2024年2月25日发(作者:泣玄素)
7750SR路由器配置规范
V2.1
上海贝尔阿尔卡特股份有限公司
互联网事业部
二零零六年十一月
7750SR路由器配置规范
目 录
1.
概述 .................................................................................................... 4
2.
系统基本配置 ....................................................................................... 6
2.1.
层次化命令结构 ........................................................................... 6
2.2.
在CLI中获得帮助 ....................................................................... 7
2.3.
硬件板卡配置 .............................................................................. 8
2.4.
设备名称配置 .............................................................................. 9
2.5.
系统时间配置 .............................................................................. 9
2.6.
NTP配置..................................................................................... 9
2.7.
主备卡切换配置 ......................................................................... 10
2.8.
AAA配置(登录用户) ............................................................... 11
3.
端口配置 ........................................................................................... 13
3.1.
Loopback端口配置 .................................................................... 13
3.2.
GE端口配置 .............................................................................. 13
3.3.
POS端口配置 ............................................................................ 14
3.4.
端口镜像配置 ............................................................................ 15
4.
安全配置 ........................................................................................... 18
4.1.
ACL配置 ................................................................................... 18
4.2.
防攻击配置 ............................................................................... 18
5.
网管配置 ........................................................................................... 24
5.1.
网管地址配置 ............................................................................ 24
5.2.
TELNET配置 ............................................................................. 24
5.3.
FTP配置 ................................................................................... 25
5.4.
SNMP ....................................................................................... 25
5.5.
SYSLOG .................................................................................... 26
5.6.
配置备份 ................................................................................... 27
5.7.
SSH配置 ................................................................................... 27
5.8.
NetFlow备份 ............................................................................. 28
6.
路由配置 ........................................................................................... 29
第 2 页 共 49 页
7750SR路由器配置规范
6.1.
黑洞路由配置 ............................................................................ 29
6.2.
静态路由配置 ............................................................................ 29
6.3.
OSPF配置 ................................................................................. 29
6.4.
ISIS配置 .................................................................................. 33
6.5.
BGP配置................................................................................... 35
7.
业务配置 ........................................................................................... 40
7.1.
专线业务配置(IES配置) ......................................................... 40
7.2.
MPLS VPN业务配置 ................................................................... 41
7.2.1
P路由器配置 .................................................................... 41
7.2.2
PE路由器配置(VPRN) ................................................... 44
7.2.3
PE路由器配置(VPLS) .................................................... 46
8.
7750SR常用维护命令 ......................................................................... 49
第 3 页 共 49 页
7750SR路由器配置规范
1. 概述
阿尔卡特7750SR路由器是业内第一个专为高级互联网和虚拟专用网络(VPN)业务而设计和优化的IP/MPLS业务路由器。阿尔卡特7750SR有三种尺寸可供选择:单槽、7槽和12槽,可提供具有卓越性能和高密度的各种接口。作为目前业内最具扩展性的路由器平台,阿尔卡特7750SR具有为高效传送基于服务等级协议(SLA)的业务而设计的软件和硬件架构,因此阿尔卡特7750SR不仅仅是强大的互联网路由器,更是一个灵活、强大的业务供应平台。
为正确配置7750SR系列路由器,需完成引导文件配置,系统管理功能配置,IOM/MDA/Port等板卡端口配置,相关路由协议配置,以及7750SR定义的各种Service和QoS配置等。
本规范针对用户日常维护工作中常用的配置任务编写,并提供配置实例,未涉及的内容用户可参考7750SR配置指导手册,表1列出各配置任务对应的指导手册名称便于用户进行针对性查找。
第 4 页 共 49 页
7750SR路由器配置规范
表1:7750SR配置任务与指导手册对应表
任务
系统基础向导
子任务
CLI用法
文件系统管理
配置引导选项文件(BOF)
系统管理(NTP,CRON)
指导文档
7750_SR_OS_System_Basics_Guide
系统管理配置
硬件配置
初始化配置
配置系统安全参数,例7750_SR_OS_System_Basics_Guide
如:登陆控制,AAA
Syslog,SNMP配置
IOM,MDA,Port配置
配置路由器参数,包括:路由器界面和地址、路由器ID、自主系统及相关系统
VRRP配置
Filter配置
Cflowd配置
RIP,OSPF,IS-IS,BGP
组播
路由策略
7750_SR_OS_Interface_Guide
7750_SR_OS_Router_Config_Guide
路由协议配置
7750_SR_OS_Routing_Protocols_Guide
7750_SR_OS_MPLS_Guide
服务配置
MPLS,RSVP,LDP
7750_SR_OS_Services_Guide
VPN:VLL,VPLS,VPRN服务
IES(专线业务)服务
镜像(Mirror)服务
OAM/SAA配置
7750_SR_OS_QoS_Guide
QOS配置
第 5 页 共 49 页
7750SR路由器配置规范
2. 系统基本配置
2.1. 层次化命令结构
7750SR的TiMos操作系统采用层次化配置命令,通过tree命令可查看配置层次结构,如下列出主要配置层次:
下例演示了各层次的进、出命令:
7750SR# configure system
7750SR>config>system#
7750SR>config>system# back
第 6 页 共 49 页
7750SR路由器配置规范
7750SR>config#
7750SR>config# system security
7750SR>config>system>security#
7750SR>config>system>security# exit
7750SR>config#
7750SR>config# system security
7750SR>config>system>security# cpm-filter
2.2. 在CLI中获得帮助
在CLI中帮助系统命令和“?”键显示不同类型帮助。表2列出不同的帮助命令;表3描述命令语法标识符。
表2:在线帮助命令
命令
help?
string?
Command?
Command
keyword?
string
string
表3:命令语法标识符
标识符
|
[ ]
< >
描述
竖线表示需要方括号或大括号内的一个参数。
tcp-ack{true|false}
方括号表示可选参数。
redirects[number seconds]
尖括号表示需要输入与括号内参数匹配的内容。
interface
大括号表示必须选择里面的一个参数。
default-action{drop|forward}
目的
在当前环境下列出所有命令。
列出所有在当前环境下可用的以string开头的命令。
显示命令标识符及相关关键词。
在command中列出与keyword相关的自变量
输出未完全输入的命令(自动完成功能)或列示
与string相匹配的命令。
{ }
第 7 页 共 49 页
7750SR路由器配置规范
2.3. 硬件板卡配置
7750SR路由器的IOM和MDA板卡只有在配置命令与板卡类型匹配后方可启动,可以事先将IOM和MDA板卡类型部署上,防止错误板卡插入;当板卡在未配置时插入后,可通过show card/mda命令查看板卡类型,此时板卡运行状态为down。
配置IOM模块,事先需确认IOM模块的准确类型:
7750SR# configure card 3
7750SR>config>card# card-type ?
- card-type
- no card-type
7750SR>config>card# card-type iom-20g-b
7750SR>config>card# no shutdown
配置MDA模块,事先需确认MDA模块的准确类型:
7750SR>config>card# mda 1
7750SR>config>card>mda# mda-type ?
- mda-type
- no mda-type
7750SR>config>card>mda# mda-type m10-1gb-sfp
7750SR>config>card>mda# back
7750SR>config>card# info
----------------------------------------------
card-type iom-20g-b
mda 1
mda-type m10-1gb-sfp
exit
----------------------------------------------
第 8 页 共 49 页
7750SR路由器配置规范
删除MDA模块:
7750SR>config>card# mda 1
7750SR>config>card>mda# shutdown
7750SR>config>card>mda# exit
7750SR>config>card# no mda 1
删除IOM模块(事先需确保该IOM下所有MDA模块均已删除):
7750SR>config>card# back
7750SR>config# no card 3
2.4. 设备名称配置
配置内容:配置设备名称
规范要求:设备名称要求符合配置有关命名规范;
配置示例:
#configure system name “R1-C-xxx-1”
2.5. 系统时间配置
配置内容:配置系统时间;
规范要求:系统时间要求采用标准北京时间;
配置示例:
#configure system time zone GMT8 08 //配置系统时区
# admin set-time 2006/10/10 04:10:00 //修改系统时间
# show time //显示系统目前时间
2.6. NTP配置
配置内容:
配置主备NTP服务器
配置源接口
规范要求:
城域网出口路由器NTP SERVER指向专用NTP服务器
城域网其他路由器指向出口路由器
配置示例
第 9 页 共 49 页
7750SR路由器配置规范
城域网出口路由器配置如下:
router>config>system>time>ntp#
ntp-server transmit 2 //ntp-server配置该设备为NTP Server, transmit配置要求对Client端进行认证;
authentication-check
authentication-key 2 key "m23V7d4Qu/HPk" hash2 type des
server 138.203.192.2 version 4 prefer //指向专用NTP服务器
no shutdown
城域网其他路由器指向出口路由器:
router>config>system>time>ntp#
authentication-check
authentication-key 2 key "m23V7d4Qu/HPk" hash2 type des
server 10.1.1.1 key 2 prefer
server 10.1.1.2 key 2
no shutdown
2.7. 主备卡切换配置
配置内容:配置系统引擎冗余模式
规范要求:
系统支持NSR功能
配置示例
在4.0版本,配置了双SF/CPM的7750SR路由器在主备CPM切换时可保证不间断路由(Non stop routing)、不间断业务(Non stop service)
Nonstop Routing (NSR)
NSR可保证CPM切换时BGP,LDP,OSPF,ISIS等路由Session不终断,对端路由器不会感知到任何变化。NSR不需要任何扩展协议,也不存在互通问题。转发信息始终处于最新状态,不会出现转发环路。
NSR不需要配置命令激活,当系统配置了双SF/CPM,NSR的功能就已经存在。验证双SF/CPM正常工作,即验证了NSR。
第 10 页 共 49 页
7750SR路由器配置规范
7750SR# show card
==============================================
Card Summary
==============================================
slot card card card admin operational
allowed provisioned equipped state state
-------------------------------------------------------------------------------
2 all supported iom-20g iom-20g up up
A all supported sfm-400g sfm-400g up up/active
B all supported sfm-400g sfm-400g up up/standby
==============================================
2.8. AAA配置(登录用户)
配置内容:启用AAA认证
规范要求:
根据AAA认证服务器的类型指定采用RADIUS认证还是TACASS+认证;
指定认证密钥;
本地配置用户名和密码作为备份的认证方式
配置示例
若指定配置Radius认证,则:
router>config>system>security# info
----------------------------------------------
password
authentication-order radius local
attempts 60 time 5 lockout 0
exit
radius
authorization
accounting
server 1 secret "timetra"
exit
user "test"
password xxx hash //用于本地认证
access console
console
member "administrative"
member "default"
exit
----------------------------------------------
router>config>system>security#
第 11 页 共 49 页
7750SR路由器配置规范
若指定配置TACASS+认证,则:
Router>config>system>security# info
----------------------------------------------
password
authentication-order tacplus local
exit
tacplus
authorization
accounting
single-connection
source-address 138.203.17.218
server 1 address 138.203.228.5 secret "timetra"
exit
----------------------------------------------
第 12 页 共 49 页
7750SR路由器配置规范
3. 端口配置
3.1. Loopback端口配置
配置内容:配置Loopback端口IP地址和子网掩码
规范要求:端口子网掩码为32位
配置示例:
7750SR路由器缺省使用system关键字作为loopback端口
#configure router interface system /32
配置第二个loopback地址:
#configure router interface system1 /32
#configure router interface system1 loopback
3.2. GE端口配置
配置内容:
配置端口描述
配置自适应模式
配置IP地址
规范要求
端口描述符合有关命名规范;
与不同厂家GE口互联应关闭自适应模式
接口MTU配置为1524
配置示例
首先配置物理端口port属性:
Router>config#info
port 1/1/3
description "To Router-Name GE" //使用双引号,最长80个字母
ethernet
mtu 1524
第 13 页 共 49 页
7750SR路由器配置规范
mode access|network //上连路由端口选择network,放入service中的端口选择access
no autonegotiate
exit
no shutdown
exit
再将port与三层逻辑端口绑定:
Router>config#info
interface "inf-name"
address 60.30.58.58/30
port 1/1/3
exit
一个IP Interface名字最长32个字母(包含数字),区分大小写,必须以字母开头;
3.3. POS端口配置
配置内容:
配置端口描述
配置IP地址
配置时钟源
配置帧格式
配置封装格式
规范要求:
端口描述符合有关命名规范;
接口封装为PPP
路由器间POS口光纤直联时采用主从时钟,与传输互联时钟跟随传输
帧格式为SDH
配置示例:
port 1/1/4
description "TO Router-name 2.5G (1/2/1)"
sonet-sdh
framing sdh
clock-source node-timed
path
no shutdown
crc 32
mode access|network
exit
exit
第 14 页 共 49 页
7750SR路由器配置规范
no shutdown
exit
clock-source node-timed使用节点自身的时钟
clock-source loop-timed使用线路上时钟
3.4. 端口镜像配置
配置内容:
本地端口镜像
远程端口镜像
规范要求:
配置示例:
本地端口镜像配置:
#config port 1/1/3 ethernet mode access
#config port 1/1/3 ethernet encap null
#config port 1/1/3 no shutdown
Router-name>config>mirror#info
mirror-dest 1000 create
sap 1/1/3:0 create //以物理端口1/1/3作为目的端口
exit
slice-size 1400
no shutdown
exit
debug mirror-source 1000 port 1/1/1 ingress egress //镜像1/1/1端口上的进、出数据
debug mirror-source 1000 no shutdown
远程端口镜像配置:
7750SR系列路由器不仅支持同设备内的端口镜像,还支持不同设备间的端口镜像,7750SR端口镜像主要功能如下:
1)支持基于Service的镜像,可针对具体用户的子端口完成镜像;
2)支持对报文的整体或特定字段进行镜像;
3)镜像可以在各种端口之间完成,不需源端口和目的端口的类型一致;
4)支持在SAP和Network端口的入、出方向部署镜像
5)支持本地和远程镜像,远程镜像时将报文进行重封装,再通过IP或MPLS隧道通过核心网将报文传递到目标设备。
第 15 页 共 49 页
7750SR路由器配置规范
配置步骤如下:
实例拓扑如下:
在PE3上配置:
1)配置指向PE1的SDP,SDP可以用LDP,RSVP或GRE方式封装,本例采用LDP方式封装,配置如下:
service
sdp 3001 mpls create
第 16 页 共 49 页
7750SR路由器配置规范
far-end 10.1.1.1
ldp
keep-alive
shutdown
exit
no shutdown
exit
exit
2)配置Mirror目的,指向本地创建的SDP(如是本地镜像则指向本地端口)
configure mirror mirror-dest 1000 create
sdp 3001 egr-svc-label 3001
no shutdown
exit
3)配置镜像的源端口,使镜像数据指向Mirror-dest
debug mirror-source 1000 port 1/1/2 ingress egress
debug mirror-source 1000 no shutdown
注:该处port 1/1/2的配置实现1/1/2端口上所有数据的镜像,如希望镜像对应某个用户的子端口的数据,即实现基于业务的镜像,可以使用sap 端口配置。
在PE1上配置:
mirror
mirror-dest 1000 create
remote-source //配置PE1接收从remote-source来的镜像报文
far-end 10.1.1.3 ing-svc-label 3001
exit
sap 1/1/3:0 create //配置出端口
egress
qos 1
exit
exit
no shutdown
exit
exit
第 17 页 共 49 页
7750SR路由器配置规范
4. 安全配置
4.1. ACL配置
配置内容:配置防病毒ACL
规范要求:正常情况下只在入接口启用ACL
配置示例:
Router>config# filter
ip-filter 100 create
default-action forward
description "denfend-virtus"
entry 10 create
match protocol tcp
dst-port eq 69
exit
action drop
exit
entry 20 create
match protocol udp
dst-port eq 135
exit
action drop
exit
exit
//根据病毒协议和端口配置其他过滤规则
应用filter到端口:
7750SR>config>router#
interface “XXX”
ingress
filter ip xx
exit
exit
4.2. 防攻击配置
配置内容:
关闭不必要的服务;
限制异常流量带宽;
对路由器进行访问控制;
第 18 页 共 49 页
7750SR路由器配置规范
密码管理;
登录信息修改;
配置示例
(1)正常情况下,只打开7750SR路由器的SSH 服务(系统缺省打开),允许用户通过SSH管理、配置路由器,其他服务在需要的时候再打开,不用时关闭。
通过如下命令关闭telnet和ftp服务:
#config>system>security>no telnet-server
#config>system>security>no ftp-server
通过如下命令确认系统开放端口:
#show system connections
正常情况下系统只开放如下端口:
TCP 179:用于BGP连接
TCP 22:用于SSH登录
TCP 646:用于LDP
UDP 161:用于SNMP
UDP 123:用于NTP
(2)限制异常流量带宽
7750SR路由器对于那些必须经过CPM上的CPU进行处理的流量可以通过cpm-filter命令来进行识别,该命令作用于流量到达CPM CPU之前的P-Chip芯片上,并可根据情况选择这些流量通过、拒绝或对其进行cpm-queue限速。
限制异常ICMP流量
大量对路由器端口或system地址的Ping包都会造成CPM CPU利用率增加,可通过cpm-filter匹配由IOM送到CPM板卡上的ICMP报文,并通过cpm-queue限制其速率。
参考配置如下:
部署CPM-Queue
>config>sys>security>cpm-queue# info
----------------------------------------------
queue 40 create
第 19 页 共 49 页
7750SR路由器配置规范
cbs 1000 mbs 1000
rate 2000 cir 2000 //为ICMP协议只分配2000 kbps带宽
exit
----------------------------------------------
部署CPM-Filter
>config>sys>security>cpm-filter# info
----------------------------------------------
ip-filter
no shutdown
entry 40 create
action queue 40
match protocol icmp
exit
exit
exit
----------------------------------------------
限制异常TCP SYN流量
TCP SYN Flood攻击通过大量伪造的源地址报文向路由器发送TCP SYN连接请求,路由器的TCP缓存队列被占满后,将拒绝新的连接请求。通常路由器设备的TCP连接主要来自临近路由设备的路由协议(如BGP协议采用TCP179端口,LDP协议使用646端口建立TCP Session),以及telnet, ssh等管理需要。
参考配置如下:
部署CPM-Queue
>config>sys>security>cpm-queue# info
----------------------------------------------
queue 50 create
cbs 1000 mbs 1000
rate 2000 cir 2000 //为TCP SYN流量只分配2000 kbps带宽
exit
----------------------------------------------
部署CPM-Filter
>config>sys>security>cpm-filter# info
----------------------------------------------
ip-filter
no shutdown
entry 50 create
action queue 50
match protocol tcp
第 20 页 共 49 页
7750SR路由器配置规范
tcp-syn true
src-ip 10.0.0.0/8
exit
exit
entry 51 create
action queue 50
match protocol tcp
tcp-syn true
src-ip 172.16.0.0/12
exit
exit
entry 52 create
action queue 50
match protocol tcp
tcp-syn true
src-ip 192.168.0.0/16
exit
exit
exit
----------------------------------------------
注:上述配置基于常见SYN Flood采用的源地址,只对这些源地址产生的TCP连接进行限速,其他正常的TCP连接不受影响。
(3)限制路由器的访问控制
7750SR路由器可通过management-access-filter命令控制进、出CPM的流量,其动作只有permit或deny,可用于设置路由器的登录访问控制:
对SSH登录源地址限制:
>config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit //必须为permit,否则所有未明确permit的流量均会被拒绝
entry 10
/32 //允许登录的第一台主机
dst-port 22 65535
action permit
exit
entry 15
/32 //允许登录的第二台主机
dst-port 22 65535
action permit
exit
......
第 21 页 共 49 页
7750SR路由器配置规范
entry 100 //该条目放在最后,用于拒绝所有其他主机
dst-port 22 65535
action deny
exit
----------------------------------------------
对于Telnet登录限制可将上述配置中的dst-port值设置成23,Entry编号从110-200;
对于SNMP访问控制可将上述配置中的dst-port值设置成161,Entry编号从210-300;
(4)密码管理
7750SR的系统密码管理缺省配置如下:
Router-name>config>system>security>password# info detail
----------------------------------------------
authentication-order radius tacplus local
no aging
minimum-length 6
attempts 3 time 5 lockout 10
complexity
health-check
no admin-password
----------------------------------------------
a)建议设置AAA服务器管理用户登录;
b)建议设置密码失效时间为30天;
c)建议设置密码最短长度为8;
d)建议加强本地密码设置的复杂程度,如必须包含数字,必须包含特殊字符,必须包含字母大小写。
e)建议配置admin-password,该命令可允许任何在线用户通过输入enable-admin密码后成为系统管理员。
第 22 页 共 49 页
7750SR路由器配置规范
密码参数修改后如下:
>config>system>security>password# info detail
----------------------------------------------
authentication-order radius tacplus local
aging 30
minimum-length 8
attempts 3 time 5 lockout 10
complexity numeric mixed-case special-character
health-check
admin-password
----------------------------------------------
(5)登录信息修改
缺省情况下,7750登录前会显示路由器版本信息,例如:
TiMOS-C-4.0.R5 cpm/hops ALCATEL SR 7750 Copyright (c) 2000-2006
rights reserved. All use subject to applicable license agreements.
Built on Tue Aug 29 11:54:54 PST 2006 by builder in /rel4.0/b1/R5/panos/main
这些内容为网络攻击提供了重要的参考信息,建议将其屏蔽;
#configure system login-control no login-banner
配置系统登录警告,要求非授权用户立即退出:
>config>system>login-control# pre-login-message
"********************************************************n*
[WARNING] *n* This system is owned by XX-Telecom. If you are not
*n* authorized to access this system, exit immediately.
*n********************************************************n"
完成上述修改后,登录界面如下:
********************************************************
* [WARNING] *
* This system is owned by XX-Telecom. If you are not *
* authorized to access this system, exit immediately. *
********************************************************
Login:
第 23 页 共 49 页
7750SR路由器配置规范
5. 网管配置
5.1. 网管地址配置
配置内容:配置网管地址
规范要求:正常情况下采用LOOPBACK地址作为网管地址
配置示例:见3.1 LOOPBACK端口配置
采用带内网管需确保system(loopback)地址纳入IGP中;
如需配置CPM板卡上的带外网口地址,参照如下:
# bof /24 primary //配置带外地址
# bof /24 1 //配置带外网关
# bof save
5.2. TELNET配置
配置内容:
限制TELNET登陆的IP地址;
配置TELNETsession的过期时间;
规范要求:
TELNET密码采用系统全局配置的USERNAME和PASSWORD,密码字符串不要过于简单,一般应由字母、数字及特殊字符等组成,且不能低于6位;
如果启用AAA认证,则参考2.8节的配置规范;
根据实际情况只允许指定的IP地址能TELNET到设备上;
每个TELNETsession的时效一般设定在20分钟左右;
配置示例
#router-name>config>system>security>telnet-server
#router-name >config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit
entry 10
/32 //允许登录的第一台主机
dst-port 23 65535
第 24 页 共 49 页
7750SR路由器配置规范
action permit
exit
entry 15
/32 //允许登录的第二台主机
dst-port 23 65535
action permit
exit
......
entry 100 //该条目放在最后,用于拒绝所有其他主机
dst-port 23 65535
action deny
exit
#router-name>config>system>login-control# idle-timeout 20 //TELNET
session 过期时间为20分钟
修改当前用户密码:
A:router-name# password
Enter current password: xxx123@!345
5.3. FTP配置
配置内容:打开系统ftp server功能
配置示例
# configure system security ftp-server // 系统默认是不启用的
5.4. SNMP
配置内容:
启用SNMP服务,并设定其community字符串;
配置SNMP服务的访问控制
规范要求:
字符串不要过于简单,一般应由字母、数字及特殊字符等组成,且设定只有RO权限;
增加ACL访问列表,只允许指定的IP地址能通过SNMP协议访问设备;
配置示例
Router-name>system#info
----------------------------------------------
snmp
engineid “”
no shutdown
exit
security
snmp
community “xxxxxx” r version both
第 25 页 共 49 页
7750SR路由器配置规范
exit
exit
----------------------------------------------
SNMP的ACL配置:
Router-name>config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit
entry 110
/32
dst-port 161 65535
action permit
exit
entry 115
/32
dst-port 161 65535
action permit
exit
......
entry 200
dst-port 161 65535
action deny
exit
----------------------------------------------
5.5. SYSLOG
配置内容:
配置log信息显示的时间;
配置log信息触发的级别;
配置log server
配置示例
router>config>log#
log
file-id 1
location cf3:
rollover 600 retention 24
exit
log-id 10 (保存日志文件到syslog服务器上)
from main
to syslog 1
no shutdown
exit
log-id 20 (保存日志文件到本地flash卡上)
from main
to file 1
no shutdown
第 26 页 共 49 页
7750SR路由器配置规范
exit
syslog 1
description “To-Syslog-Server”
address
level xxx
port xxx (syslog tcp port number)
exit
exit
注:
7750的LOG事件流分为四种:
Debug-trace:用于分析协议细节的debug
Change:用于记录配置修改或节点运行状态改变等log
Security:用于记录用户登录,登录失败,越级操作尝试等安全方面的内容
Main:除上述内容外的其他log内容。
7750主要LOG级别如下:emergency|alert|critical|error|warning|notice|info|debug
5.6. 配置备份
配置内容:进行设备配置备份
规范要求:定期进行配置备份,重大割接前先备份配置
配置示例:
#configure system config-backup 5 // 能够保留的历史config文件数量为5
#configure system boot-bad-exec cf3-a: //将备份不成功的文件放在主控盘的
cf3卡上
#configure system boot-good-exec cf3-a: //将备份成功的文件放在主控盘的
cf3卡上
5.7. SSH配置
配置内容:
配置域名
虚接口上配置SSH登录
规范要求:设备如果支持SSH,应采用SSH方式进行远程登录,不支持时可以采用TELNET方式
配置示例:
#configure system security ssh //打开ssh服务
第 27 页 共 49 页
7750SR路由器配置规范
A: Router-name # configure system security ssh ? //ssh下可配置的内容
- ssh
[no] preserve-key - enable/disable persistence of host-key
[no] server-shutdown - start/stop SSH server
[no] version - Specify ssh version
5.8. NetFlow备份
配置内容:
配置采样频率
配置采集服务器地址、端口
记录起始AS号
规范要求:
注意采样周期,避免对路由器CPU造成大的影响
指定源接口
配置示例:
A:HZL_7750>config>cflowd# info detail
----------------------------------------------
active-timeout 30
cache-size 65536
inactive-timeout 15
overflow 1
rate 100 配置采样频率
collector 10.10.10.9:20 配置采集服务器地址、端口
aggregation
as-matrix
source-prefix
exit
autonomous-system-type origin
no description
no shutdown
exit
no shutdown
----------------------------------------------
configure router 在相应的interface上激活cflowd功能
interface "pe1-2"
address 10.1.2.1/24
port 1/1/1
cflowd interface
exit
第 28 页 共 49 页
7750SR路由器配置规范
6. 路由配置
6.1. 黑洞路由配置
配置内容:配置黑洞路由
规范要求:根据实际情况在黑洞路由后增加DISTANCE值,例如城域网出口路由器配置本网BGP路由相关黑洞路由是应注意DISTANCE值应大于IGP协议DISTANCE值,如DISTANCE值大于OSPF的110
配置示例:
#configure router static-route 10.1.1.0/24 black-hole preference 200//preference后面的值即DISTANCE,根据需要配置。
6.2. 静态路由配置
配置内容: 配置静态路由
规范要求: 根据实际情况在静态路由后增加DISTANCE值,如核心路由器与BAS之间的某个接口作为备份接口时DISTANCE值应大于IGP协议DISTANCE值。
配置示例:
#configure router static-route 10.1.1.0/24 next-hop 10.1.2.1 preference 120//preference后面的值即DISTANCE,根据需要配置。
6.3. OSPF配置
配置内容:
配置ROUTER-ID
配置运行OSPF 接口
配置路由重分布
配置示例:
第 29 页 共 49 页
7750SR路由器配置规范
上联路由器1
.1 100.1.1.0/24
1/3/1 .2
Uplink1
192.168.1.0/24
.2
1/2/1 .1
toBAS
上联路由器2
100.1.2.0/24
1/3/2 .2
Uplink2
R1
SystemIP/RID 1.1.1.1
1/1/2 .1
toR3
10.1.13.0/24
.1
10.1.12.0/24
OSPF Area 0.0.0.0
1/1/1 .1
toR2
BAS/Subscriber
R2
SystemIP/RID 2.2.2.2
R3
SystemIP/RID 3.3.3.3
拓扑如上图所示,路由器R1的配置如下:
configure
router
interface "toR2"
address 10.1.12.1/24
port 1/1/1
exit
interface "toR3"
address 10.1.13.1/24
port 1/1/2
exit
interface "toBAS"
address 192.168.1.1/24
port 1/2/1
exit
interface "UpLink1"
address 100.1.1.2/24
port 1/3/1
exit
interface "UpLink2"
address 100.1.2.2/24
port 1/3/2
exit
interface "system"
address 1.1.1.1/32
exit
router-id 1.1.1.1
ecmp 2 //这里允许最多2条等价路由可以进入路由表。该值最大可配置为16
第 30 页 共 49 页
7750SR路由器配置规范
static-route 192.168.2.0/24 next-hop 192.168.1.2 //用户和BAS POOL路由
static-route 0.0.0.0 0.0.0.0 next-hop 100.1.1.1
static-route 0.0.0.0 0.0.0.0 next-hop 100.1.2.1
ospf
asbr
export "to_ospf"
area 0.0.0.0
interface "system"
exit
interface "toR2"
exit
interface "toR3"
exit
exit
exit
policy-options
begin
prefix-list "default-route"
prefix 0.0.0.0/0 exact
exit
policy-statement "to_ospf"
entry 10
from
protocol static
prefix-list "default-route"
exit
to
protocol ospf
exit
action accept
type 2
exit
exit
entry 20
from
protocol static
exit
to
protocol ospf
exit
action accept
type 1
metric add 10
exit
exit
default-action reject
exit
第 31 页 共 49 页
//出口默认路由1
//出口默认路由2
7750SR路由器配置规范
commit
exit
exit
exit
R2的配置:
configure
router
interface "toR1"
address 10.1.12.2/24
port 1/1/1
exit
interface "system"
address 2.2.2.2/32
exit
router-id 2.2.2.2
ospf
area 0.0.0.0
interface “system”
exit
interface toR1
exit
exit
exit
exit
R3的配置:
configure
router
interface "toR1"
address 10.1.13.2/24
port 1/1/1
exit
interface "system"
address 3.3.3.3/32
exit
router-id 3.3.3.3
ospf
area 0.0.0.0
interface “system”
exit
interface toR1
exit
exit
exit
exit
第 32 页 共 49 页
7750SR路由器配置规范
6.4. ISIS配置
配置内容:
配置ISIS进程
配置NET地址
接口上启用ISIS路由进程
接口上配置邻接类型
配置示例:
L2
ToR2 .1
1/1/1
R1
SystemIP/RID 1.1.1.1
10.1.12.0/24
ToR1 .2
1/1/1
L1/L2
ToR3 .2
1/1/2
Area 86.002
10.1.23.0/24
Area 86.001
toR2 .3
1/1/1
L1
R3
SystemIP/RID 3.3.3.3
R2
SystemIP/RID 2.2.2.2
拓扑如图所示,R1的配置:
configure
router
interface "pe1-2"
address 10.1.12.1/24
port 1/1/1
exit
interface "system"
address 1.1.1.1/32
exit
isis
level-capability level-2
area-id 86.0001
interface "system"
exit
interface "toR2"
exit
exit
第 33 页 共 49 页
7750SR路由器配置规范
exit
exit
R2的配置
configure
router
interface "toR1"
address 10.1.12.2/24
port 1/1/1
exit
interface "toR3"
address 10.1.23.2/24
port 1/1/2
exit
interface "system"
address 2.2.2.2/32
exit
isis
area-id 86.0002
interface "system"
exit
interface "toR1"
exit
interface "toR3"
exit
exit
exit
exit
R3的配置
configure
router
interface "toR2"
address 10.1.23.3/24
port 1/1/2
exit
interface "system"
address 10.1.1.3/32
exit
isis
level-capability level-1
area-id 86.0001
interface "system"
exit
interface "toR2"
exit
exit
exit
第 34 页 共 49 页
7750SR路由器配置规范
exit
6.5. BGP配置
配置内容:
配置BGP AS 号
配置BGP 邻居IP地址、AS号及描述
配置对外广播网段
配置相应静态路由
配置示例:
AS1
R3-R1 .3
1/1/1
10.1.3.0/24 R1-R3 .1
1/1/2
AS2
R1-R2 .1
1/1/1
10.1.2.0/24
R3
SystemIP/RID 10.1.1.3
No Authentication
R1
SystemIP/RID 10.1.1.1
Authentication
R2-R1 .2
1/1/1
R2
SystemIP/RID 10.1.1.2
拓扑如图所示,R1的配置如下:
configure
router
interface "R1-R2"
address 10.1.2.1/24
port 1/1/1
exit
interface "R1-R3"
address 10.1.3.1/24
port 1/1/2
exit
interface "system"
address 10.1.1.1/32
exit
autonomous-system 1
router-id 10.1.1.1
bgp
local-as 1
router-id 10.1.1.1
group "R1-2"
type external
peer-as 2
neighbor 10.1.2.2
authentication-key R1-2 //配置authentication-key
exit
第 35 页 共 49 页
7750SR路由器配置规范
exit
group "R1-3"
type internal
peer-as 1
neighbor 10.1.1.3
exit
exit
damping //配置BGP DAMPING,避免路由波动的冲击
exit
exit
exit
R2的配置:
configure
router
interface "R2-R1"
address 10.1.2.2/24
port 1/1/1
exit
interface "system"
address 10.1.1.2/32
exit
autonomous-system 2
router-id 10.1.1.2
bgp
local-as 2
router-id 10.1.1.2
group "R1-2"
peer-as 1
neighbor 10.1.2.1
authentication-key R1-2
exit
exit
damping
exit
exit
exit
R3的配置:
configure
router
interface "R3-R1"
address 10.1.3.3/24
port 1/1/1
exit
interface "system"
address 10.1.1.3/32
exit
autonomous-system 1
第 36 页 共 49 页
7750SR路由器配置规范
router-id 10.1.1.3
static-route 100.100.3.0/24 black-hole
bgp
local-as 1
router-id 10.1.1.3
group "R1-3"
export "from-static"
peer-as 1
neighbor 10.1.1.1
exit
damping
exit
exit
exit
policy-options
begin
policy-statement "from-static"
entry 1
from
protocol static
exit
to
protocol bgp
exit
action accept
exit
exit
entry 2
from
protocol aggregate
exit
to
protocol bgp
exit
action accept
exit
exit
exit
commit
exit
exit
exit
其它规范要求:
配置EBGP-MULTIHOP
#configure router bgp multihop
第 37 页 共 49 页
7750SR路由器配置规范
根据需要配置ROUTE-MAP
采用Policy option实现。
例如:将170.1.0.0/16路由的metric设置为2000,配置如下:
configure
router
policy options
begin
prefix-list "prefix170"
prefix 170.1.0.0/16 exact
exit
policy-statement "set-metric"
entry 10
from
protocol static
prefix-list prefix170
exit
to
protocol bgp
exit
action accept
metric 2000
exit
exit
exit
commit
exit
exit
exit
#configure router bgp import set-metric //将policy应用到BGP
城域网以ORIGIN IGP的方式对外发布路由
configure
router
policy options
begin
prefix-list "prefix170"
prefix 170.1.0.0/16 exact
exit
policy-statement "origin-igp"
entry 10
from
prefix-list prefix170
exit
action accept
origin igp
exit
第 38 页 共 49 页
7750SR路由器配置规范
exit
exit
commit
exit
exit
exit
#configure router bgp group R1-3 export origin-igp //将policy应用到BGP
group
第 39 页 共 49 页
7750SR路由器配置规范
7. 业务配置
7.1. 专线业务配置(IES配置)
配置内容:
配置用户网关
配置示例
7750SR通过IES服务实现专线业务
//配置用户名称,每个IES配置必须与一个Customer配置绑定
Router>config>service# info
customer 2 create //”2”表示customer id,id限制在1..2147483647内
description " customer name" //描述用户名称,最大80个字符
exit
//配置用户IP地址:
Router>config>service# info
ies 2 customer 2 create
no shutdown
interface "to-customer-A" create //接口名称限制在32个字符内
address 2.2.2.2/30
sap 1/1/1 create // 端口1/1/1必须工作在access模式下
exit
exit
exit
//配置用户路由到IGP中
Sr12>config>router>ospf #
area 0.0.0.0
interface " to-customer-A"
passive
exit
exit
第 40 页 共 49 页
7750SR路由器配置规范
7.2. MPLS VPN业务配置
7.2.1 P路由器配置
配置内容:
全局配置LDP协议
接口打开标签交换
配置示例
网络拓扑结构如下图所示:
MPLS/VPN的建立应该是在P与PE路由以及PE与PE之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通
以IGP为OSPF为例,对于以上网络拓扑P、PE1和PE2的路由协议的配置应该如下:
7750-P基本配置信息如下:
A: 7750-P>config>router#info
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "p-pe1"
exit
interface "p-pe2"
exit
第 41 页 共 49 页
7750SR路由器配置规范
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "p-pe1"
exit
interface "p-pe2"
exit
exit
targeted-session
exit
exit
exit
#------------------------------------------
7750-PE-1基本配置信息如下:
A: 7750-PE-1>config>router>info
#------------------------------------------
echo "BGP Configuration"
#------------------------------------------
bgp
family ipv4 vpn-ipv4
group "vpn"
family vpn-ipv4
type internal
local-address 10.1.1.1
neighbor 10.1.1.2
exit
exit
exit
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "pe1-p"
exit
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "pe1-p"
exit
第 42 页 共 49 页
7750SR路由器配置规范
exit
targeted-session
exit
exit
exit
#------------------------------------------
7750-PE-2基本配置信息如下:
A: 7750-PE-2>config>router>info
#------------------------------------------
echo "BGP Configuration"
#------------------------------------------
bgp
family ipv4 vpn-ipv4
group "vpn"
family vpn-ipv4
type internal
local-address 10.1.1.2
neighbor 10.1.1.1
exit
exit
exit
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "pe2-p"
exit
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "pe2-p"
exit
exit
targeted-session
exit
exit
exit
#------------------------------------------
第 43 页 共 49 页
7750SR路由器配置规范
7.2.2 PE路由器配置(VPRN)
配置内容:
定义并且配置VRF
定义并且配置RD
定义RT,并且配置导入导出策略
配置MP-BGP协议
配置PE到CE的路由协议(示例为静态)
配置连接CE的接口,将该接口此前定义的VRF相关联
配置示例
MPLS/VPN的建立应该是在P与PE路由以及PE与PE之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通
以IGP为OSPF为例,对于以上网络拓扑P、PE1和PE2的路由协议的配置应该如上面的一个章节的配置,由于拓扑结构一致,请参考上面的配置例子。
在确认以上信息后,开始VPN的配置,步骤如下:
//vpn接入业务接入端口――service SAP 必须的access类型
配置VPRN
7750-PE-1 配置如下:
Router-name>config>service#info
第 44 页 共 49 页
7750SR路由器配置规范
customer 100 create // VPN配置必须要与一个Customer绑定。
description "ChinaTelecom VPN for xxx"
exit
vprn 100 customer 100 create
vrf-import "customer100-import"
vrf-export "customer100-export"
route-distinguisher 4134:100
auto-bind ldp
interface "toce1" create
address 11.1.0.1/24
sap 1/1/4 create //如1/1/4为dot1p封装,可配置成1/1/4:vlan-id
exit
static-route 11.1.1.0/24 next-hop 11.1.0.2
no shutdown
exit
router-name>config#
policy-options //配置重分布策略
begin
community "C100-COM" members "target:4134:100"
policy-statement " customer100-export "
entry 10
from
protocol direct
exit
to
protocol bgp-vpn
exit
action accept
community add "C100-COM "
local-preference 200
exit
exit
entry 20
from
protocol static
exit
to
protocol bgp-vpn
exit
action accept
community add "C100-COM "
local-preference 200
exit
exit
exit
policy-statement " customer100-import "
entry 10
from
protocol bgp-vpn
community "C100-COM "
第 45 页 共 49 页
7750SR路由器配置规范
exit
action accept
exit
exit
exit
commit
exit
exit
查看相应vpn路由表使用以下命令:
7750-PE-1# show router 1 route-table
7750-PE-2 配置参照PE1配置
7.2.3 PE路由器配置(VPLS)
配置内容:
配置点到多点L2VPN
配置 VPN ID、neighbor
将端口应用到VPN中
规范要求:以LOOPBACK口建立VPLS连接
配置示例
网络拓扑结构如下图所示:
基于以上网络拓扑7750-1、7750-2和7750-3的基本关于路由以及mpls,LDP均已完成,参见9.1节的配置。
第 46 页 共 49 页
7750SR路由器配置规范
配置VPLS
7750-1 配置如下:
A: 7750-1>config>service> sdp 1002 mpls create
far-end 2.2.2.2
ldp
no shutdown
exit
sdp 1003 mpls create
far-end 3.3.3.3
ldp
no shutdown
exit
A: 7750-1>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1002:100 create //100为VC值
exit
mesh-sdp 1003:100 create //100为VC值
exit
no shutdown
exit all
7750-2 配置如下:
A: 7750-2>config>service> sdp 1001 mpls create
far-end 1.1.1.1
ldp
no shutdown
exit
sdp 1003 mpls create
far-end 3.3.3.3
ldp
no shutdown
exit all
A: 7750-2>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1001:100 create //100为VC值
exit
mesh-sdp 1003:100 create //100为VC值
exit
no shutdown
exit all
7750-3 配置如下:
A: 7750-3>config>service> sdp 1001 mpls create
far-end 1.1.1.1
第 47 页 共 49 页
7750SR路由器配置规范
ldp
no shutdown
exit
sdp 1002 mpls create
far-end 2.2.2.2
ldp
no shutdown
exit all
A: 7750-3>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1001:100 create //100为VC值
exit
mesh-sdp 1002:100 create //100为VC值
exit
no shutdown
exit all
//以上完成VPLS在三台7x50上的配置。
第 48 页 共 49 页
7750SR路由器配置规范
8. 7750SR常用维护命令
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
命令
#show uptime
#show system cpu sample-preiod 10
说明
显示系统开机时间
显示系统cpu运行状况
显示系统内存使用情况
检查系统开放端口
检查路由器用户登录失败情况
显示用户登录情况
查看系统日志
查看bof配置信息
检查风扇运行状况
检查电源运行状况
显示板卡配置和状态
显示mda卡配置和状态
查看物理端口的状态,如SFP类型,端口的MTU等
查看具体物理端口详细信息
查看路由端口的状态
查看OSPF端口的状态,以及DR和BDR关系
查看OSPF邻居的建立状态
查看OSPF的数据库
查看ISIS邻居建立状态
查看ISIS端口
查看ISIS的数据库
查看路由表
查看从某种协议学习到的路由表
查看BGP邻居建立情况
查看BGP路由
查看向bgp邻居广播的网段和网段属性
查看从bgp邻居接受到的网段和网段属性
查看应用的策略
查看某个特定IOM的转发表
#show system memory-pools
#show system connections
#Show system security user
#show users
#show log log-id 99
#show bof
#show chassis environment
#show chassis power-supply
#show card [ n detail]
#show mda [ m/n detail]
#show port
#show port x/x/x [detail]
#show router interface
#show router ospf interface
#show router ospf neighbor
# show router ospf database
# show router isis adjacency
# show router isis interface
# show router isis database
#show router route-table
#show router route-table protocol xxx
#show router bgp neighbor
#show router bgp routes
#show router bgp neighbor
advertised-routes
#show router bgp neighbor
received-routes
#show router policy
#show router fib x
第 49 页 共 49 页
2024年2月25日发(作者:泣玄素)
7750SR路由器配置规范
V2.1
上海贝尔阿尔卡特股份有限公司
互联网事业部
二零零六年十一月
7750SR路由器配置规范
目 录
1.
概述 .................................................................................................... 4
2.
系统基本配置 ....................................................................................... 6
2.1.
层次化命令结构 ........................................................................... 6
2.2.
在CLI中获得帮助 ....................................................................... 7
2.3.
硬件板卡配置 .............................................................................. 8
2.4.
设备名称配置 .............................................................................. 9
2.5.
系统时间配置 .............................................................................. 9
2.6.
NTP配置..................................................................................... 9
2.7.
主备卡切换配置 ......................................................................... 10
2.8.
AAA配置(登录用户) ............................................................... 11
3.
端口配置 ........................................................................................... 13
3.1.
Loopback端口配置 .................................................................... 13
3.2.
GE端口配置 .............................................................................. 13
3.3.
POS端口配置 ............................................................................ 14
3.4.
端口镜像配置 ............................................................................ 15
4.
安全配置 ........................................................................................... 18
4.1.
ACL配置 ................................................................................... 18
4.2.
防攻击配置 ............................................................................... 18
5.
网管配置 ........................................................................................... 24
5.1.
网管地址配置 ............................................................................ 24
5.2.
TELNET配置 ............................................................................. 24
5.3.
FTP配置 ................................................................................... 25
5.4.
SNMP ....................................................................................... 25
5.5.
SYSLOG .................................................................................... 26
5.6.
配置备份 ................................................................................... 27
5.7.
SSH配置 ................................................................................... 27
5.8.
NetFlow备份 ............................................................................. 28
6.
路由配置 ........................................................................................... 29
第 2 页 共 49 页
7750SR路由器配置规范
6.1.
黑洞路由配置 ............................................................................ 29
6.2.
静态路由配置 ............................................................................ 29
6.3.
OSPF配置 ................................................................................. 29
6.4.
ISIS配置 .................................................................................. 33
6.5.
BGP配置................................................................................... 35
7.
业务配置 ........................................................................................... 40
7.1.
专线业务配置(IES配置) ......................................................... 40
7.2.
MPLS VPN业务配置 ................................................................... 41
7.2.1
P路由器配置 .................................................................... 41
7.2.2
PE路由器配置(VPRN) ................................................... 44
7.2.3
PE路由器配置(VPLS) .................................................... 46
8.
7750SR常用维护命令 ......................................................................... 49
第 3 页 共 49 页
7750SR路由器配置规范
1. 概述
阿尔卡特7750SR路由器是业内第一个专为高级互联网和虚拟专用网络(VPN)业务而设计和优化的IP/MPLS业务路由器。阿尔卡特7750SR有三种尺寸可供选择:单槽、7槽和12槽,可提供具有卓越性能和高密度的各种接口。作为目前业内最具扩展性的路由器平台,阿尔卡特7750SR具有为高效传送基于服务等级协议(SLA)的业务而设计的软件和硬件架构,因此阿尔卡特7750SR不仅仅是强大的互联网路由器,更是一个灵活、强大的业务供应平台。
为正确配置7750SR系列路由器,需完成引导文件配置,系统管理功能配置,IOM/MDA/Port等板卡端口配置,相关路由协议配置,以及7750SR定义的各种Service和QoS配置等。
本规范针对用户日常维护工作中常用的配置任务编写,并提供配置实例,未涉及的内容用户可参考7750SR配置指导手册,表1列出各配置任务对应的指导手册名称便于用户进行针对性查找。
第 4 页 共 49 页
7750SR路由器配置规范
表1:7750SR配置任务与指导手册对应表
任务
系统基础向导
子任务
CLI用法
文件系统管理
配置引导选项文件(BOF)
系统管理(NTP,CRON)
指导文档
7750_SR_OS_System_Basics_Guide
系统管理配置
硬件配置
初始化配置
配置系统安全参数,例7750_SR_OS_System_Basics_Guide
如:登陆控制,AAA
Syslog,SNMP配置
IOM,MDA,Port配置
配置路由器参数,包括:路由器界面和地址、路由器ID、自主系统及相关系统
VRRP配置
Filter配置
Cflowd配置
RIP,OSPF,IS-IS,BGP
组播
路由策略
7750_SR_OS_Interface_Guide
7750_SR_OS_Router_Config_Guide
路由协议配置
7750_SR_OS_Routing_Protocols_Guide
7750_SR_OS_MPLS_Guide
服务配置
MPLS,RSVP,LDP
7750_SR_OS_Services_Guide
VPN:VLL,VPLS,VPRN服务
IES(专线业务)服务
镜像(Mirror)服务
OAM/SAA配置
7750_SR_OS_QoS_Guide
QOS配置
第 5 页 共 49 页
7750SR路由器配置规范
2. 系统基本配置
2.1. 层次化命令结构
7750SR的TiMos操作系统采用层次化配置命令,通过tree命令可查看配置层次结构,如下列出主要配置层次:
下例演示了各层次的进、出命令:
7750SR# configure system
7750SR>config>system#
7750SR>config>system# back
第 6 页 共 49 页
7750SR路由器配置规范
7750SR>config#
7750SR>config# system security
7750SR>config>system>security#
7750SR>config>system>security# exit
7750SR>config#
7750SR>config# system security
7750SR>config>system>security# cpm-filter
2.2. 在CLI中获得帮助
在CLI中帮助系统命令和“?”键显示不同类型帮助。表2列出不同的帮助命令;表3描述命令语法标识符。
表2:在线帮助命令
命令
help?
string?
Command?
Command
keyword?
string
string
表3:命令语法标识符
标识符
|
[ ]
< >
描述
竖线表示需要方括号或大括号内的一个参数。
tcp-ack{true|false}
方括号表示可选参数。
redirects[number seconds]
尖括号表示需要输入与括号内参数匹配的内容。
interface
大括号表示必须选择里面的一个参数。
default-action{drop|forward}
目的
在当前环境下列出所有命令。
列出所有在当前环境下可用的以string开头的命令。
显示命令标识符及相关关键词。
在command中列出与keyword相关的自变量
输出未完全输入的命令(自动完成功能)或列示
与string相匹配的命令。
{ }
第 7 页 共 49 页
7750SR路由器配置规范
2.3. 硬件板卡配置
7750SR路由器的IOM和MDA板卡只有在配置命令与板卡类型匹配后方可启动,可以事先将IOM和MDA板卡类型部署上,防止错误板卡插入;当板卡在未配置时插入后,可通过show card/mda命令查看板卡类型,此时板卡运行状态为down。
配置IOM模块,事先需确认IOM模块的准确类型:
7750SR# configure card 3
7750SR>config>card# card-type ?
- card-type
- no card-type
7750SR>config>card# card-type iom-20g-b
7750SR>config>card# no shutdown
配置MDA模块,事先需确认MDA模块的准确类型:
7750SR>config>card# mda 1
7750SR>config>card>mda# mda-type ?
- mda-type
- no mda-type
7750SR>config>card>mda# mda-type m10-1gb-sfp
7750SR>config>card>mda# back
7750SR>config>card# info
----------------------------------------------
card-type iom-20g-b
mda 1
mda-type m10-1gb-sfp
exit
----------------------------------------------
第 8 页 共 49 页
7750SR路由器配置规范
删除MDA模块:
7750SR>config>card# mda 1
7750SR>config>card>mda# shutdown
7750SR>config>card>mda# exit
7750SR>config>card# no mda 1
删除IOM模块(事先需确保该IOM下所有MDA模块均已删除):
7750SR>config>card# back
7750SR>config# no card 3
2.4. 设备名称配置
配置内容:配置设备名称
规范要求:设备名称要求符合配置有关命名规范;
配置示例:
#configure system name “R1-C-xxx-1”
2.5. 系统时间配置
配置内容:配置系统时间;
规范要求:系统时间要求采用标准北京时间;
配置示例:
#configure system time zone GMT8 08 //配置系统时区
# admin set-time 2006/10/10 04:10:00 //修改系统时间
# show time //显示系统目前时间
2.6. NTP配置
配置内容:
配置主备NTP服务器
配置源接口
规范要求:
城域网出口路由器NTP SERVER指向专用NTP服务器
城域网其他路由器指向出口路由器
配置示例
第 9 页 共 49 页
7750SR路由器配置规范
城域网出口路由器配置如下:
router>config>system>time>ntp#
ntp-server transmit 2 //ntp-server配置该设备为NTP Server, transmit配置要求对Client端进行认证;
authentication-check
authentication-key 2 key "m23V7d4Qu/HPk" hash2 type des
server 138.203.192.2 version 4 prefer //指向专用NTP服务器
no shutdown
城域网其他路由器指向出口路由器:
router>config>system>time>ntp#
authentication-check
authentication-key 2 key "m23V7d4Qu/HPk" hash2 type des
server 10.1.1.1 key 2 prefer
server 10.1.1.2 key 2
no shutdown
2.7. 主备卡切换配置
配置内容:配置系统引擎冗余模式
规范要求:
系统支持NSR功能
配置示例
在4.0版本,配置了双SF/CPM的7750SR路由器在主备CPM切换时可保证不间断路由(Non stop routing)、不间断业务(Non stop service)
Nonstop Routing (NSR)
NSR可保证CPM切换时BGP,LDP,OSPF,ISIS等路由Session不终断,对端路由器不会感知到任何变化。NSR不需要任何扩展协议,也不存在互通问题。转发信息始终处于最新状态,不会出现转发环路。
NSR不需要配置命令激活,当系统配置了双SF/CPM,NSR的功能就已经存在。验证双SF/CPM正常工作,即验证了NSR。
第 10 页 共 49 页
7750SR路由器配置规范
7750SR# show card
==============================================
Card Summary
==============================================
slot card card card admin operational
allowed provisioned equipped state state
-------------------------------------------------------------------------------
2 all supported iom-20g iom-20g up up
A all supported sfm-400g sfm-400g up up/active
B all supported sfm-400g sfm-400g up up/standby
==============================================
2.8. AAA配置(登录用户)
配置内容:启用AAA认证
规范要求:
根据AAA认证服务器的类型指定采用RADIUS认证还是TACASS+认证;
指定认证密钥;
本地配置用户名和密码作为备份的认证方式
配置示例
若指定配置Radius认证,则:
router>config>system>security# info
----------------------------------------------
password
authentication-order radius local
attempts 60 time 5 lockout 0
exit
radius
authorization
accounting
server 1 secret "timetra"
exit
user "test"
password xxx hash //用于本地认证
access console
console
member "administrative"
member "default"
exit
----------------------------------------------
router>config>system>security#
第 11 页 共 49 页
7750SR路由器配置规范
若指定配置TACASS+认证,则:
Router>config>system>security# info
----------------------------------------------
password
authentication-order tacplus local
exit
tacplus
authorization
accounting
single-connection
source-address 138.203.17.218
server 1 address 138.203.228.5 secret "timetra"
exit
----------------------------------------------
第 12 页 共 49 页
7750SR路由器配置规范
3. 端口配置
3.1. Loopback端口配置
配置内容:配置Loopback端口IP地址和子网掩码
规范要求:端口子网掩码为32位
配置示例:
7750SR路由器缺省使用system关键字作为loopback端口
#configure router interface system /32
配置第二个loopback地址:
#configure router interface system1 /32
#configure router interface system1 loopback
3.2. GE端口配置
配置内容:
配置端口描述
配置自适应模式
配置IP地址
规范要求
端口描述符合有关命名规范;
与不同厂家GE口互联应关闭自适应模式
接口MTU配置为1524
配置示例
首先配置物理端口port属性:
Router>config#info
port 1/1/3
description "To Router-Name GE" //使用双引号,最长80个字母
ethernet
mtu 1524
第 13 页 共 49 页
7750SR路由器配置规范
mode access|network //上连路由端口选择network,放入service中的端口选择access
no autonegotiate
exit
no shutdown
exit
再将port与三层逻辑端口绑定:
Router>config#info
interface "inf-name"
address 60.30.58.58/30
port 1/1/3
exit
一个IP Interface名字最长32个字母(包含数字),区分大小写,必须以字母开头;
3.3. POS端口配置
配置内容:
配置端口描述
配置IP地址
配置时钟源
配置帧格式
配置封装格式
规范要求:
端口描述符合有关命名规范;
接口封装为PPP
路由器间POS口光纤直联时采用主从时钟,与传输互联时钟跟随传输
帧格式为SDH
配置示例:
port 1/1/4
description "TO Router-name 2.5G (1/2/1)"
sonet-sdh
framing sdh
clock-source node-timed
path
no shutdown
crc 32
mode access|network
exit
exit
第 14 页 共 49 页
7750SR路由器配置规范
no shutdown
exit
clock-source node-timed使用节点自身的时钟
clock-source loop-timed使用线路上时钟
3.4. 端口镜像配置
配置内容:
本地端口镜像
远程端口镜像
规范要求:
配置示例:
本地端口镜像配置:
#config port 1/1/3 ethernet mode access
#config port 1/1/3 ethernet encap null
#config port 1/1/3 no shutdown
Router-name>config>mirror#info
mirror-dest 1000 create
sap 1/1/3:0 create //以物理端口1/1/3作为目的端口
exit
slice-size 1400
no shutdown
exit
debug mirror-source 1000 port 1/1/1 ingress egress //镜像1/1/1端口上的进、出数据
debug mirror-source 1000 no shutdown
远程端口镜像配置:
7750SR系列路由器不仅支持同设备内的端口镜像,还支持不同设备间的端口镜像,7750SR端口镜像主要功能如下:
1)支持基于Service的镜像,可针对具体用户的子端口完成镜像;
2)支持对报文的整体或特定字段进行镜像;
3)镜像可以在各种端口之间完成,不需源端口和目的端口的类型一致;
4)支持在SAP和Network端口的入、出方向部署镜像
5)支持本地和远程镜像,远程镜像时将报文进行重封装,再通过IP或MPLS隧道通过核心网将报文传递到目标设备。
第 15 页 共 49 页
7750SR路由器配置规范
配置步骤如下:
实例拓扑如下:
在PE3上配置:
1)配置指向PE1的SDP,SDP可以用LDP,RSVP或GRE方式封装,本例采用LDP方式封装,配置如下:
service
sdp 3001 mpls create
第 16 页 共 49 页
7750SR路由器配置规范
far-end 10.1.1.1
ldp
keep-alive
shutdown
exit
no shutdown
exit
exit
2)配置Mirror目的,指向本地创建的SDP(如是本地镜像则指向本地端口)
configure mirror mirror-dest 1000 create
sdp 3001 egr-svc-label 3001
no shutdown
exit
3)配置镜像的源端口,使镜像数据指向Mirror-dest
debug mirror-source 1000 port 1/1/2 ingress egress
debug mirror-source 1000 no shutdown
注:该处port 1/1/2的配置实现1/1/2端口上所有数据的镜像,如希望镜像对应某个用户的子端口的数据,即实现基于业务的镜像,可以使用sap 端口配置。
在PE1上配置:
mirror
mirror-dest 1000 create
remote-source //配置PE1接收从remote-source来的镜像报文
far-end 10.1.1.3 ing-svc-label 3001
exit
sap 1/1/3:0 create //配置出端口
egress
qos 1
exit
exit
no shutdown
exit
exit
第 17 页 共 49 页
7750SR路由器配置规范
4. 安全配置
4.1. ACL配置
配置内容:配置防病毒ACL
规范要求:正常情况下只在入接口启用ACL
配置示例:
Router>config# filter
ip-filter 100 create
default-action forward
description "denfend-virtus"
entry 10 create
match protocol tcp
dst-port eq 69
exit
action drop
exit
entry 20 create
match protocol udp
dst-port eq 135
exit
action drop
exit
exit
//根据病毒协议和端口配置其他过滤规则
应用filter到端口:
7750SR>config>router#
interface “XXX”
ingress
filter ip xx
exit
exit
4.2. 防攻击配置
配置内容:
关闭不必要的服务;
限制异常流量带宽;
对路由器进行访问控制;
第 18 页 共 49 页
7750SR路由器配置规范
密码管理;
登录信息修改;
配置示例
(1)正常情况下,只打开7750SR路由器的SSH 服务(系统缺省打开),允许用户通过SSH管理、配置路由器,其他服务在需要的时候再打开,不用时关闭。
通过如下命令关闭telnet和ftp服务:
#config>system>security>no telnet-server
#config>system>security>no ftp-server
通过如下命令确认系统开放端口:
#show system connections
正常情况下系统只开放如下端口:
TCP 179:用于BGP连接
TCP 22:用于SSH登录
TCP 646:用于LDP
UDP 161:用于SNMP
UDP 123:用于NTP
(2)限制异常流量带宽
7750SR路由器对于那些必须经过CPM上的CPU进行处理的流量可以通过cpm-filter命令来进行识别,该命令作用于流量到达CPM CPU之前的P-Chip芯片上,并可根据情况选择这些流量通过、拒绝或对其进行cpm-queue限速。
限制异常ICMP流量
大量对路由器端口或system地址的Ping包都会造成CPM CPU利用率增加,可通过cpm-filter匹配由IOM送到CPM板卡上的ICMP报文,并通过cpm-queue限制其速率。
参考配置如下:
部署CPM-Queue
>config>sys>security>cpm-queue# info
----------------------------------------------
queue 40 create
第 19 页 共 49 页
7750SR路由器配置规范
cbs 1000 mbs 1000
rate 2000 cir 2000 //为ICMP协议只分配2000 kbps带宽
exit
----------------------------------------------
部署CPM-Filter
>config>sys>security>cpm-filter# info
----------------------------------------------
ip-filter
no shutdown
entry 40 create
action queue 40
match protocol icmp
exit
exit
exit
----------------------------------------------
限制异常TCP SYN流量
TCP SYN Flood攻击通过大量伪造的源地址报文向路由器发送TCP SYN连接请求,路由器的TCP缓存队列被占满后,将拒绝新的连接请求。通常路由器设备的TCP连接主要来自临近路由设备的路由协议(如BGP协议采用TCP179端口,LDP协议使用646端口建立TCP Session),以及telnet, ssh等管理需要。
参考配置如下:
部署CPM-Queue
>config>sys>security>cpm-queue# info
----------------------------------------------
queue 50 create
cbs 1000 mbs 1000
rate 2000 cir 2000 //为TCP SYN流量只分配2000 kbps带宽
exit
----------------------------------------------
部署CPM-Filter
>config>sys>security>cpm-filter# info
----------------------------------------------
ip-filter
no shutdown
entry 50 create
action queue 50
match protocol tcp
第 20 页 共 49 页
7750SR路由器配置规范
tcp-syn true
src-ip 10.0.0.0/8
exit
exit
entry 51 create
action queue 50
match protocol tcp
tcp-syn true
src-ip 172.16.0.0/12
exit
exit
entry 52 create
action queue 50
match protocol tcp
tcp-syn true
src-ip 192.168.0.0/16
exit
exit
exit
----------------------------------------------
注:上述配置基于常见SYN Flood采用的源地址,只对这些源地址产生的TCP连接进行限速,其他正常的TCP连接不受影响。
(3)限制路由器的访问控制
7750SR路由器可通过management-access-filter命令控制进、出CPM的流量,其动作只有permit或deny,可用于设置路由器的登录访问控制:
对SSH登录源地址限制:
>config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit //必须为permit,否则所有未明确permit的流量均会被拒绝
entry 10
/32 //允许登录的第一台主机
dst-port 22 65535
action permit
exit
entry 15
/32 //允许登录的第二台主机
dst-port 22 65535
action permit
exit
......
第 21 页 共 49 页
7750SR路由器配置规范
entry 100 //该条目放在最后,用于拒绝所有其他主机
dst-port 22 65535
action deny
exit
----------------------------------------------
对于Telnet登录限制可将上述配置中的dst-port值设置成23,Entry编号从110-200;
对于SNMP访问控制可将上述配置中的dst-port值设置成161,Entry编号从210-300;
(4)密码管理
7750SR的系统密码管理缺省配置如下:
Router-name>config>system>security>password# info detail
----------------------------------------------
authentication-order radius tacplus local
no aging
minimum-length 6
attempts 3 time 5 lockout 10
complexity
health-check
no admin-password
----------------------------------------------
a)建议设置AAA服务器管理用户登录;
b)建议设置密码失效时间为30天;
c)建议设置密码最短长度为8;
d)建议加强本地密码设置的复杂程度,如必须包含数字,必须包含特殊字符,必须包含字母大小写。
e)建议配置admin-password,该命令可允许任何在线用户通过输入enable-admin密码后成为系统管理员。
第 22 页 共 49 页
7750SR路由器配置规范
密码参数修改后如下:
>config>system>security>password# info detail
----------------------------------------------
authentication-order radius tacplus local
aging 30
minimum-length 8
attempts 3 time 5 lockout 10
complexity numeric mixed-case special-character
health-check
admin-password
----------------------------------------------
(5)登录信息修改
缺省情况下,7750登录前会显示路由器版本信息,例如:
TiMOS-C-4.0.R5 cpm/hops ALCATEL SR 7750 Copyright (c) 2000-2006
rights reserved. All use subject to applicable license agreements.
Built on Tue Aug 29 11:54:54 PST 2006 by builder in /rel4.0/b1/R5/panos/main
这些内容为网络攻击提供了重要的参考信息,建议将其屏蔽;
#configure system login-control no login-banner
配置系统登录警告,要求非授权用户立即退出:
>config>system>login-control# pre-login-message
"********************************************************n*
[WARNING] *n* This system is owned by XX-Telecom. If you are not
*n* authorized to access this system, exit immediately.
*n********************************************************n"
完成上述修改后,登录界面如下:
********************************************************
* [WARNING] *
* This system is owned by XX-Telecom. If you are not *
* authorized to access this system, exit immediately. *
********************************************************
Login:
第 23 页 共 49 页
7750SR路由器配置规范
5. 网管配置
5.1. 网管地址配置
配置内容:配置网管地址
规范要求:正常情况下采用LOOPBACK地址作为网管地址
配置示例:见3.1 LOOPBACK端口配置
采用带内网管需确保system(loopback)地址纳入IGP中;
如需配置CPM板卡上的带外网口地址,参照如下:
# bof /24 primary //配置带外地址
# bof /24 1 //配置带外网关
# bof save
5.2. TELNET配置
配置内容:
限制TELNET登陆的IP地址;
配置TELNETsession的过期时间;
规范要求:
TELNET密码采用系统全局配置的USERNAME和PASSWORD,密码字符串不要过于简单,一般应由字母、数字及特殊字符等组成,且不能低于6位;
如果启用AAA认证,则参考2.8节的配置规范;
根据实际情况只允许指定的IP地址能TELNET到设备上;
每个TELNETsession的时效一般设定在20分钟左右;
配置示例
#router-name>config>system>security>telnet-server
#router-name >config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit
entry 10
/32 //允许登录的第一台主机
dst-port 23 65535
第 24 页 共 49 页
7750SR路由器配置规范
action permit
exit
entry 15
/32 //允许登录的第二台主机
dst-port 23 65535
action permit
exit
......
entry 100 //该条目放在最后,用于拒绝所有其他主机
dst-port 23 65535
action deny
exit
#router-name>config>system>login-control# idle-timeout 20 //TELNET
session 过期时间为20分钟
修改当前用户密码:
A:router-name# password
Enter current password: xxx123@!345
5.3. FTP配置
配置内容:打开系统ftp server功能
配置示例
# configure system security ftp-server // 系统默认是不启用的
5.4. SNMP
配置内容:
启用SNMP服务,并设定其community字符串;
配置SNMP服务的访问控制
规范要求:
字符串不要过于简单,一般应由字母、数字及特殊字符等组成,且设定只有RO权限;
增加ACL访问列表,只允许指定的IP地址能通过SNMP协议访问设备;
配置示例
Router-name>system#info
----------------------------------------------
snmp
engineid “”
no shutdown
exit
security
snmp
community “xxxxxx” r version both
第 25 页 共 49 页
7750SR路由器配置规范
exit
exit
----------------------------------------------
SNMP的ACL配置:
Router-name>config>system>security>mgmt-access-filter# info
----------------------------------------------
default-action permit
entry 110
/32
dst-port 161 65535
action permit
exit
entry 115
/32
dst-port 161 65535
action permit
exit
......
entry 200
dst-port 161 65535
action deny
exit
----------------------------------------------
5.5. SYSLOG
配置内容:
配置log信息显示的时间;
配置log信息触发的级别;
配置log server
配置示例
router>config>log#
log
file-id 1
location cf3:
rollover 600 retention 24
exit
log-id 10 (保存日志文件到syslog服务器上)
from main
to syslog 1
no shutdown
exit
log-id 20 (保存日志文件到本地flash卡上)
from main
to file 1
no shutdown
第 26 页 共 49 页
7750SR路由器配置规范
exit
syslog 1
description “To-Syslog-Server”
address
level xxx
port xxx (syslog tcp port number)
exit
exit
注:
7750的LOG事件流分为四种:
Debug-trace:用于分析协议细节的debug
Change:用于记录配置修改或节点运行状态改变等log
Security:用于记录用户登录,登录失败,越级操作尝试等安全方面的内容
Main:除上述内容外的其他log内容。
7750主要LOG级别如下:emergency|alert|critical|error|warning|notice|info|debug
5.6. 配置备份
配置内容:进行设备配置备份
规范要求:定期进行配置备份,重大割接前先备份配置
配置示例:
#configure system config-backup 5 // 能够保留的历史config文件数量为5
#configure system boot-bad-exec cf3-a: //将备份不成功的文件放在主控盘的
cf3卡上
#configure system boot-good-exec cf3-a: //将备份成功的文件放在主控盘的
cf3卡上
5.7. SSH配置
配置内容:
配置域名
虚接口上配置SSH登录
规范要求:设备如果支持SSH,应采用SSH方式进行远程登录,不支持时可以采用TELNET方式
配置示例:
#configure system security ssh //打开ssh服务
第 27 页 共 49 页
7750SR路由器配置规范
A: Router-name # configure system security ssh ? //ssh下可配置的内容
- ssh
[no] preserve-key - enable/disable persistence of host-key
[no] server-shutdown - start/stop SSH server
[no] version - Specify ssh version
5.8. NetFlow备份
配置内容:
配置采样频率
配置采集服务器地址、端口
记录起始AS号
规范要求:
注意采样周期,避免对路由器CPU造成大的影响
指定源接口
配置示例:
A:HZL_7750>config>cflowd# info detail
----------------------------------------------
active-timeout 30
cache-size 65536
inactive-timeout 15
overflow 1
rate 100 配置采样频率
collector 10.10.10.9:20 配置采集服务器地址、端口
aggregation
as-matrix
source-prefix
exit
autonomous-system-type origin
no description
no shutdown
exit
no shutdown
----------------------------------------------
configure router 在相应的interface上激活cflowd功能
interface "pe1-2"
address 10.1.2.1/24
port 1/1/1
cflowd interface
exit
第 28 页 共 49 页
7750SR路由器配置规范
6. 路由配置
6.1. 黑洞路由配置
配置内容:配置黑洞路由
规范要求:根据实际情况在黑洞路由后增加DISTANCE值,例如城域网出口路由器配置本网BGP路由相关黑洞路由是应注意DISTANCE值应大于IGP协议DISTANCE值,如DISTANCE值大于OSPF的110
配置示例:
#configure router static-route 10.1.1.0/24 black-hole preference 200//preference后面的值即DISTANCE,根据需要配置。
6.2. 静态路由配置
配置内容: 配置静态路由
规范要求: 根据实际情况在静态路由后增加DISTANCE值,如核心路由器与BAS之间的某个接口作为备份接口时DISTANCE值应大于IGP协议DISTANCE值。
配置示例:
#configure router static-route 10.1.1.0/24 next-hop 10.1.2.1 preference 120//preference后面的值即DISTANCE,根据需要配置。
6.3. OSPF配置
配置内容:
配置ROUTER-ID
配置运行OSPF 接口
配置路由重分布
配置示例:
第 29 页 共 49 页
7750SR路由器配置规范
上联路由器1
.1 100.1.1.0/24
1/3/1 .2
Uplink1
192.168.1.0/24
.2
1/2/1 .1
toBAS
上联路由器2
100.1.2.0/24
1/3/2 .2
Uplink2
R1
SystemIP/RID 1.1.1.1
1/1/2 .1
toR3
10.1.13.0/24
.1
10.1.12.0/24
OSPF Area 0.0.0.0
1/1/1 .1
toR2
BAS/Subscriber
R2
SystemIP/RID 2.2.2.2
R3
SystemIP/RID 3.3.3.3
拓扑如上图所示,路由器R1的配置如下:
configure
router
interface "toR2"
address 10.1.12.1/24
port 1/1/1
exit
interface "toR3"
address 10.1.13.1/24
port 1/1/2
exit
interface "toBAS"
address 192.168.1.1/24
port 1/2/1
exit
interface "UpLink1"
address 100.1.1.2/24
port 1/3/1
exit
interface "UpLink2"
address 100.1.2.2/24
port 1/3/2
exit
interface "system"
address 1.1.1.1/32
exit
router-id 1.1.1.1
ecmp 2 //这里允许最多2条等价路由可以进入路由表。该值最大可配置为16
第 30 页 共 49 页
7750SR路由器配置规范
static-route 192.168.2.0/24 next-hop 192.168.1.2 //用户和BAS POOL路由
static-route 0.0.0.0 0.0.0.0 next-hop 100.1.1.1
static-route 0.0.0.0 0.0.0.0 next-hop 100.1.2.1
ospf
asbr
export "to_ospf"
area 0.0.0.0
interface "system"
exit
interface "toR2"
exit
interface "toR3"
exit
exit
exit
policy-options
begin
prefix-list "default-route"
prefix 0.0.0.0/0 exact
exit
policy-statement "to_ospf"
entry 10
from
protocol static
prefix-list "default-route"
exit
to
protocol ospf
exit
action accept
type 2
exit
exit
entry 20
from
protocol static
exit
to
protocol ospf
exit
action accept
type 1
metric add 10
exit
exit
default-action reject
exit
第 31 页 共 49 页
//出口默认路由1
//出口默认路由2
7750SR路由器配置规范
commit
exit
exit
exit
R2的配置:
configure
router
interface "toR1"
address 10.1.12.2/24
port 1/1/1
exit
interface "system"
address 2.2.2.2/32
exit
router-id 2.2.2.2
ospf
area 0.0.0.0
interface “system”
exit
interface toR1
exit
exit
exit
exit
R3的配置:
configure
router
interface "toR1"
address 10.1.13.2/24
port 1/1/1
exit
interface "system"
address 3.3.3.3/32
exit
router-id 3.3.3.3
ospf
area 0.0.0.0
interface “system”
exit
interface toR1
exit
exit
exit
exit
第 32 页 共 49 页
7750SR路由器配置规范
6.4. ISIS配置
配置内容:
配置ISIS进程
配置NET地址
接口上启用ISIS路由进程
接口上配置邻接类型
配置示例:
L2
ToR2 .1
1/1/1
R1
SystemIP/RID 1.1.1.1
10.1.12.0/24
ToR1 .2
1/1/1
L1/L2
ToR3 .2
1/1/2
Area 86.002
10.1.23.0/24
Area 86.001
toR2 .3
1/1/1
L1
R3
SystemIP/RID 3.3.3.3
R2
SystemIP/RID 2.2.2.2
拓扑如图所示,R1的配置:
configure
router
interface "pe1-2"
address 10.1.12.1/24
port 1/1/1
exit
interface "system"
address 1.1.1.1/32
exit
isis
level-capability level-2
area-id 86.0001
interface "system"
exit
interface "toR2"
exit
exit
第 33 页 共 49 页
7750SR路由器配置规范
exit
exit
R2的配置
configure
router
interface "toR1"
address 10.1.12.2/24
port 1/1/1
exit
interface "toR3"
address 10.1.23.2/24
port 1/1/2
exit
interface "system"
address 2.2.2.2/32
exit
isis
area-id 86.0002
interface "system"
exit
interface "toR1"
exit
interface "toR3"
exit
exit
exit
exit
R3的配置
configure
router
interface "toR2"
address 10.1.23.3/24
port 1/1/2
exit
interface "system"
address 10.1.1.3/32
exit
isis
level-capability level-1
area-id 86.0001
interface "system"
exit
interface "toR2"
exit
exit
exit
第 34 页 共 49 页
7750SR路由器配置规范
exit
6.5. BGP配置
配置内容:
配置BGP AS 号
配置BGP 邻居IP地址、AS号及描述
配置对外广播网段
配置相应静态路由
配置示例:
AS1
R3-R1 .3
1/1/1
10.1.3.0/24 R1-R3 .1
1/1/2
AS2
R1-R2 .1
1/1/1
10.1.2.0/24
R3
SystemIP/RID 10.1.1.3
No Authentication
R1
SystemIP/RID 10.1.1.1
Authentication
R2-R1 .2
1/1/1
R2
SystemIP/RID 10.1.1.2
拓扑如图所示,R1的配置如下:
configure
router
interface "R1-R2"
address 10.1.2.1/24
port 1/1/1
exit
interface "R1-R3"
address 10.1.3.1/24
port 1/1/2
exit
interface "system"
address 10.1.1.1/32
exit
autonomous-system 1
router-id 10.1.1.1
bgp
local-as 1
router-id 10.1.1.1
group "R1-2"
type external
peer-as 2
neighbor 10.1.2.2
authentication-key R1-2 //配置authentication-key
exit
第 35 页 共 49 页
7750SR路由器配置规范
exit
group "R1-3"
type internal
peer-as 1
neighbor 10.1.1.3
exit
exit
damping //配置BGP DAMPING,避免路由波动的冲击
exit
exit
exit
R2的配置:
configure
router
interface "R2-R1"
address 10.1.2.2/24
port 1/1/1
exit
interface "system"
address 10.1.1.2/32
exit
autonomous-system 2
router-id 10.1.1.2
bgp
local-as 2
router-id 10.1.1.2
group "R1-2"
peer-as 1
neighbor 10.1.2.1
authentication-key R1-2
exit
exit
damping
exit
exit
exit
R3的配置:
configure
router
interface "R3-R1"
address 10.1.3.3/24
port 1/1/1
exit
interface "system"
address 10.1.1.3/32
exit
autonomous-system 1
第 36 页 共 49 页
7750SR路由器配置规范
router-id 10.1.1.3
static-route 100.100.3.0/24 black-hole
bgp
local-as 1
router-id 10.1.1.3
group "R1-3"
export "from-static"
peer-as 1
neighbor 10.1.1.1
exit
damping
exit
exit
exit
policy-options
begin
policy-statement "from-static"
entry 1
from
protocol static
exit
to
protocol bgp
exit
action accept
exit
exit
entry 2
from
protocol aggregate
exit
to
protocol bgp
exit
action accept
exit
exit
exit
commit
exit
exit
exit
其它规范要求:
配置EBGP-MULTIHOP
#configure router bgp multihop
第 37 页 共 49 页
7750SR路由器配置规范
根据需要配置ROUTE-MAP
采用Policy option实现。
例如:将170.1.0.0/16路由的metric设置为2000,配置如下:
configure
router
policy options
begin
prefix-list "prefix170"
prefix 170.1.0.0/16 exact
exit
policy-statement "set-metric"
entry 10
from
protocol static
prefix-list prefix170
exit
to
protocol bgp
exit
action accept
metric 2000
exit
exit
exit
commit
exit
exit
exit
#configure router bgp import set-metric //将policy应用到BGP
城域网以ORIGIN IGP的方式对外发布路由
configure
router
policy options
begin
prefix-list "prefix170"
prefix 170.1.0.0/16 exact
exit
policy-statement "origin-igp"
entry 10
from
prefix-list prefix170
exit
action accept
origin igp
exit
第 38 页 共 49 页
7750SR路由器配置规范
exit
exit
commit
exit
exit
exit
#configure router bgp group R1-3 export origin-igp //将policy应用到BGP
group
第 39 页 共 49 页
7750SR路由器配置规范
7. 业务配置
7.1. 专线业务配置(IES配置)
配置内容:
配置用户网关
配置示例
7750SR通过IES服务实现专线业务
//配置用户名称,每个IES配置必须与一个Customer配置绑定
Router>config>service# info
customer 2 create //”2”表示customer id,id限制在1..2147483647内
description " customer name" //描述用户名称,最大80个字符
exit
//配置用户IP地址:
Router>config>service# info
ies 2 customer 2 create
no shutdown
interface "to-customer-A" create //接口名称限制在32个字符内
address 2.2.2.2/30
sap 1/1/1 create // 端口1/1/1必须工作在access模式下
exit
exit
exit
//配置用户路由到IGP中
Sr12>config>router>ospf #
area 0.0.0.0
interface " to-customer-A"
passive
exit
exit
第 40 页 共 49 页
7750SR路由器配置规范
7.2. MPLS VPN业务配置
7.2.1 P路由器配置
配置内容:
全局配置LDP协议
接口打开标签交换
配置示例
网络拓扑结构如下图所示:
MPLS/VPN的建立应该是在P与PE路由以及PE与PE之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通
以IGP为OSPF为例,对于以上网络拓扑P、PE1和PE2的路由协议的配置应该如下:
7750-P基本配置信息如下:
A: 7750-P>config>router#info
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "p-pe1"
exit
interface "p-pe2"
exit
第 41 页 共 49 页
7750SR路由器配置规范
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "p-pe1"
exit
interface "p-pe2"
exit
exit
targeted-session
exit
exit
exit
#------------------------------------------
7750-PE-1基本配置信息如下:
A: 7750-PE-1>config>router>info
#------------------------------------------
echo "BGP Configuration"
#------------------------------------------
bgp
family ipv4 vpn-ipv4
group "vpn"
family vpn-ipv4
type internal
local-address 10.1.1.1
neighbor 10.1.1.2
exit
exit
exit
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "pe1-p"
exit
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "pe1-p"
exit
第 42 页 共 49 页
7750SR路由器配置规范
exit
targeted-session
exit
exit
exit
#------------------------------------------
7750-PE-2基本配置信息如下:
A: 7750-PE-2>config>router>info
#------------------------------------------
echo "BGP Configuration"
#------------------------------------------
bgp
family ipv4 vpn-ipv4
group "vpn"
family vpn-ipv4
type internal
local-address 10.1.1.2
neighbor 10.1.1.1
exit
exit
exit
#------------------------------------------
echo "MPLS Configuration"
#------------------------------------------
mpls
interface "system"
exit
interface "pe2-p"
exit
no shutdown
exit
#------------------------------------------
echo "LDP Configuration"
#------------------------------------------
ldp
interface-parameters
interface "pe2-p"
exit
exit
targeted-session
exit
exit
exit
#------------------------------------------
第 43 页 共 49 页
7750SR路由器配置规范
7.2.2 PE路由器配置(VPRN)
配置内容:
定义并且配置VRF
定义并且配置RD
定义RT,并且配置导入导出策略
配置MP-BGP协议
配置PE到CE的路由协议(示例为静态)
配置连接CE的接口,将该接口此前定义的VRF相关联
配置示例
MPLS/VPN的建立应该是在P与PE路由以及PE与PE之间已经确认建立好相应的IGP以及MPLS BGP等协议,并且可以达到互通
以IGP为OSPF为例,对于以上网络拓扑P、PE1和PE2的路由协议的配置应该如上面的一个章节的配置,由于拓扑结构一致,请参考上面的配置例子。
在确认以上信息后,开始VPN的配置,步骤如下:
//vpn接入业务接入端口――service SAP 必须的access类型
配置VPRN
7750-PE-1 配置如下:
Router-name>config>service#info
第 44 页 共 49 页
7750SR路由器配置规范
customer 100 create // VPN配置必须要与一个Customer绑定。
description "ChinaTelecom VPN for xxx"
exit
vprn 100 customer 100 create
vrf-import "customer100-import"
vrf-export "customer100-export"
route-distinguisher 4134:100
auto-bind ldp
interface "toce1" create
address 11.1.0.1/24
sap 1/1/4 create //如1/1/4为dot1p封装,可配置成1/1/4:vlan-id
exit
static-route 11.1.1.0/24 next-hop 11.1.0.2
no shutdown
exit
router-name>config#
policy-options //配置重分布策略
begin
community "C100-COM" members "target:4134:100"
policy-statement " customer100-export "
entry 10
from
protocol direct
exit
to
protocol bgp-vpn
exit
action accept
community add "C100-COM "
local-preference 200
exit
exit
entry 20
from
protocol static
exit
to
protocol bgp-vpn
exit
action accept
community add "C100-COM "
local-preference 200
exit
exit
exit
policy-statement " customer100-import "
entry 10
from
protocol bgp-vpn
community "C100-COM "
第 45 页 共 49 页
7750SR路由器配置规范
exit
action accept
exit
exit
exit
commit
exit
exit
查看相应vpn路由表使用以下命令:
7750-PE-1# show router 1 route-table
7750-PE-2 配置参照PE1配置
7.2.3 PE路由器配置(VPLS)
配置内容:
配置点到多点L2VPN
配置 VPN ID、neighbor
将端口应用到VPN中
规范要求:以LOOPBACK口建立VPLS连接
配置示例
网络拓扑结构如下图所示:
基于以上网络拓扑7750-1、7750-2和7750-3的基本关于路由以及mpls,LDP均已完成,参见9.1节的配置。
第 46 页 共 49 页
7750SR路由器配置规范
配置VPLS
7750-1 配置如下:
A: 7750-1>config>service> sdp 1002 mpls create
far-end 2.2.2.2
ldp
no shutdown
exit
sdp 1003 mpls create
far-end 3.3.3.3
ldp
no shutdown
exit
A: 7750-1>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1002:100 create //100为VC值
exit
mesh-sdp 1003:100 create //100为VC值
exit
no shutdown
exit all
7750-2 配置如下:
A: 7750-2>config>service> sdp 1001 mpls create
far-end 1.1.1.1
ldp
no shutdown
exit
sdp 1003 mpls create
far-end 3.3.3.3
ldp
no shutdown
exit all
A: 7750-2>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1001:100 create //100为VC值
exit
mesh-sdp 1003:100 create //100为VC值
exit
no shutdown
exit all
7750-3 配置如下:
A: 7750-3>config>service> sdp 1001 mpls create
far-end 1.1.1.1
第 47 页 共 49 页
7750SR路由器配置规范
ldp
no shutdown
exit
sdp 1002 mpls create
far-end 2.2.2.2
ldp
no shutdown
exit all
A: 7750-3>config>service> vpls 100 customer 2 create
sap 1/1/4:1000 create
exit
mesh-sdp 1001:100 create //100为VC值
exit
mesh-sdp 1002:100 create //100为VC值
exit
no shutdown
exit all
//以上完成VPLS在三台7x50上的配置。
第 48 页 共 49 页
7750SR路由器配置规范
8. 7750SR常用维护命令
序号
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
命令
#show uptime
#show system cpu sample-preiod 10
说明
显示系统开机时间
显示系统cpu运行状况
显示系统内存使用情况
检查系统开放端口
检查路由器用户登录失败情况
显示用户登录情况
查看系统日志
查看bof配置信息
检查风扇运行状况
检查电源运行状况
显示板卡配置和状态
显示mda卡配置和状态
查看物理端口的状态,如SFP类型,端口的MTU等
查看具体物理端口详细信息
查看路由端口的状态
查看OSPF端口的状态,以及DR和BDR关系
查看OSPF邻居的建立状态
查看OSPF的数据库
查看ISIS邻居建立状态
查看ISIS端口
查看ISIS的数据库
查看路由表
查看从某种协议学习到的路由表
查看BGP邻居建立情况
查看BGP路由
查看向bgp邻居广播的网段和网段属性
查看从bgp邻居接受到的网段和网段属性
查看应用的策略
查看某个特定IOM的转发表
#show system memory-pools
#show system connections
#Show system security user
#show users
#show log log-id 99
#show bof
#show chassis environment
#show chassis power-supply
#show card [ n detail]
#show mda [ m/n detail]
#show port
#show port x/x/x [detail]
#show router interface
#show router ospf interface
#show router ospf neighbor
# show router ospf database
# show router isis adjacency
# show router isis interface
# show router isis database
#show router route-table
#show router route-table protocol xxx
#show router bgp neighbor
#show router bgp routes
#show router bgp neighbor
advertised-routes
#show router bgp neighbor
received-routes
#show router policy
#show router fib x
第 49 页 共 49 页