电信城域网出口路由器配置规范.docx
《电信城域网出口路由器配置规范.docx》由会员分享,可在线阅读,更多相关《电信城域网出口路由器配置规范.docx(14页珍藏版)》请在冰豆网上搜索。
电信城域网出口路由器配置规范
城域网出口路由器配置规范脚本
POS配置规范
–POSframing建议为SDH
–CRC设置为32位
–开启POSPayload扰码
–POSflag统一为s1s02/?
/
–关闭direct-broadcast特性
–关闭proxy-arp特性
–建议打开所有pos故障报告,视厂家来定
–打开端口ais-shut告警。
视厂家来定/7750缺省打开/
–NETFLOW和采样比的设定定2000:
1/7750最大只支持1000:
1/
–电路时钟选择遵循以下要求:
–
请添加模板
configureport1/1/1sonet-sdhframingsdh
configureport1/1/1sonet-sdhpathcrc32
configureport1/1/1sonet-sdhpathscramble
configureport1/1/1sonet-sdhclock-sourceloop-timed//line时钟
configureport1/1/1sonet-sdhclock-sourcenode-timed//internal时钟
configurerouterinterfacetestnolocal-proxy-arp
configurerouterinterfacetestnoallow-directed-broadcasts
configurerouterinterfacetestcflowdinterface
configurecflowdrate1000//最小1000:
1
GE口配置规范
-关闭GE端口自动协商机制。
–网内互连端口二层MTU统一设置为1500,网络边缘接入端口MTU必须和对端保持一致。
/7750的MTU是包括了数据链路层包头/
–关闭direct-broadcast特性。
–关闭proxy-arp特性
请添加模板
configureport1/1/1ethernetnoautonegotiate
configureport1/1/1ethernetmtu1514
configurerouterinterfacetestnolocal-proxy-arp
configurerouterinterfacetestnoallow-directed-broadcasts
路由规范
总体要求
●城域网出口和省网接口配置EBGP
●城域网出口和SR使用OSPF协议,处于同一AREA0
●城域网出口和BRAS之间
旧BRAS设备采用静态路由
新BRAS设备采用OSPF路由
●播放给省网采用黑洞路由,PREFIX方式播放。
尽量汇聚路由
●接口地址和其它需要地址(采用ROUTEMAP限制)注入到OSPF中
●使用0.0.0.0的浮动缺省静态路由指到省网节点,优先级为210
●路由优先级别的设定
普通静态
1
EBGP
20
OSPF
110
O2
150
IBGP
200
黑洞
210
浮动静态
210
静态路由规范
•静态路由配置需要下一跳和接口同时绑定/7750只能添加地址不能同时添加接口/
请添加模板
configurerouterstatic-route192.168.0.0/24next-hop10.0.0.1
•一般静态路由优先级别设置为1
请添加模板
configurerouterstatic-route192.168.0.0/24next-hop10.0.0.1preference1
OSPF路由规范
•AREA划分:
一个AREA,出口和SR一个AREA.其它在非骨干区域
•PROCESSID:
统一,一个OSPF进程(进程号为163)
•ROUTERID选取:
LOOPBACK0地址
•METRIC选取:
将OSPFcost自动计算参数设置为10,000,000,000
•认证的配置:
建议使用链路MD5
•负载均衡选择8
•接口类型的选取:
尽量使用点对点的类型
•缺省路由的处理
从骨干网学到的BGPdefault路由,生成OSPFdefault路由,发布到整个OSPF域。
当该BGP路由器上的BGPdefault路由消失后,将不再产生OSPFdefault路由
•不能在OSPF里面启用NETWORK0.0.0.0
•邻居的变化:
记录邻居的变化log-adjacency-changes
•静态注入到OSPF路由采用PREFIX限制
•注入外部路由的处理:
采用E1类型,同时COST加1
Import-routestaticcost1type1route-policydeny-null
请添加模板
configrouterrouter-idx.x.x.x
configrouterecmp8
configrouterospf
asbr
internalpreference110
externalpreference150
reference-bandwidth10000000
export"default-router""static-to-ospf"
area0.0.0.0
interfaceTo-SR-1
authentication-typemessage-digest
message-digest-keyxxmd5key
interface-typepoint-to-point
exit
exit
area0.0.0.1
interfaceTo-Bras-1
authentication-typemessage-digest
message-digest-keyxxmd5key
interface-typepoint-to-point
exit
exit
configrouterpolicy-option
begin
prefix-list"defaultroute"
prefix0.0.0.0/0exact
prefix-list"staticroute"
prefix0.0.0.0/0exact
policy-statement"default-router"
entry1
from
prefix-list"defaultroute"
protocolbgp
exit
to
protocolospf
exit
actionaccept
metricset1
type1
exit
exit
policy-statement"static-to-ospf"
entry1
from
prefix-list"staticroute"
protocolstatic
exit
to
protocolospf
exit
actionaccept
metricset1
type1
exit
exit
BGP路由规范
•关闭BGP路由波动抑制,(请各厂家确认是否合适写脚本)关闭BGP自动路由汇总特
•关闭BGP和IGP同步
•关闭bgpalways-compare-med
•明确配置BGProuter-id为Loopback0地址
•明确配置新式的community格式(对应cisco路由器ipbgpcommunitynew-format)。
//7750无所谓的旧格式
•记录邻居变化//缺省记录
•BGP采用密码建立邻居关系
•BGP优先级设置:
20200200
•负载均衡数目:
8//请根据实际需求改,7750支持16条
•配置BGP出方向路由过滤
•播放给省网路由尽量合并,采用PREFIX和NETWORK播发
•使用环回地址建立EBGP关系,不使用接口建立关系
•BGPTIMER统一为cisco默认(60180)
•EBGPHOP为2
请添加模板
configrouterautonomous-system10000
configrouterrouter-idx.x.x.x
configrouterbgp
hold-time180
keepalive60
multipath16
ibgp-multipath
group"IBGP"
familyipv4
preference200
authentication-key"password"
typeinternal
peer-as10000
local-addressx.x.x.x
neighbor221.130.x.x
description"To-RR1"
exit
group"EBGP"
familyipv4
multihop2
preference20
authentication-key"password"
typeexternal
peer-as10002
local-address221.130.x.x
neighbor221.130.x.x
description"To-163Route1"
exit
exit
MPLS配置规范
•功能开启:
城域网出口定位为P,全局开启mpls,并指定ldp的router-id,与P及与PE互连端口上开启ldp。
•标签发布和管理:
所有路由器均使用LDP协议分发标签,统一配置为下游主动标签分发方式(DU)、有序标签控制方式(Ordered)、自由标签保留方式(Liberal)。
•LDP定时器:
对所有类型路由器的LDP定时器进行统一设定
KEEPLIVE10HOLDTIME30
•LDP认证:
为不影响LDP收敛速度,所有路由器不启用LDPpeer认证。
•标签弹出:
为提高处理效率,配置倒数第二跳弹出标签(即PHP)。
•标签分发策略:
LDP只针对业务路由器PE的Loopback地址分发标签,对其它路由进行过滤。
•GE接口MTU大于1544(7750),其它设备由厂家来确定
请添加模板(需要包含一个POS和GE口启用MPLS的例子)
//7750不区分pos接口或GE接口
configrouter
ldp
interface-parameters
interface"To-P1-1"
exit
interface"To-P2-1"
exit
exit
exit
configrouter
mpls
interface"To-P1-1"
exit
interface"To-P2-1"
exit
exit
exit
安全相关配置规范
●设备配置基于源地址TELNET限制
请添加模板
●关闭FTP、SSH等不必要的服务
configsystemsecuritynoftp-server
configsystemsecuritysshserver-shutdown
请添加模板
●7750采用cpm-filter过滤源地址
请添加模板
●用户TELNET数目限制为10
请添加模板
configsystemlogin-control
telnetinbound-max-sessions7
telnetoutbound-max-sessions7
//7750最大只能为7个
●AAA认证统一由省中心认证,分权给分公司
省中心地址tacas地址202.105.82.3
请添加模板
configsystemsecurity
passwordauthentication-ordertacpluslocal
tacplus
accounting
authorization
single-connection
server1address202.105.82.3secret"test"
exit
务必配置本地应急帐号
●TELNET的超时限制为10分钟(华为一些版本不支持,新版本应该支持)
请添加模板
configsystemlogin-controlidle-timeout10
•在Alcatel-lucent7750上为控制报文和管理报文预留带宽
请添加模板(具体带宽由ALCATEL评估后确定)
•Alcatel-lucent7750自身的攻击包括SYNFlooding攻击、UDPFlooding攻击、ICMPFlooding等
请添加模板
•关闭未使用的小端口服务:
echo(TCP7)、chargen(TCP19和UDP19)、finger(TCP79)、FTP(TCP2021)等等,增强设备本身的安全性(NE5000E不支持)
configsystemsecuritycpm-filterip-filter
entry10create
matchprotocoltcp
dst-port7
actiondrop
entry11create
matchprotocoltcp
dst-port19
actiondrop
entry12create
matchprotocoludp
dst-port19
actiondrop
entry13create
matchprotocoltcp
dst-port79
actiondrop
entry14create
matchprotocoltcp
dst-port20
actiondrop
entry15create
matchprotocoltcp
dst-port21
actiondrop
请添加模板
华为NE5000E使用CPCAR技术实现对控制引擎的保护,CPCAR实现接口板对主控板之间的流量限速。
请华为给出推荐配置
请添加模板
对于安全方面的配置,建议7750采用源地址限制的方式,将可以信任的源地址(包括互联接口地址、设备loopback地址、网管地址、telnet主机地址等)加入为允许任意服务,将icmp报文单独放开一定的带宽,其它为deny,配置请参考:
注意,配置CPM-filter请先将该模块shutdown,以免发生意外。
configsystemsecuritycpm-queue
queue50create
cbs1000mbs1000
rate2000cir2000
exit
configsystemsecuritycpm-filter
ip-filter
default-actiondorp
noshutdown
entry10create
actionqueue50
matchprotocolicmp
exit
exit
entry20create
actionaccept
match
src-ipx.x.x.x/x/可信任地址/
exit
exit
关于SNMP部分
•对于SNMP的地址做限制,
•关闭SNMPTRAP(需要再打开)
•SNMP的源地址采集限制
•关闭SNMP写(需要在打开)
•SNMP源地址包含省网中心的地址
源地址范围为:
59.37.66.0/24
•SNMP字符串为:
@s$qmyy!
请添加模板,以源地址在59.37.66.0/24为例
configsystemsnmpnoshutdown
configsystemsecuritysnmpcommunity@s$qmyy!
rversionboth
configsystemsecuritycpm-filterip-filter
entry10create
matchprotocoludp
dst-port161
src-ip59.37.66.0/24
actionaccept
entry50create
matchprotocoludp
dst-port161
actiondrop
策略路由配置规范
请添加模板(基于源地址选路的配置模板)
增长描述,包括filter和entry
//定义策略路由规则
configfilter
ip-filter10create
default-actionforward
entry1create
match
src-ip10.0.0.0/24
exit
actionforwardnext-hop20.1.1.1
exit
exit
//下发策略路由规则
configservice
ies1customer1create
interface"Leased-Line-01"create
description"Leased-Line-01"
address59.37.x.1/24
sap1/1/9:
2003create
ingress
filterip10
exit
exit
限速配置规范
可选配置,如能在下层设备限速尽可能在下层设备限速
请添加模板(分别为进、出方向),100M
//定义qos策略
configqos
sap-ingress2create
queue1create
rate100000cir100000
exit
exit
sap-egress3create
queue1create
rate100000cir100000
exit
exit
exit
//下发qos策略
configservice
ies1customer1create
interface"Leased-Line-01"create
description"Leased-Line-01"
address59.37.x.1/24
sap1/1/9:
2003create
ingress
qos2
eress
qos3
exit
exit
LOG配置
⏹LOG送到省中心地址LOGSERVER地址为:
59.37.66.135
⏹LOG要求记录到用户的操作指令
⏹LOG的时间要求和本地时间一致
请添加模板
configlog
syslog10addressx.x.x.x
log-id20frommain
log-id20tosyslog10
log-id20time-formatlocal
file-id10locationcf3:
log-id30frommain
log-id30tofile10
log-id30time-formatlocal
file-id11locationcf3:
log-id31fromchangesecurity
log-id31tofile10
log-id31time-formatlocal
NTP配置:
NTP的SERVER地址为:
59.37.66.196
59.37.66.197
请添加模板
configsystemtimesntp
server-address59.37.66.196preferred
server-address59.37.66.197
zonebeijin08:
00
欢迎语言的配置
•欢迎语言的统一:
以省网标准为主
R1-A-GDCZ-1WARNING!
!
allofyourdonewillberecorded
configsystemlogin-controlpre-login-message"R1-A-GDCZ-1WARNING!
!
allofyourdonewillberecorded"
升级会员 