中国移动通信集团广东有限公司IP城域网CR局数据规范V1.doc-淘文阁

资源描述

《中国移动通信集团广东有限公司IP城域网CR局数据规范V1.doc》由会员分享，可在线阅读，更多相关《中国移动通信集团广东有限公司IP城域网CR局数据规范V1.doc（43页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、广东移动IP城域网CR局数据规范上海贝尔7750分册（试行稿）V1.1中国移动通信集团广东有限公司二一年十月广东移动IP城域网CR规范阅读指南为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。本期城域网涉及的厂家较

2、多，各种厂家、型号的设备将会出现到网络中，为保证本期城域网的建设质量，确保工程的顺利实施，同时为了加强城域网局数据配置的规范性和合理性，特制定本局数据配置规范，用于指导城域网网络管理人员进行配置标准化。本局数据配置规范将根据各厂家设备型号分别组织编制相应的局数据配置规范分册。该分册为阿尔卡特分册。本文主要内容安排如下：1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位；2. 从网络配置方面阐述配置内容以及规范要求，并给出阿尔卡特的7750SR的配置示例。每种类型的网络设备的网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等；版本变更记录日期版本说明作者2009. 7.20

3、0.5创建修改文档中山分公司阮炜2009.7.270.6网维中心、中山、广州、深圳等分公司讨论修订中山分公司阮炜2009.8.10.7规范文档格式，细化内容中山分公司阮炜2009.8.100.9修订增删部分内容，定稿网维中心何劲2009.8.181.0发布文档网维中心2010.101.1经一年试行，修订增删部分内容中山分公司招土林目录1. 概述51.1 目标网络结构51.2 配置原则61.3 说明72. 系统基本配置72.1 设备名称配置72.2 Banner配置72.3 Router ID配置82.4 系统时间配置82.5 NTP配置82.6 主备卡切换配置92.7 AAA配置（登录用户）

4、93. 端口配置123.1 Loopback端口配置123.2 GE端口配置123.3 POS端口配置133.4 Lag端口配置143.5 配置主控板FE接口153.6 三层端口配置163.7 其它未使用端口配置164. 安全配置174.1 ALC配置174.2 防病毒配置194.3 防攻击配置224.4 7750其他安全配置235. 网管配置255.1 SNMP配置255.2 SYSLOG266. 路由配置286.1 黑洞路由配置286.2 静态路由配置296.3 LDP配置296.4 ISIS配置306.5 BGP配置326.6 路由反射器server端配置346.7 路由策略（出口路由器

5、分流策略）配置356.8 等价多路径配置(ECMP)387. QoS配置387.1.1 层次化QOS（H-QOS）配置3841 广东移动IP城域网CR规范1. 概述1.1 目标网络结构IP城域网的定位：1、网络定位：IP城域网是位于用户驻地网和CMnet网之间的网络，既要满足用户的需求也需要适应企业未来的发展。IP城域网与城域传送网共同构成了我公司城域综合业务承载平台。2、业务定位：(1)为公司内部业务应用系统 (营业厅、OA、BOSS等)提供接入以及实现自有机楼数据互连等。(2) 为用户提供互联网接入、VPN接入、集团增值业务接入等。城域网现状结构图（一二类公司）：城域网现状结构图（三类公司

6、）：在上图中，将IP城域网划分成四个层次：骨干层、核心汇聚层、区域汇聚层和接入层。骨干层实现城域网与CMnet的连接，完成高速数据转发，并充当三层MPLS VPN的P设备。在核心汇聚层选择两个节点充当跨域MPLS VPN业务互通的ASBR(跨域边界路由器)，并与CMNET的汇聚路由器CR直接连接。 BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备，并充当MPLS VPN的PE设备，还支持组播复制功能等。区域汇聚层完成接入层接入到城域网，一般只起二层功能。接入层负责用户接入，采用二层网络。1.2 配置原则配置总体原则为保证配置的规范性和统一性，以减少维护工作的难度和工作量，设备配

7、置过程中应遵循一下基本原则：l 配置语法、语义必须正确无误，保证网络能够正常运行，各种管理接口能够正常通信；l 能够统一的策略和参数必须统一；l 配置应尽量简洁，无用的配置命令不应出现在配置文件中，用于试验的配置应及时删除；l 配置应具有一定的扩展性，方便未来修改和扩展（如ACL的序号安排）；l 配置应保证较好的可读性，尽量通过description参数对重要命令进行注解；l 汇聚层及其以上设备AAA认证建议采用集中服务器认证；l 密码的设置要符合复杂性要求并定期修改；l DNS配置本地网内一致；l SNMP、SYSLOG配置本地网内一致；l 如有远程访问控制协议SSH配置也应本地网内一致。1

8、.3 说明l 本文档灰底字体表示需注意或表示一定要统一配置的内容l 本文档以7750为示例，当7750兼做SR时需同时满足SR的局数据规范要求。2. 系统基本配置2.1 设备名称配置n 配置内容：配置设备名称n 规范要求：设备名称要求符合最新的中国移动通信集团广东有限公司IP城域网资源命名规范要求；n 配置示例：设置路由器的主机名为GDYJ-MC-IPMAN-QQT-RT01-7750。A:ALA-12#configure system name GDYJ-MC-IPMAN-QQT-RT01-7750 /*定义设备名称*/查询：show system information2.2 Banner

9、配置n 配置内容：配置登录提示内容n 规范要求：提示该系统为移动专有系统，禁止非法登录；城域网所有路由器配置统一的Banner信息，登陆时提示：WARNING! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!n 配置示例：GDYJ-MC-IPMAN-QQT-RT01-7750#config system login-control pre-login-message WARNING! Authorised ac

10、cess only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!%2.3 Router ID配置n 配置内容：配置Router IDn 规范要求：Router ID的取值为本设备的system地址；n 配置示例：GDYJ-MC-IPMAN-QQT-RT01-7750#configure router router-id x.x.x.x/* x.x.x.x为system地址*/2.4 系统时间配置n 配置内容：配置系统时区、配置系统时间；n 规范要求：系统

11、时间要求采用当前的标准北京时间；n 配置示例：GDYJ-MC-IPMAN-QQT-RT01-7750#configure system time zone GMT8 08GDYJ-MC-IPMAN-QQT-RT01-7750#admin set-time YYYY/MM/DD hh:mm:ss /*hh:小时；mm:分钟；ss:秒YYYY:年；MM:月；DD：日。*/查询：show time2.5 NTP配置n 配置内容：配置NTP服务器；n 规范要求：1：城域网NTP服务器分为两级；第一级为CMNET-GD的NTP服务器，城域网核心路由器统一指向它；第二级为城域网核心路由器作为NTP服务器，

12、城域网其他设备指向它。2：为了冗余可靠，需配置多个ntp服务器；3：城域网核心路由器采用system作为NTP服务器的源地址；n 配置示例GDYJ-MC-IPMAN-QQT-RT01-7750# config system security source-address application ntp systemGDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp ntp-serverGDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp server 223.177.3.5 pre

13、ferGDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp server 223.177.3.14GDYJ-MC-IPMAN-QQT-RT01-7750# config system time ntp no shutdownGDYJ-MC-IPMAN-QQT-RT01-7750# config system time sntp shutdown/* 223.177.3.5，223.177.3.14为CMNET NTP服务器的IP地址 */查询：show system ntp servers detail 2.6 主备卡切换配置n 配置内容

14、：配置系统主备卡切换n 规范要求：打开自动切换，要求采用最优切换方式,也可以手动切换n 配置示例自动切换：7750路由器两块引擎之间的备份机制是系统自动的，无需命令配置。手动切换：GDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy synchronize boot-envGDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy synchronize configGDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy force-switchover now2.7 AAA配置（

15、登录用户）n 配置内容：配置登录用户及密码n 规范要求：建议分公司建立radius（或Tacacs+）服务器：日常维护时采用radius上配置的帐号，应急情况下使用路由器本地配置的帐号。同时应对radius服务器采用安全保护措施（如防火墙，防病毒等）。帐号认证顺序为先采用local，当认证失败时再将认证请求发送到radius认证服务器，不启用none认证；用户名为用户名字首字母缩写加手机号；不建议配置5个以上的本地固定帐号，本地固定帐号全网统一；登录密码应符合复杂性要求（即密码长度要求至少8位，且包含数字、大小写字母），要求采用加密方式，定期修改密码。 Radius服务器的IP地址和

16、端口由市公司自行建设和规划。 SUPER密码由市公司自行设置，定期修改密码。限制VTY 登陆源地址，见4.3节配置CON/AUX/VTY接口，空闲超时时间设为10分钟，采用AAA鉴权n 配置示例方案一、RADIUS认证为主、本地验证做为认证备份手段；认证顺序为优先采用本地，其次是采用radius，不启用none认证。GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security passwordauthentication-order local radius /* 配置认证顺序 */health-check interval 60 /* 配置r

17、adius健康检查功能 */GDYJ-MC-IPMAN-QQT-RT01-7750#configure system source-address application radius systemGDYJ-MC-IPMAN-QQT-RT01-7750#configure system security radiusserver 1 address X.X.X.X secret 1235 ! /* 定义radius server 1, 1235 !为校验字符串 */server 2 address Y.Y.Y.Y secret 1235 ! /* 定义radius server 2 */aut

18、horization /* 支持授权功能 */timeout 20 /* 定义radius超时为20秒 */方案二、配置本地用户配置示例： GDYJ-MC-IPMAN-QQT-RT01-7750# configure system securityprofile showlevel default-action deny-all entry 10 match show action permit exit entry 20 match ping action permit exit entry 30 match traceroute action permit exit entry 40 m

19、atch telnet action permit exit entry 50 match info action permit exit entry 60 match logout action permit exit entry 70 match admin display-config action permit exit exit/* 配置一个用户组名为“showlevel”及相应的权限 */GDYJ-MC-IPMAN-QQT-RT01-7750#configure system securityno user adminuser gmcc password gmcc2009!$ /*

20、配置用户名密码，其中密码不能出现“#”*/user gmcc access console /* 配置用户为登陆用户 */user gmcc console member showlevel /* 将用户加入前面配置的”showlevel”组 */* 本帐号和密码为工程期间密码，移交后需去掉该帐号，其他普通帐号为用户名缩写加手机号，密码定期修改 */* 系统有默认的最高权限组”administrative”，如果用户加入该组将拥有最高权限。如果其它组用户想拥有最高权限，需输入命令enable-admin，同时输入正确的super密码 */查询：configsystemsecurityinfo

21、配置Telnet安全策略GDYJ-MC-IPMAN-QQT-RT01-7750#configure system securitytelnet-server /* 打开telnet功能，缺省关闭 */ssh no server-shutdown /* 关闭ssh功能，缺省打开，建议关闭 */exitGDYJ-MC-IPMAN-QQT-RT01-7750#configure system login-control telnet inbound-max-sessions 10 /* 登陆用户数为10 */outbound-max-sessions 10 /* 登出用户数为10 */exitidl

22、e-timeout 10 /* 空闲超时 */关于如何限制源地址登陆7750，请参看第4.3章的安全配置。3. 端口配置3.1 Loopback端口配置n 配置内容: 配置LOOPBACK地址n 规范要求: 端口名称要符合最新的中国移动通信集团广东有限公司IP城域网资源命名规范的要求； IP地址根据中国移动通信集团广东有限公司IP城域网IP地址规划设定。配置端口描述信息n 配置示例:GDYJ-MC-IPMAN-QQT-RT01-7750#configure router interface system address 122.193.40.1/32 /* 配置Loopback地址，见地址规

23、划表 */GDYJ-MC-IPMAN-QQT-RT01-7750#configure router interface system description For Management查询：show router interface system3.2 GE端口配置n 配置内容：配置GE端口的各个参数；n 规范要求端口描述符合最新的中国移动通信集团广东有限公司IP城域网资源命名规范的要求； SR、BRAS、CR之间的互联端口MTU值设置为：4470，如果传输经过MSTP,则需要传输设备更改MTU值为4470； SR下联汇聚交换机和汇聚交换机下联的端口MTU值设置为：1500。在工程验收

24、时，必须测试MTU大小为4470的数据包的连通性情况；如果设备互联端口经过MSTP作为传输，可能需要提醒传输专业修改MTU值；关闭GE端口自动协商； IP地址根据中国移动通信集团广东有限公司IP城域网IP地址规划设定。工程阶段将试验BFD功能和互通性，在局数据规范里不做要求。打开非业务端口的波动抑制功能：Up和hold down时间为1 秒n 配置示例GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 1/1/1 description “To-GDYJ-MS- IPMAN-XL-RT01-NE80E-GE2/0/0-1G” ethernet mode

25、 network /* 定义端口模式 */ ethernet mtu 4484 /* network口4484(华为4470) */ etherent no autonegotiate /* 定义端口非自协商 */ xgig lan | wan /* 定义端口lan模式还是wan，本配置适用于10GE端口，在两种模式都可以配置的时候，优先选用WAN模式 */ hold-time up 1 down 1 /* 以秒为单位，只在非业务端口配置 */查询：show port description3.3 POS端口配置n 配置内容: 配置数据帧格式；配置端口描述；配置时钟类型；配置链路封装格式

26、；配置CRC校验位数；n 规范要求: 端口描述符合最新的中国移动通信集团广东有限公司IP城域网资源命名规范的要求； IP地址根据中国移动通信集团广东有限公司IP城域网IP地址规划设定； MTU值默认为4470；封装采用PPP方式。成帧格式采用SDH格式； CRC设置为32位; 配置POS口告警功能；设置端口时钟，和SDH传输互联时设置为Slave，通过裸纤互联时，maste/slave设置规则：上主下从，左主右从；打开端口的波动抑制功能：UP采用100ms,DOWN采用100ms。n 配置示例:GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 1/

27、1/1description “To-GDYJ-MS- IPMAN-XL-RT01-NE80E-POS2/0/0-10G”sonet-sdh framing sdh /定义pos端口的帧格式/sonet-sdh clock-source node-timed|loop-timed /定义端口的时钟，低等级设备为从，高等级设备为主，上主下从，左主右从/sonet-sdh mtu 4472 /定义pos端口MTU值为4472/sonet-sdh hold-time up 1 down 1 /定义pos端口的保持时间为100ms/sonet-sdh report-alarm loc lrdi lb2

28、er-sf slof slos /* 定义pos端口sonet-sdh告警，为默认配置，建议配上 */sonet-sdh path report-alarm pais prdi prei /定义pos端口的path告警/sonet-sdh path scramble /定义pos接口加扰/sonet-sdh path crc 32 /定义Pos接口的crc为32位/sonet-sdh path no shutdown /打开POS接口的path/no shutdown /打开POS接口/查询：show port 1/1/1 detail3.4 Lag端口配置n 配置内容：把多个POS接口绑定

29、成一个逻辑接口n 规范要求：端口描述符合最新中国移动通信集团广东有限公司IP城域网资源命名规范的要求； IP地址根据中国移动通信集团广东有限公司IP城域网IP地址规划设定；涉及POS接口的配置详见3.3 POS端口配置；n 配置示例：GDYJ-MC-IPMAN-QQT-RT01-7750#configure lag 1description TO-GDYJ-MS-IPMAN-QQT-RT02-7750-Lag1-2*GE /* 定义端口描述字符 */port 1/1/1 /* 添加端口1/1/1 */port 1/1/2 /* 添加端口1/1/2 */mode network /* 定义端

30、口的模式,network为端口模式 */ethernet mtu 4484 /* 定义以太网端口mtu */或sonet-sdh mtu 4472 /* 定义pos端口mtu值为4472 */查询：show lag 1 detail3.5 配置主控板FE接口n 配置内容：配置主控板FE使用端口n 规范要求：配置主用主控板IP地址，并且将FE接口设置为非协商在通过带外网管管理设备时才需要配置主控板的FE接口。n 配置示例：GDYJ-MC-IPMAN-QQT-RT01-7750# bof address / /* 配置主用主控板fe接口IP */GDYJ-MC-IPMAN-QQT-RT01-

31、7750# bof no autonegotiate /* 配置主控板fe接口为非自协商 */GDYJ-MC-IPMAN-QQT-RT01-7750# static-route X.X.X.X next-hop X.X.X.X/* 采用带外网管与OMC进行通信的模式下，必须配置该路由与OMC进行通信 */GDYJ-MC-IPMAN-QQT-RT01-7750# bof saveGDYJ-MC-IPMAN-QQT-RT01-7750# fileGDYJ-MC-IPMAN-QQT-RT01-7750# file cf3: # copy bof.cfg cf3-b:/ bof.cfg /* 要先查看

32、主备状态（show card），从当前的活动卡复制到备份卡,本示例假设a为主用卡 */查询：show boftype bof.cfg，type cf3-b:/bof.cfg /* 比照这两个文件是否一致，本示例假设a为主用卡 */3.6 三层端口配置n 配置内容: 配置端口名称；配置端口描述；配置IP地址；配置包含的二层接口；n 规范要求: 端口描述符合最新的中国移动通信集团广东有限公司IP城域网资源命名规范要求； IP地址根据中国移动通信集团广东有限公司IP城域网IP地址规划设定；端口名称与物理接口相同，如：普通GE物理口ge-1/2/3，VLAN的端口ge-3/2/3:100，Qi

33、nQ的端口ge-4/2/1:100.1500，POS口pos-5/1/1n 配置示例:GDYJ-MC-IPMAN-QQT-RT01-7750#configure routerinterface “ge-1/2/2“ /* 定义三层逻辑接口名为ge-1/2/2 */description “TO-GDYJ-MS-IPMAN-QQT-RT02-7750-GE2/0/0-1G”port 1/2/2 /* 绑定物理端口1/2/2 * /address / /* 配置接口IP地址 */查询：show router interface3.7 其它未使用端口配置n 配置内容：关闭所有未使用端口n 规范要求：

34、端口描述信息为：no-usen 配置示例： GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 4/1/1description “no-use”shutdown4. 安全配置4.1 ALC配置*A:GDZS-MS-IPMAN-DEJL-BRAS01-7750configsysseccpmip-filter# entry 5 create action accept description MAN-Routers-Loopbacks match src-ip 122.193.32.0/24 exit exit entry 10 create action ac

35、cept description Radius Server match src-ip 223.176.9.19/32 exit exit entry 200 create action accept description permit direct connect ip telnet match protocol tcp dst-port 23 65535 src-ip 122.193.11.0/24 exit exit entry 205 create action accept description permit loopback address ip telnet match pr

36、otocol tcp dst-port 23 65535 src-ip 122.193.32.0/24 exit exit entry 210 create action accept description permit out-band network management ip telnet match protocol tcp dst-port 23 65535 src-ip 12.205.56.0/24 exit exit entry 215 create action accept description permit in-band network management ip telnet match protocol tcp dst-port 23 65535 src-ip 194.165.32.248/29 exit exit entry 299 create action drop description Deny other ip address telnet match protocol tcp dst-port 23 65535 exit exit entry 300 create action accept description permit omc server out-band management ip snmp

展开阅读全文