广东移动 IP 城域网 CR 局数据规范
上海贝尔 7750 分册(试行稿)
中国移动通信集团广东有限公司
二 Ο 一 Ο 年十月
阅读指南
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系
统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令,开启设备控制层面
和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络
在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备
特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必
要对城域网网络设备的网络配置予以规范。
本期城域网涉及的厂家较多,各种厂家、型号的设备将会出现到网络中,为保证本期城
域网的建设质量,确保工程的顺利实施,同时为了加强城域网局数据配置的规范性和合理性,
特制定本局数据配置规范,用于指导城域网网络管理人员进行配置标准化。本局数据配置规
范将根据各厂家设备型号分别组织编制相应的局数据配置规范分册。该分册为阿尔卡特分册。
本文主要内容安排如下:
1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位;
2. 从网络配置方面阐述配置内容以及规范要求,并给出阿尔卡特的 7750SR 的配置示例。
每种类型的网络设备的网络配置主要包括系统基本配置、端口配置、安全配置、网
管配置等;
版本变更记录
日期 版本 说明 作者
2009. 创建修改文档 中山分公司阮炜
网维中心、中山、广州、深圳等
分公司讨论修订
中山分公司阮炜
规范文档格式,细化内容 中山分公司阮炜
修订增删部分内容,定稿 网维中心何劲
发布文档 网维中心
经一年试行,修订增删部分内容 中山分公司招土林
目 录
1. 概述 .................................................................................................................................................5
目标网络结构 .......................................................................................................................5
配置原则 ...............................................................................................................................6
说明 .......................................................................................................................................7
2. 系统基本配置 .................................................................................................................................7
设备名称配置 .......................................................................................................................7
Banner 配置 ...........................................................................................................................7
Router ID 配置 .......................................................................................................................8
系统时间配置 .......................................................................................................................8
NTP 配置 ...............................................................................................................................8
主备卡切换配置 ...................................................................................................................9
AAA 配置(登录用户) ......................................................................................................9
3. 端口配置 .......................................................................................................................................12
Loopback 端口配置 .............................................................................................................12
GE 端口配置........................................................................................................................12
POS 端口配置......................................................................................................................13
Lag 端口配置.......................................................................................................................14
配置主控板 FE 接口 ..........................................................................................................15
三层端口配置 .....................................................................................................................16
其它未使用端口配置 .........................................................................................................16
4. 安全配置 .......................................................................................................................................17
ALC 配置 .............................................................................................................................17
防病毒配置 .........................................................................................................................19
防攻击配置 .........................................................................................................................22
7750 其他安全配置 .............................................................................................................23
5. 网管配置 .......................................................................................................................................25
SNMP 配置 ..........................................................................................................................25
SYSLOG ..............................................................................................................................26
6. 路由配置 .......................................................................................................................................28
黑洞路由配置 .....................................................................................................................28
静态路由配置 .....................................................................................................................29
LDP 配置 .............................................................................................................................29
ISIS 配置 ..............................................................................................................................30
BGP 配置 .............................................................................................................................32
路由反射器 server 端配置 .................................................................................................34
路由策略(出口路由器分流策略)配置 .........................................................................35
等价多路径配置(ECMP) ...................................................................................................38
7. QoS 配置 ........................................................................................................................................38
层次化 QOS(H-QOS)配置.................................................................................38
1. 概述
目标网络结构
IP 城域网的定位:
1、网络定位:IP 城域网是位于用户驻地网和 CMnet 网之间的网络,既要满足用户的需求
也需要适应企业未来的发展。IP 城域网与城域传送网共同构成了我公司城域综合业务承载
平台。
2、业务定位:
(1)为公司内部业务应用系统 (营业厅、OA、BOSS 等)提供接入以及实现自有机楼数据互连
等。
(2) 为用户提供互联网接入、VPN 接入、集团增值业务接入等。
城域网现状结构图(一二类公司):
城域网现状结构图(三类公司):
在上图中,将 IP 城域网划分成四个层次:骨干层、核心汇聚层、区域汇聚层和接入层。
骨干层实现城域网与 CMnet 的连接,完成高速数据转发,并充当三层 MPLS VPN 的
P 设备。
在核心汇聚层选择两个节点充当跨域 MPLS VPN 业务互通的 ASBR(跨域边界路由
器),并与 CMNET 的汇聚路由器 CR 直接连接。
BRAS 和核心汇聚路由器充当三层网络边缘的业务控制点设备,并充当 MPLS VPN
的 PE 设备,还支持组播复制功能等。
区域汇聚层完成接入层接入到城域网,一般只起二层功能。
接入层负责用户接入,采用二层网络。
配置原则
配置总体原则
为保证配置的规范性和统一性,以减少维护工作的难度和工作量,设备配置过程中应遵
循一下基本原则:
配置语法、语义必须正确无误,保证网络能够正常运行,各种管理接口能够正常通信;
能够统一的策略和参数必须统一;
配置应尽量简洁,无用的配置命令不应出现在配置文件中,用于试验的配置应及时删
除;
配置应具有一定的扩展性,方便未来修改和扩展(如 ACL 的序号安排);
配置应保证较好的可读性,尽量通过 description 参数对重要命令进行注解;
汇聚层及其以上设备 AAA 认证建议采用集中服务器认证;
密码的设置要符合复杂性要求并定期修改;
DNS 配置本地网内一致;
SNMP、SYSLOG 配置本地网内一致;
如有远程访问控制协议 SSH 配置也应本地网内一致。
说明
本文档灰底字体表示需注意或表示一定要统一配置的内容
本文档以 7750 为示例,当 7750 兼做 SR 时需同时满足 SR 的局数据规范要求。
2. 系统基本配置
设备名称配置
配置内容:配置设备名称
规范要求:设备名称要求符合最新的《中国移动通信集团广东有限公司 IP 城域网资
源命名规范》要求;
配置示例:
设置路由器的主机名为 GDYJ-MC-IPMAN-QQT-RT01-7750。
A:ALA-12#configure system name GDYJ-MC-IPMAN-QQT-RT01-7750
/*定义设备名称*/
查询:
show system information
Banner 配置
配置内容:配置登录提示内容
规范要求:提示该系统为移动专有系统,禁止非法登录;城域网所有路由器配置统一
的 Banner 信息,登陆时提示:
WARNING!!! Authorised access only, all of your done will be recorded! disconnect
IMMEDIATELY if you are not an authorised user!
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#config system login-control pre-login-message "WARNING!!!
Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an
authorised user!%"
Router ID 配置
配置内容:配置 Router ID
规范要求:Router ID 的取值为本设备的 system 地址;
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router router-id
/* 为 system 地址*/
系统时间配置
配置内容:配置系统时区、配置系统时间;
规范要求:系统时间要求采用当前的标准北京时间;
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system time zone GMT8 08
GDYJ-MC-IPMAN-QQT-RT01-7750#admin set-time YYYY/MM/DD hh:mm[:ss]
/*hh:小时;mm:分钟;ss:秒 YYYY:年;MM:月;DD:日。*/
查询:
show time
NTP 配置
配置内容:配置 NTP 服务器;
规范要求:
1:城域网 NTP 服务器分为两级;第一级为 CMNET-GD 的 NTP 服务器,城域网核心路
由器统一指向它;第二级为城域网核心路由器作为 NTP 服务器,城域网其他设备指向它。
2:为了冗余可靠,需配置多个 ntp 服务器;
3:城域网核心路由器采用 system 作为 NTP 服务器的源地址;
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750# config system security source-address application ntp system
GDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp ntp-server
GDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp server prefer
GDYJ-MC-IPMAN-QQT-RT01-7750# configure system time ntp server
GDYJ-MC-IPMAN-QQT-RT01-7750# config system time ntp no shutdown
GDYJ-MC-IPMAN-QQT-RT01-7750# config system time sntp shutdown
/* , 为 CMNET NTP 服务器的 IP 地址 */
查询:
show system ntp servers detail
主备卡切换配置
配置内容:配置系统主备卡切换
规范要求:
打开自动切换,要求采用最优切换方式,也可以手动切换
配置示例
自动切换:7750 路由器两块引擎之间的备份机制是系统自动的,无需命令配置。
手动切换:
GDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy synchronize boot-env
GDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy synchronize config
GDYJ-MC-IPMAN-QQT-RT01-7750S# admin redundancy force-switchover now
AAA 配置(登录用户)
配置内容:配置登录用户及密码
规范要求:
建议分公司建立 radius(或 Tacacs+)服务器:日常维护时采用 radius 上配置的帐
号,应急情况下使用路由器本地配置的帐号。同时应对 radius 服务器采用安全保
护措施(如防火墙,防病毒等)。
帐号认证顺序为先采用 local,当认证失败时再将认证请求发送到 radius 认证服务
器,不启用 none 认证;
用户名为用户名字首字母缩写加手机号;
不建议配置 5 个以上的本地固定帐号,本地固定帐号全网统一;
登录密码应符合复杂性要求(即密码长度要求至少 8 位,且包含数字、大小写字
母),要求采用加密方式,定期修改密码。。
Radius 服务器的 IP 地址和端口由市公司自行建设和规划。
SUPER 密码由市公司自行设置,定期修改密码。
限制 VTY 登陆源地址,见 节
配置 CON/AUX/VTY 接口,空闲超时时间设为 10 分钟,采用 AAA 鉴权
配置示例
方案一、RADIUS 认证为主、本地验证做为认证备份手段;认证顺序为优先采用本地,
其次是采用 radius,不启用 none 认证。
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security password
authentication-order local radius /* 配置认证顺序 */
health-check interval 60 /* 配置 radius 健康检查功能 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system source-address application radius system
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security radius
server 1 address secret 1235 !@ /* 定义 radius server 1, 1235 !@为校验字符串 */
server 2 address secret 1235 !@ /* 定义 radius server 2 */
authorization /* 支持授权功能 */
timeout 20 /* 定义 radius 超时为 20 秒 */
方案二、配置本地用户
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750# configure system security
profile "showlevel"
default-action deny-all
entry 10
match "show"
action permit
exit
entry 20
match "ping"
action permit
exit
entry 30
match "traceroute"
action permit
exit
entry 40
match "telnet"
action permit
exit
entry 50
match "info"
action permit
exit
entry 60
match "logout"
action permit
exit
entry 70
match "admin display-config"
action permit
exit
exit
/* 配置一个用户组名为“showlevel”及相应的权限 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security
no user "admin"
user gmcc password gmcc2009!$ /* 配置用户名密码,其中密码不能出现“#”*/
user gmcc access console /* 配置用户为登陆用户 */
user gmcc console member "showlevel" /* 将用户加入前面配置的”showlevel”组 */
/* 本帐号和密码为工程期间密码,移交后需去掉该帐号,其他普通帐号为用户名缩写加
手机号,密码定期修改 */
/* 系统有默认的最高权限组”administrative”,如果用户加入该组将拥有最高权限。如果其它组用户
想拥有最高权限,需输入命令enable-admin,同时输入正确的super密码 */
查询:
config>system>security>info
配置 Telnet 安全策略
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security
telnet-server /* 打开 telnet 功能,缺省关闭 */
ssh no server-shutdown /* 关闭 ssh 功能,缺省打开,建议关闭 */
exit
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system login-control
telnet
inbound-max-sessions 10 /* 登陆用户数为 10 */
outbound-max-sessions 10 /* 登出用户数为 10 */
exit
idle-timeout 10 /* 空闲超时 */
关于如何限制源地址登陆 7750,请参看第 章的安全配置。
3. 端口配置
Loopback 端口配置
配置内容:
配置 LOOPBACK 地址
规范要求:
端口名称要符合最新的《中国移动通信集团广东有限公司 IP 城域网资源命名规范》
的要求;
IP 地址根据《中国移动通信集团广东有限公司 IP 城域网 IP 地址规划》设定。
配置端口描述信息
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router interface system address /* 配置
Loopback 地址,见地址规划表 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router interface system description For Management
查询:
show router interface system
GE 端口配置
配置内容:
配置 GE 端口的各个参数;
规范要求
端口描述符合最新的《中国移动通信集团广东有限公司 IP 城域网资源命名规范》
的要求;
SR、BRAS、CR 之间的互联端口 MTU 值设置为:4470,如果传输经过 MSTP,则
需要传输设备更改 MTU 值为 4470; SR 下联汇聚交换机和汇聚交换机下联的端
口 MTU 值设置为:1500。
在工程验收时,必须测试 MTU 大小为 4470 的数据包的连通性情况;
如果设备互联端口经过 MSTP 作为传输,可能需要提醒传输专业修改 MTU 值;
关闭 GE 端口自动协商;
IP 地址根据《中国移动通信集团广东有限公司 IP 城域网 IP 地址规划》设定。
工程阶段将试验 BFD 功能和互通性,在局数据规范里不做要求。
打开非业务端口的波动抑制功能:Up 和 hold down 时间为 1 秒
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 1/1/1
description “To-[GDYJ-MS- IPMAN-XL-RT01-NE80E]-GE2/0/0-1G”
ethernet mode network /* 定义端口模式 */
ethernet mtu 4484 /* network 口 4484(华为 4470) */
etherent no autonegotiate /* 定义端口非自协商 */
xgig [lan | wan]
/* 定义端口 lan 模式还是 wan,本配置适用于 10GE 端口,在两种模式都可以配置的时候,优先
选用 WAN 模式 */
hold-time up 1 down 1 /* 以秒为单位,只在非业务端口配置 */
查询:
show port description
POS 端口配置
配置内容:
配置数据帧格式;
配置端口描述;
配置时钟类型;
配置链路封装格式;
配置 CRC 校验位数;
规范要求:
端口描述符合最新的《中国移动通信集团广东有限公司 IP 城域网资源命名规范》
的要求;
IP 地址根据《中国移动通信集团广东有限公司 IP 城域网 IP 地址规划》设定;
MTU 值默认为 4470;
封装采用 PPP 方式。
成帧格式采用 SDH 格式;
CRC 设置为 32 位;
配置 POS 口告警功能;
设置端口时钟,和 SDH 传输互联时设置为 Slave,通过裸纤互联时,maste/slave
设置规则:上主下从,左主右从;
打开端口的波动抑制功能:UP 采用 100ms,DOWN 采用 100ms。
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 1/1/1
description “To-[GDYJ-MS- IPMAN-XL-RT01-NE80E]-POS2/0/0-10G”
sonet-sdh framing sdh /定义 pos 端口的帧格式/
sonet-sdh clock-source [node-timed|loop-timed] /定义端口的时钟,低等级设备为从,高等级设备为主,
上主下从,左主右从/
sonet-sdh mtu 4472 /定义 pos 端口 MTU 值为 4472/
sonet-sdh hold-time up 1 down 1 /定义 pos 端口的保持时间为 100ms/
sonet-sdh report-alarm loc lrdi lb2er-sf slof slos
/** 定义 pos 端口 sonet-sdh 告警,为默认配置,建议配上 **/
sonet-sdh path report-alarm pais prdi prei /定义 pos 端口的 path 告警/
sonet-sdh path scramble /定义 pos 接口加扰/
sonet-sdh path crc 32 /定义 Pos 接口的 crc 为 32 位/
sonet-sdh path no shutdown /打开 POS 接口的 path/
no shutdown /打开 POS 接口/
查询:
show port 1/1/1 detail
Lag 端口配置
配置内容:
把多个 POS 接口绑定成一个逻辑接口
规范要求:
端口描述符合最新《中国移动通信集团广东有限公司 IP 城域网资源命名规范》的
要求;
IP 地址根据《中国移动通信集团广东有限公司 IP 城域网 IP 地址规划》设定;
涉及 POS 接口的配置详见 POS 端口配置;
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure lag 1
description TO-[GDYJ-MS-IPMAN-QQT-RT02-7750]-Lag1-2*GE /* 定义端口描述字符 */
port 1/1/1 /* 添加端口 1/1/1 */
port 1/1/2 /* 添加端口 1/1/2 */
mode network /* 定义端口的模式,network 为端口模式 */
ethernet mtu 4484 /* 定义以太网端口 mtu */
或
sonet-sdh mtu 4472 /* 定义 pos 端口 mtu 值为 4472 */
查询:
show lag 1 detail
配置主控板 FE 接口
配置内容:
配置主控板 FE 使用端口
规范要求:
配置主用主控板 IP 地址,并且将 FE 接口设置为非协商
在通过带外网管管理设备时才需要配置主控板的 FE 接口。
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750# bof address <IP 地址>/<掩码长度>
/* 配置主用主控板 fe 接口 IP */
GDYJ-MC-IPMAN-QQT-RT01-7750# bof no autonegotiate /* 配置主控板 fe 接口为非自协商 */
GDYJ-MC-IPMAN-QQT-RT01-7750# static-route next-hop
/* 采用带外网管与 OMC 进行通信的模式下,必须配置该路由与 OMC 进行通信 */
GDYJ-MC-IPMAN-QQT-RT01-7750# bof save
GDYJ-MC-IPMAN-QQT-RT01-7750# file
GDYJ-MC-IPMAN-QQT-RT01-7750# file cf3:\ # copy cf3-b:/ /* 要先查看主备状态(show
card),从当前的活动卡复制到备份卡,本示例假设 a 为主用卡 */
查询:
show bof
type ,type cf3-b:/ /* 比照这两个文件是否一致,本示例假设 a 为主用卡 */
三层端口配置
配置内容:
配置端口名称;
配置端口描述;
配置 IP 地址;
配置包含的二层接口;
规范要求:
端口描述符合最新的《中国移动通信集团广东有限公司 IP 城域网资源命名规范》
要求;
IP 地址根据《中国移动通信集团广东有限公司 IP 城域网 IP 地址规划》设定;
端口名称与物理接口相同,如:普通 GE 物理口 ge-1/2/3,VLAN 的端口
ge-3/2/3:100,QinQ 的端口 ge-4/2/1:,POS 口 pos-5/1/1
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router
interface “ge-1/2/2“ /* 定义三层逻辑接口名为 ge-1/2/2 */
description “TO-[GDYJ-MS-IPMAN-QQT-RT02-7750]-GE2/0/0-1G”
port 1/2/2 /* 绑定物理端口 1/2/2 * /
address <IP 地址>/<掩码长度> /* 配置接口 IP 地址 */
查询:
show router interface
其它未使用端口配置
配置内容:关闭所有未使用端口
规范要求:端口描述信息为:no-use
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 4/1/1
description “no-use”
shutdown
4. 安全配置
ALC 配置
*A:GDZS-MS-IPMAN-DEJL-BRAS01-7750>config>sys>sec>cpm>ip-filter#
entry 5 create
action accept
description "MAN-Routers-Loopbacks"
match
src-ip
exit
exit
entry 10 create
action accept
description "Radius Server"
match
src-ip
exit
exit
entry 200 create
action accept
description "permit direct connect ip telnet"
match protocol tcp
dst-port 23 65535
src-ip
exit
exit
entry 205 create
action accept
description "permit loopback address ip telnet"
match protocol tcp
dst-port 23 65535
src-ip
exit
exit
entry 210 create
action accept
description "permit out-band network management ip telnet"
match protocol tcp
dst-port 23 65535
src-ip
exit
exit
entry 215 create
action accept
description "permit in-band network management ip telnet"
match protocol tcp
dst-port 23 65535
src-ip
exit
exit
entry 299 create
action drop
description "Deny other ip address telnet"
match protocol tcp
dst-port 23 65535
exit
exit
entry 300 create
action accept
description "permit omc server out-band management ip snmp"
match protocol udp
dst-port 161 65535
src-ip
exit
exit
entry 305 create
action accept
description "permit omc server in-band management ip snmp"
match protocol udp
dst-port 161 65535
src-ip
exit
exit
entry 310 create
action accept
description "permit UNMP server in-band management ip snmp"
match protocol udp
dst-port 161 65535
src-ip
exit
exit
entry 399 create
action drop
description "Deny other ip address snmp"
match protocol udp
dst-port 161 65535
exit
exit
no shutdown
防病毒配置
配置内容:
配置 ACL 过滤常见病毒。
规范要求:
ACL 编号设为 3000;
ACL 描述设为 Anti-virus;
在与 CMNET 核心路由器互联的接口上应用。
配置示例:
1、对常见病毒的 ACL,应用到端口。
ACL 配置实例,entry 步长为 5
GDYJ-MC-IPMAN-QQT-RT01-7750#configure filter
ip-filter 3000 create /* 固定为 3000 */
describtion For Anti-virus
default-action forward /* 必须添加确保正常业务流通过 */
entry 5 create
match protocol tcp
dst-port eq 4444
exit
action drop
exit
entry 10 create
match protocol tcp
dst-port eq 135
exit
action drop
exit
entry 15 create
match protocol udp
dst-port eq 135
exit
action drop
exit
entry 20 create
match protocol tcp
dst-port eq 139
exit
action drop
exit
entry 25 create
match protocol tcp
dst-port eq 445
exit
action drop
exit
entry 30 create
match protocol udp
dst-port eq 445
exit
action drop
exit
entry 35 create
match protocol tcp
dst-port eq 1434
exit
action drop
exit
entry 40 create
match protocol udp
dst-port eq 1434
exit
action drop
exit
entry 45 create
match protocol tcp
dst-port eq 5554
exit
action drop
exit
entry 50 create
match protocol tcp
dst-port eq 9996
exit
action drop
exit
entry 55 create
match protocol 255
action drop
exit
entry 60 create
match protocol 0
action drop
exit
exit
配置实例:
用户侧接入端口应用 filter(一般只在业务接口的 in 方向配置)
GDYJ-MC-IPMAN-QQT-RT01-7750#configure service
ies 10 interface ge-1/1/1
sap 1/1/1
ingress
filter 3000
exit
Network 接口侧应用 filter
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router
interface “ge-3/2/1”
ingress
filter ip 3000
exit
egress
filter ip 3000
exit
/* CR 上一般在 CR 连接 CMNET 端口上进行配置,inbound 防止 CMNET 向城域网
传播病毒,outbound 则反之。可在整个城域网边界都做 inbound 方向 */
防攻击配置
配置内容:
关闭不必要的服务;
配置过滤常见病毒的端口及容易受攻击的端口。
规范要求:
在全局模式下需关闭 finger、pad、tcp-small-servers、udp-small-servers 等服务进程;
在接口模式下需关闭 proxy-arp、ip direct-broadcast 和 ip redirects 等功能;
在用户网段或服务器网段上启用 URPF。
配置示例
关闭 SSH 服务
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security ssh server-shutdown
/* 关闭 ssh-server */
关闭 ftp 服务
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security
no ftp-server
/* 在需要下载文件时可临时打开 ftp-server */
网络接口安全配置
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router
interface “ge-3/2/1”
no allow-directed-broadcasts /* 关闭直连广播 */
icmp no redirects /* 关闭 icmp 重定向 */
exit
7750 其他安全配置
配置内容:
7750 使用 CPM-filter 中的 IP-filter 允许环回地址段、地市网管地址段、省公司网
管地址段的 snmp 及 telnet 服务开放
规范要求:
CPM-filter 的 ip-filter 中 entry 号 5~199 限制 ip 地址段,entry 号 200~299 限制源地
址的 telnet 服务,entry 号 300~399 限制源地址的 snmp
配置示例:
应用 IP-filter 队列
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security cpm-filter ip-filter
/* 7750 CPM-filter 的 ip-filter 的 Enty 条目的缺省 action 动作为 deny */
entry 50 create
description “MAN-Routers-Loopbacks”
action accept
match src-ip /* 城域网所有路由器的环回地址段 */
exit
/* entry 号 5~199 用来设置只限制 ip 地址 */
entry 250 create
description “permit ip telnet”
action permit
match protocol tcp
src-ip /* 维护主机地址段 1 * /
dst-port 23
exit
exit
entry 255 create
description “permit ip telnet”
action permit
match protocol tcp
src-ip /* 维护主机地址段 2 */
dst-port 23
exit
exit
entry 299 create
description “deny other ip address telnet”
action deny
match protocol tcp
dst-port 23 /* 拒绝其他地址的 telnet 访问 */
exit
/* entry 号 200~299 用来设置限制 telnet 地址 */
entry 350 create
description “permit snmp”
action permit
match protocol udp
dst-port 161
src-ip /* 网管地址段 1 */
exit
exit
entry 355 create
description “permit snmp”
action permit
match protocol udp
dst-port 161
src-ip /* 网管地址段 2 * /
exit
exit
entry 399 create
description “deny other ip address snmp”
action deny
match protocol udp
dst-port 161 /* 拒绝其他地址段的 snmp 访问 */
exit
exit
/* entry 号 300~399 用来设置限制 snmp 地址 */
no shutdown /* 使能 cpm-filter 的 ip-filter */
5. 网管配置
SNMP 配置
配置内容:
启用 SNMP 服务,并设定其 community 字符串;
配置 SNMP 服务的访问控制
规范要求:
采取 SNMP 访问的限制措施,CPM-filter 的 entry 固定为 300~399,仅允许省公
司和当地市公司的网管网段访问路由器的 SNMP 服务,具体网管系统地址见《城
域网 IP 地址规划》。配置示例请见 节内容;
配置 SNMP 协议为 V2 版本,目前暂不采用 SNMP V3 版本;
community 设置,至少 8 个字符,包含字符,数字,特殊字符;不能采用缺省的
public 和 private;分公司在工程验收后需进行密码的修改。
配置 TRAP 要求:
若有多个网管工作站、需要配置 TRAP 端口,要避免多个 TRAP 端口号冲突;
允许发送所有模块的所有类型的 SNMP Trap 报文;后期各地市可根据具体情况进
行更改只发送某些类型的 SNMP Trap 报文。
使能接口索引固定特性。
SNMP trap 的 log 号为 98
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750#bof persist on
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system snmp packet-size 9216
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system snmp no shutdown
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security snmp community ***** w version both
/* 定义 snmp 写团体字 */
/* 可根据网管系统需要来决定是否打开“写”权限 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security snmp community ***** r version both
/* 定义 snmp 读团体字 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system security source-address application snmptrap system
/* 定义 snmp trap 报文发送源地址取 system 接口地址 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure log
snmp-trap-group 98 /* 定义 snmp trap */
trap-target XXX address snmpv2c notify-community *****
/* XXX 为 trap-target 的名字, 为网管服务器的地址,****为团体字 */
exit
log-id 98
from main security change /* 收维护、修改配置及安全日志 */
to snmp 98 /输出到 snmp server/
time-format local
exit
限制源地址访问 7750 的 SNMP 见第 章安全配置。
SYSLOG
配置内容:
配置 log 信息显示的时间;
配置 log 信息触发的级别;
配置 log server 地址。
规范要求:
设备必须配置日志功能,记录所有中高风险的事件,其中必须记录用户登录事件,
并对高风险的事件产生告警;
log 信息采用北京时间来显示;
指定日志主机的 IP 地址,具体地址见《城域网 IP 地址规划》,配置示例中以
代替;
log 信息建议集中保存到 log server 上,尽量配置多个 log server 地址。
log buffer 值设置为最大值:1024 行日志。
设置 SYS LOG 的源地址为网管地址或 loopback 地址。
记录 warning 以上级别的告警信息。
Sys log id 号为 97
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750#configure log
file-id 10 /* 定义本地存储 */
location cf3:
rollover 1440 retention 480
/* 1440 表示每一天生成一个文件,480 表示旧文件只保存 20 天 */
exit
log-id 10 /* 定义 log */
from main security change /* 收维护、修改配置及安全日志 */
to file 10 /* 输出到本地 cf 卡 */
time-format local /* log 时间采用本地时间 */
exit
/* log-id 98 见第 节 */
syslog 97 /* 定义 syslog server */
address /* 定义 syslog server 地址 */
exit
log-id 97
from main security change /* 收维护、修改配置及安全日志 */
to syslog 97 /* 输出到 syslog server */
time-format local
exit
log-id 99 /*此为系统默认 log-id,不能更改*/
to memory 1024 /* 日志 1024 行 */
time-format local /* log 时间采用本地时间* /
exit
log-id 100 /* 此为系统默认 log-id,不能更改 */
to memory 1024 /* 日志 1024 行 */
time-format local /* log 时间采用本地时间 */
exit
6. 路由配置
当需要引入路由时,必须通过配置路由策略进行精确引入,避免路由发布错误。
协议类
型
普通静
态 EBGP ISIS ospf
External
OSPF 黑洞路由 IBGP
浮动缺
省静态
优先级 1 或 5 20 100 110 150 180(tag 180) 200 220
ISIS Hello
ISIS Hold
time LDP Hello LDP Keepalive BGP Hello BGP Hold time
10s 30s 15s 45s 60s 180s
黑洞路由配置
配置内容:
根据需要配置黑洞路由;一般在 CR 上进行黑洞路由的配置是为了通过 BGP 向
internet 宣告城域网自身的大段 ip 地址段;
配置到 null0 的静态路由;
优先级和 tag 设置为 180;
规范要求:
要求配置静态路由要谨慎,避免配置错误带来路由环路。
在 CR 上不要将黑洞路由引入到 IGP 内,两 CR 上的黑洞路由配置应一样。
必须配置优先级和 tag 为 180
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router static-route black-hole preference
180 tag 180
查询:
show router static-route
静态路由配置
配置内容:
根据需要配置静态路由;
把静态路由的默认优先级改为 5。
规范要求:
城域网的用户路由生成以静态路由注入为主,出于路由安全和控制的考虑,原则
上城域网内设备不得与用户设备之间运行任何协议的 IGP(包括 RIP、OSPF、ISIS
等);
要求配置静态路由要谨慎,避免配置错误带来路由环路。
7750 下一跳只需要指下一跳 ip 地址。
7750 的静态路由缺省优先级为 5,不需要修改。
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router static-route next-hop
查询:
show router static-route
LDP 配置
配置内容:
根据实际测试看是否影响收敛速度,如无影响,则配置 LDP 协商采用 MD5 密码
验证。
在端口上应用 LDP 协议。
规范要求:
配置 lsr-id,设为本设备的 loopback 0 地址。
配置只针对 32 位掩码的地址触发 LSP。
配置 LDP 协商采用 MD5 密码,设置为 gmcc@10086。
根据业务需求,统一规范,标签发布和管理方式使用缺省。
Hello 时间为 15s,Keepalive 时间为 45s。
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router ldp /* 启用 ldp 协议 */
interface-parameters /* 进入 interface 配置模式 */
hello 15 /* 定义 hello 时间为 15 秒 */
keeplive 45 /* 定义 keeplive 时间为 45 秒 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router ldp
peer-parameters
peer
authentication-key ***** /* 配置 ldp 邻居认证密钥 */
exit
exit
查询
show router ldp peer-parameters
ISIS 配置
配置内容:
配置 IS-IS 进程号;
配置网络实体;
端口启用 IS-IS。
规范要求:
ISIS 进程号采用 86, 7750 无需配置
中国移动广东公司 IP 城域网采用 IS-IS L2 模式。
以城域网为单位划分 Area,原则上同一城域网内路由器划归同一 Area。
IS-IS 端口
路由器之间互连的端口上运行 L2-Only IS-IS,将所有 Loopback 端口设置为被动
(Passive)模式。
NET 地址
NET 采用 Integrated IS-IS NSAP 的格式,即 ;
A rea-ID:设置为 49.地市固话的区号;例如:
System-ID: 7750 无需配置 system-ID。
ISIS 协商认证
采用 MD5 密码认证,密码与 CMNET 网一致,设为:gmcc@10086
配置 IS_NAME
IS_NAME 取值该设备的名称,要求符合最新《中国移动通信集团广东有限公司 IP 城
域网资源命名规范》
配置等价路由条数
指定在 ISIS 负载分担方式下等价路由的数量最多为:8 条。
ISIS COST 参考值为 100000Mbit/s
记录 ISIS 邻居关系变化
设置 ISIS 的路由优先级为 100
将以太网接口的 isis 类型设置为点对点
关于 isis 的 hello,holdtime 时间全网统一为 10s 和 30s。
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router isis /* 启动 isis */
reference-bandwidth 100000000 /* 设置参考带宽 100G */
area-id /* 定义 isis 的 area id */
level-capability level-2 /* 定义 isis 为 level-2 级别 */
level 2 peference 100
level 2 external-preference 100
level 2 wide-metrics-only /* 定义 isis 的 metries 类型 */
interface system /* 添加 system 接口 */
level-capability level-2 /* 定义 system 接口为 level-2 */
passive /* 定义 system 接口为被动模式 */
exit
interface "system10" /* 添加 system10 接口,作为带内网管 */
level-capability level-2 /* 定义 system10 接口为 level-2 */
passive /* 定义 system10 接口为被动模式 */
exit
interface ge-1/1/1 /* 添加上行端口到 isis * /
level-capability level-2 /* 定义 ge-1/1/1 接口为 level-2 * /
interface-type point-to-point /* 定义接口网络类型为 p2p * /
level 2
hello-interval 10 /* 定义 hello 报文间隔 * /
metric <Mertric> /* 定义 metric 值,不设定时表示系统根据带宽自动计算 * /
hello-authentication-type message-digest /* 定义认证方式 * /
hello-authentication-key ***** /* 定义认证密码与 CMNET 一致 * /
查询:
show router isis adjacency
show router isis interface
BGP 配置
配置内容:
配置 BGP AS 号;
建立邻居关系;
配置邻居密钥。
规范要求:
与 CMNET 之间明确配置通过 Loopback 0 来与邻居建立 EBGP 连接;
关闭 IGP 与 BGP 的同步要求和自动汇总;
为避免潜在的路由环路,统一对未携带 MED 属性的路由视为 MED=0;
根据需要确定 BGP Multihop 的 TTL 值(而不是一味设大或用缺省值),对大多数
情况,TTL=2 就足够了;
记录邻居变化;
对 BGP 邻居进行认证,BGP 的密钥使用 md5 加密,设为:*****;
设置 EBGP 的优先级为 20,IBGP 的优先级为 200
设置发送 community
关于 bgp 的 hello,holdtime 时间全网统一为 60s 和 180s。
配置 IBGP 多路径
7750 配置最小路由宣告时间为 2 秒
配置示例:
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router autonomous-system 65276 /* 定义 as 号 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router bgp /* 启用 BGP */
ibgp-multipath
multipath 8
hold-time 180
keepalive 60
router-id
min-route-advertisement 2 /* 7750 配置最小路由宣告时间为 2 秒 */
group ibgp-man-cr
/* 定义名为 ibgp-man-cr 的 bgp group,是两个 RR 之间的 BGP 邻居 */
type internal /* 定义 bgp group 类型为 ibgp */
family ipv4 vpn-ipv4 /* 定义 bgp 邻居地址族*/
preference 200
export "Export_Direct_Route" "Export_Static_Route" "Export_IMS_SBC"
/* 把CR直连、静态以及业务网段发布到RR */
peer-as 65276
local-address /* 定义本地bgp system地址 */
neighbor /* 定义 bgp 邻居地址*/
description GDYJ-MC-IPMAN-QQT-RT02-7750
authentication-key ***** /* 邻居密钥 */
exit
group ebgp-cmnet
/* 定义 bgp group 为 ebgp-cmnet,是到 CMNET 的邻居 */
type external /* 定义 bgp group 类型为 ebgp */
family ipv4 vpn-ipv4
export “Export_YJ-MAN-ROUTE”
/* 增加路由策略过滤路由,策略见路由策略,本示例为阳江城域网的路由向 CMNET
进行 BGP 发布 */
preference 20
peer-as 64621 /* 定义邻居的 as 号*/
local-address . /* 定义本地 bgp system 地址 */
neighbor /* 定义 bgp 邻居地址*/
description TO-GDXDS-PB-CMNET-RT01
authentication-key ***** /* 邻居密钥*/
exit
group "ibgp-man-rrclient" /* 定义 bgp group ibgp-man-rrclient ,RR 与 SR 邻居 */
family ipv4 vpn-ipv4
authentication-key *****
next-hop-self
type internal
preference 200
export "Export_Direct_Route" "Export_Static_Route" "Export_IMS_SBC"
/* 把 CR 下的业务路由发布到 SR,如果 IMS 连接在 CR 下,也要发布,否则不用发
布;*/
cluster /*本 CR 的 system 地址 */
peer-as 65276 /*本地的 AS 号 */
local-address /* 本 CR 的 system 地址 */
neighbor /*所有 SR 的 system 地址 */
description "TO-GDYJ-MC-IPMAN-QQT-SR02-7750"
exit
查询:
show router bgp neigbour
路由反射器 server 端配置
配置内容:配置路由反射器
核心路由器(CR)作为 BGP IPV4 和 BGP VPN V4 路由反射器,为所有业务路由器 SR
反射 BGP 路由信息,SR 之间不应再起 BGP 连接:
CR 之间为一个反射簇
规范要求
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router autonomous-system 64621 /* 定义 as 号 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router bgp /* 启 BGP */
group "ibgp-man-rrclient" /* 定义 bgp group ibgp-man-rrclient ,RR 与 SR 邻居 */
family ipv4 vpn-ipv4
authentication-key *****
next-hop-self
type internal
preference 200
export "Export_Direct_Route" "Export_Static_Route" "Export_IMS_SBC"
/* 把 CR 下的业务路由发布到 SR,如果 IMS 连接在 CR 下,也要发布,否则不用
发布;*/
cluster /*本 CR 的 system 地址 */
peer-as 65276 /*本地的 AS 号 */
local-address /* 本 CR 的 system 地址 */
neighbor /*所有 SR 的 system 地址 */
description "TO-GDYJ-MC-IPMAN-QQT-SR02-7750"
exit
路由策略(出口路由器分流策略)配置
配置内容:
向 CMNET 宣告路由时发送 community,所有城域网路由带上 9808:AS 号的
community(假设 A 市城域网 AS 号为 65276,则 A 市的路由带上 9808:65276,其
中 9808 是 CMNET 的 AS 号)。
进行 BGP 策略时一般不使用 ACL 来指定发布或接受的路由条目。
规范要求
在两台 CR 上都要配置;
在省公司分配给地市分公司大地址段时进行配置;
按照 CMNET 的要求向 CMNET 宣告同样大小的地址段,以实现 INTERNET 访问
城域网。
当业务使用该段地址的时候,SR(BRAS)必须以更小的地址段来宣告路由。
配置示例
例如省网分配给地市分公司 4 个 C 类地址段:
CMNET 要求城域网以如下方式向 CMNET 宣告:
一个 C, 2 个 C, 一个 C,城域网应
在 2 个 CR 上配置如下(业务地址使用 时,SR 只能以更细的路由进行
发布):
GDYJ-MC-IPMAN-QQT-RT01-7750 # configure router
GDYJ-MC-IPMAN-QQT-RT01-7750 >config>router# static-route
black-hole preference 180 tag 180 /*黑洞路由
GDYJ-MC-IPMAN-QQT-RT01-7750 >config>router# static-route
black-hole preference 180 tag 180 /*路由聚合,黑洞路由
GDYJ-MC-IPMAN-QQT-RT01-7750 >config>router# static-route black-hole
preference 180 tag 180 /*黑洞路由
GDYJ-MC-IPMAN-QQT-RT01-7750# configure router policy-options
GDYJ-MC-IPMAN-QQT-RT01-7750>config>router> policy-options# begin
GDYJ-MC-IPMAN-QQT-RT01-7750>config>router>policy-options#
prefix-list "YJ-MAN-ROUTE" /*定义地址段列表
prefix exact /*地址段应该与相应黑洞路一样大小
prefix exact
prefix exact
prefix-list "Direct_Route"
/*CR 下的直连业务网段要发布明细路由到另一个 CR 和 SR,不要发布黑洞路由;
prefix exact
prefix exact
prefix-list "Static_Route"
/*CR 下的直连业务网段要发布明细路由到另一个 CR 和 SR,不要发布黑洞路由;
prefix exact
prefix exact
community "IPMAN_Community" members "9808:65276"”
/*定义路由策略,所有 CR 带上 9808:65276 号的 community
policy-statement "Export_Direct_Route" /* 把直连路由宣告到 BGP */
entry 5
from
prefix-list "Direct_Route"
exit
to
protocol bgp
exit
action accept
next-hop-self
exit
exit
default-action next-policy
exit
exit
policy-statement "Export_Static_Route" /* 把静态路由宣告到 BGP */
entry 5
from
prefix-list "Static_Route"
exit
to
protocol bgp
exit
action accept
next-hop-self
exit
exit
exit
policy-statement "Export_YJ-MAN-ROUTE"
/*把城域网地址发布到 CMNET 的策略 */
entry 5
from
prefix-list "YJ-MAN-ROUTE"
exit
to
protocol bgp
exit
action accept
community add "IPMAN_Community"
exit
exit
default-action reject
exit
GDYJ-MC-IPMAN-QQT-RT01-7750# configure router bgp
GDYJ-MC-IPMAN-QQT-RT01-7750# config>router>bgp#
group "ebgp-cmnet"
export "Export_YJ-MAN-ROUTE" /* 在 EBGP 里调用该策略 */
peer-as 64621
local-address
neighbor
description "TO-GDXDS-PB-CMNET-RT01"
exit
exit
等价多路径配置(ECMP)
配置内容:配置等价多路径
路由器到某方向有多路径链路互联时,建议开启等价多路径功能:
设置 ECMP 数
打开 L4 负载均恒功能
规范要求
配置示例
GDYJ-MC-IPMAN-QQT-RT01-7750#configure router ecmp 8 /* 将等值路由条数定义为 8 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure system l4-load-balancing
/* 打开第四层负载均衡功能 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 1/1/1 ethernet load-balancing-algorithm include-l4 /*
打开出接口的第四层负载均衡 */
GDYJ-MC-IPMAN-QQT-RT01-7750#configure port 2/1/2 sonet-sdh load-balancing-algorithm include-l4 /*
打开出接口的第四层负载均衡 */
7. QoS 配置
QOS 配置包括包的分类、标记、队列的调度和拥塞控制等几个方面。注意本部分是为示例
参考,非局数据规范。
层次化 QOS(H-QOS)配置
7750SR 支持业界独有的层次化 QOS 技术,与单层次 QOS 调度相比,层次化 QOS 调度
技术将 QoS 的灵活性扩展到一个全新的层面,是未来 Triple-Play 业务开展的必要技术手段。
在层次化调度技术中,引入了子调度器(Child)和父调度器(Parent)的概念,每个调
度器都是一个带宽聚集点(Bandwidth Aggregation Point),父调度器对其子调度器来说都是
一个带宽调度器,将其所拥有的带宽在其子调度器中进行动态调度。
7750SR 共支持三层调度,同时每层调度中支持八个优先级,下面以电信网络中最常见
的 H-QOS 部署为例,即一层调度,三种业务流量不同优先级,如下图所示:
在该模型中,一个用户的流量由 Voice,Video 和 Data 组成,要求 Voice 为最优选调度流
量,Video 其次,然后调度 Data,在没有 H-QOS 技术的情况下,只能为用户分配 2++7Mbps
Root
7 Mbps
Tier 3
Voice max 2Mbps
Video max 3,5 Mbps
level 3
level 2
Data max 7 Mbps Root
7 Mbps
Tier 3
Voice max 2Mbps
Video max 3,5 Mbps
level 3
level 2
Data max 7 Mbps
带宽,各流量之间无法实现带宽的动态分配,而在应用 H-QOS 后,可实现用户的 7M 带宽中
不同业务的优先级调度。
上述实例的 H-QOS 配置如下:
qos
scheduler-policy "scheduler-7Mbps" create
tier 3
scheduler "root" create
rate 7000
exit
exit
exit
sap-egress 2 create
queue 1 create
parent "root" /* 把三个 Q 统一由一个 root 来动态调度 */
rate 7000
exit
queue 2 create
parent "root" level 2
rate 3500
exit
queue 3 create
parent "root" level 3 /* level 越高越优先调度 */
rate 2000
exit
fc af create /* 把 Video 流量分配到 Q2 */
queue 2
dot1p 2
exit
fc be create /* 把数据流量分配到 Q1 */
queue 1
dot1p 0
exit
fc ef create /* 把语音流量分配到 Q3 */
queue 3
dot1p 5
exit
exit
exit
将 QOS 策略应用到对应 SAP 下,以 VPLS 为例:
ies 700 customer 7 create
sap 1/1/9:700 create
egress
scheduler-policy "scheduler-7Mbps"
qos 2
exit
exit
exit
配置 VPLS
configure service
sdp 1 mpls create /* 配置业务分发通道 */
far-end /* 指定对端 PE 的 system 接口地址 */
ldp /* 指 ldp 信令 */
no shutdown
exit
vpls 1 customer 1 create /* 创建二层 vpn 实例 */
no shutdown
mesh-sdp 1 create /* 邦定业务分发通道,vc id 则为业务号 */
sap 1/1/1:100 create /* 邦定物理端口 1/1/1 的 vlan100 */
exit
