江苏电信IDC路由设备地市局数据配置规范总则V122.docx
- 文档编号:12972255
- 上传时间:2023-06-09
- 格式:DOCX
- 页数:60
- 大小:327.07KB
江苏电信IDC路由设备地市局数据配置规范总则V122.docx
《江苏电信IDC路由设备地市局数据配置规范总则V122.docx》由会员分享,可在线阅读,更多相关《江苏电信IDC路由设备地市局数据配置规范总则V122.docx(60页珍藏版)》请在冰点文库上搜索。
江苏电信IDC路由设备地市局数据配置规范总则V122
江苏电信IDC网路由设备(地市
局数据配置规范
总则
中国电信江苏公司
2013年3月
目录
第1章概述(5
1.1术语、缩写和命名(5
1.2网络结构说明(7
第2章IDC网络设备命名及链路描述规范(10
2.1设备命名规范(10
2.1.1适用范围(10
2.1.2设备命名规范格式(10
2.2端口描述规范(12
2.2.1环回端口描述(12
2.2.2网络端口描述规范(12
2.2.2.1适用范围(12
2.2.2.2端口描述包含下面几部分(12
2.2.3关于阿朗7750的二/三层端口描述(13
2.2.4空闲端口(13
第3章路由器基本配置规范(14
3.1系统基本配置规范(14
3.1.1设备名称配置(14
3.1.2Banner配置(14
3.1.3设备自身时间及NTP(14
3.1.3.1时区配置(14
3.1.3.2系统本地时间(14
3.1.3.3NTP消息源地址(15
3.1.3.4NTP协议加密(15
3.1.3.5关闭SNTP进程(15
3.1.4Telnet配置(16
3.1.4.1连接数限制(16
3.1.4.2空闲时间(16
3.1.4.3TELNET访问控制列表(16
3.1.5AAA配置(17
3.1.5.1AAA服务器IP地址和端口号(17
3.1.5.2AAA消息数据包源地址(17
3.1.5.3认证模式(18
3.1.5.4授权模式(18
3.1.5.6本地用户帐号(19
3.1.6系统高可靠性配置(19
3.1.7软件启动顺序(19
3.2端口配置规范(19
3.2.1MTU值设计(19
3.2.2Loopback端口配置(20
3.2.3GE端口配置(21
3.2.3.1端口描述(21
3.2.3.2MTU值(21
3.2.3.3关闭GE端口协商(22
3.2.3.4关闭存在风险的安全漏洞(22
3.2.3.5端口开启震荡禁止(23
3.2.4GE子端口端口配置(23
3.2.4.1命名规范(23
3.2.5POS端口配置(24
3.2.5.1端口描述(24
3.2.5.2MTU值(24
3.2.5.3POS封装、帧等(24
3.2.5.4POS链路同步时钟(25
3.2.6端口镜像配置(26
第4章路由协议配置规范(27
4.1.1IDC路由架构概述(27
4.1.2路由优先级/管理距离(27
4.1.3静态路由配置(28
4.1.3.1静态路由优先级(28
4.1.3.2静态路由配置方式(28
4.1.3.3静态黑洞路由配置(29
4.1.3.4浮动静态路由配置(29
4.1.3.5静态路由标记和描述(29
4.1.4OSPF配置(30
4.1.4.1概述(30
4.1.4.2IDC网OSPF部署策略(30
4.1.4.3OSPF进程名(30
4.1.4.4OSPFrouter-id(31
4.1.4.5OSPF时间参数(31
4.1.4.6OSPF接口配置(31
4.1.4.7OSPFreference-bandwidth(32
4.1.4.9OSPF重分布路由(32
4.1.4.10OSPF缺省路由(33
4.1.4.11路由协议优先级(33
4.1.4.12OSPFlog邻居变化信息(34
4.1.4.13OSPF邻居链路加密(34
4.1.4.14OSPF链路cost调整(34
4.1.4.15OSPF快速收敛(34
4.1.5BGP配置(35
4.1.5.1概述(35
4.1.5.2自治系统(35
4.1.5.3IDCBGP部署策略(36
4.1.5.4BGProuter-id配置(36
4.1.5.5BGPlog邻居变化信息(36
4.1.5.6关闭BGP同步和自动汇总(37
4.1.5.7BGP邻居MD5加密(37
4.1.5.8BGP时间参数(37
4.1.5.9BGPCommunity属性规划(38
4.1.5.10ChinaNetBGP路由策略(38
4.1.5.11CN2BGP路由策略(38
4.1.5.12BGPPeergroup命名(38
4.1.6默认路由管理(39
第5章网管配置规范(41
5.1.1各地市网管采集机IP地址表(41
5.1.2SNMP管理代理配置(41
5.1.2.1全局开启SNMP进程(41
5.1.2.2SNMP版本(42
5.1.2.3ROCommunity值(42
5.1.2.4RWCommunity值(42
5.1.2.5SNMP访问控制列表(43
5.1.2.6Ifindex索引一致性(43
5.1.3故障管理配置(44
5.1.3.1SNMPTRAP信息内容(44
5.1.3.2SNMPTRAP服务器地址(44
5.1.3.3SNMPTRAP消息源地址(44
5.1.3.4SYSLOG服务器地址(44
5.1.3.5SYSLOG信息级别(45
5.1.3.6SYSLOG消息源地址(45
第6章QOS配置规范(47
第7章BFD配置规范(48
7.1.1BFD概述(48
7.1.2静态路由配置BFD(48
7.1.3OSPF协议配置BFD(48
7.1.4BGP协议配置BFD(49
第8章网络设备安全策略配置(50
8.1.1源地址合法性检测(50
8.1.2路由器引擎保护(50
8.1.3IDC设备安全加固策略(50
第1章概述
为保证江苏电信IDC网络的运行质量,实现易维护、可管理、集中维护的需要,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
网络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层面的功能和特性,实现网络的互通,保证网络具备预期的业务承载能力。
同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对IDC网络设备的网络配置予以规范。
本篇是针对江苏电信IDC网络路由设备配置规范制定的总体原则,用于总结性描述IDC网络设备配置的相关规范标准,目的是为IDC配置规范各设备分册提供总体技术特性介绍。
本文主要内容安排如下:
1.介绍IDC网络目标网络结构以及路由设备在IDC网中的功能定位;
2.从网络配置方面阐述各技术功能和特性的说明以及规范要求。
3.提出文档维护和执行的管理要求。
1.1术语、缩写和命名
为增强网络设备配置的可读性,借鉴了匈牙利命名法。
采用“类型+描述”的方式命名各类策略,其中“类型”为设备策略关键字的首字母缩写,均为小写英文字母;“描述”主要说明策略的用途,首字母和关键字为大写英文。
以下表为例:
aclPermitSNMP定义access-list设置允许通过SNMP协议访问设备的主机白名单
rpFrom163用于CRS设备的路由策略route-policy,一般定义为接收ChinaNet的BGP路由策略
psTo163用于CRS设备的前缀列表prefix-set,一般定义为向ChinaNet发送的BGP前缀列表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
ACLAccessControlList访问控制列表
ASAutonomousSystem自治系统
BGPBoarderGatewayProtocol边界网关协议
CARCommittedAccessRate承诺访问速率
CRCoreRouter核心路由器
DDoSDistributedDenyofService分布式拒绝服务攻击
DiffServDifferentiatedServices差分服务
DSCPDifferentiatedServiceCodePoint差分服务代码点
FRRFastRe-route快速重路由
GEGigabyteEthernet千兆以太网
GRGracefulRestart平滑重启动
HAHighAvailability高可用性
HDLCHighDataLinkControl高级数据链路控制
IPInternetProtocol互联网协议
ISISInterSystemtoInterSystem中间系统到中间系统
MIBManagementInformationBase管理信息库
NSFNonStopFowarding不间断转发
NSRNonStopRouting不间断路由
NTPNetworkTimeProtocol网络时间协议
OAMOperationAdministrationandMaintenance操作维护管理
OSPFOpenShortestPathFirst
PEProviderEdge运营商边缘设备
POSPacketoverSDHSDH封装数据包
PPPPointtoPointProtocol点到点协议
QoSQualityofService服务质量
RRRouteReflector路由反射器
SNMPSimpleNetworkManagementProtocol简单网络管理协议
TCPTransferControlProtocol传输控制协议
UDPUserDataProtocol用户数据报协议
uRPFReversePathFowarding反向路径转发
VRRPVirtualRoutingRedundancyProtocol虚拟路由冗余协议
上行流量用户发出的流量
下行流量用户收到的流量
1.2网络结构说明
江苏电信IDC网络包括省IDC专网和地市IDC网络,截至2012年底江苏IDC专网负责南京、苏州、无锡、南通、常州、镇江、扬州、徐州共八个地市IDC网络的接入。
地市IDC网络分为IDC核心层(汇聚层和接入层两个层次。
根据五星级IDC与本地IDC是否合设的区别,地市IDC核心层与省IDC专网、ChinaNet、城域网的连接关系可分为两类:
图一:
五星级IDC和本地IDC分离
图二:
五星级IDC和本地IDC合设
地市IDC网络结构原则上设为核心层和接入层两个层次。
考虑到部分地市存在多个IDC机房,核心层可分为出口核心和汇聚两层。
汇聚层可采用高密度、大容量交换机路由器设备。
接入层不建议级联。
核心层(包括汇聚层提供10GE及以上带宽的业务接入颗粒度,接入层提供GE及以下带宽的业务接入颗粒度。
对于GE至10GE之间带宽的业务接入需求,可根据端口数量、设备支持情况,在确保网络架构简洁、结构清晰的基础上,优先接入核心层(包括汇聚层。
第2章IDC网络设备命名及链路描述规范
2.1设备命名规范
2.1.1适用范围
本部分规定的IDC设备命名规范,适用于IDC内以下设备:
出口核心路由器
汇聚路由器
汇聚交换机
接入交换机
安全防护设备
2.1.2设备命名规范格式
城市缩写-
县缩
写
-
节点
缩写
-
设备
属性
-
设备
编号
.
网络(业
务类型
.
设备
型号
符号字符字
符
字符
字
符
字符
字
符
字符
字
符
数字
字
符
字符
字
符
字符
字符
数
<81<81<81固定111≤41≤7
选项必选必
选
可选
可
选
必选
必
选
必选
必
选
必选
必
选
必选
必
选
可选
字母大小各市需要采用统一标准,全部大写。
两端、中间不带任何空格。
城市缩写,取城市名称拼音的首字母大写如:
南京NJ、盐城YC。
节点缩写,取节点名称拼音的首字母大写,如两节点的首字母有重叠则取拼音不相同的字用全拼,分两种情况:
当前一个字不同,则前个字用全拼,如汉中门(HanZM和后宰门(HouZM;当后一个字不同时则后一个用全拼。
各厂家规定的设备名称最多字符数:
1、Cisco:
CRS、GSR最多63个字符;
2、华为:
NE5000E、NE80E最多30个字符;
3、阿尔卡特:
SR7750最多32个字符;
4、Juniper:
MX960系列最多63个字符。
设备属性标识,规定如下
出口/核心路由器:
CR
汇聚路由器:
BR
汇聚交换机:
DSW
接入交换机:
ASW
安全防护设备:
HD/FW
设备编号,取阿拉伯数字,从1开始。
同节点的相同属性的设备间以设备序号区别。
网络类型:
MAN(城域网,M2N(城域网第2平面设备,IDC(IDC,163(ChinaNet,CN2(CN2
设备型号:
设备型号编码。
设备设备型号编码
CISCOCRS-1/MCCRS
CISCO12X16C12X16
CISCO6509C6509
CISCO7609C7609
CISCO3550C3550
ALCATEL7750AC7750
华为NE5000ENE5000E
华为NE80NE80
华为NE40NE40
中兴T64GT64G
中兴T40GT40G
示例:
示例1:
IDC出口路由器,南京,鼓楼,第一台出口路由器,命名为
NJ-GL-CR-1.IDC.CRS
示例2:
IDC汇聚路由器,南京,汉中门,第一台汇聚路由器,命名为
NJ-HanZM-BR-1.IDC.C12816
示例3:
IDC汇聚交换机,南京,新街口,第一台汇聚交换机,命名为
NJ-XJK-DSW-1.IDC.S8505
示例4:
IDC接入交换机,南京,后宰门,第一台接入交换机,命名为
NJ-HouZM-ASW-1.IDC.T64G
2.2端口描述规范
2.2.1环回端口描述
For-功能描述
符号字符字符字符串
字符数31≤30
选项必选必选必选
说明:
For:
固定字符串。
功能描述:
描述该Loopback端口特殊功能,为有意义的英文字符串。
如:
Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。
interfaceLoopback0
descriptionFor-Management
2.2.2网络端口描述规范
2.2.2.1适用范围
本部分适用于IDC设备的互连端口描述。
各厂家设备端口描述最大字符:
Cisco:
CRS、GSR端口描述最多80个字符;
华为:
NE5000E端口描述最多242个字符,NE80最多80个字符;
阿朗:
SR7750端口描述最多160个字符;
Juniper:
MX960端口模式下描述最多256字符,controller和VRF模式描述最多80个字符。
2.2.2.2端口描述包含下面几部分
uT:
(上行pT:
(平行dT:
(下行对端设
备名称
:
(链路传
输编号
对端端
口类型
对端端口
标志
(VR
符号字符字符字符字符字符数字/字符字符字符数3≤501≤15≤10≤8≤10选项必选必选必选必选必选可选可选
“对端端口类型”不区分对端设备类型,根据端口类型进行统一规范;
“对端端口标志”表示链路对端设备对应端口的具体标志规范;
“(链路传输编号”表示链路的传输号,如果同机房内设备互连无传输编号,则为(Local;
调测期间的链路描述最后增加“:
:
PROCESSING”,调测完成加业务后取消“:
:
PROCESSING”。
端口类型如下表:
端口类型端口描述
POS(2.5GOC48POS*/*/*
POS(10G10GPOS*/*/*
POS(40G40GPOS*/*/*
以太(GEGE*/*/*
以太(10GE10GE*/*/*
2.2.3关于阿朗7750的二/三层端口描述
将二层端口(Port的描述按照网络端口描述规范执行;
将三层端口(Interface描述和相应的二层端口描述一致;
filter要加描述。
ENTRY在需要特别注明时可以加描述。
2.2.4空闲端口
规范要求设备上的所有空闲未用的端口删除配置,统一shutdown。
第3章路由器基本配置规范
3.1系统基本配置规范
3.1.1设备名称配置
配置说明:
规范设备命名,唯一性标识IDC中的每台设备,用于对IDC的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IDC网络设备命名及链路描述规范”中规定。
3.1.2Banner配置
配置说明:
在连接到路由器,输入用户名称和口令之前,系统显示的提示信息,统一Bannermotd语言。
规范要求:
所有路由器配置统一的Banner信息,登陆时提示:
WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
disconnectIMMEDIATELYifyouarenotanauthoriseduser!
3.1.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
3.1.3.1时区配置
配置说明:
统一设备的时区配置。
规范要求:
配置系统时区为GMT+8,北京时区。
3.1.3.2系统本地时间
配置说明:
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期同步网络上所有设备的时间,保证网络设备得到正确的时间。
IDC配置主和备两组NTP服务器,并分为两级结构:
IDCCR作为NTPCLIENT,配置与本地城域网CR同步时钟;
IDCCR做为NTPSERVER,配置NTP所在主时钟层数为默认参数,出口核心以下路由设备配置向出口路由器进行时钟同步。
配置现网设备NTP协议版本为V3。
规范要求:
配置NTP服务器更新设备硬件时间,配置主和备两组NTP服务器,版本
V3,指定本地发出NTP消息的端口Loopback0。
3.1.3.3NTP消息源地址
配置说明:
指定设备的端口IP做为NTP消息包的源IP地址,使用该IP与其它NTP设备交换消息包。
规范要求:
IDC核心层、业务控制层设备的使用Loopback0地址作为NTP消息源地址。
3.1.3.4NTP协议加密
配置说明:
配置NTP协议加密,防止伪造NTP源引起设备时间错误。
规范要求:
因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用使用加密。
3.1.3.5关闭SNTP进程
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。
关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求:
路由器配置使用NTP协议同步时间,而不是使用SNTP协议。
已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
3.1.4Telnet配置
3.1.
4.1连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置路由器Telnet最大连接数限制为5个(7750设置为7。
3.1.
4.2空闲时间
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY、Console、AUX登录超时设置进行配置,设置空闲时间为10分钟。
3.1.
4.3TELNET访问控制列表
配置说明:
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
Telnet访问控制分为两类:
1、控制平面下配置允许/限制地址条目;
2、配置number/namedacl并在全局或VTY下应用生效。
规范要求:
配置Telnet源地址限制,需包含最小化的省市NOC维护IP网段。
Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条denyany语句。
1、CiscoCRS设备在控制平面下配置地址条目,不需使用acl。
2、华为设备统一取numberacl,acl列表名为2577,VTY下应用。
3、Cisco其他设备、中兴统一取namedacl。
4、Juniper设备使用namedacl,VTY下应用。
5、阿郎设备的Telnet访问控制列表使用CPM-filter过滤列表实现,不使用Management-filter列表,全局下应用。
详细情况如下表:
设备类型Telnet访问控制numer/namedACL应用范围CiscoCRS-1管理平面下直接增加网段全局Cisco其他设备namedaclaclPermitTelnetVTY
中兴设备namedaclaclPermitTelnetVTY
华为设备numberacl2577VTYJuniper设备namedaclaclPermitTelnetVTY
阿朗设备namedaclCPM-filter全局
注:
【1】阿朗7750针对全局环境下Telnet、SNMP等应用访问控制是通过在防护设备路由引擎的过滤列表中添加相应的策略选项来实现。
3.1.5AAA配置
3.1.5.1AAA服务器IP地址和端口号
配置说明:
配置AAA服务器方便后台统一管理,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。
只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定优先采用Tacacs+认证。
不建议使用Radius协议。
3.1.5.2AAA消息数据包源地址
配置说明:
指定使用Loopback0做为交互AAA消息数据包的源地址。
规范要求:
配置出口路由器AAA消息数据包源地址为Loopback0端口地址。
3.1.5.3认证模式
配置说明:
AAA的认证组件负责提供识别(认证用户的方法。
可能包括登录访问,以及其他类型的访问。
使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。
认证模式一般为本地认证和远程服务器认证。
规范要求:
配置远程登陆帐号认证顺序为首先使用Tacacs+服务器,当Tacacs服务器失效离线时,其次选用本地用户信息进行认证。
通过Cons
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 江苏电信 IDC 路由 设备 市局 数据 配置 规范 总则 V122