福州電信分公司 楊 平

?

高可靠性動(dòng)態(tài)路由協(xié)議在福州IP城域網(wǎng)的應(yīng)用

福州電信分公司 楊 平

福州電信IP城域網(wǎng)原來(lái)采用OSPF路由協(xié)議作為域內(nèi)網(wǎng)絡(luò)路由協(xié)議，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，OSPF協(xié)議自身存在的缺陷也暴露出來(lái)，如：協(xié)議自身可靠性不高、容量有限，不能支持大規(guī)模網(wǎng)絡(luò)等。為了避免OSPF協(xié)議存在的問(wèn)題，福州電信公司網(wǎng)絡(luò)維護(hù)部門采用高可用性路由協(xié)議ISIS對(duì)網(wǎng)絡(luò)進(jìn)行了改造，域內(nèi)路由協(xié)議采用ISIS替換OSPF，用戶路由采用BGP協(xié)議承載。經(jīng)過(guò)改造，優(yōu)化了路由承載方式，細(xì)分了城域網(wǎng)的不同業(yè)務(wù)流量，提高了網(wǎng)絡(luò)的穩(wěn)定性和可靠性。

路由協(xié)議 ISIS BGP 城域網(wǎng)

1 背景

隨著中國(guó)電信進(jìn)入全業(yè)務(wù)經(jīng)營(yíng)時(shí)代，作為寬帶業(yè)務(wù)承載主體的IP城域網(wǎng)，不僅定位于公共信息交換平臺(tái)承載基本的互聯(lián)網(wǎng)業(yè)務(wù)，也定位于承載有QoS要求的業(yè)務(wù)和中國(guó)電信自身的關(guān)鍵業(yè)務(wù)。如何保障IP城域網(wǎng)穩(wěn)定、暢通、高效運(yùn)行以滿足數(shù)據(jù)類及增值類業(yè)務(wù)的發(fā)展需求，已經(jīng)成為日益關(guān)注的焦點(diǎn)。

IP城域網(wǎng)包括控制層面和轉(zhuǎn)發(fā)層面兩個(gè)部分，轉(zhuǎn)發(fā)層面類似于網(wǎng)絡(luò)的“身體”，而控制層面則類似于城域網(wǎng)的“大腦”，人的“身體”是由“大腦”控制的，同樣，IP城域網(wǎng)由控制層面控制網(wǎng)絡(luò)的流量、流向、路徑，控制層面中最重要的就是路由協(xié)議。路由協(xié)議運(yùn)行于路由器上，是用來(lái)確定到達(dá)路徑的，起到一個(gè)地圖導(dǎo)航，負(fù)責(zé)找路的作用。IP城域網(wǎng)路由協(xié)議的穩(wěn)定與否將決定一個(gè)網(wǎng)絡(luò)的健壯性，是否能夠持續(xù)高效地為廣大用戶提供服務(wù)，將決定用戶對(duì)福州電信寬帶業(yè)務(wù)的感知。

2 福州IP城域網(wǎng)路由協(xié)議存在的問(wèn)題和解決方案

原先福州IP城域網(wǎng)采用OSPF協(xié)議作為域內(nèi)網(wǎng)絡(luò)路由協(xié)議，全網(wǎng)運(yùn)行OSPF路由協(xié)議的設(shè)備已達(dá)126臺(tái)，均處于OSPF區(qū)域0內(nèi)，而OSPF路由協(xié)議無(wú)法承載大量的網(wǎng)絡(luò)設(shè)備，根據(jù)規(guī)范，在OSPF區(qū)域0內(nèi)的路由器數(shù)量應(yīng)低于150臺(tái)。而隨著擴(kuò)容工程進(jìn)行，新增設(shè)備將不斷加入，與此同時(shí)OSPF路由協(xié)議還承載著全區(qū)約70萬(wàn)公眾用戶、9千專線用戶路由，使得整個(gè)OSPF數(shù)據(jù)庫(kù)日趨龐大，不正確的路由更新或惡意攻擊將可能導(dǎo)致全網(wǎng)路由信息洪泛、設(shè)備運(yùn)算頻繁刷新，最終影響路由組織穩(wěn)定性。

為徹底解決網(wǎng)絡(luò)擴(kuò)張所帶來(lái)的OSPF路由收斂速度慢問(wèn)題，提高核心網(wǎng)絡(luò)路由安全，維護(hù)部門對(duì)城域網(wǎng)路由協(xié)議進(jìn)行重大調(diào)整，一方面從網(wǎng)絡(luò)安全角度出發(fā)，進(jìn)行用戶路由與網(wǎng)絡(luò)路由剝離區(qū)分，將原有用戶路由通過(guò)OSPF協(xié)議承載方式改由通過(guò)BGP路由協(xié)議進(jìn)行承載公告。另一方面從網(wǎng)絡(luò)路由協(xié)議穩(wěn)定性、可擴(kuò)展性出發(fā)，變更城域網(wǎng)內(nèi)部路由協(xié)議，由OSPF改由ISIS路由協(xié)議承載，同時(shí)部署相應(yīng)優(yōu)化特性，優(yōu)化路由組織結(jié)構(gòu)，抑制網(wǎng)絡(luò)路由震蕩。

3 實(shí)施高可用性路由協(xié)議ISIS改造

3.1 調(diào)整路由優(yōu)先級(jí)/管理距離

路由協(xié)議思科華為 STATIC160 OSPF11010重分布150 ISIS115 （修改為25）15 （修改為25） RIP120 （修改為24）120 （修改為24） EBGP/IBGP20/200255/255

靜態(tài)路由根據(jù)不同類型采取分別注入的模式，tag為10的注入ISIS，tag為100的注入bgp。

以思科設(shè)備路由協(xié)議distance為基準(zhǔn)，調(diào)整華為設(shè)備對(duì)應(yīng)值，注意修改順序，最后修改調(diào)整ISIS路由協(xié)議優(yōu)先級(jí)為25。RIP路由協(xié)議優(yōu)先級(jí)為24。

3.2 確定配置規(guī)范

3.2.1所有城域網(wǎng)路由器都在同一個(gè)區(qū)域內(nèi)、路由器只運(yùn)行l(wèi)evel-2 ISIS數(shù)據(jù)庫(kù)。

3.2.2路由器互聯(lián)端口為point-to-point模式、只運(yùn)行Level2、將Loopback端口設(shè)置為被動(dòng)（Passive）模式。連接CN2、骨干網(wǎng)、用戶路由器以及不啟用動(dòng)態(tài)路由協(xié)議的BRAS的接口不啟用ISIS協(xié)議。

3.2.3 ISIS metric設(shè)定按照網(wǎng)絡(luò)層面來(lái)設(shè)定，主要分為：核心－核心、核心－RR，核心－匯接、匯接－接入，設(shè)定的數(shù)值為下表：

設(shè)備層級(jí)metric 核心-核心5 核心-RR5 核心-匯接5 匯接-接入10 核心-省級(jí)平臺(tái)10

3.2.4 ISIS進(jìn)程采用字母fuzhou 標(biāo)識(shí)、華為設(shè)備無(wú)法用字母標(biāo)識(shí)，因此使用100來(lái)標(biāo)識(shí)。

3.2.5 ISIS metric-mode采用Wide-only方式。

3.2.6 ISIS最大的ECMP路徑數(shù)設(shè)為8條。

3.2.7打開設(shè)備啟動(dòng)時(shí)設(shè)置IS-IS Overload位的特性及等待BGP收斂再清除Overload設(shè)置的功能。

3.2.8打開ISIS P2P鄰接的三步握手機(jī)制。

3.2.9打開ISIS動(dòng)態(tài)主機(jī)名交換功能。

3.2.10打開PRC（部分路由計(jì)算）和Incremental-SPF功能。

3.2.11打開LSP Fast Flooding特性。

3.2.12關(guān)閉Hello 填充（padding）。

3.2.13 ISIS使用MD5加密采用區(qū)域認(rèn)證方式。

3.3 網(wǎng)絡(luò)優(yōu)化改造過(guò)程

此次城域網(wǎng)路由改造分為兩個(gè)部分，第一部分為用戶路由通過(guò)BGP進(jìn)行發(fā)布階段，第二部分承載網(wǎng)路由協(xié)議從原有OSPF協(xié)議改造為ISIS協(xié)議，時(shí)間從2009年10月23日至2010年5月14日，歷時(shí)近7個(gè)月時(shí)間，涉及全網(wǎng)三層網(wǎng)絡(luò)設(shè)備143臺(tái)，占比95%（華為接入服務(wù)器8850/8825不支持ISIS），總共割接27場(chǎng)，參與割接人員118人次，維護(hù)人員細(xì)致準(zhǔn)備，精心實(shí)施，割接過(guò)程均未對(duì)用戶產(chǎn)生影響。

4 應(yīng)用高可用性路由協(xié)議的成效

經(jīng)過(guò)此次路由改造，網(wǎng)絡(luò)路由安全性得到了有效提升，同時(shí)也提升了路由器的穩(wěn)定性，包括：

4.1 優(yōu)化路由承載方式，提升路由穩(wěn)定性和擴(kuò)展性

改造前，所有路由條目均通過(guò)OSPF協(xié)議承載，對(duì)于OSPF協(xié)議來(lái)說(shuō)，負(fù)擔(dān)較重，網(wǎng)絡(luò)中的任何波動(dòng)或者異常，都會(huì)導(dǎo)致OSPF路由震蕩，過(guò)于頻繁的路由運(yùn)算，可能導(dǎo)致網(wǎng)絡(luò)出現(xiàn)異常。改造后，用戶路由通過(guò)BGP協(xié)議承載，城域網(wǎng)設(shè)備路由協(xié)議從OSPF更新為ISIS。ISIS協(xié)議在預(yù)防網(wǎng)絡(luò)攻擊方面有天然的優(yōu)勢(shì)，同時(shí)ISIS相比OSPF支持的網(wǎng)絡(luò)規(guī)模更大，可擴(kuò)展性更好，ISIS區(qū)域能平滑地平移、分割、合并，流量不中斷；協(xié)議本身擴(kuò)展容易，對(duì)MPLS 流量工程支持也更強(qiáng)。

4.2 整合縮減路由條目數(shù)，降低路由器CPU利用率

改造前，福州城域網(wǎng)共有路由條目5000條，而且比較零碎。維護(hù)人員借著此次路由調(diào)整，清理原來(lái)細(xì)碎路由，將地址統(tǒng)一匯聚通告，從而減少路由條目，改造后的城域網(wǎng)路由條目?jī)H剩3951條，路由器CPU利用率平均降低3%。

4.3 隔離區(qū)分MPLS與普通IP包路由轉(zhuǎn)發(fā)流量

維護(hù)人員配置不同設(shè)備IP地址分別使用在普通IP包和MPLS VPN包中，將普通互聯(lián)網(wǎng)業(yè)務(wù)和MPLS VPN業(yè)務(wù)分離，采用不同轉(zhuǎn)發(fā)方式。普通互聯(lián)網(wǎng)流量不經(jīng)標(biāo)簽交換，而采用傳統(tǒng)路由轉(zhuǎn)發(fā)，MPLS VPN業(yè)務(wù)則全部通過(guò)標(biāo)簽交換，使網(wǎng)絡(luò)穩(wěn)定及數(shù)據(jù)配置清晰，確保不同業(yè)務(wù)區(qū)分和隔離，并能快速排查和維護(hù)。

4.4 鍛煉了維護(hù)隊(duì)伍

此次路由調(diào)整，維護(hù)部門共有12人參與了路由改造方案的討論和割接過(guò)程，在這個(gè)過(guò)程中學(xué)習(xí)和領(lǐng)會(huì)BGP和ISIS路由協(xié)議的原理和具體配置，產(chǎn)生了適應(yīng)福州城域網(wǎng)網(wǎng)絡(luò)組織和業(yè)務(wù)模式的配置規(guī)范，通過(guò)割接積累了經(jīng)驗(yàn)，并為以后的維護(hù)打下了良好的基礎(chǔ)。

[1] 城域網(wǎng)路由優(yōu)化及高可用性部署測(cè)試報(bào)告, 2010.

[2] 城域網(wǎng)路由優(yōu)化及高可用性部署配置規(guī)范V2.2, 2010.

[3] CISCO. ISIS路由協(xié)議原理, 2005.