最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。

江苏电信城域网SR路由器(华为NE40E-80E)局数据配置示范

IT圈 admin 44浏览 0评论

2024年3月1日发(作者:载安筠)

.

江苏电信城域网SR路由器局数据

(华为 NE40E/80E)

配置规范

中国电信江苏公司

2011年09月

.

.

目 录

第1章 概述 .................................................................................................................... 1

1.1

1.2

术语列表 ............................................................................................................................. 1

网络结构说明 ..................................................................................................................... 3

第2章 IP城域网网络设备命名及链路描述规范 ............................................................... 4

2.1 设备命名规范 ..................................................................................................................... 4

2.1.1 适用范围 ........................................................................................................................ 4

2.1.2 设备命名规范格式 ........................................................................................................ 4

2.2 端口描述规范 ..................................................................................................................... 6

2.2.1 环回接口描述 ................................................................................................................ 7

2.2.2 网络接口描述规范 ........................................................................................................ 7

2.2.3 空闲端口 ........................................................................................................................ 8

第3章 华为SR设备基本配置规范 .................................................................................. 9

3.1 系统基本配置规范 ............................................................................................................ 9

3.1.1 设备名称配置 ................................................................................................................ 9

3.1.2 Banner配置 .................................................................................................................. 9

3.1.3 设备自身时间及 10

3.1.4 VTY接口配置 ............................................................................................................. 12

3.1.5 管理AAA配置............................................................................................................ 15

3.1.6 系统高可靠性配置 ...................................................................................................... 20

3.2 端口配置规范 ................................................................................................................... 21

3.2.1 MTU值设计 ................................................................................................................ 21

3.2.2 Loopback接口配置 .................................................................................................. 22

.

3.2.3 GE接口配置 ................................................................................................................ 23

3.2.4 GE子接口配置 ............................................................................................................ 25

3.2.5 端口镜像配置 .............................................................................................................. 27

3.3 路由协议配置规范 .......................................................................................................... 28

3.3.1 城域网路由架构概述.................................................................................................. 28

3.3.2 路由优先级/管理距离 ................................................................................................ 28

3.3.3 静态路由配置 .............................................................................................................. 29

3.3.4 ISIS配置 ...................................................................................................................... 31

3.3.5 BGP配置 ..................................................................................................................... 40

3.3.6 默认路由管理 .............................................................................................................. 45

3.3.7 负载均衡配置 .............................................................................................................. 46

3.4 MPLS标签配置规范 ........................................................................................................... 46

3.4.1 MPLS功能开启配置 .................................................................................................. 46

3.4.2 LDP协议配置 ............................................................................................................. 48

3.4.3 资源配置 ...................................................................................................................... 52

3.5 网管配置 ........................................................................................................................... 55

3.5.1 SNMP管理代理配置 ................................................................................................. 55

3.5.2 故障管理配置 .............................................................................................................. 59

3.6 组播配置规范 ................................................................................................................... 61

3.6.1 组播概述 ...................................................................................................................... 61

3.6.2 组播配置 ...................................................................................................................... 62

3.7 QOS配置规范 ...................................................................................................................... 63

3.7.1 QoS分类和标记 ......................................................................................................... 63

3.7.2 江苏城域网QoS部署 ............................................................................................... 65

3.7.3 配置范例 ...................................................................................................................... 66

3.8 BFD配置规范 ....................................................................................................................... 71

.

3.8.1 BFD概述 ...................................................................................................................... 71

3.8.2 静态路由配置BFD ..................................................................................................... 72

3.8.3 ISIS协议配置BFD ..................................................................................................... 72

3.8.4 BGP协议配置BFD .................................................................................................... 73

.

第1章 概述

为满足江苏电信NOC部门对城域网设备集中运维的需要,提高现网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网SR、BRAS设备的配置予以规范。

本文档涉及的对象是城域网SR、BRAS设备的相关规范标准,本文档只针对城域网业务路由器(SR)华为NE40E/80E制定相关配置规范。目的是为城域网维护人员提供实用维护工具。

本文档主要内容安排如下:

1. 介绍城域网优化目标网络结构以及SR在城域网中的功能定位;

2. 从网络配置方面阐述华为NE40E/80E设备配置说明以及规范要求,并给出当前VRP版本的配置示例。主要包括系统基本配置、端口配置、安全配置、网管配置等。

1.1 术语列表

本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下:对于下表中未说明的术语和缩写,应做业界标准或惯例理解。

AAA

ACL

AS

BGP

CAR

CE

CR

DDoS

DiffServ

DSCP

FRR

GE

Autentication Authorization and Accounting 认证、授权与计费

Access Control List 访问控制列表

Autonomous System 自治系统

Boarder Gateway Protocol 边界网关协议

Committed Access Rate 承诺访问速率

Customer Edge 客户边缘设备

Core Router 核心路由器

Distributed Deny of Service 分布式拒绝服务攻击

Differentiated Services 差分服务

Differentiated Service Code Point 差分服务代码点

Fast Re-route 快速重路由

Gigabyte Ethernet 千兆以太网

.

GR

HA

HDLC

H-QOS

IP

ISIS

LDP

LSP

LSR

MP-BGP

MIB

MPLS

NSF

NSR

NTP

OAM

OSPF

PE

POS

PPP

QoS

RR

RSVP

SDH

SNMP

SR

TCP

TE

UDP

uRPF

VPLS

VPN

Graceful Restart 平滑重启动

High Availability 高可用性

High Data Link Control 高级数据链路控制

Hierarchical Quality of Servie 层次化QOS

Internet Protocol 互联网协议

Inter System to Inter System 中间系统到中间系统

Label Distribution Protocol 标记分发协议

Label Switching Path 标记交换路径

Label Switch Router 标记交换路由器

Multi-protocol Boarder Gate Protocol 多协议边界网关协议

Management Information Base 管理信息库

Multiple Protocol Label Switching 多协议标签交换

Non Stop Fowarding 不间断转发

Non Stop Routing 不间断路由

Network Time Protocol 网络时间协议

Operation Administration and Maintenance 操作维护管理

Open Shortest Path First 开放式最短路径优先

Provider Edge 运营商边缘设备

Packet over SDH SDH封装数据包

Point to Point Protocol 点到点协议

Quality of Service 服务质量

Route Reflector 路由反射器

Resource Reservation Protocol 资源预留协议

SymMetric Digital Hierarchy 同步数字序列

Simple Network Management Protocol 简单网络管理协议

Service Router 业务路由器

Transfer Control Protocol 传输控制协议

Traffic Engineering 流量工程

User Data Protocol 用户数据报协议

Reverse Path Fowarding 反向路径转发

Virtual Private LAN Service 虚拟专用局域网业务

Virtual Private Network虚拟专用网

.

VRF

VRRP

上行流量

下行流量

……

Virtual Routing and Forwarding 虚拟路由转发实例

Virtual Routing Redundancy Protocol 虚拟路由冗余协议

用户发出的流量

用户收到的流量

……

1.2 网络结构说明

经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,SR作为业务接入控制层组成部分,是IP 城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。

.

第2章 IP城域网网络设备命名及链路描述规范

2.1 设备命名规范

2.1.1 适用范围

本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:

➢ 出口核心路由器

➢ 汇聚路由器

➢ 路由反射器

➢ BRAS设备

➢ SR设备

➢ 汇聚交换机

➢ 园区交换机

➢ 楼道交换机

➢ DSLAM设备

➢ AC、AP等WLAN设备

➢ PON设备

➢ 安全防护设备

➢ DNS设备

2.1.2 设备命名规范格式

符城市缩写

-

县缩写

字符

-

字节点缩写

字符

-

字设备属性

字符

-

字设备编号

数字

.

字网络(业务)类型

字符

.

字设备类型

字符 字符 字

.

字符数

选项

必选

<8

1

必选

<8

1

可选

<8

1

必选

固定

1

必选

1

1

必选

≤4

1

必选

≤7

可选 必选 必选 必选 必选 可选

➢ 字母大小各市需要采用统一标准,全部大写。

➢ 两端、中间不带任何空格。

➢ 城市标识,取城市名称拼音的首字母大写,如南京:NJ。

当出现郊区县时,在城市标识后加郊区县名称拼音的首字母,如南京江浦县:NJJP。

➢ 节点标识,取节点名称拼音的首字母大写,如两节点的首字母有重叠则取拼音不相同的字用全拼,分两种情况:当前一个字不同,则前个字用全拼,如汉中门(HanZM)和后宰门(HouZM);当后一个字不同时则后一个用全拼。

➢ 华为设备名称规定支持的最多字符数:30个字符(V300R002)、246个字符(V300R003)。

➢ 设备属性标识,规定如下

出口/核心路由器:CR

汇聚路由器:BR

BRAS设备:BAS

业务路由器:SR

路由反射器:RR

汇聚交换机:DSW

.

园区交换机:ASW

楼道交换机:LSW

Dslam 设备:DSL

PON设备(光节点):OLT

PON设备(光终端):ONU

WLAN AC设备:AC

WLAN AP设备:AP

安全防护设备:HD

DNS设备:DNS

➢ 设备序号,取阿拉伯数字,从1开始。同节点的相同属性的设备间以设备序号区别。

➢ 网络类型:MAN(城域网),M2N(第二平面)

IDC(IDC)

NGN (NGN)

ITV(IPTV)

DCN(DCN)

➢ 设备型号: NE40E、NE80E。

示例:

地市:南京市区,节点:鼓楼,设备属性:第一台专线接入路由器设备华为NE40E-X16,命名如下:40E

2.2 端口描述规范

.

2.2.1 环回接口描述

|

符号

字符数

选项

For

字符

3

必选

-

字符

1

必选

功能描述

字符串

≤30

必选

说明:

For:固定字符串。

功能描述:描述该Loopback端口特殊功能,为有意义的英文字符串。如:Management、Multicast、VPN、Global Routing等。

interface Loopback0

description For-Management

2.2.2 网络接口描述规范

2.2.2.1 适用范围

本部分适用于城域网设备的互连接口描述。其中华为设备接口描述支持的最大字符数:V300R002最多支持80个字符,V300R003最多支持242个字符。

2.2.2.2 端口描述

|

符号

字符数

选项

uT:(上行)pT:(平行)dT:(下行)

字符

3

必选

对端设备名称

字符

≤50

必选

(链路传输编号)

字符

≤15

可选

对端端口类型

字符

≤10

必选

对端端口标识

数字/字符

≤8

必选

:

字符

1

必选

➢ “对端端口类型” 不区分对端设备类型,根据端口类型进行统一规范;

➢ “对端端口标识”表示链路对端设备对应端口的具体端口编号;

.

➢ “(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,则为(Local);

➢ 调测期间的链路描述最后统一增加“::PROCESSING”,调测完成加业务后取消“::PROCESSING”。

端口类型如下表:

端口类型

POS(2.5G)

POS(10G)

POS(40G)

以太(GE)

以太(10GE)

端口描述

OC48POS*/*/*

10GPOS*/*/*

40GPOS*/*/*

GE*/*/*

10GE*/*/*

示例:

南京光华门某台SR,对端上联南京城域网一平面鼓楼核心CRS-1,对端端口为Te

0/0/1/0,带宽10G,端口描述如下:

uT:: (传输编码)10GE0/0/1/0

2.2.3 空闲端口

规范要求设备上的所有空闲未用的端口删除配置统一shutdown。

.

第3章 华为SR设备基本配置规范

3.1 系统基本配置规范

3.1.1 设备名称配置

配置说明:

规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。

规范要求:

设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范:

sysname 40E

3.1.2 Banner配置

配置说明:

统一Banner语言

规范要求:

城域网所有设备配置统一的Banner信息,登陆时提示:

WARNING!!! Authorised access only, all of your done will be

recorded! disconnect IMMEDIATELY if you are not an authorised user!

配置规范:

.

header login information % WARNING!!! Authorised access only, all of your

done will be recorded! disconnect IMMEDIATELY if you are not an

authorised user!%

配置验证:

登陆路由器时应看到banner提示。

配置注意细节:

Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。

3.1.3 设备自身时间及NTP

NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。

1.1.1.1 时区配置

配置说明:

统一设备的时区配置。

规范要求:

配置系统时区为GMT+8,北京时区。

配置规范:

clock timezone GMT minus 08:00:00 #在用户视图下配置

备注:V300R002使用add,V300R003使用minus。

配置验证:

display clock

1.1.1.2 NTP配置

配置说明:

使用NTP协议同步网络上所有设备的时间,保证网络设备得到正确的时间。

.

规范要求:

配置主和备两组NTP服务器。

城域网NTP配置为两级结构,CR配置与ChinaNet骨干设备同步时钟,SR设备则配置与CR进行时钟同步。

配置现网设备NTP协议版本为V3。

指定本地发出NTP消息的源接口为Loopback0。

配置规范:

ntp-service source-interface Loopback0

ntp-service unicast-server *.*.*.* preference #优选一台出口为主用ntp server

ntp-service unicast-server *.*.*.* #另一台出口为备用ntp server

配置验证:

display clock

display ntp-service status

display ntp-service session

配置注意细节:

NE40E/80E默认NTP协议版本号为V3,不需特别配置版本信息。

3.1.3.1 NTP协议加密

配置说明:

配置NTP协议加密,防止伪造NTP源引起设备时间错误。

规范要求:

因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用加密。

配置规范:(无)

3.1.3.2 配置范例

.

clock timezone GMT minus 08:00:00 #时区设置(用户视图)

ntp-service source-interface Loopback0

ntp-service unicast-server *.*.*.* preference #主用服务器

ntp-service unicast-server *.*.*.* #备用服务器

3.1.4 VTY接口配置

3.1.4.1 连接数限制

配置说明:

对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。

规范要求:

配置SR路由器并发连接数限制为5个。

配置规范:

user-interface maximum-vty 5

配置验证:

display user-interface maximum-vty

配置注意细节:

华为设备VTY连接数限制默认为5。

3.1.4.2 空闲时间

配置说明:

设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。

规范要求:

对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为10分钟。

.

配置规范:

user-interface console 0

idle-timeout 10 0

user-interface aux 0

idle-timeout 10 0

user-interface vty 0 4

idle-timeout 10 0

配置验证:

disp curr conf user-interface

配置注意细节:

华为设备默认超时时间即为10分钟。

3.1.4.3 访问控制列表

配置说明:

限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。

规范要求:

配置Telnet源地址限制,包含维护IP网段。

Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny source any语句。

配置规范:

acl number 2577

description This acl is used restrict telnet

rule 10 permit source *.*.*.* *.*.*.* #允许跳板主机和网管网段

rule 20 permit source *.*.*.* *.*.*.*

rule 30 permit source *.*.*.* *.*.*.*

rule 3000 deny source any

#

user-interface vty 0 4

.

authentication-mode aaa #设置telnet用户通过AAA认证登陆

acl 2577 inbound #设置VTY口登录控制列表为2577

配置验证:

disp acl 2577

disp curr conf user-interface

配置注意细节:

华为设备Telnet ACL统一使用编号2577。

3.1.4.4 配置范例

user-interface maximum-vty 5

user-interface console 0

idle-timeout 10 0

user-interface aux 0

idle-timeout 10 0

user-interface vty 0 4

idle-timeout 10 0

acl number 2577

description this acl is used telnet

rule 10 permit source *.*.*.* *.*.*.*

rule 20 permit source *.*.*.* *.*.*.*

rule 30 permit source *.*.*.* *.*.*.*

rule 3000 deny source any

user-interface vty 0 4

authentication-mode aaa #设置telnet用户通过AAA认证登陆

acl 2577 inbound #设置VTY口登录控制列表为2577

验证:

disp acl 2577

disp curr conf user-interface

远程登录设备测试

.

3.1.5 管理AAA配置

3.1.5.1 AAA服务器IP地址和端口号

配置说明:

配置AAA服务器IP地址,Tacacs协议支持使用MD5算法来加密交互的Tacacs报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。

规范要求:

根据AAA认证服务器的类型指定采用Tacacs认证,华为设备使用hwtacacs;

例:指定Tacacs服务器地址为:*.*.*.*,认证密钥为XXX。并增加备用Tacacs服务器地址:*.*.*.*,认证密钥为XXX。

3.1.5.2 AAA消息数据包源地址

配置说明:

配置AAA消息数据包源地址。

规范要求:

指定出口路由器AAA消息数据包源地址为Loopback0接口地址。

3.1.5.3 认证模式

AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。

.

规范要求:

配置认证方式顺序为首先选用Tacacs服务器,其次选用本地用户信息进行认证。

配置注意细节:

不同厂家AAA认证的顺序差异较大,需要注意。

3.1.5.4 授权模式

配置说明:

用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一个用户能访问什么服务。配置由先Tacacs服务器授权,后本地用户授权。用户分3个等级:

1级只具有一般的查看权限,不具有查看配置权限;

2级具有1级的查看权限、配置接口权限;

3级全部操作权限。

规范要求:

配置首先由Tacacs服务器授权,其次本地用户授权,用户分3个等级。

3.1.5.5 审计模式

配置说明:

AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。

规范要求:

配置Tacacs服务器对登陆设备的用户进行审计记录。

.

3.1.5.6 本地用户帐号

配置说明:

配置本地用户帐号,作为AAA服务器连接失败时的应急登陆。

规范要求:

在远程管理认证策略中配置先Tacacs服务器认证后本地方式。同时创建本地管理认证策略,仅配置本地认证。

配置本地用户帐号admin,设置一级权限,密码统一指定,密码强度符合复杂性要求,并保存好本地帐号和密码。同时设置super密码,权限为最高权限15级。

路由器的console口仅允许本地帐号认证,不使用AAA服务器认证。

3.1.5.7 命名规划

华为SR统一设置管理AAA认证,针对domain命名、认证策略、授权策略、计费策略、服务器组名等参数统一规划,建议如下表所示:

管理方式

远程管理

本地管理

管理域

default

admin-local

认证策略 授权策略 计费策略 服务器组名

admin-remote

admin-local

admin-remote

admin-remote

admin-local

/

admin-tacacs

说明:

1. 远程管理用户主要用于维护人员通过vty方式登录设备进行维护管理,使用默认管理域default进行认证,该域默认存在,无需创建。

2. 本地管理用户主要用于维护人员通过console口本地登录维护管理,同时作为远程管理用户在认证服务器通信中断后应急备用。本地管理域中不配置授权策

.

略。

3.1.5.8 配置范例

远程管理AAA:

当前未启用Tacacs认证,可以先预配置好server template

#配置HWTACACS服务器模板admin-tacacs,源地址为设备Loopback0地址,密钥为jiangsu,用户名格式中不包括域名

hwtacacs-server template admin-tacacs

hwtacacs-server authentication 221.231.148.6

hwtacacs-server authentication 61.177.64.146 secondary

hwtacacs-server authorization 221.231.148.6

hwtacacs-server authorization 61.177.64.146 secondary

hwtacacs-server accounting 221.231.148.6

hwtacacs-server accounting 61.177.64.146 secondary

hwtacacs-server source-ip *.*.*.* #使用本机Loopback0地址

hwtacacs-server shared-key jiangsu

undo hwtacacs-server user-name domain-included

#配置radius服务器模板,源地址为设备Loopback0地址,密钥为jiangsu,用户名格式中不包括域名

radius-server source interface Loopback0

radius-server group

radius-server authentication 61.177.64.146 1812 weight 0

radius-server authentication 221.231.148.6 1812 weight 20

radius-server accounting 61.177.64.146 1813 weight 0

radius-server accounting 221.231.148.6 1813 weight 20

radius-server shared-key jiangsu

radius-server retransmit 2 timeout 3

undo radius-server user-name domain-included

aaa #进入AAA视图

#配置认证方案admin-remote,认证模式先采用tac服务器认证,后采用本地认证。

authentication-scheme admin-remote

authentication-mode hwtacacs-local

authentication-mode radius-local(在启用hwtacacs前先暂用radius替代)

.

#配置授权方案admin-remote,先采用tac服务器授权,后采用本地用户授权。

authorization-scheme admin-remote

authorization-mode hwtacacs local(可直接部署)

#配置计费方案admin-remote,设置模式为不计费。

accounting-scheme admin-remote

accounting-mode none

#配置记录方案tacacs-recording,与记录方法关联的hwtacacs服务器模板的名称为上面配置的admin-tacacs。注意:在使用recording-mode

hwtacacs命令前,admin-tacacs服务器模板必须已经创建完成。

recording-scheme tacacs-recording

recording-mode hwtacacs admin-tacacs

#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。

system recording-scheme tacacs-recording

#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户端的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。

outbound recording-scheme tacacs-recording

#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备情况进行记录,对监控和故障处理有一定的帮助。

cmd recording-scheme tacacs-recording

#配置缺省域default_admin,域的认证方案、计费方案、授权方案名称都为hwtacacs。

domain default

authentication-scheme admin-remote

authorization-scheme admin-remote (在启用hwtacacs前先暂时取消此配置)

accounting-scheme admin-remote

hwtacacs-server admin-tacacs (在启用hwtacacs前先暂时取消此配置,使用下面的radius-server替代)

radius-server group

.

本地管理AAA:

统一建立本地应急特权帐号admin,基于安全考虑,如非本地网需要,建议不要设置其它任何本地帐号:

aaa

authentication-scheme admin-local #设置本地认证策略名

authentication-mode local

accounting-scheme admin-local #设置本地计费策略名

accounting-mode none

domain admin-local #设置本地认证域

authentication-scheme admin-local

accounting-scheme admin-local

local-user admin@admin-local password cipher ****** #创建本地登录帐号,权限为1级

local-user admin@admin-local service-type terminal telnet

local-user admin@admin-local level 1

super password level 15 cipher ****** #设置super密码

user-interface console 0 #在console视图下设置用户接入通过aaa认证

authentication-mode aaa

检查:

display authentication-scheme admin-remote

display authentication-scheme admin-remote

display authorization-scheme admin-remote

display hwtacacs-server template admin-tacacs

display domain default

display local-user

3.1.6 系统高可靠性配置

配置说明:

配置系统引擎冗余模式。

.

规范要求:

打开自动切换,要求采用最优切换方式。

配置规范:

华为NE路由器两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。

配置验证:

display device #显示2块MPU为1个为Master状态,一个为Slave状态

display switchover state #显示备份状态,当状态为“Info:HA FSM State,

Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题

3.2 端口配置规范

3.2.1 MTU值设计

城域网路由器端口MTU值的设计符合《总则》的规范:

建议IP城域网路由型设备的所有互连端口,GE/10GE以太网口IP MTU统一取值为1600字节;POS口IP MTU统一取值为4470字节。

为缩短IGP邻居建立时间,IGP协议配置全部取消对端口MTU的检查。

各厂家设备的端口MTU具体含义有所不同,具体见下表:

序号

1

2

3

4

5

6

1

设备厂商

思科

华为

RedBack

思科

设备类型

GSR/76/65系列

NE系列

SE系列

CRS-1

端口类型

Ethernet

POS

Ethernet

POS

Ethernet

POS

Ethernet

MTU值含义

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU+14

缺省值

1500

4470

1500

4470

1500

4470

1514

建议值

1600

4470

1600

4470

1600

4470

1614

.

2

3

4

6

7

8

9

10

中兴

Juniper

阿朗 SR 7750

E系列

M/T

ZXR10系列

POS

Ethernet

POS

Ethernet

Ethernet

POS

Ethernet

POS

IP MTU+4

IP MTU+14

IP MTU+2

IP MTU+18

IP MTU+14

IP MTU+4

IP MTU+14

IP MTU+4

4474

1514

9208

1518

1514

4474

1600

4600

4474

1614

4472

1622

1614

4474

1614

4474

3.2.2 Loopback接口配置

配置说明:

配置Loopback地址,提供一个永远up的、掩码为32位IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的Loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。

规范要求:

路由器必须配置Loopback接口,每一个Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。测试使用Loopback从500开始编号,并明确标注测试使用的用途,便于查询和删除。

配置规范:

interface Loopback0

ip address *.*.*.* 255.255.255.255

description For-Management

配置验证:

disp inter Loopback 0

.

3.2.3 GE接口配置

3.2.3.1 接口描述

配置说明:

配置接口描述,明确标识链路连接方向,方便故障排查,提高可读性和可管理性。

规范要求:

端口描述要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

未使用的端口需要shutdown,并删除端口描述、IP地址、子接口等配置。

3.2.3.2 MTU值

配置说明:

配置接口的最大传输单元(MTU)值。

规范要求:

GE/10GE端口MTU配置为1600。

配置注意细节

端口下更改为新的MTU值,shutdown/undo shutdown后才会生效。

3.2.3.3 关闭GE接口协商

配置说明:

端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,并且侦测远端通告的相应的运行方式,协商两端的数据,如果以太网链路两端的配置不一致,端口状态将可能不UP或不稳定。

.

规范要求:

关闭以太网接口协商

3.2.3.4 关闭存在风险的安全漏洞

配置说明:

关闭GE/10GE端口可能存在风险的安全漏洞。包括:

ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路由,存在DOS攻击的风险。

Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的流量。

Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,存在ARP欺骗安全问题。

规范要求:

关闭ICMP Redirect、Direct Broadcast、Proxy ARP。

3.2.3.5 接口开启震荡禁止

配置说明:

为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。

所有GE和POS接口都开启dampening。

华为默认值:

half-life:54s, resume:750, suppress:2000, max-suppress:6000

规范要求:

开启接口震荡禁止功能,使用默认值。

.

3.2.3.6 接口数据统计时间间隔设置

配置说明:

为及时查看接口下流量数据统计,所有接口的时间间隔应设置相对较小数值,这样才能使流量统计数值更新较快。

规范要求:

所有接口统一设置30s。

3.2.3.7 配置范例

interface GigabitEthernet1/0/0

undo negotiation auto #GE光口

mtu 1600 #注意与对端保持一致

description uT::(传输代号)10GE0/0/0/0

ip address *.*.*.* *.*.*.*

undo icmp redirect send

undo arp-proxy enable #默认行为

control-flap #端口启用震荡禁止

set flow-stat interval 30 #流量统计时间间隔为30秒。

检查:

disp inter gi1/0/0

3.2.4 GE子接口配置

3.2.4.1 编号规范

华为设备采用固定“主接口名”+“.”+“数字编号”的格式。

1.如果封装dot1Q,则子接口号建议与vlan id 对应一致,规定为4位。如果vlan id为4位,则子接口号就为vlan id;如果vlan id不足4位,则在前第一位用“9”、中间用“0”补齐。

.

2.如果封装QinQ,则子接口号建议与内外层vlan id 对应一致,规定为8位。其中前4位与外层vlan id对应一致,后4位与内层vlan id对应一致。具体规则同上。如果内外层vlan id为一段范围,则取最小的vlan id对应。

子接口号与vlan id对应关系列表:

封装模式

dot1Q(vlan id为1位)

dot1Q(vlan id为2位)

dot1Q(vlan id为3位)

dot1Q(vlan id为4位)

QinQ(外1)

QinQ(外2)

QinQ(外3)

QinQ(外4)

编号格式

900X

90XX

9XXX

XXXX

900X+900X90XX9XXXXXXX

90XX+900X90XX9XXXXXXX

9XXX+900X90XX9XXXXXXX

XXXX+900X90XX9XXXXXXX

3.2.4.2 dot1Q封装格式

配置说明:

配子接口的封装方式为dot1Q终结。

3.2.4.3 QinQ封装格式

配置说明:

配置子接口的封装方式为QinQ终结。

3.2.4.4 配置范例

interface GigabitEthernet1/0/0

undo negotiation auto #GE光口

mtu 1600 #注意与对端保持一致

description dT:.S2403:(传输代号) GE0/0/0::PROCESSING

undo icmp redirect send

undo arp-proxy enable #默认行为

.

control-flap #端口启用震荡禁止

set flow-stat interval 30 #流量统计时间间隔为30秒

mode user-termination #设置接口工作模式为用户终结模式

interface GigabitEthernetX/X/X.9192 #配置子接口的封装方式为dot1Q终结

control-vid 192 dot1q-termination

dot1q termination vid 192

ip address *.*.*.* *.*.*.*

interface GigabitEthernetX/X/X.91009192 #配置子接口的封装方式为QinQ终结

control-vid 100 qinq-termination

qinq termination pe-vid 100 ce-vid 192

ip address *.*.*.* *.*.*.*

检查命令:

display inter gi X/X/X

display inter gi X/X/X.9192

display inter gi X/X/X.91009192

3.2.5 端口镜像配置

配置说明:

设置一个端口作为镜像端口,将流经一个或几个指定端口的所有数据帧拷贝到这个镜像端口上来。

规范要求:

在有必要时配置端口镜像功能。

配置规范:

observe-port 1 interface gigabitethernet3/0/2

interface gi 1/0/0

port-mirroring to observe-port 1 inbound

配置验证:

.

disp curr | i observe-port

disp curr int gi 1/0/0

3.3 路由协议配置规范

3.3.1 城域网路由架构概述

城域网单独形成AS域,分配私有AS号,路由架构分为IGP、BGP、MP-BGP路由3个部分。

IGP:运行在核心层和业务接入控制层,承载和交换两类路由信息:

1.AS域内设备接口(包括Loopback接口)地址路由;

2.出口核心下发的缺省路由。

BGP:运行在CR(RR)与SR(客户端)之间,由CR(RR)将default路由下发给SR(客户端),牵引用户上行流量,同时将SR(客户端)的用户路由发给CR(RR),引导宽带流量下行。

MP-BGP:运行在VRR和SR(即PE)之间,用于承载自治域内和跨域VPNv4用户路由。

3.3.2 路由优先级/管理距离

配置说明:

对路由优先级/管理距离的定义是为了设备在接收到相同路由条目时候进行选路,在路由条目相同的情况下,优先级数值小的路由将被选择。

规范要求:

路由优先级别的设定按照下面规范。

.

Route type

Direct attached

普通静态

EBGP

OSPF internal

IS-IS

External ISIS

静态黑洞

IBGP

浮动静态

Route Preference/AD

0

[1]

1或5

[2]

20

110 10

115

[3] 15 25

150

180

200

210

配置注意细节:

上表为路由优先级别的推荐设定值,在实际设定时按以下顺序即可:

普通静态->EBGP->OSPF->ISIS->静态黑洞->IBGP->浮动静态。

[1]:一般不可更改。

[2]:华为静态路由缺省值:60,按上述调整,华为设备需要将静态路由的缺省优先级修改为1。

3.3.3 静态路由配置

3.3.3.1 静态路由优先级

配置说明:

更改静态路由的协议优先级/管理距离。

规范要求:

普通静态路由优先级/管理距离配置为1。华为可以用一条命令修有所有静

.

态路由的缺省优先级。

配置注意细节:

静态路由优先级缺省值,华为:60。

华为设备使用一条命令修改所有静态路由的优先级,只针对新增的静态生效,而修改前已存在的静态路由的优先级别依然需逐条手动调整。

3.3.3.2 静态路由配置方式

配置说明:

指定业务路由器上的静态路由配置方式:绑定接口和下一跳IP地址。

规范要求:

静态路由绑定接口和下一跳IP地址。

3.3.3.3 静态黑洞路由配置

配置说明:

在SR路由器上配置下挂用户网段的指向null0的黑洞路由,用于BGP协议将用户网段宣告出去,设备路由优先级/管理距离为180。

同时黑洞路由严禁注入到ISIS中。

规范要求:

黑洞路由配置路由优先级为180,严禁注入到ISIS中。

配置注意细节:

配置前需仔细排查SR汇总通过network发布的IBGP路由是否和本机下挂的用户网段路由中存在子网掩码长度相同的路由条目,针对这种特例,SR上直接network发布,无需再配置指向null0的路由,否则会造成该条目路由的流量丢弃。

.

3.3.3.4 浮动静态路由配置

配置说明:

浮动静态路由,通常配置较大的管理距离,用于路由备份。

规范要求:

城域网由核心路由器通过BGP和ISIS向城域网下发默认路由,并主用ISIS,引导流量上行。城域网内SR,BRAS设备不再手工配置默认路由指向核心路由器。

3.3.3.5 静态路由增加描述

配置说明:

SR路由器上的静态路由配置,根据需要可以加描述。增强可读性,方便策略使用和管理。

规范要求:

设置静态路由时增加描述。

3.3.3.6 配置范例

ip route-static default-preference 1 #全局一条命令修改静态路由的默认优先级为1

ip route-static *.*.*.* *.*.*.* null0 preference 180 description Blackhole-Route #黑洞路由

3.3.4 ISIS配置

3.3.4.1 概述

城域网使用ISIS为IGP协议,IGP运行在核心层和业务接入控制层之间。ISIS

涵盖网络中所有核心设备和业务设备的Loopback 端口和链路端口;核心路由

.

器的上联接口和设备的Loopback 端口设置为Silent模式。ISIS路由协议只承载设备之间的互连链路和Loopback地址的主机路由,不承载用户的路由。出口路由器ISIS进程始终下发默认路由。ISIS协议提供的是业务接入控制层及其以上设备之间的可达性,为IBGP邻居提供IGP可达。

3.3.4.2 ISIS 实例名

配置说明:

配置ISIS实例标识,用于对不同的ISIS实例进行区别。同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例,ISIS实例名称取地市名称全拼小写字母。不支持字母的设备使用数字标识。

规范要求:

同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例,ISIS实例名称取地市名称全拼,例:南京城域网ISIS实例名nanjing。

说明:华为设备的ISIS实例需用数字标识,规范为100。

3.3.4.3 ISIS NET ID

配置说明:

配置ISIS Net ID,唯一标识自治系统中的一台ISIS路由器。

规范要求:

配置ISIS Net ID,Net ID地址采用Area ID + System ID + NSEL地址方式。

其中,为Area ID,其中XX固定为86,YYYY报各城域网私有5位AS号的后4位,ZZZZ为各地市电话区号,不足四位的前面补零。例:南京城域网一平面私有AS号为64660,区号为025,那么南京城域网ISIS NET

.

ID为:86.4660.0025。

System ID为12位,格式为,采用城域网设备Loopback0的IP地址,以左加0的方式将每一节补齐3位,再从左至右三等分完成格式转换。比如61.177.248.2转换后为0611.7724.8002。NSEL固定为00。

3.3.4.4 ISIS路由器类型

配置说明:

ISIS的路由器类型可分为Level-1、Level-2、level-1-2三种,Level-1用于传递域内路由、Level-2用于传递域间路由、level-1-2和level-1、level-2均可建立邻居关系。

规范要求:

同一个城域网运行同一个ISIS协议,城域网使用ISIS Level-1,关闭路由器ISIS Level-2功能。

3.3.4.5 ISIS Cost-style

配置说明:

ISIS协议cost-style分为narrow和wide两种方式,narrow方式是老式cost类型,cost值只能从0—63,不支持MPLS TE。wide方式时ISIS cost可以从0 — 16,777,215 。不同cost-style的ISIS对等体不能建立邻居。

规范要求:

配置ISIS cost-style的类型为wide。

运行ISIS协议的端口默认路由器类型为Level -1,cost值为100000。

.

3.3.4.6 ISIS协议接口类型

配置说明:

在使用30位掩码的广播类型接口下,配置ISIS网络类型为点到点Point-To-Point,不发送广播包,减少LSP泛洪。链路两端的IS-IS接口的网络类型必须一致,否则双方不可以建立起邻居关系。

ISIS协议默认以太网接口类型是广播类型。

规范要求:

城域网内互连用POS---保持为Point-To-Point不变

城域网内互联用GE/10GE --- 强制更改为Point-To-Point

Loopback ---silent进ISIS域内

其他端口---如明确需通过IGP可达的端口,则需silent进ISIS域内,诸如:下连某一用户端口,需在ISIS里发布路由。

配置注意细节:

华为设备Loopback接口运行ISIS时,默认为silent模式,具体视版本而定。

3.3.4.7 ISIS 负载均衡条目

配置说明:

配置ISIS负载均衡条目,实现流量的负载均衡。

规范要求:

配置ISIS负载均衡数 16 。

3.3.4.8 ISIS 路由协议优先级

.

配置说明:

更改ISIS协议路由协议优先级/管理距离

规范要求:

统一ISIS路由协议优先级/管理距离为115,华为默认为15。

3.3.4.9 ISIS 重分布路由

配置说明:

配置将其他协议重分布到ISIS协议。

规范要求:

ISIS协议不承载用户路由,仅为BGP协议提供底层IGP可达,原则上不将其他路由协议注入进ISIS,如需要则用router-policy过滤注入,router-policy命名为rpRouteToISIS。

3.3.4.10 ISIS邻居加密

配置说明:

配置ISIS邻居加密,对ISIS邻居之间的协议报文进行加密和校验。

规范要求:

考虑出口路由器的ISIS邻居数较多,为减少ISIS邻居加密占用太多CPU资源,建议暂不开启ISIS邻居加密功能。

3.3.4.11 ISIS接口宣告

配置说明:

配置需宣告到ISIS协议中的接口,配置Loopback接口、和出口核心互连接口为ISIS接口,接口地址路由自动发布到ISIS,用户接入接口一律不可配置

.

为ISIS接口。

规范要求:

配置Loopback接口为ISIS接口,采用silent模式,接口地址路由自动发布到ISIS。用户接入接口一律不可配置为ISIS接口。

3.3.4.12 ISIS cost值规划

配置说明:

指定运行ISIS接口的cost值,不使用ISIS自动计算的接口cost值。建议统一设计cost设定规范来设定链路的cost,基于接口手工指定ISIS cost值,使用IGP的cost来引导流量。

规范要求:

接口默认设置为Level -1 网络类型,cost值为100000。

一般设备双上连的链路使用同样的带宽链路,所以按网络层次分配cost值,建议ISIS cost设定按照下面规范执行。

链路功能

SR至出口路由器

SR之间链路

Loopback

Slient接口

备用链路

保留链路(待拆除)

ISIS metric设计

100

100

100

100

140

200

备注:保留链路(待拆除)建议shutdown接口或取消接口ISIS协议,避免网管误报。

3.3.4.13 ISIS LSP最大有效时间

.

配置说明:

路由器生成系统LSP时,会在LSP中填写此LSP的最大有效时间。如果路由器一直没有收到更新的LSP,在此LSP的有效时间已减少到0后,若还未收到刷新的LSP,则将该LSP删除。

华为默认为1200s。

规范要求:

设置为65500s。

3.3.4.14 关闭ISIS hello 报文填充

配置说明:

在邻接关系的建立过程中,IS-IS需要检查链路两端的MTU大小是否一致。缺省情况下,IS-IS协议将hello报文填充至MTU大小。可以通过命令简化hello报文的收发操作,减小对网络带宽的浪费。

规范要求:

关闭hello 报文填充,减少链路带宽占用,同时使IGP不检查接口MTU。

3.3.4.15 ISIS LSP MTU

配置说明:

ISIS LSP MTU决定了ISIS发出LSP的最大长度,必须小于全网所有ISIS的接口CLNS MTU。

规范要求:

LSP MTU统一设置为1497(华为厂家设备默认数值)。

3.3.4.16 ISIS LSP刷新间隔时间

.

配置说明:

ISIS路由器周期的发送LSP给其它ISIS路由器,使整个ISIS区域的LSP保持同步。

华为缺省为900s。

规范要求:

设置为32768s。减少刷新占用链路带宽。

3.3.4.17 ISIS动态主机名

配置说明:

ISIS的LSP报文携带ISIS路由器主机名,使其它ISIS路由器能动态解析路由器名称。

华为缺省是关闭。

规范要求:

配置开启ISIS动态主机名。华为设备需要手工设置ISIS主机名。

3.3.4.18 ISIS OVERBIT位

配置说明:

在路由器重起时,设置ISIS OVERBIT,使ISIS流量不在该设备横穿。

规范要求:

配置在路由器重启后BGP进程运行正常前设置ISIS OVERBIT位,同时设置等待900秒的参数。

3.3.4.19 ISIS log邻居变化信息

配置说明:

.

配置ISIS log邻居变化信息,记录ISIS邻居变化。

规范要求:

配置ISIS log 邻居变化信息功能。

3.3.4.20 配置范例

.

isis 100 #配置ISIS实例ID

set-overload on-startup wait-for-bgp 900 #设置等待参数为wait-for-bgp和900秒

is-name 40E #配置动态主机名

network-entity 86.4522.0515.0611.7724.8047.00 #配置NET ID,其中86固定为中国区号,4522为各城域网AS号后四位,0515为各地市区号,0611.7724.8047由router-id换算生成,00为NSEL固定字符

log-peer-change #打开IS-IS邻接状态变化的输出开关

cost-style wide #配置接口开销类型为wide

circuit-cost 100000 level-1 #全局下配置有IS-IS接口的默认开销值为100000,网络类型为level-1

is-level level-1 #配置路由器类型

maximum load-balancing 16 #配置负载均衡数为16

preference 115 #配置协议优先级,默认为15

timer lsp-max-age 65500 #设置为65500,本机有效

timer lsp-refresh 32768 #设置为32768,本机有效

timer spf 5 50 200 #路由计算最大延迟时间缺省值是5秒,初次路由计算的延迟时间为50ms,两次路由计算之间的递增延迟时间为200ms。

interface gi1/0/0 #配置接口宣告

isis enable 100

isis circuit-level level-1

isis cost 100 level-1 #配置cost值

isis small-hello #用来设置接口发送不加入填充字段的小型hello报文

isis circuit-type p2p #设置端口类型为P2P

interface Loopback 0 #配置L0接口宣告

isis enable 100

isis circuit-level level-1

isis silent #接口设置为silent状态,实施时注意命令是否有效,新版本中默认Loopback接口为silent

3.3.5 BGP配置

3.3.5.1 概述

IBGP运行在CR(RR)和业务接入控制设备之间,承载用户路由及缺省路

.

由。

3.3.5.2 自治系统

城域网一平面布署的BGP采用私有自治系统号。城域网一平面AS号规划如下:

自治域

南京城域网一平面

无锡城域网一平面

淮安城域网一平面

宿迁城域网一平面

盐城城域网一平面

泰州城域网一平面

镇江城域网一平面

南通城域网一平面

徐州城域网一平面

扬州城域网一平面

常州城域网一平面

连云港城域网一平面

苏州城域网一平面

AS

64660

64662

64669

64672

64522

64519

64664

64518

64668

64665

64663

64671

64513

3.3.5.3 IBGP 部署策略

关闭BGP自动路由汇总特性。

关闭IGP与BGP的同步。

开启BGP dampening,避免路由抑制对业务的影响。

关闭BGP always-compare-med

以ORIGIN IGP的方式对出口核心发布路由。

明确配置BGP router-id为Loopback 0地址。

记录BGP邻居变化。

.

负载均衡数目:16。

配置IBGP出方向路由过滤,宣告给出口核心的路由网段采用route-policy和network宣告。

对VPN用户路由在IBGP里宣告给出口核心时不做过滤,直接通过network方式宣告。

使用Loopback地址与CR(RR)建立IBGP邻居。

BGP TIMER 参数keepalive和holdtime定时器统一为60s与180s。

3.3.5.4 BGP router-id配置

配置说明:

配置BGP router-id,唯一标识自治系统中的一台BGP路由器。

规范要求:

配置BGP router-id地址为Loopback0接口的IP地址,不使用BGP协议自动选举的router-id。

3.3.5.5 BGP log邻居变化信息

配置说明:

配置BGP log邻居变化信息,记录BGP邻居变化,方便排障和管理。

规范要求:

配置BGP log 邻居变化信息。

3.3.5.6 关闭BGP同步和自动汇总

配置说明:

配置BGP协议的同步和自动汇总功能,避免需要EBGP与IGP同步才能宣

.

告路由。

规范要求:

在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。

3.3.5.7 BGP时间参数

配置说明:

配置BGP协议的keepalive和holdtime定时器,一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文,如果holdtime时间内没有必到邻居发送的存活报文,就认为这个邻居已死亡,从而结束会话。

NE40E BGP keepalive时间,holdtime时间默认分别为60s和180s,无需修改。

规范要求:

设置BGP keepalive时间为60s,holdtime时间为180s。

3.3.5.8 BGP peer group命名

配置说明:

配置BGP peer group命名。

规范要求:

IBGP邻居的peer group组规划如下:

城域网SR设备到城域网出口路由器兼RR可命名为:pgCR。

城域网SR设备到独立IPV4 RR的IBGP邻居peer group命名为pgGRR。

城域网SR设备到独立VPNV4 RR的IBGP邻居peer group命令pgVRR。

.

1.1.1.9 IBGP 路由策略

配置说明:

配置城域网SR与CR之间的IBGP 路由策略

规范要求:

城域网SR->CR:严格宣告该设备下挂所有用户的明细路由,建议掩码小于24。

CR->SR:仅下发默认路由。

3.3.5.8 配置范例

router id #华为设备全局下配置router-id,如BGP下未另外配置,则沿用全局的router-id配置

bgp ASN #城域网自治系统号

#上连RR的IBGP Peer Group 配置

group pgCR internal

peer pgCR connect-interface Loopback0 #设置ibgp使用Loopback0建立邻居

peer pgCR log-change

peer X.X.X.X as-number ASN

peer X.X.X.X group pgCR

peer X.X.X.X description To

peer X.X.X.X as-number ASN

peer X.X.X.X group pgCR

peer X.X.X.X description To

ipv4-family unicast

undo synchronization #关闭同步

dampening #dampening配置,采取默认值

preference 20 200 200 #第一个是ebgp优先级,第二是ibgp,第三个是本地起源的bgp路由

maximum load-balancing 16 #负载均衡条目设置为16

peer pgCR enable

peer pgCR next-hop-local

peer X.X.X.X enable

peer X.X.X.X group pgCR

peer X.X.X.X enable

2024年3月1日发(作者:载安筠)

.

江苏电信城域网SR路由器局数据

(华为 NE40E/80E)

配置规范

中国电信江苏公司

2011年09月

.

.

目 录

第1章 概述 .................................................................................................................... 1

1.1

1.2

术语列表 ............................................................................................................................. 1

网络结构说明 ..................................................................................................................... 3

第2章 IP城域网网络设备命名及链路描述规范 ............................................................... 4

2.1 设备命名规范 ..................................................................................................................... 4

2.1.1 适用范围 ........................................................................................................................ 4

2.1.2 设备命名规范格式 ........................................................................................................ 4

2.2 端口描述规范 ..................................................................................................................... 6

2.2.1 环回接口描述 ................................................................................................................ 7

2.2.2 网络接口描述规范 ........................................................................................................ 7

2.2.3 空闲端口 ........................................................................................................................ 8

第3章 华为SR设备基本配置规范 .................................................................................. 9

3.1 系统基本配置规范 ............................................................................................................ 9

3.1.1 设备名称配置 ................................................................................................................ 9

3.1.2 Banner配置 .................................................................................................................. 9

3.1.3 设备自身时间及 10

3.1.4 VTY接口配置 ............................................................................................................. 12

3.1.5 管理AAA配置............................................................................................................ 15

3.1.6 系统高可靠性配置 ...................................................................................................... 20

3.2 端口配置规范 ................................................................................................................... 21

3.2.1 MTU值设计 ................................................................................................................ 21

3.2.2 Loopback接口配置 .................................................................................................. 22

.

3.2.3 GE接口配置 ................................................................................................................ 23

3.2.4 GE子接口配置 ............................................................................................................ 25

3.2.5 端口镜像配置 .............................................................................................................. 27

3.3 路由协议配置规范 .......................................................................................................... 28

3.3.1 城域网路由架构概述.................................................................................................. 28

3.3.2 路由优先级/管理距离 ................................................................................................ 28

3.3.3 静态路由配置 .............................................................................................................. 29

3.3.4 ISIS配置 ...................................................................................................................... 31

3.3.5 BGP配置 ..................................................................................................................... 40

3.3.6 默认路由管理 .............................................................................................................. 45

3.3.7 负载均衡配置 .............................................................................................................. 46

3.4 MPLS标签配置规范 ........................................................................................................... 46

3.4.1 MPLS功能开启配置 .................................................................................................. 46

3.4.2 LDP协议配置 ............................................................................................................. 48

3.4.3 资源配置 ...................................................................................................................... 52

3.5 网管配置 ........................................................................................................................... 55

3.5.1 SNMP管理代理配置 ................................................................................................. 55

3.5.2 故障管理配置 .............................................................................................................. 59

3.6 组播配置规范 ................................................................................................................... 61

3.6.1 组播概述 ...................................................................................................................... 61

3.6.2 组播配置 ...................................................................................................................... 62

3.7 QOS配置规范 ...................................................................................................................... 63

3.7.1 QoS分类和标记 ......................................................................................................... 63

3.7.2 江苏城域网QoS部署 ............................................................................................... 65

3.7.3 配置范例 ...................................................................................................................... 66

3.8 BFD配置规范 ....................................................................................................................... 71

.

3.8.1 BFD概述 ...................................................................................................................... 71

3.8.2 静态路由配置BFD ..................................................................................................... 72

3.8.3 ISIS协议配置BFD ..................................................................................................... 72

3.8.4 BGP协议配置BFD .................................................................................................... 73

.

第1章 概述

为满足江苏电信NOC部门对城域网设备集中运维的需要,提高现网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置,开启设备控制层面和转发层面的功能,实现网络的互通,保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网SR、BRAS设备的配置予以规范。

本文档涉及的对象是城域网SR、BRAS设备的相关规范标准,本文档只针对城域网业务路由器(SR)华为NE40E/80E制定相关配置规范。目的是为城域网维护人员提供实用维护工具。

本文档主要内容安排如下:

1. 介绍城域网优化目标网络结构以及SR在城域网中的功能定位;

2. 从网络配置方面阐述华为NE40E/80E设备配置说明以及规范要求,并给出当前VRP版本的配置示例。主要包括系统基本配置、端口配置、安全配置、网管配置等。

1.1 术语列表

本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下:对于下表中未说明的术语和缩写,应做业界标准或惯例理解。

AAA

ACL

AS

BGP

CAR

CE

CR

DDoS

DiffServ

DSCP

FRR

GE

Autentication Authorization and Accounting 认证、授权与计费

Access Control List 访问控制列表

Autonomous System 自治系统

Boarder Gateway Protocol 边界网关协议

Committed Access Rate 承诺访问速率

Customer Edge 客户边缘设备

Core Router 核心路由器

Distributed Deny of Service 分布式拒绝服务攻击

Differentiated Services 差分服务

Differentiated Service Code Point 差分服务代码点

Fast Re-route 快速重路由

Gigabyte Ethernet 千兆以太网

.

GR

HA

HDLC

H-QOS

IP

ISIS

LDP

LSP

LSR

MP-BGP

MIB

MPLS

NSF

NSR

NTP

OAM

OSPF

PE

POS

PPP

QoS

RR

RSVP

SDH

SNMP

SR

TCP

TE

UDP

uRPF

VPLS

VPN

Graceful Restart 平滑重启动

High Availability 高可用性

High Data Link Control 高级数据链路控制

Hierarchical Quality of Servie 层次化QOS

Internet Protocol 互联网协议

Inter System to Inter System 中间系统到中间系统

Label Distribution Protocol 标记分发协议

Label Switching Path 标记交换路径

Label Switch Router 标记交换路由器

Multi-protocol Boarder Gate Protocol 多协议边界网关协议

Management Information Base 管理信息库

Multiple Protocol Label Switching 多协议标签交换

Non Stop Fowarding 不间断转发

Non Stop Routing 不间断路由

Network Time Protocol 网络时间协议

Operation Administration and Maintenance 操作维护管理

Open Shortest Path First 开放式最短路径优先

Provider Edge 运营商边缘设备

Packet over SDH SDH封装数据包

Point to Point Protocol 点到点协议

Quality of Service 服务质量

Route Reflector 路由反射器

Resource Reservation Protocol 资源预留协议

SymMetric Digital Hierarchy 同步数字序列

Simple Network Management Protocol 简单网络管理协议

Service Router 业务路由器

Transfer Control Protocol 传输控制协议

Traffic Engineering 流量工程

User Data Protocol 用户数据报协议

Reverse Path Fowarding 反向路径转发

Virtual Private LAN Service 虚拟专用局域网业务

Virtual Private Network虚拟专用网

.

VRF

VRRP

上行流量

下行流量

……

Virtual Routing and Forwarding 虚拟路由转发实例

Virtual Routing Redundancy Protocol 虚拟路由冗余协议

用户发出的流量

用户收到的流量

……

1.2 网络结构说明

经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,SR作为业务接入控制层组成部分,是IP 城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。

.

第2章 IP城域网网络设备命名及链路描述规范

2.1 设备命名规范

2.1.1 适用范围

本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:

➢ 出口核心路由器

➢ 汇聚路由器

➢ 路由反射器

➢ BRAS设备

➢ SR设备

➢ 汇聚交换机

➢ 园区交换机

➢ 楼道交换机

➢ DSLAM设备

➢ AC、AP等WLAN设备

➢ PON设备

➢ 安全防护设备

➢ DNS设备

2.1.2 设备命名规范格式

符城市缩写

-

县缩写

字符

-

字节点缩写

字符

-

字设备属性

字符

-

字设备编号

数字

.

字网络(业务)类型

字符

.

字设备类型

字符 字符 字

.

字符数

选项

必选

<8

1

必选

<8

1

可选

<8

1

必选

固定

1

必选

1

1

必选

≤4

1

必选

≤7

可选 必选 必选 必选 必选 可选

➢ 字母大小各市需要采用统一标准,全部大写。

➢ 两端、中间不带任何空格。

➢ 城市标识,取城市名称拼音的首字母大写,如南京:NJ。

当出现郊区县时,在城市标识后加郊区县名称拼音的首字母,如南京江浦县:NJJP。

➢ 节点标识,取节点名称拼音的首字母大写,如两节点的首字母有重叠则取拼音不相同的字用全拼,分两种情况:当前一个字不同,则前个字用全拼,如汉中门(HanZM)和后宰门(HouZM);当后一个字不同时则后一个用全拼。

➢ 华为设备名称规定支持的最多字符数:30个字符(V300R002)、246个字符(V300R003)。

➢ 设备属性标识,规定如下

出口/核心路由器:CR

汇聚路由器:BR

BRAS设备:BAS

业务路由器:SR

路由反射器:RR

汇聚交换机:DSW

.

园区交换机:ASW

楼道交换机:LSW

Dslam 设备:DSL

PON设备(光节点):OLT

PON设备(光终端):ONU

WLAN AC设备:AC

WLAN AP设备:AP

安全防护设备:HD

DNS设备:DNS

➢ 设备序号,取阿拉伯数字,从1开始。同节点的相同属性的设备间以设备序号区别。

➢ 网络类型:MAN(城域网),M2N(第二平面)

IDC(IDC)

NGN (NGN)

ITV(IPTV)

DCN(DCN)

➢ 设备型号: NE40E、NE80E。

示例:

地市:南京市区,节点:鼓楼,设备属性:第一台专线接入路由器设备华为NE40E-X16,命名如下:40E

2.2 端口描述规范

.

2.2.1 环回接口描述

|

符号

字符数

选项

For

字符

3

必选

-

字符

1

必选

功能描述

字符串

≤30

必选

说明:

For:固定字符串。

功能描述:描述该Loopback端口特殊功能,为有意义的英文字符串。如:Management、Multicast、VPN、Global Routing等。

interface Loopback0

description For-Management

2.2.2 网络接口描述规范

2.2.2.1 适用范围

本部分适用于城域网设备的互连接口描述。其中华为设备接口描述支持的最大字符数:V300R002最多支持80个字符,V300R003最多支持242个字符。

2.2.2.2 端口描述

|

符号

字符数

选项

uT:(上行)pT:(平行)dT:(下行)

字符

3

必选

对端设备名称

字符

≤50

必选

(链路传输编号)

字符

≤15

可选

对端端口类型

字符

≤10

必选

对端端口标识

数字/字符

≤8

必选

:

字符

1

必选

➢ “对端端口类型” 不区分对端设备类型,根据端口类型进行统一规范;

➢ “对端端口标识”表示链路对端设备对应端口的具体端口编号;

.

➢ “(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,则为(Local);

➢ 调测期间的链路描述最后统一增加“::PROCESSING”,调测完成加业务后取消“::PROCESSING”。

端口类型如下表:

端口类型

POS(2.5G)

POS(10G)

POS(40G)

以太(GE)

以太(10GE)

端口描述

OC48POS*/*/*

10GPOS*/*/*

40GPOS*/*/*

GE*/*/*

10GE*/*/*

示例:

南京光华门某台SR,对端上联南京城域网一平面鼓楼核心CRS-1,对端端口为Te

0/0/1/0,带宽10G,端口描述如下:

uT:: (传输编码)10GE0/0/1/0

2.2.3 空闲端口

规范要求设备上的所有空闲未用的端口删除配置统一shutdown。

.

第3章 华为SR设备基本配置规范

3.1 系统基本配置规范

3.1.1 设备名称配置

配置说明:

规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。

规范要求:

设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范:

sysname 40E

3.1.2 Banner配置

配置说明:

统一Banner语言

规范要求:

城域网所有设备配置统一的Banner信息,登陆时提示:

WARNING!!! Authorised access only, all of your done will be

recorded! disconnect IMMEDIATELY if you are not an authorised user!

配置规范:

.

header login information % WARNING!!! Authorised access only, all of your

done will be recorded! disconnect IMMEDIATELY if you are not an

authorised user!%

配置验证:

登陆路由器时应看到banner提示。

配置注意细节:

Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。

3.1.3 设备自身时间及NTP

NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。

1.1.1.1 时区配置

配置说明:

统一设备的时区配置。

规范要求:

配置系统时区为GMT+8,北京时区。

配置规范:

clock timezone GMT minus 08:00:00 #在用户视图下配置

备注:V300R002使用add,V300R003使用minus。

配置验证:

display clock

1.1.1.2 NTP配置

配置说明:

使用NTP协议同步网络上所有设备的时间,保证网络设备得到正确的时间。

.

规范要求:

配置主和备两组NTP服务器。

城域网NTP配置为两级结构,CR配置与ChinaNet骨干设备同步时钟,SR设备则配置与CR进行时钟同步。

配置现网设备NTP协议版本为V3。

指定本地发出NTP消息的源接口为Loopback0。

配置规范:

ntp-service source-interface Loopback0

ntp-service unicast-server *.*.*.* preference #优选一台出口为主用ntp server

ntp-service unicast-server *.*.*.* #另一台出口为备用ntp server

配置验证:

display clock

display ntp-service status

display ntp-service session

配置注意细节:

NE40E/80E默认NTP协议版本号为V3,不需特别配置版本信息。

3.1.3.1 NTP协议加密

配置说明:

配置NTP协议加密,防止伪造NTP源引起设备时间错误。

规范要求:

因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用加密。

配置规范:(无)

3.1.3.2 配置范例

.

clock timezone GMT minus 08:00:00 #时区设置(用户视图)

ntp-service source-interface Loopback0

ntp-service unicast-server *.*.*.* preference #主用服务器

ntp-service unicast-server *.*.*.* #备用服务器

3.1.4 VTY接口配置

3.1.4.1 连接数限制

配置说明:

对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。

规范要求:

配置SR路由器并发连接数限制为5个。

配置规范:

user-interface maximum-vty 5

配置验证:

display user-interface maximum-vty

配置注意细节:

华为设备VTY连接数限制默认为5。

3.1.4.2 空闲时间

配置说明:

设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。

规范要求:

对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为10分钟。

.

配置规范:

user-interface console 0

idle-timeout 10 0

user-interface aux 0

idle-timeout 10 0

user-interface vty 0 4

idle-timeout 10 0

配置验证:

disp curr conf user-interface

配置注意细节:

华为设备默认超时时间即为10分钟。

3.1.4.3 访问控制列表

配置说明:

限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。

规范要求:

配置Telnet源地址限制,包含维护IP网段。

Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny source any语句。

配置规范:

acl number 2577

description This acl is used restrict telnet

rule 10 permit source *.*.*.* *.*.*.* #允许跳板主机和网管网段

rule 20 permit source *.*.*.* *.*.*.*

rule 30 permit source *.*.*.* *.*.*.*

rule 3000 deny source any

#

user-interface vty 0 4

.

authentication-mode aaa #设置telnet用户通过AAA认证登陆

acl 2577 inbound #设置VTY口登录控制列表为2577

配置验证:

disp acl 2577

disp curr conf user-interface

配置注意细节:

华为设备Telnet ACL统一使用编号2577。

3.1.4.4 配置范例

user-interface maximum-vty 5

user-interface console 0

idle-timeout 10 0

user-interface aux 0

idle-timeout 10 0

user-interface vty 0 4

idle-timeout 10 0

acl number 2577

description this acl is used telnet

rule 10 permit source *.*.*.* *.*.*.*

rule 20 permit source *.*.*.* *.*.*.*

rule 30 permit source *.*.*.* *.*.*.*

rule 3000 deny source any

user-interface vty 0 4

authentication-mode aaa #设置telnet用户通过AAA认证登陆

acl 2577 inbound #设置VTY口登录控制列表为2577

验证:

disp acl 2577

disp curr conf user-interface

远程登录设备测试

.

3.1.5 管理AAA配置

3.1.5.1 AAA服务器IP地址和端口号

配置说明:

配置AAA服务器IP地址,Tacacs协议支持使用MD5算法来加密交互的Tacacs报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。

规范要求:

根据AAA认证服务器的类型指定采用Tacacs认证,华为设备使用hwtacacs;

例:指定Tacacs服务器地址为:*.*.*.*,认证密钥为XXX。并增加备用Tacacs服务器地址:*.*.*.*,认证密钥为XXX。

3.1.5.2 AAA消息数据包源地址

配置说明:

配置AAA消息数据包源地址。

规范要求:

指定出口路由器AAA消息数据包源地址为Loopback0接口地址。

3.1.5.3 认证模式

AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。

.

规范要求:

配置认证方式顺序为首先选用Tacacs服务器,其次选用本地用户信息进行认证。

配置注意细节:

不同厂家AAA认证的顺序差异较大,需要注意。

3.1.5.4 授权模式

配置说明:

用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一个用户能访问什么服务。配置由先Tacacs服务器授权,后本地用户授权。用户分3个等级:

1级只具有一般的查看权限,不具有查看配置权限;

2级具有1级的查看权限、配置接口权限;

3级全部操作权限。

规范要求:

配置首先由Tacacs服务器授权,其次本地用户授权,用户分3个等级。

3.1.5.5 审计模式

配置说明:

AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。

规范要求:

配置Tacacs服务器对登陆设备的用户进行审计记录。

.

3.1.5.6 本地用户帐号

配置说明:

配置本地用户帐号,作为AAA服务器连接失败时的应急登陆。

规范要求:

在远程管理认证策略中配置先Tacacs服务器认证后本地方式。同时创建本地管理认证策略,仅配置本地认证。

配置本地用户帐号admin,设置一级权限,密码统一指定,密码强度符合复杂性要求,并保存好本地帐号和密码。同时设置super密码,权限为最高权限15级。

路由器的console口仅允许本地帐号认证,不使用AAA服务器认证。

3.1.5.7 命名规划

华为SR统一设置管理AAA认证,针对domain命名、认证策略、授权策略、计费策略、服务器组名等参数统一规划,建议如下表所示:

管理方式

远程管理

本地管理

管理域

default

admin-local

认证策略 授权策略 计费策略 服务器组名

admin-remote

admin-local

admin-remote

admin-remote

admin-local

/

admin-tacacs

说明:

1. 远程管理用户主要用于维护人员通过vty方式登录设备进行维护管理,使用默认管理域default进行认证,该域默认存在,无需创建。

2. 本地管理用户主要用于维护人员通过console口本地登录维护管理,同时作为远程管理用户在认证服务器通信中断后应急备用。本地管理域中不配置授权策

.

略。

3.1.5.8 配置范例

远程管理AAA:

当前未启用Tacacs认证,可以先预配置好server template

#配置HWTACACS服务器模板admin-tacacs,源地址为设备Loopback0地址,密钥为jiangsu,用户名格式中不包括域名

hwtacacs-server template admin-tacacs

hwtacacs-server authentication 221.231.148.6

hwtacacs-server authentication 61.177.64.146 secondary

hwtacacs-server authorization 221.231.148.6

hwtacacs-server authorization 61.177.64.146 secondary

hwtacacs-server accounting 221.231.148.6

hwtacacs-server accounting 61.177.64.146 secondary

hwtacacs-server source-ip *.*.*.* #使用本机Loopback0地址

hwtacacs-server shared-key jiangsu

undo hwtacacs-server user-name domain-included

#配置radius服务器模板,源地址为设备Loopback0地址,密钥为jiangsu,用户名格式中不包括域名

radius-server source interface Loopback0

radius-server group

radius-server authentication 61.177.64.146 1812 weight 0

radius-server authentication 221.231.148.6 1812 weight 20

radius-server accounting 61.177.64.146 1813 weight 0

radius-server accounting 221.231.148.6 1813 weight 20

radius-server shared-key jiangsu

radius-server retransmit 2 timeout 3

undo radius-server user-name domain-included

aaa #进入AAA视图

#配置认证方案admin-remote,认证模式先采用tac服务器认证,后采用本地认证。

authentication-scheme admin-remote

authentication-mode hwtacacs-local

authentication-mode radius-local(在启用hwtacacs前先暂用radius替代)

.

#配置授权方案admin-remote,先采用tac服务器授权,后采用本地用户授权。

authorization-scheme admin-remote

authorization-mode hwtacacs local(可直接部署)

#配置计费方案admin-remote,设置模式为不计费。

accounting-scheme admin-remote

accounting-mode none

#配置记录方案tacacs-recording,与记录方法关联的hwtacacs服务器模板的名称为上面配置的admin-tacacs。注意:在使用recording-mode

hwtacacs命令前,admin-tacacs服务器模板必须已经创建完成。

recording-scheme tacacs-recording

recording-mode hwtacacs admin-tacacs

#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。

system recording-scheme tacacs-recording

#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户端的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。

outbound recording-scheme tacacs-recording

#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备情况进行记录,对监控和故障处理有一定的帮助。

cmd recording-scheme tacacs-recording

#配置缺省域default_admin,域的认证方案、计费方案、授权方案名称都为hwtacacs。

domain default

authentication-scheme admin-remote

authorization-scheme admin-remote (在启用hwtacacs前先暂时取消此配置)

accounting-scheme admin-remote

hwtacacs-server admin-tacacs (在启用hwtacacs前先暂时取消此配置,使用下面的radius-server替代)

radius-server group

.

本地管理AAA:

统一建立本地应急特权帐号admin,基于安全考虑,如非本地网需要,建议不要设置其它任何本地帐号:

aaa

authentication-scheme admin-local #设置本地认证策略名

authentication-mode local

accounting-scheme admin-local #设置本地计费策略名

accounting-mode none

domain admin-local #设置本地认证域

authentication-scheme admin-local

accounting-scheme admin-local

local-user admin@admin-local password cipher ****** #创建本地登录帐号,权限为1级

local-user admin@admin-local service-type terminal telnet

local-user admin@admin-local level 1

super password level 15 cipher ****** #设置super密码

user-interface console 0 #在console视图下设置用户接入通过aaa认证

authentication-mode aaa

检查:

display authentication-scheme admin-remote

display authentication-scheme admin-remote

display authorization-scheme admin-remote

display hwtacacs-server template admin-tacacs

display domain default

display local-user

3.1.6 系统高可靠性配置

配置说明:

配置系统引擎冗余模式。

.

规范要求:

打开自动切换,要求采用最优切换方式。

配置规范:

华为NE路由器两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。

配置验证:

display device #显示2块MPU为1个为Master状态,一个为Slave状态

display switchover state #显示备份状态,当状态为“Info:HA FSM State,

Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题

3.2 端口配置规范

3.2.1 MTU值设计

城域网路由器端口MTU值的设计符合《总则》的规范:

建议IP城域网路由型设备的所有互连端口,GE/10GE以太网口IP MTU统一取值为1600字节;POS口IP MTU统一取值为4470字节。

为缩短IGP邻居建立时间,IGP协议配置全部取消对端口MTU的检查。

各厂家设备的端口MTU具体含义有所不同,具体见下表:

序号

1

2

3

4

5

6

1

设备厂商

思科

华为

RedBack

思科

设备类型

GSR/76/65系列

NE系列

SE系列

CRS-1

端口类型

Ethernet

POS

Ethernet

POS

Ethernet

POS

Ethernet

MTU值含义

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU

IP MTU+14

缺省值

1500

4470

1500

4470

1500

4470

1514

建议值

1600

4470

1600

4470

1600

4470

1614

.

2

3

4

6

7

8

9

10

中兴

Juniper

阿朗 SR 7750

E系列

M/T

ZXR10系列

POS

Ethernet

POS

Ethernet

Ethernet

POS

Ethernet

POS

IP MTU+4

IP MTU+14

IP MTU+2

IP MTU+18

IP MTU+14

IP MTU+4

IP MTU+14

IP MTU+4

4474

1514

9208

1518

1514

4474

1600

4600

4474

1614

4472

1622

1614

4474

1614

4474

3.2.2 Loopback接口配置

配置说明:

配置Loopback地址,提供一个永远up的、掩码为32位IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的Loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。

规范要求:

路由器必须配置Loopback接口,每一个Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。测试使用Loopback从500开始编号,并明确标注测试使用的用途,便于查询和删除。

配置规范:

interface Loopback0

ip address *.*.*.* 255.255.255.255

description For-Management

配置验证:

disp inter Loopback 0

.

3.2.3 GE接口配置

3.2.3.1 接口描述

配置说明:

配置接口描述,明确标识链路连接方向,方便故障排查,提高可读性和可管理性。

规范要求:

端口描述要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

未使用的端口需要shutdown,并删除端口描述、IP地址、子接口等配置。

3.2.3.2 MTU值

配置说明:

配置接口的最大传输单元(MTU)值。

规范要求:

GE/10GE端口MTU配置为1600。

配置注意细节

端口下更改为新的MTU值,shutdown/undo shutdown后才会生效。

3.2.3.3 关闭GE接口协商

配置说明:

端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,并且侦测远端通告的相应的运行方式,协商两端的数据,如果以太网链路两端的配置不一致,端口状态将可能不UP或不稳定。

.

规范要求:

关闭以太网接口协商

3.2.3.4 关闭存在风险的安全漏洞

配置说明:

关闭GE/10GE端口可能存在风险的安全漏洞。包括:

ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路由,存在DOS攻击的风险。

Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的流量。

Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,存在ARP欺骗安全问题。

规范要求:

关闭ICMP Redirect、Direct Broadcast、Proxy ARP。

3.2.3.5 接口开启震荡禁止

配置说明:

为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。

所有GE和POS接口都开启dampening。

华为默认值:

half-life:54s, resume:750, suppress:2000, max-suppress:6000

规范要求:

开启接口震荡禁止功能,使用默认值。

.

3.2.3.6 接口数据统计时间间隔设置

配置说明:

为及时查看接口下流量数据统计,所有接口的时间间隔应设置相对较小数值,这样才能使流量统计数值更新较快。

规范要求:

所有接口统一设置30s。

3.2.3.7 配置范例

interface GigabitEthernet1/0/0

undo negotiation auto #GE光口

mtu 1600 #注意与对端保持一致

description uT::(传输代号)10GE0/0/0/0

ip address *.*.*.* *.*.*.*

undo icmp redirect send

undo arp-proxy enable #默认行为

control-flap #端口启用震荡禁止

set flow-stat interval 30 #流量统计时间间隔为30秒。

检查:

disp inter gi1/0/0

3.2.4 GE子接口配置

3.2.4.1 编号规范

华为设备采用固定“主接口名”+“.”+“数字编号”的格式。

1.如果封装dot1Q,则子接口号建议与vlan id 对应一致,规定为4位。如果vlan id为4位,则子接口号就为vlan id;如果vlan id不足4位,则在前第一位用“9”、中间用“0”补齐。

.

2.如果封装QinQ,则子接口号建议与内外层vlan id 对应一致,规定为8位。其中前4位与外层vlan id对应一致,后4位与内层vlan id对应一致。具体规则同上。如果内外层vlan id为一段范围,则取最小的vlan id对应。

子接口号与vlan id对应关系列表:

封装模式

dot1Q(vlan id为1位)

dot1Q(vlan id为2位)

dot1Q(vlan id为3位)

dot1Q(vlan id为4位)

QinQ(外1)

QinQ(外2)

QinQ(外3)

QinQ(外4)

编号格式

900X

90XX

9XXX

XXXX

900X+900X90XX9XXXXXXX

90XX+900X90XX9XXXXXXX

9XXX+900X90XX9XXXXXXX

XXXX+900X90XX9XXXXXXX

3.2.4.2 dot1Q封装格式

配置说明:

配子接口的封装方式为dot1Q终结。

3.2.4.3 QinQ封装格式

配置说明:

配置子接口的封装方式为QinQ终结。

3.2.4.4 配置范例

interface GigabitEthernet1/0/0

undo negotiation auto #GE光口

mtu 1600 #注意与对端保持一致

description dT:.S2403:(传输代号) GE0/0/0::PROCESSING

undo icmp redirect send

undo arp-proxy enable #默认行为

.

control-flap #端口启用震荡禁止

set flow-stat interval 30 #流量统计时间间隔为30秒

mode user-termination #设置接口工作模式为用户终结模式

interface GigabitEthernetX/X/X.9192 #配置子接口的封装方式为dot1Q终结

control-vid 192 dot1q-termination

dot1q termination vid 192

ip address *.*.*.* *.*.*.*

interface GigabitEthernetX/X/X.91009192 #配置子接口的封装方式为QinQ终结

control-vid 100 qinq-termination

qinq termination pe-vid 100 ce-vid 192

ip address *.*.*.* *.*.*.*

检查命令:

display inter gi X/X/X

display inter gi X/X/X.9192

display inter gi X/X/X.91009192

3.2.5 端口镜像配置

配置说明:

设置一个端口作为镜像端口,将流经一个或几个指定端口的所有数据帧拷贝到这个镜像端口上来。

规范要求:

在有必要时配置端口镜像功能。

配置规范:

observe-port 1 interface gigabitethernet3/0/2

interface gi 1/0/0

port-mirroring to observe-port 1 inbound

配置验证:

.

disp curr | i observe-port

disp curr int gi 1/0/0

3.3 路由协议配置规范

3.3.1 城域网路由架构概述

城域网单独形成AS域,分配私有AS号,路由架构分为IGP、BGP、MP-BGP路由3个部分。

IGP:运行在核心层和业务接入控制层,承载和交换两类路由信息:

1.AS域内设备接口(包括Loopback接口)地址路由;

2.出口核心下发的缺省路由。

BGP:运行在CR(RR)与SR(客户端)之间,由CR(RR)将default路由下发给SR(客户端),牵引用户上行流量,同时将SR(客户端)的用户路由发给CR(RR),引导宽带流量下行。

MP-BGP:运行在VRR和SR(即PE)之间,用于承载自治域内和跨域VPNv4用户路由。

3.3.2 路由优先级/管理距离

配置说明:

对路由优先级/管理距离的定义是为了设备在接收到相同路由条目时候进行选路,在路由条目相同的情况下,优先级数值小的路由将被选择。

规范要求:

路由优先级别的设定按照下面规范。

.

Route type

Direct attached

普通静态

EBGP

OSPF internal

IS-IS

External ISIS

静态黑洞

IBGP

浮动静态

Route Preference/AD

0

[1]

1或5

[2]

20

110 10

115

[3] 15 25

150

180

200

210

配置注意细节:

上表为路由优先级别的推荐设定值,在实际设定时按以下顺序即可:

普通静态->EBGP->OSPF->ISIS->静态黑洞->IBGP->浮动静态。

[1]:一般不可更改。

[2]:华为静态路由缺省值:60,按上述调整,华为设备需要将静态路由的缺省优先级修改为1。

3.3.3 静态路由配置

3.3.3.1 静态路由优先级

配置说明:

更改静态路由的协议优先级/管理距离。

规范要求:

普通静态路由优先级/管理距离配置为1。华为可以用一条命令修有所有静

.

态路由的缺省优先级。

配置注意细节:

静态路由优先级缺省值,华为:60。

华为设备使用一条命令修改所有静态路由的优先级,只针对新增的静态生效,而修改前已存在的静态路由的优先级别依然需逐条手动调整。

3.3.3.2 静态路由配置方式

配置说明:

指定业务路由器上的静态路由配置方式:绑定接口和下一跳IP地址。

规范要求:

静态路由绑定接口和下一跳IP地址。

3.3.3.3 静态黑洞路由配置

配置说明:

在SR路由器上配置下挂用户网段的指向null0的黑洞路由,用于BGP协议将用户网段宣告出去,设备路由优先级/管理距离为180。

同时黑洞路由严禁注入到ISIS中。

规范要求:

黑洞路由配置路由优先级为180,严禁注入到ISIS中。

配置注意细节:

配置前需仔细排查SR汇总通过network发布的IBGP路由是否和本机下挂的用户网段路由中存在子网掩码长度相同的路由条目,针对这种特例,SR上直接network发布,无需再配置指向null0的路由,否则会造成该条目路由的流量丢弃。

.

3.3.3.4 浮动静态路由配置

配置说明:

浮动静态路由,通常配置较大的管理距离,用于路由备份。

规范要求:

城域网由核心路由器通过BGP和ISIS向城域网下发默认路由,并主用ISIS,引导流量上行。城域网内SR,BRAS设备不再手工配置默认路由指向核心路由器。

3.3.3.5 静态路由增加描述

配置说明:

SR路由器上的静态路由配置,根据需要可以加描述。增强可读性,方便策略使用和管理。

规范要求:

设置静态路由时增加描述。

3.3.3.6 配置范例

ip route-static default-preference 1 #全局一条命令修改静态路由的默认优先级为1

ip route-static *.*.*.* *.*.*.* null0 preference 180 description Blackhole-Route #黑洞路由

3.3.4 ISIS配置

3.3.4.1 概述

城域网使用ISIS为IGP协议,IGP运行在核心层和业务接入控制层之间。ISIS

涵盖网络中所有核心设备和业务设备的Loopback 端口和链路端口;核心路由

.

器的上联接口和设备的Loopback 端口设置为Silent模式。ISIS路由协议只承载设备之间的互连链路和Loopback地址的主机路由,不承载用户的路由。出口路由器ISIS进程始终下发默认路由。ISIS协议提供的是业务接入控制层及其以上设备之间的可达性,为IBGP邻居提供IGP可达。

3.3.4.2 ISIS 实例名

配置说明:

配置ISIS实例标识,用于对不同的ISIS实例进行区别。同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例,ISIS实例名称取地市名称全拼小写字母。不支持字母的设备使用数字标识。

规范要求:

同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例,ISIS实例名称取地市名称全拼,例:南京城域网ISIS实例名nanjing。

说明:华为设备的ISIS实例需用数字标识,规范为100。

3.3.4.3 ISIS NET ID

配置说明:

配置ISIS Net ID,唯一标识自治系统中的一台ISIS路由器。

规范要求:

配置ISIS Net ID,Net ID地址采用Area ID + System ID + NSEL地址方式。

其中,为Area ID,其中XX固定为86,YYYY报各城域网私有5位AS号的后4位,ZZZZ为各地市电话区号,不足四位的前面补零。例:南京城域网一平面私有AS号为64660,区号为025,那么南京城域网ISIS NET

.

ID为:86.4660.0025。

System ID为12位,格式为,采用城域网设备Loopback0的IP地址,以左加0的方式将每一节补齐3位,再从左至右三等分完成格式转换。比如61.177.248.2转换后为0611.7724.8002。NSEL固定为00。

3.3.4.4 ISIS路由器类型

配置说明:

ISIS的路由器类型可分为Level-1、Level-2、level-1-2三种,Level-1用于传递域内路由、Level-2用于传递域间路由、level-1-2和level-1、level-2均可建立邻居关系。

规范要求:

同一个城域网运行同一个ISIS协议,城域网使用ISIS Level-1,关闭路由器ISIS Level-2功能。

3.3.4.5 ISIS Cost-style

配置说明:

ISIS协议cost-style分为narrow和wide两种方式,narrow方式是老式cost类型,cost值只能从0—63,不支持MPLS TE。wide方式时ISIS cost可以从0 — 16,777,215 。不同cost-style的ISIS对等体不能建立邻居。

规范要求:

配置ISIS cost-style的类型为wide。

运行ISIS协议的端口默认路由器类型为Level -1,cost值为100000。

.

3.3.4.6 ISIS协议接口类型

配置说明:

在使用30位掩码的广播类型接口下,配置ISIS网络类型为点到点Point-To-Point,不发送广播包,减少LSP泛洪。链路两端的IS-IS接口的网络类型必须一致,否则双方不可以建立起邻居关系。

ISIS协议默认以太网接口类型是广播类型。

规范要求:

城域网内互连用POS---保持为Point-To-Point不变

城域网内互联用GE/10GE --- 强制更改为Point-To-Point

Loopback ---silent进ISIS域内

其他端口---如明确需通过IGP可达的端口,则需silent进ISIS域内,诸如:下连某一用户端口,需在ISIS里发布路由。

配置注意细节:

华为设备Loopback接口运行ISIS时,默认为silent模式,具体视版本而定。

3.3.4.7 ISIS 负载均衡条目

配置说明:

配置ISIS负载均衡条目,实现流量的负载均衡。

规范要求:

配置ISIS负载均衡数 16 。

3.3.4.8 ISIS 路由协议优先级

.

配置说明:

更改ISIS协议路由协议优先级/管理距离

规范要求:

统一ISIS路由协议优先级/管理距离为115,华为默认为15。

3.3.4.9 ISIS 重分布路由

配置说明:

配置将其他协议重分布到ISIS协议。

规范要求:

ISIS协议不承载用户路由,仅为BGP协议提供底层IGP可达,原则上不将其他路由协议注入进ISIS,如需要则用router-policy过滤注入,router-policy命名为rpRouteToISIS。

3.3.4.10 ISIS邻居加密

配置说明:

配置ISIS邻居加密,对ISIS邻居之间的协议报文进行加密和校验。

规范要求:

考虑出口路由器的ISIS邻居数较多,为减少ISIS邻居加密占用太多CPU资源,建议暂不开启ISIS邻居加密功能。

3.3.4.11 ISIS接口宣告

配置说明:

配置需宣告到ISIS协议中的接口,配置Loopback接口、和出口核心互连接口为ISIS接口,接口地址路由自动发布到ISIS,用户接入接口一律不可配置

.

为ISIS接口。

规范要求:

配置Loopback接口为ISIS接口,采用silent模式,接口地址路由自动发布到ISIS。用户接入接口一律不可配置为ISIS接口。

3.3.4.12 ISIS cost值规划

配置说明:

指定运行ISIS接口的cost值,不使用ISIS自动计算的接口cost值。建议统一设计cost设定规范来设定链路的cost,基于接口手工指定ISIS cost值,使用IGP的cost来引导流量。

规范要求:

接口默认设置为Level -1 网络类型,cost值为100000。

一般设备双上连的链路使用同样的带宽链路,所以按网络层次分配cost值,建议ISIS cost设定按照下面规范执行。

链路功能

SR至出口路由器

SR之间链路

Loopback

Slient接口

备用链路

保留链路(待拆除)

ISIS metric设计

100

100

100

100

140

200

备注:保留链路(待拆除)建议shutdown接口或取消接口ISIS协议,避免网管误报。

3.3.4.13 ISIS LSP最大有效时间

.

配置说明:

路由器生成系统LSP时,会在LSP中填写此LSP的最大有效时间。如果路由器一直没有收到更新的LSP,在此LSP的有效时间已减少到0后,若还未收到刷新的LSP,则将该LSP删除。

华为默认为1200s。

规范要求:

设置为65500s。

3.3.4.14 关闭ISIS hello 报文填充

配置说明:

在邻接关系的建立过程中,IS-IS需要检查链路两端的MTU大小是否一致。缺省情况下,IS-IS协议将hello报文填充至MTU大小。可以通过命令简化hello报文的收发操作,减小对网络带宽的浪费。

规范要求:

关闭hello 报文填充,减少链路带宽占用,同时使IGP不检查接口MTU。

3.3.4.15 ISIS LSP MTU

配置说明:

ISIS LSP MTU决定了ISIS发出LSP的最大长度,必须小于全网所有ISIS的接口CLNS MTU。

规范要求:

LSP MTU统一设置为1497(华为厂家设备默认数值)。

3.3.4.16 ISIS LSP刷新间隔时间

.

配置说明:

ISIS路由器周期的发送LSP给其它ISIS路由器,使整个ISIS区域的LSP保持同步。

华为缺省为900s。

规范要求:

设置为32768s。减少刷新占用链路带宽。

3.3.4.17 ISIS动态主机名

配置说明:

ISIS的LSP报文携带ISIS路由器主机名,使其它ISIS路由器能动态解析路由器名称。

华为缺省是关闭。

规范要求:

配置开启ISIS动态主机名。华为设备需要手工设置ISIS主机名。

3.3.4.18 ISIS OVERBIT位

配置说明:

在路由器重起时,设置ISIS OVERBIT,使ISIS流量不在该设备横穿。

规范要求:

配置在路由器重启后BGP进程运行正常前设置ISIS OVERBIT位,同时设置等待900秒的参数。

3.3.4.19 ISIS log邻居变化信息

配置说明:

.

配置ISIS log邻居变化信息,记录ISIS邻居变化。

规范要求:

配置ISIS log 邻居变化信息功能。

3.3.4.20 配置范例

.

isis 100 #配置ISIS实例ID

set-overload on-startup wait-for-bgp 900 #设置等待参数为wait-for-bgp和900秒

is-name 40E #配置动态主机名

network-entity 86.4522.0515.0611.7724.8047.00 #配置NET ID,其中86固定为中国区号,4522为各城域网AS号后四位,0515为各地市区号,0611.7724.8047由router-id换算生成,00为NSEL固定字符

log-peer-change #打开IS-IS邻接状态变化的输出开关

cost-style wide #配置接口开销类型为wide

circuit-cost 100000 level-1 #全局下配置有IS-IS接口的默认开销值为100000,网络类型为level-1

is-level level-1 #配置路由器类型

maximum load-balancing 16 #配置负载均衡数为16

preference 115 #配置协议优先级,默认为15

timer lsp-max-age 65500 #设置为65500,本机有效

timer lsp-refresh 32768 #设置为32768,本机有效

timer spf 5 50 200 #路由计算最大延迟时间缺省值是5秒,初次路由计算的延迟时间为50ms,两次路由计算之间的递增延迟时间为200ms。

interface gi1/0/0 #配置接口宣告

isis enable 100

isis circuit-level level-1

isis cost 100 level-1 #配置cost值

isis small-hello #用来设置接口发送不加入填充字段的小型hello报文

isis circuit-type p2p #设置端口类型为P2P

interface Loopback 0 #配置L0接口宣告

isis enable 100

isis circuit-level level-1

isis silent #接口设置为silent状态,实施时注意命令是否有效,新版本中默认Loopback接口为silent

3.3.5 BGP配置

3.3.5.1 概述

IBGP运行在CR(RR)和业务接入控制设备之间,承载用户路由及缺省路

.

由。

3.3.5.2 自治系统

城域网一平面布署的BGP采用私有自治系统号。城域网一平面AS号规划如下:

自治域

南京城域网一平面

无锡城域网一平面

淮安城域网一平面

宿迁城域网一平面

盐城城域网一平面

泰州城域网一平面

镇江城域网一平面

南通城域网一平面

徐州城域网一平面

扬州城域网一平面

常州城域网一平面

连云港城域网一平面

苏州城域网一平面

AS

64660

64662

64669

64672

64522

64519

64664

64518

64668

64665

64663

64671

64513

3.3.5.3 IBGP 部署策略

关闭BGP自动路由汇总特性。

关闭IGP与BGP的同步。

开启BGP dampening,避免路由抑制对业务的影响。

关闭BGP always-compare-med

以ORIGIN IGP的方式对出口核心发布路由。

明确配置BGP router-id为Loopback 0地址。

记录BGP邻居变化。

.

负载均衡数目:16。

配置IBGP出方向路由过滤,宣告给出口核心的路由网段采用route-policy和network宣告。

对VPN用户路由在IBGP里宣告给出口核心时不做过滤,直接通过network方式宣告。

使用Loopback地址与CR(RR)建立IBGP邻居。

BGP TIMER 参数keepalive和holdtime定时器统一为60s与180s。

3.3.5.4 BGP router-id配置

配置说明:

配置BGP router-id,唯一标识自治系统中的一台BGP路由器。

规范要求:

配置BGP router-id地址为Loopback0接口的IP地址,不使用BGP协议自动选举的router-id。

3.3.5.5 BGP log邻居变化信息

配置说明:

配置BGP log邻居变化信息,记录BGP邻居变化,方便排障和管理。

规范要求:

配置BGP log 邻居变化信息。

3.3.5.6 关闭BGP同步和自动汇总

配置说明:

配置BGP协议的同步和自动汇总功能,避免需要EBGP与IGP同步才能宣

.

告路由。

规范要求:

在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。

3.3.5.7 BGP时间参数

配置说明:

配置BGP协议的keepalive和holdtime定时器,一个BGP对等体每隔Keepalive时间向邻居发送一个存活报文,如果holdtime时间内没有必到邻居发送的存活报文,就认为这个邻居已死亡,从而结束会话。

NE40E BGP keepalive时间,holdtime时间默认分别为60s和180s,无需修改。

规范要求:

设置BGP keepalive时间为60s,holdtime时间为180s。

3.3.5.8 BGP peer group命名

配置说明:

配置BGP peer group命名。

规范要求:

IBGP邻居的peer group组规划如下:

城域网SR设备到城域网出口路由器兼RR可命名为:pgCR。

城域网SR设备到独立IPV4 RR的IBGP邻居peer group命名为pgGRR。

城域网SR设备到独立VPNV4 RR的IBGP邻居peer group命令pgVRR。

.

1.1.1.9 IBGP 路由策略

配置说明:

配置城域网SR与CR之间的IBGP 路由策略

规范要求:

城域网SR->CR:严格宣告该设备下挂所有用户的明细路由,建议掩码小于24。

CR->SR:仅下发默认路由。

3.3.5.8 配置范例

router id #华为设备全局下配置router-id,如BGP下未另外配置,则沿用全局的router-id配置

bgp ASN #城域网自治系统号

#上连RR的IBGP Peer Group 配置

group pgCR internal

peer pgCR connect-interface Loopback0 #设置ibgp使用Loopback0建立邻居

peer pgCR log-change

peer X.X.X.X as-number ASN

peer X.X.X.X group pgCR

peer X.X.X.X description To

peer X.X.X.X as-number ASN

peer X.X.X.X group pgCR

peer X.X.X.X description To

ipv4-family unicast

undo synchronization #关闭同步

dampening #dampening配置,采取默认值

preference 20 200 200 #第一个是ebgp优先级,第二是ibgp,第三个是本地起源的bgp路由

maximum load-balancing 16 #负载均衡条目设置为16

peer pgCR enable

peer pgCR next-hop-local

peer X.X.X.X enable

peer X.X.X.X group pgCR

peer X.X.X.X enable

发布评论

评论列表 (0)

  1. 暂无评论