江苏电信BRAS华为ME60配置规范.docx

江苏电信BRAS华为ME60配置规范.docx

《江苏电信BRAS华为ME60配置规范.docx》由会员分享，可在线阅读，更多相关《江苏电信BRAS华为ME60配置规范.docx（128页珍藏版）》请在冰豆网上搜索。

江苏电信BRAS华为ME60配置规范

江苏电信BRAS

（华为ME60/MA5200G）

设备配置规范

中国电信江苏分公司

2010年11月

概述

为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。

由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网BRAS网络设备的网络配置予以规范化。

本课题涉及的对象就是城域网网络设备配置的相关规范标准，目的是为城域网维护人员提供实用维护工具。

考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对城域网核心层路由器设备制定相关配置规范。

本文主要内容安排如下：

1.介绍城域网优化目标网络结构以及路由器在城域网中的功能定位；

2.从网络配置方面阐述配置说明以及规范要求，并给出主流路由器型号设备的配置示例。

针对路由器设备，网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。

3.提出文档维护和执行的管理要求。

1.1术语和缩写语表

本文中将使用下列术语和缩写，除非文中特别说明，否则意义如下；对于下表中未说明的术语和缩写，应做业界标准或惯例理解。

AAA

AutenticationAuthorizationandAccounting认证、授权与计费

ACL

AccessControlList访问控制列表

AS

AutonomousSystem自治系统

BGP

BoarderGatewayProtocol边界网关协议

CAR

CommittedAccessRate承诺访问速率

CE

CustomerEdge客户边缘设备

D

CoreRouter核心路由器

DDoS

DistributedDenyofService分布式拒绝服务攻击

DiffServ

DifferentiatedServices差分服务

DSCP

DifferentiatedServiceCodePoint差分服务代码点

FRR

FastRe-route快速重路由

GE

GigabyteEthernet千兆以太网

GR

GracefulRestart平滑重启动

HA

HighAvailability高可用性

HDLC

HighDataLinkControl高级数据链路控制

H-QOS

HierarchicalQualityofServie

IP

InternetProtocol互联网协议

ISIS

InterSystemtoInterSystem中间系统到中间系统

LDP

LabelDistributionProtocol标记分发协议

LSP

LabelSwitchingPath标记转发路径

LSR

LabelSwitchRouter标记交换路由器

MP-BGP

Multi-protocolBoarderGateProtocol多协议边界网关协议

MIB

ManagementInformationBase管理信息库

MPLS

MultipleProtocolLabelSwitching多协议标签交换

NSF

NonstopFowarding不间断转发

NSR

NonstopRouting不间断路由

NTP

NetworkTimeProtocol

OAM

OperationAdministrationandMaintenance操作维护管理

OSPF

OpenShortestPathFirst

PE

ProviderEdge运营商边缘设备

POS

PacketoverSDHSDH封装数据包

PPP

PointtoPointProtocol点到点协议

QoS

QualityofService服务质量

RR

RouteReflector路由反射器

RSVP

ResourceReservationProtocol资源预留协议

SDH

SymMetricDigitalHierarchy同步数字序列

SNMP

SimpleNetworkManagementProtocol简单网络管理协议

SR

ServiceRouter业务路由器

TCP

TransferControlProtocol传输控制协议

TE

TrafficEngineering流量工程

UDP

UserDataProtocol用户数据报协议

uRPF

ReversePathFowarding反向路径转发

VPLS

VirtualPrivateLANService虚拟专用局域网业务

VPN

VirtualPrivateNetwork虚拟专用网

VRF

VirtualRoutingandForwarding虚拟路由转发实例

VRRP

VirtualRoutingRedundancyProtocol虚拟路由冗余协议

上行流量

用户发出的流量

下行流量

用户收到的流量

……

……

1.2网络结构说明

经过城域网改造扩容后，目标网络结构如下图所示。

IP城域网包括城域骨干网和宽带接入网，其中城域骨干网是业务接入控制点（包括BRAS和SR）及控制点以上的城域网核心路由器组成的三层路由网络，划分为核心层和业务接入控制层两层。

业务接入控制层承接宽带接入网和城域骨干网，负责实现集中的业务提供和控制，BRAS和SR作为业务接入控制层组成部分，是IP城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。

IP城域网网络设备命名及链路描述规范

1.3设备命名规范

1.3.1适用范围

本部分规定的IP城域网设备命名规范，适用于IP城域网内以下设备：

Ø出口核心路由器

Ø普通核心路由器

ØBRAS

ØSR

Ø汇聚交换机

Ø园区交换机

Ø楼道交换机

ØDSLAM

1.3.2设备命名规范格式

城市缩写

-

节点缩写

-

设备属性

-

设备编号

.

网络（业务）类型

.

自定义字段

符号

字符

字符

字符

字符

字符

字符

数字

字符

字母

字母

字母

字符数

<8

1

<8

1

固定

1

1

1

1

1

≤5

选项

必选

必选

必选

必选

必选

必选

必选

必选

必选

可选

可选

Ø字母大小各市需要采用统一标准，全部大写。

Ø两端、中间不带任何空格。

Ø城市标识，取城市名称拼音的首字母大写，郊市区节点标识前统一增加郊市区名称拼音的首字母：

如

九江：

JJ

南昌：

NC

吉安：

JA

赣州：

GZ

抚州：

FZ

Ø设备属性标识，规定如下

出口路由器：

D

核心路由器：

GSR

BRAS：

BAS

业务路由器：

SR

Ø设备序号，取阿拉伯数字，从1开始。

同节点的相同属性的设备间以设备序号区别。

Ø网络类型：

Mnet（城域网）

I（IDC）

N（NGN）

Ø自定义字段，可以加入网络子类型及设备型号等内容。

例子：

示例1：

城域网出口路由器，南昌孺子路，第一台核心路由器，命名为

r1-c-ncrzl-1.Mnet

注：

设备名称后的字段可以根据实际需要，允许地市增加设备型号，但是要求尽量简洁。

增加设备型号后，完整的设备命名格式为“设备名称”+“.”+“设备类型简写”，如GZ_NM_S6506R_01。

地市设备命名务必在国信朗讯等相关资源系统中一一对应，方便查询和识别。

1.4端口描述规范

1.4.1环回接口描述

To

空格

功能描述

符号

字符

字符

字符串

字符数

3

1

≤30

选项

必选

必选

必选

说明：

To：

固定字符串。

功能描述：

描述该loopback端口特殊功能，为有意义的英文字符串。

如：

Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。

interfaceLoopback0

DesDiptionToLOOPBACK

ipaddress202.97.36.86255.255.255.255

1.4.2网络端口描述规范

1.4.2.1适用范围

本部分适用于城域网设备的互连接口描述

1.4.2.2端口描述包含下面几部分

对端设备名称

设备类型描述

空格

链路带宽

:

:

对端端口名称

符号

字符

字符

字符

字符

字符

字符

字符数

≤20

≤10

1

≤5

2

≤20

选项

必选

可选

必选

必选

必选

必选

上表中“:

:

”后“对端端口名称”要根据对端不同设备类型进行区分规范，具体区别如下表：

Juniper-TX

阿朗

Redback

Juniper-ERX

华为

Cisco

POS（10G/40G）

so-*/*/*

so-*/*/*

so-*/*/*

POS*/*/*

POS*/*/*

POS*/*/*

以太（GE/10GE）

ge-*/*/*

ge-*/*/*

ge-*/*/*

GI*/*/*

GI*/*/*

GI*/*/*

示例：

descriptionToJX-NC-ECL-D-3.16310G（S-64N0001IP）

1.4.3用户端口

对于连接用户的接口或子接口，最前面为添加本地专线号，如果是长途VPN电路，需要添加本地接入电路号（比如赣州CTVPN52127A）。

另外，建议添加用户名称等如下信息。

格式：

专线号To用户标识

本地专线号或者接入电路号

空格

To

空格

用户标识

空格

分配带宽

符号

　字符

字符

字符

字符

字符

字符

字符

字符数

根据实际情况

1

2

1

≤20

1

≤5

选项

必选

必选

必选

必选

必选

必选

必选

1.4.4关于华为BRAS上连端口的描述

Ø将二层接口的描述按照网络端口描述规范执行

Ø将三层接口名称描述,后面添加子接口号

ge2/0/0.300

Ø将三层子接口描述和相应的二层接口描述一致。

例子：

上行GE二层描述：

InterGigebitethernet1/1

desDiptionTO:

GZ-SN-GSR-1.M.GSR128161G:

:

GI1/1/4"

三层子接口描述：

与三层子接口对应的ip地址端口配置：

interfacege-1/1.190

desDiptionTO:

GZ-SN-GSR-1.M.GSR128161G:

:

GI1/1/4

ipaddress202.104.165.30/30

1.4.5空闲端口描述

规范要求设备上的所有端口均需要配置描述，对于设备上空闲未用的端口统一描述内容为no-use，便于网管监控。

示例：

某城域网XX节点SE800空闲GE端口2/8描述：

portethernet2/8

desDiptionno-use

华为ME60配置规范

1.5系统基本配置规范

1.5.1设备名称配置

配置说明：

规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。

规范要求：

设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范：

SysnameGZ-SN-BRAS-ME60-01

配置验证：

配置后立即生效，设备名称显示在配置命令行的左边。

1.5.2系统高可靠性配置

配置说明：

配置系统引擎冗余模式。

规范要求：

打开自动切换，要求采用最优切换方式

配置规范：

华为ME60两块引擎之间的备份机制是系统自动的，在Master引擎故障的情况下，Slave会立刻自动将自己切换为Master引擎，无需命令配置。

配置验证：

displaydevice#显示2块MPU为1个为Master状态，一个为Slave状态

displayswitchoverstate#显示备份状态，当状态为“Info:

HAFSMState,Realtimeandroutinebackup.”时即表示可以进行主备切换，当状态为主备引擎正在同步时，切换可能会有问题

配置注意细节：

无。

1.5.3设备自身时间及NTP

NTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。

1.5.3.1时区配置

配置说明：

统一设备的时区配置。

规范要求：

配置系统时区为GMT+8，北京时区。

配置规范：

对于Version 5.30 版本配置如下：

clocktimezoneBeijingadd08:

00:

00#在用户模式下配置

对于Version 5.50 版本配置如下：

clocktimezoneBeijingminus08:

00:

00#在用户模式下配置

配置验证：

displayclock

配置注意细节：

无。

1.5.3.2NTP配置

配置说明：

使用NTP同步网络上所有设备的时间，保证网络设备得到正确的时间。

规范要求：

配置主和备两组NTP服务器。

城域网NTP配置为两级结构，出口路由器配置与省网NTPSERVER202.97.32.156/157同步时钟，出口以下设备则配置向出口路由器进行时钟同步。

配置现网设备NTP协议版本为V3。

指定本地发出NTP消息的接口。

配置规范：

ntp-servicesource-interfaceLoopBack0

ntp-serviceunicast-server202.97.32.156preference#优选其中一台出口为NTPSERVER

ntp-serviceunicast-server202.97.32.157#另一台出口为备用NTPSERVER

配置验证：

displayclock

displayntp-servicestatus

displayntp-servicesession

配置注意细节：

地市出口直接用202.97.32.156/157,出口以下设备以出口为服务器为NTPserver。

ME60默认NTP协议版本号为V3，不需特别配置版本信息。

1.5.3.3NTP协议加密

配置说明：

配置NTP协议加密，防止伪造NTP源引起设备时间错误。

规范要求：

现阶段NTP协议均不使用使用加密。

配置规范（参考）：

ntp-serviceauthenticationenable

ntp-serviceauthentication-keyid11authentication-modemd5“xxx”#key

ntp-servicereliableauthentication-keyid11

配置验证：

displayclock

displayntp-servicestatus

displayntp-servicesession

配置注意细节：

无。

1.5.3.4SNTP进程关闭

配置说明：

SNTP是NTP协议的的一个改写本，相比NTP协议实现更简单，但精确度要低，不能同时与多个Server同步时间。

关闭SNTP协议，可防止基于SNTP漏洞的攻击。

规范要求：

出口路由器配置使用NTP协议同步时间，而不是使用SNTP协议。

已配置了使用SNTP协议同步时间的，应更改SNTP协议为NTP协议。

配置规范：

ME60不支持SNTP协议，不需要关闭SNTP协议。

1.5.3.5配置范例

clocktimezoneBeijingadd08:

00:

00#时区设置（用户视图）

ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER

ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVERntp-servicesource-interfaceloopback0#NTP消息源地址

1.5.4VTY接口配置

1.5.4.1连接数限制

配置说明：

对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

规范要求：

配置GSR路由器并发连接数限制为10

配置规范：

user-interfacemaximum-vty10

配置验证：

displayuser-interfacemaximum-vty

配置注意细节：

无

1.5.4.2空闲时间

配置说明：

设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。

规范要求：

对VTY,Console登录超时设置进行配置，设置空闲时间为10分钟。

配置规范：

user-interfaceconsole0

idle-timeout100

user-interfacevty04

idle-timeout100

配置验证：

dispcurr|buser-interface

配置注意细节：

华为设备默认超时时间即为10分钟，配置后也不会显示配置。

1.5.4.3访问控制列表

配置说明：

限制Telnet/SSH登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。

规范要求：

配置Telnet/SSH源地址限制，包含省公司3个地址段（202.109.128.0/24，202.97.32.0/19，202.97.30.0/24）和IP综合网管及前置机网段：

117.21.127.0/24。

Telnet/SSH访问控制列表条目从10，条目的间隔步长为10，在访问控制列表的最后显示配置一条denyanyany语句。

配置规范：

aclnumber2001

rule10permitsource202.109.128.00.0.0.255

rule20permitsource202.97.32.00.0.31.255

rule30permitsource202.97.30.00.0.0.255

rule40permitsource117.21.127.00.0.0.255

rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段

rule99denysourceany

#

user-interfacevty09

authentication-modeaaa#设置VTY口登录用户的验证方式为AAA

protocol inbound all#允许SSH协议登陆

acl2001inbound

stelnet server  enable#打开SSH功能

ssh authentication-type default password#通过AAA认证

rsa local-key-pair Deate#生成RSA密钥

配置验证：

dispacl2001

dispcurr|beguser-interface

配置注意细节：

华为设备TelnetACL统一使用编号2001。

1.5.4.4Console认证配置

配置说明：

设置console认证密码，从而增强设备的安全性，防止非法登陆，同时关闭AUX端口。

规范要求：

配置console采用本地密码认证方式，密码采用NOC专用密码，关闭AUX端口。

配置规范：

user-interfacecon0

authentication-modepassword#设置Console口登录用户的验证方式为password

setauthenticationpasswordcipher*********

intaux0/0/1#关闭AUX口

shutdown

配置验证：

dispcurr|buser-interface

配置注意细节：

无

1.5.4.5配置范例

aclnumber2001

rule10permitsource202.109.128.00.0.0.255

rule20permitsource202.97.32.00.0.31.255

rule30permitsource202.97.30.00.0.0.255

rule40permitsource117.21.127.00.0.0.255

rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段

rule99denysourceany

#

user-interfacemaximum-vty10#连接数限制

user-interfacecon0

authentication-modepassword#设置Console口登录用户的验证方式为password

setauthenticationpasswordcipher********

user-interfacevty09

authentication-modeaaa#设置VTY口登录用户的验证方式为AAA

acl2001inbound

intaux0/0/1#关闭AUX口

shutdown

1.5.5AAA配置

1.5.5.1概述

BRAS统一验证配置分成管理AAA配置和用户AAA配置，二种配置使用不同的统一验证方法。

管理AAA使用Tacacs+统一验证，

用户AAA使用Radius统一验证，全省统一大后台。

1.5.5.2管理AAA配置

配置说明：

配置管理AAA的认证方式

配置管理AAA的授权方式

配置管理AAA的计费方式

配置管理AAA认证服务器地址及参数

配置管理AAA授权服务器地址及参数

配置管理AAA计费服务器地址及参数

配置Tacacs+协议加密key。

配置Tacacs+update源地址

规范要求：

管理AAA采用tacacs+统一验证方式

设置统一的tacacs+服务器地址为：

主用117.21.127.10，备用（待定）。

设置tacacs+密钥为：

cisco12416

配置认证方式为先本地对用户信息进行认证，后通过Tacacs+服务器。

配置授权方式为先TAC授权，后本地授权，配置后设备本地帐号将不可用。

配置计费方式为不计费。

Tacacs+update源地址设置建议采用路由器的loopback0地址。