联通城域网设备配置规范范本.docx
- 文档编号:9582534
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:57
- 大小:47.16KB
联通城域网设备配置规范范本.docx
《联通城域网设备配置规范范本.docx》由会员分享,可在线阅读,更多相关《联通城域网设备配置规范范本.docx(57页珍藏版)》请在冰豆网上搜索。
联通城域网设备配置规范范本
内部资料注意保密
城域网设备配置规范
—华为ME60
中国联合网络通信有限公司河南省分公司
二零一六年
1.基本配置
1.1设备名称
【配置描述】:
配置设备名称
【规范要求】:
1.1.1格式:
网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号
字段名称
网络层次描述
-
市名缩写
-
所辖区/县名、节点及机房描述
-
设备型号
-
序号
字段类型
英文字符
符号(连接符)
英文字符
符号(连接符)
英文字符
符号(连接符)
字母/数字序列
符号(连接符)
数字
长度
=2
=1
≤3
=1
≤10
=1
≤10
=1
=3
选项
必选
必选
必选
必选
必选
必选
必选
必选
必选
说明:
⏹原则上字母全部大写,两端和中间没有任何空格,采用定长命名。
⏹网络层次描述:
2个字母。
✓省网核心层:
PB
✓省网接入层(地市核心层):
PA
✓城域网业务控制层(BRAS和SR设备):
MS
✓城域网汇聚层:
MC
✓城域网接入层:
MA
⏹市名缩写:
2至3个字母。
原则取用其城市名称前两个汉字拼音首字母,个别城市名长于两个拼音字母的按照实际情况编写,但最长不应超过四个字母。
地市名称缩写为:
郑州(ZZ),洛阳(LY)、南阳(NY)、安阳(AY)、焦作(JZ)、新乡(XX)、三门峡(SMX)、济源(JY)、开封(KF),商丘(SQ)、驻马店(ZMD)、漯和(LH)、鹤璧(HB)、平顶山(PDS)、信阳(XY)、周口(ZK)、濮阳(PY)、许昌(XC)。
⏹所辖区/县名、节点及机房描述:
≤10个字母。
原则取用机房名称汉字拼音首字母,个别机房名长于两个拼音字母的按照实际情况编写,但最长不应超过10个字母或数字。
对于同城n个机房缩写相同,则按谐音或近音改变其中n-1个机房的缩写,以实现同城机房名缩写的唯一性。
✓例一:
中原路机房缩写为:
ZYL
✓例二:
新密县老局机房缩写为:
XMLJ
⏹设备型号:
参照厂商设备命名。
✓CISCO12416
✓HUAWEI8850
✓ZTE10600
✓SE800
⏹序号:
3个数字。
用来标识同一个节点的机同型号设备的序号。
范围从001-999。
【配置示例】:
[ME60]sysnameMS-XX-YMK-ME60-001
1.2系统时间配置
【配置描述】:
配置系统时区及系统时间;
【规范要求】:
1.2.1系统时间要求采用规范北京时间
【配置示例】:
MM:
SSYYYY/MM/DD
配置NTPserver后时钟显示不正确,对于ver5.7的版本需要将时区更改
原配置为:
clocktimezoneGMTminus08:
00:
00
更正为:
clocktimezoneGMTadd08:
00:
00
1.3NTP配置
【配置描述】:
配置NTP服务器;
【规范要求】:
1.3.1为了冗余可靠,可以配置2个ntp服务器,建议配置密码认证,省内城域网BRAS和SR设备配置NTP服务器地址:
61.163.204.29。
1.3.2source-interface使用loopback地址
【配置示例】:
客户端:
ntp-servicesource-interfaceLoopBack0
ntp-serviceunicast-server61.163.204.29
ntp-serviceaccesspeeracl2000
1.4文件经管
【配置描述】:
配置设备的系统文件和配置文件;
【规范要求】:
1.4.1设备的系统文件和配置文件存放路径及格式应符合设备规范要求
1.4.2主备板的系统文件和配置文件保持一致
【配置示例】:
通过命令查看:
Dir
disstartup
通过startupsaved-configuration
Startupsystem-software设置。
1.5Banner配置
【配置描述】:
设备Banner配置
【规范要求】:
1.5.1所有设备配置统一的Banner信息,登陆时提示:
WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
DisconnectIMMEDIATELYifyouarenotanauthoriseduser!
【配置示例】:
headerlogininformation"WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
DisconnectIMMEDIATELYifyouarenotanauthoriseduser!
"
2.网管配置
2.1登陆AAA
【配置描述】:
配置经管用户登录AAA认证
【规范要求】:
2.1.1配置登陆AAA的tacacs+协议
AAAServer采用tacacs协议,用户登录认证采用集中认证方式。
配置认证策略为先本地后Tacacs。
【配置示例】:
hwtacacs-servertemplatehacnc
hwtacacs-serverauthentication61.163.204.11
hwtacacs-serverauthentication61.163.204.12secondary
hwtacacs-serverauthorization61.163.204.11
hwtacacs-serverauthorization61.163.204.12secondary
hwtacacs-serveraccounting61.163.204.11
hwtacacs-serveraccounting61.163.204.12secondary
hwtacacs-serversource-ip61.168.255.222
hwtacacs-servershared-keyEJ*FUhY94hZ*8+!
A
undohwtacacs-serveruser-namedomain-included
[Quidway]aaa
authentication-schemehacnc
authentication-modelocalhwtacacs
authentication-supersuperhwtacacs
#
accounting-schemehacnc
accounting-modehwtacacs
accountingstart-failonline
#
domaindefault_admin
authentication-schemehacnc
accounting-schemehacnc
adminuser-priority3
hwtacacs-serverhacnc
2.1.2Tacacs账号
对不同用户授予不同权限,实现分级分权经管,至少分为二级分权经管(查看、配置)。
配置本地认证一个超级帐号供应急使用。
【配置示例】:
[Quidway]local-aaa-server
user本地账号passwordcipher本地密码authentication-typeTlevel3#T表示telnet
2.2SNMP
【配置描述】:
配置SNMP参数
【规范要求】:
2.2.1snmp读/写共同体
不能采用默认的public和private,并且Snmp字符串除特殊情况不可以设置为写属性。
读、写属性要求采用非缺省团体名字符串并满足一定的强度要求(建议采用字母、数字和特殊字符的组合,长度不少于6位);
2.2.2SNMP访问
采取SNMP访问的限制措施,仅允许授权网段访问路由器的SNMP服务;
2.2.3SNMPTRAP
开启SNMPTRAP,TRAP信息传送网管服务器。
2.2.4Snmp的源地址
Snmp的源地址必须为loopback地址
2.2.5SNMP版本
Snmp版本要求设置为V2/V2c,如有特殊的需要可进行相应修改,尽量避免V1版本的出现。
【配置示例】:
[Quidway]aclnumber2000设定允许访问地址段
rule5permitsource218.29.255.00.0.0.255
rule10permitsource61.163.204.00.0.3.255
rule15permitsource本地允许地址段
[Quidway]snmp-agentacl2000
[Quidway]snmp-agentcommunityread<字符串>
[Quidway]snmp-agentsys-infoversionV2C
[Quidway]ifindexconstant//开启接口索引
2.3用户
【配置描述】:
配置经管用户
【规范要求】:
2.3.1用户授权配置
配置用户授权,对不同用户授予不同权限,实现分级分权经管。
2.3.2用户密码配置
密码采用系统全局配置的USERNAME和PASSWORD,密码字符串要求应由字母、数字和特殊字符等组成,且不能低于6位。
2.3.3空闲时间设置
对VTY、CONSOLE、AUX登陆超时设置进行配置,设置空闲时间为10分钟。
2.3.4账号经管
根据相关规程定期更新用户名、密码,删除无关账号。
【配置示例】:
[Quidway]local-aaa-server
user本地账号passwordcipher本地密码authentication-typeTlevel1
[Quidway]user-interfacevty04
acl
authentication-modeaaa
idle-timeout100
2.4SYSLOG
【配置描述】:
配置SYSLOG日志参数
【规范要求】:
全省BRAS、SR配置syslog地址为:
61.163.204.13。
2.4.1日志功能配置
设备必须配置日志功能,记录所有中高风险(minor、marjor)的事件,其中必须记录用户登录事件,并对高风险的事件产生告警。
2.4.2时间设置
log信息采用北京时间来显示;
2.4.3日志主机设置
log信息需集中保存到logserver上,可以配置多个logserver;
2.4.4Syslog触发级别设置
根据不同设备实际情况调整,需包含如下信息:
(端口UPDOWN、BGP\OSPF\MPLS邻居updown、设备重启、板卡状态改变)
【配置示例】:
开启信息中心。
[Quidway]info-centerenable
配置通道允许输出日志信息的模块和严重级别。
[Quidway]info-centersourcedefaultchannel2loglevelwarning
配置发送日志信息的源接口。
[Quidway]info-centerloghostsourceLoopBack0
配置日志信息输出到指定的日志主机
[Quidway]info-centerloghost61.163.204.13facilitylocal3local-time
2.5TELNET
【配置描述】:
配置TELNET远程登录参数
【规范要求】:
2.5.1TELNET登陆限制
根据实际情况只允许授权网段对设备VTY远程访问。
允许的省公司经管地址如下(以cisco设备配置为例):
access-list7permit218.29.255.00.0.0.255
access-list7permit61.168.254.00.0.1.255
access-list7permit61.163.204.00.0.3.255
允许的市公司经管地址如下:
市公司的网管地址、设备上联中继地址。
登陆限制需要配合ACL使用
【配置示例】:
[Quidway]aclnumber2007
rule0permitsource218.29.255.00.0.0.255
rule1permitsource61.168.254.00.0.1.255
rule3permitsource61.163.204.00.0.3.255
rule4permitsource本地授权地址段
[Quidway]user-interfacevty04
acl2007inbound
authentication-modeaaa
idle-timeout100
3.端口配置规范
3.1端口命名格式描述
【配置描述】:
所有已使用端口根据用途均要正确配置端口描述
【规范要求】:
3.1.1端口命名格式:
To_对端设备名称(端口号):
电路类型:
电路条目:
电路代号
To
_
对端设备名称
()
:
电路类型
:
电路条目
:
电路
代号
符号
字符
字符
字符
字符
字符
字符
字符
字符
字符
字符
长度
=2
=1
≤32
≤10(括号内为端口号)
=1
≤7
=1
≤3
=1
≤15
选项
必选
必选
必选
必选
必选
必选
必选
必选
必选
必选
说明:
1)原则上字母全部大写(除了“To”),标点符号为英文标点
2)To的后面为对端设备名称和互联端口号
3)设备名称按设备名称命名规范命名
4)_:
固定字符串(英文下划线);
5)电路类型:
10M、100M、GE、155M、622M、2.5G、10GPOS、10GE等等,用“10GPOS”和“10GE”来区分POS端口还是以太网端口;
6)电路条目:
用于区分两台设备之间互联的相同带宽的链路数量,如果两台设备之间只采用1条链路,那么该字符为“001”,如果有2条,那么第二个端口为“002”,以此类推;
7)电路代号:
长传或本传电路代号。
【配置示例】:
interfaceGigabitEthernet7/0/0
descriptionTo_PA-XX-TX-NE5000E-001(G4/0/2):
GE:
001:
电路代号
表示该端口联接到新乡铁西NE5000E的G4/0/2端口,链路带宽为GE的第1条链路。
3.2loopback
【配置描述】:
配置Loopback端口IP地址和子网掩码
【规范要求】:
3.2.1端口配置地址要求为32位掩码
3.2.2采用统一规划的Loopback地址作为RADIUS,snmp,MP-BGP等协议的UpdateSource
【配置示例】:
[Quidway]interfaceLoopBack0
ipaddressA.B.C.D255.255.255.255
3.3GE/TG
【配置描述】:
配置端口协商、速率、MTU等
【规范要求】:
3.3.1端口协商强制关闭,配置成全双工,速率1000M,特殊业务需求时可打开协商
3.3.2上联中继端口mtu统一1524
3.3.3下联中继口打开端口波动抑制,UP10sDOWN2.5s
【配置示例】:
[Quidway]interGigabitEthernet1/0/0
undonegotiationauto
mtu1524
carrierup-hold-time10000
carrierdown-hold-time2500
3.4端口捆绑
【配置描述】:
链路捆绑端口的MTU,负载分担方式等
【规范要求】:
3.4.1设置TRK里最小活动链路数,最小值为1(默认为1)
3.4.2TRK中端口的负载分担方式使用逐流负载分担(默认为逐流)
3.5POS
【配置描述】:
POS中继口的CRC校验位,封装格式等
【规范要求】:
3.5.1帧格式和封装格式要求和对端相同,如果有传输要求和传输相同
3.5.2除特殊电路要求,CRC统一32校验位(默认为CRC-32)
3.5.3scramble,要求使能POS接口的载荷加扰功能(默认为scramble)
【配置示例】:
[Quidway]interfacepos1/0/0
[Quidway-Pos1/0/0]ipaddress10.110.1.10255.255.255.0
[Quidway-Pos1/0/0]undoshutdown
4.路由配置
4.1静态路由配置
【配置描述】:
如果配置静态路由,参照以下要求
【规范要求】:
4.1.1必须指定静态路由的下一跳地址(黑洞路由除外),必要时指定具体接口。
4.1.2根据实际情况设置静态路由和黑洞路由的DISTANCE值,建议使用默认值。
4.1.3在设备支持的情况下,建议设置静态路由的描述。
【配置示例】:
[Quidway]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/01.1.4.2descriptionTEXT
4.2OSPF配置
【配置描述】:
OSPF用于在单一自治系统内决策路由,如果网络规划需要配置OSPF,参照以下要求;
【规范要求】:
4.2.1OSPF进程号,取值范围1-65535,建议取值为100。
4.2.2一台路由器IGP路由只配置一个OSPF进程号。
4.2.3当存在多个Area时,必须配置骨干区域(Area0),以保证网络部署的合理性。
因目前各市只有一个Area,只需配置本地Area即可。
4.2.4对于不需要启用OSPF路由的端口,须启用passive-interface。
4.2.5必须采用loopback地址来手工设置router-id。
4.2.6在网络中,设备的RouterID必须是唯一的。
4.2.7建议在设备端口上配置启用MD5认证OSPF邻居。
4.2.8如非必要ospf中不引入直连和静态,若必须引入,则重发布静态和直连路由时,建议发布成TYPE-1。
4.2.9在设备支持的情况下,应该添加AREA的描述语句,解释此区域的作用。
4.2.10建议增加NETWORK宣告相应网段的描述。
4.2.11所有非AREA0的区域,必须与AREA0直连,禁止使用虚链接。
4.2.12建议采用非强制方式下发OSPF缺省路由。
4.2.13在配置OSPF路由聚合时,配置一条与之对应的指向Null0的黑洞路由。
4.2.14将同一条链路上互联的OSPF接口的Cost值配置为相同的值。
4.2.15如非特殊情况,应手工设置SR、BRAS上联中继接口的Cost值为100/95(包括GE和10GE接口,10GEcost95,GEcost100)。
4.2.16OSPF邻居两端接口的网络类型要一致。
4.2.17非ABR和ASBR不应做聚合路由。
【配置示例】:
[Quidway]ospf1router-idloopback0
silent-interfaceLoopBack0
area本地号
network10.255.223.200.0.0.3
[Quidway]interfaceGigabitEthernet1/0/0
ospfcost100
ospfnetwork-typep2p
4.3BGP配置
【配置描述】:
BGP是一种在自治系统之间动态交换路由信息的路由协议,如果网络规划需要,参照以下要求。
【规范要求】:
4.3.1要求关闭同步和自动汇总;
4.3.2在日志中记录BGP的邻居变化。
4.3.3建议对多个IBGP邻居配置采用peer-group;
4.3.4建议对IBGP配置路由反射器,不采用联盟;
4.3.5发布路由时尽量使用配置黑洞路由,然后通过network的方式发布聚合路由;
4.3.6EBGP和IBGP,都使用loopback地址建立邻居
4.3.7建议对BGP邻居进行认证,Bgp的密钥使用md5加密;
4.3.8本地AS号按照全网规范配置。
4.3.9采用loopback手工设置RouterID。
4.3.10禁止配置BGPDAMPING。
4.3.11要求为BGPPeer配置描述信息。
【配置示例】:
bgp65144
groupha-xc-vpninternal#建立与城域网核心路由器MP-iBGP邻居关系对等组
peerha-xc-vpnpassword********
peerha-xc-vpnconnect-interfaceLoopBack10
peer61.168.232.229as-number65144
peer61.168.232.229groupha-xc-vpn
peer61.168.232.229descriptionPA-XC-QYL-CISCO12816-001
peer61.168.232.228as-number65144
peer61.168.232.228groupha-xc-vpn
peer61.168.232.228descriptionPA-XC-XDL-CISCO12816-001
groupha-xcinternal#建立与城域网核心路由器IPv4iBGP邻居关系对等组
peerha-xcpassword******
peerha-xcconnect-interfaceLoopBack0
peer61.168.255.229as-number65144
peer61.168.255.229groupha-xc
peer61.168.255.229descriptionPA-XC-QYL-CISCO12816-001
peer61.168.255.228as-number65144
peer61.168.255.228groupha-xc
peer61.168.255.228descriptionPA-XC-XDL-CISCO1281
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联通 城域网 设备 配置 规范 范本