电信城域网出口路由器配置规范文档格式.docx
- 文档编号:19694610
- 上传时间:2023-01-08
- 格式:DOCX
- 页数:14
- 大小:28.57KB
电信城域网出口路由器配置规范文档格式.docx
《电信城域网出口路由器配置规范文档格式.docx》由会员分享,可在线阅读,更多相关《电信城域网出口路由器配置规范文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
configureport1/1/1ethernetnoautonegotiate
configureport1/1/1ethernetmtu1514
路由规范
总体要求
●城域网出口和省网接口配置EBGP
●城域网出口和SR使用OSPF协议,处于同一AREA0
●城域网出口和BRAS之间
旧BRAS设备采用静态路由
新BRAS设备采用OSPF路由
●播放给省网采用黑洞路由,PREFIX方式播放。
尽量汇聚路由
●接口地址和其它需要地址(采用ROUTEMAP限制)注入到OSPF中
●使用0.0.0.0的浮动缺省静态路由指到省网节点,优先级为210
●路由优先级别的设定
普通静态
EBGP
20
OSPF
110
O2
150
IBGP
200
黑洞
210
浮动静态
静态路由规范
•静态路由配置需要下一跳和接口同时绑定/7750只能添加地址不能同时添加接口/
configurerouterstatic-route192.168.0.0/24next-hop10.0.0.1
•一般静态路由优先级别设置为1
configurerouterstatic-route192.168.0.0/24next-hop10.0.0.1preference1
OSPF路由规范
•AREA划分:
一个AREA,出口和SR一个AREA.其它在非骨干区域
•PROCESSID:
统一,一个OSPF进程(进程号为163)
•ROUTERID选取:
LOOPBACK0地址
•METRIC选取:
将OSPFcost自动计算参数设置为10,000,000,000
•认证的配置:
建议使用链路MD5
•负载均衡选择8
•接口类型的选取:
尽量使用点对点的类型
•缺省路由的处理
从骨干网学到的BGPdefault路由,生成OSPFdefault路由,发布到整个OSPF域。
当该BGP路由器上的BGPdefault路由消失后,将不再产生OSPFdefault路由
•不能在OSPF里面启用NETWORK0.0.0.0
•邻居的变化:
记录邻居的变化log-adjacency-changes
•静态注入到OSPF路由采用PREFIX限制
•注入外部路由的处理:
采用E1类型,同时COST加1
Import-routestaticcost1type1route-policydeny-null
configrouterrouter-idx.x.x.x
configrouterecmp8
configrouterospf
asbr
internalpreference110
externalpreference150
reference-bandwidth10000000
export"
default-router"
"
static-to-ospf"
area0.0.0.0
interfaceTo-SR-1
authentication-typemessage-digest
message-digest-keyxxmd5key
interface-typepoint-to-point
exit
area0.0.0.1
interfaceTo-Bras-1
configrouterpolicy-option
begin
prefix-list"
defaultroute"
prefix0.0.0.0/0exact
staticroute"
policy-statement"
entry1
from
protocolbgp
exit
to
protocolospf
actionaccept
metricset1
type1
policy-statement"
protocolstatic
BGP路由规范
•关闭BGP路由波动抑制,(请各厂家确认是否合适写脚本)关闭BGP自动路由汇总特
•关闭BGP和IGP同步
•关闭bgpalways-compare-med
•明确配置BGProuter-id为Loopback0地址
•明确配置新式的community格式(对应cisco路由器ipbgpcommunitynew-format)。
//7750无所谓的旧格式
•记录邻居变化//缺省记录
•BGP采用密码建立邻居关系
•BGP优先级设置:
20200200
•负载均衡数目:
8//请根据实际需求改,7750支持16条
•配置BGP出方向路由过滤
•播放给省网路由尽量合并,采用PREFIX和NETWORK播发
•使用环回地址建立EBGP关系,不使用接口建立关系
•BGPTIMER统一为cisco默认(60180)
•EBGPHOP为2
configrouterautonomous-system10000
configrouterbgp
hold-time180
keepalive60
multipath16
ibgp-multipath
group"
IBGP"
familyipv4
preference200
authentication-key"
password"
typeinternal
peer-as10000
local-addressx.x.x.x
neighbor221.130.x.x
description"
To-RR1"
EBGP"
multihop2
preference20
typeexternal
peer-as10002
local-address221.130.x.x
To-163Route1"
MPLS配置规范
•功能开启:
城域网出口定位为P,全局开启mpls,并指定ldp的router-id,与P及与PE互连端口上开启ldp。
•标签发布和管理:
所有路由器均使用LDP协议分发标签,统一配置为下游主动标签分发方式(DU)、有序标签控制方式(Ordered)、自由标签保留方式(Liberal)。
•LDP定时器:
对所有类型路由器的LDP定时器进行统一设定
KEEPLIVE10HOLDTIME30
•LDP认证:
为不影响LDP收敛速度,所有路由器不启用LDPpeer认证。
•标签弹出:
为提高处理效率,配置倒数第二跳弹出标签(即PHP)。
•标签分发策略:
LDP只针对业务路由器PE的Loopback地址分发标签,对其它路由进行过滤。
•GE接口MTU大于1544(7750),其它设备由厂家来确定
请添加模板(需要包含一个POS和GE口启用MPLS的例子)
//7750不区分pos接口或GE接口
configrouter
ldp
interface-parameters
interface"
To-P1-1"
To-P2-1"
mpls
安全相关配置规范
●设备配置基于源地址TELNET限制
●关闭FTP、SSH等不必要的服务
configsystemsecuritynoftp-server
configsystemsecuritysshserver-shutdown
●7750采用cpm-filter过滤源地址
●用户TELNET数目限制为10
请添加模板
configsystemlogin-control
telnetinbound-max-sessions7
telnetoutbound-max-sessions7
//7750最大只能为7个
●AAA认证统一由省中心认证,分权给分公司
省中心地址tacas地址202.105.82.3
configsystemsecurity
passwordauthentication-ordertacpluslocal
tacplus
accounting
authorization
single-connection
server1address202.105.82.3secret"
test"
务必配置本地应急帐号
●TELNET的超时限制为10分钟(华为一些版本不支持,新版本应该支持)
configsystemlogin-controlidle-timeout10
•在Alcatel-lucent7750上为控制报文和管理报文预留带宽
请添加模板(具体带宽由ALCATEL评估后确定)
•Alcatel-lucent7750自身的攻击包括SYNFlooding攻击、UDPFlooding攻击、ICMPFlooding等
•关闭未使用的小端口服务:
echo(TCP7)、chargen(TCP19和UDP19)、finger(TCP79)、FTP(TCP2021)等等,增强设备本身的安全性(NE5000E不支持)
configsystemsecuritycpm-filterip-filter
entry10create
matchprotocoltcp
dst-port7
actiondrop
entry11create
dst-port19
entry12create
matchprotocoludp
entry13create
dst-port79
entry14create
dst-port20
entry15create
dst-port21
华为NE5000E使用CPCAR技术实现对控制引擎的保护,CPCAR实现接口板对主控板之间的流量限速。
请华为给出推荐配置
对于安全方面的配置,建议7750采用源地址限制的方式,将可以信任的源地址(包括互联接口地址、设备loopback地址、网管地址、telnet主机地址等)加入为允许任意服务,将icmp报文单独放开一定的带宽,其它为deny,配置请参考:
注意,配置CPM-filter请先将该模块shutdown,以免发生意外。
configsystemsecuritycpm-queue
queue50create
cbs1000mbs1000
rate2000cir2000
configsystemsecuritycpm-filter
ip-filter
default-actiondorp
noshutdown
actionqueue50
matchprotocolicmp
entry20create
actionaccept
match
src-ipx.x.x.x/x/可信任地址/
关于SNMP部分
•对于SNMP的地址做限制,
•关闭SNMPTRAP(需要再打开)
•SNMP的源地址采集限制
•关闭SNMP写(需要在打开)
•SNMP源地址包含省网中心的地址
源地址范围为:
59.37.66.0/24
•SNMP字符串为:
@s$qmyy!
请添加模板,以源地址在59.37.66.0/24为例
configsystemsnmpnoshutdown
configsystemsecuritysnmpcommunity@s$qmyy!
rversionboth
dst-port161
src-ip59.37.66.0/24
entry50create
策略路由配置规范
请添加模板(基于源地址选路的配置模板)
增长描述,包括filter和entry
//定义策略路由规则
configfilter
ip-filter10create
default-actionforward
entry1create
src-ip10.0.0.0/24
actionforwardnext-hop20.1.1.1
//下发策略路由规则
configservice
ies1customer1create
Leased-Line-01"
create
address59.37.x.1/24
sap1/1/9:
2003create
ingress
filterip10
限速配置规范
可选配置,如能在下层设备限速尽可能在下层设备限速
请添加模板(分别为进、出方向),100M
//定义qos策略
configqos
sap-ingress2create
queue1create
rate100000cir100000
sap-egress3create
//下发qos策略
qos2
eress
qos3
LOG配置
⏹LOG送到省中心地址LOGSERVER地址为:
59.37.66.135
⏹LOG要求记录到用户的操作指令
⏹LOG的时间要求和本地时间一致
configlog
syslog10addressx.x.x.x
log-id20frommain
log-id20tosyslog10
log-id20time-formatlocal
file-id10locationcf3:
log-id30frommain
log-id30tofile10
log-id30time-formatlocal
file-id11locationcf3:
log-id31fromchangesecurity
log-id31tofile10
log-id31time-formatlocal
NTP配置:
NTP的SERVER地址为:
59.37.66.196
59.37.66.197
configsystemtimesntp
server-address59.37.66.196preferred
server-address59.37.66.197
zonebeijin08:
00
欢迎语言的配置
•欢迎语言的统一:
以省网标准为主
R1-A-GDCZ-1WARNING!
!
allofyourdonewillberecorded
configsystemlogin-controlpre-login-message"
R1-A-GDCZ-1WARNING!
allofyourdonewillberecorded"
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电信 城域网 出口 路由器 配置 规范