江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx

江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx

《江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx》由会员分享，可在线阅读，更多相关《江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx（96页珍藏版）》请在冰豆网上搜索。

江苏电信城域网CR路由器华为NE5000E配置规范V140709

江苏电信城域网出口路由器

（华为NE5000E）

设备配置规范

中国电信江苏分公司

2011年7月

Confidential

版本更新说明

V1.0版本为文档定稿版，后期的版本为修订版，版本的序号为《江苏电信城域网CR路由器（华为NE5000E）配置规范VX.X-YYYYMMDD》，修订说明填写在“主要更新内容”中。

项目编号

文档编号

Q3-WL-43

版本号

编制人/时间

审核人/时间

主要更新内容

V1.4

李静/20110709

束栋/20110709

按照集团规范，更新部分内容

V1.3

李静/20100801

束栋/20100801

更新MTU部分内容

V1.2

李静/20100525

束栋/20100525

更新ISIS默认路由下发与接收策略

V1.1

李静/20100425

束栋/20100425

更新MTU,ISIS部分内容

V1.02

李静/20100417

束栋/20100417

RR，部分安全加固策略

V1.01

李静/20100322

束栋/20100322

BFD,ISIS协议,BGP属性

V1.0

刘金鹏/20091222

束栋/20091222

定稿

概述

为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。

网络配置主要是指通过在设备上实施具体配置规范，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。

同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。

本课题涉及的对象就是城域网网络设备配置的相关规范标准，目的是为城域网维护人员提供实用维护工具。

考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对城域网核心层路由器设备制定相关配置规范。

本文主要内容安排如下：

1.介绍城域网优化目标网络结构以及路由器在城域网中的功能定位；

2.从网络配置方面阐述配置说明以及规范要求，并给出主流路由器型号设备的配置示例。

针对路由器设备，网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。

3.提出文档维护和执行的管理要求。

1.1术语和缩写语表

本文中将使用下列术语和缩写，除非文中特别说明，否则意义如下；对于下表中未说明的术语和缩写，应做业界标准或惯例理解。

AAA

AutenticationAuthorizationandAccounting认证、授权与计费

ACL

AccessControlList访问控制列表

AS

AutonomousSystem自治系统

BGP

BoarderGatewayProtocol边界网关协议

CAR

CommittedAccessRate承诺访问速率

CE

CustomerEdge客户边缘设备

CR

CoreRouter核心路由器

DDoS

DistributedDenyofService分布式拒绝服务攻击

DiffServ

DifferentiatedServices差分服务

DSCP

DifferentiatedServiceCodePoint差分服务代码点

FRR

FastRe-route快速重路由

GE

GigabyteEthernet千兆以太网

GR

GracefulRestart平滑重启动

HA

HighAvailability高可用性

HDLC

HighDataLinkControl高级数据链路控制

H-QOS

HierarchicalQualityofServie

IP

InternetProtocol互联网协议

ISIS

InterSystemtoInterSystem中间系统到中间系统

LDP

LabelDistributionProtocol标记分发协议

LSP

LabelSwitchingPath标记转发路径

LSR

LabelSwitchRouter标记交换路由器

MP-BGP

Multi-protocolBoarderGateProtocol多协议边界网关协议

MIB

ManagementInformationBase管理信息库

MPLS

MultipleProtocolLabelSwitching多协议标签交换

NSF

NonstopFowarding不间断转发

NSR

NonstopRouting不间断路由

NTP

NetworkTimeProtocol

OAM

OperationAdministrationandMaintenance操作维护管理

OSPF

OpenShortestPathFirst

PE

ProviderEdge运营商边缘设备

POS

PacketoverSDHSDH封装数据包

PPP

PointtoPointProtocol点到点协议

QoS

QualityofService服务质量

RR

RouteReflector路由反射器

RSVP

ResourceReservationProtocol资源预留协议

SDH

SymMetricDigitalHierarchy同步数字序列

SNMP

SimpleNetworkManagementProtocol简单网络管理协议

SR

ServiceRouter业务路由器

TCP

TransferControlProtocol传输控制协议

TE

TrafficEngineering流量工程

UDP

UserDataProtocol用户数据报协议

uRPF

ReversePathFowarding反向路径转发

VPLS

VirtualPrivateLANService虚拟专用局域网业务

VPN

VirtualPrivateNetwork虚拟专用网

VRF

VirtualRoutingandForwarding虚拟路由转发实例

VRRP

VirtualRoutingRedundancyProtocol虚拟路由冗余协议

上行流量

用户发出的流量

下行流量

用户收到的流量

……

……

1.2网络结构说明

经过城域网改造扩容后，目标网络结构如下图所示。

IP城域网包括城域骨干网和宽带接入网，其中城域骨干网是业务接入控制点（包括BRAS和SR）及控制点以上的城域网核心路由器组成的三层路由网络，划分为核心层和业务接入控制层两层。

业务接入控制层承接宽带接入网和城域骨干网，负责实现集中的业务提供和控制，BRAS和SR作为业务接入控制层组成部分，是IP城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。

IP城域网网络设备命名及链路描述规范

1.3设备命名规范

1.3.1适用范围

本部分规定的IP城域网设备命名规范，适用于IP城域网内以下设备：

Ø出口核心路由器

Ø汇聚路由器

Ø路由反射器

ØBRAS

ØSR

Ø汇聚交换机

Ø园区交换机

Ø楼道交换机

ØDSLAM

1.3.2设备命名规范格式

|

城市缩写

-

节点缩写

-

设备属性

.

网络（业务）类型

.

设备型号

-

设备序号

符号

字符

字符

字符

字符

字符

字符

字符

字符

字符

字符

数字

字符数

<6

1

<8

1

≤3

1

≤4

1

≤7

1

3

选项

必选

必选

必选

必选

必选

必选

必选

必选

可选

可选

可选

Ø字母大小各市需要采用统一标准，全部大写。

Ø两端、中间不带任何空格。

Ø城市标识，取城市名称拼音的首字母大写如：

南京NJ、盐城YC。

Ø节点标识，取节点名称拼音的首字母大写，如两节点的首字母有重叠，则取拼音不相同的用全拼：

去分两种情况，当后一个字不同时则后一个取全拼，当前一个字不同时则前一个取全拼，如汉中门（HanZM）和后宰门（HouZM）。

Ø华为设备名称最多字符数：

NE5000E、ME60、5200G、NE80E最多30个字符；

Ø郊市区节点标识前统一增加郊市区名称拼音的首字母：

江宁：

NJJN

埔口：

NJPK

六合：

NJLH

Ø设备属性标识，规定如下：

出口路由器：

CR，如核心路由器兼做出口路由器则用CR

汇聚路由器：

BR

BRAS设备：

BAS

业务路由器：

SR

路由反射器：

RR

汇聚交换机：

BSW

园区交换机：

ASW

楼道交换机：

LSW

Dslam设备：

DSL

WLANAC设备：

AC

WLANAP设备：

AP

黑洞设备：

HD

DNS设备：

DNS

Ø设备序号，取阿拉伯数字，从1开始。

同节点的相同属性的设备间以设备序号区别。

Ø网络类型：

MAN（城域网），M2N（第2平面设备）

IDC（IDC）

NGN（NGN）

ITV（IPTV）

DCN

Ø设备型号：

设备型号编码。

　设备

设备型号编码

CISCOCRS-1/MC

CRS

CISCO12X16

C12X16

CISCO12816

C12816

CISCO6509

C6509

CISCO7609

C7609

CISCO7513

C7513

CISCO2948

C2948

CISCO3550

C3550

ALCATEL7750

AC7750

FOUNDRY8000

F8000

FOUNDRY4000

F4000

SE800

SE800

SE1200

SE1200

华为NE5000E

NE5000E

华为NE80

NE80

华为NE40

NE40

中兴T64G

T64G

中兴T40G

T40G

中兴980X

ZTE980X

中兴9210

ZTE9210

JuniperE320

E320

JuniperERX1440

ERX1440

JuniperT1600

T1600

华为MA5200G

MA5200G

华为5200F

MA5200F

华为5200

MA5200

华为5100

MA5100

华为530X

MA530X

华为560X

MA560X

华为8505

S8505

华为8508

S8508

华为3026

S3026

华为2403X

S2403X

华为6506R

S6506R

华为6503

S6503

贝尔730X

BL730X

中兴8220

ZTE8220

Ø自定义字段，可以加入网络子类型及设备型号等内容。

例子：

示例1：

城域网出口路由器，南京，游俯西街，第一台出口路由器，命名为

NJ-YFXJ-CR.MAN.CRS-1

示例2：

城域网汇聚路由器，南京，汉中门，第一台汇聚路由器，命名为

NJ-HanZM-BR.MAN.C12816-1

示例3：

城域网业务路由器，南京江宁，汤山，第一台业务路由器，命名为

NJJN-TS-SR.MAN.C12816-1

示例4：

城域网汇聚交换机，南京，新街口，第一台汇聚交换机，命名为

NJ-XJK-BS.MAN.S8505-1

示例5：

城域网接入交换机，南京，后宰门，第一台接入交换机，命名为NJ-HouZM-AS.MAN.T64G-1

示例6：

IPTV路由器，南京，汉中门，第一台汇聚路由器，命名为

NJ-HanZM-BR.ITV.C7609-1

1.4端口描述规范

1.4.1环回接口描述

|

For

-

功能描述

符号

字符

字符

字符串

字符数

3

1

≤30

选项

必选

必选

必选

说明：

For：

固定字符串。

功能描述：

描述该loopback端口特殊功能，为有意义的英文字符串。

如：

Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。

interfaceLoopback0

descriptionFor-Management

ipaddress202.97.36.86255.255.255.255

1.4.2网络端口描述规范

1.4.2.1适用范围

本部分适用于城域网设备的互连接口描述。

华为：

NE5000E接口描述最多242个字符，NE80最多80个字符，ME60最多64个字符，5200G最多80个字符；

1.4.2.2端口描述包含下面几部分

|

uT:

（上行）pT:

（平行）dT:

（下行）

对端设备名称

:

（链路传输编号）

对端端口类型

对端端口标志

（VR）

符号

字符

字符

字符

字符

字符

数字/字符

字符

字符数

3

≤20

1

≤15

≤10

≤8

≤10

选项

必选

必选

必选

必选

必选

可选

可选

“对端端口类型”要根据对端不同设备类型进行区分规范，

“对端端口标志”表示链路对端设备对应端口的具体标志规范，

“（链路传输编号）”表示链路的传输号,如果同机房内设备互连无传输编号,则为（Local）。

调测期间的链路描述最后增加“:

:

PROCESSING”，调测完成加业务后取消“:

:

PROCESSING”。

端口类型如下表：

端口类型

端口描述

POS（2.5G）

OC48POS*/*/*

POS（10G）

10GPOS*/*/*

POS（40G）

40GPOS*/*/*

以太（GE）

GE*/*/*

以太（10GE）

10GE*/*/*

例子：

uT:

NJ-YFXJ-CR.MAN.CRS-1:

（Local）10GE0/0/1/0（VOD）:

:

PROCESSING

1.4.3用户端口

对于连接用户的接口或子接口，最前面为添加本地专线号，如果是长途VPN电路，需要添加本地接入电路号（比如南京CTVPN52127A）。

另外，建议添加用户名称等如下信息。

格式：

专线号To用户标识

|

本地专线号或者接入电路号

空格

To

空格

用户标识

空格

分配带宽

符号

字符

字符

字符

字符

字符

字符

字符

字符数

根据实际情况

1

2

1

≤20

1

≤5

选项

必选

必选

必选

必选

必选

必选

必选

说明：

Ø本地专线号或者接入电路号，比如：

IPCYW1248693

ØTo:

固定字符串；

Ø用户标识：

有意义的汉语拼音和语音组成的字符串，用户名.用户性质，其中用户名为小写，用户性质见下表规参照下表进行规定。

公司

CORP

证券

SECU

银行

BANK

团体

COMM

政府

GOVE

网吧

NETB

中小学

SCHO

大学

UNIV

示例1：

IPCYW2517649ToDaJinTouZi.CORP3M表示用户为大金投资公司，使用3M带宽。

1.4.4空闲端口描述

规范要求设备上的所有空闲未用的端口统一shutdown，便于网管监控。

出口路由器NE5000E配置规范

1.5系统基本配置规范

1.5.1设备名称配置

配置说明：

规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。

规范要求：

设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范：

#sysnameYC-836-CR.MAN.NE5000E-1

配置注意细节：

可以根据需要添加设备型号在.MAN后。

割接过渡期间新设备加N，如YC-836-CR.MAN.NE5000E-N1，割接后应及时将N删除。

1.5.2Banner配置

配置说明：

统一Banner语言，以省网标准为主。

规范要求：

所有出口路由器配置统一的Banner信息，登陆时提示：

WARNINGAuthorisedaccessonly,allofyourdonewillberecorded!

disconnectIMMEDIATELYifyouarenotanauthoriseduser!

配置规范：

[Quidway]headerlogininformation%

WARNING!

!

!

Authorisedaccessonly,allofyourdonewillberecorded!

disconnectIMMEDIATELYifyouarenotanauthoriseduser!

%

配置验证：

登陆路由器时应看到banner提示。

配置注意细节：

Banner语言应起到提示和警告非授权访问者的作用，严禁在Banner中出现任何表示欢迎的字样。

1.5.3设备自身时间及NTP

NTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。

1.5.3.1时区配置

配置说明：

统一设备的时区配置。

规范要求：

配置系统时区为GMT+8，北京时区。

配置规范：

clocktimezoneBeiJingminus08:

00:

00#在用户模式下配置

配置验证：

displayclock

配置注意细节：

因北京处于+8时区，时间偏移量增加了8；那么在配置时，就是在系统默认的UTC时区的基础上，减去偏移量8，才能得到预期的BeiJing时区。

1.5.3.2系统本地时间

配置说明：

使用NTP协议同步网络上所有设备的时间，保证网络设备得到正确的时间。

规范要求：

骨干设备南京C1,南京C4作为江苏省内城域网出口路由器的NTPSERVER；

城域网配置主和备两组NTP服务器，并分为两级结构：

城域网出口作为NTPCLIENT，配置与202.97.32.192,202.97.32.187同步时钟；城域网出口做为NTPSERVER，配置NTP所在主时钟层数为默认，出口以下设备则配置向出口路由器进行时钟同步。

配置现网设备NTP协议版本为V3。

指定本地发出NTP消息的接口。

配置规范：

ntp-servicesource-interfaceLoopBack0

ntp-serviceunicast-server202.97.32.192preference#主用服务器，南京C1

ntp-serviceunicast-server202.97.32.187#备用服务器,南京C4

ntp-servicerefclock-master8#作为城域网内BRAS/SR的ntpserver，取默认层数为8

配置验证：

displayntp-servicestatus

displayntp-servicesession

配置注意细节：

华为NE路由器默认NTP协议版本号为V3，不需特别配置版本信息。

配置限制NTPPEER的控制列表统一取值为2579。

1.5.3.3NTP消息源地址

配置说明：

指定本地发出NTP消息的接口。

规范要求：

城域网核心层、业务控制层设备的使用Loopback0地址作为NTP消息源地址。

配置规范：

ntp-servicesource-interfaceloopback0

配置验证：

displaycurrent|intp-service

配置注意细节：

无。

1.5.3.4NTP协议加密

配置说明：

配置NTP协议加密，防止伪造NTP源引起设备时间错误。

规范要求：

因部分设备不支持NTP协议加密，为了全网统一规范，现阶段NTP协议均不使用使用加密。

配置规范（参考）：

ntp-serviceauthenticationenable

ntp-serviceauthentication-keyid11authentication-modemd5“xxx”#key

ntp-servicereliableauthentication-keyid11

配置验证：

displayclock

displayntp-servicestatus

displayntp-servicesession

配置注意细节：

无。

1.5.3.5SNTP进程关闭

配置说明：

SNTP是NTP协议的的一个改写本，相比NTP协议实现更简单，但精确度要低，不能同时与多个Server同步时间。

关闭SNTP协议，可防止基于SNTP漏洞的攻击。

规范要求：

出口路由器配置使用NTP协议同步时间，而不是使用SNTP协议。

已配置了使用SNTP协议同步时间的，应更改SNTP协议为NTP协议。

配置规范：

NE5000E默认关闭SNTP进程，不需要特别配置。

配置验证：

无。

配置注意细节：

无。

1.5.3.6配置范例

clocktimezoneBeiJingminus08:

00:

00#时区设置（用户视图）

ntp-servicesource-interfaceLoopBack0

ntp-serviceunicast-server202.97.32.192preference#主用服务器,南京C1

ntp-serviceunicast-server202.97.32.187#备用服务器,南京C4

ntp-servicerefclock-master8#城域网出口路由器，作为城域网内BRAS/SR的ntpserver，提供时钟服务

配置acl，限制peer的访问acl2579

aclnumber2579

descriptionthisaclisusedntppeer

rule10permitsource202.97.32.1920

rule15permitsource202.97.32.1870

rule20permitsource61.177.248.0255.255.255.0

rule100deny

ntp-serviceaccesspeer2579

1.5.4Telnet配置

1.5.4.1连接数限制

配置说明：

对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

规范要求：

配置出口路由器Telnet最大连接数限制为5个（7750设置为7）。

配置规范：

user-interfacemaximum-vty5

配置验证：

di