江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx
《江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx》由会员分享,可在线阅读,更多相关《江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx(96页珍藏版)》请在冰豆网上搜索。
![江苏电信城域网CR路由器华为 NE5000E配置规范V140709.docx](https://file1.bdocx.com/fileroot1/2023-1/31/4c22e235-347d-47e0-a857-cbce2cef8351/4c22e235-347d-47e0-a857-cbce2cef83511.gif)
江苏电信城域网CR路由器华为NE5000E配置规范V140709
江苏电信城域网出口路由器
(华为NE5000E)
设备配置规范
中国电信江苏分公司
2011年7月
Confidential
版本更新说明
V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《江苏电信城域网CR路由器(华为NE5000E)配置规范VX.X-YYYYMMDD》,修订说明填写在“主要更新内容”中。
项目编号
文档编号
Q3-WL-43
版本号
编制人/时间
审核人/时间
主要更新内容
V1.4
李静/20110709
束栋/20110709
按照集团规范,更新部分内容
V1.3
李静/20100801
束栋/20100801
更新MTU部分内容
V1.2
李静/20100525
束栋/20100525
更新ISIS默认路由下发与接收策略
V1.1
李静/20100425
束栋/20100425
更新MTU,ISIS部分内容
V1.02
李静/20100417
束栋/20100417
RR,部分安全加固策略
V1.01
李静/20100322
束栋/20100322
BFD,ISIS协议,BGP属性
V1.0
刘金鹏/20091222
束栋/20091222
定稿
概述
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
网络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。
同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规范。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。
考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对城域网核心层路由器设备制定相关配置规范。
本文主要内容安排如下:
1.介绍城域网优化目标网络结构以及路由器在城域网中的功能定位;
2.从网络配置方面阐述配置说明以及规范要求,并给出主流路由器型号设备的配置示例。
针对路由器设备,网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。
3.提出文档维护和执行的管理要求。
1.1术语和缩写语表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
AAA
AutenticationAuthorizationandAccounting认证、授权与计费
ACL
AccessControlList访问控制列表
AS
AutonomousSystem自治系统
BGP
BoarderGatewayProtocol边界网关协议
CAR
CommittedAccessRate承诺访问速率
CE
CustomerEdge客户边缘设备
CR
CoreRouter核心路由器
DDoS
DistributedDenyofService分布式拒绝服务攻击
DiffServ
DifferentiatedServices差分服务
DSCP
DifferentiatedServiceCodePoint差分服务代码点
FRR
FastRe-route快速重路由
GE
GigabyteEthernet千兆以太网
GR
GracefulRestart平滑重启动
HA
HighAvailability高可用性
HDLC
HighDataLinkControl高级数据链路控制
H-QOS
HierarchicalQualityofServie
IP
InternetProtocol互联网协议
ISIS
InterSystemtoInterSystem中间系统到中间系统
LDP
LabelDistributionProtocol标记分发协议
LSP
LabelSwitchingPath标记转发路径
LSR
LabelSwitchRouter标记交换路由器
MP-BGP
Multi-protocolBoarderGateProtocol多协议边界网关协议
MIB
ManagementInformationBase管理信息库
MPLS
MultipleProtocolLabelSwitching多协议标签交换
NSF
NonstopFowarding不间断转发
NSR
NonstopRouting不间断路由
NTP
NetworkTimeProtocol
OAM
OperationAdministrationandMaintenance操作维护管理
OSPF
OpenShortestPathFirst
PE
ProviderEdge运营商边缘设备
POS
PacketoverSDHSDH封装数据包
PPP
PointtoPointProtocol点到点协议
QoS
QualityofService服务质量
RR
RouteReflector路由反射器
RSVP
ResourceReservationProtocol资源预留协议
SDH
SymMetricDigitalHierarchy同步数字序列
SNMP
SimpleNetworkManagementProtocol简单网络管理协议
SR
ServiceRouter业务路由器
TCP
TransferControlProtocol传输控制协议
TE
TrafficEngineering流量工程
UDP
UserDataProtocol用户数据报协议
uRPF
ReversePathFowarding反向路径转发
VPLS
VirtualPrivateLANService虚拟专用局域网业务
VPN
VirtualPrivateNetwork虚拟专用网
VRF
VirtualRoutingandForwarding虚拟路由转发实例
VRRP
VirtualRoutingRedundancyProtocol虚拟路由冗余协议
上行流量
用户发出的流量
下行流量
用户收到的流量
……
……
1.2网络结构说明
经过城域网改造扩容后,目标网络结构如下图所示。
IP城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。
业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,BRAS和SR作为业务接入控制层组成部分,是IP城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。
IP城域网网络设备命名及链路描述规范
1.3设备命名规范
1.3.1适用范围
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
Ø出口核心路由器
Ø汇聚路由器
Ø路由反射器
ØBRAS
ØSR
Ø汇聚交换机
Ø园区交换机
Ø楼道交换机
ØDSLAM
1.3.2设备命名规范格式
|
城市缩写
-
节点缩写
-
设备属性
.
网络(业务)类型
.
设备型号
-
设备序号
符号
字符
字符
字符
字符
字符
字符
字符
字符
字符
字符
数字
字符数
<6
1
<8
1
≤3
1
≤4
1
≤7
1
3
选项
必选
必选
必选
必选
必选
必选
必选
必选
可选
可选
可选
Ø字母大小各市需要采用统一标准,全部大写。
Ø两端、中间不带任何空格。
Ø城市标识,取城市名称拼音的首字母大写如:
南京NJ、盐城YC。
Ø节点标识,取节点名称拼音的首字母大写,如两节点的首字母有重叠,则取拼音不相同的用全拼:
去分两种情况,当后一个字不同时则后一个取全拼,当前一个字不同时则前一个取全拼,如汉中门(HanZM)和后宰门(HouZM)。
Ø华为设备名称最多字符数:
NE5000E、ME60、5200G、NE80E最多30个字符;
Ø郊市区节点标识前统一增加郊市区名称拼音的首字母:
江宁:
NJJN
埔口:
NJPK
六合:
NJLH
Ø设备属性标识,规定如下:
出口路由器:
CR,如核心路由器兼做出口路由器则用CR
汇聚路由器:
BR
BRAS设备:
BAS
业务路由器:
SR
路由反射器:
RR
汇聚交换机:
BSW
园区交换机:
ASW
楼道交换机:
LSW
Dslam设备:
DSL
WLANAC设备:
AC
WLANAP设备:
AP
黑洞设备:
HD
DNS设备:
DNS
Ø设备序号,取阿拉伯数字,从1开始。
同节点的相同属性的设备间以设备序号区别。
Ø网络类型:
MAN(城域网),M2N(第2平面设备)
IDC(IDC)
NGN(NGN)
ITV(IPTV)
DCN
Ø设备型号:
设备型号编码。
设备
设备型号编码
CISCOCRS-1/MC
CRS
CISCO12X16
C12X16
CISCO12816
C12816
CISCO6509
C6509
CISCO7609
C7609
CISCO7513
C7513
CISCO2948
C2948
CISCO3550
C3550
ALCATEL7750
AC7750
FOUNDRY8000
F8000
FOUNDRY4000
F4000
SE800
SE800
SE1200
SE1200
华为NE5000E
NE5000E
华为NE80
NE80
华为NE40
NE40
中兴T64G
T64G
中兴T40G
T40G
中兴980X
ZTE980X
中兴9210
ZTE9210
JuniperE320
E320
JuniperERX1440
ERX1440
JuniperT1600
T1600
华为MA5200G
MA5200G
华为5200F
MA5200F
华为5200
MA5200
华为5100
MA5100
华为530X
MA530X
华为560X
MA560X
华为8505
S8505
华为8508
S8508
华为3026
S3026
华为2403X
S2403X
华为6506R
S6506R
华为6503
S6503
贝尔730X
BL730X
中兴8220
ZTE8220
Ø自定义字段,可以加入网络子类型及设备型号等内容。
例子:
示例1:
城域网出口路由器,南京,游俯西街,第一台出口路由器,命名为
NJ-YFXJ-CR.MAN.CRS-1
示例2:
城域网汇聚路由器,南京,汉中门,第一台汇聚路由器,命名为
NJ-HanZM-BR.MAN.C12816-1
示例3:
城域网业务路由器,南京江宁,汤山,第一台业务路由器,命名为
NJJN-TS-SR.MAN.C12816-1
示例4:
城域网汇聚交换机,南京,新街口,第一台汇聚交换机,命名为
NJ-XJK-BS.MAN.S8505-1
示例5:
城域网接入交换机,南京,后宰门,第一台接入交换机,命名为NJ-HouZM-AS.MAN.T64G-1
示例6:
IPTV路由器,南京,汉中门,第一台汇聚路由器,命名为
NJ-HanZM-BR.ITV.C7609-1
1.4端口描述规范
1.4.1环回接口描述
|
For
-
功能描述
符号
字符
字符
字符串
字符数
3
1
≤30
选项
必选
必选
必选
说明:
For:
固定字符串。
功能描述:
描述该loopback端口特殊功能,为有意义的英文字符串。
如:
Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。
interfaceLoopback0
descriptionFor-Management
ipaddress202.97.36.86255.255.255.255
1.4.2网络端口描述规范
1.4.2.1适用范围
本部分适用于城域网设备的互连接口描述。
华为:
NE5000E接口描述最多242个字符,NE80最多80个字符,ME60最多64个字符,5200G最多80个字符;
1.4.2.2端口描述包含下面几部分
|
uT:
(上行)pT:
(平行)dT:
(下行)
对端设备名称
:
(链路传输编号)
对端端口类型
对端端口标志
(VR)
符号
字符
字符
字符
字符
字符
数字/字符
字符
字符数
3
≤20
1
≤15
≤10
≤8
≤10
选项
必选
必选
必选
必选
必选
可选
可选
“对端端口类型”要根据对端不同设备类型进行区分规范,
“对端端口标志”表示链路对端设备对应端口的具体标志规范,
“(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,则为(Local)。
调测期间的链路描述最后增加“:
:
PROCESSING”,调测完成加业务后取消“:
:
PROCESSING”。
端口类型如下表:
端口类型
端口描述
POS(2.5G)
OC48POS*/*/*
POS(10G)
10GPOS*/*/*
POS(40G)
40GPOS*/*/*
以太(GE)
GE*/*/*
以太(10GE)
10GE*/*/*
例子:
uT:
NJ-YFXJ-CR.MAN.CRS-1:
(Local)10GE0/0/1/0(VOD):
:
PROCESSING
1.4.3用户端口
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途VPN电路,需要添加本地接入电路号(比如南京CTVPN52127A)。
另外,建议添加用户名称等如下信息。
格式:
专线号To用户标识
|
本地专线号或者接入电路号
空格
To
空格
用户标识
空格
分配带宽
符号
字符
字符
字符
字符
字符
字符
字符
字符数
根据实际情况
1
2
1
≤20
1
≤5
选项
必选
必选
必选
必选
必选
必选
必选
说明:
Ø本地专线号或者接入电路号,比如:
IPCYW1248693
ØTo:
固定字符串;
Ø用户标识:
有意义的汉语拼音和语音组成的字符串,用户名.用户性质,其中用户名为小写,用户性质见下表规参照下表进行规定。
公司
CORP
证券
SECU
银行
BANK
团体
COMM
政府
GOVE
网吧
NETB
中小学
SCHO
大学
UNIV
示例1:
IPCYW2517649ToDaJinTouZi.CORP3M表示用户为大金投资公司,使用3M带宽。
1.4.4空闲端口描述
规范要求设备上的所有空闲未用的端口统一shutdown,便于网管监控。
出口路由器NE5000E配置规范
1.5系统基本配置规范
1.5.1设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配置规范:
#sysnameYC-836-CR.MAN.NE5000E-1
配置注意细节:
可以根据需要添加设备型号在.MAN后。
割接过渡期间新设备加N,如YC-836-CR.MAN.NE5000E-N1,割接后应及时将N删除。
1.5.2Banner配置
配置说明:
统一Banner语言,以省网标准为主。
规范要求:
所有出口路由器配置统一的Banner信息,登陆时提示:
WARNINGAuthorisedaccessonly,allofyourdonewillberecorded!
disconnectIMMEDIATELYifyouarenotanauthoriseduser!
配置规范:
[Quidway]headerlogininformation%
WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
disconnectIMMEDIATELYifyouarenotanauthoriseduser!
%
配置验证:
登陆路由器时应看到banner提示。
配置注意细节:
Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。
1.5.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
1.5.3.1时区配置
配置说明:
统一设备的时区配置。
规范要求:
配置系统时区为GMT+8,北京时区。
配置规范:
clocktimezoneBeiJingminus08:
00:
00#在用户模式下配置
配置验证:
displayclock
配置注意细节:
因北京处于+8时区,时间偏移量增加了8;那么在配置时,就是在系统默认的UTC时区的基础上,减去偏移量8,才能得到预期的BeiJing时区。
1.5.3.2系统本地时间
配置说明:
使用NTP协议同步网络上所有设备的时间,保证网络设备得到正确的时间。
规范要求:
骨干设备南京C1,南京C4作为江苏省内城域网出口路由器的NTPSERVER;
城域网配置主和备两组NTP服务器,并分为两级结构:
城域网出口作为NTPCLIENT,配置与202.97.32.192,202.97.32.187同步时钟;城域网出口做为NTPSERVER,配置NTP所在主时钟层数为默认,出口以下设备则配置向出口路由器进行时钟同步。
配置现网设备NTP协议版本为V3。
指定本地发出NTP消息的接口。
配置规范:
ntp-servicesource-interfaceLoopBack0
ntp-serviceunicast-server202.97.32.192preference#主用服务器,南京C1
ntp-serviceunicast-server202.97.32.187#备用服务器,南京C4
ntp-servicerefclock-master8#作为城域网内BRAS/SR的ntpserver,取默认层数为8
配置验证:
displayntp-servicestatus
displayntp-servicesession
配置注意细节:
华为NE路由器默认NTP协议版本号为V3,不需特别配置版本信息。
配置限制NTPPEER的控制列表统一取值为2579。
1.5.3.3NTP消息源地址
配置说明:
指定本地发出NTP消息的接口。
规范要求:
城域网核心层、业务控制层设备的使用Loopback0地址作为NTP消息源地址。
配置规范:
ntp-servicesource-interfaceloopback0
配置验证:
displaycurrent|intp-service
配置注意细节:
无。
1.5.3.4NTP协议加密
配置说明:
配置NTP协议加密,防止伪造NTP源引起设备时间错误。
规范要求:
因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用使用加密。
配置规范(参考):
ntp-serviceauthenticationenable
ntp-serviceauthentication-keyid11authentication-modemd5“xxx”#key
ntp-servicereliableauthentication-keyid11
配置验证:
displayclock
displayntp-servicestatus
displayntp-servicesession
配置注意细节:
无。
1.5.3.5SNTP进程关闭
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。
关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。
已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
NE5000E默认关闭SNTP进程,不需要特别配置。
配置验证:
无。
配置注意细节:
无。
1.5.3.6配置范例
clocktimezoneBeiJingminus08:
00:
00#时区设置(用户视图)
ntp-servicesource-interfaceLoopBack0
ntp-serviceunicast-server202.97.32.192preference#主用服务器,南京C1
ntp-serviceunicast-server202.97.32.187#备用服务器,南京C4
ntp-servicerefclock-master8#城域网出口路由器,作为城域网内BRAS/SR的ntpserver,提供时钟服务
配置acl,限制peer的访问acl2579
aclnumber2579
descriptionthisaclisusedntppeer
rule10permitsource202.97.32.1920
rule15permitsource202.97.32.1870
rule20permitsource61.177.248.0255.255.255.0
rule100deny
ntp-serviceaccesspeer2579
1.5.4Telnet配置
1.5.4.1连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置出口路由器Telnet最大连接数限制为5个(7750设置为7)。
配置规范:
user-interfacemaximum-vty5
配置验证:
di