江西电信城域网出口路由器
(CRS-1)
设备配置规范
中国电信江西分公司
2010年3月
Confidential
目录
第1章概述 (1)
1.1术语和缩写语表 (1)
1.2网络结构说明 (3)
第2章IP城域网网络设备命名及链路描述规范 (4)
2.1设备命名规范................................................................................................错误!未定义书签。
2.1.1适用范围 ...................................................................................................错误!未定义书签。
2.1.2设备命名规范格式 .................................................................................错误!未定义书签。
2.2端口描述规范 (4)
2.2.1环回接口描述 ..........................................................................................错误!未定义书签。
2.2.2网络端口描述规范 .................................................................................错误!未定义书签。
2.2.3用户端口 ...................................................................................................错误!未定义书签。
2.2.4关于阿朗7750 的二/三层接口描述.................................................错误!未定义书签。
2.2.5关于SE800 上连端口的描述 .............................................................错误!未定义书签。
2.2.6空闲端口描述 ..........................................................................................错误!未定义书签。第3章出口路由器CRS-1配置规范.. (5)
3.1系统基本配置规范 (6)
3.1.1设备名称配置 (6)
3.1.2Banner配置.............................................................................................错误!未定义书签。
3.1.3设备自身时间及NTP (6)
3.1.4Telnet配置 (8)
3.1.5AAA配置 (9)
3.1.6系统高可靠性配置 (12)
3.1.7软件启动顺序 ..........................................................................................错误!未定义书签。
3.2端口配置规范 (13)
3.2.1MTU值设计 (13)
3.2.2Loopback接口配置 (13)
3.2.3GE接口配置 (14)
3.2.4GE子接口接口配置 (15)
3.2.5POS接口配置 (16)
3.2.6端口镜像配置 ..........................................................................................错误!未定义书签。
3.3路由协议配置规范 (18)
3.3.1城域网路由架构概述 (18)
3.3.2路由优先级/管理距离 (19)
3.3.3静态路由配置 (19)
3.3.4OSPF配置 (20)
3.3.5BGP配置 (26)
3.3.6策略路由配置 (29)
3.4MPLS标签配置规范 (45)
3.4.1MPLS全局配置 (45)
3.4.2LDP协议配置 (47)
3.5网管配置 (49)
3.5.1SNMP管理代理配置 (49)
3.5.2故障管理配置 (52)
3.5.3Flow配置 (54)
3.6Q O S配置规范 (55)
3.6.1QoS分类和标记 (55)
3.6.2预留带宽管理 (56)
3.6.3流量限速和整形 (56)
3.6.4队列调度 (57)
3.6.5拥塞避免 (58)
3.6.6与CN2网的QoS对接 (58)
3.7网络设备安全策略配置推广 (59)
3.7.1源地址合法性检测 .................................................................................错误!未定义书签。
3.7.2流量限速CAR配置................................................................................错误!未定义书签。
3.7.3设备自身安全防护技术推广 (59)
3.7.4关闭不需要的小端口的服务配置规范 (59)
第1章概述
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规范。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对城域网核心层路由器设备制定相关配置规范。
本文主要内容安排如下:
1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位;
2. 从网络配置方面阐述配置说明以及规范要求,并给出主流路由器型号设备的配置示例。针对路由器设备,网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。
3. 提出文档维护和执行的管理要求。
1.1 术语和缩写语表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
1.2 网络结构说明
经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR )及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,BRAS 和SR 作为业务接入控制层组成部分,是IP 城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。
城域
宽带IP 核心层
汇聚层
接入层
业务接入控制层
骨干网
接入网
骨干网
城域网
第2章IP城域网网络设备命名及链路描述规范2.1 设备命名规范
2.1.1适用范围
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
出口核心路由器
普通核心路由器
BRAS
SR
汇聚交换机
园区交换机
楼道交换机
DSLAM
2.1.2设备命名规范格式
字母大小各市需要采用统一标准,全部小写。
两端、中间不带任何空格。
城市标识,取城市名称拼音的首字母小写。
节点标识,取节点名称拼音的首字母小写,如两节点的首字母有重叠,分两种情况,当后一个字不同时则后一个取全拼,
设备属性标识,规定如下
出口路由器:c,如核心路由器兼做出口路由器则用c
设备序号,取阿拉伯数字,从1开始。同节点的相同属性的设备间以设备序号区别。
网络类型:Mnet(城域网)
I(IDC )
N(NGN)
自定义字段,可以加入网络子类型及设备型号等内容。
例子:
示例1:城域网出口路由器,萍乡,8分局,第一台出口路由器,命名为r1-c-px8fj-1.Mnet
地市设备命名在国信朗讯资源系统中有绑定,实施时尽量避免更改。
2.2 端口描述规范
2.2.1网络端口描述规范
2.2.1.1 适用范围
本部分适用于城域网设备的互连接口描述
2.2.1.2 端口描述包含下面几部分
具体区别如下表:
示例:
第3章出口路由器CRS-1配置规范
3.1 系统基本配置规范
3.1.1设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配置规范:
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
3.1.2.1 时区配置
配置说明:
统一设备的时区配置。
规范要求:
配置系统时区为GMT+8,北京时区。
配置规范:
3.1.2.2 系统本地时间
配置说明:
使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。
规范要求:
配置主和备两组NTP服务器。
城域网NTP配置为两级结构,出口路由器配置与省网NTP SERVER 202.97.32.156 /157同步时钟,出口以下设备则配置向出口路由器进行时钟同步。
指定本地发出NTP消息的接口。
配置规范:
配置验证:
配置注意细节:
华为NE路由器默认NTP协议版本号为V3,不需特别配置版本信息。
3.1.2.3 NTP消息源地址
配置说明:
指定本地发出NTP消息的接口。
规范要求:
城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源地址。
配置规范:
配置验证:
无。
3.1.2.4 SNTP进程关闭
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。关闭SNTP协议,可防止基于SNTP 漏洞的攻击。
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
Cisco 路由器不支持SNTP协议。
3.1.3Telnet配置
3.1.3.1 连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session 连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置出口路由器Telnet最大连接数限制为5个(7750设置为7)。
配置规范:
3.1.3.2 空闲时间
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为30分钟。
配置规范:
3.1.3.3 TELNET访问控制列表
配置说明:
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet源地址限制,包含省公司4段地址(202.109.128.0/24,202.97.32.0/24,220.177.248.0/24,72.163.226.0/24)和最小化的地市网管中心维护IP网段。
配置规范:
3.1.
4.1 AAA服务器IP地址和端口号
配置说明:
配置AAA服务器IP地址,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定采用Tacacs+认证;
指定Tacacs+服务器地址为:117.21.127.10,认证密钥为cisco12416。
3.1.
4.2 AAA消息数据包源地址
配置说明:
配置AAA消息数据包源地址。
规范要求:
指定出口路由器AAA消息数据包源地址为Loopback0接口地址。
配置规范:
3.1.
4.3 认证模式
配置说明:
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。
规范要求:
配置认证方式为先本地对用户信息进行认证,后通过Tacacs+服务器。
配置注意细节:
不同厂家AAA认证的顺序差异较大,需要注意。
3.1.
4.4 授权模式
配置说明:
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一
个用户能访问什么服务。
规范要求:
配置由先本地用户授权,后TACACS服务器授权。
对于CRS-1的本地授权,本地最高权限为root-system组,如果需要有其他的授权可以采取分级模式,参考集团的配置如下:
taskgroup priv2
task read bgp
task read ipv4
task read isis
task read interface
task write basic-services
task execute basic-services
description view_only
taskgroup priv10
task write acl
task write bgp
task write cdp
task write cef
task write ppp
task write qos
task write boot
task write diag
task write ipv4
task write isis
task write snmp
task write vlan
task write admin
task write static
task write sysmgr
task write system
task write logging
task write monitor
task write netflow
task write network
task write pkg-mgmt
task write interface
task write inventory
task write route-map
task write sonet-sdh
task write ip-services
task write route-policy
task write basic-services
task execute bgp
task execute admin
task execute logging
task execute pkg-mgmt
task execute sonet-sdh
inherit taskgroup priv5
!
usergroup priv2
3.1.
4.5 审计模式
配置说明:
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。
规范要求:
配置Tacacs+服务器对登陆设备的用户进行审计记录。
3.1.
4.6 本地用户帐号
配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。
规范要求:
配置本地用户帐号admin,设置最高权限,使用省公司统一指定的密码。
配置注意细节:
保留一个原有地市网管本地帐号,不作修改。
3.1.5系统高可靠性配置
配置说明:
配置系统引擎冗余模式。
规范要求:
CRS-1路由器,无须专门配置引擎冗余。
查看验证:
配置注意细节:
无。
3.2 端口配置规范
3.2.1MTU值设计
城域网路由器端口MTU值的设计主要基于如下原则:
?IP城域网内部统一IP MTU值(MPLS MTU随IP MTU自动调整):对厂
家、机型、板卡类型、端口类型都统一;
?L3 Protocol MTU值尽可能取大值,以加快协议收敛。
?与外部连接端口的MTU值需与对端设备协商保持一致,尽可能取大
值。
建议IP城域网的所有内部互连端口,GE口IP MTU统一取定为:3000字节;POS口IP MTU统一取值为4470.
各厂家设备的设备端口配置下MTU具体含义有所不同,具体见下表:
3.2.2Loopback接口配置
配置说明:
配置Loopback地址,提供一个永远up的IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的loopback 地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。
规范要求:
城域骨干网出口路由器配置一个loopback 0地址,掩码必须为32位。
配置规范:
配置验证:
配置注意细节:
无
3.2.3GE接口配置
3.2.3.1 接口描述
配置说明:
配置接口描述,明确标识链路连接方向,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
3.2.3.2 MTU值
配置说明:
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为,当PING小包时正常,不会丢包,但是PING大包时会明显丢包。
规范要求:
CISCO、华为GE端口的MTU配置为:3000
7750 GE端口的MTU为IP MTU+14,即为3014。
3.2.3.3 关闭GE端口协商
配置说明:
端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,并且侦测远端通告的相应的运行方式。一条链路两端的端口必须是同样的配置,如果千兆链路两端的配置不一致,端口状态将不会up。
规范要求:
关闭GE端口的自动协商功能,防止协商不一致导致端口不能up。
3.2.3.4 关闭存在风险的安全漏洞
配置说明:
关闭GE端口可能存在风险的安全漏洞。
规范要求:
关闭GE端口存在风险的安全漏洞,包括ICMP Redirect、Direct Broadcast、Proxy ARP。
3.2.3.5 hold-time配置
配置说明:
缺省情况下,设备检测到端口UP/DOWN信息便立刻反映给系统,可以通过配置端口UP/DOWN的hold-time来控制系统感知端口状态的时间,避免个别端口反复UP/DOWN造成系统路由震荡。
规范要求:
建议GE端口up-hold-time和down-hold-time时间配置为2s和1s。
3.2.3.6 配置范例
#接口mtu值的更改:
Interface Gi*/*/*/*
mtu 3000
#关闭端口的协商方式(无需配置,仅供参考):
interface Gi*/*/*/*
no negotiation auto
#关闭存在风险的安全漏洞(无需配置,仅供参考):
interface Gi*/*/*/*
no ipv4 directed-broadcast
no porxy-arp
no ipv4 redirects
#端口carrier-delay值的更改:
interface Gi*/*/*/*
carrier-delay up 2000 down 1000
检查:
Show inter G8/2/1
3.2.4GE子接口接口配置
3.2.
4.1 命名规范
华为、Cisco为固定“主接口名”+“.”+“数字编号”的格式。
阿朗7750的子接口命名规范遵从“-”之后字段与关联sap相同的原则,具体
举例如下表:
3.2.
4.2 接口描述
配置说明:
出口路由器的GE子接口为连接到BAS不同VR使用,子接口描述中应能体现连接对端VR的相关必要信息。
规范要求:
按照2.2.3章节进行规范。
3.2.
4.3 dot1q封装格式
配置说明:
出口GE子接口封装为dot1q格式,用于与下联BAS具体VR通信。
规范要求:
GE子接口封装为dot1q格式。子接口ID使用VLAN号。
3.2.5POS接口配置
3.2.5.1 接口描述
配置说明:
配置接口描述,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
要求配置三层接口的描述和相应的二层接口描述一致,符合第二章规范。
未使用的端口需要SHUTDOWN,并删除端口描述、IP地址、子接口等配置。
3.2.5.2 MTU值
配置说明:
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为,当PING小包时正常,不会丢包,但是PING大包时会明显丢包。
规范要求:
思科、华为配置POS端口MTU 4470。
7750 POS口MTU为IP MTU+2,即配置为4472。
3.2.5.3 POS封装、帧等
配置说明:
POS即Packet Over SONET/SDH,使用SDH提供的高速传输通道直接传送IP分组,SONET/SDH是点对点的物理层的协议,IP是网络层的协议。根据OSI 七层模型,二者之间还需要一个链路层协议,可配置采用PPP或HDLC作为链路层的协议。
配置POS的帧格式使用SDH,不使用北美标准SONET。
配置POS接口的线路加码功能,如果一端配置了线路加扰而另一方没有,则不能互通。
配置POS接口两端的CRC值必须一致,否则不能互通。
规范要求:
配置POS接口封装为PPP,不使用HDLC封装;
配置POS的帧格式为SDH,不使用SONET;
开启POS scramble加扰;
配置CRC设置为32位;
关闭direct-broadcast特性;
关闭proxy-arp特性。
3.2.5.4 POS链路同步时钟
配置说明:
配置POS链路同步时钟,与传输互联时钟应跟随传输时钟,与其他路由器背靠背裸纤直连接时,应设置一台路由器的时钟为主时钟,另一台为从时钟,否则不能互通。
规范要求:
与传输互联时钟跟随传输时钟,即路由器配置为从时钟。