山东联通软交换二期工程实施方案v15

山东联通软交换二期工程实施方案v15
山东联通软交换二期工程数据承载网
实施方案
2008年12月
目录
1. 实施背景4
2. 网络简介4
2.1. 现有网络分析4
2.2. 最终组网分析5
3. 数据设备方案7
3.1. 设备规范7
3.1.1. 概述7
3.1.2. 设备命名规范7
3.1.3. 链路描述规范9
3.2. 链路规划9
3.3. VLAN规划10
3.4. IP地址规划11
3.4.1. Loopback地址11 3.4.2. CE设备互联地址11 3.4.3. 设备网管地址11 3.5. VPN规划 11
3.5.1. VPN命名 11
3.5.2. RD/RT分配12
3.6. 路由设计12
3.6.1. 概述12
3.6.2. 静态路由设计12 3.7. BFD设计 13
3.7.1. 概述13
3.7.2. BFD规划 13
3.8. 网络管理规划14 3.8.1. 概述14
3.8.2. SNMP协议规划14 3.9. 网络安全规划15
3.9.1. 概述15
3.9.2. 网络安全规则15
3.9.3. 正常数据流向17
4. 设备硬件配置17
5. 设备配置脚本17
实施背景
中国联通经过多年网络建设，已经建立了覆盖全国GSM/GPRS网络，为用户提供语音和低速数据业务，拥有数量庞大用户群。

为了保障移动通信网络和业务向3G平滑演进，实现2/3G共核心网最佳组网方式，现有T DM交换局必需进行软交换替换改造工作，因此TDM核心网替换为软交换核心网是核心网络演进重要一步。

中兴通讯多年来一直参与联通GSM核心网网络建设，尤其是在联通软交换市场更是接近30%份额，对联通GSM核心网络有着深刻理解，中兴通讯多年来培养起来专业GSM核心网网络建设和维护团队，是中国联通GS M核心网网络宝贵财富。

制止目前为止，中兴通讯在山东联通网上GSM软交换容量已经达到2 56万线，覆盖莱芜、日照、滨州、聊城、德州、菏泽、济南、济宁、临沂、枣庄、泰安、淄博、东营13个地市。

中国联通为了应对快速增长市场，在08年二期工程中，特别提出了增加大量无线载频，进行深度和广度覆盖，以便在市场竞争中取得先机。

加之，山东联通现网北电TDM交换局即将退网，急需进行大规模替换。

而中国联通IP承载网覆盖全国各省省会城市及大部分业务发展重点城市。

按照中国联通业务规划，端局软交换业务将逐步割接到IP承载网上进行承载。

在这种情况下，本期工程开始进行建设。

网络简介
现有网络分析
图1：网络现状组网图
现网中各局址都配置有2*3982+2*T64E设备，3928交换机和T64E路由器进行口字型连接，MGW/MSCS通过3928交换机透传相关vlan，在T6 4E路由器上启用VRRP虚拟路由冗余协议，作为MGW/MSCS网关，终结vlan。

各局址T64E路由器搭建软交换骨干网，在全网T64E路由器上启用OSPF动态路由协议，在OSPF里面重分布静态路由和直连路由。

各局址M GW/MSCS与3928交换机用百兆电口进行链接，3928交换机之间、3928
交换机与T64E路由器之间以及T64E路由器之间使用百兆电口进行链接，局间T64E路由器使用POS155链路或者E1链路进行链接。

最终组网分析
此项目涉及到山东全省13个地市:莱芜、日照、滨州、聊城、德州、菏泽、济南、济宁、临沂、枣庄、泰安、淄博、东营。

其中8个地市（临沂、泰安、莱芜、日照、滨州、聊城、德州、菏泽）配置中兴数据设备，剩余5个地市（济南、济宁、枣庄、淄博、东营）配置思科设备。

设备上联IP承载网流量主要分为三类：第一类是媒体流，包括软交换语音流量和视频流量等；第二类是信令流；第三类是网管流。

在进行软交换MPLS VPN设计时，为每类流量单独划分一个VPN，从而实现媒体、控制、管理流量在IP 承载网上逻辑分离。

目前此网络只承载2种不同VPN业务：信令流、网管流，在以后还会承载软交换媒体流。

过渡组网结构：
图2：过渡组网图
为了实现现有网络与最终组网平滑过渡，不影响现有业务正常运行，准备分两大步骤来完成此项目实施：首先在现有IP承载网上新增加各局址T600路由器和MGW/MSCS，完成T600路由器与IP承载网连接，完成新MGW/MSCS与T600路由器连接开局；最后完成现有软交换网络到IP承载网割接，从而形成最终软交换与IP承载网连接。

在过渡组网期间，首先将各个地市新增MGW/MSCS与T600路由器连接上IP承载网，济南原有软交换T64E路由器需要与新添加思科7609路由器进行连接，提供新MGW/MSCS与原有MGW/MSCS通信通道，物理连接完毕后将进行联调，测试新增加MGW/MSCS与原有MGW/MSCS互通性。

此时，原有软交换专网和IP承载网并存，通过在济南T64E路由器上配置默认路由，指向思科7609路由器与T64E路由器互联接口地址，并在T64E路由器OSPF里面发布此默认路由。

通过路由优先级来控制新旧MG W之间数据流向，原有软交换专网全网使用OSPF动态路由，按最长匹配
原则，地市新增加MGW与济南MGW/MSCS将通过IP承载网进行通信，而地市原有MGW与济南MGW/MSCS仍然通过原有软交换专网进行通信。

新增加MGW设备地市有：滨州、聊城、菏泽、德州、临沂、泰安六个地市；莱芜、日照未新增MGW，只需替换现有交换机和路由器。

最终组网图如下：
图3：最终业务组网图
莱芜、日照、滨州、聊城、德州、菏泽、临沂、泰安8个地市，除了滨州、临沂配置4*T600+4*8902数据设备外，其他每个地市配置2*T600+2 *8902，进行口字型连接，各局址2台T600路由器作为CE，与本局址2台IP承载网路由器AR进行口字型对接，实现软交换与IP承载网对接。

各局址8902交换机透传不同业务vlan，在局址T600路由器上开启M CE功能，启用不同子接口绑定不同业务VRF与8902交换机进行对接。

在T600路由器与IP承载网AR路由器互联接口上划分不同子接口，绑定不同业务VRF与AR进行对接，各地市与济南server之间通信数据，通过联通IP承载网来承载。

在各局点T600路由器上为每种流量均配置2条浮动静态路由，一条路由指向AR-CE直连接口，另一条路由指向T600互联接口，设置静态路由metric值，使得指向AR-CE直连接口路由作为优选路由。

在AR上使用静态路由回指T600路由器，并在AR动态路由里面发布此静态路由。

此项目在滨州、聊城、菏泽、德州、临沂、泰安六个地市，将新增加MGW/MSCS设备，MGW/MSCS将以负荷分担方式接入，MGW/MSCS网关将设置在T600路由器上，8902交换机透传相关vlan，在2台T600路由器上启用vlan子接口，绑定不同业务VRF，封装相应vlan与8902交换机进行对接。

除了需要新增加MGW/MSCS外，一期工程全网T64E路由器和3928交换机，将被T600路由器、8902交换机、思科7609路由器、思科4507
交换机替换下线。

各局址原有MGW/MSCS，将直连连接到各局址8902交换机或者思科4507交换机。

原有MGW/MSCS将修改为以负荷分担方式接
入，与新增加MGW/MSCS类似，原有MGW/MSCS网关将设置在T600路由器上，通过8902交换机透传相关vlan，在2台T600路由器上启用vlan 子接口，绑定不同业务VRF，封装相应vlan与8902交换机进行对接。

对于网管子网，网管服务器将下挂在济南思科交换机下，各个地市通过反拉终端与服务器建立通信。

各个地市网管终端直接连接到地市8902交换机上，配置与T600路由器网管地址同一网段，终端网关指向T600路由器网管地址即可。

VPN划分逻辑结构如下图所示：
图4：VPN划分示意图
数据设备方案
设备规范
概述
为了明确指示出设备类别、安装地、设备类型等信息，设备按照下面命名规范进行命名。

为了明确表示出各个链路两端相连设备、端口信息，链路描述规范按照下面描述规范进行描述。

设备命名规范
设备命名将表面设备所处地方、机房、设备型号及其编号，格式如下：[省名] [地市] [分隔符][机房缩写] [分隔符] [设备型号] [分隔符] [设备类型] [设备编号] 。

各设备命名：
中兴设备
序号设备名称主机名
1 滨州8902-1 SDBZ-HH5L-8902-SW1
2 滨州8902-2 SDBZ-HH5L-8902-SW2
3 滨州T600-1 SDBZ-HH5L-T600-CE1
4 滨州T600-2 SDBZ-HH5L-T600-CE2
5 滨州8902-3 SDBZ-LTJF-8902-SW3
6 滨州8902-4 SDBZ-LTJF-8902-SW4
7 滨州T600-3 SDBZ-LTJF-T600-CE3
8 滨州T600-4 SDBZ-LTJF-T600-CE4
9 德州8902-1 SDDZ-DFDL-8902-SW1
10 德州8902-2 SDDZ-DFDL-8902-SW 2
链路描述规范
设备链路描述将指示出此端口到对端设备及其端口，格式如下：[本端端口号] To [对端设备名] [对端端口号]
如：滨州T600路由器之间互联链路GEI_1/2 To SDBZ-HH5L-T600-C E1 GEI_1/2
其中：
1. 本端端口号由本端直连对端设备端口类型、槽位号以及端口编号组成；
2. 对端设备名使用上节描述设备名称；
3. 对端端口号由本端直连对端设备端口类型、槽位号以及端口编号组成；
链路规划
各局内部MGW/MSCS与8902交换机之间使用百兆电口进行连接；
8902交换机之间使用千兆光口进行连接；
8902交换机（gei_1/5）与T600路由器(gei_1/7)之间使用千兆光口进行连接；
T600路由器之间使用千兆光口链路捆绑(gei_1/1&gei_1/2)进行连接；
T600路由器(gei_1/5)与IP承载网AR之间使用千兆光口进行连接；
8902交换机端口使用规划见下表：
VLAN规划
为了方便管理和维护，需要为每个VLAN命名或分配相应编码，以便能够反映出业务名称、业务性质、VLAN用户信息等基本情况。

在接入层交换机上对MGW、网管数据进行二层隔离，将不同业务划分在不同vlan。

项目规划3种数据流：MGW信令流、MGW媒体流、设备网管信息，考虑到未来扩容需要，规划VLAN ID段如下：
vlan ID vlan 名称功能用途
vlan 100～299 SSW_Signal_MGWx 信令流
vlan 300～399 SSW_Media_MGWx 媒体流
vlan 20～29 NMS_SSW 软交换设备网管信息注：SSW 表示软交换设备；NMS表示网管；Signal表示信令；Medi a表示媒体；后缀x表示所连设备数，范围为1～100。

该项目规划VLAN ID：
vlan ID vlan 名称功能用途
vlan 100 SSW_Signal_MGW1 MGW1信令流
vlan 300 SSW_Media_MGW1 MGW1媒体流
vlan 101 SSW_Signal_MGW2 MGW2信令流
vlan 301 SSW_Media_MGW2 MGW2媒体流
vlan 20 NMS_SSW 设备网管信息关键配置（以8902交换机为例）命令如下：
vlan xxx
name SSW_Signal_MGW1
IP地址规划
Loopback地址
设备loopback 地址是32 位掩码IP 地址，每台路由器需要一个。

主要是为以后设备上网管而作预留考虑。

见下面表格；
CE设备互联地址
CE设备互联地址分为信令vpn互联地址及网管vpn互联地址；
为了便于AR设备上配置汇总静态路由，信令vpn互联地址从本组CE 所承载信令地址当中分配，网管vpn互联地址由于地址分配限制，则和本组CE所承载网管地址不在同一网段，故AR设备上指向CE网管静态路由比较散乱；
为了节约地址空间，设备之间互连地址采用30位掩码地址，具体分配方案见下；
信令VPN地址规划
见下表
网管VPN地址规划
为了方便网络管理，单独为MGW，MSC SERVER等设备管理地址创建了一个vpn，对于承载网设备网管也纳入到该vpn中，其具体分配方案见下表；
VPN规划
CE设备采用三层MPLS VPN承载端局软交换流量。

端局软交换设备上联IP承载网流量主要分为三类：第一类是媒体流，包括软交换语音流量和视频流量等；第二类是信令流；第三类是网管流。

在进行软交换MPLS VPN设计时，为每类流量单独划分一个VPN，从而实现控制、媒体、管理流量在IP承载网上逻辑分离。

在CE设备上启用MCE功能，将二层不同VLAN ID数据映射到对应三层VPN上，此项目将只对信令流和网管流进行实施，媒体流将在后续计划中实施。

VPN命名
为了方便管理和维护，需要为每个VPN命名或分配相应编码，以便能够反映出业务名称、业务性质、VPN用户信息等基本情况。

为方便管理和维护，对每个VPN命名，反映不同流量类型、VPN用户信息。

VPN命名如下：
RD/RT分配
对于CE接入双AR情况，两台AR上使用不同RD，这样可以对VPN v4进行区分，加快路由收敛，同时能够实现负载均衡。

根据《中国联通2007年IP承载网资源命名规范》，MPLS VPN RD格式为：AS：nnnnnn，其中AS为联通IP承载网AS号码38351，nnnnnn为六位十进制数字。

根据承载网上对VPN分配，在CE配置对应VPNRD/RT如下：
路由设计
概述
该项目使用路由协议主要是静态路由。

其中在CE与AR之间运行静态路由协议，CE之间运行静态路由协议。

静态路由设计
理论上CE与PE之间路由协议可以采用RIP、OSPF、BGP、静态等多种方式。

实际部署时不建议采用OSPF、ISIS和RIP等域内动态路由协议与客户交换路由信息，本次软交换接入将采用静态方式进行接入。

静态路由有配置简单、设备开销低优点，但也有不灵活一面，采用静态路由，有时，端口故障后接口仍显示为活动状态（UP），这时静态也不会失效，而造成业务无法切换到其它路径。

所以CE路由器将使用BFD，采用静态路由结合BFD方式能解决端口UP路由不消失故障问题。

在各局点CE路由器上为每种流量均配置2条静态路由，一条路由指向AR-CE直连接口，另一条路由指向CE1-CE2互联接口，做为浮动静态路由，当主用静态路由失效时候（比如端口down掉，或者BFD检测失败时），在AR上使用静态路由回指CE。

设置静态路由metric值，使得指向AR-CE接口路由作为优选路由。

关键配置命令如下：
ip route vrf SSW_Signal 0.0.0.0 0.0.0.0 x.x.x.x // x.x.x.x为AR路由器与CE路由器互联IP地址
ip route vrf SSW_Signal 0.0.0.0 0.0.0.0 x.x.x.x 100 tag 254 //x.x.x.x 为CE路由器互联IP地址；
此外，由于AR上将把分配给某局一对CE使用信令vpn地址全部指回到CE设备上，但CE上很有可能没有使用完这些地址，故为了防止路由环路，需要配置一条黑洞路由：
ip route vrf SSW_Signal x.x.x.x 255.255.255.0 null1 //将本组CE
下IP地址汇总路由指向null1接口，防止路由成环
BFD设计
概述
BFD主要目标是提供一种低负载，能快速检测出两个相邻转发引擎间故障机制，可以将BFD理解为一个简单“Hello”协议，很多方面和路由协议检测部分相似。

在一对系统间每个路径上定期发送BFD包。

一个系统一旦足够长时间内收不到包，就可以确定它到邻居间双向路径就发生了故障。

软交换系统中，负责处理信令和话路中继等关键业务信息设备，一旦发生中断将大面积影响用户通信，因此需要对其进出信息和业务流进行冗余保护，提高可靠性和可用性，降低掉话和呼损。

为了保证链路中断能够被快速感知，在整个网络上端到端部署BFD，以保证核心网到CE、CE到AR之间路由切换顺利实现。

同时也解决端口故障后接口仍显示为活动状态（UP），静态路由也不会失效问题。

BFD规划
BFD参数规划：
发包间隔：200ms；
收包间隔：200ms；
需要部署BFD链路：T600与AR之间，T600与MGW之间；
关键配置命令：
ip static-bfd x.x.x.x x.x.x.x vrf CM_NGN_SG //配置到MGW信令静态路由和BFD捆绑
ip static-bfd x.x.x.x x.x.x.x vrf CM_NGN_SG //配置到AR设备默认路由和BFD捆绑
bfd-version 1 //配置bfd版本为1
网络管理规划
概述
该项目设备采用实接口进行管理。

整个网络采用SNMP来进行网管，网管服务器放置在山东省公司，在各个地市反拉客户端接入到省公司网管服务器。

SNMP协议规划
SNMP协议是基于服务器和客户端管理，后台网管服务器作为SNMP 服务器，前台网络设备作为SNMP客户端。

前后台共享同一个MIB管理库，通过SNMP协议进行通讯。

SNMP采用共同体认证方式，SNMP共同体由字符串命名，不同共同体可具有只读（read-only）或读写（read-write）访问权限。

具有只读权限共同体只能对设备信息进行查询，而具有读写权限共同体还可以对设备进行配置。

在SNMP协议中，参数按照如下规定设置：
SNMP团队名：AllView
只读团队名：sdltdttc
可写团队名：sdltxttc
设备上使能SNMP TRAP功能。

SNMP TRAP源地值：本机网管接口地址。

SNMP TRAP目地址：省公司网管服务器地址。

SNMP关键配置命令：
snmp-server community sdltxttc view AllView rw
snmp-server community sdltdttc view AllView ro
snmp-server host x.x.x.x trap version 2c public udp-port 162 //x.x. x.x为网管服务器IP地址
snmp-server enable trap SNMP
snmp-server enable trap VPN
snmp-server enable trap BGP
snmp-server enable trap OSPF
snmp-server enable trap RMON
snmp-server enable trap STALARM
logging trap informational public x.x.x.x //x.x.x.x为网管服务器IP 地址
网络安全规划
概述
为了保障网络安全，建议执行相应安全配置规范。

网络安全规则
在进行设备配置时候，需要按照以下安全配置原则进行配置：
所有不使用接口全部处于关闭状态，防止误连产生故障；
设备上所有测试数据或不用配置及时删除；
在用户登陆时候，进行地址控制，只允许规定地址进行登陆，规定地址根据具体情况来进行设置；
在其他设备联入该网络时，要严格审核IP地址是否冲突；
在T600路由器入口方向部署常用防范病毒ACL；
远程登录控制关键配置命令如下：
line telnet access-class 99
acl standard number 99
rule 1 permit x.x.x.x 0.0.0.255 //只允许IP网段为x.x.x.x/24主机远程登录
rule 100 deny any
ACL关键配置命令如下：
interface gei_1/2
ip access-group 101 in //在接口下应用ACL acl extended number 101
rule 1 deny tcp any any eq 135
rule 2 deny tcp any any eq 137
rule 3 deny tcp any any eq 138
rule 4 deny tcp any any eq 139
rule 5 deny tcp any any eq 445
rule 6 deny tcp any any eq 593
rule 7 deny tcp any any eq 1444
rule 8 deny tcp any any eq 1434
rule 9 deny tcp any any eq 707
rule 10 deny tcp any any eq 1068
rule 11 deny tcp any any eq 4444
rule 12 deny tcp any any eq 5554
rule 13 deny tcp any any eq 5354
rule 14 deny tcp any any eq 6129
rule 15 deny udp any any eq 135
rule 16 deny udp any any eq 445
rule 17 deny udp any any eq 593
rule 18 deny udp any any eq 1434
rule 19 deny udp any any eq 707
rule 20 deny udp any any eq 1068
rule 21 deny udp any any eq 4444
rule 22 deny udp any any eq 5554
rule 23 deny udp any any eq 5354
rule 24 deny udp any any eq 6129
rule 100 permit ip any any
正常数据流向
软交换设备工作在负荷分担方式下，在网络建成后，各局址2台8902交换和2台T600路由器上都有流量。

相应信令面业务流说明如下：正常情况下，存在如下两个业务流向
SIPI1-CE1-AR1；
SIPI2-CE2-AR2；
如果8902-1与MGW互联线或8902-1与T600-1互联线中断，则业务全部承载在SIPI2-CE2-AR2上；
如果8902-2与MGW互联线或8902-2与T600-2互联线中断，则业务全部承载在SIPI1-CE1-AR1上；
正常情况下设备上数据流如下图：
图5：正常数据流向
设备硬件配置
软交换数据配套（
含思科机柜线缆） (非
设备配置脚本
中兴通讯
2008-12。