广东移动IP城域网SR业务配置规范上海贝尔7750分册－试行稿（V1.0）中国移动通信集团广东有限公司2010年1月编制说明为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。

网络配置主要是指通过在设备上实施具体配置命令，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。

同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。

本课题涉及的对象就是城域网网络设备配置的相关规范标准，目的是为城域网维护人员提供实用维护工具。

考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对阿尔卡特7750设备制定相关业务配置规范。

版本变更记录目录1. 概述 (5)1.1 目标网络结构 (5)1.2 配置原则 (6)1.3 说明 (6)2. 基本业务介绍及配置 (6)2.1 固定IP专线业务概述 (6)2.2固定IP专线业务配置 (6)3.1VPN业务概述 (12)3.2 VPN业务配置 (12)3.2.1 MPLS-VPN配置方式接入 (12)3.2.2 VPLS配置方式接入 (15)3. 业务常用检查命令 (22)3.1 IES 业务 (22)3.2 vprn 业务 (22)3.3 vpls 业务 (22)1. 概述1.1 目标网络结构IP 城域网的定位：1、网络定位：IP 城域网是位于用户驻地网和CMnet 网之间的网络，既要满足用户的需求也需要适应企业未来的发展。

IP 城域网与城域传送网共同构成了我公司城域综合业务承载平台。

2、业务定位：(1)为公司内部业务应用系统 (营业厅、OA 、BOSS 等)提供接入以及实现自有机楼数据互连等。

(2)为用户提供互联网接入、集团客户接入、VPN 接入等业务。

城域网目标结构图：在上图中，将IP 城域网划分成四个层次：骨干层、核心汇聚层、区域汇聚层和接入层。

骨干层通过骨干路由器实现与两张骨干网的连接。

骨干层和核心汇聚层组成核心路由区域，完成高速的数据转发，并充当三层MPLS VPN 的P 设备。

在核心汇聚层选择两个节点充当跨域MPLS VPN 业务互通的ASBR(跨域边界路由器)，并与CMNET 的汇聚路由器直接连接。

ONU分光器接入交换机接入交换机OTN 、裸光纤BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备，充当PE并支持组播复制功能等。

区域汇聚层以上起三层网络，区域汇聚层以下视具体的情况设置三层网络和二层网络。

接入层负责用户接入，采用二层网络。

1.2配置原则配置总体原则为保证配置的规范性和统一性，以减少维护工作的难度和工作量，设备配置过程中应遵循一下基本原则：●配置语法、语义必须正确无误，保证网络能够正常运行，各种管理接口能够正常通信；●能够统一的策略和参数必须统一；●配置应尽量简洁，无用的配置命令不应出现在配置文件中，用于试验的配置应及时删除；●配置应具有一定的扩展性，方便未来修改和扩展（如ACL的序号安排）；●配置应保证较好的可读性，尽量通过description参数对重要命令进行注解；●汇聚层及其以上设备AAA认证必须采用集中服务器认证；●PPPOE用户的命名要符合命名规范；●PPPOE初始密码要符合密码规范；●QoS的配置必须规范；1.3说明●本文档灰底字体表示需注意或表示一定要统一配置的内容●本文档将7750为示例，当7750兼做CR时需同时满足CR的局数据要求。

●为简便起见，如果7750SR与7750CR要求相同时，在本文档中将不再重复。

2.基本业务介绍及配置2.1固定IP专线业务概述2.2固定IP专线业务配置⏹配置内容：✓物理接口配置用户网关⏹规范要求：✓ 配置网关地址要求地址掩码精确✓ 与大客户可以采用静态路由和BGP 协议进行互联 ⏹ 配置示例1configure port 1/1/9 ethernet mode access //配置1/1/9 为业务端口 configure port 1/1/9 ethernet no autonegotiate //取消自协商 configure port 1/1/9 ethernet speed 1000 //速率 configure port 1/1/9 ethernet duplex full //双工模式configure port 1/1/9 ethernet encap-type dot1q//配置1/1/9为单层vlan 模式 configure port 1/1/9 no shutdown //激活1/1/9 端口configure port 1/1/8 ethernet mode access//配置1/1/8 为业务端口configure port 1/1/8 ethernet encap-type qinq//配置1/1/8为双层vlan 模式 configure port 1/1/8 no shutdown //激活1/1/8 端口configure port 1/1/10 ethernet mode access//配置1/1/10 为业务端口 configure port 1/1/10 no shutdown//激活1/1/10 端口 configure serviceies 10000102 customer 1000 create //配置业务 1 为专线业务，业务id 为全局唯一 ID 参照附录表--其它IES 业务（按需使用），根据业务情况顺延 description "Leased_Line"interface "GE-1/1/9:2003" create //配置三层逻辑接口，全局唯一 description "XXXX" /具体用户名/address 59.37.x.1/24 //配置xxxx 的网关 sap 1/1/9:2003 create //配置user1的业务接入口，单层vlan 模式 exit exit如左图，7750通过端口1/1/9、1/1/8和1/1/10分别采用dot1q 、qinq 和不带子接口三种方式接入user1、user2和user3，user1的vlan 号2003，user2的外层vlan 为80内层vlan 为10，相关配置参考如下（以1000M 为例，如不同厂商互联取消自协商）：interface "GE-1/1/8:80.10" create //配置三层逻辑接口，全局唯一description "XXXX"urpf-check //逆向路径检查，防攻击address 59.38.x.1/24 //配置XXXX 的网关sap 1/1/8:80.10 create //配置XXXX的业务接入口，双层vlan模式ingressfilter ip 3000 //防病毒列表exitexitexitinterface "GE-1/1/10" create //配置三层逻辑接口，全局唯一description "Leased-Line-03"address 59.39.x.1/24 //配置user3 的网关sap 1/1/10 create //配置user2的业务接入口，非子接口模式ingressfilter ip 3000exitexitexit示例2：7750SR通过IES实现super vlan功能配置，该功能即多个vlan共享一个网关，以达到节省IP地址的目的。

Internet7750User2User3configure port 1/1/9 ethernet mode accessconfigure port 1/1/9 ethernet encap-type dot1qconfigure port 1/1/9 no shutdownconfigure port 1/1/10 ethernet mode accessconfigure port 1/1/10 ethernet encap-type dot1qconfigure port 1/1/10 no shutdownconfigure serviceies 10000103 customer 1000 create //配置业务 1 为专线业务，业务id为全局唯一 ID参照附录表--其它IES业务（按需使用），根据业务情况顺延description "Leased_Line"subscriber- interface "XXX-public-gw" createaddress 218.204.223.1/24 //设置共用网关group-interface “GE1/1/9" create //配置，group-interface”GE1/1/9”,全局唯一。

另外相同group-interface的sap物理端口必须为同一个，例如此例中group-interface “GE1/1/9”中配置sap都为1/1/9。

no local-proxy-arp //不启用本地arp代理，sap 1/1/9:2003 create anti-spoof ip //必须配置源地抵制校验static-ip 218.204.223.2 //必须配置客户ip地址，需要将每一个1/1/9:2003接口下带的用户ip都配置上去no shutdown //一定要激活该用户exitexitsap 1/1/9:2004 create //配置说明同上anti-spoof ipstatic-ip 218.204.223.4no shutdownexitexitgroup-interface “1/1/10" create 配置说明同上sap 1/1/10:2005 create anti-spoof ipstatic-ip 218.204.223.5no shutdownexitexit该功能可以用来终结来自不同vlan 的用户，该功能的sap 下必须启用anti-spoof 功能，并配置该static-host 命令以邦定该端口vlan 下的用户ip 地址。

示例3： VRRP 配置如图，二台SR 通过二层交换机接入用户，二台7750启用VRRP 作为冗余接入，缺省用户网关在SR1上，当SR1发生故障则网关倒换到SR2上，如果VRRP 的客户使用两台交换机和分别和两台SR 互联，这两台用户交换机之间级联或堆叠，相关配置参考如下SR1的配置VRRPswitchSR2SR1SR2的配置假定1/1/2为SR2的上联端口，以下参数定义，请参考上例configure 1/1/1 ethernet mode accessconfigure 1/1/1 no shutdownSR2>config serviceies 1 customer 1 createinterface "test" createaddress 10.0.0.3/24bfd 100 receive 100 multiplier 3vrrp 1bfd-enable 1 interface "test" dst-ip 10.0.0.2 backup 10.0.0.1policy 1ping-replytraceroute-replyexitsap 1/1/1 createexitexitSR2>config>vrrp# infopolicy 1priority-eventport-down 1/1/2VPN是利用公众网资源为客户构成专用网的一种业务。