電信城域網(wǎng)出口路由器配置規(guī)范_第1頁(yè)
電信城域網(wǎng)出口路由器配置規(guī)范_第2頁(yè)
電信城域網(wǎng)出口路由器配置規(guī)范_第3頁(yè)
電信城域網(wǎng)出口路由器配置規(guī)范_第4頁(yè)
電信城域網(wǎng)出口路由器配置規(guī)范_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、城 域 網(wǎng) 出 口 路 由 器 配 置 規(guī) 范 腳 本POS配置規(guī)范-POS framing 建議為 SDH-CR(設(shè)置為32位-開(kāi)啟POS Payload擾碼-POS flag 統(tǒng)一為 s1s0 2/?/-關(guān)閉 direct-broadcast 特性- 關(guān)閉proxy-arp 特性-建議打開(kāi)所有pos故障報(bào)告,視廠家來(lái)定-打開(kāi)端口 ais-shut告警。視廠家來(lái)定/7750缺省打開(kāi)/-NETFLOWR采樣比的設(shè)定定 2000:1 /7750最大只支持-電路時(shí)鐘選擇遵循以下要求:1000:1/電路類(lèi)型一端時(shí)鐘另一端時(shí) 鐘裸纖/DWDMIn ternalLineSDH電路Li neLine請(qǐng)?zhí)砑?/p>

2、模板con figure port 1/1/1 son et-sdh frami ng sdhcon figure port 1/1/1 son et-sdh path crc 32con figure port 1/1/1 son et-sdh path scramblecon figure port 1/1/1 son et-sdh clock-source loop-timed /li necon figure port 1/1/1 son et-sdh clock-source no de-timed /in ternalcon figure router in terface tes

3、t no local-proxy-arpcon figure router in terface test no allow-directed-broadcastscon figure router in terface test cflowd in terfacecon figure cflowd rate 1000 /最小 1000:1時(shí)鐘時(shí)鐘GE 口配置規(guī)范-關(guān)閉GE端口自動(dòng)協(xié)商機(jī)制。-網(wǎng)內(nèi)互連端口二層 MTU統(tǒng)一設(shè)置為1500,網(wǎng)絡(luò)邊緣接入端口對(duì)端保持一致。/7750的MTI是包括了數(shù)據(jù)鏈路層包頭/-關(guān)閉 direct-broadcast 特性。MTL必須和- 關(guān)閉proxy-arp

4、特性請(qǐng)?zhí)砑幽0錭on figure port 1/1/1 ether net no aut on egotiatecon figure port 1/1/1 ethernet mtu 1514con figure router in terface test no local-proxy-arpcon figure router in terface test no allow-directed-broadcasts路由規(guī)范 總體要求城域網(wǎng)出口和省網(wǎng)接口配置 EBGP城域網(wǎng)出口和SR使用OSPF協(xié)議,處于同一 AREA 0城域網(wǎng)出口和BRAS之間舊BRAS設(shè)備采用靜態(tài)路由新BRAS設(shè)備采用OS

5、PF路由播放給省網(wǎng)采用黑洞路由,PREFIX方式播放。盡量匯聚路由接口地址和其它需要地址(采用 ROUTE MA限制)注入到OSPF中 使用的浮動(dòng)缺省靜態(tài)路由指到省網(wǎng)節(jié)點(diǎn),優(yōu)先級(jí)為210路由優(yōu)先級(jí)別的設(shè)定普通靜態(tài)1EBGP20OSPF110O2150IBGP200黑洞210浮動(dòng)靜態(tài)210靜態(tài)路由規(guī)范?靜態(tài)路由配置需要下一跳和接口同時(shí)綁定/7750只能添加地址不能同時(shí)添加接口 /請(qǐng)?zhí)砑幽0錭on figure router static-route /24 next-hop ? 一般靜態(tài)路由優(yōu)先級(jí)別設(shè)置為1請(qǐng)?zhí)砑幽0錭on figurerout

6、er static-route /24 n ext-hop prefere nee 1OSPF 路由規(guī)范? AREA劃分:一個(gè)AREA,出口和SR 一個(gè)AREA其它在非骨干區(qū)域? PROCESS ID統(tǒng)一,一個(gè) OSPF進(jìn)程(進(jìn)程號(hào)為163)? ROUTER ID選?。篖OOPBACK 地址? METRIC選?。簩SPF cost自動(dòng)計(jì)算參數(shù)設(shè)置為10,000,000,000? 認(rèn)證的配置:建議使用鏈路 MD5? 負(fù)載均衡選擇 8? 接口類(lèi)型的選?。罕M量使用點(diǎn)對(duì)點(diǎn)的類(lèi)型? 缺省路由的處理 從骨干網(wǎng)學(xué)到的 BGP default 路由,生成 OSPF de

7、fault 路由,發(fā)布到整個(gè)OSPF域。當(dāng)該BGP路由器上的BGP default路由消失后,將不再產(chǎn)生 OSPF default 路由? 不能在OSPF里面啟用NETWORK ? 鄰居的變化:記錄鄰居的變化 log-adjacency-changes?靜態(tài)注入到OSPF路由采用PREFIX限制?注入外部路由的處理:采用 E1類(lèi)型,同時(shí)COST加 1Import-route static cost 1 type 1 route-policy deny-null請(qǐng)?zhí)砑幽0錭onfig router router-id x.x.x.xconfig router ecmp 8confi

8、g router ospfasbrinternal preference 110 external preference 150 reference-bandwidth 10000000 export "default-router" "static-to-ospf" area interface To-SR-1 authentication-type message-digestmessage-digest-keyxx md5 keyinterface-type point-to-pointexitexitarea in

9、terface To-Bras-1 authentication-type message-digestmessage-digest-keyxx md5 keyinterface-type point-to-pointexitconfig router policy-optionbegin prefix-list "defaultroute" prefix /0 exact prefix-list "staticroute" prefix /0 exactpolicy-statement "default-route

10、r" entry 1 from prefix-list "defaultroute" protocol bgp exit to protocol ospf exit action accept metric set 1 type 1 exit exitpolicy-statement "static-to-ospf" entry 1 fromprefix-list "staticroute" protocol static exit toprotocol ospfexit action accept metric set 1

11、 type 1 exit exitBGPB 動(dòng)BGP 路由規(guī)范?關(guān)閉BGP路由波動(dòng)抑制,(請(qǐng)各廠家確認(rèn)是否合適寫(xiě)腳本) 路由匯總特? 關(guān)閉BGP和IGP同步? 關(guān)閉 bgp always-compare-med? 明確配置 BGP router-id 為 Loopback 0 地址? 明確配置新式的 community 格式(對(duì)應(yīng) cisco 路由器 ip bgp community new-format )。 /7750 無(wú)所謂的舊格式? 記錄鄰居變化 / 缺省記錄 ? BGP采用密碼建立鄰居關(guān)系? BGP優(yōu)先級(jí)設(shè)置:20 200 200? 負(fù)載均衡數(shù)目: 8 / 請(qǐng)根據(jù)實(shí)際需求改, 775

12、0 支持 16 條?配置BGP出方向路由過(guò)濾?播放給省網(wǎng)路由盡量合并,采用 PREFIX和NETWORK發(fā)?使用環(huán)回地址建立EBGP關(guān)系,不使用接口建立關(guān)系? BGP TIMER統(tǒng)一為 cisco 默認(rèn)(60 180)? EBGP HOP為 2請(qǐng)?zhí)砑幽0?config router autonomous-system 10000 config router router-id x.x.x.x config router bgphold-time 180 keepalive 60 multipath 16 ibgp-multipath group "IBGP" family

13、ipv4 preference 200 authentication-key "password" type internal peer-as 10000 local-address x.x.x.x neighbor 221.130.x.xdescription "To-RR1"exitgroup "EBGP" family ipv4 multihop 2 preference 20 authentication-key "password" type external peer-as 10002 local-ad

14、dress 221.130.x.x neighbor 221.130.x.xdescription "To-163Route1" exitMPLS 配置規(guī)范?功能開(kāi)啟:城域網(wǎng)出口定位為P,全局開(kāi)啟mpls,并指定Idp的router-id 與P及與PE互連端口上開(kāi)啟Idp。?標(biāo)簽發(fā)布和管理:所有路由器均使用LDP協(xié)議分發(fā)標(biāo)簽,統(tǒng)一配置為下游 主動(dòng)標(biāo)簽分發(fā)方式(DU)、有序標(biāo)簽控制方式(Ordered)、自由標(biāo)簽保留方 式( Liberal )。? LDP定時(shí)器:對(duì)所有類(lèi)型路由器的 LDP定時(shí)器進(jìn)行統(tǒng)一設(shè)定KEEPLIVE 10 HOLD TIME 30? LDP認(rèn)證:為不影

15、響LDP收斂速度,所有路由器不啟用 LDP peer認(rèn)證。? 標(biāo)簽彈出:為提高處理效率,配置倒數(shù)第二跳彈出標(biāo)簽(即PHP)。?標(biāo)簽分發(fā)策略:LDP只針對(duì)業(yè)務(wù)路由器PE的Loopback地址分發(fā)標(biāo)簽,對(duì) 其它路由進(jìn)行過(guò)濾。? GE接口 MTI大于1544(7750),其它設(shè)備由廠家來(lái)確定請(qǐng)?zhí)砑幽0澹ㄐ枰粋€(gè)POS和GE 口啟用MPLS的例子)/7750 不區(qū)分pos接口或GE接口config routerldpinterface-parametersinterface "To-P1-1"exitinterface "To-P2-1"exitexitex

16、itconfig routermplsinterface "To-P1-1"exitinterface "To-P2-1"exitexitexit安全相關(guān)配置規(guī)范設(shè)備配置基于源地址TELNET限制請(qǐng)?zhí)砑幽0尻P(guān)閉 FTP 、SSH 等不必要的服務(wù) config system security no ftp-server config system security ssh server-shutdown請(qǐng)?zhí)砑幽0?750 采用 cpm-filter 過(guò)濾源地址請(qǐng)?zhí)砑幽0逵脩鬞ELNET數(shù)目限制為10請(qǐng)?zhí)砑幽0錭onfig system login-cont

17、roltelnet inbound-max-sessions 7telnet outbound-max-sessions 7/7750 最大只能為 7 個(gè)AAA 認(rèn)證統(tǒng)一由省中心認(rèn)證,分權(quán)給分公司省中心地址 tacas 地址 請(qǐng)?zhí)砑幽0錭onfig system securitypassword authentication-order tacplus local tacplusaccountingauthorizationsingle-connectionserver 1 address secret "test" exi

18、t務(wù)必配置本地應(yīng)急帳號(hào)TELNET的超時(shí)限制為10分鐘(華為一些版本不支持,新版本應(yīng)該支持)請(qǐng)?zhí)砑幽0錭onfig system login-control idle-timeout 10? 在 Alcatel-lucent 7750 上為控制報(bào)文和管理報(bào)文預(yù)留帶寬請(qǐng)?zhí)砑幽0?具體帶寬由ALCATEL評(píng)估后確定)? Alcatel-lucent 7750 自身的攻擊包括 SYNFlooding 攻擊、 UDPFlooding 攻擊、ICMP Flooding 等請(qǐng)?zhí)砑幽0? 關(guān)閉未使用的小端口服務(wù): echo(TCP 7) 、 chargen(TCP 19 和 UDP 19)、 finger(

19、TCP 79)、 FTP(TCP20 21)等等,增強(qiáng)設(shè)備本身的安全性 ( NE5000E 不支持)config system security cpm-filter ip-filterentry 10 create match protocol tcp dst-port 7 action dropentry 11 create match protocol tcp dst-port 19 action dropentry 12 create match protocol udp dst-port 19 action dropentry 13 create match protocol tcp

20、 dst-port 79 action dropentry 14 create match protocol tcp dst-port 20 action dropentry 15 create match protocol tcp dst-port 21 action drop請(qǐng)?zhí)砑幽0迦A為NE5000E使用CPCA技術(shù)實(shí)現(xiàn)對(duì)控制引擎的保護(hù),CPCA實(shí)現(xiàn)接口 板對(duì)主控板之間的流量限速。請(qǐng)華為給出推薦配置請(qǐng)?zhí)砑幽0鍖?duì)于安全方面的配置,建議 7750采用源地址限制的方式,將可以信任的源地址 (包括互聯(lián)接口地址、設(shè)備 loopback 地址、網(wǎng)管地址、 telnet 主機(jī)地址等)加 入為允許任意服

21、務(wù),將icmp報(bào)文單獨(dú)放開(kāi)一定的帶寬,其它為 deny,配置請(qǐng)參 考:注意,配置CPM-filter請(qǐng)先將該模塊shutdown,以免發(fā)生意外。config system security cpm-queuequeue 50 createcbs 1000 mbs 1000rate 2000 cir 2000exitconfig system security cpm-filterip-filterdefault-action dorpno shutdownentry 10 createaction queue 50match protocol icmpexitexitentry 20 crea

22、teaction acceptmatchsrc-ipx.x.x.x/x / 可信任地址 /exitexit關(guān)于 SNMP 部分?對(duì)于SNMP的地址做限制,?關(guān)閉SNMP TRAP需要再打開(kāi))? SNMP的源地址采集限制?關(guān)閉SNMP寫(xiě) (需要在打開(kāi))? SNMP源地址包含省網(wǎng)中心的地址源地址范圍為: /24SNMP字 符串為:s$qmyy!請(qǐng)?zhí)砑幽0?,以源地址?/24 為例config system snmp no shutdownconfig system security snmp community s$qmyy! r version both

23、config system security cpm-filter ip-filterentry 10 create match protocol udp dst-port 161 src-ip /24 action acceptentry 50 create match protocol udp dst-port 161 action drop策略路由配置規(guī)范請(qǐng)?zhí)砑幽0澹ɑ谠吹刂愤x路的配置模板) 增長(zhǎng)描述,包括 filter 和 entry/ 定義策略路由規(guī)則config filterip-filter 10 createdefault-action forwarden

24、try 1 creatematchsrc-ip /24exitaction forward next-hop exitexit/ 下發(fā)策略路由規(guī)則 config serviceies 1 customer 1 createinterface "Leased-Line-01" create description "Leased-Line-01" address 59.37.x.1/24 sap 1/1/9:2003 create ingress filter ip 10 exitexit限速配置規(guī)范可選配置,如能在下層設(shè)備限速盡可能在下層設(shè)備限速 請(qǐng)?zhí)砑幽0澹ǚ謩e為進(jìn)、出方向) , 100M / 定義 qos 策略 config qossap-ingress 2 create queue 1 create rate 100000 cir 100000 exitexit sap-egress 3 create queue 1 create rate 100000 cir 100000 exitexitexit/ 下發(fā) qos 策略 config serviceies 1 customer 1 create interface "Leased-Line-01" create descri

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論