江苏电信BRAS华为ME60配置规范.docx
- 文档编号:10077950
- 上传时间:2023-02-08
- 格式:DOCX
- 页数:128
- 大小:199.58KB
江苏电信BRAS华为ME60配置规范.docx
《江苏电信BRAS华为ME60配置规范.docx》由会员分享,可在线阅读,更多相关《江苏电信BRAS华为ME60配置规范.docx(128页珍藏版)》请在冰豆网上搜索。
江苏电信BRAS华为ME60配置规范
江苏电信BRAS
(华为ME60/MA5200G)
设备配置规范
中国电信江苏分公司
2010年11月
概述
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网BRAS网络设备的网络配置予以规范化。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。
考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对城域网核心层路由器设备制定相关配置规范。
本文主要内容安排如下:
1.介绍城域网优化目标网络结构以及路由器在城域网中的功能定位;
2.从网络配置方面阐述配置说明以及规范要求,并给出主流路由器型号设备的配置示例。
针对路由器设备,网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。
3.提出文档维护和执行的管理要求。
1.1术语和缩写语表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
AAA
AutenticationAuthorizationandAccounting认证、授权与计费
ACL
AccessControlList访问控制列表
AS
AutonomousSystem自治系统
BGP
BoarderGatewayProtocol边界网关协议
CAR
CommittedAccessRate承诺访问速率
CE
CustomerEdge客户边缘设备
D
CoreRouter核心路由器
DDoS
DistributedDenyofService分布式拒绝服务攻击
DiffServ
DifferentiatedServices差分服务
DSCP
DifferentiatedServiceCodePoint差分服务代码点
FRR
FastRe-route快速重路由
GE
GigabyteEthernet千兆以太网
GR
GracefulRestart平滑重启动
HA
HighAvailability高可用性
HDLC
HighDataLinkControl高级数据链路控制
H-QOS
HierarchicalQualityofServie
IP
InternetProtocol互联网协议
ISIS
InterSystemtoInterSystem中间系统到中间系统
LDP
LabelDistributionProtocol标记分发协议
LSP
LabelSwitchingPath标记转发路径
LSR
LabelSwitchRouter标记交换路由器
MP-BGP
Multi-protocolBoarderGateProtocol多协议边界网关协议
MIB
ManagementInformationBase管理信息库
MPLS
MultipleProtocolLabelSwitching多协议标签交换
NSF
NonstopFowarding不间断转发
NSR
NonstopRouting不间断路由
NTP
NetworkTimeProtocol
OAM
OperationAdministrationandMaintenance操作维护管理
OSPF
OpenShortestPathFirst
PE
ProviderEdge运营商边缘设备
POS
PacketoverSDHSDH封装数据包
PPP
PointtoPointProtocol点到点协议
QoS
QualityofService服务质量
RR
RouteReflector路由反射器
RSVP
ResourceReservationProtocol资源预留协议
SDH
SymMetricDigitalHierarchy同步数字序列
SNMP
SimpleNetworkManagementProtocol简单网络管理协议
SR
ServiceRouter业务路由器
TCP
TransferControlProtocol传输控制协议
TE
TrafficEngineering流量工程
UDP
UserDataProtocol用户数据报协议
uRPF
ReversePathFowarding反向路径转发
VPLS
VirtualPrivateLANService虚拟专用局域网业务
VPN
VirtualPrivateNetwork虚拟专用网
VRF
VirtualRoutingandForwarding虚拟路由转发实例
VRRP
VirtualRoutingRedundancyProtocol虚拟路由冗余协议
上行流量
用户发出的流量
下行流量
用户收到的流量
……
……
1.2网络结构说明
经过城域网改造扩容后,目标网络结构如下图所示。
IP城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。
业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,BRAS和SR作为业务接入控制层组成部分,是IP城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。
IP城域网网络设备命名及链路描述规范
1.3设备命名规范
1.3.1适用范围
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
Ø出口核心路由器
Ø普通核心路由器
ØBRAS
ØSR
Ø汇聚交换机
Ø园区交换机
Ø楼道交换机
ØDSLAM
1.3.2设备命名规范格式
城市缩写
-
节点缩写
-
设备属性
-
设备编号
.
网络(业务)类型
.
自定义字段
符号
字符
字符
字符
字符
字符
字符
数字
字符
字母
字母
字母
字符数
<8
1
<8
1
固定
1
1
1
1
1
≤5
选项
必选
必选
必选
必选
必选
必选
必选
必选
必选
可选
可选
Ø字母大小各市需要采用统一标准,全部大写。
Ø两端、中间不带任何空格。
Ø城市标识,取城市名称拼音的首字母大写,郊市区节点标识前统一增加郊市区名称拼音的首字母:
如
九江:
JJ
南昌:
NC
吉安:
JA
赣州:
GZ
抚州:
FZ
Ø设备属性标识,规定如下
出口路由器:
D
核心路由器:
GSR
BRAS:
BAS
业务路由器:
SR
Ø设备序号,取阿拉伯数字,从1开始。
同节点的相同属性的设备间以设备序号区别。
Ø网络类型:
Mnet(城域网)
I(IDC)
N(NGN)
Ø自定义字段,可以加入网络子类型及设备型号等内容。
例子:
示例1:
城域网出口路由器,南昌孺子路,第一台核心路由器,命名为
r1-c-ncrzl-1.Mnet
注:
设备名称后的字段可以根据实际需要,允许地市增加设备型号,但是要求尽量简洁。
增加设备型号后,完整的设备命名格式为“设备名称”+“.”+“设备类型简写”,如GZ_NM_S6506R_01。
地市设备命名务必在国信朗讯等相关资源系统中一一对应,方便查询和识别。
1.4端口描述规范
1.4.1环回接口描述
To
空格
功能描述
符号
字符
字符
字符串
字符数
3
1
≤30
选项
必选
必选
必选
说明:
To:
固定字符串。
功能描述:
描述该loopback端口特殊功能,为有意义的英文字符串。
如:
Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。
interfaceLoopback0
DesDiptionToLOOPBACK
ipaddress202.97.36.86255.255.255.255
1.4.2网络端口描述规范
1.4.2.1适用范围
本部分适用于城域网设备的互连接口描述
1.4.2.2端口描述包含下面几部分
对端设备名称
设备类型描述
空格
链路带宽
:
:
对端端口名称
符号
字符
字符
字符
字符
字符
字符
字符数
≤20
≤10
1
≤5
2
≤20
选项
必选
可选
必选
必选
必选
必选
上表中“:
:
”后“对端端口名称”要根据对端不同设备类型进行区分规范,具体区别如下表:
Juniper-TX
阿朗
Redback
Juniper-ERX
华为
Cisco
POS(10G/40G)
so-*/*/*
so-*/*/*
so-*/*/*
POS*/*/*
POS*/*/*
POS*/*/*
以太(GE/10GE)
ge-*/*/*
ge-*/*/*
ge-*/*/*
GI*/*/*
GI*/*/*
GI*/*/*
示例:
descriptionToJX-NC-ECL-D-3.16310G(S-64N0001IP)
1.4.3用户端口
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途VPN电路,需要添加本地接入电路号(比如赣州CTVPN52127A)。
另外,建议添加用户名称等如下信息。
格式:
专线号To用户标识
本地专线号或者接入电路号
空格
To
空格
用户标识
空格
分配带宽
符号
字符
字符
字符
字符
字符
字符
字符
字符数
根据实际情况
1
2
1
≤20
1
≤5
选项
必选
必选
必选
必选
必选
必选
必选
1.4.4关于华为BRAS上连端口的描述
Ø将二层接口的描述按照网络端口描述规范执行
Ø将三层接口名称描述,后面添加子接口号
ge2/0/0.300
Ø将三层子接口描述和相应的二层接口描述一致。
例子:
上行GE二层描述:
InterGigebitethernet1/1
desDiptionTO:
GZ-SN-GSR-1.M.GSR128161G:
:
GI1/1/4"
三层子接口描述:
与三层子接口对应的ip地址端口配置:
interfacege-1/1.190
desDiptionTO:
GZ-SN-GSR-1.M.GSR128161G:
:
GI1/1/4
ipaddress202.104.165.30/30
1.4.5空闲端口描述
规范要求设备上的所有端口均需要配置描述,对于设备上空闲未用的端口统一描述内容为no-use,便于网管监控。
示例:
某城域网XX节点SE800空闲GE端口2/8描述:
portethernet2/8
desDiptionno-use
华为ME60配置规范
1.5系统基本配置规范
1.5.1设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配置规范:
SysnameGZ-SN-BRAS-ME60-01
配置验证:
配置后立即生效,设备名称显示在配置命令行的左边。
1.5.2系统高可靠性配置
配置说明:
配置系统引擎冗余模式。
规范要求:
打开自动切换,要求采用最优切换方式
配置规范:
华为ME60两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。
配置验证:
displaydevice#显示2块MPU为1个为Master状态,一个为Slave状态
displayswitchoverstate#显示备份状态,当状态为“Info:
HAFSMState,Realtimeandroutinebackup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题
配置注意细节:
无。
1.5.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
1.5.3.1时区配置
配置说明:
统一设备的时区配置。
规范要求:
配置系统时区为GMT+8,北京时区。
配置规范:
对于Version 5.30 版本配置如下:
clocktimezoneBeijingadd08:
00:
00#在用户模式下配置
对于Version 5.50 版本配置如下:
clocktimezoneBeijingminus08:
00:
00#在用户模式下配置
配置验证:
displayclock
配置注意细节:
无。
1.5.3.2NTP配置
配置说明:
使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。
规范要求:
配置主和备两组NTP服务器。
城域网NTP配置为两级结构,出口路由器配置与省网NTPSERVER202.97.32.156/157同步时钟,出口以下设备则配置向出口路由器进行时钟同步。
配置现网设备NTP协议版本为V3。
指定本地发出NTP消息的接口。
配置规范:
ntp-servicesource-interfaceLoopBack0
ntp-serviceunicast-server202.97.32.156preference#优选其中一台出口为NTPSERVER
ntp-serviceunicast-server202.97.32.157#另一台出口为备用NTPSERVER
配置验证:
displayclock
displayntp-servicestatus
displayntp-servicesession
配置注意细节:
地市出口直接用202.97.32.156/157,出口以下设备以出口为服务器为NTPserver。
ME60默认NTP协议版本号为V3,不需特别配置版本信息。
1.5.3.3NTP协议加密
配置说明:
配置NTP协议加密,防止伪造NTP源引起设备时间错误。
规范要求:
现阶段NTP协议均不使用使用加密。
配置规范(参考):
ntp-serviceauthenticationenable
ntp-serviceauthentication-keyid11authentication-modemd5“xxx”#key
ntp-servicereliableauthentication-keyid11
配置验证:
displayclock
displayntp-servicestatus
displayntp-servicesession
配置注意细节:
无。
1.5.3.4SNTP进程关闭
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。
关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。
已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
ME60不支持SNTP协议,不需要关闭SNTP协议。
1.5.3.5配置范例
clocktimezoneBeijingadd08:
00:
00#时区设置(用户视图)
ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER
ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVERntp-servicesource-interfaceloopback0#NTP消息源地址
1.5.4VTY接口配置
1.5.4.1连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置GSR路由器并发连接数限制为10
配置规范:
user-interfacemaximum-vty10
配置验证:
displayuser-interfacemaximum-vty
配置注意细节:
无
1.5.4.2空闲时间
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY,Console登录超时设置进行配置,设置空闲时间为10分钟。
配置规范:
user-interfaceconsole0
idle-timeout100
user-interfacevty04
idle-timeout100
配置验证:
dispcurr|buser-interface
配置注意细节:
华为设备默认超时时间即为10分钟,配置后也不会显示配置。
1.5.4.3访问控制列表
配置说明:
限制Telnet/SSH登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet/SSH源地址限制,包含省公司3个地址段(202.109.128.0/24,202.97.32.0/19,202.97.30.0/24)和IP综合网管及前置机网段:
117.21.127.0/24。
Telnet/SSH访问控制列表条目从10,条目的间隔步长为10,在访问控制列表的最后显示配置一条denyanyany语句。
配置规范:
aclnumber2001
rule10permitsource202.109.128.00.0.0.255
rule20permitsource202.97.32.00.0.31.255
rule30permitsource202.97.30.00.0.0.255
rule40permitsource117.21.127.00.0.0.255
rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段
rule99denysourceany
#
user-interfacevty09
authentication-modeaaa#设置VTY口登录用户的验证方式为AAA
protocol inbound all#允许SSH协议登陆
acl2001inbound
stelnet server enable#打开SSH功能
ssh authentication-type default password#通过AAA认证
rsa local-key-pair Deate#生成RSA密钥
配置验证:
dispacl2001
dispcurr|beguser-interface
配置注意细节:
华为设备TelnetACL统一使用编号2001。
1.5.4.4Console认证配置
配置说明:
设置console认证密码,从而增强设备的安全性,防止非法登陆,同时关闭AUX端口。
规范要求:
配置console采用本地密码认证方式,密码采用NOC专用密码,关闭AUX端口。
配置规范:
user-interfacecon0
authentication-modepassword#设置Console口登录用户的验证方式为password
setauthenticationpasswordcipher*********
intaux0/0/1#关闭AUX口
shutdown
配置验证:
dispcurr|buser-interface
配置注意细节:
无
1.5.4.5配置范例
aclnumber2001
rule10permitsource202.109.128.00.0.0.255
rule20permitsource202.97.32.00.0.31.255
rule30permitsource202.97.30.00.0.0.255
rule40permitsource117.21.127.00.0.0.255
rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段
rule99denysourceany
#
user-interfacemaximum-vty10#连接数限制
user-interfacecon0
authentication-modepassword#设置Console口登录用户的验证方式为password
setauthenticationpasswordcipher********
user-interfacevty09
authentication-modeaaa#设置VTY口登录用户的验证方式为AAA
acl2001inbound
intaux0/0/1#关闭AUX口
shutdown
1.5.5AAA配置
1.5.5.1概述
BRAS统一验证配置分成管理AAA配置和用户AAA配置,二种配置使用不同的统一验证方法。
管理AAA使用Tacacs+统一验证,
用户AAA使用Radius统一验证,全省统一大后台。
1.5.5.2管理AAA配置
配置说明:
配置管理AAA的认证方式
配置管理AAA的授权方式
配置管理AAA的计费方式
配置管理AAA认证服务器地址及参数
配置管理AAA授权服务器地址及参数
配置管理AAA计费服务器地址及参数
配置Tacacs+协议加密key。
配置Tacacs+update源地址
规范要求:
管理AAA采用tacacs+统一验证方式
设置统一的tacacs+服务器地址为:
主用117.21.127.10,备用(待定)。
设置tacacs+密钥为:
cisco12416
配置认证方式为先本地对用户信息进行认证,后通过Tacacs+服务器。
配置授权方式为先TAC授权,后本地授权,配置后设备本地帐号将不可用。
配置计费方式为不计费。
Tacacs+update源地址设置建议采用路由器的loopback0地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 江苏电信 BRAS 华为 ME60 配置 规范