江苏电信城域网出口路由器 (华为NE5000E) 设备配置规范
中国电信江苏分公司
2011年7月
Confidential
江苏电信城域网CR路由器(华为NE5000E) 配置规范
版本更新说明
V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《江苏电信城域网CR路由器(华为NE5000E) 配置规范VX.X-YYYYMMDD》,修订说明填写在“主要更新内容”中。
项目编号 版本号 V1.4 V1.3 V1.2 V1.1 V1.02 V1.01 V1.0 编制人/时间 李静/20110709 李静/20100801 李静/20100525 李静/20100425 李静/20100417 李静/20100322 刘金鹏/20091222 审核人/时间 束栋/20110709 束栋/20100801 束栋/20100525 束栋/20100425 束栋/20100417 束栋/20100322 束栋/20091222 文档编号 Q3-WL-43 主要更新内容 按照集团规范,更新部分内容 更新MTU部分内容 更新ISIS 默认路由下发与接收策略 更新MTU,ISIS部分内容 RR,部分安全加固策略 BFD,ISIS协议,BGP属性 定稿 中国电信江苏分公司 第1页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
目 录
第1章 1.1 1.2 第2章 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2
概述 ....................................................................................................................................... 1 术语和缩写语表 ................................................................................................................... 1 网络结构说明 ....................................................................................................................... 3 IP城域网网络设备命名及链路描述规范.......................................................................... 5 设备命名规范 ....................................................................................................................... 5
适用范围 .......................................................................................................................... 5 设备命名规范格式 .......................................................................................................... 5
端口描述规范 ....................................................................................................................... 9
环回接口描述 .................................................................................................................. 9 网络端口描述规范 ........................................................................................................ 10
适用范围 ............................................................................................................................ 10 端口描述包含下面几部分 ................................................................................................. 10
2.2.2.1 2.2.2.2
2.2.3 2.2.4 第3章 3.1 3.1.1 3.1.2 3.1.3
用户端口 ........................................................................................................................ 11 空闲端口描述 ................................................................................................................ 11
出口路由器NE5000E配置规范 ..................................................................................... 12 系统基本配置规范 ............................................................................................................. 12
设备名称配置 ................................................................................................................ 12 Banner配置 ................................................................................................................... 12 设备自身时间及NTP .................................................................................................... 13
时区配置 ............................................................................................................................ 13 系统本地时间 ..................................................................................................................... 13
3.1.3.1 3.1.3.2 3.1.3.3 NTP消息源地址 ...................................................................................................................... 14 3.1.3.4 NTP协议加密 .......................................................................................................................... 14 3.1.3.5 SNTP进程关闭 ....................................................................................................................... 15 3.1.3.6
配置范例 ............................................................................................................................ 15
3.1.4 Telnet配置 ..................................................................................................................... 16
连接数限制......................................................................................................................... 16 空闲时间 ............................................................................................................................ 16
3.1.4.1 3.1.4.2
3.1.4.3 TELNET访问控制列表 ........................................................................................................... 17 3.1.4.4
配置范例 ............................................................................................................................ 17
3.1.5 AAA配置 ........................................................................................................................ 18
3.1.5.1 AAA服务器IP地址和端口号 ................................................................................................ 18 3.1.5.2 AAA消息数据包源地址 .......................................................................................................... 18
中国电信江苏分公司
第2页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.1.5.3 3.1.5.4 3.1.5.5 3.1.5.6 3.1.5.7
认证模式 ............................................................................................................................ 18 授权模式 ............................................................................................................................ 19 审计模式 ............................................................................................................................ 19 本地用户帐号 ..................................................................................................................... 19 配置范例 ............................................................................................................................ 20
3.1.6 3.2 3.2.1 3.2.2 3.2.3
系统高可靠性配置 ........................................................................................................ 21
端口配置规范 ..................................................................................................................... 21
MTU值设计 ................................................................................................................... 21 Loopback接口配置 ....................................................................................................... 23 GE接口配置 .................................................................................................................. 23
接口描述 ............................................................................................................................ 23
3.2.3.1
3.2.3.2 MTU值 ..................................................................................................................................... 24 3.2.3.3 3.2.3.4 3.2.3.5 3.2.3.6
关闭GE端口协商 .............................................................................................................. 24 关闭存在风险的安全漏洞 ................................................................................................. 25 接口震荡禁止 ..................................................................................................................... 25 配置范例 ............................................................................................................................ 25
3.2.4 GE子接口接口配置 ...................................................................................................... 26
命名规范 ............................................................................................................................ 26 接口描述 ............................................................................................................................ 26
3.2.4.1 3.2.4.2
3.2.4.3 dot1q封装格式 ....................................................................................................................... 26 3.2.4.4
配置范例 ............................................................................................................................ 26
3.2.5 POS接口配置 ................................................................................................................ 27
接口描述 ............................................................................................................................ 27
3.2.5.1
3.2.5.2 MTU值 ..................................................................................................................................... 27 3.2.5.3 POS封装、帧等 ...................................................................................................................... 27 3.2.5.4 POS链路同步时钟 .................................................................................................................. 28 3.2.5.5 配置范例 ............................................................................................................................ 28
3.2.6 3.3 3.3.1 3.3.2 3.3.3
端口镜像配置 ................................................................................................................ 29
路由协议配置规范 ............................................................................................................. 29
城域网路由架构概述 .................................................................................................... 29 路由优先级/管理距离 ................................................................................................... 30 静态路由配置 ................................................................................................................ 31
静态路由优先级 ................................................................................................................. 31 静态路由配置方式 ............................................................................................................. 31 黑洞路由配置 ..................................................................................................................... 31 浮动静态路由配置 ............................................................................................................. 32 静态路由标记和描述 ......................................................................................................... 32 配置范例 ............................................................................................................................ 33
第3页
3.3.3.1 3.3.3.2 3.3.3.3 3.3.3.4 3.3.3.5 3.3.3.6
中国电信江苏分公司
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.4 ISIS 配置 ....................................................................................................................... 33
概述 .................................................................................................................................... 33
3.3.4.1
3.3.4.2 ISIS 实例名 ............................................................................................................................ 33 3.3.4.3 ISIS NET ID ............................................................................................................................ 34 3.3.4.4 ISIS路由器类型 ..................................................................................................................... 34 3.3.4.5 ISIS Cost-style ........................................................................................................................ 34 3.3.4.6 ISIS协议接口类型.................................................................................................................. 35 3.3.4.7 ISIS 负载均衡条目................................................................................................................. 35 3.3.4.8 ISIS 路由协议优先级 ............................................................................................................. 35 3.3.4.9 ISIS 重分布路由 .................................................................................................................... 35 3.3.4.10 3.3.4.11 3.3.4.12 3.3.4.13 3.3.4.14 3.3.4.15 3.3.4.16 3.3.4.17 3.3.4.18 3.3.4.19 3.3.4.20 3.3.4.21
ISIS邻居加密 .................................................................................................................... 36 ISIS接口宣告 .................................................................................................................... 36 ISIS cost值规划 ................................................................................................................ 36 ISIS LSP最大有效时间 ..................................................................................................... 37 关闭ISIS hello 报文填充 ................................................................................................. 38 ISIS LSP MTU .................................................................................................................... 38 ISIS LSP刷新间隔时间 ..................................................................................................... 38 ISIS动态主机名 ................................................................................................................ 38 ISIS OVERBIT位 ............................................................................................................... 39 ISIS缺省路由 .................................................................................................................... 39 ISIS log邻居变化信息 ...................................................................................................... 39 配置范例 ............................................................................................................................ 39
3.3.5 BGP配置 ........................................................................................................................ 40
概述 .................................................................................................................................... 41 自治系统 ............................................................................................................................ 41 城域网BGP 部署策略....................................................................................................... 41
3.3.5.1 3.3.5.2 3.3.5.3
3.3.5.4 BGP router-id配置 ................................................................................................................. 42 3.3.5.5 BGP log邻居变化信息 ........................................................................................................... 42 3.3.5.6
关闭BGP同步和自动汇总 ................................................................................................ 42
3.3.5.7 BGP邻居MD5加密 ................................................................................................................ 43 3.3.5.8 BGP时间参数 .......................................................................................................................... 43 3.3.5.9 BGP community 属性规划 .................................................................................................... 43 3.3.5.10 3.3.5.11 3.3.5.12
163 BGP 路由策略 ............................................................................................................ 43 CN2 BGP路由策略 ............................................................................................................ 44 配置范例 ............................................................................................................................ 44
3.3.6 RR配置 .......................................................................................................................... 46
概述 .................................................................................................................................... 47 功能设计 ............................................................................................................................ 48 收发路由策略 ..................................................................................................................... 48
3.3.6.1 3.3.6.2 3.3.6.3
3.3.6.4 BGP Peer group命名 ............................................................................................................. 49
中国电信江苏分公司
第4页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.6.5
配置范例 ............................................................................................................................ 49
3.3.7 3.3.8 3.3.9
默认路由管理 ................................................................................................................ 51 负载均衡配置 ................................................................................................................ 51 策略路由配置 ................................................................................................................ 52
概述 .................................................................................................................................... 52 策略路由策略(参考) ..................................................................................................... 52
3.3.9.1 3.3.9.2
3.4 MPLS标签配置规范 ............................................................................................................... 53 3.4.1
MPLS全局配置 .............................................................................................................. 53
全局开启MPLS功能 ......................................................................................................... 53
3.4.1.1
3.4.1.2 MPLS router-id ........................................................................................................................ 54 3.4.1.3
配置范例 ............................................................................................................................ 55
3.4.2 LDP协议配置 ................................................................................................................ 55
3.4.2.1 LDP协议加密 .......................................................................................................................... 55 3.4.2.2 LDP标签发布和管理 .............................................................................................................. 55 3.4.2.3 LDP协议时间参数 .................................................................................................................. 57 3.4.2.4 LDP邻居过滤 .......................................................................................................................... 57 3.4.2.5
配置范例 ............................................................................................................................ 59
3.5 3.5.1
网管配置 ............................................................................................................................. 59
SNMP管理代理配置 ..................................................................................................... 59
全局开启SNMP进程......................................................................................................... 59
3.5.1.1
3.5.1.2 SNMP版本 ............................................................................................................................... 60 3.5.1.3 RO Community值 .................................................................................................................. 60 3.5.1.4 RW Community值 .................................................................................................................. 61 3.5.1.5 SNMP访问控制列表 ............................................................................................................... 61 3.5.1.6 Ifindex索引一致性................................................................................................................. 61 3.5.1.7 配置范例 ............................................................................................................................ 62
3.5.2 故障管理配置 ................................................................................................................ 62
3.5.2.1 SNMP TRAP信息内容 ............................................................................................................ 62 3.5.2.2 SNMP TRAP 服务器地址 ....................................................................................................... 63 3.5.2.3 SNMP TRAP消息源地址 ........................................................................................................ 63 3.5.2.4 SYSLOG服务器地址 ............................................................................................................... 63 3.5.2.5 SYSLOG信息级别 ................................................................................................................... 63 3.5.2.6 SYSLOG消息源地址 ............................................................................................................... 64 3.5.2.7
配置范例 ............................................................................................................................ 64
3.5.3 Flow配置 ....................................................................................................................... 65
配置范例 ............................................................................................................................ 66
3.5.3.1
3.6 QOS配置规范 ......................................................................................................................... 66 3.6.1
QoS分类和标记 ............................................................................................................ 66
第5页
中国电信江苏分公司
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.6.2 3.6.3 3.6.4 3.6.5 3.6.6 3.7 3.7.1 3.7.2 3.7.3 3.7.4
预留带宽管理 ................................................................................................................ 67 流量限速和整形 ............................................................................................................ 67 队列调度 ........................................................................................................................ 68 拥塞避免 ........................................................................................................................ 68 与CN2网的QoS对接 .................................................................. 错误!未定义书签。
组播配置规范 ..................................................................................................................... 73
组播概述 ........................................................................................................................ 73 组播配置 ........................................................................................................................ 74 组播RP配置.................................................................................................................. 75 组播MSDP配置 ............................................................................................................ 76
3.8 BFD配置规范 .......................................................................................................................... 77 3.8.1 3.8.2 3.8.3 3.8.4 3.8.5 3.9 3.9.1 3.9.2
BFD概述 ........................................................................................................................ 77 静态BFD会话和接口状态联动 ................................................................................... 78 静态路由配置BFD ........................................................................................................ 79 ISIS协议配置BFD ........................................................................................................ 79 BGP协议配置BFD ........................................................................................................ 80
安全策略配置推广 ............................................................................................................. 81
源地址合法性检测 ........................................................................................................ 81 城域网设备安全加固策略 ............................................................................................ 82
中国电信江苏分公司 第6页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
第1章 概述
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规范。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对城域网核心层路由器设备制定相关配置规范。
本文主要内容安排如下:
1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位; 2. 从网络配置方面阐述配置说明以及规范要求,并给出主流路由器型号设备的配置示例。针对路由器设备,网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。
3. 提出文档维护和执行的管理要求。
1.1 术语和缩写语表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
AAA ACL AS BGP CAR CE CR 中国电信江苏分公司
Autentication Authorization and Accounting 认证、授权与计费 Access Control List 访问控制列表 Autonomous System 自治系统 Boarder Gateway Protocol 边界网关协议 Committed Access Rate 承诺访问速率 Customer Edge 客户边缘设备 Core Router 核心路由器 第1页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
DDoS DiffServ DSCP FRR GE GR HA HDLC H-QOS IP ISIS LDP LSP LSR MP-BGP MIB MPLS NSF NSR NTP OAM OSPF PE POS PPP QoS RR RSVP SDH SNMP SR TCP TE 中国电信江苏分公司
Distributed Deny of Service 分布式拒绝服务攻击 Differentiated Services 差分服务 Differentiated Service Code Point 差分服务代码点 Fast Re-route 快速重路由 Gigabyte Ethernet 千兆以太网 Graceful Restart 平滑重启动 High Availability 高可用性 High Data Link Control 高级数据链路控制 Hierarchical Quality of Servie Internet Protocol 互联网协议 Inter System to Inter System 中间系统到中间系统 Label Distribution Protocol 标记分发协议 Label Switching Path 标记转发路径 Label Switch Router 标记交换路由器 Multi-protocol Boarder Gate Protocol 多协议边界网关协议 Management Information Base 管理信息库 Multiple Protocol Label Switching 多协议标签交换 Non stop Fowarding 不间断转发 Non stop Routing 不间断路由 Network Time Protocol Operation Administration and Maintenance 操作维护管理 Open Shortest Path First Provider Edge 运营商边缘设备 Packet over SDH SDH封装数据包 Point to Point Protocol 点到点协议 Quality of Service 服务质量 Route Reflector 路由反射器 Resource Reservation Protocol 资源预留协议 SymMetric Digital Hierarchy 同步数字序列 Simple Network Management Protocol 简单网络管理协议 Service Router 业务路由器 Transfer Control Protocol 传输控制协议 Traffic Engineering 流量工程 第2页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
UDP uRPF VPLS VPN VRF VRRP 上行流量 下行流量 …… User Data Protocol 用户数据报协议 Reverse Path Fowarding 反向路径转发 Virtual Private LAN Service 虚拟专用局域网业务 Virtual Private Network虚拟专用网 Virtual Routing and Forwarding 虚拟路由转发实例 Virtual Routing Redundancy Protocol 虚拟路由冗余协议 用户发出的流量 用户收到的流量 ……
1.2 网络结构说明 经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,BRAS 和SR 作为业务接入控制层组成部分,是IP 城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。
中国电信江苏分公司
第3页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
中国电信江苏分公司 第4页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
第2章 IP城域网网络设备命名及链路描述规范
2.1 设备命名规范
2.1.1 适用范围
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备: ? 出口核心路由器 ? 汇聚路由器 ? 路由反射器 ? BRAS ? SR ? 汇聚交换机 ? 园区交换机 ? 楼道交换机 ? DSLAM 2.1.2 设备命名规范格式 城市缩写 字符 <6 必选 节点缩写 字符 <8 必选 设备属性 字符 ≤3 必选 网络(业务)类型 字符 ≤4 必选 设备型号 字符 ≤7 可选 设备序号 数字 3 可选 | 符号 字符数 选项 - 字符 1 必选 - 字符 1 必选 . 字符 1 必选 . 字符 1 必选 - 字符 1 可选 ? 字母大小各市需要采用统一标准,全部大写。 ? 两端、中间不带任何空格。
? 城市标识,取城市名称拼音的首字母大写如:南京NJ、盐城YC。 ? 节点标识,取节点名称拼音的首字母大写,如两节点的首字母有重叠,则
取拼音不相同的用全拼:去分两种情况,当后一个字不同时则后一个取全拼,当前一个字不同时则前一个取全拼,如汉中门(HanZM)和后宰门(HouZM)。
? 华为设备名称最多字符数:
中国电信江苏分公司
第5页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
NE5000E、ME60、5200G、NE80E最多30个字符; ? 郊市区节点标识前统一增加郊市区名称拼音的首字母:
江宁:NJJN 埔口:NJPK 六合:NJLH
? 设备属性标识,规定如下:
出口路由器:CR,如核心路由器兼做出口路由器则用CR 汇聚路由器:BR BRAS设备:BAS 业务路由器:SR 路由反射器:RR 汇聚交换机:BSW 园区交换机:ASW 楼道交换机:LSW Dslam设备:DSL WLAN AC设备:AC WLAN AP设备:AP 黑洞设备:HD DNS设备:DNS
? 设备序号,取阿拉伯数字,从1开始。同节点的相同属性的设备间以设备
序号区别。
? 网络类型:MAN (城域网),M2N(第2平面设备) IDC(IDC) NGN (NGN) ITV(IPTV) DCN
? 设备型号:设备型号编码。
中国电信江苏分公司 第6页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
设备 CISCO CRS-1/MC CISCO 12X16 CISCO 12816 CISCO 6509 CISCO 7609 CISCO 7513 CISCO 2948 CISCO 3550 ALCATEL7750 FOUNDRY 8000 FOUNDRY 4000 SE800 SE1200 华为NE5000E 华为NE80 华为NE40 中兴 T64G 设备型号编码 CRS C12X16 C12816 C6509 C7609 C7513 C2948 C3550 AC7750 F8000 F4000 SE800 SE1200 NE5000E NE80 NE40 T64G 第7页
中国电信江苏分公司
江苏电信城域网CR路由器(华为NE5000E) 配置规范
中兴 T40G 中兴980X 中兴9210 Juniper E320 Juniper ERX1440 Juniper T1600 华为 MA5200G 华为5200F 华为5200 华为5100 华为530X 华为560X 华为8505 华为8508 华为3026 华为2403X 华为6506R 华为6503 T40G ZTE980X ZTE9210 E320 ERX1440 T1600 MA5200G MA5200F MA5200 MA5100 MA530X MA560X S8505 S8508 S3026 S2403X S6506R S6503 中国电信江苏分公司 第8页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
贝尔 730X 中兴8220
BL730X ZTE8220 ? 自定义字段,可以加入网络子类型及设备型号等内容。 例子:
示例1:城域网出口路由器,南京,游俯西街,第一台出口路由器,命名为 NJ-YFXJ-CR.MAN.CRS-1 示例2:城域网汇聚路由器,南京,汉中门,第一台汇聚路由器,命名为 NJ-HanZM-BR.MAN.C12816-1 示例3:城域网业务路由器,南京江宁,汤山,第一台业务路由器,命名为 NJJN-TS-SR.MAN.C12816-1 示例4:城域网汇聚交换机,南京,新街口,第一台汇聚交换机,命名为 NJ-XJK-BS.MAN.S8505-1 示例5:城域网接入交换机,南京,后宰门,第一台接入交换机,命名为NJ-HouZM-AS.MAN.T64G-1 示例6:IPTV路由器,南京,汉中门,第一台汇聚路由器,命名为 NJ-HanZM-BR.ITV.C7609-1
2.2 端口描述规范 2.2.1 环回接口描述 | 符号 字符数 选项 For 字符 3 必选 - 字符 1 必选 功能描述 字符串 ≤30 必选 说明: For:固定字符串。
功能描述:描述该loopback端口特殊功能,为有意义的英文字符串。如:Management、Multicast、VPN、Global Routing、BGP Load balance等。
中国电信江苏分公司
第9页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
interface Loopback0 description For-Management ip address 202.97.36.86 255.255.255.255 2.2.2 网络端口描述规范
2.2.2.1 适用范围
本部分适用于城域网设备的互连接口描述。 华为:NE5000E接口描述最多242个字符,NE80最多80个字符,ME60最多64个字符,5200G最多80个字符; 2.2.2.2 端口描述包含下面几部分 | 符号 字符数 选项 uT:(上行)pT:(平行)dT:(下行) 字符 3 必选 对端设备名称 字符 ≤20 必选 (链路传输编号) 字符 ≤15 必选 对端端口类型 字符 ≤10 必选 对端端口标志 数字/字符 ≤8 可选 (VR) 字符 ≤10 可选 : 字符 1 必选 “对端端口类型”要根据对端不同设备类型进行区分规范, “对端端口标志”表示链路对端设备对应端口的具体标志规范, “(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,则为(Local)。调测期间的链路描述最后增加“::PROCESSING”,调测完成加业务后取消“::PROCESSING”。 端口类型如下表:
端口类型 POS(2.5G) POS(10G) POS(40G) 以太(GE) 以太(10GE) 中国电信江苏分公司
端口描述 OC48POS*/*/* 10GPOS*/*/* 40GPOS*/*/* GE*/*/* 10GE*/*/* 第10页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
例子:
uT:NJ-YFXJ-CR.MAN.CRS-1:(Local)10GE0/0/1/0(VOD)::PROCESSING 2.2.3 用户端口
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途VPN电路,需要添加本地接入电路号(比如南京CTVPN52127A)。另外,建议添加用户名称等如下信息。 格式: 专线号 To用户标识 | 符号 字符数 选项 本地专线号或者接入电路号 空格 字符 根据实际情况 必选 To 空格 用户标识 空格 分配带宽 字符 ≤20 必选 字符 1 必选 字符 ≤5 必选 字符 字符 字符 1 2 1 必选 必选 必选 说明: ? 本地专线号或者接入电路号,比如:IPCYW1248693 ? To:固定字符串; ? 用户标识:有意义的汉语拼音和语音组成的字符串,用户名.用户性质,其中用户名为小写,用户性质见下表规参照下表进行规定。 公司 证券 银行 团体 政府 网吧 中小学 大学 CORP SECU BANK COMM GOVE NETB SCHO UNIV 示例1: IPCYW2517649 To DaJinTouZi.CORP 3M 表示用户为大金投资公司,使用3M带宽。
2.2.4 空闲端口描述
规范要求设备上的所有空闲未用的端口统一shutdown,便于网管监控。
中国电信江苏分公司 第11页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
第3章 出口路由器NE5000E配置规范
3.1 系统基本配置规范
3.1.1 设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。 规范要求: 设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。 配置规范: # sysname YC-836-CR.MAN.NE5000E-1 配置注意细节: 可以根据需要添加设备型号在.MAN后。 割接过渡期间新设备加N,如YC-836-CR.MAN.NE5000E-N1,割接后应及时将N删除。 3.1.2 Banner配置 配置说明: 统一Banner语言,以省网标准为主。 规范要求: 所有出口路由器配置统一的Banner信息,登陆时提示: WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! 配置规范:
[Quidway] header login information % WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!% 配置验证:
登陆路由器时应看到banner提示。 配置注意细节:
中国电信江苏分公司
第12页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。
3.1.3 设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
3.1.3.1 时区配置 配置说明: 统一设备的时区配置。 规范要求: 配置系统时区为GMT+8,北京时区。 配置规范:
骨干设备南京C1, 南京C4 作为江苏省内城域网出口路由器的NTP SERVER; 城域网配置主和备两组NTP服务器,并分为两级结构:
城域网出口作为NTP CLIENT,配置与202.97.32.192 , 202.97.32.187同步时钟;城域网出口做为NTP SERVER,配置NTP 所在主时钟层数为默认,出口以下设备则配置向出口路由器进行时钟同步。
配置现网设备NTP协议版本为V3。
中国电信江苏分公司
第13页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
指定本地发出NTP消息的接口。 配置规范:
ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器,南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器, 南京C4 ntp-service refclock-master 8 #作为城域网内BRAS/SR的ntp server,取默认层数为8 配置验证:
display ntp-service status display ntp-service session 配置注意细节: 华为NE路由器默认NTP协议版本号为V3,不需特别配置版本信息。 配置限制NTP PEER的控制列表统一取值为2579。 3.1.3.3 NTP消息源地址 配置说明: 指定本地发出NTP消息的接口。 规范要求: 城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源地址。 配置规范: ntp-service source-interface loopback 0 配置验证: display current | i ntp-service 配置注意细节: 无。 3.1.3.4 NTP协议加密 配置说明:
配置NTP协议加密,防止伪造NTP源引起设备时间错误。 规范要求:
因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用使用加密。
中国电信江苏分公司
第14页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
配置规范(参考):
ntp-service authentication enable ntp-service authentication-keyid 11 authentication-mode md5 “xxx” #key ntp-service reliable authentication-keyid 11 配置验证: display clock display ntp-service status display ntp-service session 配置注意细节: 无。
3.1.3.5 SNTP进程关闭 配置说明: SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求: 出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。 配置规范: NE5000E默认关闭SNTP进程,不需要特别配置。 配置验证: 无。 配置注意细节: 无。 3.1.3.6 配置范例 clock timezone BeiJing minus 08:00:00 #时区设置(用户视图) ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器,南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器,南京C4 ntp-service refclock-master 8 #城域网出口路由器,作为城域网内BRAS/SR的ntp server,提供时钟服务 配置acl,限制peer 的访问 acl 2579 acl number 2579 description this acl is used ntp peer rule 10 permit source 202.97.32.192 0 rule 15 permit source 202.97.32.187 0 rule 20 permit source 61.177.248.0 255.255.255.0 中国电信江苏分公司
第15页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
rule 100 deny ntp-service access peer 2579 3.1.4 Telnet配置
3.1.4.1 连接数限制 配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。 规范要求: 配置出口路由器Telnet最大连接数限制为5个(7750设置为7)。 配置规范: user-interface maximum-vty 5 配置验证: display user-interface maximum-vty 配置注意细节: 华为及CISCO设备 VTY连接数限制默认为5。 3.1.4.2 空闲时间 配置说明: 设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。 规范要求: 对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为10分钟。 配置规范:
user-interface console 0 idle-timeout 10 0 user-interface aux 0 idle-timeout 10 0 user-interface vty 0 9 idle-timeout 10 0 配置验证: 中国电信江苏分公司
第16页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
disp curr | b user-interface 配置注意细节: 华为设备默认超时时间即为10分钟,配置后也不会显示配置。 3.1.4.3 TELNET访问控制列表 配置说明:
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求: 配置Telnet源地址限制,包含省公司地址和最小化的地市网管中心维护IP网段。 Telnet访问控制列表条目从10开始,条目的间隔步长为5,在访问控制列表的最后显示配置一条deny source any语句。 配置规范: acl number 2577 description this acl is used telnet rule 10 permit source *.*.*.* *.*.*.* rule 15 permit source *.*.*.* *.*.*.* rule 3000 deny any 配置验证: disp acl 2577 disp curr | b user-interface 配置注意细节: 华为设备Telnet ACL统一使用编号2577。 3.1.4.4 配置范例 中国电信江苏分公司 第17页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
acl number 2577 description this acl is used telnet
rule 10 permit source 61.155.48.0 0.0.0.255 rule 15 permit source 61.177.248.0 0.0.1.255 rule 20 permit source 202.102.15.200 0
rule 25 permit source 202.102.37.64 0.0.0.31 rule 3000 deny any
user-interface vty 0 4
acl 2577 inbound #设置VTY口登录控制列表为2577
disp acl 2577
disp curr | b user-interface
注意:
修改ACL时,先删除VTY下acl的应用,如undo acl inbound,而不是undo acl xxx inbound,再重新应用新的acl。
3.1.5 AAA配置
3.1.5.1 AAA服务器IP地址和端口号 配置说明:
配置AAA服务器IP地址,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定采用Tacacs+认证;
例:指定Tacacs+服务器地址为:221.231.148.6,认证密钥为XXX。并增加备用Tacacs+服务器地址61.177.64.146,认证密钥为XXX。
3.1.5.2 AAA消息数据包源地址 配置说明:
配置AAA消息数据包源地址。 规范要求:
指定出口路由器AAA消息数据包源地址为Loopback0接口地址。 3.1.5.3 认证模式 配置说明:
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及
中国电信江苏分公司
第18页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。
规范要求:
配置认证方式顺序为首先选用Tacacs+服务器,其次选用本地用户信息进行认证。
配置注意细节:
不同厂家AAA认证的顺序差异较大,需要注意。 3.1.5.4 授权模式 配置说明:
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一个用户能访问什么服务。配置由先TACACS服务器授权,后本地用户授权。用户分3个等级:
1级只具有一般的查看权限,不具有查看配置权限; 2级具有1级的查看权限、配置接口权限; 3级全部操作权限。 规范要求:
配置由首先TACACS服务器授权,其次本地用户授权,用户分3个等级。 3.1.5.5 审计模式 配置说明:
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。
规范要求:
配置Tacacs+服务器对登陆设备的用户进行审计记录。 3.1.5.6 本地用户帐号 配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。配置本地用户帐号admin,设置最高权限,使用省公司统一指定的密码。路由器的CONSOLE口仅允许本地帐号认证,不使用AAA服务器认证。
中国电信江苏分公司
第19页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
规范要求:
设置最高权限的本地账号,用于应急登陆。 3.1.5.7 配置范例
#配置HWTACACS服务器模板tongyirenzheng,源地址为设备LOOPBACK0地址,密钥为XXX,用户名格式中不包括域名。
hwtacacs-server template tongyirenzheng hwtacacs-server authentication 221.231.148.6
hwtacacs-server authentication 61.177.64.146 secondary hwtacacs-server authorization 221.231.148.6
hwtacacs-server authorization 61.177.64.146 secondary hwtacacs-server accounting 221.231.148.6
hwtacacs-server accounting 61.177.64.146 secondary hwtacacs-server source-ip *.*.*.* hwtacacs-server shared-key xxx
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案hwtacacs,认证模式先采用tac服务器认证,后采用本地认证。 authentication-scheme hwtacacs
authentication-mode hwtacacs local
#配置授权方案hwtacacs,先采用tac服务器授权,后采用本地用户授权。 authorization-scheme hwtacacs
authorization-mode hwtacacs local
#配置计费方案hwtacacs,使用tac服务器进行计费。 accounting-scheme hwtacacs accounting-mode hwtacacs
#配置记录方案hwtacacs,与记录方法关联的hwtacacs服务器模板的名称为上面配置的hwtacacs。注意:在使用recording-mode hwtacacs命令前,hwtacacs服务器模板必须已经创建完成。
recording-scheme hwtacacs
recording-mode hwtacacs tongyirenzheng
#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。 system recording-scheme hwtacacs
#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户端的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。 outbound recording-scheme hwtacacs
#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备情况进行记录,对监控和故障处理有一定的帮助。 cmd recording-scheme hwtacacs
#配置缺省域defaul,域的认证方案、计费方案、授权方案名称都为hwtacacs。
domain default
authentication-scheme hwtacacs authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server tongyirenzheng
中国电信江苏分公司
第20页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
#规范本地level 3 的帐号: local-user admin password cipher admin local-user admin level 3 local-user admin service-type terminal telnet user-interface con 0 authentication-mode password //con口,本地认证模式 set authentication password cipher XXX //可根据省NOC统一规划 检查: display authentication-scheme hwtacacs display authentication-scheme hwtacacs display authorization-scheme hwtacacs display hwtacacs-server template tongyirenzheng display domain default display local-user 3.1.6 系统高可靠性配置 配置说明: 配置系统引擎冗余模式。 规范要求: 打开自动切换,要求采用最优切换方式。 配置规范: 华为NE路由器两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。 配置验证: display device #显示2块MPU为1个为Master状态,一个为Slave状态 display switchover state #显示备份状态,当状态为“Info:HA FSM State, Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题 配置注意细节: 无。
3.2 端口配置规范
3.2.1 MTU值设计
城域网路由型设备端口MTU的设置主要受多个方面因素影响:
? IP城域网内部统一IP MTU值(MPLS MTU随IP MTU自动调整);对厂家、
中国电信江苏分公司
第21页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
机型、板卡类型、端口类型都统一;
? L3 Protocol MTU值尽可能取大值,以加快协议收敛;
? IGP路由协议邻居关系的建立,需要两侧设备端口MTU值保持一致; ? 接入网的以太化,终端侧MTU均不超过1500;
? 与外部连接端口的MTU值需与对端设备协商保持一致,尽可能取大值。 ? PIM Join消息以端口MTU为基准,进行Join 数据包分片; ? ISIS协议LSP数据包默认最大值为1497;
规范IP城域网路由型设备的所有互连端口,GE/10GE以太网口IP MTU统一取值为1600字节;POS口IP MTU统一取值为4470字节。 为缩短IGP邻居建立时间,IGP协议配置全部取消对接口MTU的检查。 各厂家设备的设备端口配置下MTU具体含义有所不同,具体见下表: 序号 1 2 3 4 5 6 1 2 3 4 6 7 8 Juniper TX 阿朗 SR7750 EX 思科 RedBack SE系列 CRS-1系列 华为 NE系列 思科 设备厂商 设备类型 GSR/76/65系列 端口类型 Ethernet POS Ethernet POS Ethernet POS Ethernet POS Ethernet POS Ethernet Ethernet POS MTU值含义 IP MTU IP MTU IP MTU IP MTU IP MTU IP MTU IP MTU+14 IP MTU+4 IP MTU+14 IP MTU+2 IP MTU+18 IP MTU+14 IP MTU+4 缺省值 1500 4470 1500 4470 1500 4470 1514 4474 1514 9208 1518 1514 4474 建议值 1600 4470 1600 4470 1600 4470 1614 4474 1614 4472 1622 1614 4474 【1】 Juniper E系列Bras设备通常用子接口的方式互连上层设备,子接口下IP MTU=主接口 MTU
-22 ,因此建议主接口MTU取值为1622。
E系列设备IP MTU值是根据二层MTU层值自动计算而来,三层MTU等于二层MTU减22;
【2】 SR 7750 以太端口为access 模式,默认MTU 为1514,若封装dot1Q ,则需加4字节为
1518字节;若为network模式,则默认为1514字节;
SR 7750 POS端口为netwotk模式时默认为9208字节。
【3】 对于iTV平台、全球眼平台、交换BAC等非MPLS接入,建议统一接口IP MTU为1500。
中国电信江苏分公司
第22页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.2.2 Loopback接口配置
配置说明:
配置Loopback地址,提供一个永远up的IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。
规范要求:
城域骨干网出口路由器配置一个loopback 0地址,掩码必须为32位。 Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。 测试使用loopback从500开始编号,并明确标注相应的测试用途,便于查询和删除。 配置规范: interface LoopBack0 ip address *.*.*.* 255.255.255.255 description For-Management 配置验证: disp inter loopback 0 配置注意细节: 无 3.2.3 GE接口配置 3.2.3.1 接口描述 配置说明: 配置接口描述,明确标识链路连接方向,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
对于二三层接口不分的设备,(华为,CISCO、Juniper):
端口描述要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。 对于二三层接口分离的设备,(7750、SE800):
配置二层接端口的描述符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。并注意端口描述中的对端端口应区别不同设备。
中国电信江苏分公司
第23页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
命名三层接口时,采用与Juniper类似的名称, 比如so-1/1/3,ge-2/0/0,名称中不带空格。
配置三层接口的描述和相应的二层接口描述一致,上行链路描述前缀使用“uT:”,下行链路描述前缀使用“dT:”,横连链路前缀使用“pT:”。
未使用的端口需要Shutdown,并删除端口描述、IP地址、子接口等配置。 3.2.3.2 MTU值 配置说明:
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为:当PING小包时正常,不会丢包,但是PING大包时会明显丢包,而且影响IGP协议正常建立邻居关系。
规范要求:
Cisco CRS-1,Juniper TX,阿郎SR 7750 设备端口MTU为IP MTU +14,即取值为:1614。
Cisco GSR,华为设备端口MTU取值为:1600。 Juniper E系列Bras设备端口MTU为IP MTU +22 ,即取值为:1622. 配置注意细节
端口需shutdown/undoshutdown后,更改后的MTU值才会生效。
不同设备端口下MTU配置命令功能存在差异,例:华为设备端口下配置MTU命令的默认即为3层MTU,而Cisco CRS设备端口配置MTU命令为2层MTU,其数值需-14字节才为IP MTU值,因此配置端口MTU值时,需注意不同设备的配置下MTU配置命令的功能差异。
3.2.3.3 关闭GE端口协商 配置说明:
端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,并且侦测远端通告的相应的运行方式。一条链路两端的端口必须是同样的配置,如果千兆链路两端的配置不一致,端口状态将不up或不稳定。
规范要求:
关闭GE端口的自动协商功能,防止协商不一致导致端口不能up。 配置注意细节:
中国电信江苏分公司
第24页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
缺省情况下,GE电口为自动协商,可修改协商模式。 3.2.3.4 关闭存在风险的安全漏洞 配置说明:
关闭GE端口可能存在风险的安全漏洞。
ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路由,存在DOS攻击的风险。
Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的流量。 Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,存在ARP欺骗安全问题。 规范要求: 关闭ICMP Redirect、Direct Broadcast、Proxy ARP。 3.2.3.5 接口震荡禁止 配置说明: 为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。 所有GE和POS接口都开启damping。 HW默认值: half-life:54s, resume:750, suppress:2000, max-suppress:6000 规范要求: 开启接口震荡禁止功能,使用默认值。 3.2.3.6 配置范例 interface GigabitEthernet1/0/0 undo negotiation auto #GE电口 mtu 1600 #注意与对端保持一致 description pT: NJ-HZM-BAS.MAN.SE800-1::( )GE1/0/0 ip address X.X.X.X X.X.X.X undo icmp redirect send undo arp-proxy enable #默认行为 control-flap #端口启用震荡禁止 set flow-stat interval 30 #流量统计时间间隔为30秒。 检查: disp inter gi1/0/0 中国电信江苏分公司 第25页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.2.4 GE子接口接口配置
3.2.4.1 命名规范
华为、Cisco为固定“主接口名”+“.”+“数字编号”的格式。
阿朗7750的子接口命名规范遵从“-”之后字段与关联sap相同的原则,具体举例如下表:
主接口类型 子接口命名举例(dot1q) 子接口命名举例(qinq) FE口 fe-2/1/1:100 fe-2/1/1:100.1001 GE口 ge-1/1/1:200 ge-1/1/1:200.2001 LAG口 lag-1:300 lag-1:300.3001 3.2.4.2 接口描述 配置说明: 出口路由器的GE子接口为连接到BAS不同VR使用,子接口描述中应能体现连接对端VR的相关必要信息。 规范要求: 格式:接口描述+(VR名称)。 3.2.4.3 dot1q封装格式 配置说明: 出口GE子接口封装为dot1q格式,用于与下联BAS具体VR通信。 规范要求: GE子接口封装为dot1q格式。子接口ID使用VLAN号。 3.2.4.4 配置范例 interface GigabitEthernet1/0/0 undo negotiation auto #GE电口 mtu 1600 #注意与对端保持一致 description pT: NJ-HZM-BAS.MAN.SE800-1::( )GE1/0/0 ip address X.X.X.X X.X.X.X undo icmp redirect send undo arp-proxy enable #默认行为 control-flap #端口启用震荡禁止 set flow-stat interval 30 #流量统计时间间隔为30秒。 interface GigabitEthernetX/X/X.192 description pT: NJ-HZM-BAS.MAN.SE800-1::( )GE1/0/0(vrVPDN_LAC) 中国电信江苏分公司 第26页 江苏电信城域网CR路由器(华为NE5000E) 配置规范
检查命令: display inter gi X/X/X display inter gi X/X/X.192 vlan-type dot1q 192 ip address X.X.X.X X.X.X.X 3.2.5 POS接口配置
3.2.5.1 接口描述 配置说明:
配置接口描述,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
要求配置三层接口的描述和相应的二层接口描述一致,符合第二章规范。 未使用的端口需要SHUTDOWN,并删除端口描述、IP地址、子接口等配置。 3.2.5.2 MTU值 配置说明:
配置接口的最大传输单元(MTU)值。当两端的MTU值不一致时动态路由协议不能正常建立邻居关系。当PING小包时正常,不会丢包,但是PING大包时会明显丢包。
规范要求:
Cisco CRS-1,Juniper TX 设备端口MTU为IP MTU +4,默认值即为4474,无需配置。 Cisco GSR,华为设备端口下MTU默认值为4470,无需配置。 阿郎SR 7750设备端口MTU为IP MTU +2,即取值为:4472。 3.2.5.3 POS封装、帧等 配置说明:
POS即Packet Over SONET/SDH,使用SDH提供的高速传输通道直接传送IP分组,SONET/SDH是点对点的物理层的协议,IP是网络层的协议。根据OSI七层模型,二者之间还需要一个链路层协议,可配置采用PPP或HDLC作为链路层的协
中国电信江苏分公司
第27页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
议。
配置POS的物理层帧格式采用国际标准SDH,不使用北美标准SONET。 配置POS接口的线路加码功能,便于接受端提取线路时钟,如果一端配置了线路加扰而另一方没有,则不能互通。
配置POS接口两端的CRC值必须一致,否则不能互通。
配置POS的链路层帧格式使用国际标准PPP,不使用HDLC封装。 规范要求:
配置POS接口封装为PPP; 配置POS的帧格式为SDH; 配置CRC设置为32位; 开启POS scramble加扰; 关闭ICMP Redirect特性; 3.2.5.4 POS链路同步时钟 配置说明:
配置POS链路同步时钟,与传输互联时钟应跟随传输时钟,与其他路由器背靠背裸纤直连接时,互连双方都设置为主时钟,防止出现时钟环。主时钟是使用内部时钟信号判定收到的数据位,从时钟是使用从收到的数据流中提取对端时钟信号来判定收到的数据位。
CISCO、JUNIPER、Alcatel-Lucent POS端口默认为从时钟,华为默认为主时钟。 规范要求: 与传输互联时钟跟随传输时钟,即路由器配置为从时钟。
如为WDM或与其他路由器背靠背裸纤直连接时,互连双方均设置为主时钟。 3.2.5.5 配置范例
interface pos 1/0/0 description pT:NJ-YFXJ-CR.MAN.CRS-1:( )10GPOS0/5/3/0 mtu 4470 #默认值 link-protocol ppp #默认值 frame-format sdh #默认值 scramble #默认值 clock master #默认为Master set flow-stat interval 30 control-flap undo icmp redirect send 中国电信江苏分公司 第28页 江苏电信城域网CR路由器(华为NE5000E) 配置规范
检查: display inter pos 1/0/0 3.2.6 端口镜像配置
配置说明:
设置一个端口作为镜像端口,将流经一个或几个指定端口的所有数据帧拷贝到这个镜像端口上来。
规范要求: 在有必要时配置端口镜像功能。 配置规范: observe-port interface gigabitethernet3/0/2 interface gi 1/0/0 port-mirroring to observe-port 1 inbound 配置验证: disp curr | i observe-port disp curr int gi 1/0/0 配置注意细节: 无。 3.3 路由协议配置规范 3.3.1 城域网路由架构概述 江苏电信下属城域网各自构成单独AS域,城域网路由架构分为用户路由生成(custom routing)、IGP、BGP、MP-BGP路由4个部分。 用户路由生成:指在城域网业务接入控制点(BRAS和SR)上配置生成或动态学习用户路由的实现方式和过程; IGP:运行在城域网核心层和业务接入控制层,在城域网三层设备之间承载和交换路由信息:城域网AS域内设备接口(包括loopback接口)地址路由。
BGP:
IBGP-运行在城域网核心层和业务接入控制层,承载城域网内IPV4用户路由; EBGP-运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
中国电信江苏分公司
第29页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
MP-BGP:运行在SR(即PE)之间,用于承载城域网自治域内和跨域MPLS VPNv4用户路由。
3.3.2 路由优先级/管理距离
配置说明:
对路由优先级/管理距离的定义是为了设备在接收到相同路由条目时候进行选路,在路由条目相同的情况下,优先级数值小的路由将被选择。
规范要求: 路由优先级别的设定按照下面规范。 Route type Direct attached 普通静态 EBGP OSPF internal IS-IS External ISIS 黑洞路由 IBGP 浮动静态 Route Preference/AD 0 [1] 1或5 [2] 20 110 10 115 [3] 15 25 150 180 200 210
配置注意细节: 上表为路由优先级别的推荐设定值,在实际设定时按以下顺序即可: 普通静态->EBGP->OSPF->ISIS->黑洞静态->IBGP->浮动静态。
[1][2]
:一般不可更改。
:之所以没有统一,是因为:
静态路由缺省值:Cisco 1;Juniper 5;Alcatel 5;华为:60
按上述调整,1或5对路由选择都不会产生实质性的影响,故除华为设备需要将静态路由的
缺省优先级修改为1外,其他厂家设备保持缺省值即可。
[3]
:因Cisco路由器不区分IS-IS L1/L2、Internal/External路由的优先级/管理距离,故只能将其
IS-IS路由管理距离/优先级统一设为115。
中国电信江苏分公司
第30页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.3 静态路由配置
3.3.3.1 静态路由优先级 配置说明:
更改静态路由的协议优先级/管理距离。 规范要求:
普通静态路由优先级/管理距离配置为1。CISCO和Alcatel无法用一条命令修改所有静态路由的缺省优先级(只能逐条修改每条静态路由)。Juniper和华为可以用一条命令修有所有静态路由的缺省优先级。
配置注意细节:
静态路由优先级缺省值:Cisco 1;Juniper 5;Alcatel 5;华为:60。 华为设备使用一条命令修改所有静态路由的优先级,只针对新增的静态生效,而修改前已存在的静态路由的优先级别依然需逐条手动调整。 3.3.3.2 静态路由配置方式 配置说明:
指定出口路由器上的静态路由配置方式; 规范要求:
出口路由器与不运行路由协议的BRAS之间静态路由配置方法根据出口路由器的不同而有所区别:
? CISCO、华为静态路由采用迭代方式,绑定下一跳为对端设备Loopback0
地址,对端设备的Loopback0地址采用同时绑定下一跳IP 地址和出接口的静态路由方式。
? 7750静态路由只绑定下一跳IP 地址。
? Juniper-TX POS端口静态路由只绑定出接口,不绑定下一跳IP地址。GE
端口静态路由只绑定IP 地址,并添加NO-RESOLVE参数。 规范要求:
静态路由绑定接口和下一跳IP地址。 3.3.3.3 黑洞路由配置 配置说明:
中国电信江苏分公司
第31页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
在出口路由器上配置城域网网段的指向NULL0的黑洞路由,用于BGP协议将城域网网段宣告给骨干,配置优先级为180,并增加TAG 901标记。
出口路由器上的城域网网段黑洞路由严禁注入到ISIS中。
城域网两台出口路由器上配置的黑洞路由原则上必须完全相同,以避免从骨干返回的流量不均衡及uRPF错误。
规范要求:
黑洞路由配置优先级为180,增加TAG 901标记,严禁注入到ISIS中。 配置注意细节:
配置前需仔细排查城域网核心上收到的BR/BRAS/SR汇总发来的IBGP路由是否和本机通过静态指向null 0 + network发布的网段中存在子网掩码长度相同的路由条目,针对这种特例,核心上需取消针对该路由network 的静态发布语句,否则会造成核心上的针对该条目路由的流量丢弃。
3.3.3.4 浮动静态路由配置 配置说明:
出口核心上配置多条指向骨干设备的静态默认路由,避免出口核心和骨干设备之间的BGP会话出现故障时而引起流量无法转发的现象。
下连汇聚BR,BRAS/SR设备上配置多条指向城域网核心的静态默认路由,避免本端和核心之间的ISIS/BGP会话出现故障时而引起流量无法转发的现象。
规范要求:
出口核心上配置多条静态默认路由,绑定骨干设备互连链路接口和下一跳地址,同时将路由优先级/管理距离设置为210,加TAG 210,严禁注入ISIS中。
汇聚BR,BRAS/SR设备配置多条静态默认路由,绑定和核心互连链路接口和下一跳地址,同时将路由优先级/管理距离设置为210,加TAG 210,严禁注入ISIS中。
3.3.3.5 静态路由标记和描述 配置说明:
出口路由器上的静态路由配置,在路由重分发做标记,根据需要可以加tag和描述。增强可读性,方便策略使用和管理。
Tag 901用于黑洞静态路由; TAG 210 用于浮动静态默认路由。
中国电信江苏分公司
第32页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
规范要求:
黑洞静态路由设置TAG值为901,浮动静态路由设置TAG 210,其它根据需要设置TAG值。
3.3.3.6 配置范例
#针对BRAS业务的静态路由迭代配置范例
ip route-static default-preference 1 #全局一条命令修改静态路由的默认优先级为1 #
ip route-static 1.1.1.1 255.255.255.255 gi1/0/0 192.168.1.2 #配置城域网出口路由器到BRAS Loopback0的静态路由,路由数和链路数相同 #
ip route-static 172.16.0.0 255.255.0.0 1.1.1.1 #绑定BRAS IP POOL的下一跳IP地址为BRAS Loopback0地址 #
ip route-static 192.168.0.0 255.255.255.0 null0 preference 180 tag 901 #黑洞路由加tag 901,通过BGP广播给骨干设备。
ip route-static 0.0.0.0 0.0.0.0 Pos2/0/0 61.177.249.229 preference 210 tag 210 #浮动静态路由
3.3.4 ISIS 配置
3.3.4.1 概述
江苏电信下属城域网使用ISIS为IGP协议,IGP运行在城域网核心层和业务接入控制层。ISIS 涵盖网络中所有核心设备和汇聚设备的Loopback 端口和链路端口;核心路由器的上联接口和设备的Loopback 端口设置为Passive模式。ISIS路由协议只承载设备之间的互连链路和loopback地址的主机路由,不承载用户的路由。城域网出口路由器ISIS进程始终下发默认路由。ISIS协议提供的是业务接入控制层及其以上设备之间的可达性,为IBGP提供IGP路由可达。
3.3.4.2 ISIS 实例名 配置说明:
同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例,ISIS实例名称取地市名称全拼,例:扬州节点ISIS实例名yangzhou。
ISIS实例需用数字标识,均定为100。 规范要求:
中国电信江苏分公司
第33页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例。
[1]
:现网环境中,大部分华为路由器运行ISIS的实例标识都采用默认的1,当需删除端口isis
的配置时,容易产生误操作:undo isis ,结果导致该台设备的isis 进程被清除。为规避如此误操作所引起的风险,isis实例采用数字标识需不设置为1。
3.3.4.3 ISIS NET ID 配置说明:
配置ISIS net id,唯一标识自治系统中的一台ISIS路由器。 规范要求:
运行动态路由协议的context配置ISIS net id,net id地址采用Area ID + System ID + NSEL地址方式。
其中,XX.YYYY.ZZZZ为Area ID,其中XX固定为86,YYYY报各城域网私有5位AS号的后4位,ZZZZ为各地市电话区号,不足四位的前面补零。例:盐城城域网私有AS号为64522,区号为0515,那么盐城城域网ISIS NET ID为:86.4522.0515。
System ID为6位,格式为AAAA.AAAA.AAAA,采用城域网设备loopback0的IP地址,以左加0的方式将每一节补齐3位,再从左至右三等分完成格式转换。比如61.177.248.2转换后为0611.7724.8002。NSEL固定为00。
3.3.4.4 ISIS路由器类型 配置说明: ISIS的路由器类型可分为level-1和level-2两种,level-1用于传递域内路由、level-2用户传递域间路由。
规范要求:
同一个城域网运行同一个ISIS协议,江苏电信城域网使用ISIS Level-1,关闭路由器ISIS Level-2功能。
3.3.4.5 ISIS Cost-style 配置说明:
ISIS协议cost-style分为narrow和wide两种方式,narrow方式是老式cost类型,cost值只能从0—63,不支持MPLS TE。wide方式时ISIS cost可以从0 —
中国电信江苏分公司
第34页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
16,777,215 。不同cost-style的ISIS对等体不能建立邻居。
规范要求:
配置ISIS cost-style的类型为wide。
运行ISIS协议的端口默认路由器类型为level -1,cost值为100000。 3.3.4.6 ISIS协议接口类型 配置说明:
在使用30位掩码的广播类型接口下,配置ISIS网络类型为点到点
point-to-point,不发送广播包,减少LSP泛洪。链路两端的IS-IS接口的网络类型必须一致,否则双方不可以建立起邻居关系。
ISIS协议默认以太网接口类型是广播类型。 规范要求:
城域网内互连用POS----保持为Point-To-Point不变
城域网内互联用GE/10GE --- 强制更改为Point-To-Point(若设备不支持,如中兴设备,依旧采用Broadcast模式) Loopback ---- Passive进ISIS域内
其他端口-----如明确需通过IGP可达的端口,则需passive进ISIS域内,诸如:上连骨干设备端口,上连CN2设备端口。 3.3.4.7 ISIS 负载均衡条目 配置说明: 配置ISIS负载均衡条目,实现流量的负载均衡。 规范要求:
按省公司统一规范要求,配置ISIS负载均衡数不少于8条。 3.3.4.8 ISIS 路由协议优先级 配置说明:
更改ISIS协议路由协议优先级/管理距离 规范要求:
统一ISIS路由协议优先级/管理距离为115,华为默认为15。 3.3.4.9 ISIS 重分布路由
中国电信江苏分公司
第35页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
配置说明:
配置将其他协议重分布到ISIS协议。 规范要求:
ISIS协议不承载用户路由,仅为BGP协议提供底层IGP可达,原则上不将其他路由协议注入进ISIS,如需要则用router-policy过滤注入。
3.3.4.10 ISIS邻居加密 配置说明:
配置ISIS邻居加密,对ISIS邻居之间的协议报文进行加密和校验。 规范要求:
考虑到城域网面向用户的端口关闭了ISIS处理,且江苏城域网取消BR,实施扁平化后,出口路由器的ISIS邻居数将较多,为减少ISIS邻居加密占用太多CPU资源,建议江苏城域网不开启ISIS邻居加密功能。
3.3.4.11 ISIS接口宣告 配置说明:
配置需宣告到ISIS协议中的接口,配置loopback接口和互连接口为ISIS接口,接口地址路由自动发布到ISIS,用户接入接口一律不可配置为ISIS接口。
规范要求:
配置loopback接口和上连接口为ISIS接口,采用PASSIVE模式,接口地址路由自动发布到ISIS。用户接入接口一律不可配置为ISIS接口。
3.3.4.12 ISIS cost值规划 配置说明:
指定运行ISIS接口的cost值,不使用ISIS自动计算的接口cost值。建议统一设计cost设定规范来设定链路的cost,基于接口手工指定ISIS cost值,使用IGP的cost来引导流量。
规范要求:
接口默认设置为Level -1 网络类型,cost值为100000。
城域网收取国内路由或国际路由后,通过层次化的cost值将可能产生的穿透流量保持在出口设备间穿透,避免在城域网内部横穿流量。
中国电信江苏分公司
第36页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
一般设备双上连的链路使用同样的带宽链路,所以按网络层次分配METRIC值,建议ISIS metric设定按照下面规范执行。
链路功能 出口路由器之间链路 汇聚路由器至出口路由器 SR/BRAS至出口路由器 SR/BRAS至汇聚路由器 汇聚路由器之间链路 SR/BRAS之间链路 LOOPBACK PASSIVE的接口 备用 保留链路 ISIS cost值设计 50 100 100 100 100 100 100 100 140 200
配置注意细节: 如有必要,还需根据链路承载的业务类型进行Cost值的划分,如链路承载的主用业务为宽带业务,同时作为ITV业务的备用链路,则该链路的cost值选取为100;如链路承载的用业务为ITV业务,同时作为宽带业务的备用链路,则该链路的cost值选取为140。 备注:保留链路(待拆除)建议SHUTDOWN接口或取消接口ISIS协议,避免网管误报。
3.3.4.13 ISIS LSP最大有效时间 配置说明: 路由器生成系统LSP时,会在LSP中填写此LSP的最大有效时间。如果路由器一直没有收到更新的LSP,在此LSP的有效时间已减少到0后,若还未收到刷新的LSP,则将该LSP删除。
CRS默认为1200s,华为默认为1200s,阿郎默认为1200s,Juniper默认1200s。 规范要求:
设置为65500s,与LSP刷新时间保持匹配。
【1】CRS设置为65535,会在3.8以下版本会触发BUG,建议设置稍小一点的数值,诸如:65500.
中国电信江苏分公司
第37页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.4.14 关闭ISIS hello 报文填充 配置说明:
在邻接关系的建立过程中,IS-IS需要检查链路两端的MTU大小是否一致。缺省情况下,IS-IS协议将Hello报文填充至MTU大小。可以通过命令简化Hello报文的收发操作,减小对网络带宽的浪费。
规范要求:
关闭hello 报文填充,减少链路带宽占用,同时使IGP不检查接口MTU。 3.3.4.15 ISIS LSP MTU 配置说明:
ISIS LSP MTU决定了IS发出LSP的最大长度,必须小于全网所有IS的接口CLNS MTU。
规范要求:
LSP MTU统一设置为1497(Cisco、华为、Juniper厂家设备默认数值)。 3.3.4.16 ISIS LSP刷新间隔时间 配置说明:
ISIS路由器周期的发送LSP给其它ISIS路由器,使整个ISIS区域的LSP保持同步。
CRS缺省为900s,华为缺省为900s,阿郎缺省为600s,Juniper缺省为LSP最大有效时间-317 规范要求: 设置为32768s,Juniper为计算值。减少刷新占用链路带宽。 3.3.4.17 ISIS动态主机名 配置说明:
ISIS的LSP报文携带ISIS路由器主机名,其它ISIS路由器能动态解析路由器名称。
CISCO缺省是开启,华为缺省是关闭。 规范要求:
配置开启ISIS动态主机名。
中国电信江苏分公司
第38页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.4.18 ISIS OVERBIT位 配置说明:
在路由器重起时,设置ISIS 过载标识位置位,使ISIS流量不在该设备横穿。 规范要求:
配置在路由器重启的15秒内设置ISIS OVERBIT位。 3.3.4.19 ISIS缺省路由 配置说明:
城域网出口路由器向整个区域强制下发ISIS默认路由引导城域网内用户的上行流量,通过ISIS 的默认路由来达到城域网用户上行流量的负载均衡。 规范要求:
配置ISIS总是下发默认路由。同时加TAG 115,并应用策略过滤掉除核心外其他设备发送的默认路由进入IP路由表。
3.3.4.20 ISIS log邻居变化信息 配置说明:
配置ISIS log邻居变化信息,记录ISIS邻居变化。 规范要求:
根据省公司统一规范,配置ISIS log 邻居变化信息功能。 3.3.4.21 配置范例
中国电信江苏分公司 第39页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
1)基本配置 isis 100 #配置ISIS实例ID
set-overload on-startup wait-for-bgp 15 #路由器重启或者出现故障时,过载标志位在配置的时间内将保持被置位状态,根据BGP收敛的状态,设置系统保持过载标志位时长为15s。
is-name YC-833-CR.MAN.NE5000E-1 #配置动态主机名 network-entity xx.xxxx.xxxx.xxxx.00 #配置NET ID
log-peer-change #打开IS-IS邻接状态变化的输出开关 cost-style wide #配置接口开销类型为wide
circuit-cost 100000 level-1 #全局下配置有IS-IS接口的默认开销值为100000,网络类型为level-1
is-level level-1 #配置路由器类型
maximum load-balancing 16 #配置负载均衡数为16
preference 115 #配置协议优先级,默认为15 timer lsp-max-age 65500 #设置为65500,本机有效 timer lsp-refresh 32768 #设置为32768,本机有效
timer spf 5 50 200 #路由计算最大延迟时间缺省值是5秒,初次路由计算的延迟时间为50ms,两次路由计算之间的递增延迟时间为200ms。
is-snmp-traps enable #使能IS-IS向网管发送Trap报文的功能
2)核心ISIS接收路由策略
ip ip-prefix ipDefault index 10 permit 0.0.0.0 0
route-policy rpFromISIS permit node 10 if-match tag 115
route-policy rpFromISIS deny node 15 if-match ip-prefix ipDefault
route-policy rpFromISIS permit node 20
isis 100
default-route-advertise always level-1 tag 115 //始终下发默认,并加tag 115 filter-policy route-policy rpFromISIS import //过滤掉下连BRAS/SR设备误发出的默认进入路由表
3)运行ISIS协议端口配置
interface ge-1/1 #配置接口宣告 isis enable 100 isis circuit-level level-1
isis cost 100 level-1 #配置cost值
isis small-hello #用来设置接口发送不加入填充字段的小型Hello报文 control-flap
set flow-stat interval 30 undo icmp redirect send
mtu 1600 #设置IP MTU为1600 isis circuit-type p2p #设置端口类型为P2P
interface pos0/0/0 #配置接口宣告
isis enable 100
isis circuit-level level-1 isis cost 100 level-1
isis silent #接口设置为passive状态
3.3.5 BGP配置
中国电信江苏分公司
第40页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
3.3.5.1 概述
EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
IBGP运行在城域网核心层和业务接入控制层,承载用户路由。 3.3.5.2 自治系统
江苏电信所属城域网上布署的BGP采用私有自治系统号,城域网向163宣告的网段没有带community,163设备将接收的城域网路由设置community。各城域网AS号如下: 江苏省网各城域网和community设计 城域网/IDC 南京城域网 无锡城域网 淮安城域网 宿迁城域网 盐城城域网 泰州城域网 镇江城域网 南通城域网 徐州城域网 扬州城域网 常州城域网 连云港城域网 苏州城域网 AS编号 64660 64662 64669 64672 64522 64519 64664 64518 64668 64665 64663 64671 64513 163设置Community 4134:111,4134:3025,4134:3250,4134:64660,64660:10661 4134:111,4134:3025,4134:3250,4134:64662,64662:10661 4134:111,4134:3025,4134:3250,4134:64669,64669:10661 4134:111,4134:3025,4134:3250,4134:64672,64672:10661 4134:111,4134:3025,4134:3250,4134:64522,64522:10661 4134:111,4134:3025,4134:3250,4134:64519,64519:10661 4134:111,4134:3025,4134:3250,4134:64664,64664:10661 4134:111,4134:3025,4134:3250,4134:64518,64518:10661 4134:111,4134:3025,4134:3250,4134:64668,64668:10661 4134:111,4134:3025,4134:3250,4134:64665,64665:10661 4134:111,4134:3025,4134:3250,4134:64663,64663:10661 4134:111,4134:3025,4134:3250,4134:64671,64671:10661 4134:111,4134:3025,4134:3250,4134:64513,64513:10661 3.3.5.3 城域网BGP 部署策略 关闭BGP自动路由汇总特性。 关闭IGP与BGP的同步。 开启BGP DAMPING,避免路由抑制对业务的影响。 关闭 bgp always-compare-med
宣告给163的城域网路由携带MED属性,设置MED=0。 城域网以ORIGIN IGP的方式对外发布路由。
明确配置BGP router-id为Loopback 0地址。
根据需要确定BGP Multihop的TTL值,对大部分情况,配置EBGP Multihop为255,以及BGP TTL Security检测。
中国电信江苏分公司
第41页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
明确配置新式community格式。 记录BGP邻居变化。
BGP采用密码建立邻居关系(EBGP密码:电话区号_AS)。 EBGP和IBGP负载均衡数目不小于8。
配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和NETWORK宣告。
使用Loopback地址与骨干核心建立EBGP关系,不使用接口建立关系,启用EBGP TTL检测。
BGP TIMER 参数keepalive和Holdtime定时器统一为60s与180s。
3.3.5.4 BGP router-id配置 配置说明:
配置BGP router-id,唯一标识自治系统中的一台BGP路由器。 规范要求:
配置BGP router-id地址为loopback0接口的IP地址,不使用BGP协议自动选举的router-id。
3.3.5.5 BGP log邻居变化信息 配置说明:
配置BGP log邻居变化信息,记录BGP邻居变化。 规范要求:
配置BGP log 邻居变化信息。 配置规范:
NE5000E默认支持BGP log邻居变化信息,不需特别配置。 配置注意细节: 无。
3.3.5.6 关闭BGP同步和自动汇总 配置说明:
配置BGP协议的同步和自动汇总功能。 规范要求:
中国电信江苏分公司
第42页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。 3.3.5.7 BGP邻居MD5加密 配置说明:
配置BGP邻居加密。 规范要求:
BGP邻居均采用MD5加密,密钥为:电话区号_AS号,与CN2的密钥按CN2规范执行。
3.3.5.8 BGP时间参数 配置说明:
配置BGP协议的Keepalive和Holdtime定时器,一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文,如果Holdtime时间内没有必到邻居发送的存活报文,就认为这个邻居已死亡,从而结束会话。 规范要求:
调节BGP keepalive时间为60s,holdtime时间为180s。 配置规范:
NE5000E BGP keepalive时间,holdtime时间默认分别为60s和180s,现有配置无需修改。
配置注意细节: 无。 3.3.5.9 BGP community 属性规划 配置说明:
配置BGP携带的community属性,用于路由控制。163设备已对接收的城域网路由设置community。
规范要求:
163设备已对接收的城域网路由设置community,出口路由器不用设置。 3.3.5.10 163 BGP 路由策略 配置说明:
配置城域网与163之间的BGP 路由策略
中国电信江苏分公司
第43页