X年MDCN网络扩容项目县级汇聚交换机入网方案.docx
《X年MDCN网络扩容项目县级汇聚交换机入网方案.docx》由会员分享,可在线阅读,更多相关《X年MDCN网络扩容项目县级汇聚交换机入网方案.docx(12页珍藏版)》请在冰豆网上搜索。
X年MDCN网络扩容项目县级汇聚交换机入网方案
云南移动2010年MDCN扩容项目
县级汇聚交换机入网方案
上海华讯网络系统有限公司
2011年3月
1概述4
2设备、板卡及接口配置5
1.1设备命名规范5
1.2端口描述规范5
1.3设备的访问及访问控制5
1.3.1远端登陆管理要求5
1.3.2Console端口配置5
1.3.3访问控制5
1.4设备高可靠性措施6
1.5设备端口配置7
1.5.1MTU值设计7
1.5.2GE端口配置7
1.6配置需求7
1.7配置模板7
未使用端9
2IP地址分配10
3云南MDCN县级网络结构11
4网络路由和转发实现方案及配置13
4.1协议部署13
4.2OSPF规范14
5.4.1Meric/Cost14
5.4.2参数规划14
5县级交换机入网测试15
5.1业务测试15
5.2倒换测试15
1概述
本规范主要针对MDCN省网汇聚路由器和MDCN地州延伸网各级设备,主要包含两个层次的内容:
方案与配置命令,方案主要指出实施需实现的目标、效果和实现的手段;配置命令包括2部分,即配置需求和配置模板,配置需求针对每个功能和特性提出了详细的配置需求,各厂商根据配置需求给出所需的命令语句。
要求:
各厂家根据本规范给定的配置模版,需要通过备注形式对每条命令行进行解释。
2设备、板卡及接口配置
1.1设备命名规范
请参考《交付件2.1云南移动MDCN》
1.2端口描述规范
请参考《交付件2.1云南移动MDCN》
1.3设备的访问及访问控制
1.3.1远端登陆管理要求
对于远程登陆要严格控制,只允许信任主机以特定方式(telnet/ssh)登陆路由器。
远程登录按省公司维护管理,原则上省公司拥有城域网上所有设备的全部权限;地州维护管理,拥有地州核心路由器以下设备(不包含地州核心路由器)的全部权限;监控系统拥有城域网上所有设备的只读权限。
管理员分两级,读写级的必须实名制,值班员公用的职能配发只读级。
路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接,这样可以防止所有远程登录VTY端口占用而无法对设备进行管理,将此超时值设置为5分钟。
针对VTY端口要设置相应的访问控制列表来限制通过VTY端口对路由器的访问。
访问控制列表通过区分不同用户的网段来进行过滤,原则举例如下:
✧县级汇聚交换机维护权由地州和县共同负责,具体登陆限制条件有地州分公司和县公司规定
✧在设备测试阶段针对VTY端口不设置访问控制列表。
1.3.2Console端口配置
路由器console端口要设置口令,尤其必须设置超级口令,以保证设备的安全。
在测试阶段用户名和密码为:
ynmdcn/yndmcn
1.3.3访问控制
●VTY控制
安全目标:
防止非法用户通过Telnet获取云南移动MDCN城域网设备的控制能力。
攻击手段:
✧非法用户获得网管或维护终端的控制能力,通过网管或维护终端登陆到城域网设备进行操作控制。
✧无法获取VTY通道,直接进行DoS攻击,致使正常的VTY连接受到影响。
保护手段:
✧Access端口上通过分组过滤策略过滤非法的Telnet数据包。
✧Access端口上通过严格反向路径查找过滤掉进行DoS攻击的伪造源地址数据包。
✧对Telnet或SSH进行最大连接数限制,idle-timeout设置为5分钟,最多允许同时5个在线防止攻击。
✧加强密码管理,采用集中认证技术,同时进行认证、授权、审计操作。
●SNMP控制
安全目标:
防止非法用户通过SNMP管理接口获取设备信息或对设备进行控制。
攻击手段:
盗取SNMP密码,获得SNMP访问通道,利用SNMP管理接口获取设备信息或对设备进行控制。
保护手段:
✧Access端口上通过分组过滤和严格反向路径查找过滤非法的SNMP数据包;
✧采用SNMPV2/V3安全版本,使用MD5认证算法,利用MIBView关闭大数据量的表类型变量(如路由表和转发表);
✧考虑到目前大部分网管系统需要设备开放SNMP写权限,因此不关闭设备SNMP的写控制;
✧SNMP使用的团体属性密码与现网保持一致。
1.4设备高可靠性措施
网络设备是组成多业务城域网的基本节点,其可靠性是整网可靠性的基础。
主流网络设备的关键部件,包括主控单元、交换单元、电源、制冷系统等,大多采用热备份冗余设计,这是保证电信级城域网可靠性的最基本要求。
主备引擎冗余配置:
配置控制卡之间的配置文件和动态数据同步,配置控制卡在故障情况下的无缝倒换。
设置主备引擎为最优保护方式。
1.5设备端口配置
1.5.1MTU值设计
由于县级交换机和地州营业厅接入交换机4503之间没有特殊的协议部署,4503与县级交换机之间采用默认的MTU值
1.5.2GE端口配置
GE端口的参数配置规范如下:
1.关闭GE端口自动协商,配置为强制千兆全双工模式。
1.6配置需求
1.配置Hostname、时区为东8区;
2.定义OSPF的router-id,为第一上行接口地址;
3.配置2个级别的管理组,分别为全部权限和只读权限;
4.配置console口令,配置console口反向telnet方式;
5.设备配置telnetvty并发连接数为5,空闲时间为5min,加访问控制列表只允许特定网段访问(具体ACL名字见命名规范);
6.配置系统的所有告警日志,保存到本地;系统所有登陆日志,保存到本地;
7.考虑将所有设备的系统日志要求预先设置发送至总部网管中心日志服务器。
1.7配置模板
●设备基本信息配置
#
sysnamehostname1
slaveauto-updateconfig
slaveswitchoverenable
#
#
routerid//第一上行接口IP地址
#
#
user-interfacemaximum-vty5//设置登录用户的最大数目
user-interfacecon0
authentication-modeaaa
user-interfaceaux0
user-interfacevty04//缺省最大同时在线数为5个
acl3000inbound
authentication-modeaaa
idle-timeout50//设置用户界面断连的超时时间5
登陆账户:
配置远程登陆信息。
说明:
请分集成商配置临时账户,并告诉总集成商
配置规范:
usernameKchwg719privilege15password7012A731C1E515825
03335F13575B7615185A
03160E
usernameccynmon08privilege15password7000943080D4F04144E01
0966451A485744
配置远程访问:
interfacevty015//进入VTY模式
loginauthenticationMDCN//配置VTY登陆认证方式为AAA
idle-timeout100//配置VTY空闲时间为10分钟
access-class10in//配置TENET访问限制。
登陆账户:
配置远程登陆信息。
说明:
请分集成商配置临时账户,并告诉总集成商
配置规范:
username[用户名全拼][手机号]privilegeNsecret<认证密码>
//用户名格式:
[用户名全拼][手机号]
usernameKchwg719privilege15password7012A731C1E515825
03335F13575B7615185A
03160E
usernameccynmon08privilege15password7000943080D4F04144E01
0966451A485744
配置远程访问:
interfacevty015//进入VTY模式
loginauthenticationMDCN//配置VTY登陆认证方式为AAA
idle-timeout50//配置VTY空闲时间为10分钟
access-class10in//配置TENET访问限制。
GE端口
interfacegigabitethernetinterface-number
descriptioninterface-description
ipaddressip-addressip-mask
duplexfull//强制全双工
nonegotiation
noshutdown
未使用端
配置内容:
关闭所有未使用端口
2IP地址分配
县级汇聚交换至地市营业厅汇聚交换机4503之间互联地址及其设备名称统一分配
请参考《MDCN县级交换机IP地址分配表》
3云南MDCN县级网络结构
MDCN现网网络架构:
目前MDCNCE接入层均落地地市核心机房,县级延伸部分没有纳入MDCN的统一规划,本次工程将在各县新增1台汇聚交换机,以满足各县分公司办公和营业厅对接入需求。
同时为满足各县分公司访问MDCN相关业务系统的带宽需求,本次新建的县级汇聚交换机采用1GE口上行。
此次工程之后MDCN网络架构如下图所示:
4网络路由和转发实现方案及配置
4.1协议部署
依据MDCN层次化的设计原则,路由协议部署同样采取层次化得部署原则,整体的部署入下图所示:
如上图所示;省干网部分运行BGP及MPLS-VPN承载各业务VPN,地市核心PE与个业务CE间运行OSPF协调。
本次新建的县级汇聚交换机与地市营业厅汇聚交换机之间运行OSFP。
4.2OSPF规范
5.4.1Meric/Cost
同一条链路两端的COST要求一致,各类端口Cost规划如下表,与现网保持一致:
链路
OSPFCost
地市汇聚4503-1→县汇聚交换机第一上行口
10
地市汇聚4503-2→县汇聚交换机第二上行口
20
地市汇聚4503-1→地市汇聚4503-2
10
5.4.2参数规划
以下给出OSPF协议在网络中部署可能用到的参数定义及赋值:
编号
OSPF相关数据
配置
1
ProcessID
1
2
ROUTER-ID
县级汇聚交换机第一上行口地址
3
接口cost值
参考上述原则
4
端口类型
P2P
10
缺省路由类型
Type1
11
Areaid
0
5县级交换机入网测试
5.1业务测试
县级交换机两台上行链路均正常时,完成下表测试并做好相应记录。
IP地址
用途
测试结果是否与割接前相符
备注
BOSS应用服务器
是□否□
BOSS应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
BOSS应用服务器
是□否□
BOSS应用服务器
是□否□
OA应用服务器
是□否□
重点测试
OA邮件服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
重点测试
CRM1服务器
是□否□
重点测试
CRM3服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
BOSS数据库服务器
是□否□
CRM2服务器
是□否□
重点测试
CRM4服务器
是□否□
重点测试
HLR联指服务器
是□否□
重点测试
MSC采集服务器
是□否□
重点测试
网管服务器
是□否□
重点测试
网管服务器
是□否□
重点测试
客服数据库服务器
是□否□
重点测试
客服应用服务器
是□否□
重点测试
企业QQ服务器
是□否□
重点测试
5.2倒换测试
如下图所示断开县级汇聚交换机其中一条链路是完成业务测试。
IP地址
用途
测试结果是否与割接前相符
备注
BOSS应用服务器
是□否□
BOSS应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
经分应用服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
一级BOSS服务器
是□否□
BOSS应用服务器
是□否□
BOSS应用服务器
是□否□
OA应用服务器
是□否□
重点测试
OA邮件服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
重点测试
CRM1服务器
是□否□
重点测试
CRM3服务器
是□否□
重点测试
BOSS数据库服务器
是□否□
BOSS数据库服务器
是□否□
CRM2服务器
是□否□
重点测试
CRM4服务器
是□否□
重点测试
HLR联指服务器
是□否□
重点测试
MSC采集服务器
是□否□
重点测试
网管服务器
是□否□
重点测试
网管服务器
是□否□
重点测试
客服数据库服务器
是□否□
重点测试
客服应用服务器
是□否□
重点测试
企业QQ服务器
是□否□
重点测试
升级会员 