动发现机制，在网络初始化时需要对VPN的所有站点进行配置，一旦初始化完成后，只需对新添加的站点进行配置，而不必触及已配置的站点。Kompella的自动发现机制使用BGP作为VC标签分配的信令，整个VPN建立的过程充分的借鉴的L3 MPLS VPN实现的思想。PE之间建立全网状的IBGP会话，相互交换VPN成员信息和VPN能力的协商，其网络结构如图5所示。

点到多点连接（VPLS）

目前在IETF中有多个草案涉及L2多点连接的问题，试图解决Layer 2以太帧通过IP/MPLS 网络进行点到多点传送。在IP/MPLS网络中，Layer2 MPLS VPN可以仿真一个局域网交换机，具有基于MAC地址对用户的数据帧进行转发的能力。最终的目的是构架客户端基于L2交换的VPN网络。这种解决方案一般也称作是VPLS（Virtual Private LAN Services）。

VPLS 的解决方案实际上是对Martini解决方案中引入概念的扩展。VPLS实际上是在PE之间建立了一个全网状的VC连接来仿真点到多点的连接。值得注意的是VC是一个单向的连接，为了承载双向的数据流，需要一对VC连接。 VC标签信息的交换主要有两种方法，一种是LDP标签分配方式，另外一种是BGP标签分配的方式。客户VPN使用32bit的VPN ID进行标识，也有一些草案中使用56bit或者64bit的VPN ID进行扩展。还有一种解决方案是将VPN ID存储在DNS系统中进行统一的管理控制，可以简化业务提供的过程。在VPLS中，VLAN ID对于运营商网络来说没有任何的意义，运营商的网络根据为客户VPN分配的标签进行标签交换，所以对于Layer2 MPLS VPN来说，它可以不受最大4095个VLAN数目的限制。PE设备的功能体（多数情况下是PE路由器）像普通的二层交换机一样进行MAC地址的学习，唯一的不同是Layer2 MPLS VPN通过VC进行数据帧的转发。通过MAC地址的学习每个承载VPN的PE上都会生成相应的MAC地址转发表，这个转发表称作是VFI（Virtual Forwarding Instance），VFI和PE上的VPN之间是一一对应的关系。和Layer3 MPLS VPN一样，为了合理地利用设备的资源，Layer2 MPLS VPN的PE设备上只存储它承载的VPN的MAC转发表，而不是网络中所有VPN的MAC转发表。P路由器不进行任何的MAC地址学习，整个Layer2 MPLS VPN的建立过程对P路由器是透明的。

PE不必像传统的L2 交换机一样运行STP协议，因为在Layer2 MPLS VPN中使用MPLS的内在保护机制进行链路的保护，而且VPLS的PE之间采用的全网状连接的VC，PE之间的流量相互可以直达，所以不会产生L2 交换网络中通常会遇到的线路保护和线路环路的问题，所以也就没有使用STP协议的必要。Layer2 MPLS VPN可以避免通常L2交换网络中因为使用STP带来的网络恢复的周期长、网络的控制性受限制等问题。如图6中所示，VPLS中也可以实现重叠VPN的网络结构，站点1同时属于VPN A和VPN C，在数据平面VPN A和VPN C的数据可以通过不同的VLAN ID使用802.1q复用到单一物理接入链路上。在控制平面，客户需要对其路由协议的发布进行一定的策略控制，决定路由发布和VPN之间的对应关系。对运营商而言，路由的管理和控制是由用户进行的，运营商的维护管理的工作简单。

• 跨域MPLS VPN

广东移动城域网如果需要实现全省范围内或跨省的MPLS VPN业务，需要实现跨域MPLS VPN(Inter-AS MPLS VPN)。在RFC2547bis中列出了MPLS VPN的三种跨域（inter-AS）互通方式，下面对三种方案在城域网实施中的利弊作简要分析。

在RFC2547bis中列出了MPLS VPN的三种跨域（inter-AS）互通方式，分别为：RFC2547a 在自治域边界路由器上用VRF连接VRF、RFC2547b 向相邻的自治域通过EBGP重分布打标的VPN-IPv4路由、RFC2547c 相邻的自治域通过EBGP重分布IPv4路由，在源自治域和目的自治域之间通过Multihop EBGP重分布打标的VPN-IPv4路由。在此，对三种方案在现有网络实施中的利弊作简要分析。

方案1： RFC2547a

两个AS（AS1、AS2）的边缘路由器（ASBR1、ASBR2）直接相连，但彼此将对方视为CE，故实际上是AS1-VRF与AS2-VRF直接相连。该方案是最基本的跨域互通方式，支持RFC2547的设备均具有该能力。

RFC2547a方案最主要的问题是扩展性差。因为每个互联的VPN需要占用ASBR1-ASBR2间的一个子端口，当VPN数目增大时配置和维护的工作量巨大，并且可能超过设备端口的支持能力。但RFC2547a方案可以提供不同厂商设备间的跨域互通。

方案2：RFC2547b

RFC2547b中，两个AS边缘路由器直接相连，同时ASBR中存在VRF，称为ASBR-PE。RFC2547b方案要求ASBR-PE间有独立的直接连接，因为ASBR-PE中存在VRF，需要大量内存，用户路由的波动将影响现网，故应与公网ASBR分离设置。

RFC2547b方案与RFC2547a相比扩展性更好，对现有网络结构的变化更小，但从与现有网络整合的角度看，RFC2547b较RFC2547c差。

方案3 ：RFC2547c

RFC2547c中两个AS的边缘路由器既可以不直接相连，也可以直接相连，但此时ASBR将不存在VRF（故称ASBR，而不再是ASBR-PE），VRF仅存在于PE中；多个AS可以通过Multi-Hop MP-eBGP将VPN路由沿途传递下去，无VPN的中间AS只需要进行标签交换，并设立一个BGP路由反射器（Route Reflector－RR）就可以使两边的VPN联通。RFC2547c方案是最具扩展性的方案，也是MPLS VPN跨域互通的“终极”方案。这一方案的另一优点是，通过现有公网提供MPLS VPN时，可以安全、直接地利用两个AS间疏通公网流量的电路，而不需增加专门用于VPN流量的直联电路。

1.1.2.1.10.2.MPLS VPN部署

• MPLS VPN相关参数规划

根据广东移动对MPLS VPN业务参数的规划，如下：

1.VPN名称：由不多于44个的字符组成，一个客户/业务一个VPN名称

VPN的命名遵照如下格式：

业务归属	_	业务系统	_	客户信息	_	VPN名称编号（服开系统分配）
字符	字符	字符/数字	字符	字符/数字	字符	字符/数字
2-5(大写字母)	1	≤6(大写字母或数字)	1	≤15(大写字母或数字)	1	≤15(大写字母或数字)

说明：

（1）“业务归属”：表示VPN所承载的业务所属的地市。对于省级业务,该字段采用“GD”，对于各地市城域网内业务采用GD加省会2位、地市3位缩写。

地市	缩写	地市	缩写
广州	GZ	湛江	ZJI
韶关	SHG	茂名	MMI
清远	QIY	惠州	HIZ
肇庆	ZHQ	河源	HEY
云浮	YFU	汕尾	SHW
江门	JIM	汕头	SHT
阳江	YAJ	潮阳	CHY
佛山	FOS	揭阳	JIY
中山	ZHS	梅州	MZH
珠海	ZHH	潮州	CZH
东莞	DOG	深圳	SZH

 

（2）“业务系统”：表示承载VPN业务的网络系统。对于省公司发起的业务使用“CMNET”标识；完全使用CMNET承载的业务使用“CMNET”；市公司发起的业务，使用IP城域网承载（含跨地市的CMNET部分）的使用“IPMAN”。

（3）“客户信息”：表示VPN所承载业务所属的客户信息。对于公司自有业务，统一使用“CMCC”标识，对于外部用户，使用不大于15位的字符或数字标识，其中拼音首字母应为大写。

（4）“业务子类别”：表示VPN名称编号。

• 省内跨市的VPN需求，其VPN名称编号统一命名建议为：“VPN0000”-“VPN9999”，即为“VPN+四位数字”；
• 市内的VPN需求，其VPN名称编号统一命名建议为：“VPN10000”-“VPN99999”，即为“VPN+五位数字”；

市内预留每个地市一千个，跨市预留一万个编号。

典型VPN实例命名示例：

（1）GD_CMNET_CMCC_CMIMS_VPN0001 （广东省级自有业务，CMIMS业务系统）

（2）GDFOS_IPMAN_DianZiCheng_VPN13000   (佛山市公司本地城域网电子城VPN业务)

（3）GDYAJ_IPMAN_DaYangKeJi_VPN0450  (阳江市公司发起接入的跨地市城域网VPN业务大阳科技公司VPN，连接了阳江、云浮、肇庆三个地市)

GDYFU_IPMAN_DaYangKeJi_VPN0450

GDZHQ_IPMAN_DaYangKeJi_VPN0450

（4）GDJIM_IPMAN_SuiYi_（江门公司发起的城域网内VPN业务随移公司，后期发展为跨地市VPN，增加中山、珠海、深圳四个地市）

2.RD：AS号(56040)+两位节点号+5位数字，以客户业务发起点或核心接入点所在地市来分配，具体分配如下：

序号	发起/核心节点	RD分配号段
1	省公司	56040:10xxxxx
2	广州	56040:11xxxxx
3	深圳	56040:12xxxxx
4	东莞	56040:13xxxxx
5	佛山	56040:14xxxxx
6	江门	56040:15xxxxx
7	惠州	56040:16xxxxx
8	汕头	56040:17xxxxx
9	珠海	56040:18xxxxx
10	中山	56040:19xxxxx
11	韶关	56040:20xxxxx
12	河源	56040:21xxxxx
13	梅州	56040:22xxxxx
14	汕尾	56040:23xxxxx
15	阳江	56040:24xxxxx
16	湛江	56040:25xxxxx
17	茂名	56040:26xxxxx
18	肇庆	56040:27xxxxx
19	清远	56040:28xxxxx
20	潮州	56040:29xxxxx
21	揭阳	56040:30xxxxx
22	云浮	56040:31xxxxx

其中5位数字号支持10万级别的客户，对客户类型规划如下：

业务类型	号段
自有业务	00000-09999
VIP客户	10000-19999
普通客户	20000-99999

示例：

（1）、GD_CMNET_CMCC_CMIMS （广东省级自有业务，CMIMS业务系统）

RD分配： 56040:1000900

（2）、GDFOS_IPMAN_DianZiGongSi   (佛山市公司本地城域网电子公司VPN业务,普通客户)   RD分配： 56040:1420033

（3）、GDYAJ_IPMAN_DaYang   (阳江市公司发起接入的跨地市城域网VPN业务大阳公司VPN，连接了阳江、云浮、肇庆三个地市，铜牌客户)

RD分配：56040：1410095

（4）、GDJIM_IPMAN_SuiYu （江门公司发起的城域网内VPN业务随域公司，后期发展为跨地市VPN，增加中山、珠海、深圳四个地市，普通客户）

RD分配：56040： 1530211

3. 组网结构： FullMesh 或 Hub&spoke

FullMesh 表示在同一个VPN中的所有站点之间都可以相互访问

Hub&spoke 表示在同一个VPN中只有主站能与分站点互访问，而分站点之间无法互访问。

4.RT：对于FullMesh 所有站点的RT以客户总部接入地市点来分配，都为AS号+两位节点号+5位数字+00，其中AS号+两位节点号+5位数字与RD保持一致。

对于Hub&Spoke主站的RT为AS号+两位节点号+5位数字+00 ；分站的RT为AS号+5位数字+01，如需要多个节点之间的相互控制，则依次分配末两位数字。其中AS号+两位节点号+5位数字与RD保持一致。

示例：

（1）、GD_CMNET_CMCC_CMIMS （广东省级自有业务，CMIMS业务系统，FullMesh结构）

RT分配： 56040:100090000

（2）、GDFOS_IPMAN_DianZiGongSi   (佛山市公司本地城域网电子公司VPN业务, Hub&Spoke结构)

主站点export RT分配：  56040:142003300

分站点1 export RT 分配：56040:142003301

分站点2 export RT分配：56040:142003301

5.跨域方式：跨地市的VPN通过城域网CR或SR开通传输电路接入CMNET CR，使用Option B方式互通。城域网对需要跨域的路由配置community 56040:199(community名称统一为MPLS-VPN-OptionB)，并只将含有56040:199的路由发给CMNET，减少跨域路由表中不必要的路由条目(策略名称统一为GD_CMNET_CMCC_MPLS-OptionB_OUT /IN)。

6.PE-CE路由协议：对于单链路单点接入的客户使用静态路由协议；对于双链路双点接

入的客户，优先使用EBGP路由协议，双方使用接口地址建立EBGP邻居关系，同一接设备存在多条互联链路的情况下，可使用双方设备的loopback管理地址建立多跳的EBGP邻居关系。

7.PE-CE互联地址：PE-CE互联地址建议由客户提供私网地址，避免IP冲突。

8.MTU：所经过链路的MTU值统一修改为4470（可视厂家设备不同有几个字节的增减）。

• L3 MPLS VPN部署

城域网三层MPLS VPN部署见下图：

如上图 CMNET-BR与IPMAN-CR设备采用OptionB+C混合方式实现跨域的BGP/MPLS IP VPN。CMNET-BR与城域网CR作为MPLS-VPN的ASBR角色）。具体技术要求如下：

• CMNET-BR与IPMAN-CR 间通过MP-EBGP交换VPNv4路由；
• CMNET-BR与IPMAN-CR 间通过LDP协议交换MPLS标签；
• 两边ASBR不对接收的VPNv4路由进行VPN-Target过滤；
• IPMAN-CR作为其他的SR、BRAS的VRR，并对BR收到的MP-EBGP路由反射给各VRR-client时修改下一跳为自己，；
• 城域网内需要跨域的VPNv4路由条目标上community 56040:199,IPMAP-CR只将标识了56040:199的路由发给CMNET-BR，CMNET-BR侧也通过策略控制只接收标识了56040:199的路由。
  • L2 MPLS VPN部署

VPLS采用基于Target LDP的解决方案（draft-ietf-12vpn-vpls-ldp-05），PE之间需要建立Full-Mesh的Target LDP邻居。 如下图所示：

这种方式适合于PE数目相对较少的情况。在VPLS业务大规模部署的情况下，需要考虑Full-meshed LDP邻接所带来的可扩展性问题，为此VPLS设计中引入了层次化（H-VPLS）方案。具体在城域网中可以有两种部署方式：

方案一：星形+Full-meshed邻居

市本级和县市各自区域内的SR之间建立Full-Mesh的邻居，县市节点做为的市本级SR的Spoke节点。如下图所示：

方案二：Hub-Spoke邻居

核心节点的2台SR和各县市的1台建立Full-Mesh连接。市本级的其它SR根据不同拓扑做为SR的Spoke；县市的其它SR做为Hub的Spoke节点。如下图：

Full-meshed LDP邻居方案从流量角度看最为合理，流量不需要经过Hub PE进行汇聚，在城域网部署VPLS业务时建议优先采用该方案。其问题在于可扩展性方面，如果新增一台新的PE，那么就需要在其它所有的PE上进行配置，也就是说，要建立full-mesh的ldp邻居会对运维工作增加较大工作量，具有一定的难度。

H-VPLS方案存在的主要问题是存在流量次优的问题，第一种H-VPLS部署方案跨县市的流量都需要迂回到HUB PE；该方式对市本级和县市内部互联需求较多的情况较为合适。第二种部署方式流量迂回更多，因此不建议采用该方案。

2、VPLS业务实现

目前，城域网开展了大量基于VLAN方式的企业同城互连业务，这些业务可逐步迁移到二层VPN（VPLS）业务网络上，增强业务的灵活性和可管控性。当用户需要采用二层VPN方式接入时，则可以在SR上开启VPLS功能，作为二层VPN用户接入控制设备。

VPN业务作为大客户专线的一种业务方式，其接入和终结需求等同于大客户专线接入业务。VPN业务也可以通过以下几种方式接入：

1）光纤直接接入SR设备

根据用户互联需求，在SR互联接口上使用物理接口互联或者使用dot1q方式互联；根据与用户的协议情况，对用户的流量基于接口或子接口进行QoS分类标记；对用户提供双向限速设置。在SR上建立该用户的MPLS VPN VPLS实例，将用户互联的接口放入到相应的VPLS实例中。

这种方式主要定位于高带宽组网的高端客户或中、低端客户的中心端。

2）光纤直接接入汇聚交换机

用户的数据需要通过二层VLAN透传到SR，最终在SR相应子接口上绑定VPLS实例实现用户与VPN的对应。

• 在汇聚交换机上为每个用户配置一个专线VLAN，封装单层dot1q tag；在用户的接入端口对用户进行入流量的限速。
• 宽带接入网对用户VLAN进行透传。
• SR做为专线接入网关，在下行GE端口终结VLAN；根据用户协议情况，对用户的流量基于子接口进行QoS分类标记；对用户提供下行流量限速或整形设置。
• 在SR上建立该用户的MPLS VPN VPLS实例，将用户互联的接口放入到相应的VPLS实例中。

3）、通过接入层交换机接入，或ADSL接入、FTTX接入等。

这种方式比较适合于企业的分支机构接入VPN，用户可以就近接入POP点的接入交换机或通过ADSL、FTTX接入，而不是通过跨局光纤接入SR或汇聚交换机。

这种方式需要在接入网使用QinQ技术。

• 园区交换机/ADSL接入/FTTX的专线用户分配相应的专线内层VLAN，DSLAM完成PVC向VLAN的映射。
• DSLAM和园区交换机直连的汇聚交换机或接入交换机根据内层标签加载外层标签，实现VLAN的扩展。二层宽带汇聚网透传外层标签。
• SR做为专线接入网关，在下行GE端口终结QinQ专线；根据用户协议情况，对用户的流量基于子接口进行QoS分类标记；对用户提供下行流量限速或整形设置。
• 在SR上建立该用户的VPLS实例，将用户互联的接口放入到相应的VPLS实例中。

1.1.2.1.10.3.MPLS VPN配置示例

• 城域网L3 MPLS VPN配置示例

以某设备配置为例：

1、下联接口配置与MPLS配置 interface GigabitEthernet 1/0/0          //城域网内部互联端口，需要开启mpls及ldp协议 description dT:GDDOG-MS-IPMAN-BNG01-ZTYKE-AL:10G:LAG-1 // BNG mtu 4470                                       mpls mpls ldp      interface GigabitEthernet 100GE1/0/0    //与CMNET-BR互联端口，开启mpls及ldp协议 description uT:GDGZ-PB-CMNET-BR03-NE5KE-FC:100G(GZ/ZH-100GE0001IPBB/)::GE2/4/1/0 mtu 4470                                       mpls                        mpls ldp   2、与下联设备建立VPNV4邻居关系              bgp 65280 ipv4-family vpnv4 reflector cluster-id 120.196.29.1 undo policy vpn-target                //关闭RT过滤 peer ibgp-man-rrclient enable             peer ibgp-man-rrclient reflect-client        peer ibgp-man-rrclient next-hop-local      peer 120.196.31.17 enable                 peer 120.196.31.17 group ibgp-man-rrclient   3、建立路由策略，用于对跨域路由出方向进行标记，对入方向进行过滤 ip community-filter 199 permit 56040:199 ip rd-filter 1 permit 56040:10000xx  //对跨域RD进行路由发布-非自营大客户业务 ip rd-filter 1 permit 56040:10000yy  //对跨域RD进行路由发布-非自营大客户业务   ip rd-filter 2 permit 56040:1000069  //对跨域RD进行路由发布-自营ITMS业务   route-policy PB-MPLS-VPN_out permit node 10       if-match rd-filter 1 apply community 56040:199   route-policy PB-MPLS-VPN_out permit node 20      //建议新写一个node if-match ip-prefix ITMS-Route-OUT               //前缀列表控制ITMS路由发布 if-match rd-filter 2 apply community 56040:199   route-policy PB-MPLS-VPN_out deny node 999     route-policy PB-MPLS-VPN_in permit node x         //只收community 56040:199路由 if-match community-filter 199   ip ip-prefix IMS-Route-OUT index X  permit X.X.X.X X greater-equal X less-equal 32 //前缀列表控制路由发布   4、与CMNET -BR建立VPNV4的EBGP邻居关系 bgp 65280 group ebgp-cmnet external peer 221.179.3.1 as-number 56040      //与CMNET-BR建立用loopbackEBGP邻居关系 peer 221.179.3.1 group ebgp-cmnet peer 221.179.3.1 valid-ttl-hops 1 peer 221.179.3.1 connect-interface LoopBack0 ipv4-family unicast   peer 221.179.3.1 enable   peer 221.179.3.1 group ebgp-cmnet                //原EBGP邻居 ipv4-family vpnv4 undo policy vpn-target                                    peer ebgp-cmnet enable                            //对BR启用VPNV4的地址簇   peer ebgp-cmnet route-policy PB-MPLS-VPN_in import     //通过路由策略过滤从CMNET-BR侧收到的路由，只接收56040：199 community的路由   peer ebgp-cmnet route-policy PB-MPLS-VPN_out export     //通过路由策略过滤发送至CMNET-BR侧收到的路由，只发送含56040：199 community的路由   peer ebgp-cmnet advertise-community   peer 221.179.3.1 enable   peer221.179.3.1 group ebgp-cmnet

 

• 城域网L2 MPLS VPN配置示例

配置BRAS1/BNG1(PE1) # mpls ldp remote-peer 10.1.1.2        #配置BNG2的远端LDP会话，对端PE1  remote-ip 10.1.1.2 mpls ldp remote-peer 10.1.1.3        #配置BNG3的远端LDP会话，对端PE2  remote-ip 10.1.1.3 # mpls l2vpn                       #启用二层VPN功能 # vsi vpn-1 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id aaa                                                    //配置VSI－ID,必须与对端一样   peer 10.1.1.2                     #配置远端BNG2的loopback地址   peer 10.1.1.3                   #配置远端BNG3的loopback地址 # vsi vpn-2 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id bbb          #配置VSI－ID,必须与对端一样  peer 10.1.1.2                    #配置远端BNG2的loopback地址  peer 10.1.1.3                 #配置远端BNG3的loopback地址 # interface Eth-Trunk2.1000  control-vid 1000 qinq-termination                   qinq termination pe-vid 1000 ce-vid 100         #QINQ 内外层VLAN为100,1000  description  ******                             #专线客户VPN-1  l2 binding vsi vpn-1                             #把接口放入到VPN-1实例中 interface Eth-Trunk2.1001  control-vid 1001 qinq-termination       qinq termination pe-vid 1000 ce-vid 200      #QINQ 内外层VLAN为100,1000  description  ******                         #专线客户VPN-2  l2 binding vsi vpn-2  #   配置BRAS2/BNG2(PE2) # mpls ldp remote-peer 10.1.1.1         #配置BNG1的远端LDP会话  remote-ip 10.1.1.1 mpls ldp remote-peer 10.1.1.3         #配置BNG3的远端LDP会话  remote-ip 10.1.1.3 # mpls l2vpn                       #启用二层VPN功能 # vsi vpn-1 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id aaa          #配置VSI－ID,必须与对端一样  peer 10.1.1.1        #配置远端BNG1的loopback地址  peer 10.1.1.3        #配置远端BNG3的loopback地址 vsi vpn-2 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id bbb          #配置VSI－ID,必须与对端一样  peer 10.1.1.1        #配置远端BNG1的loopback地址  peer 10.1.1.3       #配置远端BNG3的loopback地址 # interface Eth-Trunk2.1000  control-vid 1000 qinq-termination                   qinq termination pe-vid 1000 ce-vid 100         #QINQ 内外层VLAN为100,1000  description  ******                             #专线客户VPN-1  l2 binding vsi vpn-1                             #把接口放入到VPN-1实例中 interface Eth-Trunk2.1001  control-vid 1001 qinq-termination       qinq termination pe-vid 1000 ce-vid 200      #QINQ 内外层VLAN为100,1000  description  ******                         #专线客户VPN-2  l2 binding vsi vpn-2  #   配置BRAS4/BNG3(PE3) # mpls ldp remote-peer 10.1.1.1         #配置BNG1的远端LDP会话  remote-ip 10.1.1.1 mpls ldp remote-peer 10.1.1.2        #配置BNG2的远端LDP会话  remote-ip 10.1.1.2 # mpls l2vpn    #启用二层VPN功能 #                    vsi vpn-1 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id aaa          #配置VSI－ID,必须与对端一样  peer 10.1.1.1        #配置远端BNG1的loopback地址  peer 10.1.1.2        #配置远端BNG2的loopback地址 vsi vpn-2 static                   #配置VSI实例名称  pwsignal ldp            #配置信令为LDP  vsi-id bbb          #配置VSI－ID,必须与对端一样  peer 10.1.1.1        #配置远端BNG1的loopback地址  peer 10.1.1.2       #配置远端BNG1的loopback地址 # interface Eth-Trunk2.1000  control-vid 1000 qinq-termination                    qinq termination pe-vid 1000 ce-vid 100         #QINQ 内外层VLAN为100,1000  description  ******                             #专线客户VPN-1  l2 binding vsi vpn-1                             #把接口放入到VPN-1实例中 interface Eth-Trunk2.1001  control-vid 1001 qinq-termination       qinq termination pe-vid 1000 ce-vid 200      #QINQ 内外层VLAN为100,1000  description  ******                         #专线客户VPN-2  l2 binding vsi vpn-2  #

 

1.1.2.1.11.服务质量QoS部署方案

1.1.2.1.11.1.QoS概述

随着互联网技术的发展，网络承载的业务类型日趋多样化，除了传统的数据业务外，各种语音、互联网视听等业务也都发展并成熟起来。多种业务共享一个网络传输平台，不同的业务有不同的传输要求，城域网必须能够提供差异化的承载能力，保证不同业务的服务质量，从而获得良好的用户体验质量（QoE）和业务市场的竞争力。

QOS组件部署位置图

目前， IETF 推荐的实施IP QoS 的模型是基于RFC 2475 的区分等级服务（Differentiated Services，简称DiffServ）结构。它采用IP 报头中的TOS 字节中的六位来区分不同等级的IP 包，这六位称DSCP；剩下的两位是显式拥塞标志（ECN），在两边终端的TCP 层面进行拥塞控制，保证质量。RFC 2475 同时还定义了网络中要实施IPQoS 的网络设备的行为，也就是对IP 数据报要采取的一系列动作，包括：分类（Classifier）、条件判断（Conditioner）和队列（Queues）。而在实际的运营网络上，分类和条件判断通常是相结合的，简称标记，它的作用是将不同的数据分类并打上标记，下一级设备往往可以利用上一级设备的标记，因此，在一个运营商的网络中，通常是在与用户直接连接的设备上进行标记，也称边缘标记。队列是实现等级服务的基本手段，网络中的每一台设备都必须支持相同的队列算法和方式，整个网络才能达到预设的等级服务。需要指出的是，IP QoS 的实施是针对数据包本身，它需要对双向的出访数据和入访数据都进行处理，是属于数据转发平台的功能。

在网络上全程实施IP QoS，主要工作包括：定义服务等级；在所有边缘设备上实施边缘标记；所有的网络设备实施相同的队列算法和方式；对所有服务等级进行监控，以改善网络参数和计划网络升级。

首先是定义服务等级。在理论上说，最多可以定义64 种服务等级。目前IETF 也只是定义了其中22 种服务等级，包括8 种传统服务等级，12 种确定转发（AF）服务等级，1 种快速转发（EF）服务等级和1 种缺省（BE）服务等级。对于Internet 服务来说，在开始实施IP QoS 的第一阶段，一般先提供较少的服务等级。随着业务的开展，可以逐渐增加更多的等级。

定义了服务等级后，就可以将不同用户的数据归入不同的服务等级，或者将一个用户中不同特性的数据归入不同的服务等级，也就是标记。标记对入访数据和出访数据都可以实施。对入访数据实施标记一般有三种方式：本地定义、用户提供和QPPB；对出访数据实施标记一般是根据服务合约采用本地重置。

本地定义：采用（子）端口或访问控制列表（ACL）的方式将用户数据进行分类，根据服务合约的规定划分到不同的等级并打上标记，或干脆本地丢弃。采用ACL 的话，还可以通过扩展的ACL 来指定某些协议特性的数据，例如所有Voice over IP 的数据包。

用户提供：对于可以信赖的用户，可以允许其先将数据分类并打上标记，运营商通过对这些标记进行分类，根据服务合约的规定划分到不同的等级。用户数据的标记可以采用802.1p、IP Precedence 或DSCP，运营商可以重置用户数据的标记。对骨干网来说，各地省网和城域网可以采用这种方式。

QOS技术处理流程图

QPPB：QoS Policy Propagation via BGP，通过BGP 传递QoS 规则。BGP 路由协议在传递路由信息的同时，也传递路由信息的属性Community，边缘路由器可以根据Community 属性设置QoS Group，并将数据包据此分类，根据服务合约的规定划分到不同的等级。这种方式尤其适合在Internet 网关上对返回的商用等级数据包进行标记。它通过BGP 动态更新，无须网管人员手工配置，方便QoS 的大规模实施。

对网络边缘的设备来说，除了基于以上各种方式来进行分类和标记，还需要对用户数据根据服务合约来进行速率限制。对违规的数据包进行降级服务，甚至丢弃。

进行了标记以后，网络中的其它网络设备就可以根据等级标记进行队列处理。一般来说，一个等级的数据共用一个队列，因为产品定位的原因也可以将多个等级的数据共用一个队列。队列调度算法决定了不同队列数据的实际服务效果，修正的轮盘算法（Modified Deficit Round Robin，简称 MDRR）最适合处理多种队列的情形。MDRR 首先保证低延迟队列的服务优先于其它队列；在其它队列中，每一个队列可以依次轮流得到定义的服务份额。这样，每一种队列都可以得到它应得的服务。在网络出现拥塞的时候，队列内的数据溢出就会强制丢包。而丢报策略可以在溢出前有选择地丢包，以体现不同等级服务的差别，加权随机早期侦测（Weighted Random Early Discard，简称 WRED）最适合基于TCP 的IP 应用。WRED 监测队列深度，在拥塞发生前通过丢弃特定的报来警告TCP 发送方降低发送速率，以达到事先降低流速以防止网络拥塞。WRED 可以对不同等级标记的数据流赋予不同加权值，其结果是低优先级的流速度降低的幅度大于高优先级的流。因此，为实施QoS，对网络设备来说，在所有的端口上都要实施低延迟队列、MDRR 和WRED，包括在边缘设备上对用户的端口。

1.1.2.1.11.2.QoS技术分析

城域网在网络轻载的基础上使用以DiffServ为主的QoS机制，使城域网最终成为具有支持多业务能力的承载平台。

对于网络设备的QoS部署实现，归根结底，需要综合考虑5个基本技术：数据流的分类与标记、流量监管、拥塞避免、流量管理（队列机制）、流量整形等。在城域网中根据设备的支持能力和特性，以及业务的QoS需求，在不同层面的设备上部署不同的QoS技术。

1、分类和标记

当用户流量进入网络的时候，边缘层设备会先对流量进行识别，根据数据包中所包含的信息，将流量映射到不同的等级。

城域网中识别业务并实现分类方式比较多，可以根据数据报文各种标记字段、端口（物理端口、逻辑端口和子端口）、源/目的MAC地址、源/目的IP地址、IP层协议端口、应用层源/目的端口和BGP属性等来对报文进行分类。

在识别数据包进行分类之后，要对它进行标记。目前IP协议中，实现服务等级标记的标准有：RFC1349（TOS），RFC1122（Ip Precedence），RFC2474（DSCP），它们使用IP报文格式中同一字段。在MPLS数据包中预留了3bit的EXP字段用于QoS控制。

2、流量监管和流量整形

流量监管即通常所说的接入流量限速CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的QoS。

流量整形（shaping）是一种主动调整流量输出速率的措施。一个典型应用是基于下游网络结点的CAR指标控制流量的输出。

流量整形与流量监管的主要区别在于，流量整形对超出规格的报文进行缓存，当令牌桶有足够的令牌时，再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是，整形可能会增加延迟，而监管几乎不引入额外的延迟。

通过速率限制，同时也可以避免其他用户的数据业务受到部分特殊大客户的突发流量而引起的同类业务等级内的带宽冲击。

3、预留带宽管理

QoS的策略必须与业务需求和规划一致，否则就不能完全体现业务的需求。其中带宽预留参数是根据各类优先等级业务所占用网络容量的百分比来预留链路的带宽，是最主要的QoS策略参数，因此在QoS的部署阶段，可以通过现网流量成分分析、流量预测等工作，制定现阶段的QoS业务保障规划，从而制定网络设备层面的QoS各队列相关参数，以期达到网络设置与业务需求的一致性。

    通过实际业务运行中的实际数据，比如队列长度、实际带宽占用情况、丢包情况、时延情况等等，对网络各设备的QoS策略设置进行优化修订，以通过实际运行总结经验数据，满足不断发展变化的网络和业务实际需求。

比如，IPTV业务根据每个组播频道占用带宽（2-3M），乘以频道数量预留带宽。

4、拥塞管理（队列调度）

当拥塞发生时，多个报文会同时竞争使用资源。此时如何制定一个资源的调度策略决定报文转发的处理次序，就是拥塞管理的中心内容。对于拥塞管理，一般采用排队技术，它包括队列的创建，决定报文的队列归属的流分类，以及队列间的调度策略。

经过技术比较和考虑现网设备支持情况，带有优先队列的加权轮循（WRR＋PQ）比较符合业务需求。该队列管理机制定义了一个绝对高优选级的队列用于满足语音等对时延要求小的业务，其他队列采用加权轮循方式分享带宽。

其中，PQ队列绝对优先，时延低；WRR队列中各队列实际可用带宽计算方式如下：WRR队列总带宽＝端口总带宽－PQ队列实际数据带宽

各队列带宽＝WRR队列总带宽×各队列weight值/各队列weight值之和；

除PQ外，WRR各队列实际无优先级别，而仅是根据带宽分配比决定其队列可使用带宽；PQ或WRR队列的剩余带宽可以被其他WRR队列所使用。

5、拥塞避免

在出现严重拥塞时，网络必须丢弃一定的数据以缓解拥塞，避免出现进一步拥塞。目前常用的方法是采用RED/WRED算法，在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题，同时保护级别较高的业务不受拥塞的影响。

根据现网的流量分析表明，目前网上部分流量为TCP流量，而WRED拥塞避免机制对于避免由于TCP尾丢弃而引起的全球同步问题具有一定效果，所以可以在所有具有拥塞管理功能的设备上开启WRED。

由于调节同一队列Q不同T的WRED参数max(th)和min(th)，会改变同一队列中的丢弃优先级，可以通过同一队列Q的不同T队列来区分不同的业务优先级。

1.1.2.1.11.3.QoS技术部署

1、QOS分级

广东移动CMNET及IP 城域网的QOS 策略与集团骨干网统筹考虑，与CMNET骨干网保持一致，按照用户类型进行业务分级，具体如下：

业务类别	DSCP建议值	说明
网管和路由协议	56（111000）
重要集客互联网专线	53（110101）
LTE/IMS信令和VoLTE/IMS语音	46（101110）	与已有规范保持一致；QOS标记由核心网设备完成设置，承载网仅需要进行流量统计和带宽保障
VoLTE/IMS流媒体	34（100010）
普通集客互联网专线	29（011101）
2G/3G/LTE上网业务	18（010010）	上行流量QOS标记由核心网设备完成设置；为设置下行流量的QOS标记，承载网需要设置BGP community；承载网需要进行流量统计和带宽保障
WLAN上网业务	11（001011）
家庭宽带上网业务（含互联网电视用户）	1（000001）	虽然也在BE队列，但基于DSCP进行统计时可以和网络中其他BE流量进行区分

 

2、流量标记

流量标记需要分别考虑不同业务类别的上行流量和下行流量的标记方案。原则上，上行流量的标记应尽量靠近用户，由业务接入设备（如BRAS、SR、AC等）设置。业务接入设备应保证对所有上行流量完成标记或者重标记，避免用户的标记进入大网。根据QOS业务分级方案，各设备对上行流量的标记要求如下表。

业务类别	设置上行流量标记的设备	需要设置的DSCP值	说明
网管和路由协议	路由器	56（111000）
重要集客互联网专线	SR	53（110101）
LTE/IMS信令和VoLTE/IMS语音	SAE GW/MME	46（101110）	这些流量通过S5/S10/S11等接口传输，承载在CMNET上，要求SAE GW/MME根据流量性质直接标记最外层IP头中的DSCP域
VoLTE/IMS流媒体	SAE GW/MME	34（100010）
普通集客互联网专线	SR	29（011101）
2G/3G/LTE上网业务	GGSN/SAE GW	18（010010）	这些流量在Gn/S5接口中传输时需要核心网设备设置隧道外层IP头中的DSCP域；这些流量从Gi/SGi接口进入CMNET时需要GGSN/SAE GW设置IP头中的DSCP域
WLAN上网业务	AC	11（001011）
家庭宽带上网业务（含互联网电视用户）	BRAS	1（000001）

 

下行流量的标记应尽量靠近业务，由IDC/Cache/CDN出口路由器、省级自有业务的接入路由器、省网第三方出口路由器等进行设置。进行下行流量标记的设备通过DCU/QPPB技术，根据收到的BGP路由携带的Community属性设置下行流量的QOS标记。进行下行流量标记的设备应保证对所有下行流量完成标记或者重标记，避免业务系统的标记或者它网的标记进入大网。BGP Community和QOS DSCP值的对应关系如下表所示。

BGP Community	需要设置的DSCP值	对应的业务类别	说明
9808:61560	56（111000）	网管和路由协议	路由器根据流量性质直接标记DSCP，并不根据Community进行设置
9808:61530	53（110101）	重要集客互联网专线
9808:61460	46（101110）	LTE/IMS信令和VoLTE/IMS语音	这些流量通过S5/S10/S11等接口传输，承载在CMNET上，要求SAE GW/MME根据流量性质直接标记最外层IP头中的DSCP域，并不根据Community进行设置
	34（100010）	VoLTE/IMS流媒体
9808:61290	29（011101）	普通集客互联网专线	*注1
9808:61180	18（010010）	2G/3G/LTE上网业务	这些流量在承载网中，由CMNET网络设备根据BGP Community设置DSCP；这些流量进入GGSN/SAE GW，在Gn/S5接口中传输时由GGSN/SAE GW根据流量性质设置GTP隧道外层IP头中的DSCP
9808:61110	11（001011）	WLAN上网业务
9808:61010	1（000001）	家庭宽带上网业务（含互联网电视用户）

 

3、路由属性规划

根据QOS分级方案，要求不同业务类别的路由相互独立，通过BGP宣告这些路由时携带不同的Community，具体Community的规划如下表：

业务类别	BGP Community	设置BGP Community的设备	说明
网管和路由协议	9808:61560	路由器
重要集客互联网专线	9808:61530	SR
LTE/IMS信令和VoLTE/IMS语音	9808:61460	SAE GW/MME接入的省网路由器	这些流量封装在GTP隧道中，CMNET看到的地址是隧道外层头中SAE GW/MME的地址，这里要求为SAE GW/MME的地址对应的路由携带community
VoLTE/IMS流媒体
普通集客互联网专线	9808:61290	SR
2G/3G/LTE上网业务	9808:61180	负责进行用户私有地址翻译的FW或者FW接入的省网路由器	2G/3G/LTE上网业务为用户分配的是IPv4私有地址和IPv6地址，这里需要携带community的路由是NAT地址池中的公有地址对应的路由
WLAN上网业务	9808:61110	AC或AC接入的省网路由器
家庭宽带上网业务（含互联网电视用户）	9808:61010	BRAS

 

4、流量保障

CMNET省网路由器（含城域核心路由器、省网汇接路由器、IDC/Cache/CDN出口路由器、自有业务的接入路由器、省网第三方出口路由器）和IP城域网各路由器的所有接口应能在出方向统计各DSCP值对应的流量大小。目前建议基于路由器接口的硬件队列统计不同DSCP的流量情况。将来需要统计的业务种类超过8个时，可以考虑通过ACL对具体的DSCP值对应的业务进行流量统计。

路由器接口出方向各队列的带宽基于流量统计结果进行设置，并周期性地按照统计结果的变化进行相应调整。

DSCP值对应的QOS队列类型建议如下。

DSCP值	对应的业务类别	建议采用的队列	调度队列	说明
56（111000）	网管和路由协议	PQ	CS7	接口带宽5%
53（110101）	重要集客互联网专线	WFQ	CS6	接口带宽5%
46（101110）	LTE/IMS信令和VoLTE/IMS语音	WFQ	EF	接口带宽5%
34（100010）	VoLTE/IMS流媒体	WFQ	AF4	接口带宽5%
29（011101）	普通集客互联网专线	WFQ	AF3	接口带宽10%
18（010010）	2G/3G/LTE上网业务	WFQ	AF2	接口带宽35%
11（001011）	WLAN上网业务	WFQ	AF1	接口带宽15%
1（000001）	家庭宽带上网业务（含互联网电视用户）	BE	BE	使用剩余所有带宽(还剩20%)

 

1.1.2.1.11.4.城域网Qos配置示例

信任来自CMNET省网内部其他路由器的QOS流量标记和BGP路由标记，保持传播不做修改。CR路由器应能在所有接口出方向配置各队列的带宽保障，实施流量区分服务，并统计各DSCP值对应的流量大小，便于队列流量和质量监控。 /*定义diffserv域，并进入diffserv视图 */ diffserv domain default  ip-dscp-inbound 0 phb af1 yellow ip-dscp-inbound 1 phb be green  ip-dscp-inbound 11 phb af1 green  ip-dscp-inbound 18 phb af2 green  ip-dscp-inbound 29 phb af3 green  ip-dscp-inbound 34 phb af4 green  ip-dscp-inbound 46 phb ef green ip-dscp-inbound 53 phb cs6 green  ip-dscp-inbound 56 phb cs7 green ip-dscp-outbound af1 yellow map 0 ip-dscp-outbound be green map 1  ip-dscp-outbound af1 green map 11 ip-dscp-outbound af2 green map 18  ip-dscp-outbound af3 green map 29  ip-dscp-outbound af4 green map 34  ip-dscp-outbound ef green map 46  ip-dscp-outbound cs6 green map 53  ip-dscp-outbound cs7 green map 56 操作后,显示只有如下,因为其他的参数都是与缺省的匹配,不会显示,是正常的.  ip-dscp-inbound 11 phb af1 green  ip-dscp-inbound 29 phb af3 green  ip-dscp-inbound 46 phb cs7 green  ip-dscp-inbound 53 phb cs6 green  ip-dscp-outbound be green map 1  ip-dscp-outbound af1 green map 11  ip-dscp-outbound af3 green map 29  ip-dscp-outbound cs6 green map 53 /* 定义丢弃策略*/ wred pq_wred   color green low-limit 90 high-limit 100 discard-percent 100   color yellow low-limit 80 high-limit 90 discard-percent 100   color red low-limit 70 high-limit 80 discard-percent 100   wred wfq_wred   color green low-limit 80 high-limit 90 discard-percent 100   color yellow low-limit 70 high-limit 80 discard-percent 100   color red low-limit 60 high-limit 70 discard-percent 100   /* 针对不同的队列应用不同的丢弃策略*/ queue be wred wfq_wred queue af1 wred wfq_wred queue af3 wred wfq_wred queue ef wred pq_wred 备注:如果软件版本是V8的(目前只有深圳CR,其他地市不涉及)则需要配置全部的对列 queue be wred wfq_wred queue af1 wred wfq_wred queue af2 wred wfq_wred queue af3 wred wfq_wred queue af4 wred wfq_wred queue ef wred pq_wred queue cs6 wred pq_wred queue cs7 wred pq_wred   如果是做了Eth-Trunk端口,则配置在物理端口上(Eth-Trunk的成员端口), Eth-Trunk口不支持QOS QUEUE的命令. /* 在CR的上联CMNET_BR或者互联CR-2或者下联SR/BRAS的端口上配置 */ interface GigabitEthernetx/x/x trust upstream default  /* 数据流入方向必须信任该qos domain */ qos queue af1 cir cir-percentage 15 outbound qos queue af3 cir cir-percentage 10 outbound qos queue af4 cir cir-percentage 5 outbound qos queue ef priority 1 cir cir-percentage 5 outbound qos queue cs6 priority 1 cir cir-percentage 5 outbound qos queue cs7 pir pir-percentage 5 outbound    //输入后结果显示: qos queue cs6 priority 1 outbound是正常的 qos queue be cir cir-percentage 20 outbound qos queue af2 cir cir-percentage 35 outbound /*根据不同队列设定预留带宽的值，其中ef/cs6/cs7缺省是pq队列，其他缺省是wfq */   网管和路由协议,路由器根据流量性质直接标记DSCP /* 新建一个ACL，匹配相关的协议报文*/ acl number 3077  description Protect For Qos_Dscp    rule 0 permit tcp destination-port eq bgp    rule 5 permit tcp source-port eq bgp    rule 10 permit tcp source-port eq 646    rule 15 permit tcp destination-port eq 646    rule 20 permit udp source-port eq 646    rule 25 permit udp destination-port eq 646    rule 30 permit 46    rule 35 permit ospf    rule 40 permit tcp source-port eq 22    rule 45 permit tcp destination-port eq 22    rule 50 permit tcp source-port eq telnet    rule 55 permit tcp destination-port eq telnet    rule 60 permit udp destination-port eq snmp /* 配置通用流分类 */ traffic classifier classifier_QosProtocal    if-match acl 3077 /* 配置流行为 */ traffic behavior behavior_QosProtocal    remark dscp 56 service-class cs7 color green /*定义调度策略，关联上面的流分类和流行为*/ traffic policy QosProtocal    statistics enable    classifier classifier_QosProtocal behavior behavior_QosProtocal /*发布调度策略*/ interface GigabitEthernet x/x/x    /* 网络侧端口，涉及连接CMNET或者IPMAN内的SR/BRAS/CR*/   traffic-policy QosProtocal inbound interface pos x/x/x    /* 网络侧端口，涉及连接CMNET或者IPMAN内的SR/BRAS/CR*/   traffic-policy QosProtocal inbound      如果CR上有直接的WLAN业务，也需要对这些业务进行qos标记。 traffic classifier classifier_any   if-match any /* 配置流行为 */ traffic behavior behavior_QosWlan   remark dscp 11 service-class af1 color green /*定义流量策略*/ traffic policy QosWlan    statistics enable    classifier classifier_any behavior behavior_QosWlan /*发布调度策略*/ interface gi x/x/x    /* 连接AC或者WLAN相关的业务端口*/   traffic-policy QosWlan inbound   CR将下端SR/BRAS的业务路由（包括自身汇聚路由以及SR/BAS的明细路由）发布出去，同时保证comm属性有效传递。暂时不修改原先的SCU COMM，新增加QOS的COMM。   如下的route-policy export_community_to_cmnet都是现网已有配置 route-policy export_community_to_cmnet permit node 10 //这个是已有    if-match ip-prefix DG-SCU-PPPOE   //这个是已有    apply community 9808:61010 56040:57692 56040:201    //这个新配置的 #   针对家庭宽带 route-policy export_community_to_cmnet permit node 20 //这个是已有    if-match ip-prefix DG-SCU-WLAN      //这个是已有    apply community 9808:61110 56040:57692 56040:202     //这个新配置的 #   针对WLAN业务 route-policy export_community_to_cmnet permit node 30  //这个是已有    if-match ip-prefix export_to_cmnet_WLAN   //这个是已有    apply community 9808:61110 9808:65292                //这个新配的 #   针对WLAN业务 route-policy export_community_to_cmnet permit node 40   //这个是已有    if-match ip-prefix DG-SCU-PPPOE-2     //这个是已有    apply community 9808:61010 56040:57692 56040:201     //这个新配置的 #   针对家庭宽带 route-policy export_community_to_cmnet permit node 50    //这个是已有    if-match ip-prefix DG-SCU-SJZX         //这个是已有    apply community 9808:61290 56040:5769256040:203        //这个新配置的 #   针对普通集客 route-policy export_community_to_cmnet permit node 100  //逃生的node不需要修改   对于某些特殊的情况：SR内一个地址段内以普通集客为主，夹渣着部分重要集客。 首先在SR配置明细的静态路由（可以是32位的），然后将这些明细路由引入到BGP（可以参考下面SR的配置）。在CR的BGP收到这个明细路由，并直接对CMNET发布（需要新增加策略的node节点，透传业务相关的COMM）。 例如： ip community-filter advanced vip_comm permit 1000:1000 # route-policy export_community_to_cmnet permit node xx   //这个node节点需要在普通集客之前    if-match community vip_comm             //关联重要集客的COMM过滤表 # bgp xxxxx  ipv4-family unicast   peer ebgp-cmnet enable                                          //现网一般存在   peer ebgp-cmnet route-policy export_community_to_cmnet export   //现网一般存在   peer ebgp-cmnet advertise-community                             //现网一般存在     8.6.5对于城域网探针 直接在CR内发布直连路由，新增加策略的node节点，透传业务相关的COMM。 例如： ip ip-prefix WangGuan-TanZhen index 10 permit 120.198.77.0 28 route-policy Export_JY-MAN-ROUTE-NEW permit node 20  if-match ip-prefix WangGuan-TanZhen       apply community 9808:61560

 

1.1.2.1.12.网管网部署方案

1.1.2.1.12.1.网管拓扑架构

按网管网为各类系统提供带外网管连接，将业务流和网管流区别开来，从而提高系统的安全性、可靠性。

    网管网的接入类型有两种：系统和终端，终端又分为网管网专用终端和直连终端。

网管网专用终端（以下称为“网管终端”）：指统一接入网管网终端安全域内、受网管网接入访问控制、由网管网专业统一管理各部门使用的网管终端。网管网专用终端要求放置在机楼、监控大厅或网络线条自有办公区域的维护操作区内，接受网管网安全域的统一管理，网管网专用终端接入时要求进行认证。

以下为某网管网拓扑结构：

整个网络的设计方案采用层次化设计思路，按照接入层、汇聚层、核心层和出口层、核心网元域、终端域、网管辅助域进行网络设计部署，在汇聚层交换机，提供防火墙安全管理域、认证接入服务等，满足企业日益增长的设备接入需求管理服务。

各网络层次组网技术见下表：

全网路由器运行OSPF路由协议；

核心层、汇聚层路由器之间运行在OSPF Area0区域，汇聚路由器以下路由器运行在OSPF AreaX分支区域；划分区域的好处是：可以在区域边界做汇总，减少设备路由表的条目；只有一个区域内的路由器才会同步LSDB，LSA的flood在网络边界停止，减少了LSA的flood,加速收敛；缩小网络的不稳定性，一个区域内的路由问题不会影响其它区域。

接入路由器则可以根据网络规模大小，可自行配置：直连、静态、OSPF、然后通过路由重分发进汇聚层和核心层OSPF。

1.1.2.1.12.2.CMNET城域网设备接入网管

通常情况下，城域网域内设备的互联地址和各设备的带内LOOPBACK均宣告进入ISIS路由协议中。目的是为了能够在设备与设备之前进行管理操作（如：telnet和SSH），但是这种方式没有隔离业务流和控制流，两种流量都在相同的链路上传输，当管理数据流（包括SNMP，Netflow，Radius，计费等）较多时，将会影响到整个网络的性能；

为了解决上述问题，需对域内所有设备都通过带外网管接入到网管网，所谓带外网管是指通过专门的网管通道实现对网络的管理，将网管数据与业务数据分开，为网管数据建立独立通道。在这个通道中，只传输管理数据、统计信息、计费信息等，网管数据与业务数据分离，可以提高网管的效率与可靠性，也有利于提高网管数据的安全性。

带外网管能够使用户：减少运营成本、提高运营效率、减少宕机时间、提高服务质量。

下图为某地市公司CMNET城域网接入网管网示意图：

防火墙和接入路由器上均采用VRRP机制，实现在某台设备出现故障时仍然提供高可靠的缺省链路，有效避免单一链路发生故障后出现网络中断的问题，而无需修改动态路由协议、路由发现协议等配置信息。

同时为了设备之间的互联互通，需在路由器，汇聚交换机和防火墙之间采用OSPF AreaX分支区域，接入层交换机只需做静态路由网段即可，下一跳指向VRRP虚拟网关地址，即可实现互访。

防火墙对上联汇聚交换机、下联接入层交换机进行域划分（安全域、非安全域、DMZ域等）、域间策略配置（允许哪些区域访问、不允许哪些区域访问）。

CMNET城域网每台设备通过在主备控制板的两个接口上分别利用RJ45线，每个端口对接一台接入交换机，当主控板出现故障，备用板承接网管数据流，实现主备冗余，无需手动切换。

1.1.2.1.12.3.利用网管认证访问设备网元

网管网接入认证起到一种访问控制的作用。

访问控制是网络安全当中比较重要的一个部分,保证所有的访问都是经过授权的，杜绝非授权访问。基于不同的用户所属的角色，决定用户所能访问的资源。

终端访问网元的流程如下：

• 终端侧网管机通过访问认证页面，输入网管授权账户和密码，进行网管认证；
• 认证设备接收到网管机发送请求之后，直接转发给radius服务器询问用户名和密码是否正确；
• Radius服务器判断正确，则返回信息给认证设备，认证设备发起请求，通知防火墙放通网管机源目IP。
• 认证设备发送确认报文给网管终端表示认证成功；
• 网管终端认证通过后，可根据目标设备网元的带外IP地址，进行telnet或SSH认证进行访问。

1.1.2.1.13.网络安全部署方案

1.1.2.1.13.1.网络安全需求分析

我们认为一般的数据网络的安全性涉及两个方面：网络系统自身安全性及网络服务的安全性。

网络系统自身安全性需求主要包括：

(1)路由交换设备本身的安全;

(2)路由信息的安全;

(3)入侵检测功能

(4)漏洞检测功能

(5)网管安全

网络服务的安全性需求包括：

(1)用户AAA服务，提供认证，授权及审计的功能

(2)防止冒充合法用户

(3)ACL功能

(4)VPN功能

1.1.2.1.13.2.安全系统设计原则

我们将遵循以下设计原则：

• 安全但不影响性能——许多应用数据具有时延的敏感性，所以任何影响性能的安全措施将不能被接受。
• 全方位实现安全性——安全性设计必须从全方位、多层次加以考虑，来确实保证安全。
• 主动式安全和被动式安全相结合——主动式安全主要是主动对系统中的安全漏洞进行检测，以便及时的消除安全隐患；被动式安全则主要是从被动的实施安全策略，如防火墙措施、ＡＣＬ措施等等。只有主动与被动安全措施的完美结合，方能切实有效地实现安全性。
• 切合实际实施安全性——必须紧密切合要进行安全防护的实际对象来实施安全性，以免过于庞大冗杂的安全措施导致性能下降。所以要真正做到有的放矢、行之有效。
• 易于实施、管理与维护——整套安全工程设计必须具有良好的可实施性与可管理性，同时还要具有尚佳的易维护性。
• 具有较好的可伸缩性——安全工程设计，必须具有良好的可伸缩性。整个安全系统必须留有接口，以适应将来工程规模拓展的需要。
• 节约系统投资——在保障安全性的前提下必须充分考虑投资，将用户的利益始终放在第一位。通过认真规划安全性设计，认真选择安全性产品(包括利用已有设备)，达到节约系统投资的目的。
• 安全管理―内部的安全问题是一个主要的问题，应加强对设备访问都手段的控制。

1.1.2.1.13.3.网络安全总体设计

我们可以采用以下几种手段保证网络系统的安全：

(1)在整个网络中，利用OSPF, BGP4路由更新认证确保全网路由表的安全，可以通过对BGP4的设置控制路由的过滤。

(2)利用ACL，AAA认证，令牌卡技术，操作权限分级等手段确保网络设备不会出现非授权访问。

(3)在网络设备上，进行防止DOS和其它资源掠夺式攻击的设置。

(4)在运行中心配置漏洞扫描服务器，统一收集各个网络设备的安全漏洞，进行分析和汇总。

1.1.2.1.13.4.安全管理

• 用户安全管理

用户安全管理主要通过接入端口认证，提供可信的网络接入来实现。接入端口通常是网络中安全最为薄弱的部分，为了确保接入的用户都是系统已知和认证的合法用户，有必要在接入设备上配置必要的认证信息。

最简单和有效的方式是在接入设备的二层和三层交换机上配置端口与MAC地址的绑定关系，即规定：只允许特定的MAC地址通过特定的端口接入。

• 设备安全管理

通过用户状态进行存取控制功能，保证设备控制安全。路由器和交换机的命令行提供分级保护功能，禁止低优先级的用户更改设备的重要配置，进入高优先级模式时进行密码验证。

限制对SNMP和Telnet用户访问。 配置VTY类型LINE的呼入呼出限制telnet用户访问。通过在PE设备上设置ACL，限制只允许源地址为管理网段，并禁止其他所有VPN内部用户的私网地址进行登录。此项措施可以简单有效的防止VPN用户通过CE对PE设备进行非法访问。

配置团体名及密钥限制对设备的SNMP访问。SNMP采用团体名认证，与设备认可的团体名不符的SNMP报文将被丢弃。SNMP团体（Community）由一字符串来命名，称为团体名（Community Name）。不同的团体可具有只读（read-only）或读写（read-write）访问模式。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。

对所有重要事件记录log日志。对于网络安全，不仅要关注网络的事前防范能力，更要做好对事后跟踪能力方面的考虑，在安全事件发生前后，可以通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。利用Syslog记录重要的设备信息(如告警，设备状态变化信息)，可以为故障定位排除提供有利数据。在条件允许的情况下，对关键设备的日志输出建议采用日志主机的方式。

• 路由协议安全管理

路由协议的安全管理主要通过路由信息交换的认证来保证。

防止路由欺骗。ISIS路由协议在邻居之间进行认证，可以有限防止路由欺骗，ISIS的认证方式分为明文和MD5密文认证两种方式，由于明文认证方式直接将密钥在协议报文中发送，安全性较差，本次工程采用MD5的认证方式。

防止路由泄漏。在运行路由协议的路由器上，有些端口具有不安全的属性，最据代表性的如以太网口，该类型的接口由于需要发布本接口网段的路由信息，所以需要启动路由协议，但由于以太网的广播属性，攻击者很容易将一台同样运行ISIS协议的路由设备连接到以太网中，并进而获得整网的路由信息及拓扑结构。所以必须在上述端口上启用Passive interface命令，启动该命令后，该接口的网段路由可以照常发布出去，但该接口不会再收发ISIS协议报文，也就不会再与任何其他路由设备建立邻居关系，从而避免了路由泄漏。

URF（单播逆向路径转发）。源地址欺骗是一种常用的网络攻击方法，攻击者通过伪造合法的IP地址，与被攻击对象之间建立连接，从而进一步获得需要的信息。URPF（单播逆向路径转发）功能的原理是通过对正常IP报文进行基于源地址的路由查找，并获得该源地址的下一跳及出接口，如果该接口与本IP报文的实际接收接口不一致，则可以断定是源地址欺骗报文，并将该报文丢弃。

可以通过启动URPF特性，防范网络中通过修改源地址而进行恶意攻击行为的发生。但该特性由于需要对每一个转发的报文多进行一次路由查找，对设备的转发性能会有一定影响（启动该功能后，设备的转发性能将降低4％左右）。

• MPLS VPN的安全管理

通过MPLS VPN确保不同类型业务及地域之间的有效隔离。     

VPN技术具有天然的安全特性，不同的VPN用户之间由于无法获知对方的路由信息，从而可以理解为存在于不同的私有网络之中，而MPLS VPN由于在公网中使用LSP隧道进行标签交换，较之普通的IP转发具有更好的安全级别。

1.1.2.1.13.5.网络安全策略制定

• 网络安全加固

目前城域网通过控制、管理、数据三个安全层面进行安全加固，以提高网络网络安全性。每个层面的安全加固内容如下：

• 控制层面的保护：
  • 系统阈值保留技术：当达到阈值系统自动发布通知，通过预留CPU和内存等特性，该特性使设备在可能时攻击所造成的高负载情况下依然能够保持运行；
  • 路由协议的安全验证，包括OSPF、ISIS、BGP等；
  • 动态控制面板保护（DCPP）；
  • 控制面板TTL完整性检查；
  • TCP/IP协议相关服务关闭。
• 管理层面的保护：
  • 基于角色权限的管理访问：可以定义一组运行命令和配置功能；
  • Console 和telent的安全控制管理访问验证、授权和记录；
  • 安全管理协议 snmpv3,即对消息在传输过程中的完整性、来源的可靠性、对内容的加密性；
  • 使用SSH v2管理保护通过加密连接传输各种流量；
  • 安全日志、操作日志和NTP的管理；
• 数据层面的保护：
  • 抗大流量攻击能力的保护；
  • 针对畸形包的处理能力；
  • MAC泛滥攻击的保护：限制单个端口所连接的MAC地址数目、静态配置、对超过数量的mac的处理机制等；
  • DHCP窥探保护：类似DHCP snooping技术，建立和维护DHCP绑定信息表过滤不可信任的DHCP信息；
  • ARP欺骗防护：类似动态ARP检查来防止，保证接入交换机只传递合法的ARP请求；
  • 虚假IP地址欺骗保护：保证只有匹配IP地址和MAC地址的数据包才能被传输；
  • 基于ACL的反向路径检测uRPF部署；
  • BPDU/RootGard；
  • 明确和规范ACL的使用范围及扩展；
  • 建立和优化黑洞路由器的使用。
  • QoS Scavenger class安全防护相关技术部署。

各个层面的安全加固具体如下：

1、数据平面安全加固方案

• 关闭IP选项

IP数据平面中的IP选项功能一般在特定情况中需要应用，但对于多数常见的IP通信则不是必须的。由于IP选项导致IP数据包的可变长度和复杂处理的需要，具有IP选项的数据包会通过数据平面转发的慢速路径进行处理，在IP城域网中，不需要也没有必要对IP选项进行处理，因此，我们建议现阶段禁用IP选项技术。 后期如果部署MPLS/TE或组播等技术时，则视情考虑重新开启该功能。

• 关闭IP直接广播

IP直接广播是其目的地址是一个IP子网（或网络）的一个有效广播地址的数据包，该子网（或网络）是来自源地址的一个或多个路由器。IP直接广播运行IP广播进行远程传输，这就为DoS攻击提供了一定的条件，在IP城域网中，我们建议禁止IP直接广播。

• 部署远程触发黑洞过滤

通过结合BGP路由协议，使用黑洞路由技术可以对攻击触发整个网络范围内的响应。利用BGP的路由部署特性，可以对网络的攻击在整个IP城域网范围得到防护。 远程触发黑洞过滤技术（Remote Blackhole，RTBH）的缺点是丢失了所有到达目标的流量-包括攻击流量和合法流量。但是可以实现边缘封堵，快速有效的实现对于网络本身的保护，提高多数用户的可用性，后期也可以作为高价值客户的增值服务，所以我们建议现网试点部署远程触发黑洞过滤。

• 典型垃圾流量过滤

在IP城域网的与外问对接的接口上，如与163/CN2、IDC等互联的接口，对进额度省网的数据流量进行过滤，通过使用ACL技术，可以有效阻止一些有害的流量进入IP城域网，阻止的流量主要包含以下几类：

常见及危害程度较大的病毒、木马端口，主要如下：

禁止如下端口UDP流量： deny udp any any eq 1434 //sql worm病毒端口 deny udp any any eq 1433 //sql worm病毒端口 deny udp any any eq 1027-1028 //灰鸽子木马端口 deny udp any any eq 135-139 //禁止netbios端口 deny udp any any eq netbios-ss //禁止netbios端口  deny udp any any eq 445 //禁止netbios端口 禁止如下端口的TCP流量： deny tcp any any eq 4444 //冲击波病毒端口 deny tcp any any eq 445 //传送冲击波病毒端口 deny tcp any any eq 5554 //冲击波病毒端口，在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒

• 过滤RFC定义的私有地址、组播地址数据流

在所有IP城域网面向宽带接入网或客户接入的端口上采用分组过滤技术拒绝目的地址明显非法的数据包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不应出现在公网上的数据包。

2、控制平面安全加固方案

• ISIS安全防护

为了防止非法用户通过和IP城域网路由器建立ISIS邻居，向省网发送虚假路由，可同时导致IGP路由表剧增和全网流量的寻路混乱，保护ISIS协议免受非法用户的攻击。 我们建议在IP城域网路由器与非本自治域网络（国干、城域网、IDC网络等）互联接口禁止ISIS协议（含其它IGP路由协议）运行。

• BGP安全防护

BGP作为IP城域网的主要外部路由协议，是外部攻击的常见目标，也非常容易受外部攻击的影响，而IGP和其它内部控制协议不易受外部攻击影响。 由于BGP协议配置的灵活性和复杂性，BGP的一个主要安全隐患是由于误配置而无意触发的DoS事件或安全性事件，这样会直接严重影响IP城域网的稳定性，因此需要考虑部署特定于BGP的保护机制。

• BGP前缀过滤机制

对于IP城域网而言，在边缘路由器上，需要对与其163、CN2或IDC广播的BGP路由进行匹配过滤。

• AS-PATH长度的要求

为了保障整个IP城域网路由层面的稳定性和可控性，需要对接收的eBGP路由AS-PATH长度进行一定限制。

• eBGP邻居安全保障

为了保障整个IP城域网路由层面的稳定性和可控性，对于非直接电路连接的eBGP互联，应通过MD5认证的方式进行eBGP邻居关系的建立,主要面向IIDC、国干及大型政企客户网络。

• TTL安全检查

对于多跳eBGP互联邻居，为避免路由震荡和攻击，在可确定跳数的情况下，应启用BGP TTL security check功能。

• 关闭控制平面未使用服务

按照网络安全的基本要求，在网络中的每个设备上需要禁用未使用的设备和协议，我们建议在IP城域网络设备上，需要禁止以下不使用的协议：

• 代理ARP（no ip proxy-arp）
• IP源路由（no ip source-route）
• 控制引擎防护

为实现对路由器控制引擎的防护，我们建议在在IP城域网路由器上应使用rACL和CoPP等类似技术部署引擎防护策略，增强设备本身的安全性。

3、管理平面安全加固方案

• 禁用未使用的管理平面服务

对于IP城域网设备不经常或不使用的管理平面服务，需要在设备上强制进行关闭，建议关闭的服务有：对Bootp，CDP，DHCP，小TCP/UDP服务，HTTP服务。

• 密码安全

用于控制或限制设备的终端访问的秘密保护的使用时设备安全的基本元素，同时，需要保证在设备配置文件中，不能存在密码的明文，因此，建议在设备上启用密码加密机制。

• SNMP安全

SNMP协议方便了网络设备的远程管理。SNMP在SNMP管理器和SNMP代理之间进行操作。IP城域网设备目前已经全面配置SNMP，因此为了保障SNMP安全可靠的工作，建议进行以下安全保护：

• SNMP community
• SNMP ACL

严格限制对设备SNMP进程访问的源IP地址，目前应该只允许省公司、地市分公司被允许的网络管理地址段对设备的SNMP进程进行访问。

• 远程终端访问安全

作为目前IP城域网设备管理和控制的首要机制，远程终端访问的安全性必须要得到较大的保障。建议通过以下机制实现：

• 建议部署AAA认证

通过AAA控制对IP城域网设备的访问，并根据不同的操作级别授予相应的操作权限，并做到对设备访问的实名制，以便于安全隐患的排查和跟踪。

• 建议严格限制基于Telnet的登陆方式

由于Telnet协议在终端与设备之间采用非加密通信，应该严格限制使用Telnet协议对IP城域网设备的访问，除IP城域网网管地址所必须的Telnet访问外，禁止任何其他方式的Telnet访问。

• 建议远程终端访问授权和加密

对于需要通过远程终端对IP城域网设备进行管理和控制的人员，建议采用RSA+SSH登陆代理服务器或VPN的方式登陆安全网关，然后通过安全网关作为跳板进行Telnet访问IP城域网设备。

• Syslog安全

为了对IP城域网安全事件进行跟踪和问题排查，需要在IP城域网设备上配置syslog服务，将设备产生的log信息发送至syslog server，同时为了保障syslog信息的安全性，必须严格限制syslog发送的目的设备。

• NTP部署

为了更好的跟踪和分析IP城域网的安全事件，需要在IP城域网设备上配置NTP，以提供一致的时间便于事件的分析，建议在省内部署统一的主备时间服务器。

• 开启xflow数据采集

为了便于对全网的流量进行分析，以确定安全问题的类型，建立相应的处理机制，需要对全网的数据流量通过xflow进行采集和分析。 建议在IP城域网内所有路由器开启xFlow功能采集功能，采集入方向的流量的xFlow数据，数据采集的比例为5000：1。

• 设备安全防护

口令管理：为防止对系统未经授权的访问，系统必须具有完善的密码管理功能。虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力，但在设备本地进行密码分配和管理仍是设备本身应具有的安全特性。这里只描述本地密码管理。

口令的密文显示：若系统的配置文件以文本方式进行保存，则在配置文件中，所有的口令都必须以密文方式显示和保存。

1、控制对设备的访问

• 控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限，对控制台访问方式的权限管理应拥有最严格的方式。
• 用户登录验证：对从设备CONSOLE口进行访问配置的用户必需具有身份认证的能力，可以通过本地用户验证或RADIUS验证实现。
• 控制台超时注销：控制台访问用户超过一段时间对设备没有交互操作，设备将自动注销本次控制台配置任务。超时时间必须可配置，缺省为10分钟。
• 使能/禁止用户通过控制台对设备进行访问：通过禁止控制台数据收发，禁止用户直接通过异步线路进行配置。这样，即使非法用户占领了控制台，通过重启设备清除了控制台访问口令，也无法通过控制台对设备进行非法配置。
• 控制台终端锁定：配置用户离开配置现场，设备应提供暂时锁定终端的能力，并设置解锁口令。

2、异步辅助端口的本地/远程拨号访问

• 通过设备的其它异步辅助端口对设备进行本地、远程拨号的交互配置，是设备通供的额外配置方式。
• 缺省要求身份验证：对于非控制台的其它一切配置手段，必须要求设备配置身份验证，如果设备未配，将拒绝接受用户登录。
• 用户登录验证：原理同控制台访问控制的基本能力，这是无论那种配置方式都必需提供的基本控制能力。
• 终端超时注销/挂断：原理同控制台访问控制的基本能力，对于PSTN拨号配置方式，超时将挂断连接。 超时时间必须可配置，缺省为10分钟。
• 使能/禁止用户通过辅助端口对设备进行交互访问
• 拨号用户回呼功能：当通过辅助端口以拨号方式对设备进行配置时，可以保证当口令被盗用时，非法用户也不能盗用线路。

3、TELNET访问

• 用户登录验证

缺省要求身份验证：对于非控制台的其它一切配置手段，必须要求设备配置身份验证，如果设备未配，将拒绝登录。

• 终端超时退出

当telnet连接未交互超过一定时间时，将断开本次telnet连接。 超时时间必须可配置，缺省为10分钟

• 限制telnet用户数目

设备对telnet用户数量必需做出上限控制。

• telnet访问的限入限出

使能/禁止用户通过telnet方式对设备进行访问

限制哪些用户可以通过telnet客户端对设备进行访问；

限制设备通过telnet客户端程序对那些目标主机进行访问。

• telnet终端锁定

4、SNMP访问

SNMP是一种使用非常广泛的协议，主要用于设备的监控和配置的更改。SNMP协议自身有安全性保障，同时SNMP Agent还应该具备对网管站的访问进行限制的能力。

需特别指出：SNMP的网管站通常有大量的关于验证信息的数据库，例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的途径。这使得网管站成为许多攻击的目标，因此，必须要保证网管站的安全。

SNMPv1的安全性：SNMPV1使用的验证方式是基于团体名字符串的验证机制，SNMPv1的验证非常弱：

A、它使用明文作为验证字。

B、大部分的SNMP操作重复使用该字符串作为周期性轮流检测的一部分。

如果必须使用SNMPV1，应当注意如下事项，以避免安全隐患：

C、最好不要使用常用的"public"和"private"作为团体名；

D、对每个设备使用不同的团体名，或者至少是对网络上的每个区域使用不同的团体名。

E、不要使只读的团体名和读写的团体名一致。如果可能，应该实现使用只读的团体名进行周期性的轮流检测。读写的团体名应该仅仅用于当前的写操作。

SNMPv2的安全性：SNMP的后序版本SNMPv2进行了改进，它支持基于MD5的验证方案，并且允许对访问的管理数据进行存取上的限制。SNMPv2基本上是一个过渡版本，有多个版本，尽管也考虑了协议自身的安全性，但是技术上并不成熟，安全性仍比较弱。 尤其要注意的是，目前常用的SNMPv2c，没有增加安全特性，其安全能力与SNMPv1相同。

SNMPv3的安全性：SNMPv3对协议的安全性给出了全面的解决方案。SNMPv3继承了SNMPv2u的很多优点，并且从系统的角度进行了优化。它提供了一个SNMP NMS和AGENT的完整的系统框架。从安全角度来讲，SNMPv3使用了基于用户的安全模式（USM）和基于视图的访问控制模式（VACM）。USM使用MD5或者SHA对报文进行验证，使用DES对报文进行加密。这样保证了数据的完整性和正确性。VACM则对当前用户的访问权限进行检查，看当前用户是否可以对管理数据进行操作。关于USM和VACM的详细介绍可以参见RFC2574和RFC2575。

网管访问控制列表：在大多数网络中，合法的SNMP报文将来自于某几个网管站。SNMP Agent应使用访问列表对SNMP报文进行限制，仅仅允许指定IP地址的网管站访问。

5、HTTP访问

HTTP访问方式通过HTTP协议对设备进行配置和监控，同样是对设备的一种交互访问方式。

HTTP用户验证：对HTTP客户端进行身份认证，可以选择采用本地或RADIUS、TACACS协议等多种方式进行认证。但目前HTTP协议本身仅支持明文验证。

HTTP访问控制列表：与访问受限的网管站和telnet客户端一样，限制那些HTTP客户端能够对设备进行访问。

6、关闭设备服务

能造成影响，因此需要这些关闭服务；有些服务还会带来潜在的安全问题，也同样需要关闭。关闭UDP/TCP小端口服务：早期的TCP/UDP端口服务，设计比较简单，没有考虑网络安全问题，这类小端口服务可能被恶意攻击者利用。例如7号UDP端口服务“echo”回应所有发送给它的包，19号UDP端口服务“chargen”自动发送字符串。常见网络攻击中，UDP洪水就是利用chargen和echo来传送毫无用处的占满带宽的数据：通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，从而消耗网络带宽。其他常见的端口服务索引参见RFC1700。如果网络设备实现了这些早期的小端口服务，应能通过一条指令关闭所有的小端口服务。作为网络设备，最好不实现这些无用的小端口服务。

关闭协议服务：设备上提供很多服务和应用，在不同的网络环境中这些服务可能是不必要的，若开启这些服务将对设备自身性

关闭finger服务：利用finger服务，远程主机可以监听到所有登录到设备中的用户login信息。若被恶意攻击者利用可以窃取登录到系统的所有用户的详细信息。网络设备需要禁止finger服务。

关闭NTP协议服务：NTP协议用来在整个网络发布精确时钟。通常在设备上指定特定的接口去发送和接收NTP报文；同时在某些特定接口上禁止接收NTP报文，以减少对设备性能的损耗。

7、设备健壮性设计

网络设备暴露出来的安全问题，很多情况下，并不是直接由设备安全不足产生的，而是设备本身不健壮导致的。

首先，流量负荷较重容易导致系统崩溃。网络在恶意攻击下，容易呈现流量不对称现象，有些设备对这个现象没有做相应的可靠性设计。

其次，设备需要对这类畸形包做健壮性设计。在常见网络攻击中，有一类是利用畸形包来攻击网络设备。例如： 泪滴（teardrop）攻击，对IP分片的报文头，伪造分段长度，制造出重叠偏移的情况。 某些设备的TCP/IP协议栈，在收到含有这样的重叠偏移分段时将崩溃。

因此，对于宽带产品，有必要在产品测试过程中，引入模拟网络攻击测试，验证各宽带产品在各类常见攻击下的可靠性。

8、设备安全补丁

软件补丁是为了对系统软件中的某些错误进行修改而发布的独立的软件单元。软件补丁应当在不影响系统正常运行的情况下，完成对系统错误的修正。对于设备存在的软件安全漏洞，可以采用打软件补丁的方法进行补救。

基本要求：软件补丁的加载和生效需要动态进行，即在不影响用户业务的情况下完成。提供补丁软件校验码，增加补丁软件加载的自身安全。

注意事项：软件补丁动态加载的能力可能被恶意攻击者利用，需要加强权限管理。缺省应关闭软件补丁动态加载的能力。

9、设备提供的访问控制

基于ACL（Access-List，访问控制列表）：支持标准及扩展的ACL：可以通过标准的ACL只设定一个简单的地址范围，也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等。

支持时间段：可以使ACL在特定的时间段内起作用，比如可设置每周一的8:00至20:00此ACL起作用，还可以具体到某年某月某日至某年某月某日此ACL起作用。

支持ACL的自动排序：可以选择是否针对某一类的ACL进行自动排序，以简化配置的复杂度，方便对于ACL的配置及维护。

支持名称方式的ACL：易于记忆及配置。

支持将包过滤规则应用到接口的输入及输出方向：比如可以在连接广域网接口的输出方向上应用包过滤规则，也可以在该接口的输入方向上应用另外的包过滤规则。

支持基于接口的过滤：可以在一个接口的某个方向上设定禁止或允许转发来自某个接口的报文。

支持对符合条件的报文做日志：可以记录报文的相关信息，并提供了相应的机制确保在有大量相同触发日志产生的情况下不会消耗过多的资源。

包过滤技术确保了企业内部网络不受外部网络攻击，该特性一般在用户路由器上启用。

• 网络攻击防范的解决方法

目前网络攻击和网络病毒逐渐成为影响网络整体性能的重要因素之一。因此有效的抑止这些常见的攻击和病毒成为网络稳定运行的前提条件。

网络攻击和网络病毒的种类非常多，但目前影响网络的网络攻击和网络病毒的主要是：各种DOS攻击和各种产生大数据量的病毒攻击。这些攻击对网络有多种危害：

1、攻击目的地址直接针对网络设备，造成网络设备CPU和Memory资源大量消耗，是网络性能收到影响，甚至中断；

2、采用大数据包的攻击，使网络带宽拥塞，影响网络的性能；

3、采用小数据包的攻击，造成网络设备三层转发负载加重，使设备性能降低，影响网络性能。

针对这些常用的攻击和病毒特点，结合上文中提到的网络各个层面设备安全策略的部署原则和实施方法，建议网络安全主要包括预防攻击、定位攻击和消除攻击三部分。预防攻击的方法应当平时就在网络设备上部署；当网络攻击发生时，需要对网络攻击进行定位，确认攻击源，以根除攻击；在定位攻击的同时可以根据攻击的类型进行相应的减轻攻击和消除攻击的措施。根据以上的描述，这三个部分的主要实施建议如下：

A、预防攻击

a、在各层上开启对已知各种攻击和病毒特征的ACL，控制攻击和病毒的影响范围，最好将攻击控制在设备之外；

b、针对IP Spoofing的各种攻击和病毒，在可以开启uRPF的设备上开启uRPF功能，使采用伪装源地址的数据包不能进入网络，便于定位攻击源。

B、定位攻击

a、采用Source Tracker功能，逐跳查找到攻击源；

b、采用ACL Log功能，逐跳查找到攻击源；

c、采用Netflow工具，对攻击进行分析，查找攻击源；

C、消除攻击

a、根据攻击的类型部署相应的ACL，消除攻击；

b、根据攻击的类型部署相应的速率限制，限制攻击的流量，以减轻攻击；

另外根据不同的攻击还有一些特殊的消除和减轻攻击的方法，比如：

a、针对攻击网络设备的攻击，可以在设备上开启rACL功能，阻止掉针对设备的攻击；

b、针对DOS攻击中的TCP Syn Flooding攻击，可以在被攻击的设备前的网络设备上开启TCP Intercept功能，消除一部分攻击对目标设备的影响。

通过以上一些方法，可以在一定程度上减少网络攻击和网络病毒对整个网络的影响。以下将列举目前网络中常见的一些网络攻击和网络病毒的防御方法：

1、网络攻击

• DoS攻击－Syn Flooding

Syn Flooding是目前常见的一种攻击类型，它将大大消耗被攻击设备的CPU、内存资源，从而不能提供正常的服务。针对这种攻击的   特点，从攻击预防、攻击定位和消除攻击三个方面分析：

1、攻击预防上，Syn Flooding攻击一般采用源地址伪装的攻击方式，可以在网络设备上开启uRPF功能，在网络边缘将攻击包过虑掉；

2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACL LOG或Source Tracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，则关闭其网络端口，消除攻击。

3、攻击消除，在没有找到攻击源或无法找到攻击源（攻击源不在本网络范围内）的情况下，可以在被攻击设备前的设备上开启TCP Intercept功能，由网络设备承载一部分TCP的连接，减缓攻击对被攻击目标的影响。

根据上文对TCP Syn Flooding攻击防御的介绍，可以发现，攻击预防和定位对TCP Syn Flooding攻击是最重要的。

• DoS攻击－Smurf（ICMP Flooding）攻击

Smurf攻击一般采用的是源地址欺骗的方式，伪装的源地址为被攻击目标。

1、攻击预防上，Smurf攻击一般采用源地址伪装的攻击方式，可以在网络设备上开启uRPF功能，在网络边缘将攻击包过虑掉；

2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACL LOG或Source Tracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，则关闭其网络端口，消除攻击。

3、攻击消除，在发生攻击的网络设备上限制ICMP的流量，减轻Smurf攻击对攻击设备的影响。由于ICMP是检测网络连通性的工具，对ICMP包的过滤不会对网络应用造成影响。

• DoS攻击－UDP Flooding

部分UDP Flooding攻击也采用源地址伪装的方式，因此在预防上与Syn Flooding和Smurf攻击类似。

1、攻击预防上，可以在网络设备上开启uRPF功能，在网络边缘将部分攻击包过虑掉；

2、攻击定位，在被攻击设备的前一跳设备开始，通过采用Netflow分析工具、ACL LOG或Source Tracker功能，逐跳查找攻击源。如果攻击源在本网络范围内，则关闭其网络端口，消除攻击。

3、攻击消除，在发生攻击的网络设备上限制UDP的流量，减轻UDP Flooding攻击对攻击设备的影响。

2、网络病毒    

目前对网络造成大规模影响的网络病毒主要有：红色代码（Code Red）、Microsoft SQL病毒、NIMDA病毒、冲击波病毒等。下面对这些常见网络病毒的防御、消除方法进行介绍。

• 红色代码病毒

红色代码病毒是利用了Microsoft中的堆栈漏洞，病毒发作时向网络发送大量无用的数据包，造成网络拥塞影响网络性能。

1、病毒预防方面，在网络中架设IDS或Netflow分析工具，当病毒发生时可以及时发现，采取行动。

2、病毒定位，与定位DoS攻击类似，查找到病毒源可以有效的根除网络病毒对网络的影响。采取的方式也与定位DoS攻击相似，采用Netflow分析工具、ACL LOG或Source Tracker等方法，查找到病毒源。

3、消除病毒影响，除查找出病毒源的方法外，可以在网络设备上开启NBAR功能，判别病毒包，并将其过滤。在红色代码中，特征码为default.ida、cmd.exe、root.exe等，通过NBAR可以将含有这些关键字的数据包丢弃，防止病毒继续传播，从而起到消除病毒影响的作用。但真正消除病毒影响需要在PC和主机端采用杀病毒软件彻底清除病毒。

• NIMDA病毒

NIMDA病毒是红色代码病毒的升级版，也是利用了Microsoft中的堆栈漏洞，病毒发作时向网络发送大量无用的数据包，造成网络拥塞影响网络性能。

其预防、消除方式与红色代码病毒相同。

• Microsoft SQL病毒

SQL病毒是利用SQL的漏洞，病毒发作时发出大量SQL的查询包，并且很多包是组播类型，这将大大影响二层设备的性能。

SQL病毒的防御比较容易，只需要将SQL的查询包过滤掉即可。其特征为UPD数据包端口号为1434。

同时需要定位病毒源，其方法也是通过Netflow分析工具、ACL LOG和Source Tracker等方式。

• 冲击波病毒

冲击波病毒与以上几种病毒相似，也是利用Microsoft的漏洞，病毒发作时产生大量的ICMP包，其现象类似ICMP Flooding的攻击。

1、病毒预防方面，在网络中架设IDS或Netflow分析工具，当病毒发生时可以及时发现，采取行动。在网络中设置ICMP的速率限制，及时当网络中有病毒时，也不会对网络造成致命的影响。在网络设备上，阻断有冲击波病毒传播特征的数据包，预防病毒的传播。其特征为：udp端口号69、tcp端口号135、udp端口号135、udp端口号137、udp端口号138、tcp端口号139、udp端口号139、tcp端口号445、tcp端口号593、tcp端口号4444。

2、病毒定位，采用Netflow分析工具、ACL LOG或Source Tracker等方法，查找到病毒源。

3、消除病毒影响，除查找出病毒源的方法外，需要阻断但真正消除病毒影响需要在PC和主机端采用杀病毒软件彻底清除病毒。

网络攻击和网络病毒的预防与消除需要在网络设备上开启一些基本功能来预防，当一些已知病毒发作时，需要采用相应的应对方式。但网络攻击和网络病毒种类不断更新，会出现各种各样的新病毒，这就需要快速的响应，以最快的速度采用有效的方法将攻击与病毒的影响限制到最小。 

除此之外，网络上仍然存在其余威胁网络安全的威胁，其工作原理和防范方法罗列如下：

3、ARP欺骗攻击原理和防范   

• 攻击实例

目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET过程，捕获内容包含了TELNET密码和全部所传的内容：

不仅仅是以上特定应用的数据，利用中间人攻击者可将监控到数据直接发给SNIFFER等嗅探器，这样就可以监控所有被欺骗用户的数据。还有些人利用ARP原理开发出网管工具，随时可以切断指定用户的连接。这些工具极易使网络变得不稳定，通常这些故障很难排查。

• 防范方法

这些攻击都可以通过动态ARP检查（DAI，Dynamic ARP Inspection）来防止，它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联，动态ARP检测（DAI－Dynamic ARP Inspection）可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP)，确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者，不合法的ARP包将被删除。

DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭，如果ARP包从一个可信任的接口接受到，就不需要做任何检查，如果ARP包在一个不可信任的接口上接受到，该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样，DHCP Snooping对于DAI来说也成为必不可少的，DAI是动态使用的，相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。

4、IP/MAC欺骗的防范

• 常见的欺骗攻击的种类和目的

除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。

此方法也被广泛用作DOS攻击，目前较多的攻击是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包，所有ping应答都会返回到B地址，通过这种方式来实施拒绝服务（DoS）攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。后面是木马攻击的一个例子。

• 攻击实例

下图攻击为伪造源地址攻击，其目标地址为公网上的DNS服务器，直接目的是希望通使DNS服务器对伪造源地址的响应和等待，造成DDOS攻击，并以此扩大攻击效果。该攻击每秒钟上万个报文，中档交换机2分钟就瘫痪，造成的间接后果非常严重。

Catalyst IP源地址保护（IP Source Guard）功能打开后，可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCP Snooping绑定表。因此，DHCP Snooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP的网络环境来说，该绑定表也可以静态配置。

IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时，必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用，并且需要DHCP服务器支持Option 82时，才可以抵御IP地址＋MAC地址的欺骗。

与DAI不同的是，DAI仅仅检查ARP报文， IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。

通过在交换机上配置IP Source Guard，可以过滤掉非法的IP/MAC地址，包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突问题。

5、DHCP欺骗攻击的防范

采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有：

• DHCPserver 的冒充。
• DHCPserver的DOS攻击。
• 有些用户随便指定地址，造成网络地址冲突。
• 由于DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。
• 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
• DHCP Snooping技术概述

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址（一个静态地址或者一个从DHCP服务器上获取的地址）、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型（静态的或者动态的）。如下表所示：

cat4507#sh ip dhcp snooping binding MacAddress        IpAddress       Lease(sec)  Type      VLAN  Interface ------------------      ---------------    ----------    -------          ----  -------------------- 00:0D:60:2D:45:0D   10.149.3.13  600735  dhcp-snooping  100   GigabitEthernet1/0/7

这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测（DAI）和IP Source Guard使用。

• 基本防范

为了防止这种类型的攻击，Catalyst DHCP侦听（DHCP Snooping）功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何DHCP响应，因此欺诈DHCP响应包被交换机阻断，合法的DHCP服务器端口或上连端口应被设置为信任端口。

Catalyst DHCP侦听（DHCP Snooping）对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。

首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP响应应报文，如下图所示：

• 网络安全因素

安全体系的建立是全方位多因素制约的复杂过程，存在许多非技术因素同样对信息系统的安全起至关重要的作用。

• 物理环境因素

在前面我们偏重于使用一定的设备、一定的软件和相应的技术达到系统安全性，除此以外信息系统所存在的物理环境也非常重要，不安全的环境所导致的违规行为可以轻易的绕过由技术所设定的重重障碍，比如机房应按安全规定进行区域设置，否则可能发生管理员输入密码的键盘操作被不法人员轻易窥测，无需繁冗的破解算法就可被得到口令字；设备机柜必须上锁，否则会被轻易改变端口跳线，使VLAN设置等技术失去意义；更有甚者直接接入到网络设备上进行网络探测或接入Console口便可以轻易破解密码。物理环境的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等，应当参照执行。

• 安全的管理因素

网络安全可以采用多种技术来增强和执行。但是，很多安全威胁不是首先起因于技术上的落后，而是直接源于管理上的松懈及对安全威胁认识的淡化。

安全威胁主要利用以下途径：

（1）   系统实现存在的漏洞；

（2）   系统安全体系的缺陷；

（3）   使用人员的安全意识薄弱；

（4）   管理制度的薄弱；

良好的平台管理有助于增强系统的安全性：

（1）   及时发现系统安全的漏洞；

（2）   审查系统安全体系；

（3）   加强对使用人员的安全知识教育；

（4）   建立完善的系统管理制度。

安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。下面简单介绍一下制订安全制度时所应遵循的安全管理原则和安全管理的具体实现。

• 安全管理原则

计算机信息系统的安全管理主要基于三个原则。

（1）多人负责原则

每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。

（2）任期有限原则

一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。

（3）职责分离原则

除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

• 安全管理的实现

根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：

(1)确定该系统的安全等级；

(2)根据确定的安全等级，确定安全管理的范围；

(3)制订相应的机房出入管理制度，对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；

(4)制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；

(5)制订完备的系统维护制度，维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；

(6)定期安全检查：维系系统的安全不只是在建设时期的事情，而是长期维护的过程，需要定期根据安全制度、辅助一些技术手段进行检查，及时发现漏洞弥补漏洞，防患于未然；

(7)制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；

(8)建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。

这里要重申，安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级管理员的培训也十分重要，只有各级管理员对网络安全性都有了深入了解后，才能降低网络信息系统的安全风险。

总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。

1.1.2.2.项目实施方案

根据广东公司2022年数据承载网集成服务项目-2022年CMNET地市延伸工程集成服务说明，本项目负责完成系统集成服务，包括网络设备（含新建及割接等）软件调测、网络配置与改造调整等系统集成工作。

工作内容包括但不限于以下内容：

• 地市汇聚路由器集群升级、出口链路扩容及双跨，提升城域网整体业务承载能力；
• 新建网元入网及下带业务割接，提升城域网整体业务承载能力；
• BNG链路扩容，提升城域网整体业务承载能力；
• 板卡扩容（业务板卡及NAT板卡等），提升城域网整体业务承载能力；
• 5G核心网、CDN、工业互联网等业务接入。

1.1.2.2.1.地市汇聚路由器集群升级实施方案

1.1.2.2.1.1.集群升级概述

• 现网拓扑及变更目标

根据业务发展需求及网络容量增长测算，将对某移动城域网CR NE5000E N+N NT混合集群升级为N+N NT混合集群。

本次割接对某移动城域网CR进行升级，网络架构不变。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网CR设备进行NE5000EN+N NT集群升级为N+N NT混合集群操作。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       NE5000E-X16A CR

 

1.1.2.2.1.2.集群升级变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 厂家公司现场变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人

• 集成公司业务切换小组名单：

姓名	责任	电话
	总指挥
	业务流量切换责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

 

• 变更备件准备

编码	硬件描述	数量	备注

• 变更配套工具及其他资源准备

• 需甲方提前做好安排事项：
  • 保障公司远程/现场割接人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 安排车辆以便顺利按时到达各割接地点，以及准备相应应急车辆；
  • 操作终端电脑接入网络的接入点和操作中断地址分配；
• 需要厂家提前做好安排：
  • 准备割接前后的相关版本软件；
  • 准备割接中应急使用备件，清单见“变更备件准备”；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需要集成商提前做好安排：
  • 准备好业务流量割接脚本；
  • 割接前后联系拨测人员进行业务拨测；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 按设计图纸提前跳纤；
  • 准备螺丝刀、万用表、测试仪等工具准备。
    • 设备运行情况检查

检查类别	命令	描述
设备基础信息	display startup	检查软件情况
	check version startup check version all startup 进入诊断模式执行
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc	Ofc信息
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
	display feisw asmy  history	内部转发链路检查
	display feisw cong  history
	check fabric channel display fabric fiber connection error
	check lcm channel
	display tm crc
	display fabric crc-link
	display fabric link-close-info
	display  fabric  isolation
	display fabric link-down
	display lanswitch clc1/17 0 stat 23
	display lanswitch clc2/17 0 stat 23
	display lanswitch clc1/18 0 stat 23
	display lanswitch clc2/18 0 stat 23
设备告警/log检查	display alarm  hardware display  alarm  hardware | include Vsrdisp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

序号	风险描述	应对措施
1	级联光纤、板卡故障	更换备件
2	端口前后状态不一致/链路持续丢包	检查线缆
3	路由协议前后状态不一致	与割接前的备份配置进行对比，查找缺漏
4	路由条目前后收发不一致	核对路由策略等配置

 

1.1.2.2.1.3.集群升级变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次集群升级于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要4个小时，实施当天凌晨时间点安排如下：

操作时间	实施内容	实施人员
22:00－0:00	1、 相关人员达到现场 2、 再次确认施工条件 3、 备份现网配置及检查设备运行状况 4、 业务拨测	设备厂家 集成商
0:00-0:20	1、 添加对设备临时登录方式 2、 进行业务流量操作，保持业务不中断 3、 业务拨测	集成商
0:30-3:30	1、 更换硬件，完成设备升级 2、 升级完成后对设备状态及配置进行检查	设备厂家
3:50-4:10	1、 把业务流量重新切回到升级设备。 2、 检查业务流量增长情况及设备运行情况 3、 业务拨测	集成商

 

1.1.2.2.1.4.集群升级应急回退

在凌晨4:30前存在业务风险且在规定时间内无法解决，必须通知相关方，请求立即启动倒回操作。

变更倒回时间	04：30
变更倒回决策人	客户责任人/厂家负责/集成负责
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

操作步骤如下：

操作时间	实施内容	实施人员
4:30-4:45	1、 把业务流量切回备边设备承载 2、 业务拨测	集成商
4:45-5:45	1、 更换旧硬件，完成设备倒回 2、 倒回完成后对设备状态及配置进行检查	设备厂家
5:45-6:00	1、 把业务流量重新切回主边设备承载。 2、 检查业务流量增长情况及设备运行情况 3、 业务拨测	集成商

 

1.1.2.2.1.5.集群升级变更后工作

• 资料移交

1、操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题

2、操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。

3、最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。

• 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• CR设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.1.6.集群升级割接脚本配置示例

割接实施脚本：  1、新建CCC的分别设置框ID，框形态 //CCC-1 [~HUAWEI]set next-run-mode ccc-2 [~HUAWEI]set chassis-id 1 [~HUAWEI]commit 检查确认，特别注意设置后不能保存设备配置 disp next-run-mode disp chassis-id 重启 <HUAWEI>reboot             Warning: Current configuration will be saved to the next startup saved-configura tion file! Continue? [Y/N]:N                                                    System will reboot! Continue? [Y/N]:Y   //CCC-2 [~HUAWEI]set next-run-mode ccc-2 [~HUAWEI]set chassis-id 2 [~HUAWEI]commit 检查确认，特别注意设置后不能保存设备配置 disp next-run-mode disp chassis-id 重启 <HUAWEI>reboot             Warning: Current configuration will be saved to the next startup saved-configura tion file! Continue? [Y/N]:N                                                    System will reboot! Continue? [Y/N]:Y 2、整个集群组建好以后设置为half模式 //确认是否为half [~HUAWEI]display chassis next-fabric-type [~HUAWEI]set next-fabric-type half-fabric //检查设置half是否成功 [~HUAWEI]display chassis next-fabric-type 3、设备整机重启 特别注意以上形态设置好以后不要保存配置，直接重启 [~HUAWEI]reboot 4、重启完成后确认控制通道和级联光纤是否有错误告警 [~HUAWEI-diagnose]display fabric fiber connection [~HUAWEI-diagnose]display fabric fiber status error [~HUAWEI-diagnose]display fabric fiber connection error [~HUAWEI]check lcm channel [~HUAWEI]display lcm chan 1、加载补丁文件：NE5000EV800R006SPH031.PAT patch load NE5000EV800R006SPH031.PAT all run   5、加载paf文件：paf_cmnet_ecu18.bin startup paf_cmnet_ecu18.bin   display startup display pacth display paf   //paf和license大包自带，一般情况不需要单独上传指定，但移动有特殊paf文件要求（paf_cmnet_ecu18.bin），需单独加载   重启之后查看冷补丁状态 //检测冷补丁是否生效 [diagnose]disp vrcb       DOPRA  Version: DOPRA SSP V300R002C20【CP0156】  ---版本号为0156代表冷不丁生效 另外补充采集信息：   硬件巡检完成、并整机重启之后，系统注册5min之后，请按照以下命令采集信息，与巡检工程一起返回分析;     采集信息包括采集日志和命令行采集：   1：日志采集   将巡检时间点附近点的diag.log\diag*.zip与log.log\log*.zip采集回来,日志文件在logfile文件夹下。     2：命令采集   用户模式下：   display clock   Display version   Display dev   Display dev pic   Display dev ofc   Display fan   display power   display alarm hardware   display alarm active   display alarm history   display elabel   display voltage   display temperature   check lcm channel      诊断模式下：   display board-reset all   display lcm chassis link（集群采集）   display fab fiber s e   display fab fiber c e   display fabric fiber connection   display fab link-clos   display fab link-down   check lcm channel   check fabric channel   check version all startup   display tm meshtop   display feisw mesh his   display feisw trap his   display feisw cong his   display feisw asmy his   display fab iso   display fabric cdr status   display fabric cxp status       诊断模式下：   set tm l l c   set fab l l c   display tm crc(间隔超过10s敲一次，敲5次以上)   display fab crc(间隔超过10s敲一次，敲5次以上)   display lcm channel(间隔超过10s敲一次，敲5次以上)     display tm slot clc1/1 dev 0 link relation （所有LPU都要采集，示例为集群板卡编号，注意修改）   display tm slot clc1/1 dev 1 link relation （所有LPU都要采集，示例为集群板卡编号，注意修改）   display fe slot clc1/1 m s f (每个线路板都要采集)   6、加载配置文件 startup saved-configuration vrp.cfg //注意配置文件需要修改为流量切换后的配置： 1）删除con认证方式 2）在telnet\ssh server和vty 的acl放通网管口IP段 3）临时增加ipman000账号（设置为level 3以上） 4）设置isis overload，删除缺省，关闭所有bgp邻居和设备端口 5）新框的slot下增加采样和防攻击配置 6）单框升集群，端口编号要把3维改4维，相应的涉及到端口号的命令都要同步修改过来 7） 注意除了接口外，slot的配置要由slot x变成slot  clc1/x 8）新集群的配置需要用disp cur all显示（带*的是离线配置）   display startup //检测冷补丁是否生效 [diagnose]disp vrcb       DOPRA  Version: DOPRA SSP V300R002C20【CP0156】  ---版本号为0156代表冷不丁生效 display startup display pacth display paf disp cur all //采集离线配置 1、创建SSH秘钥对 rsa local-key-pair create y 1024 Commit   提前布放好新CCC框到现网400G框的控制平面光纤和数据平面的光纤带   通过测线仪提前测试好新CCC框到现网400G框的数据平面的光纤带   采集当前设备运行配置（单框升集群，端口编号要把3维改4维，相应的涉及到端口号的命令都要同步修改过来）    采用ftp方式上传配置文件，重启新CCC-A设备恢复配置，注意光纤带长度变化（400G框不需要配置光纤带长度，会自动检测，100G框需手工配置，按照实际长度修改） //注意配置文件需要修改为流量切换后的配置：设置con认证方式（删除认证），vty认证方式，临时增加ipman000账号（设置为level 3以上），设置isis overload，删除缺省，关闭所有bgp邻居和设备端口。   7、最后采集新CCC-A的配置，与现网运行配置再次进行比对 disp cu    采集出来和现网配置比对 提前删除NE5000E的con认证 user-interface con 0  authentication-mode none console口测试结果为免认证 注意：升级完成后加回3A认证 user-interface con 0  authentication-mode aaa telnet server enable aaa  local-user  ipman000 password irreversible-cipher admin@!@#  local-user  ipman000 service-type terminal telnet ssh  local-user  ipman000 level 3 interface GigabitEthernet0/0/0  undo shutdown  ip address 192.168.210.0 24   //临时在telnet server和vty放通管理口IP acl number 2020  rule 400 permit source 192.168.210.0 0.0.0.255 收集现网集群信息，并存档，参见割接前后设备信息采集指令   8、设置isis overload、清空上行至割接设备出口的流量，改由另一台CR疏导 isis 86 set-overload undo default-route-advertise commit   9、关闭所有BGP邻居及所有互联端口 bgp 65283 peer ebgp-cmnet ignore peer ebgp-cmnet-vpn  ignore peer ebgp-cmnet-yingji  ignore peer 120.196.34.2  ignore peer ibgp-man-rrclient ignore commit   10、清空关闭端口流量   interface 100GE 1/1/0/0  shutdown interface 100GE 1/1/0/1  shutdown interface 100GE 2/1/0/0  shutdown interface GigabitEthernet1/1/1/0     shutdown interface GigabitEthernet1/1/1/1     shutdown interface GigabitEthernet1/1/1/2   shutdown

 

1.1.2.2.1.7.集群升级回退脚本配置示例

//中央框里面设置 [~HUAWEI]set next-run-mode ccc-0 [~HUAWEI]commit 检查确认，特别注意设置后不能保存设备配置 //paf和license大包自带，不需要单独上传指定，没有特殊要求，使用默认即可 disp next-run-mode disp chassis-id   复位CLC1、CLC2 //中央框里面设置 [~HUAWEI]reset chassis clc1 [~HUAWEI]reset chassis clc2 2、等reset成功后，clc1、CLC2主控灯灭了，断开CLC1、CLC2主控到CCC的控制光纤 3、按照原有BTB集群连线方式连接两台CLC框   1、启动配置文件 startup system-software NE5000EV800R006C00SPC600.cc all startup saved-configuration vrp.cfg //指清空流量后的配置文件   //检查 display startup   2、删除补丁文件：NE5000EV800R006SPH031.PAT patch del all   3、加载补丁文件：NE5000EV800R006SPH025.PAT patch load NE5000EV800R006SPH025.PAT all run //检查 display patch   reboot   bgp 65283 undo peer ebgp-cmnet ignore undo peer ebgp-cmnet-vpn  ignore undo peer ebgp-cmnet-yingji  ignore undo peer 120.196.34.2  ignore undo peer ibgp-man-rrclient ignore commit   disp interface brief 确认流量情况     interface GigabitEthernet1/1/1/0     undo shutdown interface GigabitEthernet1/1/1/1     undo shutdown interface GigabitEthernet1/1/1/2     undo shutdown interface GigabitEthernet1/1/1/3     undo shutdown interface GigabitEthernet1/1/1/4     undo shutdown interface GigabitEthernet1/1/1/5     undo shutdown interface GigabitEthernet1/1/1/6     undo shutdown interface GigabitEthernet1/1/1/7     undo shutdown interface GigabitEthernet1/1/1/8     undo shutdown interface GigabitEthernet1/1/1/9     undo shutdown interface GigabitEthernet1/1/1/10    undo shutdown interface GigabitEthernet1/1/1/11    undo shutdown interface GigabitEthernet1/1/1/12    undo shutdown interface GigabitEthernet1/1/1/13    undo shutdown interface GigabitEthernet1/1/1/14    undo shutdown interface GigabitEthernet1/1/1/15    undo shutdown interface GigabitEthernet1/1/1/16    undo shutdown interface GigabitEthernet1/1/1/17    undo shutdown interface GigabitEthernet1/1/1/18    undo shutdown interface GigabitEthernet1/1/1/19    undo shutdown interface GigabitEthernet1/2/2/0     undo shutdown interface GigabitEthernet1/2/2/1     undo shutdown interface GigabitEthernet1/2/2/2     undo shutdown interface GigabitEthernet1/2/2/3     undo shutdown interface GigabitEthernet1/2/2/4     undo shutdown interface GigabitEthernet1/3/0/0     undo shutdown interface GigabitEthernet1/3/0/1     undo shutdown interface GigabitEthernet1/3/0/2     undo shutdown interface GigabitEthernet1/3/0/3      undo shutdown interface GigabitEthernet1/3/0/4     undo shutdown interface GigabitEthernet1/3/2/1     undo shutdown interface GigabitEthernet1/4/0/0     undo shutdown interface GigabitEthernet1/4/0/1     undo shutdown interface GigabitEthernet1/4/0/2     undo shutdown interface GigabitEthernet1/4/0/3     undo shutdown interface GigabitEthernet1/4/0/4     undo shutdown interface GigabitEthernet1/4/2/0     undo shutdown interface GigabitEthernet1/4/2/1     undo shutdown interface GigabitEthernet1/4/2/2     undo shutdown interface GigabitEthernet1/4/2/3     undo shutdown interface GigabitEthernet1/4/2/4     undo shutdown interface GigabitEthernet2/2/0/0     undo shutdown interface GigabitEthernet2/2/0/1     undo shutdown interface GigabitEthernet2/2/0/2     undo shutdown interface GigabitEthernet2/2/0/3     undo shutdown interface GigabitEthernet2/2/0/4     undo shutdown interface GigabitEthernet2/2/0/5     undo shutdown interface GigabitEthernet2/2/0/6     undo shutdown interface GigabitEthernet2/2/0/7     undo shutdown interface GigabitEthernet2/2/0/8     undo shutdown interface GigabitEthernet2/2/0/9     undo shutdown interface GigabitEthernet2/2/0/10    undo shutdown interface GigabitEthernet2/2/0/11    undo shutdown interface GigabitEthernet2/2/0/12    undo shutdown interface GigabitEthernet2/2/0/13    undo shutdown interface GigabitEthernet2/2/0/14    undo shutdown interface GigabitEthernet2/2/0/15    undo shutdown interface GigabitEthernet2/2/0/16    undo shutdown interface GigabitEthernet2/2/0/17    undo shutdown interface GigabitEthernet2/2/0/18    undo shutdown interface GigabitEthernet2/2/0/19    undo shutdown interface GigabitEthernet2/4/0/0     undo shutdown interface GigabitEthernet2/4/0/1     undo shutdown interface GigabitEthernet2/4/0/2     undo shutdown interface GigabitEthernet2/4/0/3     undo shutdown interface GigabitEthernet2/4/2/0     undo shutdown interface GigabitEthernet2/4/2/1     undo shutdown interface GigabitEthernet2/4/2/2     undo shutdown interface GigabitEthernet2/4/2/3     undo shutdown interface GigabitEthernet2/4/2/4     undo shutdown interface Pos1/2/1/0    undo shutdown commit   interface 100GE 1/1/0/0  undo shutdown interface 100GE 1/1/0/1  undo shutdown interface 100GE 2/1/0/0  undo shutdown commit   isis 86 undo set-overload default-route-advertise match default commit

 

1.1.2.2.2.出口扩容实施方案

1.1.2.2.2.1.出口扩容变更概述

• 现网拓扑及变更目标

为了满足业务发展需求，确保上联带宽能支撑峰值流量。本次工程需要对某城域网两台CR出口路由器上联省网BR的链路进行扩容，共扩容N*100GE。

本次割接网络架构不变，只增加链路带宽。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网CR设备上联省网BR进行链路扩容操作。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       NE5000E-X16A CR

 

1.1.2.2.2.2.出口扩容变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	链路扩容责任人

• 省干BR小组名单：

姓名	责任	电话
	总指挥
	链路扩容责任人

 

• 变更链路资源

本端CR设备网元	本端端口+互联IP地址	对端BR设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需省网BR配合人员提前做好安排事项：
  • 提前分配互联IP地址/BFD等资源；
  • 准备好业务割接脚本；
    • 设备运行情况检查

检查类别	命令	描述
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
设备告警/log检查	display alarm  hardware display  alarm  hardware | include Vsr disp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	中	对访问域外业务造成影响，存在丢包情况	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
流量值不均或差异较大	中	对访问域外业务造成影响，存在丢包情况	立刻与省公司BR侧核对路由协议状态和收发路由条目数量是否一致；检查配置是否有误，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.2.3.出口扩容变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次设备链路扩容于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作第一台CR上联省网BR链路扩容操作脚本,并联系省网配合人员操作BR侧数据。	0:00-0:45	集成方BR侧配合人
4	操作第一台CR上联省网BR链路扩容操作脚本,并联系省网配合人员操作BR侧数据。	0:45-01:30	集成方BR侧配合人
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方 BR侧配合人
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.2.4.出口扩容应急回退

在割接后，通过对比上联端口总流量情况和计算利用率，正常情况下，总流量与割接前对比不会出现较大变化。如果出现链路之间的利用率差异较大，出现丢包情况，路由协议邻居出现翻滚或其他不稳定情况，并且在操作当晚03：00前不能解决，则采取回退操作。

变更倒回时间	03：00
变更倒回决策人	客户责任人/厂家负责/集成负责
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	通知省网BR侧删除链路扩容配置； 清除城域网CR侧新增的上联链路扩容配置。	3:00-3:20	集成方 BR侧配合人
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方BR侧配合人
4	回退状态确认，回退完成	3:50-4:00	集成方BR侧配合人

 

1.1.2.2.2.5.出口扩容变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• CR设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.2.6.出口扩容割接脚本配置示例

1、第一台CR上联BR链路扩容 1.1、端口配置： interface 100GE3/6/0/2  description uT:GDGZ-PB-CMNET-BR11-NE5KE-ZSC:100G(100GE3017IPBB/)::100GE1/3/1/2  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface 100GE3/6/0/3  description uT:GDGZ-PB-CMNET-BR11-NE5KE-ZSC:100G(100GE3018IPBB/)::100GE2/1/0/3  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface 100GE3/7/0/0  description uT:GDGZ-PB-CMNET-BR11-NE5KE-ZSC:100G(100GE3019IPBB/)::100GE3/1/1/2  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound #   1.2、bfd配置 bfd GZBR11_1/3/1/2 bind peer-ip default-ip interface 100GE3/6/0/2  discriminator local 211  discriminator remote 210  min-tx-interval 300  min-rx-interval 300  process-pst  process-interface-status # bfd GZBR11_2/1/0/3 bind peer-ip default-ip interface 100GE3/6/0/3  discriminator local 213  discriminator remote 212  min-tx-interval 300  min-rx-interval 300  process-pst  process-interface-status # bfd GZBR11_3/1/1/2 bind peer-ip default-ip interface 100GE3/7/0/0  discriminator local 215  discriminator remote 214  min-tx-interval 300  min-rx-interval 300  process-pst  process-interface-status     2、第二台CR上联BR链路扩容 2.1、端口配置： interface 100GE3/6/0/2  description uT:GDDOG-PB-CMNET-BR12-NE5KE-STY:100G(100GE0076IPBB/)::100GE1/3/1/2  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface 100GE3/6/0/3  description uT:GDDOG-PB-CMNET-BR12-NE5KE-STY:100G(100GE0077IPBB/)::100GE2/1/0/3  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface 100GE3/7/0/0  description uT:GDDOG-PB-CMNET-BR12-NE5KE-STY:100G(100GE0078IPBB/)::100GE3/1/1/2  undo shutdown  eth-trunk 2  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound #   2.2、BFD配置 bfd DOGBR12_1/3/1/2 bind peer-ip default-ip interface 100GE3/6/0/2  discriminator local 211  discriminator remote 210  min-tx-interval 300  min-rx-interval 300  process-interface-status # bfd DOGBR12_2/1/0/3 bind peer-ip default-ip interface 100GE3/6/0/3  discriminator local 213  discriminator remote 212  min-tx-interval 300  min-rx-interval 300  process-interface-status # bfd DOGBR12_3/1/1/2 bind peer-ip default-ip interface 100GE3/7/0/0  discriminator local 215  discriminator remote 214  min-tx-interval 300  min-rx-interval 300  process-interface-status

 

1.1.2.2.2.7.出口扩容回退脚本配置示例

1、第一台CR上联BR链路扩容 undo bfd GZBR11_1/3/1/2 undo bfd GZBR11_2/1/0/3 undo bfd GZBR11_3/1/1/2 clear configuration interface 100GE3/6/0/2 clear configuration interface 100GE3/6/0/3 clear configuration interface 100GE3/7/0/0 commit   2、第二台CR上联BR链路扩容 undo bfd DOGBR12_1/3/1/2 undo bfd DOGBR12_2/1/0/3 undo bfd DOGBR12_3/1/1/2 clear configuration interface 100GE3/6/0/2 clear configuration interface 100GE3/6/0/3 clear configuration interface 100GE3/7/0/0 commit

 

1.1.2.2.3.出口双跨接入实施方案

1.1.2.2.3.1.双跨接入变更概述

• 现网拓扑及变更目标

为了满足业务发展需求，确保上联带宽能支撑峰值流量，提供更稳定，更优质的网络访问质量。本次工程对某城域网两台CR出口路由器原有上联省网BR的情况，新增上联接入国干BB，共扩容N*100GE。。

本次割接后，网络拓扑发送变化，由原先CR只上联省网BR，再新增上联接入国干BB，变成双跨组网。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网CR设备新增上联国干BB，实现双跨组网。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       NE5000E-X16A CR

 

1.1.2.2.3.2.双跨接入变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	双跨接入责任人

• 国干BB变更小组名单：

姓名	责任	电话
	总指挥
	双跨接入配合人

 

• 变更链路资源

本端CR设备网元	本端端口+互联IP地址	对端BB设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需国干BB配合人员提前做好安排事项：
  • 提前分配互联IP地址/BFD等资源；
  • 准备好业务割接脚本；
    • 双跨协商参数规则

一、端口对接参数及注意事项

1、采用捆绑组对接；

2、配置lacp为静态模式，且开启快速协商功能；

3、mtu 4470；

4、接口up响应抑制时间为5秒，接口Down响应抑制时间为200毫秒；

二、BGP对接参数及注意事项

1、确认国干BB对接的AS号；

2、BGP密钥：由BB侧出具；

3、采用LoopBack建立BGP邻居，使用EBGP加静态路由的方式；

三、国干与城域网策略对接规则如下：

1、国干发布策略：

    （1）通过as-path方式过滤省内路由，再通告给城域网，避免流量绕转；

    （2）向城域网发送接入的其他30个省份路由，同时将IGP的metric映射为BGP MED属性；

    （3）国干向城域网发送1条BGP默认路由，为此条默认路由追加1个as号；

    2、国干接收策略：

    （1）收城域网发送的路由，使用白名单方式进行路由控制（路由白名单需省或市公司提供），并为路由设置相应的community；

    （2）国干不信任城域网路由携带的MED，国干统一对MED进行重置；

    （3）国干不接收掩码>=25的路由（包括QOS路由）；

    （4）根据省内的客户地址段设置安全访问列表进行流量控制；

    3、城域网发布策略：

    （1）城域网根据省内的策略发送掩码<=24的路由（包括QOS）给国干；

    （2）城域网尽量对路由进行汇总后发布；

    （3）城域网发送QOS路由需携带正确的community；

    4、城域网接收策略：

    （1）城域网接收国干路由时（包括业务路由和默认路由），统一将Local-Preference设为5000，确保城域网的业务流量能够优选国干；

     （2）城域网接收国干路由时，需将默认路由的Loacl-Preference设为6000，确保城域网的默认路由优选集团BR，集团BR默认路由作为缺省平面，国干BR默认路由作为备份；

     （3）城域网必须信任国干BGP MED属性，不允许人为更改；

     （4）城域网需信任国干的BGP community；

     （5）不允许人为调整路由的BGP属性影响入省和出省流量。

• 设备运行情况检查

检查类别	命令	描述
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc	Ofc信息
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
设备告警log检查	display alarm  hardware display  alarm  hardware | include Vsr disp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	中	对访问域外业务造成影响，存在丢包情况	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
流量值不均或差异较大	中	对访问域外业务造成影响，存在丢包情况	立刻与国干BB侧核对路由协议状态和收发路由条目数量是否一致；检查配置是否有误，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.3.3.双跨接入变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次出口双跨接入于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作第一台CR上联国干BB链路扩容操作脚本,并联系国干配合人员操作BB侧数据。	0:00-0:45	集成方BB侧配合人
4	操作第二台CR上联国干BB链路扩容操作脚本,并联系国干配合人员操作BB侧数据。	0:45-01:30	集成方BB侧配合人
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方 BB侧配合人
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.3.4.双跨接入应急回退

当割接后出现以下情况之一，启用倒回操作：

• 路由收发没有达到预期效果
• 流量疏导没有达到预期效果
• 业务拨测异常

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	通知国干BB侧删除下联城域网CR侧的割接数据； 清除城域网CR上联BB配置	3:00-3:20	集成方 BB侧配合人
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方BB侧配合人
4	回退状态确认，回退完成	3:50-4:00	集成方BB侧配合人

 

1.1.2.2.3.5.出口双跨变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• CR设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.3.6.出口双跨割接脚本配置示例

1、汇聚端口配置： interface Eth-Trunk0  mtu 4470  description uT:GDFOS-BB-CMNET-RT05-NE5000E:N/A::Eth-Trunk32  ipv6 enable  ip address 221.183.39.178 255.255.255.252  ipv6 address 2409:8080:0:2:305:351:0:1/127  ipv6 address auto link-local  ipv6 mtu 4470  traffic-policy QosProtocal inbound  traffic-policy p1 outbound  trust upstream default  ip netstream inbound  ip netstream outbound  ipv6 netstream inbound  ipv6 netstream outbound  mode lacp-static  lacp timeout fast  statistic mode forward #   2、物理端口配置： interface 100GE1/2/0/1  carrier up-hold-time 5000  carrier down-hold-time 200  description uT:GDFOS-BB-CMNET-RT05-NE5000E:100G(N/A)::100GE6/3/1/0-100GE-[GZFC-FSSS-100GE0087IPBB]  undo shutdown  eth-trunk 0  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface 100GE1/16/1/0  carrier up-hold-time 5000  carrier down-hold-time 200  description uT:GDFOS-BB-CMNET-RT05-NE5000E:100G(N/A)::100GE3/10/1/1-100GE-[GZFC-FSSS-100GE0035IPBB]  undo shutdown  eth-trunk 0  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # #   3、利用静态路由指向BB协商BGP配置： ip route-static 211.136.2.5 255.255.255.255 Eth-Trunk0 221.183.39.177 description GDFOS-BB-CMNET-RT05-NE5000E ipv6 route-static 2409:8080::305 128 Eth-Trunk0 2409:8080:0:2:305:351:: description GDFOS-BB-CMNET-RT05-NE5000E     4、CR接收BB路由策略： route-policy import_community_from_cmnet_bb deny node 10  if-match as-path-filter 20 # route-policy import_community_from_cmnet_bb deny node 20  if-match community-filter 125 # route-policy import_community_from_cmnet_bb permit node 30  if-match ip-prefix BB-default-route # route-policy import_community_from_cmnet_bb permit node 45  if-match ip-prefix BB-ROUTE-TO-GZ-MAN  apply local-preference 5000 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 permit node 10  if-match ipv6 address prefix-list default-route-V6  apply local-preference 1000 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 deny node 20  if-match ipv6 address prefix-list GZ-MAN-ROUTE-ipv6 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 deny node 30  if-match ipv6 address prefix-list GZ-MAN-ROUTE-LO0&HULIAN-ipv6 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 deny node 40  if-match ipv6 address prefix-list GZ-MAN-NormalJK-ipv6 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 deny node 50  if-match as-path-filter 20 # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 deny node 60  if-match community-filter from_bb # route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 permit node 1000  if-match ipv6 address prefix-list BB-ROUTE_V6-TO-GZ-MAN  apply local-preference 5000     5、CR发送BB路由策略： route-policy GZ-EXPORT-TO-CMNET-BB deny node 4  if-match ip-prefix GDGZ-DENY-TO-BB # route-policy GZ-EXPORT-TO-CMNET-BB deny node 10  if-match as-path-filter 20 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 100  if-match ip-prefix GZ-TO-BB-QosFB  apply cost 1  apply community 9808:61640 9808:56040 56040:10086 9808:61010 56040:1144 additive # route-policy GZ-EXPORT-TO-CMNET-BB permit node 110  if-match ip-prefix GZ-TO-BB-QosWlan  apply cost 1  apply community 9808:61640 9808:56040 56040:10086 9808:61110 56040:1144 additive # route-policy GZ-EXPORT-TO-CMNET-BB permit node 130  if-match ip-prefix GZ-TO-BB-QosNormalJK  apply cost 1  apply community 9808:61640 9808:56040 56040:10086 9808:61290 56040:1144 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 170  if-match ip-prefix jinwanbang  apply cost 1  apply community 9808:23852 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 180  if-match ip-prefix BeiJingHuLianTong  apply cost 1  apply community 9808:55999 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 190  if-match ip-prefix ShiJiHuLian  apply cost 1  apply community 9808:17428 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 200  if-match ip-prefix ZhongQiWangLuo  apply cost 1  apply community 9808:10212 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 210  if-match ip-prefix RuiJiangKeJi  apply cost 1  apply community 9808:38372 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 220  if-match ip-prefix GZ-TO-BB-YunXiaHuiJin  apply cost 1  apply community 9808:38372 56040:1144 9808:61640 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB permit node 230  if-match ip-prefix GZ-TO-BB-HaoYunJiSuanJi  apply cost 1  apply community 9808:61640 56040:1144 9808:56040 56040:10086 # route-policy GZ-EXPORT-TO-CMNET-BB deny node 1000 # route-policy Export-GZ-MAN-ROUTE-BB-ipv6 permit node 10  if-match ipv6 address prefix-list GZ-MAN-ROUTE-LO0&HULIAN-ipv6  apply community 9808:65270 56040:1144 9808:61640 # route-policy Export-GZ-MAN-ROUTE-BB-ipv6 permit node 20  if-match ipv6 address prefix-list GZ-MAN-ROUTE-ipv6  apply community 9808:61640 9808:56040 56040:10086 9808:61010 56040:1144 additive # route-policy Export-GZ-MAN-ROUTE-BB-ipv6 permit node 30  if-match ipv6 address prefix-list GZ-MAN-NormalJK-ipv6  apply community 9808:61640 9808:56040 56040:10086 9808:61290 56040:1144 # route-policy Export-GZ-MAN-ROUTE-BB-ipv6 deny node 1000 #   6、BGP配置： bgp 65270  group ebgp-cmnet-bb external  peer ebgp-cmnet-bb as-number 9808  peer ebgp-cmnet-bb ebgp-max-hop 2  peer ebgp-cmnet-bb connect-interface LoopBack0  peer ebgp-cmnet-bb password cipher %^%#.D&$:[iS9@V]1h<%O^$C]s>CP2W(v%Sm)T)PFtTJ%^%#  peer 211.136.2.5 as-number 9808  peer 211.136.2.5 group ebgp-cmnet-bb  peer 211.136.2.5 description GDFOS-BB-CMNET-RT05-NE5000E  group ebgp-cmnet-bb-ipv6 external  peer ebgp-cmnet-bb-ipv6 as-number 9808  peer ebgp-cmnet-bb-ipv6 connect-interface LoopBack0  peer ebgp-cmnet-bb-ipv6 valid-ttl-hops 1  peer ebgp-cmnet-bb-ipv6 password cipher %^%#W+~g'+$qXYd5Q1%CbTf55=rX+CygH~Q/md,":(z-%^%#  peer 2409:8080::305 as-number 9808  peer 2409:8080::305 group ebgp-cmnet-bb-ipv6  peer 2409:8080::305 description GDFOS-BB-CMNET-RT05-NE5000E #  ipv4-family unicast   peer ebgp-cmnet-bb enable   peer ebgp-cmnet-bb route-policy import_community_from_cmnet_bb import   peer ebgp-cmnet-bb route-policy GZ-EXPORT-TO-CMNET-BB export   peer ebgp-cmnet-bb advertise-community   peer ebgp-cmnet-bb advertise-ext-community   peer 211.136.2.5 enable   peer 211.136.2.5 group ebgp-cmnet-bb   peer 211.136.2.5 public-as-only force #  ipv6-family unicast   peer ebgp-cmnet-bb-ipv6 enable   peer ebgp-cmnet-bb-ipv6 route-policy Import-CMNET-MAN-ROUTE-BB-ipv6 import   peer ebgp-cmnet-bb-ipv6 route-policy Export-GZ-MAN-ROUTE-BB-ipv6 export   peer ebgp-cmnet-bb-ipv6 advertise-community   peer ebgp-cmnet-bb-ipv6 advertise-ext-community   peer 2409:8080::305 enable     peer 2409:8080::305 group ebgp-cmnet-bb-ipv6

 

1.1.2.2.3.7.出口双跨回退脚本配置示例

1、删除BGP配置 bgp 65270 undo peer 211.136.2.5 undo group ebgp-cmnet-bb undo peer 2409:8080::305 undo peer ebgp-cmnet-bb-ipv6   2、删除CR接收BB路由策略 undo route-policy import_community_from_cmnet_bb undo route-policy Import-CMNET-MAN-ROUTE-BB-ipv6   3、CR发送BB路由策略 undo route-policy GZ-EXPORT-TO-CMNET-BB undo route-policy Export-GZ-MAN-ROUTE-BB-ipv6   4、取消静态路由配置 undo ip route-static 211.136.2.5 255.255.255.255 Eth-Trunk0 221.183.39.177 undo ipv6 route-static 2409:8080::305 128 Eth-Trunk0 2409:8080:0:2:305:351::   5、删除物理端口配置 clear configuration interface 100GE1/2/0/1 clear configuration interface 100GE1/16/1/0   6、删除聚合端口配置 interface Eth-Trunk0 shutdown

 

1.1.2.2.4.新建网元入网及下带业务割接实施方案

1.1.2.2.4.1.入网及下带业务变更概述

• 现网拓扑及变更目标

 

为了满足业务发展需求，提供更稳定，更优质的网络服务质量。本次工程对某城域网新建BNG网元入网，以便后续承载业务。

本次割接后，网络拓扑发送变化，城域网内新增一台BNG入网设备。

• 影响业务类型

本次割接为新建BNG入网，原则上规划的业务网段IP地址不冲突的情况，将不会影响现网业务。

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网新建BNG网元入网。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       NE5000E-X16A CR       ME60 BNG

 

1.1.2.2.4.2.入网及下带业务变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	新建网元入网责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

 

• 变更链路资源

本端BNG设备网元	本端端口+互联IP地址	对端CR设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 确保设备已上架并加电；
  • 确保根据设计院图纸进行跳纤；
  • 做好设备/端口/电源标签。

 

• 设备运行情况检查

检查类别	命令	描述
设备基础信息	display current-configuration	配置备份
	display version	查看设备软件版本
	display patch-information	查看设备软件版本补丁号
	display device	查看设备板卡状态
	display cpu-usage	查看设备CPU占用率
	display memory-usage	查看设备内存只用率
	display power	查看设备电源模块状态
	display fan	查看设备风扇状态
网络协议信息	display ip routing-table statistics display ipv6 routing-table statistics	查看全局路由表状态
	display ip routing-table 0.0.0.0 display ipv6 routing-table ::	查看全局默认路由信息
	display isis peer	查看ISIS协议邻居
	display isis route	查看ISIS路由条目
	display bgp peer	查看BGP ipv4-unicast邻居
	display bgp routing-table	查看BGP ipv4-unicast路由条目
	display bgp vpnv4 all peer	查看BGP vpnv4-unicast邻居
	display bgp vpnv4 all routing-table	查看BGP vpnv4-unicast路由条目
	display mpls ldp session	查看MPLS LDP会话状态（含邻居）
	display mpls label all  summary	查看全部MPLS标签概况信息
	display bgp vpnv4 all routing-table label	查看BGP vpnv4-unicast路由的MPLS标签
	display pim neighbor	查看组播PIM路由邻居
	display pim routing-table	查看组播PIM路由条目
接口状态/流量检查	display interface geX/X/X/X	查看CR下联BNG链路状态
设备告警/log检查	display alarm all	查看设备告警
	display logbuffer	查看设备告警和状态变化LOG
网络连通性测试	ping -c 100 -s -m 200 5000 x.x.x.x	涉及操作的BNG:上联链路测试

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
LACP无法UP	低	不影响业务	割接前确认两端参数的一致性和传输路径设备的报文放通情况。
路由协议状态不正常	低	不影响业务	割接前检查两端设备配置的参数是否配置一致。

 

1.1.2.2.4.3.入网及下带业务变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次新建网元入网于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作新建BNG设备上联核心CR的入网操作脚本。	0:00-0:45	集成方
4	操作核心CR下联新建BNG设备的配置操作脚本。	0:45-01:30	集成方
5	查看并收集比对设备运行信息，本次BNG入网的链路、各协议、路由的收发情况。	1:30-2:00	集成方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.4.4.入网及下带业务应急回退

当割接后出现以下情况之一，启用倒回操作：

• 路由收发没有达到预期效果
• 协议状态显示异常
• 业务拨测异常

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	删除新建BNG设备上联核心CR的入网操作脚本； 清除核心CR下联新建BNG设备的配置操作脚本。	3:00-3:20	集成方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方
4	回退状态确认，回退完成	3:50-4:00	集成方

 

1.1.2.2.4.5.入网及下带业务变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• 设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.4.6.入网及下带业务割接脚本配置示例

1、CR01下联新建BNG入网配置： 1.1、聚合端口及ISIS配置 interface Eth-Trunk56  mtu 4470  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW:40G(N/A)::Eth-Trunk1  ipv6 enable  ip address 183.233.15.1 255.255.255.252  ipv6 address 2409:8055:60:1251::1/127  ipv6 address auto link-local  ipv6 mtu 4470  pim sm  ipv6 netstream inbound  mode lacp-static  mpls  mpls ldp  statistic mode forward  trust upstream default  traffic-policy gmcc-ipman-in inbound  traffic-policy ICP_BeiAn_out outbound  isis enable 86  isis ipv6 enable 86  isis circuit-type p2p  isis circuit-level level-2  isis authentication-mode md5 cipher %#%#ym""TG`c(,\/{%Xpn#oE53qP1-hq8~|49q2mKrL/%#%#  isis ipv6 cost 1000 level-2  isis cost 1000 level-2  isis timer holding-multiplier 30  lacp timeout fast #   1.2、物理端口配置 interface GigabitEthernet1/7/0/9  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE2/0/0  undo shutdown  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound     interface GigabitEthernet1/10/0/8  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE2/0/1  undo shutdown  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound   interface GigabitEthernet1/10/0/9  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE4/0/0  undo shutdown  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound   interface GigabitEthernet1/10/0/10  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE4/0/1  undo shutdown  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound   1.3、mpls ldp配置 mpls ldp  md5-password cipher 120.196.37.29 %#%#emmv!uzcE'%'F'F\,W\"iW@Y9HpGj>QEC`-x\lBF%#%#   1.4、BGP配置 bgp 65272  peer 120.196.37.29 as-number 65272  peer 120.196.37.29 group ibgp-man-rrclient  peer 120.196.37.29 description GDQIY-MS-IPMAN-BNG01-LJJYZ-HW  peer 2409:8054:0060:0000::1025 as-number 65272  peer 2409:8054:0060:0000::1025 group ibgp-man-rrclient-ipv6  peer 2409:8054:0060:0000::1025 description TO-[GDQIY-MS-IPMAN-BNG01-LJJYZ-HW]  ipv4-family unicast   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient  ipv4-family vpnv4   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient  ipv6-family vpnv6   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient    ipv6-family unicast   peer 2409:8054:0060:0000::1025 enable   peer 2409:8054:0060:0000::1025 group ibgp-man-rrclient-ipv6   2、CR02下联新建BNG入网配置： 2.1、聚合端口及ISIS配置 interface Eth-Trunk56  mtu 4470  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW:40G(N/A)::Eth-Trunk2  ipv6 enable  ip address 183.233.15.5 255.255.255.252  ipv6 address 2409:8055:60:1250::1/127  ipv6 address auto link-local  ipv6 mtu 4470  pim sm  ipv6 netstream inbound  mode lacp-static  mpls  mpls ldp  statistic mode forward  trust upstream default  traffic-policy gmcc-ipman-in inbound  traffic-policy ICP_BeiAn_out outbound  isis enable 86  isis ipv6 enable 86  isis circuit-type p2p  isis circuit-level level-2  isis authentication-mode md5 cipher %#%#ym""TG`c(,\/{%Xpn#oE53qP1-hq8~|49q2mKrL/%#%#  isis ipv6 cost 1000 level-2  isis cost 1000 level-2  isis timer holding-multiplier 30  lacp timeout fast   2.2、物理端口配置 interface GigabitEthernet1/10/0/12  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE2/0/2  carrier up-hold-time 1000  carrier down-hold-time 1000  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound  undo shutdown   interface GigabitEthernet1/10/0/14  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE2/0/3  carrier up-hold-time 1000  carrier down-hold-time 1000  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound  undo shutdown   interface GigabitEthernet2/8/0/10  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE4/0/2  carrier up-hold-time 1000  carrier down-hold-time 1000  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound  undo shutdown   interface GigabitEthernet2/8/0/11  description dT:GDQIY-MS-IPMAN-BNG01-LJJYZ-HW(N/A)::GE4/0/3  carrier up-hold-time 1000  carrier down-hold-time 1000  eth-trunk 56  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound  undo shutdown #   2.3、mpls ldp配置 mpls ldp  md5-password cipher 120.196.37.29 %#%#emmv!uzcE'%'F'F\,W\"iW@Y9HpGj>QEC`-x\lBF%#%#   2.4、BGP配置 bgp 65272  peer 120.196.37.29 as-number 65272  peer 120.196.37.29 group ibgp-man-rrclient  peer 120.196.37.29 description GDQIY-MS-IPMAN-BNG01-LJJYZ-HW  peer 2409:8054:0060:0000::1025 as-number 65272  peer 2409:8054:0060:0000::1025 group ibgp-man-rrclient-ipv6  peer 2409:8054:0060:0000::1025 description TO-[GDQIY-MS-IPMAN-BNG01-LJJYZ-HW]  ipv4-family unicast   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient   ipv4-family vpnv4   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient  ipv6-family vpnv6   peer 120.196.37.29 enable   peer 120.196.37.29 group ibgp-man-rrclient    ipv6-family unicast   peer 2409:8054:0060:0000::1025 enable   peer 2409:8054:0060:0000::1025 group ibgp-man-rrclient-ipv6     3、新建BNG入网上联CR配置： 3.1、聚合端口配置 interface Eth-Trunk1  mtu 4470  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:40G(N/A)::Eth-Trunk56  ipv6 enable  ip address 183.233.15.2 255.255.255.252  ipv6 address 2409:8055:60:1251::/127  ipv6 address auto link-local  ipv6 mtu 4470  traffic-policy QosProtocal inbound  traffic-policy anti-virus outbound  trust upstream default  undo icmp name redirect receive  pim sm  isis enable 86  isis ipv6 enable 86  isis circuit-type p2p  isis circuit-level level-2  isis authentication-mode md5 cipher %^%#V6@5YH;}*&>LR<"dG_^.T<0m=u^tpCEng<AR{jj5%^%#  isis ipv6 cost 1000 level-2  isis cost 1000 level-2  mode lacp-static  lacp timeout fast  mpls  mpls ldp #   interface Eth-Trunk2  mtu 4470  description uT:GDQIY-MC-IPMAN-RT01-DEJL-HW:40G(N/A)::Eth-Trunk56  ipv6 enable  ip address 183.233.15.6 255.255.255.252  ipv6 address 2409:8055:60:1250::/127  ipv6 address auto link-local  ipv6 mtu 4470  traffic-policy QosProtocal inbound  traffic-policy anti-virus outbound  trust upstream default  undo icmp name redirect receive  pim sm  isis enable 86  isis ipv6 enable 86  isis circuit-type p2p  isis circuit-level level-2  isis authentication-mode md5 cipher %^%#BQv=*jUu<2Qz`[FQ6Q0<J;-~)gQ.P$7W|jA_k1.;%^%#  isis ipv6 cost 1000 level-2  isis cost 1000 level-2  mode lacp-static  lacp timeout fast  mpls  mpls ldp #   3.2、物理端口配置 interface GigabitEthernet2/0/0  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE1/7/0/9  undo shutdown  eth-trunk 1  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface GigabitEthernet2/0/1  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE1/10/0/8  undo shutdown  eth-trunk 1  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface GigabitEthernet4/0/0  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE1/10/0/9  undo shutdown  eth-trunk 1  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface GigabitEthernet4/0/1  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE1/10/0/10  undo shutdown  eth-trunk 1  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound #   interface GigabitEthernet2/0/2  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-DEJL-HW:10G(N/A)::GE1/10/0/12  undo shutdown  eth-trunk 2  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface GigabitEthernet2/0/3  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-DEJL-HW:10G(N/A)::GE1/10/0/14  undo shutdown  eth-trunk 2  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound #   interface GigabitEthernet4/0/2  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-DEJL-HW:10G(N/A)::GE2/8/0/10  undo shutdown  eth-trunk 2  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface GigabitEthernet4/0/3  carrier up-hold-time 1000  carrier down-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-DEJL-HW:10G(N/A)::GE2/8/0/11  undo shutdown  eth-trunk 2  undo dcn  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound #   3.3、mpls ldp配置 mpls ldp  md5-password cipher 120.196.37.3 %^%#w%)n(q0^FJ6[x5(fPPKU8N)~R,1.H5L5b'H5|3XE%^%# md5-password cipher 120.196.37.4 %^%#SL_@V";`B3^^J9Vv)Kh$e&hC37oN'7[fciC^}L4(%^%#   3.4、ISIS配置 isis 86  cost-style wide  circuit-cost 100000  network-entity 86.0763.1201.9603.7029.00  is-name GDQIY-MS-IPMAN-BNG01-LJJYZ-HW  preference 100  maximum load-balancing 8  #  ipv6 enable topology ipv6  ipv6 preference 100  ipv6 circuit-cost 100000  # #   3.5、BGP配置 bgp 65272  router-id 120.196.37.29  undo default ipv4-unicast  group ibgp-man-cr internal  peer ibgp-man-cr connect-interface LoopBack0  peer ibgp-man-cr password cipher %^%#*hJ'02\*aI8u5x!JY%D8B"fk4EsgdL.(C{Cxy3,0%^%#  peer 120.196.37.3 as-number 65272  peer 120.196.37.3 group ibgp-man-cr  peer 120.196.37.3 description GDQIY-MC-IPMAN-RT01-ZHL-HW  peer 120.196.37.4 as-number 65272  peer 120.196.37.4 group ibgp-man-cr  peer 120.196.37.4 description GDQIY-MC-IPMAN-RT01-DEJL-HW  group ibgp-man-cr-ipv6 internal  peer ibgp-man-cr-ipv6 description TO-CR  peer ibgp-man-cr-ipv6 connect-interface LoopBack0 2409:8054:60::1025  peer ibgp-man-cr-ipv6 password cipher %^%#Qf=q~5].2L4F{j.6qlL+zt>%K!-Uq;%-ymU4ut!2%^%#  peer 2409:8054:60::1 as-number 65272  peer 2409:8054:60::1 group ibgp-man-cr-ipv6  peer 2409:8054:60::1 description TO-[GDQIY-MC-IPMAN-RT01-ZHL-HW]  peer 2409:8054:60::2 as-number 65272  peer 2409:8054:60::2 group ibgp-man-cr-ipv6  peer 2409:8054:60::2 description TO-[GDQIY-MC-IPMAN-RT01-DEJL-HW]  #  ipv4-family unicast   undo synchronization   preference 20 200 200   import-route direct route-policy Export_Direct_Route   import-route unr route-policy Export_Unr_Route   maximum load-balancing 8    undo peer ibgp-man-cr-ipv6 enable   peer ibgp-man-cr enable   peer ibgp-man-cr advertise-community   peer ibgp-man-cr advertise-ext-community   peer 120.196.37.3 enable   peer 120.196.37.3 group ibgp-man-cr   peer 120.196.37.4 enable   peer 120.196.37.4 group ibgp-man-cr  #  ipv6-family unicast   undo synchronization   preference 200 200 200   network 2409:8A55:C907:: 48   network 2409:8A55:C970:: 44   maximum load-balancing 8    peer ibgp-man-cr-ipv6 enable   peer ibgp-man-cr-ipv6 advertise-community   peer ibgp-man-cr-ipv6 advertise-ext-community   peer 2409:8054:60::1 enable   peer 2409:8054:60::1 group ibgp-man-cr-ipv6   peer 2409:8054:60::2 enable   peer 2409:8054:60::2 group ibgp-man-cr-ipv6  #  ipv4-family vpnv4   policy vpn-target   peer ibgp-man-cr enable   peer ibgp-man-cr advertise-community   peer ibgp-man-cr route-update-interval 0   peer 120.196.37.3 enable   peer 120.196.37.3 group ibgp-man-cr   peer 120.196.37.4 enable   peer 120.196.37.4 group ibgp-man-cr   # ipv6-family vpnv6    policy vpn-target    peer ibgp-man-cr enable    peer ibgp-man-cr advertise-community    peer ibgp-man-cr route-update-interval 0    peer 120.196.37.3 enable    peer 120.196.37.3 group ibgp-man-cr  peer 120.196.37.4 enable  peer 120.196.37.4 group ibgp-man-cr  #

 

1.1.2.2.4.7.入网及下带业务回退脚本配置

1、CR01下联新建BNG入网回退：   bgp 65272  undo peer 120.196.37.29  undo peer 2409:8054:0060:0000::1025 # mpls ldp  undo md5-password cipher 120.196.37.29 # interface GigabitEthernet1/7/0/9 undo eth-trunk interface GigabitEthernet1/10/0/8 undo eth-trunk interface GigabitEthernet 1/10/0/9 undo eth-trunk interface GigabitEthernet 1/10/0/10 undo eth-trunk # undo interface Eth-Trunk56 #     2、CR02下联新建BNG入网回退：   bgp 65272  undo peer 120.196.37.29  undo peer 2409:8054:0060:0000::1025 # mpls ldp  undo md5-password cipher 120.196.37.29 # interface GigabitEthernet 1/10/0/12 undo eth-trunk interface GigabitEthernet 1/10/0/14 undo eth-trunk interface GigabitEthernet 2/8/0/10 undo eth-trunk interface GigabitEthernet 2/8/0/11 undo eth-trunk # undo interface Eth-Trunk56 #     3、新建BNG入网上联CR回退   bgp 65272  undo peer ibgp-man-cr  undo group ibgp-man-cr-ipv6  undo peer 120.196.37.3  undo peer 120.196.37.4 # mpls ldp  undo md5-password cipher 120.196.37.3  undo md5-password cipher 120.196.37.4 # interface GigabitEthernet2/0/0 undo eth-trunk interface GigabitEthernet2/0/1 undo eth-trunk interface GigabitEthernet4/0/0 undo eth-trunk interface GigabitEthernet4/0/1 undo eth-trunk interface GigabitEthernet2/0/2 undo eth-trunk interface GigabitEthernet2/0/3 undo eth-trunk interface GigabitEthernet4/0/2 undo eth-trunk interface GigabitEthernet4/0/3 # undo interface Eth-Trunk1 undo interface Eth-Trunk2 #

 

1.1.2.2.5.BNG链路扩容实施方案

1.1.2.2.5.1.BNG链路扩容变更概述

• 现网拓扑及变更目标

为了满足业务发展需求，确保上联带宽能支撑峰值流量。本次工程需要对某城域网BNG设备上联核心CR的链路进行扩容，共扩容N*100GE。

本次割接网络架构不变，只增加链路带宽。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网BNG设备上联核心CR进行链路扩容操作。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       NE5000E-X16A CR       ME60 BNG

 

1.1.2.2.5.2.BNG链路扩容变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	链路扩容责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

 

• 变更链路资源

本端CR设备网元	本端端口+互联IP地址	对端BR设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 提前根据跳纤规划进行跳纤；
  • 做好本次链路扩容的端口标签；
    • 设备运行情况检查

检查类别	命令	描述
设备基础信息	display current-configuration	配置备份
	display version	查看设备软件版本
	display patch-information	查看设备软件版本补丁号
	display device	查看设备板卡状态
	display cpu-usage	查看设备CPU占用率
	display memory-usage	查看设备内存只用率
	display power	查看设备电源模块状态
	display fan	查看设备风扇状态
网络协议信息	display ip routing-table statistics display ipv6 routing-table statistics	查看全局路由表状态
	display ip routing-table 0.0.0.0 display ipv6 routing-table ::	查看全局默认路由信息
	display isis peer	查看ISIS协议邻居
	display isis route	查看ISIS路由条目
	display bgp peer	查看BGP ipv4-unicast邻居
	display bgp routing-table	查看BGP ipv4-unicast路由条目
	display bgp vpnv4 all peer	查看BGP vpnv4-unicast邻居
	display bgp vpnv4 all routing-table	查看BGP vpnv4-unicast路由条目
	display mpls ldp session	查看MPLS LDP会话状态（含邻居）
	display mpls label all  summary	查看全部MPLS标签概况信息
	display bgp vpnv4 all routing-table label	查看BGP vpnv4-unicast路由的MPLS标签
	display pim neighbor	查看组播PIM路由邻居
	display pim routing-table	查看组播PIM路由条目
接口状态/流量检查	display interface geX/X/X/X	查看CR下联BNG链路状态
设备告警/log检查	display alarm all	查看设备告警
	display logbuffer	查看设备告警和状态变化LOG
网络连通性测试	ping -c 100 -s -m 200 5000 x.x.x.x	涉及操作的BNG:上联链路测试

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	中	对访问域外业务造成影响，存在丢包情况	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
流量值不均或差异较大	中	对访问域外业务造成影响，存在丢包情况	对比BNG设备和核心CR设备侧核对路由协议状态和收发路由条目数量是否一致；检查配置是否有误，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.5.3.BNG链路扩容变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次设备链路扩容于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作BNG设备上联两台核心CR链路扩容脚本。	0:00-0:45	集成方
4	操作两台核心CR下联BNG设备链路扩容扩容脚本。	0:45-01:30	集成方
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.5.4.BNG链路扩容应急回退

在割接后，通过对比上联端口总流量情况和计算利用率，正常情况下，总流量与割接前对比不会出现较大变化。如果出现链路之间的利用率差异较大，出现丢包情况，路由协议邻居出现翻滚或其他不稳定情况，并且在操作当晚03：00前不能解决，则采取回退操作。

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

 

回退步骤如下：

序号	步骤	时间	操作方
1	清除BNG设备上联两台核心CR链路扩容配置。 清除两台核心CR下联BNG设备链路扩容扩容配置	3:00-3:20	集成方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方
4	回退状态确认，回退完成	3:50-4:00	集成方

 

1.1.2.2.5.5.BNG链路扩容变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• 设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.5.6.BNG链路扩容割接脚本配置示例

1、CR下联BNG链路扩容配置 interface GigabitEthernet2/7/1/13 dis this  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LNX-HW:10G(LNX/DEJL-10GE0005CMNET)::GE5/0/6  undo shutdown  eth-trunk 14  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface Eth-Trunk14  description dT:GDQIY-MS-IPMAN-BNG01-LNX-HW:60(N/A)::Eth-Trunk1 # interface GigabitEtherne2/7/1/10 dis this  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GDQIY-MS-IPMAN-BNG01-LNYDZHL-HW:10G(N/A)::GE3/1/5  undo shutdown  eth-trunk 15  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af2 cir cir-percentage 35 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound # interface Eth-Trunk15  description dT:GDQIY-MS-IPMAN-BNG01-LNYDZHL-HW:60G(N/A)::Eth-Trunk1   2、BNG上联CR链路扩容配置 interface GigabitEthernet5/0/6 dis this  carrier down-hold-time 1000  carrier up-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE2/7/1/13  undo shutdown  eth-trunk 1  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface Eth-Trunk1  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:60G(N/A)::Eth-Trunk14 # interface GigabitEthernet3/1/5 dis thi  carrier down-hold-time 1000  carrier up-hold-time 1000  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:10G(N/A)::GE2/7/1/10  undo shutdown  eth-trunk 1  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound # interface Eth-Trunk1  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:60G(N/A)::Eth-Trunk15

1.1.2.2.5.7.BNG链路扩容回退脚本配置

1、CR下联BNG链路扩容回退配置 interface GigabitEthernet2/7/1/13 undo eth-trunk # interface Eth-Trunk14  description dT:GDQIY-MS-IPMAN-BNG01-LNX-HW:50(N/A)::Eth-Trunk1 # interface GigabitEtherne2/7/1/10 undo eth-trunk # interface Eth-Trunk15  description dT:GDQIY-MS-IPMAN-BNG01-LNYDZHL-HW:50G(N/A)::Eth-Trunk1   2、BNG上联CR链路扩容回退配置 interface GigabitEthernet5/0/6 undo eth-trunk # interface Eth-Trunk1  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:50G(N/A)::Eth-Trunk14 # interface GigabitEthernet3/1/5 undo eth-trunk # interface Eth-Trunk1  description uT:GDQIY-MC-IPMAN-RT01-ZHL-HW:50G(N/A)::Eth-Trunk15

 

1.1.2.2.6.板卡扩容实施方案

1.1.2.2.6.1.扩板变更概述

• 设备面板示意图

上图为某型号扩板的安装示意图与槽位分布图。

为了满足业务发展需求，确保上联带宽能支撑峰值流量，本次工程需要对某城域网CR/BNG/SR/BRAS设备板卡扩容，共扩容N块业务板、NAT板。

本次板卡扩容所涉及的板卡、光模块类型与采购需求的类型、规格及特性一致，并严格按照设计规范及图纸进行部署。

本次割接网络架构不变，只增加业务板、NAT板数量。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网CR/BNG/CR/BRAS设备进行板卡扩容操作。 局点位置 型号 设备层级 设备名称 扩板类型/扩板槽位   NE5000E-X16A CR       AL7750 BNG/SR/BRAS       ME60 BNG/SR/BRAS       ZTE M6000 BNG/SR/BRAS

 

1.1.2.2.6.2.扩板变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	扩板责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

• 厂家公司小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人

 

• 变更板卡资源

所在局点位置	设备网元名称+设备网管IP	扩容板卡类型/型号	扩容槽位
		业务板卡
		NAT板卡

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需厂家提前做好安排事项：
  • 提前确认设备版本支持本次扩板操作；
  • 准备割接中应急备件；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 检查板卡是否损坏；
  • 提前确认扩板设备位置；
  • 准备螺丝刀等工具
    • 设备运行情况检查

检查类别	命令	描述	备注
信息采集	comp config	比较当前配置和保存文件是否一致
	display current-configuration	查看当前配置
	display device	检查单板是否正常注册
	display device pic-status	检查子卡是否正常注册
	display version	检查设备版本情况
	display patch-information	检查设备补丁
	check version startup	检查版本启动设置
	display startup	检查启动文件信息
	display health	检查cpu和内存使用率
	Disp al all	查看当前告警
	disp power	电源
	Dis fan	风扇
	display nat statistics table slot 15	查看NAT板的会话数
	display nat statistics table slot 16	查看NAT板的会话数
	display ip-pool pool-usage	查看地址池使用率
	disp bas-interface	Bas端口用户上线数
	disp nat  session  table  slot 15	查看NAT会话表项信息
	disp nat  session  table  slot 16	查看NAT会话表项信息
路由信息	display isis peer	查看isis邻居
	disp isis peer vebose	查看ipv6 isis 邻居
	display ipv6 routing-table	查看公网IPv6路由表的信息
	display ip routing  0.0.0.0	默认路由检查
	display ip routing statistics	检查路由表项统计
	display ip routing-table	查看公网IPv4路由表的信息
	disp bgp peer	查看bgp邻居
	disp bgp ipv6 peer	查看ipv6 bgp邻居
	display domain	查看域
	display access-user	用户上线情况
	display domain 139.gd	家宽用户上线
	disp bas-interface	Bas端口用户上线
接口状态检查	display ip interface bri	查看ip接口信息	前后一致
	display interface	查看接口状态信息	前后一致
	display  interface brief	查看接口信息	前后一致
	display eth-trunk	查看Eth-Trunk接口的配置信息	前后一致
Log日志	display arp statistics all	查看ARP表项的统计信息
	display logbuffer	查看日志缓冲区记录信息
	display elabel	查看电子标签信息
	disp trapbuffer	查看告警缓记录的信息
备份配置	Copy vrpcfg.zip cfcard:/vrpcfg_old.zip copy vrpcfg.zip slave#cfcard:/vrpcfg_old.zip	备份配置文件，以便倒回
业务拨测		通知网管拨测人员对比网管告警，利用拨测系统对下挂业务进行拨测	更换前后进行业务拨测

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
板卡插入后状态不正常	低	不影响业务	施工人员检查板卡是否损坏，联系厂家确认板卡软硬件的兼容性如果5分钟内无法排除故障，知会客户和当晚值班人员，更换应急板卡。
板卡硬件插入后设备出现异常情况，业务系统有大量相关告警	中	可能影响业务	拔出板卡，同时需要采集当前的日志等设备信息，保留日志信息，取消板卡扩容操作。

 

1.1.2.2.6.3.扩板变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次设备链路扩容于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	现场施工人员插入扩容板卡，观察板卡指示灯状态。	0:00-0:05	施工方
4	检查设备板卡状态、接口状态，配置板卡的相关参数。	0:05-00:10	集成方
5	查看并收集比对设备运行信息。	0:10-0:20	集成方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	0:20-0:30	业务拨测人员

 

1.1.2.2.6.4.扩板应急回退

在板卡扩容后，出现旧有板卡状态不正常，链路之间的利用率差异较大，出现丢包情况，路由协议邻居出现翻滚或其他不稳定情况，并且在操作当晚03：00前不能解决，则采取回退操作。

变更倒回时间	03：00
变更倒回决策人	客户责任人/厂家责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

 

回退步骤如下：

序号	步骤	时间	操作方
1	现场施工人员拔出扩容板卡	3:00-3:05	施工方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:05-3:10	业务拨测人员
3	对设备进行回退后状态检查，与割接前状态进行对比；	3:10-3:20	集成方
4	回退状态确认，回退完成	3:20-3:30	集成方

 

1.1.2.2.6.5.扩板变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• 扩板设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.6.6.扩板割接脚本配置示例

1、增加CPU保护速率 sys cpu-defend policy 10  car index 40 cir 100  car index 122 cir 128  car index 270 cir 128  car index 629 cir 128 quit   2、扩容板卡绑定cpu保护策略 slot 3  cpu-defend-policy 10   3、修改端口描述 interface GigabitEthernet 3/0/0 description no-use shutdown interface GigabitEthernet 3/0/1 description no-use shutdown interface GigabitEthernet 3/0/2 description no-use shutdown interface GigabitEthernet 3/0/3 description no-use shutdown interface GigabitEthernet 3/0/4 description no-use shutdown interface GigabitEthernet 3/0/5 description no-use shutdown interface GigabitEthernet 3/0/6 description no-use shutdown interface GigabitEthernet 3/0/7 description no-use shutdown interface GigabitEthernet 3/0/8 description no-use shutdown interface GigabitEthernet 3/0/9 description no-use shutdown interface GigabitEthernet 3/0/10 description no-use shutdown interface GigabitEthernet 3/0/11 description no-use shutdown interface GigabitEthernet 3/0/12 description no-use shutdown interface GigabitEthernet 3/0/13 description no-use shutdown interface GigabitEthernet 3/0/14 description no-use shutdown interface GigabitEthernet 3/0/15 description no-use shutdown interface GigabitEthernet 3/0/16 description no-use shutdown interface GigabitEthernet 3/0/17 description no-use shutdown interface GigabitEthernet 3/0/18 description no-use shutdown interface GigabitEthernet 3/0/19 description no-use shutdown interface GigabitEthernet 3/0/20 description no-use shutdown interface GigabitEthernet 3/0/21 description no-use shutdown interface GigabitEthernet 3/0/22 description no-use shutdown interface GigabitEthernet 3/0/23 description no-use shutdown

1.1.2.2.6.7.扩板割接回退脚本配置示例

无需配置脚本，只需查看设备状态即可。

 

1.1.2.2.7.SW退网割接实施方案

1.1.2.2.7.1.SW退网变更概述

• 现网拓扑及变更目标

随着网络扁平化的发展及按照集团规划要求，处在业务汇聚层的设备（SW交换机）将逐步退网下电，在退网前将SW下带的所有业务接入到城域网BNG，对无业务的SW可提前安排退网。

本次割接网络架构改变，SW下的OLT/PTN/SDH等设备将通过物理链路直连到业务控制层BNG设备。

• 影响业务类型和割接分类

SW设备涵盖的业务类型包括：家宽、专线、语音、IPTV、WLAN业务等，其中家宽、语音、IPTV都属于GPON组网下带业务，专线、WLAN则GPON、PTN、SDH都有，所以，本次割接以组网类型+下带同类型业务进行分批次割接。

以下图为例：

组网类型+下带同类型业务	割接方法
GPON+专线	提前布放及调通OLT上联设备到BNG的物理链路的情况： 1、IP能利旧的情况，直接平滑割接到BNG； 2、无法利旧IP，需与客户协商修改IP（这种情况出现在阿郎7750共享网关上）。 由于OLT上联接口限制，无法提供更多的上联口，不能满足提前布放OLT上联设备到BNG的物理链路的情况： 1、寻找一台直连BNG的OLT设备，把原有OLT下带专线割接到这台OLT设备上，需考虑能否利旧IP。
GPON+宽带	提前布放及调通OLT上联设备到BNG的物理链路的情况： 1、宽带业务为PPPoE方式，无需考虑IP问题，但割接后，需要对家宽业务进行解绑。 由于OLT上联接口限制，无法提供更多的上联口，不能满足提前布放OLT上联设备到BNG的物理链路的情况： 1、寻找一台直连BNG的OLT设备，把原有OLT下宽带业务割接到这台OLT设备上，需考虑PON资源。
GPON+语音	如果客户为固定三层IP，则按照“GPON+专线”割接方法； 如果客户为DHCP方式，则按照“GPON+宽带”割接方法。
PTN+专线	同“GPON+专线”割接方法。
PTN+WLAN	同“GPON+宽带”割接方法，前提是必须先打通BNG到AC的互联互通。
SDH+专线	有满足存放在同机楼/同机房的BNG设备情况： 提前确认SW下带业务的链路准确性，BNG设备拥有的端口数量，割接当晚把纤/网线直接接到BNG设备上。 不满足存放在同机楼/同机房的BNG设备情况： 根据业务提前规划传输链路，布放线路，割接当晚把新线路接到BNG-传输设备上。
SDH+WLAN	同“SDH+专线”割接方法。

 

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网SW设备下带业务割接至BNG设备，并对SW退网下电操作。 局点位置 型号 设备层级 设备名称 IP   ME60/AL7750/ZTEM600 BNG/SR/BRAS       HW9300/C4500 SW

 

1.1.2.2.7.2.SW退网变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	链路扩容责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

 

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 提前根据跳纤规划进行跳纤；
  • 做好本次链路扩容的端口标签；
  • 准备螺丝刀等工具
    • 设备运行情况检查

检查类别	命令	描述	备注
设备基础信息	display cu	查看目前设备的运行配置情况
	display dev	查看各单板的具体状态,正常都是注册成功
	display health	查看各单板的CPU和内存的使用率.
	display version	查看设备本身以及各单板的版本等信息,及运行时间
网络协议信息	display isis peer	查看ISIS邻居状态
	display mpls ldp peer	查看LDP邻居状态
	display bgp peer	查看BGP邻居状态
	display bgp routing	查看BGP路由
接口状态/流量检查	display ip int bri	查看接口大致信息,包括IP地址,状态(Down or Up)
	display int bri	查看接口概况
用户接入信息检查	display arp bri	观察用户上线情况
设备告警/log检查	display alarm all	告警信息查询
相关网管及后台告警检查	U2000网管系统
业务拨测	ping及arp测试

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由条目数不正常	中	对访问域外业务造成影响，存在丢包情况	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.7.3.SW退网变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次SW退网割接于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
SW设备有业务的情况（需多天次割接）
1	备份现有配置，查看并收集设备运行信息；并对SW设备的业务进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	按照“影响业务类型和割接分类”分批次割接业务，并根据割接脚本做相应的操作，例如关闭SW旧有端口，删除业务数据，路由发布等。	0:00-1:30	集成方/施工方
4	查看并收集比对设备运行信息，本次链路的利用率增长和丢包率情况、路由学习情况。	1:30-2:00	集成方
5	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

以下是SW设备已经把业务割接完毕，或者是本身没有业务的情况，进行SW退网割接：

序号	步骤	时间	操作方
SW设备业务已割接/没业务的情况
1	提前确认好SW设备电源标签的准确性，及空开等位置。	提前安排检查验证	甲方/施工方
2	根据准确的电源端子表格，施工方对设备进行下电操作。	0:00-0:05	施工方
3	通过网管系统等检测SW设备状态，应为离线。	0:05-0:25	集成方/施工方
4	网管系统确认全网设备有无其他设备电源下电告警，现场SW设备电源指示灯显示下电状态。	0:25-0:30	集成方
5	再次检查设备告警信息，割接完成。	0:30-0:50	集成方

 

1.1.2.2.7.4.SW退网应急回退

在割接后，如果出现链路之间的利用率差异较大，出现丢包情况，用户数数量对比操作前不一致，路由协议邻居出现翻滚或其他不稳定情况，电源端子表与实际现场电源标签不对应，并且在操作当晚03：00前不能解决，则采取回退操作。

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人/施工责任人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

 

回退步骤如下：

序号	步骤	时间	操作方
1	清除BNG设备下联业务割接数据。 施工人员重新把纤/网线接回SW设备。 检查设备及业务运行状态。	3:00-3:20	集成方/施工方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方
4	回退状态确认，回退完成	3:50-4:00	集成方

 

以下是SW设备已经把业务割接完毕，或者是本身没有业务的情况，进行SW退网割接回退操作：

序号	步骤	时间	操作方
SW设备业务已割接/没业务的情况
1	施工方重新打开电源端子开关。	3:00-3:05	施工方
2	通过网管系统等检测SW设备状态，应为在线。	3:05-3:25	集成方/施工方
3	网管系统确认全网设备有无其他设备电源下电告警，现场SW设备电源指示灯显示在线状态。	3:25-3:30	集成方
4	再次检查设备告警信息，回退完成。	3:30-3:50	集成方

 

1.1.2.2.7.5.SW退网变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• 设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.7.6.SW退网割接脚本配置示例

1、SW设备现网在用业务割接到BNG   interface GigabitEthernet1/0/18  description I-INTER-QY-IMS2qigongcheng  ip address 218.204.231.17 255.255.255.248  traffic-policy QOSNormalJK inbound  traffic-policy Deny_Destination_Port_80 outbound  undo shutdown # ip ip-prefix Direct_Route permit 218.204.231.16 29 # interface GigabitEthernet1/0/19  description I-feisidatanzhen-(info-miss)  ip address 120.240.13.25 255.255.255.252  traffic-policy QOSNormalJK inbound  traffic-policy Deny_Destination_Port_80 outbound  undo shutdown # ip ip-prefix Direct_Route permit 120.240.13.24 30 # interface GigabitEthernet1/0/20  description I-feisidatanzhen-(info-miss)  ip address 120.240.13.29 255.255.255.252  traffic-policy QOSNormalJK inbound  traffic-policy Deny_Destination_Port_80 outbound  undo shutdown # ip ip-prefix Direct_Route permit 120.240.13.28 30 # interface GigabitEthernet1/1/19  description O-INTER-QY-YinDeGongLuJu-(info-miss)  ip address 218.204.230.97 255.255.255.240  traffic-policy QOSNormalJK inbound  traffic-policy Deny_Destination_Port_80 outbound  undo shutdown # ip ip-prefix Direct_Route permit 218.204.230.96 28 #     ip vpn-instance l3vpn-0310  description GD-NGN-1  ipv4-family   route-distinguisher 120.196.37.248:310   vpn-target 64621:310 export-extcommunity   vpn-target 64621:310 import-extcommunity # ip vpn-instance l3vpn-0320  description 2342-FoshanSanshuiBeijiangDadiVPN  ipv4-family   route-distinguisher 120.196.37.248:320   vpn-target 64621:320 export-extcommunity   vpn-target 64621:320 import-extcommunity # route-policy GDQY_IPMAN_OptionBl3vpn-0310_import permit node 10  apply community 56040:199 # bgp 65272  ipv4-family vpn-instance l3vpn-0310   import-route direct route-policy GDQY_IPMAN_OptionBl3vpn-0310_import  #  ipv4-family vpn-instance l3vpn-0320   import-route direct # interface GigabitEthernet1/1/20  description TO-[QYDR01]-FE-4/0/1-1G-MPLS-VPN-(info-miss)  mode user-termination  undo shutdown # interface GigabitEthernet1/1/20.311  vlan-type dot1q 311  description TO-[GD-NGN-1-3528G-1]-(info-miss)  ip binding vpn-instance l3vpn-0310  ip address 192.168.246.17 255.255.255.248  ip urpf loose allow-default # interface GigabitEthernet1/1/20.312  vlan-type dot1q 312  description TO-[GD-NGN-1-3528G-2]-(info-miss)  ip binding vpn-instance l3vpn-0310  ip address 192.168.246.25 255.255.255.248  ip urpf loose allow-default # interface GigabitEthernet1/1/20.320  vlan-type dot1q 320  description TO-[2342-FoshanSanshuiBeijiangDadiVPN]-(info-miss)  ip binding vpn-instance l3vpn-0320  ip address 192.168.33.1 255.255.255.248  ip urpf loose allow-default #      2、SW设备业务所在的端口进行关闭：   interface FastEthernet5/4  shutdown exit interface FastEthernet5/16  shutdown exit interface FastEthernet5/19  shutdown exit interface FastEthernet5/24  shutdown exit interface FastEthernet6/1  shutdown exit

1.1.2.2.7.7.SW退网割接回退脚本配置示例

1、打开SW设备业务所在的端口：   interface FastEthernet5/4  undo shutdown exit interface FastEthernet5/16  undo shutdown exit interface FastEthernet5/19  undo shutdown exit interface FastEthernet5/24  undo shutdown exit interface FastEthernet6/1  undo shutdown exit     2、删除SW设备现网在用业务割接到BNG数据   interface GigabitEthernet1/0/18  description no-use  undo ip address 218.204.231.17 255.255.255.248  undo traffic-policy inbound  undo traffic-policy outbound  shutdown # undo ip ip-prefix Direct_Route permit 218.204.231.16 29 # interface GigabitEthernet1/0/19  description no-use  undo ip address 120.240.13.25 255.255.255.252  undo traffic-policy inbound  undo traffic-policy outbound  shutdown # undo ip ip-prefix Direct_Route permit 120.240.13.24 30 # interface GigabitEthernet1/0/20  description no-use  undo ip address 120.240.13.29 255.255.255.252  undo traffic-policy inbound  undo traffic-policy outbound  shutdown # undo ip ip-prefix Direct_Route permit 120.240.13.28 30 # interface GigabitEthernet1/1/19  description no-use  undo ip address 218.204.230.97 255.255.255.240  undo traffic-policy inbound  undo traffic-policy outbound  shutdown # undo ip ip-prefix Direct_Route permit 218.204.230.96 28 #   bgp 65272  undo ipv4-family vpn-instance l3vpn-0310  #  undo ipv4-family vpn-instance l3vpn-0320 # undo ip vpn-instance l3vpn-0310 # undo ip vpn-instance l3vpn-0320 # undo route-policy GDQY_IPMAN_OptionBl3vpn-0310_import # interface GigabitEthernet1/1/20.311  description no-use  undo ip binding vpn-instance l3vpn-0310  undo ip address 192.168.246.17 255.255.255.248 # interface GigabitEthernet1/1/20.312  description no-use  undo ip binding vpn-instance l3vpn-0310  undo ip address 192.168.246.25 255.255.255.248 # interface GigabitEthernet1/1/20.320  description no-use  undo ip binding vpn-instance l3vpn-0320  undo ip address 192.168.33.1 255.255.255.248 #  interface GigabitEthernet1/1/20  description no-use  shutdown #

 

1.1.2.2.8.BNG配对割接实施方案

1.1.2.2.8.1.BNG配对割接变更概述

• 现网拓扑及变更目标

由于某地市城域网业务快速发展，致使OLT下带数据业务的增加，导致部分OLT上联链路带宽不能满足现网需求。为了满足数据业务日益增长的需求，现对部分OLT节点进行链路割接改造。

本次割接网络架构不变，只改变OLT上联BNG配对设备。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网OLT上联BNG设备配对割接调整。 局点位置 型号 设备层级 设备名称 IP   ME60/AL7750/ZTE M6000 BNG       MA5800/ZTE C300 OLT

 

1.1.2.2.8.2.BNG配对割接变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	链路扩容责任人

• 工程施工公司小组名单：

姓名	责任	电话
	总指挥
	现场操作责任人

 

• 变更链路资源

本端OLT设备网元	本端端口（新旧/新分配）	对端BNG设备网元	本端端口（新分配）

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好业务割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 提前根据跳纤规划进行跳纤；
  • 做好本次链路扩容的端口标签；
    • 设备运行情况检查

检查类别	命令	描述
设备基础信息	display current-configuration	配置备份
	display version	查看设备软件版本
	display patch-information	查看设备软件版本补丁号
	display device	查看设备板卡状态
	display cpu-usage	查看设备CPU占用率
	display memory-usage	查看设备内存只用率
	display power	查看设备电源模块状态
	display fan	查看设备风扇状态
网络协议信息	display ip routing-table statistics display ipv6 routing-table statistics	查看全局路由表状态
	display ip routing-table 0.0.0.0 display ipv6 routing-table ::	查看全局默认路由信息
	display isis peer	查看ISIS协议邻居
	display isis route	查看ISIS路由条目
	display bgp peer	查看BGP ipv4-unicast邻居
	display bgp routing-table	查看BGP ipv4-unicast路由条目
	display bgp vpnv4 all peer	查看BGP vpnv4-unicast邻居
	display bgp vpnv4 all routing-table	查看BGP vpnv4-unicast路由条目
	display mpls ldp session	查看MPLS LDP会话状态（含邻居）
	display mpls label all  summary	查看全部MPLS标签概况信息
	display bgp vpnv4 all routing-table label	查看BGP vpnv4-unicast路由的MPLS标签
	display pim neighbor	查看组播PIM路由邻居
	display pim routing-table	查看组播PIM路由条目
接口状态/流量检查	display interface geX/X/X/X	查看CR下联BNG链路状态
业务信息	display vrrp	查看VRRP状态
	display bas	查看用户数量
	display interface brief	查看接口信息
	display igmp-sopping port	查看组播引流信息
设备告警/log检查	display alarm all	查看设备告警
	display logbuffer	查看设备告警和状态变化LOG
网络连通性测试	ping -c 100 -s -m 200 5000 x.x.x.x	涉及操作的BNG:下联链路测试

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
热备协议状态不正常	中	影响三层IP业务	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
流量值/用户数不均或差异较大	中	不影响业务	对比操作前后业务数量，检查配置是否有误，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.8.3.BNG配对割接变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次设备链路扩容于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	关闭OLT上联第一台旧BNG链路，并在第一台新BNG上配置数据，施工人员把旧有链路跳纤至新BNG上；检查链路状态/业务数量/热备协议等信息。	0:00-0:45	集成方/施工方
4	关闭OLT上联第二台旧BNG链路，并在第二台新BNG上配置数据，施工人员把旧有链路跳纤至新BNG上。检查链路状态/业务数量/热备协议等信息。	0:45-01:30	集成方/施工方
5	查看并收集比对设备运行信息，本次割接链路的利用率增长和丢包率情况，业务数量的前后对比情况。	1:30-2:00	集成方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.8.4.BNG配对割接应急回退

在割接后，通过对比操作前链路总流量情况和计算利用率，正常情况下，总流量与割接前对比不会出现较大变化。如果出现链路之间的利用率差异较大，出现丢包情况，热备协议出现翻滚或其他不稳定情况，业务数量差异较大，并且在操作当晚03：00前不能解决，则采取回退操作。

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

 

回退步骤如下：

序号	步骤	时间	操作方
1	关闭OLT上联第一台新BNG链路，并清除第一台新BNG上的数据配置，施工人员把链路还原至旧BNG；检查链路状态/业务数量/热备协议等信息。	3:00-3:20	集成方/施工方
2	关闭OLT上联第二台新BNG链路，并清除第二台新BNG上的数据配置，施工人员把链路还原至旧BNG；检查链路状态/业务数量/热备协议等信息。	3:00-3:40	集成方/施工方
3	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:40-4:00	业务拨测人员
4	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	4:00-4:20	集成方
5	回退状态确认，回退完成	4:20-4:30	集成方

 

1.1.2.2.8.5.BNG配对割接变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• 设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.8.6.BNG配对割接脚本配置示例

1、BNG配对割接配置： 1.1、第一台BNG配置： interface Eth-Trunk9  description TO-[OLT-QY-MinJieDongCheng-ZXC300-OLT01]10GE-N/A-10G  mode user-termination  mode lacp-static  nas logic-port eth-Trunk 5/0/53 # interface Eth-Trunk9.20 encap dot1q  description I-MANAGE-CQ-MinJieDongCheng-C300-OLT01  control-vid 20 dot1q-termination  dot1q termination vid 20  dot1q vrrp vid 20  ip binding vpn-instance GDQY_CMCC_OLT_WangGuan  ip address 187.192.221.131 255.255.255.128  vrrp vrid 20 virtual-ip 187.192.221.129  admin-vrrp vrid 20  vrrp vrid 20 track bfd-session 18 link  traffic-policy urpf inbound  arp broadcast enable # bfd MinJieDCOLT01 bind peer-ip 187.192.221.132 vpn-instance GDQY_CMCC_OLT_WangGuan interface Eth-Trunk9.20 one-arm-echo  discriminator local 18  min-echo-rx-interval 300  commit # interface Eth-Trunk9.900 encap dot1q  description O-IPTV-QY-CQMinJieDongChengOLT01-otv-multicast  control-vid 900 dot1q-termination         dot1q termination vid 900  ip address 100.127.255.222 255.255.255.252  pim hello-option dr-priority 100  pim sm  pim bfd enable  pim bfd min-rx-interval 100 min-tx-interval 100  igmp enable  igmp group-policy 2999  arp broadcast enable # interface Eth-Trunk9.1000  description O-PPPOE-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  ipv6 address auto link-local  traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1000  bas  #   access-type layer2-subscriber default-domain authentication 139.gd   client-option82 basinfo-insert cn-telecom   access-delay 100 even-mac   nas logic-port GigabitEthernet 5/0/53  # #                                         interface Eth-Trunk9.1006  description O-IPTV-CQ-MinJieDongCheng-C300-OLT01  user-vlan 1000 2999 qinq 1006  bas  #   access-type layer2-subscriber default-domain authentication otv-admin   client-option82   client-option60   access-delay 50 odd-mac   authentication-method bind   ip-trigger   arp-trigger  # # interface Eth-Trunk9.1007  description O-IMS-MinJieDongCheng-ZXC300-OLT01  traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1007  bas  #   access-type layer2-subscriber default-domain authentication pppoe_ims   access-delay 100 even-mac   authentication-method bind   ip-trigger   arp-trigger   vpn-instance GD_CMNET_CMCC_CMIMS  #                                        # interface Eth-Trunk9.1008  description O-ITMS_TR069-MinJieDongCheng-ZXC300-OLT01  ipv6 enable  ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  bas  #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 odd-mac   authentication-method bind   authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  # # interface Eth-Trunk9.1010  description O-PPPOE-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  ipv6 address auto link-local  traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1010  bas  #   access-type layer2-subscriber default-domain authentication 139.gd   client-option82 basinfo-insert cn-telecom   access-delay 100 even-mac   nas logic-port GigabitEthernet 5/0/53  # # interface Eth-Trunk9.1018  description O-ITMS_TR069-CQMinJieDongCheng-C300-OLT001  ipv6 enable  undo icmp redirect send  ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  user-vlan 1000 2999 qinq 1018  bas  #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 even-mac   authentication-method bind   authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  # # interface Eth-Trunk9.1057 encap qinq                 description O-IMS-QY-MinJieDongCheng-OLT001  control-vid 1057 qinq-termination  qinq termination pe-vid 1057 ce-vid 3000 to 3100  ip binding vpn-instance GD_CMNET_CMCC_CMIMS  ip address 10.225.11.129 255.255.255.192  track admin-vrrp interface Eth-Trunk9.20 vrid 20  traffic-policy QosLTEVoice inbound  dhcp snooping enable  dhcp snooping check arp enable  dhcp snooping check ip enable  dhcp snooping bind-table static ip-address 10.225.11.130 vlan 1057 ce-vlan 3000  arp-proxy inter-sub-vlan-proxy enable  arp broadcast enable # interface Eth-Trunk9.1098  description O-ITMS_TR069-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  undo icmp redirect send  ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  user-vlan 1000 2999 qinq 1008  bas                                       #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 even-mac   authentication-method bind   authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  #     interface GigabitEthernet G4/0/6  description TO-[OLT-QY-CQMinJieDongCheng-ZXC300-OLT001]10GE-0/20/0-10G  undo shutdown  eth-trunk 9  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound #   1.2、第二台BNG配置： interface Eth-Trunk9  description TO-[OLT-QY-MinJieDongCheng-ZXC300-OLT01]10GE-N/A-10G  mode user-termination  mode lacp-static  nas logic-port eth-Trunk 5/0/53 # interface Eth-Trunk9.20 encap dot1q  description I-MANAGE-CQ-MinJieDongCheng-C300-OLT01  control-vid 20 dot1q-termination  dot1q termination vid 20  dot1q vrrp vid 20  ip binding vpn-instance GDQY_CMCC_OLT_WangGuan  ip address 187.192.221.130 255.255.255.128  vrrp vrid 20 virtual-ip 187.192.221.129  admin-vrrp vrid 20  vrrp vrid 20 priority 120  vrrp vrid 20 preempt-mode timer delay 20  vrrp vrid 20 track bfd-session 18 link    traffic-policy urpf inbound  arp broadcast enable # bfd MinJieDCOLT01 bind peer-ip 187.192.221.132 vpn-instance GDQY_CMCC_OLT_WangGuan interface Eth-Trunk9.20 one-arm-echo  discriminator local 18  min-echo-rx-interval 300  commit # interface Eth-Trunk9.900 encap dot1q  description O-IPTV-QY-CQMinJieDongChengOLT01-otv-multicast  control-vid 900 dot1q-termination  dot1q termination vid 900  ip address 100.127.255.221 255.255.255.252  pim hello-option dr-priority 150  pim sm  pim bfd enable  pim bfd min-rx-interval 100 min-tx-interval 100  igmp enable  igmp group-policy 2999  arp broadcast enable # interface Eth-Trunk9.1000  description O-PPPOE-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  ipv6 address auto link-local  traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1000  bas  #                                          access-type layer2-subscriber default-domain authentication 139.gd   client-option82 basinfo-insert cn-telecom   access-delay 100 odd-mac   nas logic-port GigabitEthernet 5/0/53  # # interface Eth-Trunk9.1006  description O-IPTV-CQ-MinJieDongCheng-C300-OLT01  user-vlan 1000 2999 qinq 1006  bas  #   access-type layer2-subscriber default-domain authentication otv-admin   client-option82   client-option60   access-delay 50 even-mac   authentication-method bind   ip-trigger   arp-trigger  # # interface Eth-Trunk9.1007  description O-IMS-MinJieDongCheng-ZXC300-OLT01  traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1007  bas  #   access-type layer2-subscriber default-domain authentication pppoe_ims   access-delay 100 odd-mac   authentication-method bind   ip-trigger   arp-trigger   vpn-instance GD_CMNET_CMCC_CMIMS  # # interface Eth-Trunk9.1008  description O-ITMS_TR069-MinJieDongCheng-ZXC300-OLT01  ipv6 enable  ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  bas  #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 even-mac   authentication-method bind   authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  # # interface Eth-Trunk9.1010  description O-PPPOE-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  ipv6 address auto link-local              traffic-policy urpf inbound  user-vlan 1000 2999 qinq 1010  bas  #   access-type layer2-subscriber default-domain authentication 139.gd   client-option82 basinfo-insert cn-telecom   access-delay 100 odd-mac   nas logic-port GigabitEthernet 5/0/53  # # interface Eth-Trunk9.1018  description O-ITMS_TR069-CQMinJieDongCheng-C300-OLT001  ipv6 enable  undo icmp redirect send  ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  user-vlan 1000 2999 qinq 1018  bas  #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 odd-mac   authentication-method bind                authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  # # interface Eth-Trunk9.1057 encap qinq  description O-IMS-QY-MinJieDongCheng-OLT001  control-vid 1057 qinq-termination  qinq termination pe-vid 1057 ce-vid 3000 to 3100  ip binding vpn-instance GD_CMNET_CMCC_CMIMS  ip address 10.225.11.129 255.255.255.192  track admin-vrrp interface Eth-Trunk9.20 vrid 20  traffic-policy QosLTEVoice inbound  dhcp snooping enable  dhcp snooping check arp enable  dhcp snooping check ip enable  dhcp snooping bind-table static ip-address 10.225.11.130 vlan 1057 ce-vlan 3000  arp-proxy inter-sub-vlan-proxy enable  arp broadcast enable # interface Eth-Trunk9.1098  description O-ITMS_TR069-CQ-MinJieDongCheng-C300-OLT01  ipv6 enable  undo icmp redirect send                   ipv6 address auto link-local  ipv6 nd autoconfig managed-address-flag  ipv6 nd autoconfig other-flag  trust upstream default  user-vlan 1000 2999 qinq 1008  bas  #   access-type layer2-subscriber default-domain authentication pppoe_itms_tr069   access-delay 100 odd-mac   authentication-method bind   authentication-method-ipv6 bind   vpn-instance GD_CMNET_CMCC_CMITMS_TR069   ipv6 nd ra send-fast transmit 1  #   interface GigabitEthernet4/0/5  description TO-[OLT-QY-CQMinJieDongCheng-ZXC300-OLT001]10GE-0/19/0-10G  undo shutdown  eth-trunk 9  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound #

1.1.2.2.8.7.BNG配对割接回退脚本配置示例

2、BNG配对割接回退配置 2.1、第一台BNG回退 interface Eth-Trunk9.20 shutdown interface Eth-Trunk9.900 shutdown interface Eth-Trunk9.1057 shutdown interface Eth-Trunk9.1000 shutdown interface Eth-Trunk9.1006 shutdown interface Eth-Trunk9.1007 shutdown interface Eth-Trunk9.1008 shutdown interface Eth-Trunk9.1010 shutdown interface Eth-Trunk9.1018 shutdown interface Eth-Trunk9.1098 shutdown   # undo interface Eth-Trunk9.20 undo interface Eth-Trunk9.900 undo interface Eth-Trunk9.1057 undo interface Eth-Trunk9.1000 undo interface Eth-Trunk9.1006 undo interface Eth-Trunk9.1007 undo interface Eth-Trunk9.1008 undo interface Eth-Trunk9.1010 undo interface Eth-Trunk9.1018 undo interface Eth-Trunk9.1098 undo bfd  MinJieDCOLT01 # interface GigabitEthernet4/0/6  description no-use  shutdown  undo eth-trunk # interface Eth-Trunk9 shutdown quit undo interface Eth-Trunk9 #   2.2、第二台BNG回退： interface Eth-Trunk9.20 shutdown interface Eth-Trunk9.900 shutdown interface Eth-Trunk9.1057 shutdown interface Eth-Trunk9.1000 shutdown interface Eth-Trunk9.1006 shutdown interface Eth-Trunk9.1007 shutdown interface Eth-Trunk9.1008 shutdown interface Eth-Trunk9.1010 shutdown interface Eth-Trunk9.1018 shutdown interface Eth-Trunk9.1098 shutdown   # undo interface Eth-Trunk9.20 undo interface Eth-Trunk9.900 undo interface Eth-Trunk9.1057 undo interface Eth-Trunk9.1000 undo interface Eth-Trunk9.1006 undo interface Eth-Trunk9.1007 undo interface Eth-Trunk9.1008 undo interface Eth-Trunk9.1010 undo interface Eth-Trunk9.1018 undo interface Eth-Trunk9.1098 undo bfd  MinJieDCOLT01 # interface GigabitEthernet4/0/5  description no-use  shutdown  undo eth-trunk # interface Eth-Trunk9 shutdown quit undo interface Eth-Trunk9 #

 

1.1.2.2.9.5G核心网业务接入实施方案

1.1.2.2.9.1.5G核心网业务接入变更概述

• 现网拓扑及变更目标

为了满足5G业务发展需求，为5G用户提供更稳定，更优质的网络访问质量，本次工程把5G核心网的U平面接入到地市城域网核心CR，通过两台核心防火墙设备各上联城域网核心CR，形成口子型组网，5G用户数据转发流将经城域网核心CR再流到省BR。

本次割接后，网络拓扑发送变化，城域网核心CR新增下联5G核心网U平面接入。

• 流量转发描述

正常情况下，2台FW是负载分担	异常情况1： （FW流量走单边，CR侧出现横穿流量） 某台FW出现板卡故障 2、某台FW上行or下行端口故障，因FW支持上行端口联动模式
异常情况2： （防火墙无感知，CR侧出现横穿流量） 1、CR上行全断	异常情况3： （防火墙无感知，CE侧出现横穿流量） 1、CE下行中断

 

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次对某城域网CR设备新增5G核心网业务接入，实现5G用户数据流经城域网转发到省CMNET。 局点位置 型号 设备层级 设备名称 IP   NE5000E-X16A CR       E9000E FW

 

1.1.2.2.9.2.5G核心网业务接入变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	双跨接入责任人

• 厂家公司小组名单：

姓名	责任	电话
	总指挥
	5G核心网侧负责人

 

• 变更链路资源

本端CR设备网元	本端端口+互联IP地址	对端FW设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好城域网CR侧对接5G核心网接入割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需厂家人员提前做好安排事项：
  • 提前安排好5G核心网FW设备上架、上电、标签等；
  • 确认好割接时间；
  • 准备好5G核心网接入城域网CR侧接入割接脚本；
    • 5G核心网接入协商参数规则

1、当前城域网CR没有开启OSPF协议，而防火墙开启负载分担的情况下，只支持OSPF/BGP，所以CR对FW开启OSPF（为支持IPV6，同步开启OSPFV3），可以接收FW泛洪过来的路由（匹配前缀过滤列表）。OSPFV2开启NSSA功能，可以减小域内OSPF路由泛洪，同步实现CR对FW下发缺省路由（OSPF实例内取消了下发缺省路由的命令default-route-advertise，避免CR之间下发缺省路由）。由于部分防火墙不支持OSPFV3开启NSSA功能，所以针对OSPFV3不开启NSSA，配置了缺省路由的命令default-route-advertise，在引入策略（按照地址前缀）内禁止缺省，

2、城域网向省网BR通过BGP协议发布和接收业务路由，所以需要将UPF的地址注入到BGP中。在CR上配置黑洞路由做一次路由汇聚，按照network（关联策略）+黑洞路由方式发布给省网。

3、防火墙与上端CR开启OSPF协议，并且将承载的N6/N9路由地址泛洪给CR（匹配前缀过滤列表）。N6地址一般作为NAT使用，需要配置黑洞路由，契合上面的前缀列表引入到OSPF协议内。N9地址由UPF发布，由CMNET_CE通过OSPF泛洪到FW再同步CR侧的OSPF配置，OSPF域内开启NSSA功能。

4、防火墙与下端CMNET_CR/UPF需要开启另外一个OSPF实例，因为UPF使用IP为用户私网IP，这样可以避免公私网路由泛洪CR。需要把N9的漫游地址泛洪到CR。

5、CMNET_CE本文不做详细描述，参照EPC_SW，需要基于业务做好VPN。关注点：CMNET_CE互联链路要预留足够带宽，在OSPF配置是预留NSSA使用的互联IP；

   结合上面的规划要求，还需要重点关注如下几点：

• 异常情况下，城域网CR的互联链路带宽要满足UPF承载的一半流量以上；
• FW侧尽量提前规划好N6/N9的IP地址，避免过小的网段发布给CR并且通告给省网BR（如果是某个地市有多个UPF，可以考虑配置黑洞路由汇聚再发布）；
  • 设备运行情况检查

检查类别	命令	描述
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc	Ofc信息
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
设备告警/log检查	display alarm  hardware display  alarm  hardware | include Vsr disp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	中	对业务访问域外造成影响，存在丢包情况	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
流量值不均或差异较大	中	对访问域外业务造成影响，存在丢包情况	立刻与厂家侧核对路由协议状态和收发路由条目数量是否一致；检查配置是否有误，若03：00仍排查不出，采取回退操作。

 

1.1.2.2.9.3.5G核心网业务接入变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次5G核心网接入城域网CR于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方厂家人员
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作城域网第一台CR设备下联5G核心网第一台FW设备的接入操作脚本,并联系厂家操作5G核心网第一台FW设备数据脚本。检查链路、路由等状态信息	0:00-0:45	集成方厂家人员
4	操作城域网第二台CR设备下联5G核心网第二台FW设备的接入操作脚本,并联系厂家操作5G核心网第二台FW设备数据脚本。	0:45-01:30	集成方厂家人员
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方 厂家人员
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.9.4.5G核心网业务接入应急回退

当割接后出现以下情况之一，启用倒回操作：

• 路由收发没有达到预期效果
• 流量疏导没有达到预期效果
• 业务拨测异常

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	通知厂家人员删除5G核心网FW设备上联城域网CR侧的接入数据； 我方清除城域网CR下联5G核心网FW设备接入数据。	3:00-3:20	集成方 厂家人员
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方厂家人员
4	回退状态确认，回退完成	3:50-4:00	集成方厂家人员

 

1.1.2.2.9.5.5G核心网业务接入变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• CR设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.9.6.5G核心网业务接入脚本配置示例

1、配置业务地址汇聚黑洞路由： ip route-static 223.104.69.128 25 NULL0 preference 253 description 5GC-UPF-N6    //N6地址段 ip route-static 221.177.73.64 26 NULL0 preference 253 description 5GC-UPF-N9     //N9地址段 //针对IPV6地址进行汇聚，IPV6的N6地址还涉及定位，需要增加区县描述 ipv6 route-static 2409:895A:2C00:: 40 NULL0 preference 253 description xxxxxx-lte ipv6 route-static 2409:895A:2E00:: 40 NULL0 preference 253 description xxxxxx-lte //针对IPV6地址进行汇聚，IPV6的N9地址 ipv6 route-static 2409:8057:2901:1000:: 64 NULL0 preference 253 description N9     2、路由策略配置： //包含CR1与CR2的loopback0 IP地址 ip ip-prefix 5gc-upf-v4 index 5 permit 120.196.43.3 32 ip ip-prefix 5gc-upf-v4 index 10 permit 120.196.43.4 32 //包含CR1与FW1的互联IP地址+CR2与FW2的互联IP地址 ip ip-prefix 5gc-upf-v4 index 15 permit x.x.x.x 30 greater-equal 30 less-equal 32 ip ip-prefix 5gc-upf-v4 index xxx permit x.x.x.x 30 greater-equal 30 less-equal 32  //包含N6的ipv4地址段，要FW侧黑洞路由掩码保持一致。（同步在BGP的network ip网段） ip ip-prefix 5gc-upf-v4 index xx permit 223.104.69.128 25 greater-equal 25 less-equal 32 //包含N9-ipv的ip地址段，要FW侧黑洞路由掩码保持一致。（同步在BGP的network ip网段） ip ip-prefix 5gc-upf-v4 index xx permit 221.177.73.64 26 greater-equal 26 less-equal 32 //包含CR1与CR2的互联IP地址（可能有多条链路，因为没做聚合） ip ip-prefix 5gc-upf-v4 index xx permit x.x.x.x 30 greater-equal 30 less-equal 32 # route-policy 5gc-upf-v4 permit node 10     //配置IPV4相关引入路由策略  if-match ip-prefix 5gc-upf-v4 # route-policy 5gc-upf-v4 deny node 10000 # ip ipv6-prefix 5gc-upf-v6 index 10 deny :: 0   //先要拒绝缺省路由 (FW下端有ospfv3缺省路由下发) //包含CR1与FW1、CR2与FW2的互联IPV6地址 ip ipv6-prefix 5gc-upf-v6 index xx permit 2409:8055:xxxx:xxxx:: 127 greater-equal 127 less-equal 128 //包含CR1与CR2的互联IPV6地址 (与ipv4不一样，因为ipv4的ospf fa地址是loopback0) ip ipv6-prefix 5gc-upf-v6 index xx permit 2409:8055:xxxx:xxxx:: 127 greater-equal 127 less-equal 128 //包含FW的下挂的N6的IPV6地址，注意最长匹配掩码不能是128，一般最大48，要与FW对应 ip ipv6-prefix 5gc-upf-v6 index 40 permit 2409:895A:2C00:: 40 greater-equal 40 less-equal 45 ip ipv6-prefix 5gc-upf-v6 index 45 permit 2409:895A:2E00:: 40 greater-equal 40 less-equal 45 //包含FW的下挂的N9的IPV6地址，注意最长匹配掩码不能是128，一般最大68，要与FW对应 ip ipv6-prefix 5gc-upf-v6 index 35 permit 2409:8057:2901:1000:: 64 greater-equal 64 less-equal 68 # route-policy xx5gc-upf-v6 permit node 10     //配置IPV6相关引入路由策略  if-match ipv6 address prefix-list 5gc-upf-v6 # route-policy xx5gc-upf-v6 deny node 10000 #   3、OSPF协议配置： ospf 88 router-id x.x.x.x                               //用设备loopback0地址 filter-policy route-policy 5gc-upf-v4 import              //对引入的路由做过滤  preference ase 13                                   //这个设置ase路由优先级  bandwidth-reference 100000                          //设置带宽权重值  area 0.0.0.0   network x.x.x.x 0.0.0.0 description CR_Loopback0    //CR自身loopback0，按照network本端接口ip地址   network x.x.x.x 0.0.0.0 description CR1_to_CR2      //CR之间互联ip，按照network本端接口ip地址  area 0.0.0.101   //area 号后续按照102/103逐步增加   network x.x.x.x 0.0.0.0 description to_XX-FW        //CR下挂UPF-FW地址，network本端接口ip地址   nssa default-route-advertise backbone-peer-ignore no-summary 备注：部分地市CR版本是V8R6，只能配置为nssa default-route-advertise no-summary。设置NSSA模式，骨干区域中必须存在Full状态的邻居和Up状态的接口，ABR才会产生缺省的Type-7 LSA到NSSA区域，减少发送到NSSA区域的LSA的数量（禁止ABR向NSSA区域内发送Summary LSAs） # 因为部分地市接入FW不支持ospfv3 area内开启NSSA，所以规划城域网CR统一都不启用NSSA功能 ospfv3 88  router-id x.x.x.x                                //用设备loopback0地址 default-route-advertise type 1 rfc1583 compatible preference ase 13 filter-policy ipv6-prefix 5gc-upf-v6 import           //这里是按照CMNET_CR方式，按照前缀过滤 area 0.0.0.0                                    // 骨干区域邻居 area 0.0.0.101                                  // area 号后续按照102/103逐步增加   4、端口配置： #配置CR与FW的下行端口（统一配置Eth-Trunk聚合口，物理口配置参考现网） interface Eth-Trunk xx                           //这个聚合端口是新建的  description dT: xxx2CFW101-5GC-UPF:100G(N/A)::linkagg-3           //进行端口描述  ipv6 enable                                   //开启IPV6功能  ip address x.x.x.x 255.255.255.252                //配置IPV4地址，掩码/30，其中CR用小地址  ipv6 address 2409:8055:xxxx:xxxx::/127           //配置IPV6地址，掩码/127，其中CR用小地址 ipv6 address auto link-local mtu 4470 ipv6 mtu 4470 ospfv3 88 area 0.0.0.101                        //配置OSPFV3，，属于area 101，与对端一致 ospfv3 cost 1000 ospfv3 network-type p2p ospfv3 timer hello 3 ospfv3 authentication-mode hmac-sha256 key-id 1 cipher xxx  //设置地市OSPF协商密钥，(都用gmcc@10086) ospf cost 1000 ospf authentication-mode md5 1 cipher XXXX   //设置地市OSPF协商密钥，(都用gmcc@10086) ospf network-type p2p ospf timer hello 1 mode lacp-static                                           //开启LACP模式 lacp timeout fast trust upstream default ip urpf strict # 将CR对接FW的端口将入聚合端口组（本文忽略，参考现网） # #配置CR之间互联端口的数据（该端口原先存在，本次涉及OSPF数据补充），如果是非聚合端口，可以在物理端口配置 interface Eth-Trunk xx                           //这个聚合端口是现网已存在 ospfv3 88 area 0.0.0.0                          //配置OSPFv3，属于area 0  ospfv3 cost 500                                //配置OSPF cost要与isis cost保持一致  ospfv3 network-type p2p  ospfv3 timer hello 3  ospfv3 authentication-mode hmac-sha256 key-id 1 cipher xxx //设置地市OSPF协商密钥(都gmcc@10086)    ospf cost 500  ospf authentication-mode md5 1 cipher XXXX   //设置地市OSPF协商密钥(都gmcc@10086)    ospf network-type p2p  ospf timer hello 1 # interface 100GE3/5/0/3   carrier up-hold-time 1000 carrier down-hold-time 1000   description dT:GDSZ-SZH2CFW101-5GC-UPF:100G(N/A)::Eth-Trunk10    eth-trunk 145   undo shutdown #   5、BGP协议配置 # bgp 6xxxx 首先进行路由的注入，实现BGP存在路由  ipv4-family unicast //只发布UPF相关业务ip，CR/FW的互联ip不发布，配置过滤前缀，掩码与上面ospf使用一致，减少配置    network 223.104.69.128 25 route-policy 5gc-upf-v4      network 221.177.73.64 26 route-policy 5gc-upf-v4   //只发布UPF相关业务ip，CR/FW的互联ip不发布，配置过滤前缀，与上面ospf使用一致，减少配置 #   ipv6-family unicast   //只发布UPF相关业务ip，CR/FW的互联ip不发布，配置过滤前缀，与上面ospf使用一致，减少配置   network 2409:8057:2901:4C00:: 64 route-policy 5gc-upf-v6 network 2409:895A:B500:: 40 route-policy 5gc-upf-v6 network 2409:895A:B700:: 40 route-policy 5gc-upf-v6   下一步就是修改BGP PEER外网的策略，下面策略只限于面向省网新旧BR（不包含国干BB设备）： #先配置面向旧BR（IPV4路由，包含N6/N9） route-policy XX-EXPORT-TO-CMNET-BR permit node XXXX  //具体route-policy见现网，新建node节点（上面策略名字是现有的，node id号需要新建，不能是最后deny之后）  if-match ip-prefix 5gc-upf-v4  apply community 9808:61640 9808:61180 9808:56040 56040:10086 9808:65270 additive   //前面4个团提属性不用修改，保持不变，最后一个为本地市管理域标识，详见上面规划表（示例9808:65270为广州标识）； # #再配置面向新BR（IPV4路由，包含N6/N9） route-policy xx-EXPORT-TO-CMNET-BR1112 permit node XXXX   //要求同上  if-match ip-prefix 5gc-upf-v4  apply community 9808:61640 9808:61180 9808:56040 56040:10086 9808:65270 additive  //要求同上 # # 同样办法，配置面向旧BR（IPV6路由，包含N6/N9） route-policy Export-XX-MAN-ROUTE-ipv6 permit node XXXX   //要求同上  if-match ipv6 address prefix-list 5gc-upf-v6  apply community 9808:61640 9808:61180 9808:56040 56040:10086 9808:65270 additive   //要求同上 # 同样办法，配置面向新BR（IPV6路由，包含N6/N9） route-policy Export-XX-MAN-CMNET-BR1112-ROUTE-ipv6 permit node XXXX         //要求同上  if-match ipv6 address prefix-list 5gc-upf-v6  apply community 9808:61640 9808:61180 9808:56040 56040:10086 9808:65270 additive   //要求同上 #  peer 2409:8080::305 group ebgp-cmnet-bb-ipv6

1.1.2.2.9.7.5G核心网业务接入回退配置示例

1、删除BGP协议配置 # bgp 6xxxx 首先进行路由的注入，实现BGP存在路由  ipv4-family unicast   undo network 223.104.69.128 25   undo network 221.177.73.64 26  ipv6-family unicast   undo network 2409:8057:2901:4C00:: 64   undo network 2409:895A:B500:: 40   undo network 2409:895A:B700:: 40     2、删除OSPF协议配置 undo ospf 88 router-id x.x.x.x                          # undo ospfv3 88      3、删除路由策略配置 undo route-policy 5gc-upf-v4 # undo route-policy xx5gc-upf-v6 # undo route-policy XX-EXPORT-TO-CMNET-BR permit node XXXX # undo route-policy xx-EXPORT-TO-CMNET-BR1112 permit node XXXX # route-policy Export-XX-MAN-ROUTE-ipv6 permit node XXXX  # route-policy Export-XX-MAN-CMNET-BR1112-ROUTE-ipv6 permit node XXXX       #     4、删除前缀列表配置 undo ip ip-prefix 5gc-upf-v4 index 5 undo ip ip-prefix 5gc-upf-v4 index 10 undo ip ip-prefix 5gc-upf-v4 index 15 undo ip ip-prefix 5gc-upf-v4 index xxx # undo ip ipv6-prefix 5gc-upf-v6 index 10 deny :: 0 undo ip ipv6-prefix 5gc-upf-v6 index xx permit 2409:8055:xxxx:xxxx:: 127 undo ip ipv6-prefix 5gc-upf-v6 index xx permit 2409:8055:xxxx:xxxx:: 127 undo ip ipv6-prefix 5gc-upf-v6 index 40 permit 2409:895A:2C00:: 40 undo ip ipv6-prefix 5gc-upf-v6 index 45 permit 2409:895A:2E00:: 40 undo ip ipv6-prefix 5gc-upf-v6 index 35 permit 2409:8057:2901:1000:: 64 #     5、删除业务地址汇聚黑洞路由配置 undo ip route-static 223.104.69.128 25 NULL0 undo ip route-static 221.177.73.64 26 NULL0 # undo ipv6 route-static 2409:895A:2C00:: 40 NULL0 undo ipv6 route-static 2409:895A:2E00:: 40 NULL0 undo ipv6 route-static 2409:8057:2901:1000:: 64 NULL0     6、删除端口配置： clear configuration interface 100GE3/5/0/3 # interface Eth-Trunk xx                 shutdown quit undo interface Eth-Trunk xx     #

 

1.1.2.2.10.CDN网接入实施方案

1.1.2.2.10.1.CDN网接入变更概述

• 现网拓扑及变更目标

为了满足业务发展需求，为IPTV业务提供更稳定，更优质的网络访问质量。本次根据某运营商公司内容分发网络设计文件要求,在某机楼新建1 个三级CDN 节点 ， 新建2 台业务交换机，通过堆叠技术，把两台业务交换机虚拟成一台逻辑交换机，并通过2 条10GE 链路分别上联BNG01和BNG02。

本次割接后，网络拓扑发送变化，BNG将下带三级CDN网，为城域网IPTV业务提供更优质的访问质量，实现无丢包环境。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次为新建三级CDN网设备接入城域网BNG设备。 局点位置 型号 设备层级 设备名称 IP   ME60/AL7750/ZTE M6000 BNG       S7610 SW

 

1.1.2.2.10.2.CDN网接入变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	双跨接入责任人

• 工程施工公司变更小组名单：

姓名	责任	电话
	总指挥
	三级CDN设备侧负责人

 

• 变更链路资源

本端BNG设备网元	本端端口+互联IP地址	对端三级CDN设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好BNG侧下联三级CDN设备割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 提前根据设计规划进行设备上架、加电、跳纤；
  • 做好本次链路扩容的端口、电源、设备标签；
  • 准备螺丝刀等工具
  • 准备好三级CDN设备侧接入BNG脚本
    • CDN接入协商参数规则
  • BNG与三级CDN交换机SW互联的接口地址通过路由发布策略宣告进BGP；
  • 交换机SW与BNG之间使用静态路由互指的方式实现互通：两台SW分别配置点播地址池的路由指向直连配对BNG（若同时上联多对BNG，则需根据不同的配对BNG相应配置静态路由），同时BNG回指业务的静态路由至SW；
  • 配置BFD技术，并关联静态路由，实现毫秒级的链路检测；
  • BNG上将本地直连的三级CDN业务的静态路由重分布进BGP中；
  • CR将本地三级CDN的业务路由网段通过Network+Null0方式汇总宣告进BGP；同时在发给省网BR时打上56040：239及9808：（城域网AS号）的community；
  • 与CDN的互联的接口地址开启ISIS（关闭主动交互功能）、PIM协议。
    • 设备运行情况检查

检查类别	命令	描述
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc	Ofc信息
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
设备告警/log检查	display alarm  hardware display  alarm  hardware | include Vsr disp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	低	不影响业务	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
CDN业务地址无法ping通CMNET	低	不影响业务	检查路由发布策略配置，同时与省网BR侧核对是否收到三级CDN路由；若03：00仍排查不出，采取回退操作。

 

1.1.2.2.10.3.CDN网接入变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次三级CDN网接入于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方/工程施工方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作第一台BNG下联三级CDN设备操作数据脚本,并联系工程施工人员操作三级CDN设备数据。确认各协议状态显示正常，操作第二台。	0:00-0:45	集成方/工程施工方
4	操作第二台BNG下联三级CDN设备操作数据脚本,并联系工程施工人员操作三级CDN设备脚本，确认各协议状态显示正常。	0:45-01:30	集成方/工程施工方
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方/工程施工方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.10.4.CDN网接入应急回退

当割接后出现以下情况之一，启用倒回操作：

• 路由收发没有达到预期效果
• 链路状态不正常
• 业务拨测异常

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人/工程施工负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	通知工程施工人员删除三级CDN设备上联城域网BNG侧的割接数据； 我方清除城域网BNG上联三级CDN设备数据	3:00-3:20	集成方 /工程施工方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方/工程施工方
4	回退状态确认，回退完成	3:50-4:00	集成方/工程施工方

 

1.1.2.2.10.5.CDN网接入变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• BNG设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

 

1.1.2.2.10.6.CDN网接入脚本配置示例

城域网第一台BNG下联三级CDN设备配置： 1、配置流策略：   acl number 3012  rule 5 permit ip source 120.234.119.16 0.0.0.15  rule 10 permit ip source 120.234.119.32 0.0.0.15  # acl ipv6 number 3013   rule 5 permit ip source 2409:8087:5510:1000:: 60   rule 10 permit ip source 2409:8087:5810:1000::  60     traffic classifier OTV-QOS operator or                if-match acl 3012  if-match ipv6 acl 3013 # traffic behavior behavior_qos  remark dscp 29 # traffic policy OTV  share-mode  statistics enable  classifier OTV-QOS behavior behavior_qos  #       2、互联端口配置   interface Eth-Trunk100  mtu 4470  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::Eth-Trunk1003  mode lacp-static  ipv6 enable  ip address 183.233.108.121 255.255.255.252  ipv6 address 2409:8087:5510:1001::0300/127  ipv6 address auto link-local  ipv6 mtu 4470  isis enable 86  isis silent  isis ipv6 enable 86  isis ipv6 silent  pim sm  traffic-policy OTV inbound  ip netstream inbound  ipv6 netstream inbound  ip urpf loose     interface GigabitEthernet5/0/1  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::GE1/3/0/3  eth-trunk 100  undo shutdown  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound   interface GigabitEthernet7/0/0  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::GE2/3/0/3  eth-trunk 100  undo shutdown  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound   3、双向BFD检测配置   bfd OTV-SW01_02 bind peer-ip 183.233.108.122  interface Eth-Trunk100 source-ip 183.233.108.121 auto  min-tx-interval 500  min-rx-interval 500  commit # bfd OTV-SW01_02_V6 bind peer-ipv6 2409:8087:5510:1001::0301 interface Eth-Trunk100 source-ipv6 2409:8087:5510:1001::0300 auto  min-tx-interval 500  min-rx-interval 500  commit #     4、静态路由配置   ip route-static 120.234.119.16 255.255.255.240 Eth-Trunk100 183.233.108.122 track bfd-session OTV-SW01_02 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ip route-static 120.234.119.32 255.255.255.240 Eth-Trunk100 183.233.108.122 track bfd-session OTV-SW01_02 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ipv6 route-static 2409:8087:5510:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0301 track bfd-session OTV-SW01_02_V6 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ipv6 route-static 2409:8087:5810:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0301 track bfd-session OTV-SW01_02_V6 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610       5、三级CDN路由发布给CR配置   ip ip-prefix SJCDN_Static_Route index 10 permit 120.234.119.16 28 ip ip-prefix SJCDN_Static_Route index 20 permit 120.234.119.32 28 # ip ipv6-prefix SJCDN_Static_Route_v6 index 10 permit 2409:8087:5510:1000:: 60 ip ipv6-prefix SJCDN_Static_Route_v6 index 20 permit 2409:8087:5810:1000:: 60 # route-policy Export_Static_Route permit node 10  if-match ip-prefix SJCDN_Static_Route # route-policy Export_Static_Route_ipv6 permit node 10  if-match ipv6 address prefix-list SJCDN_Static_Route_v6 #     城域网第二台BNG下联三级CDN设备配置： 1、配置流策略：   acl number 3012  rule 5 permit ip source 120.234.119.16   rule 10 permit ip source 120.234.119.32  # acl ipv6 number 3013   rule 5 permit ip source 2409:8087:5510:1000:: 60   rule 10 permit ip source 2409:8087:5810:1000::  60     traffic classifier OTV-QOS operator or                if-match acl 3012  if-match ipv6 acl 3013 # traffic behavior behavior_qos  remark dscp 29 # traffic policy OTV  share-mode  statistics enable  classifier OTV-QOS behavior behavior_qos  #       2、互联端口配置   interface Eth-Trunk100  mtu 4470  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::Eth-Trunk1004  mode lacp-static  ipv6 enable  ip address 183.233.108.125 255.255.255.252  ipv6 address 2409:8087:5510:1001::0400/127  ipv6 address auto link-local  ipv6 mtu 4470  isis enable 86  isis silent  isis ipv6 enable 86  isis ipv6 silent  pim sm  traffic-policy OTV inbound  ip netstream inbound  ipv6 netstream inbound  ip urpf loose     interface GigabitEthernet4/0/1  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::GE1/3/0/4  eth-trunk 100  undo shutdown  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound   interface GigabitEthernet6/1/1  description dT:GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610:10G(N/A)::GE2/3/0/4  eth-trunk 100  undo shutdown  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound   3、双向BFD检测配置   bfd OTV-SW01_02 bind peer-ip 183.233.108.126  interface Eth-Trunk100 source-ip 183.233.108.125 auto  min-tx-interval 500  min-rx-interval 500  commit # bfd OTV-SW01_02_V6 bind peer-ipv6 2409:8087:5510:1001::0401 interface Eth-Trunk100 source-ipv6 2409:8087:5510:1001::0400 auto  min-tx-interval 500  min-rx-interval 500  commit #       4、静态路由配置   ip route-static 120.234.119.16 255.255.255.240 Eth-Trunk100 183.233.108.126 track bfd-session OTV-SW01_02 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ip route-static 120.234.119.32 255.255.255.240 Eth-Trunk100 183.233.108.126 track bfd-session OTV-SW01_02 description TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ipv6 route-static 2409:8087:5510:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0401 track bfd-session OTV-SW01_02_V6 TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610 ipv6 route-static 2409:8087:5810:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0401 track bfd-session OTV-SW01_02_V6 TO-OTV-SJCDN-GDGZ-PS-OTV-SW01_02-PZXDL_H3C_S7610       5、三级CDN路由发布给CR配置   ip ip-prefix SJCDN_Static_Route index 10 permit 120.234.119.16 28 ip ip-prefix SJCDN_Static_Route index 20 permit 120.234.119.32 28 # ip ipv6-prefix SJCDN_Static_Route_v6 index 10 permit 2409:8087:5510:1000:: 60 ip ipv6-prefix SJCDN_Static_Route_v6 index 20 permit 2409:8087:5810:1000:: 60 # route-policy Export_Static_Route permit node 10  if-match ip-prefix SJCDN_Static_Route # route-policy Export_Static_Route_ipv6 permit node 10  if-match ipv6 address prefix-list SJCDN_Static_Route_v6 #

1.1.2.2.10.7.CDN网接入回退脚本配置示例

城域网第一台BNG下联三级CDN设备回退配置： 1、取消静态路由配置   undo ip route-static 120.234.119.16 255.255.255.240 Eth-Trunk100 183.233.108.122 undo ip route-static 120.234.119.32 255.255.255.240 Eth-Trunk100 183.233.108.122 undo ipv6 route-static 2409:8087:5510:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0301 undo ipv6 route-static 2409:8087:5810:1000:: 60 Eth-Trunk100 2409:8087:5510:1001::0301   2、取消bfd配置 undo bfd OTV-SW01_02 undo bfd OTV-SW01_02_V6   3、取消三级CDN路由发布给CR配置   undo route-policy Export_Static_Route permit node 10 undo route-policy Export_Static_Route_ipv6 permit node 10 # undo ip ip-prefix SJCDN_Static_Route index 10 undo ip ip-prefix SJCDN_Static_Route index 20 # undo ip ipv6-prefix SJCDN_Static_Route_v6 index 10 undo ip ipv6-prefix SJCDN_Static_Route_v6 index 20 #     3、物理端口踢出捆绑口   interface GigabitEthernet5/0/1  undo eth-trunk     interface GigabitEthernet7/0/0  undo eth-trunk   城域网第二台BNG下联三级CDN设备回退配置：

 

1.1.2.2.11.工业互联网接入实施方案

1.1.2.2.11.1.工业互联网接入变更概述

• 现网拓扑及变更目标

为了应对工业互联网日益增加的各种类型服务，工业互联网分点和工业互联网总点之间的业务流量平凡的交互，导致出口的流量带宽爆满，为了解决这一系列问题，本次提出对工业互联网接入地市城域网，实现大带宽、大容量、稳定和高质量服务的业务需求能力。

本次工业互联网分点CE设备通过运营商的PTN 1GE环，接入到城域网BNG设备。

本次工业互联网总点CE设备通过运营商的PTN10GE环，接入到城域网BNG设备。

• 影响业务类型

描述涵盖设备所有业务类型、是否有容灾

关键特性	ISIS\BGP\IPV6\ETH-TRUNK LACP\QOS\流镜像\MPLS\BFD\PIM
涉及的业务	某移动城域网家宽、专线、语音、IPTV业务等。
是否有容灾	负载分担，平滑割接

• 变更范围

变更范围（涉及本次割接设备的所有业务）

本次为工业互联网接入城域网BNG设备，实现业务的稳定和高质量服务。 局点位置 型号 设备层级 设备名称 IP   ME60/AL7750/ZTE M6000 BNG       NE40 CE

 

1.1.2.2.11.2.工业互联网接入变更准备

• 变更人员组成及职责
  • 甲方公司（客户）变更小组名单：

姓名	责任	电话
	总指挥
	产品变更责任人
	其他网元的配合
	测试负责人
	网管测试责任人

• 集成公司小组名单：

姓名	责任	电话
	总指挥
	双跨接入责任人

• 工程施工公司变更小组名单：

姓名	责任	电话
	总指挥
	工业互联网侧负责人

 

• 变更链路资源

本端BNG设备网元	本端端口+互联IP地址	对端工业互联网CE设备网元	对端端口+互联IP地址

• 变更准备

• 需甲方提前做好安排事项：
  • 现场施工人员均能顺利进入各割接地点（比如相关出入证办理）；
  • 提供各割接局点值班联系人，以便紧急时可以联系现场配合相关操作；
  • 在网管及各个割接地点安排熟悉网络/业务的工程师，以便能够随时核实业务情况，并进行变更前后的业务测试；
  • 割接公告的审批；
• 需集成商提前做好安排事项：
  • 确保链路正常调通；
  • 准备好BNG侧下联工业互联网CE设备割接脚本
  • 提前确认拨测人员；
  • 变更实施终端电脑（需确认电脑不含病毒）；
• 需工程施工商提前做好安排事项：
  • 提前根据设计规划进行设备上架、加电、跳纤；
  • 做好本次链路扩容的端口、电源、设备标签；
  • 准备螺丝刀等工具
  • 准备好工业互联网CE设备侧接入BNG脚本
    • 工业互联网接入协商参数规则

1、城域网BNG与总/分点CE物理端口MTU值确保一致，建议为4470。

2、城域网BNG与总/分点CE通过Eth-trunk聚合口互联，启用LACP模式，互联IP由公网IP地址30位实现互通。

3、城域网BNG和CE间路由协议：移动城域网BNG做PE对接客户CE，分站点CE设备通过静态路由方式进行互指，BNG侧把路由重分发到CMNET网络；总站点CE设备利用物理端口IP，建立EBGP邻居，BNG侧把路由转发到CMNET网络。

4、路由策略配置：BNG发送给CE：只发送本运营商的IP网络地址段。 BNG接收CE：只接受客户提供的业务地址段。

• 设备运行情况检查

检查类别	命令	描述
	display device	检查单板注册情况
	display device pic-status	PIC卡信息
	display device ofc	Ofc信息
	display patch-information	检查补丁状态
	display health	检查健康状态
	display current-configuration comp config	设备配置检查，备份配置
	display switchover state	主备主控板同步情况检查,正常为ready状态
网络协议信息	display ip routing-table statistics	路由数量信息查询
	display ipv6 routing-table statistics	路由数量信息查询
	display ip routing-table 0.0.0.0	默认路由信息查询
	display ipv6 routing-table  ::	默认路由信息查询
	display bgp peer	BGP邻居关系检查
	display bgp vpnv4 all peer
	display isis peer disp isis statistaics display isis interface	IGP邻居关系检查 isis
	disp mpls ldp peer	检查mpls ldp邻居
	disp mpls ldp session	检查mpls ldp 会话
	disp mpls te tunnel	查看MPLS TE隧道状态
	disp mpls lsp st	查看mpls lsp统计
接口状态/流量检查	display ip interface brief	IP接口简要状态
	display interface brief display inter bri	检查接口状态流量
	display ipv6 inter brief	IPV6接口状态
	disp eth-trunk	查看trunk端口
	display interface	日志采集
	display logbuffer	检查接口状态
	disp fiber-length disp next-run-mode disp chassis-id all	检查光纤长度
设备告警/log检查	display alarm  hardware display  alarm  hardware | include Vsr disp al ac	检查告警信息

 

• 变更风险评估及应对措施

对变更中可能存在的设备/网络风险和变更时间风险进行评估，并给出对应措施

风险点	程度	影响	应对措施
扩容链路状态DOWN	低	不影响业务	割接前应做好链路状态检查，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并次日排查链路情况。
扩容链路质量不达标	低	不影响业务	割接前应做好ping测试，如割接当晚出现的，通知现场施工人员排查，不能处理则通知移动接口人割接取消，并排查链路情况。
路由协议状态不正常	低	不影响业务	立刻排查协议状态和配置，分析问题出现的可能性，若03：00仍排查不出，采取回退操作。
工业互联网业务地址总分点无法互通	中	影响业务	检查路由发布策略配置，同时与工业互联网CE设备侧核对路由发送的一致性；若03：00仍排查不出，采取回退操作。

 

1.1.2.2.11.3.工业互联网接入变更操作

• 变更操作注意事项

1、如出现与预计情况不符立即停止后续操作，启动割接应急处理流程，通报保障责任人，确定原因排除故障后才可以继续操作！

2、如果操作中出现异常问题，切在03：30不能解决，则启动应急倒回流程！

3、割接操作必须在凌晨4：00前结束，如果在凌晨4：00时没有完成预期操作，必须马上通报保障责任人授权下步操作！

4、割接前需要严格执行网元健康检查，发现的异常必须在割接前解决，否则不允许启动割接操作！

操作前（24点前）通知拨测人员进行现场拨测，测试结果反馈给操作人员。

拨测方案：

1、拨测人员对城域网内下挂的互联网专线进行测试，ping 外网地址成功率应为100%，主机能正常上网、访问网页。

2、拨测人员在割接所涉及的设备CR/BNG/BRAS/SR上进行ping外网地址，成功率应为100%。

3、拨测人员在城域网下挂的电视机进行点播、直播测试，应为不卡顿，直播不花屏。

• 变更操作步骤

本次工业互联网接入城域网BNG于X月X日凌晨0：00 - 6：00割接窗口进行，正常实施大约需要2个小时，实施当天凌晨时间点安排如下：

序号	步骤	时间	操作方
1	备份现有配置，查看并收集设备运行信息；并对设备的链路状态进行PING测试保证正常割接。	23:30-0:00	集成方/工程施工方
2	拨测人员进行割接前拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	23:30-0:00	业务拨测人员
3	操作第一个地市BNG设备下联工业互联网分点CE设备操作数据脚本,并联系工程施工人员操作分点CE设备数据。确认各协议状态显示正常，操作第二台。	0:00-0:45	集成方/工程施工方
4	操作第二地市BNG设备下联工业互联网重点CE设备操作数据脚本,并联系工程施工人员操作重点CE设备数据，确认各协议状态显示正常。	0:45-01:30	集成方/工程施工方
5	查看并收集比对设备运行信息，本次扩容链路的利用率增长和丢包率情况。	1:30-2:00	集成方/工程施工方
6	根据第2小点，再次进行拨测，拨结果应与割接前保持一致。	2:00-2:30	业务拨测人员

 

1.1.2.2.11.4.工业互联网接入应急回退

当割接后出现以下情况之一，启用倒回操作：

• 路由收发没有达到预期效果
• 链路状态不正常
• 业务拨测异常

变更倒回时间	03：00
变更倒回决策人	客户责任人/集成负责人/工程施工负责人
变更倒回触发条件	1、未在方案规定的时间内完成操作； 2、操作完成后，业务测试异常； 3、出现异常问题，且经故障定位后无法解决。

回退步骤如下：

序号	步骤	时间	操作方
1	通知工程施工人员删除工业互联网总分点CE设备上联城域网BNG侧的割接数据； 我方清除城域网BNG下联工业互联网总分点CE设备侧数据。	3:00-3:20	集成方 /工程施工方
2	拨测人员进行倒回拨测： 拨测主机能正常上网、访问网页； 电视机进行点播、直播测试，应为不卡顿，直播不花屏。	3:20-3:40	业务拨测人员
3	操作人员对设备进行回退后状态检查，与割接前状态进行对比；	3:40-3:50	集成方/工程施工方
4	回退状态确认，回退完成	3:50-4:00	集成方/工程施工方

 

1.1.2.2.11.5.工业互联网接入变更后工作

• 资料移交

• 操作完成后操作负责人需发送操作结果邮件通报，说明操作结果和遗留问题
• 操作过程的相关记录需分开调整准备、调整实施和调整结果确认三部分的内容并保存发送值守人员。
• 最终的变更方案、相关审批表格、完整的操作记录文件、拨测结果记录均需存放好。
  • 值守保障

操作完成，安排专人进行24小时守局保障工作，持续进行现网业务观察，对值守人员发现异常的情况，应上报及说明如何处理。原则上要求立刻电话通知变更值守负责人，主要观察内容：

• 用户业务是否存在大面积故障；
• BNG设备是否存在异常告警；
• 设备端口流量是否正常；
• 设备状态是否正常。

1.1.2.2.11.6.工业互联网接入脚本配置示例

城域网某地市城域网BNG下联工业互联网分点CE设备配置： 1、配置流策略：   acl number 3033  rule 5 permit ip source 120.233.120.48 0.0.0.15  rule 10 permit ip source 120.233.123.96 0.0.0.15  # acl ipv6 number 3034   rule 5 permit ip source 2409:8087:5530:1000:: 60   rule 10 permit ip source 2409:8087:5410:1000::  60     traffic classifier GYHLW-QOS operator or                if-match acl 3013  if-match ipv6 acl 3014 # traffic behavior behavior_qos  remark dscp 29 # traffic policy GYHLW-QOS  share-mode  statistics enable  classifier GYHLW-QOS behavior behavior_qos  #   2、互联端口配置   interface Eth-Trunk100  mtu 4470  description dT:GD-MC-IPMAN-CE01-HLGYWZD-HW:1G(N/A)::Eth-Trunk1  mode lacp-static  ipv6 enable  ip address 183.233.108.1 255.255.255.  ipv6 address 2409:8087:5510:1001::/127  ipv6 address auto link-local  ipv6 mtu 4470  isis enable 86  isis silent  isis ipv6 enable 86  isis ipv6 silent  pim sm  traffic-policy GYHLW-QOS inbound  ip netstream inbound  ipv6 netstream inbound  ip urpf loose     interface GigabitEthernet5/0/1  description dT:GD-MC-IPMAN-CE01-HLGYWZD-HW:1G(N/A)::GE1/3/0/3  eth-trunk 100  undo shutdown  port-queue be wfq weight 4 port-wred wfq_wred outbound  port-queue af1 wfq weight 3 port-wred wfq_wred outbound  port-queue af2 wfq weight 7 port-wred wfq_wred outbound  port-queue af3 wfq weight 2 port-wred wfq_wred outbound  port-queue af4 wfq weight 1 port-wred wfq_wred outbound  port-queue ef wfq weight 1 port-wred wfq_wred outbound  port-queue cs6 wfq weight 1 port-wred wfq_wred outbound  port-queue cs7 pq shaping shaping-percentage 5 port-wred pq_wred outbound     3、双向BFD检测配置   bfd GYHLW-CE01 bind peer-ip 183.233.108.2  interface Eth-Trunk100 source-ip 183.233.108.1 auto  min-tx-interval 500  min-rx-interval 500  commit # bfd GYHLW-CE01_V6 bind peer-ipv6 2409:8087:5510:1001::1 interface Eth-Trunk100 source-ipv6 2409:8087:5510:1001:: auto  min-tx-interval 500  min-rx-interval 500  commit #     4、静态路由配置   ip route-static 120.233.120.48 255.255.255.240 Eth-Trunk100 183.233.108.2 track bfd-session GYHLW-CE01 description TO- GD-MC-IPMAN-CE01-HLGYWZD-HW   ip route-static 120.233.123.96 255.255.255.240 Eth-Trunk100 183.233.108.2 track bfd-session GYHLW-CE01 description TO- GD-MC-IPMAN-CE01-HLGYWZD-HW   ipv6 route-static 2409:8087:5510:4000:: 60 Eth-Trunk100 2409:8087:5510:1001::1 track bfd-session GYHLW-CE01_V6 description TO- GD-MC-IPMAN-CE01-HLGYWZD-HW   ipv6 route-static 2409:8087:5810:5000:: 60 Eth-Trunk100 2409:8087:5510:1001::1 track bfd-session GYHLW-CE01_V6 description TO- GD-MC-IPMAN-CE01-HLGYWZD-HW   5、BNG发布工业互联网路由给CR配置   ip ip-prefix GYHLW_Static_Route index 10 permit 120.233.120.48 28 ip ip-prefix GYHLW_Static_Route index 20 permit 120.233.123.96 28 # ip ipv6-prefix GYHLW_Static_Route_v6 index 10 permit 2409:8087:5510:4000:: 60 ip ipv6-prefix GYHLW_Static_Route_v6 index 20 permit 2409:8087:5810:5000:: 60 # route-policy Export_Static_Route permit node 10  if-match ip-prefix GYHLW_Static_Route # route-policy Export_Static_Route_ipv6 permit node 10  if-match ipv6 address prefix-list GYHLW_Static_Route_v6 #   某地市城域网BNG下联工业互联网总点CE设备配置： 1、配置流策略： acl number 3015  rule 5 permit ip source 120.234.119.0 0.0.0.31  rule 10 permit ip source 120.234.119.128 0.0.0.31  # acl ipv6 number 3016   rule 5 permit ip source 2409:8087:5510:A000:: 60   rule 10 permit ip source 2409:8087:5810:B000::  60     traffic classifier GYHLW-QOS operator or                if-match acl 3015  if-match ipv6 acl 3016 # traffic behavior behavior_qos  remark dscp 29 # traffic policy GYHLW  share-mode  statistics enable  classifier GYHLW-QOS behavior behavior_qos  #   2、聚合端口配置 interface Eth-Trunk77  mtu 4470  description dT:GD-MC-IPMAN-CE01-HLGYWZD-HW:10G(N/A)::Eth-Trunk1  ipv6 enable  ip address 183.233.15.1 255.255.255.252  ipv6 address 2409:8055:60:1251::1/127  ipv6 address auto link-local  ipv6 mtu 4470  pim sm  ipv6 netstream inbound  mode lacp-static  mpls  mpls ldp  statistic mode forward  trust upstream default  traffic-policy gmcc-ipman-in inbound  lacp timeout fast #   3、物理端口配置 interface GigabitEthernet1/7/0/9  carrier up-hold-time 1000  carrier down-hold-time 1000  description dT:GD-MC-IPMAN-CE01-HLGYWZD-HW:10G(N/A)::GE2/0/0  undo shutdown  eth-trunk 77  qos queue be cir cir-percentage 20 outbound  qos queue af1 cir cir-percentage 15 outbound  qos queue af3 cir cir-percentage 10 outbound  qos queue af4 cir cir-percentage 5 outbound  qos queue ef priority 1 cir cir-percentage 5 outbound  qos queue cs6 priority 1 outbound  qos queue cs7 pir pir-percentage 5 outbound     4、路由策略配置： ip ip-prefix HLGYWZD-Route index 10 permit 120.234.119.0 27 greater-equal 27 less-equal 32 ip ip-prefix HLGYWZD-Route index 20 permit 120.234.119.128 27 greater-equal 27 less-equal 32 # ip ipv6-prefix HLGYWZD-Route-ipv6 index 10 permit 2409:8087:5510:A000:: 60 ip ipv6-prefix HLGYWZD-Route-ipv6 index 20 permit 2409:8087:5810:B000::  60 # route-policy export_HLGYWZD permit node 5 # route-policy export_GYHLW-ipv6 permit node 5 # route-policy import_HLGYWZD permit node 5  if-match ip-prefix HLGYWZD-Route # route-policy import_GYHLW-ipv6 permit node 5  if-match ip-prefix HLGYWZD-Route-ipv6     5、BGP配置 bgp 65272  group GYHLW external  peer GYHLW as-number 63999  peer GYHLW connect-interface Eth-Trunk77  peer GYHLW password cipher %^%#=$J&E`e8C)hI%r%tzY:Dj9p:5O}jYHq@}lX.u5..%^%#  peer GYHLW-ipv6 as-number 63999  peer GYHLW-ipv6 connect-interface Eth-Trunk77  peer GYHLW-ipv6 password cipher %^%#=$J&E`e8C)hI%r%tzY:Dj9p:5O}jYHq@}lX.u5..%^%#  peer 183.233.15.2 as-number 63999  peer 183.233.15.2 group GYHLW  peer 183.233.15.2 description GD-MC-IPMAN-CE01-HLGYWZD-HW  peer 2409:8055:60:1251:: as-number 63999  peer 2409:8055:60:1251:: group GYHLW-ipv6  peer 2409:8055:60:1251:: description TO-[GD-MC-IPMAN-CE01-HLGYWZD-HW] #  ipv4-family unicast   peer GYHLW enable   peer GYHLW public-as-only force   peer GYHLW route-policy import_GYHLW import   peer GYHLW route-policy export_GYHLW export   peer GYHLW advertise-community   peer GYHLW advertise-ext-community   peer 183.233.15.2 enable   peer 183.233.15.2 group GYHLW #  ipv6-family unicast   peer GYHLW-ipv6 enable   peer GYHLW-ipv6 public-as-only force   peer GYHLW-ipv6 route-policy import_GYHLW-ipv6 import   peer GYHLW-ipv6 route-policy export_GYHLW-ipv6 export   peer GYHLW-ipv6 advertise-community   peer GYHLW-ipv6 advertise-ext-community   peer 2409:8055:60:1251:: enable   peer 2409:8055:60:1251:: group GYHLW-ipv6

1.1.2.2.11.7.工业互联网接入回退配置示例

城域网某地市城域网BNG下联工业互联网分点CE设备回退配置：   1、删除BNG发布工业互联网路由给CR配置   undo ip ip-prefix GYHLW_Static_Route index 10 undo ip ip-prefix GYHLW_Static_Route index 20 # undo ip ipv6-prefix GYHLW_Static_Route_v6 index 10 undo ip ipv6-prefix GYHLW_Static_Route_v6 index 20 # undo route-policy Export_Static_Route permit node 10 # undo route-policy Export_Static_Route_ipv6 permit node 10 #   2、删除静态路由配置   undo ip route-static 120.233.120.48 255.255.255.240 Eth-Trunk100 183.233.108.2 # undo ip route-static 120.233.123.96 255.255.255.240 Eth-Trunk100 183.233.108.2 # undo ipv6 route-static 2409:8087:5510:4000:: 60 Eth-Trunk100 2409:8087:5510:1001::1 # undo ipv6 route-static 2409:8087:5810:5000:: 60 Eth-Trunk100 2409:8087:5510:1001::1   3、删除双向BFD检测配置   undo bfd GYHLW-CE01 # undo bfd GYHLW-CE01_V6 #   4、删除流策略配置   undo traffic policy GYHLW-QOS # undo traffic classifier GYHLW-QOS operator or               # undo traffic behavior behavior_qos # undo acl number 3033 # acl ipv6 number 3034   5、删除互联端口配置   interface GigabitEthernet5/0/1  description no-use  undo eth-trunk  shutdown # interface Eth-Trunk100  shutdown undo interface Eth-Trunk100     某地市城域网BNG下联工业互联网总点CE设备回退配置：   1、删除BGP配置   bgp 65272  undo peer GYHLW  undo peer GYHLW-ipv6  undo peer 183.233.15.2  undo peer 2409:8055:60:1251:: #   2、删除路由策略配置   undo route-policy export_HLGYWZD permit node 5 # undo route-policy export_GYHLW-ipv6 permit node 5 # undo route-policy import_HLGYWZD permit node 5 # undo route-policy import_GYHLW-ipv6 permit node 5 # undo ip ip-prefix HLGYWZD-Route index 10 undo ip ip-prefix HLGYWZD-Route index 20 # undo ip ipv6-prefix HLGYWZD-Route-ipv6 index 10 undo ip ipv6-prefix HLGYWZD-Route-ipv6 index 20     3、删除静态路由配置   undo ip route-static 120.233.120.48 255.255.255.240 Eth-Trunk100 183.233.108.2 # undo ip route-static 120.233.123.96 255.255.255.240 Eth-Trunk100 183.233.108.2 # undo ipv6 route-static 2409:8087:5510:4000:: 60 Eth-Trunk100 2409:8087:5510:1001::1 # undo ipv6 route-static 2409:8087:5810:5000:: 60 Eth-Trunk100 2409:8087:5510:1001::1     4、删除双向BFD检测配置   undo bfd GYHLW-CE01 # undo bfd GYHLW-CE01_V6 #   5、删除流策略配置   undo traffic policy GYHLW-QOS # undo traffic classifier GYHLW-QOS operator or               # undo traffic behavior behavior_qos # undo acl number 3015 # acl ipv6 number 3016   6、删除互联端口配置   interface GigabitEthernet1/7/0/9  description no-use  undo eth-trunk  shutdown # interface Eth-Trunk77  shutdown undo interface Eth-Trunk77 #

1.1.3.项目完备性

1.1.3.1.本项目背景和目的的理解

广东移动IP城域网经过多年的发展，业务正走向多元化，家庭宽带业务、互联网业务、流媒体业务、VOIP业务及大客户互联网专线业务大量应用，业务应用场景综合化现象已逐步呈现。随着工信部统筹实施的宽带普及提速工程的持续推进，特别是业务资费的下降和宽带市场竞争的日趋激励，用户的带宽需求将日益增长，目前正向“千兆普及”方向发展，对网络承载能力需求大大提高，与此同时，以5G为代表的业务也将逐步成为互联网的主流业务，对服务质量提出了新的挑战。因此，为接应《“双千兆”网络协同发展行动计划（2022-2023年）》发展战略和流量互联化战略，信息安全三同步，打造具备“端到端”大容量管道能力和智能化综合能力的下一代全业务承载网络，广东移动提出“2022年数据承载网集成服务公开招标项目”。

本项目负责完成广东移动2022年数据承载网集成服务项目中的系统集成服务，包括网络设备（含新建及割接等）软件调测、网络配置与改造调整等系统集成工作。

工作内容包括但不限于以下内容：

（1）地市汇聚路由器集群升级、出口链路扩容及双跨，提升城域网整体业务承载能力；

（2）新建网元入网及下带业务割接，提升城域网整体业务承载能力；

（3）BNG链路扩容，提升城域网整体业务承载能力；

（4）板卡扩容（包含NAT板卡），提升城域网整体业务承载能力；

（5）5G核心网、CDN、工业互联网等业务接入。

从项目需求的具体工作内容可以看出，今年全省的项目目标为完成以下内容：

• 地市汇聚路由器升级共20台：每台地市汇聚路由器将预计提升800G的背板带宽资源，为满足5G核心网等新业务接入及旧业务扩容提供基础。
• 出口链路扩容共2T：确保城域网核心出口路由器上联省CMNET及国干网能支撑起本年度日益增加的峰值流量，降低突发流量的溢出，保证业务流的服务质量。
• 新建网元入网共23台：提供更为广阔的业务覆盖范围，每台将提供不低于一个街道的覆盖范围，也为SW退网下带的业务，平滑过渡到新建网元提供更高的业务感知性能，提高客户的满意程度。
• BNG链路扩容共47T：为解决汇聚层至核心层之间的链路流量带宽资源，该层在城域网内的占用非常重要的位置，它是所有客户局端提供业务服务的起点，也是为用户提供外网服务的先决条件，为今年的新业务接入及旧有业务带宽的提升，提供更稳定，更优质的服务。
• 板卡扩容数量共10块：目前城域网设备都采用模块化，可持续扩展的设计，在有需求的情况下，对设备进行必要的板卡扩容，提高设备的背板带宽能力，解决日益增长的接入业务数量。
• 5G核心网/CDN/工业互联网等业务接入共180条：随着城域网的发展，整体网络架构的改变，已不只是向本身城域网原生业务提供服务，其中新兴业务首选城域网为这些业务的其中一个出口；在互联互通方面，接入业务数量的多样化，越能提高两者访问的速度，简化复杂的路径走向；在服务质量方面，极大提高访问带宽的容量，提供更为稳定的、不间断的服务。

1.1.3.2.本项目开展思路及方案的设想

本项目在实际运作中涉及广东移动、系统集成服务商、工程施工商和工程设计单位四种角色。在本项目中承担系统集成服务的角色。

该角色“系统集成服务商”负责完成本期工程涉及的网络设备（含新建及割接等）的软件调测、网络配置等系统集成工作。具体包括制定网络总体建设方案、制定割接方案以及数据脚本配置，协助工程施工方完成单点安装与调测，推进工程进度，协调各参与方共同完成系统入网、联网调测等各项集成相关服务工作。

开展思路与框架具体如下：

一、项目需求理解及框架思路：本公司对中国移动广东公司2022年数据承载网集成服务项目中的系统集成服务的理解与分析，内容包括：本项目背景、项目意义、项目需求、项目目标、开展思路与框架及项目输出成果的具体理解描述。

二、本公司对本项目的合理性和可执行性讲述：其中包括：

1. 总体建设方案，我司对总体设计思路和架构的详细描述，其中包括：整体网络拓扑架构、业务类型、各协议部署、网管网部署、网络安全部署等；
2. 项目实施方案，我司对实施项目从开始到结束的整个项目周期进行描述，主要内容包括：地市汇聚路由器集群升级、出口扩容及出口双跨、新建网元入网及下带业务割接、BNG链路扩容、板卡扩容、5G核心网、CDN、工业互联网等业务接入。

三、本公司对本项目完备性的讲述：包括项目背景和目的的理解、开展思路及方案的设想，介绍本公司简介、本公司相关项目经验介绍、项目团队人员配备、项目服务质量监控、项目投诉流程及处理方式、项目服务承诺、服务响应承诺、团队应急服务流程进行全面描述。

四、本公司对本项目服务方案的承诺：包括项目日常服务、项目临时性服务、项目突发性服务、项目变更服务响应、项目人员配备服务、技术专家服务承诺、7*24小时服务响应承诺、节假日保障服务承诺、重要时段服务承诺。

1.1.3.3.公司简介

创立科技秉承“创新、立信”的发展理念，砥砺前行十二载，专注为企业提供软件研发、系统集成、IT咨询服务、运维等业务服务。崇尚技术创新，专注软件服务，而今的创立科技人才梯队完善，项目开发和管理体系完备。目前，公司已为党政机关、电信运营商、能源(电力)、旅游、教育、金融等行业提供了诸多卓有成效的解决方案，赢得了业界和客户的一致好评！

近年来，创立科技推出了生态与能力全开放的CCS开放物联网平台，并通过对大数据、云计算等技术的融合创新，逐步形成了智慧政务、智慧旅游、智慧楼宇、智慧交通、智慧园区、智慧家庭等一列类智慧城市解决方案，以及智慧资产、智慧采购等一系列企业信息化解决方案。

• 服务理念

上善若水——利泽万物、创新服务、聚集客户、因需而变

• 核心价值观

创新：通过服务创新、产品创新、机制创新、管理创新，不断进行战略、组织、人力、机制、文化等的变革，追求

卓越绩效，实现自我超越

协同：资源共享，高效协同

执行：坚持不懈，百折不挠，成就事业

专业：精益求精，追求卓越，以专业赢得客户信赖

共赢：互利共赢，共创价值，促进和谐发展

 

 

 

 

三大核心能力

软件开发能力

• 软件研发人员占比达67%；
• CMMI5级证书；
• 多年服务于电信运营商、政府部门、大型国企及其他企业，累计超过千余个项目，积累了丰富的软件开发经验；
• 公司有10项实用新型及发明专利、80项软件著作权登记证书；
• 涉及领域：企业信息化、智慧城市、物联网、大数据、云计算等；

系统集成能力

• 信息系统集成及服务壹级资质、电子智能化二级资质；
• 信息系统集成及服务高级项目经理认证24人；
• 对标ISO9001的质量管理体系；
• Cisco西部第一家金牌合作伙伴，目前具有多名CCIE网络专家；
• H3C、华为、浪潮、Dell、大华等主流IT设备制造商建立战略合作关系；
• 涉及领域：运营商、政府、能源等行业领域；

IT咨询及服务能力

• IT运维服务能力成熟度(ITSS)二级资质；
• 超过50人的咨询顾问团队，提供IT咨询、系统解决方案策划与实施规划、行业应用软件本地化、外包承接等全方位的咨询和技术服务；
• 技术专家团队30余人，覆盖IBM、HP、EMC、HDS、华为等厂商认证证书及Oracle、Linux、Vmware等软件厂商认证证书。拥有专业的云平台运维、分布式存储运维及数据支撑服务等高级运维团队；
• 拥有成都最大的实体、虚拟备件库，建立三级备件保障体系，专用的备件管理系统和高效的备件管理流程，保障备件供应的及时性，确保故障快速修复；

业务领域

近三年，研发投入金额1亿元，分别成立了产品中心、技术委员会、政务大数据工作室、技术架构组、物联网实验室等部门，负责新技术的研发、孵化及落地。

核心员工具有公司一半左右的员工积累了多年的运营商行业建设经验;拥有高级项目经理、项目经理、PMP、CCIE、CCNP、工程师.、高级工程师等国内外知名IT认证资质证书的人员达100人以上

软件研发：遵循CMMI/ISO9001的质量管理体系，为国内外各大通信运营商、通信服务商、政府企业客户提供专业的软件研发及软件开发，信息系统解决方案、量身订做管理系统及相关服务。

咨询设计：依托以通信运营商、政企客户、公众客户为主要服务对象，以计算机信息系统集成为主要业务领域，为用户提供系统规划、设计、开发、实施、培训与服务为一体化的解决方案。

系统集成：作为Cisco西部第一家金牌合作伙伴，具有多名Cisco、华为、华三专家级的网络、安全工程师支撑队伍，公司同时为H3C运营商银牌代理商，拥有多名获得网络、安全专家级认证的工程师队伍。具有较强的大型网络项目实施能力，为用户提供系统集成解决方案。

维护及外包：公司具备众多IBM、HP、SUN、HDS、EMC等高端主机及存储、Oracle数据库的高级认证工程师，具有极强的主机系统及数据库系统服务能力，为用户提供主机、存储、数据、网络等系统服务及维护保养服务；

通信工程：通信工程包括各类通信传输、数据交换网络、综合布线、机房及配套、智能楼宇等工程的勘察、咨询、设计及相关服务。

 

 

1.1.3.4.公司项目经验介绍

我公司自成立以来一直从事运营商核心网、骨干网、IP城域网相关项目集成服务工作，尤其在电信行业（四川电信）每年承接的系统集成服务业务总额均在占公司营收50%以上，因此，公司聚集了大型网络建设方面建设人才100余名，专门从事运营商、政企行业网络建设、运维等工程。近年来关于IP城域网项目经验可见商务部门业绩清单极其附件。

1.1.3.5.人员配备

本期人员人员配备详见投标文件技术部分附件：《投标人综合实力情况说明》中已罗列。

1.1.3.6.服务质量监控

1.1.3.6.1.客户满意度调查要求

(1)客户满意度调查工作由服务台和公司质量管理部完成，其中，服务台负责项目级客户满意度调查，质量管理部负责公司级客户满意度调查。

(2)项目级的客户满意度调查是对每个已解决的事件在24小时内进行电话回访，确认工程师是否成功解决问题，了解客户对处理结果的满意度。

(3) 公司级客户满意度调查应每年最少进行一次，采用问卷填写，客户满意度调查内容必须与SLA（或服务合同）内容相一致，应注意调查样本的比例及覆盖范围，以降低抽样的风险。

1.1.3.6.2.项目的质量管理要求

(1)项目经理必须严格按照SLA（或服务合同）的要求，为客户提供服务。同时及时监控服务过程，以确保达到SLA的要求。并定期向客户和部门总经理提交服务报告。

(2)服务台管理人员及时对已完成的项目进行客户回访，以获取客户的满意度评价，同时形成满意度报告提交给部门总经理。

(3)服务台经理根据SLA（或服务合同）制定指标体系，按月进行指标统计，形成质量报告，报送给相关部门及项目经理。

(4)部门经理每月须召开一次质量分析会，回顾和总结月度质量计划完成情况，提出下阶段的改进措施，并对相关人员进行指标考核。

1.1.3.6.3.体系的质量管理要求

内审要求

(1)内审要求每年度执行一到两次，安排在每年年中、年底进行，可根据公司实际情况策划审核频次。由质量部来负责组织内审计划、实施和报告，但必须得到管理者代表的批准。

(2)内审的范围是涉及的所有部门，包括主要实施部门和支持部门。内审要对GB/T 28827.1-2012中人员、资源、技术和过程都进行审核。

(3)内审需要制订内审计划、检查表，内审员在审核过程中要详细记录审核内容；审核完成后需要对不合格项进行整改；编写内审报告。

管理评审要求

(1)管理评审要求每年必须执行一次，由管理者代表组织实施。

(2)管理评审的参加人员要包括：公司领导、管理者代表、各部门的负责人、质量部负责人、人力资源部负责人、财务部负责人、管理体系负责人、技术研发负责人、行政负责人等。

(3)管理评审的主要内容为：年度能力管理计划的实施情况汇报、各项KPI的完成情况、客户满意度调查汇报、各部门的工作汇报、管理体系内审报告、客户投诉报告、持续改进情况等。

1.1.3.6.4.项目管理方法

我司必须提供详细的项目管理及工程实施方案。

项目管理工作内容主要包括：

（1）制定项目相关规范和标准。

（2）制定系统集成项目计划。

（3）组织收集、汇总工程中所有文档资料，形成验收材料。

（4）工程变更后，负责完成资源管理系统的信息变更工作。一般情况下，应在节点工程完成后的1周内完成资源信息变更工作。

我司应利用自己的工程经验，主动协助需求方安排工程计划，划分阶段性的工程界面，定时提交工程进度情况报告，适时的参加工程协调会，配合需求方协调工程中有关各方等。

1.1.3.6.4.1.项目管理方法

为了保证项目建设的成功，我司拟采取如下策略和方法，包括：

• 统一规划、分解实施

项目实施过程中，首先我们从整体上对工程进行宏观把握，然后将系统按照建设的成熟条件进行分解（或者根据需要，也可以采取其它分解方式），将其分解为多个子系统和分项目，以降低系统的复杂性和增强可操作性和可管理型，而且要制定描述子系统间和分项目间联系的约束规范，以此保证最终能形成一个统一的系统，避免了“只见树木，不见森林”。

• 整体推进、分段控制

对于各子系统和分项目，全面评估分项目实施的目的、内容、效果、条件、运行后的维护扩展等因素，这些因素关系到项目实施的成败，必须从实际需要和可能出发，要从大局着眼进行认真的分析。

• 协同合作、发挥优势

在项目实施过程中用户的参与对整个项目实施至关重要。避免只把着眼点放在独立系统忽视整体项目实施，使系统效果差。充分发挥用户对系统实际需求的认识和业务优势，合理使用信息化技术和手段实现信息项目实施的最大效能。

1.1.3.6.4.2.项目管理目标

针对本项目，我司项目管理的目标是：设计完善的项目实施方案，编制合理的项目实施计划，安排合适的人力资源配置，保证本项目能够在预定的时间计划内，高效、高质量的完成的同时，将项目的费用控制在预算范围内，努力做到使客户满意。

1.1.3.6.4.3.项目实施措施

在项目各阶段开始启动之前，本着项目管理的方法，对各阶段中要进行的项目技术内容列出清单，并判断哪些是关键的技术。针对关键技术，及早采取启动相关研究和培训等相应措施。

在系统过程中的一般性技术问题，我司拟采用技术评审机制和方法加以解决；针对重大的技术问题，我司的团队会同项目专家、顾问组共同对问题进行诊断、评估，最后提出解决方案。

在项目验收后，我司对所采用的技术进行后期跟踪和审计，考察当时技术解决方案的应用效果，并将结果反馈和报告给客户方。

1.1.3.6.4.4.项目过程管理

为了确保项目高质量的完成，达到项目建设的目标要求，我司建议采用国际先进的项目管理规范体系，对信息系统的建设提供服务。

项目管理是以项目为对象的系统管理方法，通过一个临时性的专门的柔性组织，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调和优化。

项目管理涉及五个过程（启动、计划、执行、监控、交付）以及九个知识领域（整体管理、范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理、采购管理）。项目管理的9大知识领域构成了项目管理的整体，任何项目的实施都围绕这9个知识领域进行。

项目管理的核心就是对工程质量的管理。本项目是一个集计算机软件、硬件、网络、安全等多项集成技术的复杂项目，项目的实施必须使用一套严格成熟、规范合理的管理方法才能保证项目的顺利进行。为此，我司将根据ISO9001质量认证体系标准对该项目实施管理。

ISO9001管理的三个基本要点是：制定完善的计划；遵照计划实施；检查和总结实施完成的工作。它的两个基础条件是：要有一个完善的组织机构，其岗位、职责、权限、关系明确，动作得力；要有章可循，有一套行之有效的管理体系。

ISO9001管理的精神实质是通过对过程的有效控制来达到质量保证的目的。只要过程得到了切实有效的控制，就有理由相信质量能够得到保证，能够做到这一点的企业也就自然获得应有的可信度。

我司具有丰富的工程项目管理、工程实施、售后服务及技术支持经验，有较强的应用系统开发能力，专业化的技术服务队伍和完善的售后服务体系。对于整个工程项目实施管理和技术服务，将按照系统服务及支持规范，以及用户的具体需求，为用户提供专业、规范的服务和保障。

1.1.3.6.4.5.管理内容与职责

• 在项目管理中应包括以下内容：
  • 有效组织、管理参与项目的各方，并协助用户建立权威性的组织结构，从技术上和管理上保证项目的顺利实施。
  • 明确项目的实施进度，分阶段进行项目总结，动态分析项目实施计划的合理性，找出原因、明确责任并动态调整实施进度。以用户签字认可的、完整的技术文档作为各阶段完成的标志，既保证项目的延续性，又保证项目的实施不偏离既定目标。
  • 全面的技术培训是用户最终掌握、使用和维护系统的重要环节，让不同类型的工程技术人员在完善的培训中，理解和掌握系统。
• 项目管理职责：
  • 管理好不同项目的时序和关系，确保所有项目编排、资源分配和最终项目成果能够配合整体发展战略；
  • 改善资源管理，把有限的资源最好地运用在关键或紧迫的项目上；
  • 制定项目实施计划，包括进度安排、资源组织和分配、协调各方关系等；
  • 制定项目管理办法，确定风险管理、质量管理的有效流程；
  • 组织项目开展，定义项目小组成员的角色和职责，管理项目的日常工作；
  • 分析、评估项目的实施情况，在必要时推荐和执行有效的改善纠正措施。
  • 根据本项目的突出特点，结合我司在大型系统方面的丰富实践经验，我们制定和提供实施的项目管理办法，以确保本项目建设的合理规划和成功实施。

1.1.3.7.投诉流程及处理方式

提供一种快速便捷的咨询渠道，为客户在服务过程中遇到的的各种问题进行解答和帮助。

投诉处理流程如下：

• 用户发现问题，通过电话或邮件联系维护人员。
• 维护人员接听电话或接收邮件受理用户的问题咨询。
• 确认用户咨询的问题是否已有明确答案，如果有则直接在电话中或邮件中进行解答。
• 需要核查的问题则进行记录并告知用户问题核查所需时间。
• 安排维护人员进行问题的核查。
• 维护人员能处理的问题则由维护人员直接解决问题；如果重大疑难问题不能解决的则联系负责人或项目进行进行协调专家资源或其他系统进行协助处理。
• 问题原因查明后通过电话或邮件对问题进行答复。
• 确认用户对问题结果是否有异议或有其他问题。
• 如果存在其他疑问则继续进行核查解答，如果问题解决则进行记录归档。

投诉处理流程图：

 

1.1.3.8.服务承诺

我司服务承诺：

1、对本项目提供终验后6个月的免费售后服务，主要为提供本工程相关信息和技术的咨询服务，确保本工程实施后网络运行正常。

2、若需求方有驻点服务要求，我司应与需求方友好协商，安排进行常驻的免费服务。其中常驻人员应是投标文件中的项目团队人员。常驻人员按需求方的工作时间（5*8小时）规定上班，工作内容为完成需求方分配的与2022年CMNET地市延伸工程集成服务相关的任务。我司负责常驻人员在常驻期间的相关食宿等费用。

3、我司应对需求方提供免费的5次技术交流服务，包含而不限于本工程重要的方案讲解，本工程采用的新设备或新技术。

1.1.3.8.1.保密义务服务承诺

我司承诺对以下内容进行保密义务服务承诺：

1、为需求方提供服务时了解到的需求方的所有信息和资料为机密资料，包括：服务中涉及的网络、设计、计划、设备、调查报告、数据、分析材料、图纸、工程进度表、技术规范、软件、相关用户登录帐号及密码等所有资料和双方之间的其他任何商务、技术信息。

2、协议执行期间及协议执行完毕后，我司未经需求方书面同意，不得擅自将协议内容及需求方所有的信息和资料向第三方披露或用于协议以外的目的。

3、据需求方安全保密要求，我司需与需求方签署相应保密协议，并要求我司项目人员与中标人签署相关保密协议。

1.1.3.8.2.安全义务服务承诺

为了保证需求方网络的安全，我司承诺在服务期间，需要远程登陆设备时，必须通知需求方相关维护人员并得到同意后，才能登陆入系统进行相关的操作；如进行可能影响业务的操作，必须征得需求方同意后方能实施；出入需求方机房必须遵守需求方机房的管理规定。未经需求方同意，我司不得利用需求方提供的帐号，进行与合同服务内容无关的操作。

1.1.3.9.服务响应承诺

在项目过程期间，我司承诺服务人员必须在2小时内响应并修复故障或将故障影响降到最低。

1.1.3.10.团队应急服务流程

紧急需求的应急处理应以快速响应客户为目标，第一时间将客户需求进行分析并确定响应方案，按流程化的控制方式进行处理,最终以客户满意度为。

1.1.3.10.1.启动应急流程

在服务过程中，接到管理方或者用户的紧急需求或者重大事故时，启动应急处理流程。紧急需求或者重大事故主要包括以下几种情况：

• 管理方突发紧急任务；
• 管理方绿色通道任务；
• 用户临时待验证任务；
• 突发事故。

根据管理方或者用户的紧急程度，启动以下工作应急流程：

• 当紧急需求（事件）发生时，业务小组首先要进行需求（事件）的分析，确定需求（事件）处理的难度，并同步将需求（事件）通报给部门领导，如需其他业务小组协助的，需要请求相关小组共同尽快解决问题；
• 对于管理方的紧急需求（如绿色通道任务、用户临时验证等），业务小组将进行人员和资源的快速配置，配置好后按需求方的时间要求进行需求处理；
• 突发事件发生时，应及时对事件进行汇报，并采取相应技术措施降低事件的影响；
• 在紧急需求（事件）处理完成之后，项目管理人员要做好记录，重大事故由事故处理人填写事故报告。

1.1.3.10.2.成立应急小组

• 应急小组主要由相应业务小组人员组成，在人员配置达不到要求的时候，从其他小组临时进行调配；
• 应急小组对发生的紧急需求（事件）进行讨论分析并制定应急处理方案。
• 项目管理层会根据实际需求情况从公司调配足够的资金以保障事件处理经费需求。

1.1.3.10.3.应急处理过程

• 业务小组根据应急方案具体实施应急处理活动；
• 应急处理过程中涉及需要协调配合的工作由负责处理的小组组长提出，说明需要获得的资源、待协调和配合的工作，经过管理层审核后由相关人员进行配合；
• 应急处理过程中涉及需要变更的，由应急处理小组组长向管理方或用户提出，说明变更内容、变更原因、变更方案等，待管理方或者用户确认后实施变更后的方案；
• 做好应急处理过程中的文档记录以及管理。

1.1.3.10.4.应急处理结果评估与报告

• 应急处理完成后，由应急小组对处理结果进行统计和结果分析，并将数据汇总后提交至管理方或用户；
• 如得到管理方或用户的认可，则应急流程结束；
• 如需要继续进行应急处理，由应急小组提出继续应急处理方案，并执行；
• 应急流程结束后，在当月或当季进行相关数据的汇总，根据客户需要，完成报告并提交。

1.1.4.支撑配合能力

1.1.4.1.项目日常服务

我司配备专用服务支持热线，可以为客户的设备维护提供7×24的金牌技术支持服务，保证满足客户在服务支持方面的多种需要。

本项目若出现由于我司所提供的技术支持和服务不全面而导致出现重大故障等情况，由我司全部责任并赔偿由此造成的全部损失；由于我司原因造成的工期延误，将负责赔偿客户的损失。

我们提供的系统维护服务主要包括：

• 设备故障处理服务
• 设备日常巡检服务
• 设备技术支持服务
• 系统性能优化服务
  • 网络架构优化服务
  • 网络配置优化服务
  • 主机配置优化服务
• 系统数据备份管理
• 现场支持响应时效提升
• 系统软件升级版本或修补程序现场升级服务
• 系统及数据备份与恢复服务
• 节假日生产系统安全保障预案
• 日常值班服务
• 定期服务总结

我司提供服务方式包括：

• 电话咨询服务

我方提供专业的技术工程师保证快速有效的支持，客户可随时通过电话或email就有关技术问题向我方的技术人员进行咨询；客户电话享有高度的优先级，优先处理客户电话求助，直至得到令客户满意的结果。

• 远程支持服务

提供技术人员，远程支持客户的服务需求，提供系统使用、技术释疑等服务。

• 专家现场服务

免费维护期内现场支持，解决日常维护当中的问题，包括操作使用、技术讲解、问题排故、进行个性化需求改动等。

1.1.4.2.项目临时性服务

我司承诺在需求方有临时性需求服务是在30分钟内进行响应，一个小时内反馈可行性，半个工作日内制实施计划，在2个工作日内完成处理。当需求方需要提供紧急数据支撑服务时，或者有重大和棘手情况发生时，为提高处理速度和处理质量，我司承诺增加资深人员进行跟踪处理服务。

1.1.4.3.项目突发性服务

我司承诺在需求方有突发性需求服务是在30分钟内进行响应，一个小时内反馈可行性，半个工作日内制实施计划，在2个工作日内完成处理。当需求方需要提供紧急数据支撑服务时，或者有重大和棘手情况发生时，为提高处理速度和处理质量，我司承诺增加资深人员进行跟踪处理服务。

1.1.4.4.项目变更响应服务

我司承诺当需求方有需求变更时，在2个工作日内完成变更需求。

1.1.4.5.项目人员配备服务

我司承诺当需求方有人员配合需求时，在2个工作日内完成需求人员配备。

1.1.5.其他服务承诺

1.1.5.1.7*24小时服务响应承诺

我司承诺提供7*24服务响应，确保随时能够响应客户的需求，并有充足的应急资源储备及较强的应急调配响应能力。

1.1.5.2.技术专家服务承诺

我司承诺在需求方要求提供技术专家配合支撑的情况，在需求方要求的时间内委派技术专家，远程支撑或到客户现场进行服务支撑。

1.1.5.3.节假日保障服务承诺

我司承诺，在国家、贵方的重大或法定节假日期间，我公司提供电话和现场值班服务，并提前向贵方报备值班人员信息。保证业务支撑顺利实施。

1.1.5.4.重要时段服务承诺

我司承诺，在运营维护服务期间，当版本升级、领导视察、重大活动等对业务支撑要求较高时、我方将派经验丰富的工程师到现场支撑，协助需求方对关键时段的业务进行解决与处理，确保整个系统及业务的正常运行。

1.1.5.5.安全保障承诺

安全生产问题始终是最为重要的问题，除了在技术方案上考虑到系统、数据、网络、权限管理等方面的安全机制设计，我司承诺将严格按照ISO27001信息安全管理标准体系，从基础人员素质保障、项目经理负责制、办公地点统一管理、协议化保密制度等几个方面强化我们在安全管理方面的措施，确保在整个项目服务过程中不出现任何安全事故。

1.1.5.6.项目保密承诺

我司承诺本项目的技术规范书仅用于参加本项目的招标选型应答，不作其他用途，或者向任何第三方泄漏本项目技术规范书的内容。

在签订和履行合同过程中获知的技术和商业秘密，包括所涉及到的资料、信息等，均按国家有关版权、专利、商标等知识产权方面的法律规定及部颁的保密规定中的相关条文规定，我方将严守机密。未经需求方事先书面授权，我方不得以任何方式向任何其他组织或个人泄露、转让、许可使用、交换、赠与或与任何其他组织或个人共同使用或不正当使用。如有违约，我方将承担相关的法律责任。

1.1.5.7.培训服务承诺

我司已经设立有专业培训学院，讲师都是我司拥有多年丰富项目经验的工程师，他们均通过了严格的讲师培训资格认证。我司承诺，为保证满足需求方人员的使用、系统推广需要，提供相应的培训服务。

1.1.5.8.信息安全管理承诺

我司承诺，未经需求方事先书面授权，在运营过程中所收集及整理所得的广东移动相关技术文档及广东移动业务管理办法，我方不得以任何方式向任何其他组织或个人泄露，保障知识内容的安全性。如有违约，我方将将承担相关的法律责任。