高可靠性動態路由協議在福州IP城域網的應用

福州電信分公司 楊 平

?

高可靠性動態路由協議在福州IP城域網的應用

福州電信分公司 楊 平

福州電信IP城域網原來采用OSPF路由協議作為域內網絡路由協議，隨著網絡規模的不斷擴大，OSPF協議自身存在的缺陷也暴露出來，如：協議自身可靠性不高、容量有限，不能支持大規模網絡等。為了避免OSPF協議存在的問題，福州電信公司網絡維護部門采用高可用性路由協議ISIS對網絡進行了改造，域內路由協議采用ISIS替換OSPF，用戶路由采用BGP協議承載。經過改造，優化了路由承載方式，細分了城域網的不同業務流量，提高了網絡的穩定性和可靠性。

路由協議 ISIS BGP 城域網

1 背景

隨著中國電信進入全業務經營時代，作為寬帶業務承載主體的IP城域網，不僅定位于公共信息交換平臺承載基本的互聯網業務，也定位于承載有QoS要求的業務和中國電信自身的關鍵業務。如何保障IP城域網穩定、暢通、高效運行以滿足數據類及增值類業務的發展需求，已經成為日益關注的焦點。

IP城域網包括控制層面和轉發層面兩個部分，轉發層面類似于網絡的“身體”，而控制層面則類似于城域網的“大腦”，人的“身體”是由“大腦”控制的，同樣，IP城域網由控制層面控制網絡的流量、流向、路徑，控制層面中最重要的就是路由協議。路由協議運行于路由器上，是用來確定到達路徑的，起到一個地圖導航，負責找路的作用。IP城域網路由協議的穩定與否將決定一個網絡的健壯性，是否能夠持續高效地為廣大用戶提供服務，將決定用戶對福州電信寬帶業務的感知。

2 福州IP城域網路由協議存在的問題和解決方案

原先福州IP城域網采用OSPF協議作為域內網絡路由協議，全網運行OSPF路由協議的設備已達126臺，均處于OSPF區域0內，而OSPF路由協議無法承載大量的網絡設備，根據規范，在OSPF區域0內的路由器數量應低于150臺。而隨著擴容工程進行，新增設備將不斷加入，與此同時OSPF路由協議還承載著全區約70萬公眾用戶、9千專線用戶路由，使得整個OSPF數據庫日趨龐大，不正確的路由更新或惡意攻擊將可能導致全網路由信息洪泛、設備運算頻繁刷新，最終影響路由組織穩定性。

為徹底解決網絡擴張所帶來的OSPF路由收斂速度慢問題，提高核心網絡路由安全，維護部門對城域網路由協議進行重大調整，一方面從網絡安全角度出發，進行用戶路由與網絡路由剝離區分，將原有用戶路由通過OSPF協議承載方式改由通過BGP路由協議進行承載公告。另一方面從網絡路由協議穩定性、可擴展性出發，變更城域網內部路由協議，由OSPF改由ISIS路由協議承載，同時部署相應優化特性，優化路由組織結構，抑制網絡路由震蕩。

3 實施高可用性路由協議ISIS改造

3.1 調整路由優先級/管理距離

路由協議思科華為 STATIC160 OSPF11010重分布150 ISIS115 （修改為25）15 （修改為25） RIP120 （修改為24）120 （修改為24） EBGP/IBGP20/200255/255

靜態路由根據不同類型采取分別注入的模式，tag為10的注入ISIS，tag為100的注入bgp。

以思科設備路由協議distance為基準，調整華為設備對應值，注意修改順序，最后修改調整ISIS路由協議優先級為25。RIP路由協議優先級為24。

3.2 確定配置規范

3.2.1所有城域網路由器都在同一個區域內、路由器只運行level-2 ISIS數據庫。

3.2.2路由器互聯端口為point-to-point模式、只運行Level2、將Loopback端口設置為被動（Passive）模式。連接CN2、骨干網、用戶路由器以及不啟用動態路由協議的BRAS的接口不啟用ISIS協議。

3.2.3 ISIS metric設定按照網絡層面來設定，主要分為：核心－核心、核心－RR，核心－匯接、匯接－接入，設定的數值為下表：

設備層級metric 核心-核心5 核心-RR5 核心-匯接5 匯接-接入10 核心-省級平臺10

3.2.4 ISIS進程采用字母fuzhou 標識、華為設備無法用字母標識，因此使用100來標識。

3.2.5 ISIS metric-mode采用Wide-only方式。

3.2.6 ISIS最大的ECMP路徑數設為8條。

3.2.7打開設備啟動時設置IS-IS Overload位的特性及等待BGP收斂再清除Overload設置的功能。

3.2.8打開ISIS P2P鄰接的三步握手機制。

3.2.9打開ISIS動態主機名交換功能。

3.2.10打開PRC（部分路由計算）和Incremental-SPF功能。

3.2.11打開LSP Fast Flooding特性。

3.2.12關閉Hello 填充（padding）。

3.2.13 ISIS使用MD5加密采用區域認證方式。

3.3 網絡優化改造過程

此次城域網路由改造分為兩個部分，第一部分為用戶路由通過BGP進行發布階段，第二部分承載網路由協議從原有OSPF協議改造為ISIS協議，時間從2009年10月23日至2010年5月14日，歷時近7個月時間，涉及全網三層網絡設備143臺，占比95%（華為接入服務器8850/8825不支持ISIS），總共割接27場，參與割接人員118人次，維護人員細致準備，精心實施，割接過程均未對用戶產生影響。

4 應用高可用性路由協議的成效

經過此次路由改造，網絡路由安全性得到了有效提升，同時也提升了路由器的穩定性，包括：

4.1 優化路由承載方式，提升路由穩定性和擴展性

改造前，所有路由條目均通過OSPF協議承載，對于OSPF協議來說，負擔較重，網絡中的任何波動或者異常，都會導致OSPF路由震蕩，過于頻繁的路由運算，可能導致網絡出現異常。改造后，用戶路由通過BGP協議承載，城域網設備路由協議從OSPF更新為ISIS。ISIS協議在預防網絡攻擊方面有天然的優勢，同時ISIS相比OSPF支持的網絡規模更大，可擴展性更好，ISIS區域能平滑地平移、分割、合并，流量不中斷；協議本身擴展容易，對MPLS 流量工程支持也更強。

4.2 整合縮減路由條目數，降低路由器CPU利用率

改造前，福州城域網共有路由條目5000條，而且比較零碎。維護人員借著此次路由調整，清理原來細碎路由，將地址統一匯聚通告，從而減少路由條目，改造后的城域網路由條目僅剩3951條，路由器CPU利用率平均降低3%。

4.3 隔離區分MPLS與普通IP包路由轉發流量

維護人員配置不同設備IP地址分別使用在普通IP包和MPLS VPN包中，將普通互聯網業務和MPLS VPN業務分離，采用不同轉發方式。普通互聯網流量不經標簽交換，而采用傳統路由轉發，MPLS VPN業務則全部通過標簽交換，使網絡穩定及數據配置清晰，確保不同業務區分和隔離，并能快速排查和維護。

4.4 鍛煉了維護隊伍

此次路由調整，維護部門共有12人參與了路由改造方案的討論和割接過程，在這個過程中學習和領會BGP和ISIS路由協議的原理和具體配置，產生了適應福州城域網網絡組織和業務模式的配置規范，通過割接積累了經驗，并為以后的維護打下了良好的基礎。

[1] 城域網路由優化及高可用性部署測試報告, 2010.

[2] 城域網路由優化及高可用性部署配置規范V2.2, 2010.

[3] CISCO. ISIS路由協議原理, 2005.