2024年4月28日发(作者:后海)
配置规范
湖北电信城域网SR路由器
华为NE40E设备
中国电信湖北分公司
2011年7月
项目编号
版本号
V1.0
填写在“主要更新内容”中。
中国电信湖北分公司
编制人/时间
版本更新说明
审核人/时间
V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《湖北电信
城域网SR路由器华为NE40E-X16设备配置规范-VX.X-YYYYMMDD》,修订说明
简篪
/20110708
主要更新内容
初稿
湖北电信城域网路由器设备配置规范总则
文档编
号
第1页
湖北电信城域网路由器设备配置规范总则
目 录
第1章
1.1
1.2
第2章
2.1
2.1.1
2.1.2
2.2
2.2.1
2.2.2
2.2.3
2.2.4
第3章
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.3
3.3.1
概述.................................................................................................................................1
术语和缩写语表.............................................................................................................1
网络结构说明.................................................................................................................3
IP城域网网络设备命名及链路描述规范....................................................................4
设备命名规范.................................................................................................................4
适用范围
.....................................................................................................................4
设备命名规范格式
.....................................................................................................4
端口描述规范.................................................................................................................5
环回接口描述
.............................................................................................................5
网络接口描述规范
.....................................................................................................6
用户端口
.....................................................................................................................7
空闲端口
.....................................................................................................................8
华为SR设备基本配置规范..........................................................................................9
系统基本配置规范.........................................................................................................9
设备名称配置
.............................................................................................................9
Banner配置
...............................................................................................................9
设备自身时间及NTP
.................................................................................................9
Telnet配置
...............................................................................................................11
AAA配置
...................................................................................................................13
VRF配置
...................................................................................................................16
系统高可靠性配置
...................................................................................................17
端口配置规范...............................................................................................................18
MTU值设计
..............................................................................................................18
Loopback接口配置
.................................................................................................18
GE接口配置
.............................................................................................................18
GE子接口接口配置
.................................................................................................21
端口镜像配置
...........................................................................................................22
路由协议配置规范.......................................................................................................22
城域网路由架构概述
...............................................................................................22
第2页
中国电信湖北分公司
湖北电信城域网路由器设备配置规范总则
3.3.2
3.3.3
3.3.4
3.3.5
3.4
路由优先级/管理距离
.............................................................................................23
静态路由配置
...........................................................................................................23
ISIS配置
..................................................................................................................24
BGP配置
...................................................................................................................30
MPLS标签配置规范.........................................................................................................35
3.4.1
3.4.2
3.5
3.5.1
3.5.2
3.6
MPLS全局配置
........................................................................................................35
LDP协议配置
...........................................................................................................36
网管配置.......................................................................................................................38
SNMP管理代理配置
................................................................................................38
故障管理配置
...........................................................................................................40
Q
O
S配置规范....................................................................................................................43
3.6.1
3.6.2
3.6.3
3.7
3.7.1
3.7.2
QOS体系
..................................................................................................................43
采取的QOS策略
.....................................................................................................43
配置举例
...................................................................................................................44
组播配置规范...............................................................................................................45
组播概述
...................................................................................................................45
组播配置
...................................................................................................................45
中国电信湖北分公司
第3页
AS
范。
CE
CR
ACL
AAA
BGP
CAR
中国电信湖北分公司
供总体技术特性介绍。
第1章概述
1.1术语和缩写语表
本文主要内容安排如下:
全配置、路由协议配置、网管配置等。
3.提出文档维护和执行的管理要求。
下表中未说明的术语和缩写,应做业界标准或惯例理解。
1.介绍城域网优化目标网络结构以及SR 在城域网中的功能定位;
的配置示例。针对SR 设备,网络配置主要包括系统基本配置、端口配置、安
城域网网络设备配置的相关规范标准,目的是为城域网配置规范各设备分册提
发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规
网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置
的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于
面的功能和特性,实现网络的互通,保证网络具备预期的业务承载能力。同样
络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层
在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于
本篇是针对城域网路由器设备配置规范制定的总体原则,用于总结性描述
为保证城域网的运行质量,实现易维护、可管理、集中维护的需要,必须
2.从网络配置方面阐述配置说明以及规范要求,并给出主流SR 型号设备
Core Router 核心路由器
Customer Edge 客户边缘设备
Autonomous System 自治系统
ted Access Rate 承诺访问速率
Access Control List 访问控制列表
Boarder Gateway Protocol 边界网关协议
Autentication Authorization and Accounting 认证、授权与计费
湖北电信城域网路由器设备配置规范总则
第1页
IP
PE
SR
GE
RR
HA
GR
LSP
PPP
LSR
LDP
MIB
NSF
FRR
NTP
QoS
POS
NSR
ISIS
SDH
OAM
RSVP
OSPF
MPLS
DSCP
HDLC
DDoS
SNMP
CRS-1
H-QOS
DiffServ
MP-BGP
中国电信湖北分公司
Network Time Protocol
Carrier Routing System
Open Shortest Path First
Fast Re-route 快速重路由
High Availability 高可用性
Service Router 业务路由器
Quality of Service 服务质量
Route Reflector 路由反射器
Graceful Restart 平滑重启动
Hierarchical Quality of Servie
Internet Protocol 互联网协议
Non Stop Routing 不间断路由
Gigabyte Ethernet 千兆以太网
Provider Edge 运营商边缘设备
Differentiated Services 差分服务
Non Stop Fowarding 不间断转发
Packet over SDH SDH封装数据包
Label Switching Path 标记交换路径
Point to Point Protocol 点到点协议
Label Switch Router 标记交换路由器
Label Distribution Protocol 标记分发协议
High Data Link Control 高级数据链路控制
SymMetric Digital Hierarchy 同步数字序列
Management Information Base 管理信息库
Resource Reservation Protocol 资源预留协议
Distributed Deny of Service 分布式拒绝服务攻击
Multiple Protocol Label Switching 多协议标签交换
Differentiated Service Code Point 差分服务代码点
Inter System to Inter System 中间系统到中间系统
Operation Administration and Maintenance 操作维护管理
Simple Network Management Protocol 简单网络管理协议
Multi-protocol Boarder Gate Protocol 多协议边界网关协议
湖北电信城域网路由器设备配置规范总则
第2页
TE
……
TCP
VRF
VPN
UDP
VPLS
uRPF
VRRP
下行流量
上行流量
的重要环节。
中国电信湖北分公司
……
1.2网络结构说明
用户收到的流量
用户发出的流量
Traffic Engineering 流量工程
Virtual Private Network虚拟专用网
User Data Protocol 用户数据报协议
Reverse Path Fowarding 反向路径转发
Transfer Control Protocol 传输控制协议
Virtual Private LAN Service 虚拟专用局域网业务
Virtual Routing and Forwarding 虚拟路由转发实例
Virtual Routing Redundancy Protocol 虚拟路由冗余协议
中的业务提供和控制,BRAS 和SR 作为业务接入控制层组成部分,是IP 城
经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨
干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)
接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集
及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务
域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标
湖北电信城域网路由器设备配置规范总则
第3页
IP业业
业
业业
业业业
业业业
业业
业业业
中国电信湖北分公司
业业业业业业业
业业业
业业业
业业
业业业
DSLAM
ChinaNet骨干网
BRAS
CPE
业业业业业
楼道交换机
业业业
骨干路由器
(可级连)
湖北电信城域网路由器设备配置规范总则
业业业业业/MSTP /RPR
(业业业)
终端
MAN SR
CN2 SR
CN2骨干网
第4页
符号
字符
数
选项
<6
-
1
DSLAM
必选
字符
城市
缩写
中国电信湖北分公司
SR设备
BRAS设备
楼道交换机
园区交换机
汇聚交换机
路由反射器
汇聚路由器
PON相关设备
2.1.1适用范围
必选
<8
必选
字符
节点
缩写
字符
2.1设备命名规范
出口核心路由器
2.1.2设备命名规范格式
用数字和字母。
-
1
≤3
必选必选
-
1
必选
字符字符
设备
属性
字符
第2章IP城域网网络设备命名及链路描述规范
县缩写,取县名称拼音的首字母大写。
≤4
-
1
字符
网络
(业务)
类型
必选必选
字符
≤7
可选
字符
设备
型号
.
1
可选
字符
字母大小需要采用统一标准,全部大写。
城市缩写,取城市名称拼音的首字母大写,如WH。
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
节点缩写,取节点名称拼音的首字母大写,如城市、县及两节点的首
3
除了已标出的符号,各标识两端、中间不带任何空格、符号,只能采
字母均有重叠,分两种情况,当后一个字不同时则后一个取全拼,当
可选
数字
设备
序号
湖北电信城域网路由器设备配置规范总则
第5页
格式示例:
OLT:OLT
中国电信湖北分公司
ONU:ONU
Dslam:DSL
BRAS:BAS
城域网:MAN
网络类型:
业务路由器:SR
汇聚路由器:BR
楼道交换机:LSW
园区交换机:ASW
汇聚交换机:DSW
由器。
|
城域网二平面:M2N
2.2端口描述规范
2.2.1环回接口描述
设备属性,规定如下:
后一个字相同时则前一个字取全拼。
设备编号,取阿拉伯数字,从1开始。
出口路由器:CR,如汇聚路由器兼做出口路由器则用CR
别称:只能为字母和数字,各地市根据组网按需规划。
湖北电信城域网路由器设备配置规范总则
示例:40E,代表武汉市中北路节点用于城域
网SR路由器第一台设备,设备别称为NE40E,代表华为 NE40E路
符号
字符数
选项
For
3
必选
字符
-
1
必选
字符
功能描述
字符串
≤30
必选
第6页
|
数
选项
字符
符号
示例:
说明:
3
Management、Multicast、VPN、Global Routing、BGP Load balance等。
中国电信湖北分公司
interface Loopback0
For:固定字符串。
description For-Management
2.2.2.1适用范围
uT:(上行)pT:(平行)
dT:(下行)
2.2.2网络接口描述规范
ipv4 address 221.235.39.247/32
最多64个字符,5200G最多80个字符;
2.2.2.2端口描述包含下面几部分
REDBACK:SE800接口描述最多63个字符;
CISCO:CRS、GSR接口描述最多80个字符;
阿尔卡特:SR7750接口描述最多160个字符;
必选
名称
对端设备
:
字符
≤20
必选
(链路传输
编号)类型
对端端口
字符
1
选
必
符
字
≤15
必选
字符
≤10
必选
字符
“对端端口类型”要根据对端不同设备类型进行区分规范,
标志
“对端端口标志”表示链路对端设备对应端口的具体标志规范,
华为:NE5000E接口描述最多242个字符,NE80最多80个字符,ME60
对端端口
符
≤8
数字/字
功能描述:描述该loopback端口特殊功能,为有意义的英文字符串。如:
湖北电信城域网路由器设备配置规范总则
可选
(VR)
≤10
可选
字符
本部分适用于城域网设备的互连接口描述。各厂家设备接口描述最大字符:
第7页
|
符号
字符数
选项
说明:
例子:
中国电信湖北分公司
端口类型如下表:
2.2.3用户端口
务后取消“::PROCESSING”。
To:固定字符串;
本地专线号或者接入电路号
端口类型
字符
根据实际情况
必选
格式: 专线号 To用户标识
本地专线号或者接入电路号
POS(2.5G)
POS(40G)
POS(10G)
以太(GE)
以太(10GE)
uT:
1
:(Local)10GE0/0/1/0::PROCESSING
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途
“(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,
VPN电路,需要添加本地接入电路号。另外,建议添加用户名称等如下信息。
则为(Local)。调测期间的链路描述最后增加“::PROCESSING”,调测完成加业
其中用户名为小写,用户性质见下表规参照下表进行规定。
字符
1
必选
空格
湖北电信城域网路由器设备配置规范总则
证券
银行
团体
政府
网吧
To
字符
2
必选
10GE*/*/*
字符
1
必选
空格用户标识
字符
≤20
必选
字符
1
必选
空格分配带宽
字符
≤5
必选
公司
CORP
端口描述
OC48POS*/*/*
40GPOS*/*/*
10GPOS*/*/*
SECU
BANK
COMM
GOVE
NETB
GE*/*/*
用户标识:有意义的汉语拼音和语音组成的字符串,用户名.用户性质,
第8页
中国电信湖北分公司
X科技公司,使用3M带宽。
2.2.4空闲端口
中小学
大学
SCHO
UNIV
示例: G2810001 To 3M ,表示专线号G2810001的用户为
湖北电信城域网路由器设备配置规范总则
规范要求设备上的所有空闲未用的端口统统一shutdown,便于网管监控。
第9页
规定。
配置验证:
配置规范:
规范要求:
配置说明:
配置规范:
规范要求:
配置说明:
disconnect IMMEDIATELY if you are not an authorised user!
中国电信湖北分公司
Banner motd语言。
3.1系统基本配置规范
3.1.2Banner配置
3.1.1设备名称配置
备进行区分,方便设备管理,提高可读性和可管理性。
3.1.3设备自身时间及NTP
[sysname] sysname 40E
第3章华为SR设备基本配置规范
登陆路由器时应看到banner提示。
所有路由器配置统一的Banner信息,登陆时提示:
WARNING!!! Authorised access only, all of your done will be recorded!
在连接到路由器,输入用户名称和口令之前,系统显示的提示信息,统一
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中
[sysname] #Banner motd “ WARNING!!! Authorised access only, disconnect
IMMEDIATELY if you are not an authorised user! ”
[sysname] #
湖北电信城域网路由器设备配置规范总则
第10页
SERVER;
配置规范:
display clock
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
中国电信湖北分公司
3.1.3.1时区配置
统一设备的时区配置。
3.1.3.2NTP时间
以下设备则配置向出口路由器进行时钟同步。
于时间限制带宽等,都需要基于正确的时间。
配置系统时区为GMT+8,北京时区。
指定本地发出NTP消息的接口。
钟)同步网络上所有设备的时间,保证网络设备得到正确的时间。
V3,指定本地发出NTP消息的接口loopback0。
城域网配置主和备两组NTP服务器,并分为两级结构:
[sysname] clock timezone GMT minus 08:00:00 #在用户模式下配置
钟;城域网出口做为NTP SERVER,配置NTP 所在主时钟层数为默认,出口
ntp-service source-interface LoopBack0
ntp-service unicast-server 202.97.32.72 preference #优选其中一台出口为NTP
SERVER
ntp-service unicast-server 202.97.32.73 #另一台出口为备用NTP
骨干设备武汉C1, 武汉C2作为湖北省内城域网出口路由器的NTP
配置NTP服务器更新设备硬件时间,配置主和备两组NTP服务器,版本
城域网出口作为NTP CLIENT,配置与202.97.32.72 , 202.97.32.73同步时
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期(最短10分
湖北电信城域网路由器设备配置规范总则
第11页
地址。
SERVER
配置验证:
配置规范:
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
设备交换消息包。
display clock
display ntp-service status
display ntp-service session
display clock
display ntp-service status
display ntp-service session
3.1.4Telnet配置
3.1.4.1连接数限制
ntp-service source-interface LoopBack0
连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
配置SR路由器Telnet最大连接数限制为5个。
指定设备的接口IP做为NTP消息包的源IP地址,使用该IP与其它NTP
城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源
对同时远程登陆到设备上的session数进行限制,可以防止大量的session
user-interface maximum-vty 5
3.1.3.3NTP消息源地址
湖北电信城域网路由器设备配置规范总则
第12页
网段。
法登陆尝试。
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
配置规范:
规范要求:
中国电信湖北分公司
配置注意细节:
user-interface aux 0
idle-timeout 10 0
user-interface vty 0 4
idle-timeout 10 0
3.1.4.2空闲时间
user-interface console 0
idle-timeout 10 0
disp curr | b user-interface
止未被授权的人员在操作员离开后进行非法操作。
华为及CISCO设备 VTY连接数限制默认为5,7750为7,按默认配置。
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防
配置Telnet源地址限制,包含省公司地址和最小化的地市网管中心维护IP
acl number 2000
description this acl is used telnet
rule 10 permit /y
rule 20 permit /y
rule 30 permit /y
display user-interface maximum-vty
3.1.4.3TELNET访问控制列表
湖北电信城域网路由器设备配置规范总则
对VTY、Console、AUX登录超时设置进行配置,设置空闲时间为10分钟。
第13页
hwtacacs。
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
3.1.5AAA配置
disp acl 2000
disp curr | b user-interface
远程登录设备测试
rule 3000 deny source any
#
user-interface vty 0 4
authentication-mode aaa
acl 2000 inbound
Tacacs+服务器地址:*.*.*.*,认证密钥为XXX。
配置 AAA 消息数据包源地址。
有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只
指定出口路由器 AAA 消息数据包源地址为Loopback0 接口地址。
3.1.5.2AAA消息数据包源地址
3.1.5.1AAA服务器IP地址和端口号
根据AAA认证服务器的类型指定采用Tacacs+认证。华为设备使用
3.1.5.3认证模式
#设置telnet用户通过AAA认证登陆
#设置VTY口登录控制列表为2000
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,
例:指定Tacacs+服务器地址为:*.*.*.*,认证密钥为XXX。并增加备用
以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路
配置AAA服务器方便后台统一管理,Tacacs+协议支持使用MD5算法来加
湖北电信城域网路由器设备配置规范总则
第14页
进行认证
记录。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
CONSOLE口仅允许本地帐号认证,不使用AAA服务器认证。
用户帐号admin,设置最高权限,使用省公司统一指定的密码。路由器的
中国电信湖北分公司
用户分3个等级:
3级全部操作权限。
3.1.5.5审计模式
3.1.5.4授权模式
2级具有1级的查看权限、配置接口权限;
3.1.5.6本地用户帐号
由器在认证一个用户时使用。认证模式一般为本地认证和远程服务器认证。
一个用户能访问什么服务。配置由先本地用户授权,后TACACS服务器授权。
事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐
设置最高权限的本地账号,用于应急登陆。
1级只具有一般的查看权限,不具有查看配置权限;
配置Tacacs+服务器对登陆设备的用户进行审计记录。
配置认证方式顺序为为首先使用Tacacs+服务器,其次选用本地用户信息
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者
配置由首先TACACS服务器授权,其次本地用户授权,用户分3个等级。
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。配置本地
湖北电信城域网路由器设备配置规范总则
第15页
中国电信湖北分公司
3.1.5.7配置范例
domain default
authentication-scheme hwtacacs
authorization-scheme hwtacacs
#配置计费方案hwtacacs,使用tac服务器进行计费。
accounting-scheme hwtacacs
accounting-mode hwtacacs
hwtacacs-server template hbnoc
hwtacacs-server authentication
58.53.191.55
hwtacacs-server authentication
58.53.191.46
secondary
hwtacacs-server authorization
58.53.191.55
hwtacacs-server authorization
58.53.191.46
secondary
hwtacacs-server accounting
58.53.191.55
hwtacacs-server accounting
58.53.191.46
secondary
hwtacacs-server
hwtacacs-server shared-key ****
undo hwtacacs-server user-name domain-included
#配置缺省域defaul,域的认证方案、计费方案、授权方案名称都为
hwtacacs。
#配置授权方案hwtacacs,先采用tac服务器授权,后采用本地用户授权。
authorization-scheme hwtacacs
authorization-mode hwtacacs local
#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。
system recording-scheme hwtacacs
#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户
端
的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。
outbound recording-scheme hwtacacs
#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备
情
况进行记录,对监控和故障处理有一定的帮助。
cmd recording-scheme hwtacacs
#配置记录方案hwtacacs,与记录方法关联的hwtacacs服务器模板的名称为上
面配置的hwtacacs。注意:在使用recording-mode hwtacacs命令前,
hwtacacs
服务器模板必须已经创建完成。
recording-scheme hwtacacs
recording-mode hwtacacs hbnoc
#配置HWTACACS服务器模板hbnoc,源地址为设备LOOPBACK0地址,密钥为
****,用户名格式中不包括域名。
aaa #进入AAA视图
#配置认证方案hwtacacs,认证模式先采用tac服务器认证,后采用本地认证。
authentication-scheme hwtacacs
authentication-mode hwtacacs local
湖北电信城域网路由器设备配置规范总则
第16页
”+序号
规范要求:
配置说明:
规范要求:
配置说明:
简称,以省为单位统一。命名格式:CTVPN+专网号+“-”+客户名简称+“-
中国电信湖北分公司
配置 VRF 实例。
3.1.6VRF配置
CTVPN2600000-Gonghang。
3.1.6.2设备RD
user-interface con 0
authentication-mode aaa
3.1.6.1VRF命名
accounting-scheme hwtacacs
hwtacacs-server hbnoc
用资源格式可为:4809: YYYYYY。
#规范本地level 3 的帐号:
local-aaa-server
user admin password cipher ******
user admin level 15
user admin authentication-type A
检查:
display authentication-scheme hwtacacs
display authentication-scheme hwtacacs
display authorization-scheme hwtacacs
display hwtacacs-server template hbnoc
display domain default
display local-user
//设置con口采用aaa认证模式
在相应 VRF 实例下指定RD 号。
示例:工商银行VPN网号为CTVPN2600000,该VPN的VRF名称为:
创建 VRF 实例,VRF描述使用简短、直观字符串描述客户信息,含客户
按照 RD 号规划设置RD。现网已配置的保持不变,新配置VRF的RD使
湖北电信城域网路由器设备配置规范总则
第17页
配原则如下:
配置规范:
3.1.6.3设备RT
3.1.6.4配置范例
对于any-to-any的VPN客户, RT值为RD值后面加2个0;
0,Spoke部分的RT取值为RD值加上01;
路由关系时,RT值为RD值后面加从01到99按顺序取的值。
对于Hub-Spoke的VPN客户,Hub站点的RT值为RD值后面加2个
对于不完全网状拓扑的VPN客户,需要多个RT值描述不同站点间的
规范要求:
配置说明:
规范要求:
配置说明:
中国电信湖北分公司
置现网设备将可能引起引擎重启。
检查:
display ip vpn-instance verbose name
3.1.7系统高可靠性配置
在相应 VRF 实例下指定RT 号。
#新建VRF,并配置RD、RT,采用full-mash模式。
ip vpn-instance CTVPN2600000-Gonghang
route-distinguisher 4809:2600000
vpn-target 4809:26000000 export-extcommunity
vpn-target 4809:26000000 import-extcommunity
打开自动切换,要求采用最优切换方式。
按照 RT 号规划设置RT。现网已配置的保持不变,新配置VRF的RT分
各城域网资源按照资源分配表格内容配置。
配置系统引擎冗余模式,当主引擎出现故障时能快速切换到备用引擎。配
湖北电信城域网路由器设备配置规范总则
第18页
故
址。
配置规范:
接入网的以太化,终端侧MTU均不超过1500;
display device #显示2块MPU为1个为Master状态,一个为Slave状态
display switchover state #显示备份状态,当状态为“Info:HA FSM State,
Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正
在同步时,切换可能会有问题
规范要求:
配置说明:
查看验证:
Loopback 0;组播anycast RP采用Loopback 100。
中国电信湖北分公司
3.2端口配置规范
3.2.1MTU值设计
障的情况下,Slave 会立刻自动将自己切换为Master 引擎,无需命令配置。
连端口,GE/10GE以太网口和POS口MTU统一取值为4470字节。
3.2.2Loopback接口配置
为统一全网路由型设备端口MTU值,建议IP城域网路由型设备的所有互
城域网路由型设备端口MTU的设置主要受三方面因素影响:
华为 NE 路由器两块引擎之间的备份机制是系统自动的,在Master 引擎
IGP协议配置全部取消对接口MTU的检查。
业务MPLS化后,MTU必须足够大,才能保证端到端通信正常;
种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由
IGP路由协议邻居关系的建立,需要两侧设备端口MTU保持一致性;
配置Loopback地址,提供一个永远up的、掩码为32位IP地址,用于各
器上的loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地
路由器必须配置loopback接口。湖北省Loopback地址路由标识地址采用
湖北电信城域网路由器设备配置规范总则
第19页
配置说明:
disp inter loopback 0
规范要求:
配置说明:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
议正常建立邻居关系。
3.2.3GE接口配置
配置注意细节
3.2.3.2MTU值
3.2.3.1接口描述
interface LoopBack0
ip address *.*.*.* 255.255.255.255
description For-Management
分,方便设备管理,提高可读性和可管理性。
规范”中规定。并注意端口描述中的对端端口应区别不同设备。
“uT:”,下行链路描述前缀使用“dT:”,横连链路前缀使用“pT:”。
GE/10GE端口MTU配置为4470。
配置三层接口的描述和相应的二层接口描述一致,上行链路描述前缀使用
配置二层接端口的描述符合第二章中“IP城域网网络设备命名及链路描述
PING小包时正常,不会丢包,但是PING大包时会明显丢包,而且影响IGP协
未使用的端口需要Shutdown,并删除端口描述、IP地址、子接口等配置。
端口需shutdown/undoshutdown后,更改后的MTU值才会生效。
配置接口描述,明确标识链路连接方向,用于对城域网的每台设备进行区
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为,当
3.2.3.3关闭GE接口协商
湖北电信城域网路由器设备配置规范总则
第20页
流量。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
HW默认值:
关闭GE接口协商
由,存在DOS攻击的风险。
存在ARP欺骗安全问题。
suppress:6000
3.2.3.5接口开启震荡禁止
3.2.3.4关闭存在风险的安全漏洞
配置不一致,端口状态将可能不UP或不稳定。
接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。
并且侦测远端通告的相应的运行方式,协商两端的数据,如果千兆链路两端的
开启接口震荡禁止功能,使用默认值。
所有GE和POS接口都开启damping。
关闭ICMP Redirect、Direct Broadcast、Proxy ARP。
关闭GE/10GE端口可能存在风险的安全漏洞。包括:
Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的
Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,
ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路
HW默认值:half-life:54s, resume:750, suppress:2000, max-
half-life:60s,resume:750,suppress:2000,max-suppress-time:4倍half-life
3.2.3.6接口数据统计时间间隔设置
湖北电信城域网路由器设备配置规范总则
端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,
为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,
第21页
检查:
disp inter gi1/0/0
VLAN号。
规范要求:
配置说明:
规范要求:
所以接口统一设置30s。
3.2.3.8配置范例
接口绑定创建的VPN实例。
description To_G2810001_X__3M
ip address X.X.X.X X.X.X.X
undo icmp redirect send
undo arp-proxy enable #默认行为
control-flap #端口启用震荡禁止
set flow-stat interval 30 #流量统计时间间隔为30秒。
配置说明:
配置说明:
中国电信湖北分公司
3.2.4.1命名规范
值,这样才能使流量统计数值更新较快。
interface GigabitEthernet1/0/0
ip binding vpn-instance name #绑定相应VPN实例
undo negotiation auto #GE光口
mtu 4470 #注意与对端保持一致
3.2.4GE子接口接口配置
在接口绑定相应VPN实例,承载下挂VPN业务。
华为、Cisco为固定“主接口名”+“.”+“数字编号”的格式。
3.2.3.7绑定VPN实例用户设置
3.2.4.2dot1q封装格式
GE子接口封装为dot1q格式,用于与下联设备互通,子接口ID使用
为及时查看接口下流量数据统计,所有接口的时间间隔应设置相对较小数
湖北电信城域网路由器设备配置规范总则
第22页
配置验证:
规范要求:
规范要求:
配置说明:
中国电信湖北分公司
检查命令:
display inter gi X/X/X
display inter gi X/X/X.100
贝到这个镜像端口上来。
disp curr | i observe-port
disp curr int gi 1/0/0
3.2.4.3配置范例
3.2.5端口镜像配置
3.3路由协议配置规范
根据需要配置端口镜像功能。
observe-port 1 interface gigabitethernet3/0/2
interface gi 1/0/0
port-mirroring to observe-port 1 inbound
interface GigabitEthernetX/X/X.100
description To_G2810001__3M
vlan-type dot1q 100
ip binding vpn-instance name #绑定相应VPN实例
ip address X.X.X.X X.X.X.X
interface GigabitEthernet1/0/0
undo negotiation auto #GE光口
mtu 4470 #注意与对端保持一致
description dT:.S8505:(传输代号)GE0/0/0
Gundo icmp redirect send
undo arp-proxy enable #默认行为
control-flap #端口启用震荡禁止
set flow-stat interval 30 #流量统计时间间隔为30秒。
3.3.1城域网路由架构概述
组网需求,湖北电信IP城域骨干网的目标路由组织如下:
设置一个端口作为镜像端口,将流经一个或几个指定端口的所有数据帧拷
为了遵循层次清晰、功能齐全等原则,满足可运营、可管理、高可用性的
湖北电信城域网路由器设备配置规范总则
第23页
力。
中国电信湖北分公司
背路由互联。
EBGP
议的快速收敛提高收敛速度。
路由协议管理距离设计规划如下:
IS-IS level 2
Static routes
Direct attached
Route type
MP-BGP连接,交换城域网MPLS
3.3.2路由优先级/管理距离
允许CN2和ChinaNet之间的业务流量穿透任何城域网。
IBGP中,用IBGP来承载用户路由。
1)城域骨干网内部统一采用ISIS协议作为IGP协议,以城域网为单位划分
心路由器、业务控制层设备上,将用户的直连路由以及静态路由发布到
5)选取城域网两台出口路由器作为VRR设备,所有PE设备都与VRR建立
ChinaNet是CN2的备份通道,而CN2网络不是ChinaNet的备用通道;不
业务控制层设备都与RR建立IBGP连接,以减少IBGP连接数。武汉作为
的互连链路和loopback地址的主机路由,不承载用户的路由。部署ISIS协
考虑到网络的可扩展性,使用城域网两台出口路由器作为RR设备,所有的
特大型城域网,在条件具备的情况下设置独立的RR设备。在每台城域网核
4)核心具备提供L2/L3 VPN业务能力,针对不同业务/应用提供差异化承载能
2)城域网和ChinaNet、CN2 之间采用eBGP协议交换路由。城域网配备独立
Option A方式与CN2 PE互联,通过子接口建立BGP会话实现VRF 背对
Area,配置Level 2模式,ISIS协议不下发缺省路由。ISIS只承载设备之间
IBGP & Local BGP Routes
Route Preference/AD
湖北电信城域网路由器设备配置规范总则
VPN用户路由。城域网ASBR采用
200**
150**
10
1
0
的私有自治域号,采用白名单方式向ChinaNet、CN2宣告城域网汇总路由。
3)在城域网核心路由器、业务控制层设备之间运行IBGP协议,承载用户路由。
第24页
省优先级。
规范要求:
配置说明:
规范要求:
配置说明:
条修改每条静态路由)。Juniper和华为可以用一条命令修有所有静态路由的缺
中国电信湖北分公司
静态路由优先级设置为1。
为城域网AS标记。
配置注意细节:
3.3.3.1静态路由优先级
3.3.3.3静态黑洞路由配置
3.3.3.2静态路由配置方式
3.3.3静态路由配置
骨干返回的流量不均衡及uRPF错误。
设置普通静态路由优先级/管理距离配置为1。
路由器上静态路由的配置方式:绑定接口和下一跳IP地址。
效,而修改前已存在的静态路由的优先级别依然需逐条手动调整。
议将城域网网段宣告给骨干,设备路由优先级/管理距离为199,并增加TAG
出口路由器上的城域网网段黑洞路由严禁注入到ISIS中。
各厂家静态路由优先级缺省值:Cisco 1;Alcatel 5;华为:60。
静态路由优先级缺省值:Cisco 1;Juniper 5;Alcatel 5;华为:60。
在出口路由器上配置城域网网段的指向NULL0的黑洞路由,用于BGP协
城域网两台出口路由器上配置的黑洞路由原则上必须完全相同,以避免从
华为设备使用一条命令修改所有静态路由的优先级,只针对新增的静态生
黑洞路由配置路由优先级为199,增加TAG 为城域网AS标记,严禁注入
CISCO和Alcatel无法用一条命令修改所有静态路由的缺省优先级(只能逐
湖北电信城域网路由器设备配置规范总则
第25页
到ISIS中。
在区号作为数字标识。
链路端口;核心路由器的上联接口和设备的Loopback 端口设置为Passive模
供的是业务接入控制层及其以上设备之间的可达性,为IBGP提供IGP可达。
例名称使用设备所在的地市名称全拼小写字母。不支持字母的设备使用设备所
务接入控制层。ISIS 涵盖网络中所有核心设备和汇聚设备的Loopback 端口和
承载用户的路由。城域网出口路由器ISIS进程始终下发默认路由。ISIS协议提
式。ISIS路由协议只承载设备之间的互连链路和loopback地址的主机路由,不
中国电信湖北分公司
3.3.4.1概述
3.3.4ISIS配置
NSEL固定为00。
3.3.4.2ISIS 实例名
3.3.4.3ISIS NET ID
net id地址采用Area ID + System ID + NSEL地址方式,
私有5位AS号的后4位,ZZZZ为各地市电话区号,不足四位的前面补零。
其中,为Area ID,其中XX固定为86,YYYY为各城域网
同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例。ISIS实
3.3.4.4ISIS路由器类型
的IP地址表示为十进制形式,每字节用3个十进制位表示,不足3位的空位补
0,然后映射为System-ID。比如202.103.29.138转换后为2021.0302.9138。
ISIS的路由器类型可分为level-1和level-2两种,规范要求同一个城域网
湖北电信下属城域网使用ISIS为IGP协议,IGP运行在城域网核心层和业
湖北电信城域网路由器设备配置规范总则
System ID为6位,格式为,采用城域网设备loopback0
第26页
居。
规范要求:
配置说明:
配置说明:
规范要求:
配置说明:
须一致,否则双方不可以建立起邻居关系。
metric类型,metric值只能从0—63,不支持MPLS TE。wide方式时ISIS
to-point,不发送广播包,减少LSP泛洪。链路两端的IS-IS接口的网络类型必
中国电信湖北分公司
规范要求:
3.3.4.5ISIS metric-type
3.3.4.6ISIS协议接口类型
3.3.4.7ISIS 负载均衡条目
Loopback ---- Passive进ISIS域内
metric可以从1 — 16,777,214 。不同metric-type的ISIS对等体不能建立邻
运行同一个ISIS协议并且处于Level-2,湖北电信城域网使用ISIS Level-2。
配置ISIS负载均衡数不少于8条。
配置ISIS metric-type的类型为wide,
配置ISIS负载均衡条目,实现流量的负载均衡。
城域网内互连用POS----保持为Point-To-Point不变
城域网内互联用GE/10GE --- 强制更改为Point-To-Point
在使用30位掩码的广播类型接口下,配置ISIS网络类型为点到点point-
ISIS协议metric-type分为narrow和wide两种方式,narrow方式是老式
3.3.4.8ISIS 路由协议优先级
湖北电信城域网路由器设备配置规范总则
第27页
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
其他路由协议注入进ISIS,如需要则用router-map过滤注入。
实施扁平化后,出口路由器的ISIS邻居数将较多,为减少ISIS邻居加密占用
中国电信湖北分公司
配置将其他协议重分布到ISIS协议。
更改ISIS协议路由协议优先级/管理距离
统一ISIS路由协议优先级/管理距离为115。参考前表。
太多CPU资源,建议湖北城域网不开启ISIS邻居加密功能。
3.3.4.11ISIS接口宣告
3.3.4.10ISIS邻居加密
3.3.4.9ISIS 重分布路由
址路由自动发布到ISIS。用户接入接口一律不可配置为ISIS接口。
配置ISIS邻居加密,对ISIS邻居之间的协议报文进行加密和校验。
考虑到城域网面向用户的端口关闭了ISIS处理,且湖北城域网取消BR,
ISIS协议不承载用户路由,仅为BGP协议提供底层IGP可达,原则上不将
配置需宣告到ISIS协议中的接口,配置loopback接口和互连接口为ISIS
配置loopback接口和上连接口为ISIS接口,采用PASSIVE模式,接口地
湖北电信城域网路由器设备配置规范总则
接口,接口地址路由自动发布到ISIS,用户接入接口一律不可配置为ISIS接口。
第28页
路质量的目的。
配置说明:
3.3.4.14
3.3.4.13
规范要求:
配置说明:
规范要求:
配置说明:
3.3.4.15
收到刷新的LSP,则将该LSP删除。
路由器一直没有收到更新的LSP,在此LSP的有效时间已减少到0后,若还未
中国电信湖北分公司
Metric值设计规划如下:
链路功能
3.3.4.12ISIS metric
出口路由器之间链路
关闭ISIS hello padding特性 。
SR/BRAS至汇聚路由器
汇聚路由器至出口路由器
出口路由器与RR之间链路
设置为65500s,与LSP刷新时间保持匹配。
ISIS LSP MTU
ISIS hello padding
3000
100000
ISIS LSP最大有效时间
50
1500
ISIS的接口CLNS MTU。CISCO缺省是开启,华为缺省是关闭。
ISIS metric 值设计
CRS默认为1200s,华为默认为1200s,阿郎默认为1200s。
ISIS LSP MTU 决定了ISIS 发出LSP 的最大长度,必须小于全网所有
路由器生成系统LSP时,会在LSP中填写此LSP的最大有效时间。如果
指定运行ISIS接口的metric值,不使用ISIS自动计算的接口metric值。
湖北电信城域网路由器设备配置规范总则
ISIS hello包填充,将hello包大小填充至接口的MTU大小,以达到检测链
第29页
由器名称。
LSP 保持同步。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
3.3.4.20
ISIS动态主机名
ISIS OVERBIT位
ISIS LSP 刷新间隔时间
3.3.4.19
3.3.4.18
3.3.4.17
3.3.4.16
中国电信湖北分公司
华为缺省为900s。
配置开启ISIS动态主机名。
原则上ISIS不下发缺省路由。
ISIS缺省路由
CISCO缺省是开启,华为缺省是关闭。
设置为 32768s。减少刷新占用链路带宽。
配置在路由器重启的15分种内设置ISIS OVERBIT位。
LSP MTU 统一设置为1497(华为厂家设备默认数值)。
在路由器重起时,设置ISIS OVERBIT,使ISIS流量不在该设备横穿。
ISIS 路由器周期的发送LSP 给其它ISIS 路由器,使整个ISIS 区域的
ISIS的LSP报文携带ISIS路由器主机名,其它ISIS路由器能动态解析路
湖北电信城域网路由器设备配置规范总则
ISIS log邻居变化信息
第30页
规范要求:
配置说明:
中国电信湖北分公司
3.3.4.21配置范例
3.3.5.1概述
3.3.5BGP配置
配置ISIS log 邻居变化信息功能。
配置ISIS log邻居变化信息,记录ISIS邻居变化。
interface pos0/0/0
isis enable huangshi
isis circuit-level level-2
isis cost 3000 level-2
网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
IBGP运行在城域网核心层和业务接入控制层,承载用户路由。
interface gi1/0/0 #配置接口宣告
isis enable huangshi
isis circuit-level level-2
isis cost 3000 level-2 #配置cost值
isis small-hello #用来设置接口发送不加入填充字段的小型
Hello报文
isis circuit-type p2p #设置端口类型为P2P
isis huangshi #配置ISIS实例ID
set-overload on-startup 15 #可以选择数值或wait-for-bgp
is-name 40E #配置动态主机名
network-entity .00 #配置NET ID
log-peer-change #打开IS-IS邻接状态变化的输出开关
cost-style wide #配置接口开销类型为wide
is-level level-2 #配置路由器类型
maximum load-balancing 8 #配置负载均衡数为8
preference 150 #配置协议优先级,默认为150
timer lsp-max-age 65500 #设置为65500,本机有效
timer lsp-refresh 32768 #设置为32768,本机有效
timer spf 5 50 200 #路由计算最大延迟时间缺省值是5秒,初
次路由计算的延迟时间为50ms,两次路由计算之间的递增延迟时间为200ms。
EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域
3.3.5.2自治系统
#配置接口宣告
湖北电信城域网路由器设备配置规范总则
第31页
如下:
Multihop为255和BGP TTLSecurity检测。
中国电信湖北分公司
负载均衡数目:8。
各城域网AS号如下:
本地网
恩施
鄂州
黄冈
黄石
荆门
荆州
十堰
随州
武汉
襄樊
孝感
咸宁
仙桃
宜昌
关闭IGP与BGP的同步。
关闭BGP自动路由汇总特性。
关闭 bgp always-compare-med
AS
明确配置BGP router-id为Loopback 0地址。
开启BGP DAMPING,避免路由抑制对业务的影响。
城域网以ORIGIN IGP的方式对外发布路由。
宣告给163的城域网路由携带MED属性,设置MED=0。
记录BGP邻居变化。
3.3.5.3城域网BGP 部署策略
65122
65127
64923
64922
64926
65121
65128
65126
65120
64925
64924
64921
65123
64920
明确配置新式community格式。
BGP采用密码建立邻居关系(EBGP密码:电话区号_AS)。
根据需要确定BGP Multihop的TTL值,对大部分情况,配置EBGP
配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和
湖北电信所属城域网上布署的BGP采用私有自治系统号。各城域网AS号
湖北电信城域网路由器设备配置规范总则
第32页
TTL检测。
告路由。
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
中国电信湖北分公司
NETWORK宣告。
动选举的router-id。
配置BGP log 邻居变化信息。
3.3.5.7BGP邻居MD5加密
3.3.5.4BGP router-id配置
3.3.5.5BGP log邻居变化信息
3.3.5.6关闭BGP同步和自动汇总
BGP TIMER 参数keepalive和Holdtime定时器统一为60s与180s。
使用Loopback地址建立EBGP关系,不使用接口建立关系,启用EBGP
配置BGP邻居加密,确保建立安全的BGP邻居。
配置BGP router-id,唯一标识自治系统中的一台BGP路由器。
配置BGP log邻居变化信息,记录BGP邻居变化,方便排障和管理。
在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。
配置BGP router-id地址为loopback0接口的IP地址,不使用BGP协议自
配置BGP协议的同步和自动汇总功能,避免需要EBGP与IGP同步才能宣
湖北电信城域网路由器设备配置规范总则
第33页
80个。
180s。
配置规范:
配置要求:
配置说明:
规范要求:
配置说明:
规范要求:
3.3.5.10
中国电信湖北分公司
IBGP邻居不加密。
router bgp 65120
ipv4-family unicast
maximum load-balancing 8
3.3.5.9负载均衡配置
3.3.5.8BGP时间参数
开启IBGP multi-path 功能。
设置BGP keepalive时间为60s,holdtime时间为180s。
发送的存活报文,就认为这个邻居已死亡,从而结束会话。
Keepalive时间向邻居发送一个存活报文,如果Holdtime时间内没有必到邻居
阿朗默认BGP keepalive时间为30s,holdtime时间为90s。
EBGP邻居均采用MD5加密,密与CN2的密钥按CN2规范执行。
配置BGP协议的Keepalive和Holdtime定时器,一个BGP对等体每隔
密钥最大字符长度:CISCO 80个,华为16个,阿朗255个,REDBACK
CISCO、华为、REDBACK默认BGP keepalive时间为60s,holdtime时间为
到达相同网段的多个下一跳出现在FIB 中,通常能够达到出流量的负载均衡。
SR 从两台出口核心均学习到下发的默认路由,开启IBGP multi-path 后,
湖北电信城域网路由器设备配置规范总则
IBGP路由策略
第34页
ipv4-family vpnv4
规范要求:
配置说明:
3.3.5.11
中国电信湖北分公司
route-policy rpToRR permit node 10
if-match ip-prefix ipToRR
route-policy rpToRR deny node 20
城域网SR->CR:严格宣告该设备下挂所有用户的明细路由,建议掩码小于
24。
CR->SR:仅下发默认路由。
router #华为设备全局下配置ruter-id,如BGP下未另外配置,则沿用全局的
router-id配置
ip ip-prefix ipToRR index 10 permit X.X.X.X X #控制向CR发送的下挂用户路由的聚
合网段
ip ip-prefix ipDefault index 10 permit 0.0.0.0 0
bgp 65120 #城域网自治系统号
//上连RR的IBGP Peer Group 配置
group pgRR internal
peer pgRR connect-interface LoopBack0 #设置ibgp使用loopback0建立邻居
peer X.X.X.X as-number 65120
peer X.X.X.X group pgRR
peer X.X.X.X description To 1
peer X.X.X.X as-number 65120
peer X.X.X.X group pgRR
peer X.X.X.X description To 1
ipv4-family unicast
undo synchronization #关闭同步
dampening #dampening配置,采取默认值
preference 10 200 200 #第一个是ebgp优先级,第二是ibgp,第三个是本地起源的
bgp路由
maximum load-balancing 8 #负载均衡条目设置为8
peer pgRR enable
#import方向暂不做限制,接收RR发送的所有路由
peer pgRR route-policy rpToRR export
peer pgRR next-hop-local
peer X.X.X.X enable
peer X.X.X.X group pgRR
peer X.X.X.X enable
peer X.X.X.X group pgRR
peer pgRR enable
enable
group pgRR
policy vpn-target
配置范例
配置城域网 SR 与CR 之间的IBGP 路由策略
湖北电信城域网路由器设备配置规范总则
#
使能对接收到的VPN路由开启VPN-Target过滤功能
第35页
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
mpls命令用来使能所在接口的MPLS。
中国电信湖北分公司
enable
group pgRR
3.4.1MPLS全局配置
display mpls route-state
display mpls ldp lsp
bgp 65120
ipv4-family unicast
network 202.103.0.0 255.255.0.0
network 61.183.128.0 255.255.128.0
3.4MPLS标签配置规范
3.4.1.2MPLS router-id
3.4.1.1全局开启MPLS功能
//VPN用户路由的发布
bgp 65120
ipv4-family vpn-instance CTVPN2600000-GongHang
network 192.168.0.0 255.255.255.0
开启 MPLS 功能,在全局和接口模式下起用LDP 协议。
[sysname] mpls #全局使能MPLS
[sysname-mpls] quit
[sysname] mpls ldp #全局使能LDP
//用户路由的汇总发布
ip route-static 202.103.0.0 255.255.0.0 NULL0 preference 199 tag 65120
ip route-static 61.183.128.0 255.255.128.0 NULL0 preference 199 tag 65120
配置LSR ID(即MPLS router-id)时,请注意以下情况:
的IPv4地址作为LSR ID。
LSR ID与两字节的标签空间序号一起构成LDP Identifier,用
LSR ID使用IPv4地址格式,在MPLS域内唯一。使用Loopback接口
湖北电信城域网路由器设备配置规范总则
在 NE40E 系统视图下,mpls 命令用来进入MPLS 视图。在接口视图下,
第36页
配置说明:
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
认证,LDP涉及到多种设备兼容问题,暂不作协议加密配置。
LSR。即,标签由下游指定,标签的分配按从下游到上游的方向分发。
中国电信湖北分公司
3.4.2LDP协议配置
1. 标签发布方式
3.4.1.3配置范例
display mpls route-state
[sysname] mpls lsr-id *.*.*.*
不作协议加密配置。
3.4.2.1LDP协议加密
[sysname] mpls #全局使能MPLS
[sysname-mpls] quit
[sysname] mpls ldp #全局使能LDP
[sysname] mpls lsr-id *.*.*.* #配置LOOPBACK0地址为LSR-ID
根据需要配置LOOPBACK0为LSR-ID。
缺省情况下,不对LDP的TCP连接进行MD5认证。
3.4.2.2LDP标签发布和管理
标签发布方式(Label Advertisement Mode)分为两种:
下游自主方式DU(Downstream Unsolicited):对于一个特定的
在MPLS体系中,由下游LSR决定将标签分配给特定FEC,再通知上游
为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5
FEC,LSR无须从上游获得标签请求消息即进行标签分配与分
湖北电信城域网路由器设备配置规范总则
于标识此LSR使用的标签空间,并用于LSR之间建立和维持LDP会话。
第37页
发。
规范要求:
下游标签之前就发布了上游标签;
论邻居LSR是不是自己的下一跳都保留;
只有当邻居LSR是自己的下一跳时才保留。
FEC,LSR获得标签请求消息之后才进行标签分配与分发。
只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就
的LSR通告标签映射(标签与FEC的绑定)。这种方式可能导致在收到
方式达成一致,否则LSP无法正常建立。
签,节省了内存和标签空间,但LSP的重建会比较慢。
中国电信湖北分公司
3. 标签保持方式
2. 标签分配控制方式
用不到的标签映射的处理方式。
标签保持方式也分为两种:
式为有序方式ordered;标签保持方式为自由方式liberal。
标签分配控制方式(Label Distribution Control Mode)分为两种:
下游按需方式DoD(Downstream on Demand):对于一个特定的
有序标签控制方式(Ordered):对于LSR上某个FEC的标签映射,
自由标签保持方式(Liberal):对于从邻居LSR收到的标签映射,无
标签保持方式(Label Retention Mode)是指LSR对收到的、但目前暂时
独立标签分配控制(Independent):LSR可以在任意时间向与它连接
具有标签分发邻接关系的上游LSR和下游LSR之间必须对使用的标签发布
标签空间; 而使用保守标签保持方式,由于LSR只保留了来自下一跳邻居的标
直接利用原来非下一跳邻居发来的标签,迅速重建LSP,但就需要更多的内存和
保守标签保持方式通常与DoD方式一起,用于标签空间有限的LSR。
当网络拓扑变化引起下一跳邻居改变时,使用自由标签保持方式,LSR可以
默认情况下,CISCO、华为标签发布方式为下游自主DU,标签分配控制方
湖北电信城域网路由器设备配置规范总则
是此FEC的出口节点时,该LSR才可以向上游发送此FEC的标签映射。
保守标签保持方式(Conservative):对于从邻居LSR收到的标签映射,
第38页
配置说明:
配置范例:
规范要求:
配置说明:
由项不能触发建立LSP。
滤的IGP路由项将可以触发LDP建立LSP,被IP地址前缀列表拒绝的IGP路
中国电信湖北分公司
3.5网管配置
3.5.1SNMP管理代理配置
mpls
mpls ldp
interface Gi1/0/0 #进入接口视图
mpls
mpls ldp advertisement { dod | du }
du
mpls ldp
quit
标签发布和管理方式使用默认设置。
3.5.1.1SNMP版本
3.4.2.3LDP邻居过滤
SNMP v3。v2c增加通知特性,V3版本增加MD5加密特性。
配置IP地址前缀列表过滤32位地址的IP路由触发LDP建立LSP。
mpls ldp #进入MPLS LDP视图
label-distribution { independent | ordered } #配置标签分配控制方式,缺
省
label-retention { liberal | conservative } #配置标签保持方式,缺省
mpls ldp timer keepalive-hold interval #配置远端会话保持定时器,缺
省
#进入MPLS LDP视图
#配置LDP的标签发布方式,缺省为
#接口下使能开启ldp
#退回到全局视图
#配置标签过滤列表,只允许主机路由触发LDP建立LSP通道
ip ip-prefix plLspFilter index 10 permit 0.0.0.0 32 greater-equal 32 less-equal 32
mpls
lsp-trigger ip-prefix plLspFilter
目前路由器系统中的SNMP Agent支持标准网管SNMP v1、SNMP v2c和
湖北电信城域网路由器设备配置规范总则
设置建立LSP的策略,通过32位地址的IP路由或通过IP地址前缀列表过
第39页
设备进行配置。
配置说明:
3.5.1.2RO Community值
3.5.1.3RW Community值
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
(Community Name)。
造为具备更高安全性的V3版本。
组成,用于提高SNMP协议安全。
地市的community保持现状。
具有写权限的的团体可以对设备进行配置。
SNMP实体的引擎ID(snmp-agent local-engineid)。
备信息,设备信息可以是IP地址、MAC地址或自己定义的十六进制数字串。
有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对
一配置设备的SNMP WR COMMNITY为
*******
。
报文将被丢弃。SNMP团体(Community)由一字符串来命名,称为团体名
为了统一规范考虑,要求统一配置为V2版本,将来具备条件时再统一改
不同的团体可具有只读(read-only)或读写(read-write)访问模式。具
SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP
本地SNMP实体的引擎ID是个十六进制数字串。缺省为公司的企业号+设
配置community字符串不要过于简单,一般应由字母、数字及特殊字符等
启动SNMP Agent服务后,系统会自动配置SNMP协议的版本和本地
现阶段不建议开启SNMP 写功能,若需开启SNMP写功能,建议规范、统
3.5.1.4SNMP访问控制列表
湖北电信城域网路由器设备配置规范总则
配置SNMP的community为只读模式,增加省公司的community字符串,
第40页
问设备。
属性。
配置范例:
规范要求:
配置说明:
中国电信湖北分公司
acl number 2005
设置ifIndex的一致性。
而改变。这时,可以通过配置接口索引固定特性,来满足这一需求。
snmp-agent #启动SNMP Agent服务
snmp-agent sys-info version all # SNMPv1、SNMPv2C、SNMPv3版本都使能
snmp-agent community read *****-ipnms acl 2005 #设置只读团体名及访问权限
snmp-agent community write *****-ipnms-rw acl 2005 #设置可写团体名及访问
权限
的数字。通过网管工作站的客户端软件,可以看到路由器每个接口的IfIndex
件配置或软件配置改动时,都有可能会引起同一个接口的Ifindex发生改变。
必须固定,不会受到接口的增加、删除、系统重启或者软硬件配置变化的影响
但在某些应用环境中,比如使用接口索引作为计费的依据,要求接口的索引值
ifindex constant #使能接口索引固定特性
set constant-ifindex max-number
number
#设置索引固定的接口最大数量
set constant-ifindex subinterface { dense-mode | sparse-mode } #设置子接口索
引的内存分配模式
rule 10 permit source X.X.X.X X.X.X.X
rule 20 permit source X.X.X.X X.X.X.X
rule 30 permit source X.X.X.X X.X.X.X
rule 99 deny any
3.5.2故障管理配置
开启SNMP接口索引特性。
3.5.1.5 Ifindex索引一致性
开启SNMP接口索引特性。
对SNMP增加ACL访问列表,只允许指定的IP地址能通过SNMP协议访
一般情况下,同一个接口的索引序号不是固定的。例如当路由器重启、硬
在SNMP中,接口索引号(Ifindex)是一个用来标识物理接口或逻辑接口
湖北电信城域网路由器设备配置规范总则
#允许下列信任主机访问SNMP-AGENT
第41页
务器地址。
状况信息。
是稳定的接口。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
备配置发生变化等告警信息。
中国电信湖北分公司
TRAP的默认端口是UDP162。
3.5.2.4SYSLOG服务器地址
3.5.2.1SNMP TRAP信息内容
3.5.2.3SNMP TRAP消息源地址
3.5.2.2SNMP TRAP 服务器地址
SYSLOG服务器地址为:58.53.191.131、58.53.191.132。
通过指定SNMP TRAP服务器地址,将TRAP信息发送给指定的服务器,
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧
配置发送SNMP TRAP消息源的IP地址,需要使用稳定的接口,loopback
开启SNMP TRAP功能,配置省网管SNMP TRAP服务器地址,及地市的服
开启Trap采用SNMP V2C版本,记录接口的状态变化,协议状态变化,设
配置SYSLOG服务器地址,发送日志到指定的服务器。
统一配置SNMP TRAP消息源地址为设备LOOPBACK0接口。
急的重要事件。如果需要路由器主动发送这些信息,就必须配置Trap功能。
建议配置省公司和地市两个LOG服务器记录设备的LOG。指定省公司
湖北电信城域网路由器设备配置规范总则
第42页
IP地址。
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
越紧急其信息级别越小,emergencies表示的等级为1,debugging为8。
要求统一SYSLOG消息源地址为路由器LOOPBACK0地址。
3.5.2.6SYSLOG消息源地址
对于level5(warnings)及其以下级别的log信息发往syslog服务器。
3.5.2.7配置范例
3.5.2.5SYSLOG信息级别
snmp-agent trap enable ospf
snmp-agent trap enable bgp
snmp-agent trap enable configuration
snmp-agent trap enable system
snmp-agent target-host trap address udp-domain X.X.X.X params securityname XXX v2c
snmp-agent trap source LoopBack0 #指定发送Trap的源接口
info-center loghost 58.53.191.131
info-center loghost 58.53.191.132
设置信息级别level,禁止信息级别大于所设置的severity的信息输出。
从一台路由器发出的日志消息,默认的源地址是发送该日志消息的接口的
info-center source default channel 2 log level warning #对于level5(warnings)及其以
湖北电信城域网路由器设备配置规范总则
一般情况下,按信息的严重等级或紧急程度划分为八个级别,如下表所示,
第43页
中国电信湖北分公司
检查命令:
disp cu | i snmp
display snmp-agent sys-info
display snmp-agent community
display snmp-agent statistics
3.6.1QOS体系
3.6QoS配置规范
于DiffServ为主的QOS技术提供基本的QoS保证。
下级别的log信息发往syslog服务器
info-center loghost source LoopBack0 #设置发送信息的源地址
info-center timestamp debugging date #设置输出的调试/告警/日志信息中时间戳格式
3.6.2采取的QOS策略
为满足不同用户和不同业务差异化承载的需要,IP 城域网骨干网采取以基
湖北电信城域网路由器设备配置规范总则
第44页
务
等级名称
互联网业务
高等级业务
自营关键业
中国电信湖北分公司
000
10,001
100,110
城域网标记(IP
性,对进入ChinaNet流量标记为0。
的分类和三层QoS 标记(DSCP或EXP)。
3.6.2.2队列调度
000
PRE/EXP/802.1p)
PRE/EXP)
100,110
,010,001
CN2标记(IP
3.6.2.1分类与标记
2)在接入网设备划分不同的VLAN,实现业务的区分、标记。
3)城域网出口路由器对进出CN2流量不必重写,即要求保持等级标签的一致
1)在BRAS和SR上根据根据物理端口、逻辑子端口或CoS 位完成对接入用户
设备根据IP优先级标记实现3个队列的优先级调度功能。策略如下:
IP城域骨干网的QOS策略与CN2骨干网、ChinaNet骨干网统筹考虑,城
域网标记与CN2保持一致,只按照IP PRE/EXP/802.1P进行划分,具体如下:
2)在发生拥塞情况下,按照业务等级高、丢弃概率低的原则进行丢弃,优
1)各等级可达到承诺带宽,在有空闲带宽时,某等级的流量最大可突发至
网络压力,从而保证高等级的业务质量。
111,101,011,0
111,101,011
图表1 城域网QoS等级
轮询队列2
轮询队列1
发流量超过允许的突发带宽时,超出部分的流量将被丢弃。
严格优先队列
城域骨干网队
列类型(参考)
该等级以及以上等级所购带宽的总和(即最大承诺可突发带宽)。在突
湖北电信城域网路由器设备配置规范总则
先对低等级的流量提前丢包,使低等级的业务放慢流量发送速度,降低
互联网业务
营视频业务
网络控制信息
3G/软交换语音/
大客户业务,自
业务类型(参考)
第45页
0
4,6
7,5,3,2,1
IP PRE/802.1p
DSCP到队列的映射
dscp-map 8 af2
dscp-map 12 be
dscp-map 14 be
dscp-map 18 be
dscp-map 20 be
dscp-map 22 be
dscp-map 24 af2
dscp-map 26 be
dscp-map 28 be
dscp-map 30 be
dscp-map 32 ef
dscp-map 34 be
dscp-map 36 be
dscp-map 38 be
dscp-map 40 af3
dscp-map 46 be
dscp-map 48 af4
dscp-map 56 af3
中国电信湖北分公司
20%
50%
30%
3.6.3配置举例
3.6.2.3限速和整形
下行速率限制。
带宽保证丢包
阈值等,GE/10GE端口有效)如下:
定义流和流所占带宽的权重
traffic flowNM cdr 2000 cbs 12288 weight 1
traffic flowVIP weight 10
traffic flowNGN weight 10
traffic flowIPTV weight 30
traffic flowdefault weight 49
出端口上将队列与已经定义的流带宽权重进行关联
interface GigabitEthernet1/1/1
Drop Tail策略
2)在BRAS和SR上作用户下行流量的整形。
Network端口的QoS配置参数(主要是带宽分配、优先级、缓冲和WRED
湖北电信城域网路由器设备配置规范总则
丢包参数:Min=30%*B,Max=B,Min开始丢包,
Max完全丢包。B为缓冲区长度。
丢包参数:Min=80%*B,Max=B,Min开始丢包,
Max完全丢包。B为缓冲区长度。
1)在接入网设备上对接入用户的上行速率进行限制,在BRAS上作用户的
第46页
检查命令
display dscp-map
display traffic
配置验证:
配置规范:
规范要求:
配置说明:
中国电信湖北分公司
入端口信任DSCP标
interface GigabitEthernet1/1/2
diffserv enable
3.7组播配置规范
3.7.2组播配置
3.7.1组播概述
启用组播sparse模式。
pim sm
rp-address *.*.*.*
diffserv output-queue be flowdefault
diffserv output-queue af2 flowVIP
diffserv output-queue af3 flowIPTV
diffserv output-queue af4 flowNM
diffserv output-queue ef flowNGN
对分散、范围较广、大规模的网络。
配置全局和接口启用组播,接口启用组播sparse模式。
一个分离的组播路由表实现组播转发,PIM分为sparse模式和dense模式,
收者(一次的,同时的)的网络技术。PIM不依赖于某一特定单播路由协议,
它可利用各种单播路由协议建立的单播路由表完成RPF检查功能,而不是维护
dense模式采用全网泛洪的方式构造组播路由表,sparse适用于组成员分布相
组播是一种允许一个或多个发送者(组播源)发送单一的数据包到多个接
interface Gi0/0/0
pim sm
multicast routing-enable
#全局启用组播sparse 模式
湖北电信城域网路由器设备配置规范总则
#全局配置,启用分布式组播路由
#接口启用组播sparse 模式
第47页
中国电信湖北分公司
display pim interface
display pim neighbor
display pim routing-table
湖北电信城域网路由器设备配置规范总则
第48页
2024年4月28日发(作者:后海)
配置规范
湖北电信城域网SR路由器
华为NE40E设备
中国电信湖北分公司
2011年7月
项目编号
版本号
V1.0
填写在“主要更新内容”中。
中国电信湖北分公司
编制人/时间
版本更新说明
审核人/时间
V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《湖北电信
城域网SR路由器华为NE40E-X16设备配置规范-VX.X-YYYYMMDD》,修订说明
简篪
/20110708
主要更新内容
初稿
湖北电信城域网路由器设备配置规范总则
文档编
号
第1页
湖北电信城域网路由器设备配置规范总则
目 录
第1章
1.1
1.2
第2章
2.1
2.1.1
2.1.2
2.2
2.2.1
2.2.2
2.2.3
2.2.4
第3章
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.3
3.3.1
概述.................................................................................................................................1
术语和缩写语表.............................................................................................................1
网络结构说明.................................................................................................................3
IP城域网网络设备命名及链路描述规范....................................................................4
设备命名规范.................................................................................................................4
适用范围
.....................................................................................................................4
设备命名规范格式
.....................................................................................................4
端口描述规范.................................................................................................................5
环回接口描述
.............................................................................................................5
网络接口描述规范
.....................................................................................................6
用户端口
.....................................................................................................................7
空闲端口
.....................................................................................................................8
华为SR设备基本配置规范..........................................................................................9
系统基本配置规范.........................................................................................................9
设备名称配置
.............................................................................................................9
Banner配置
...............................................................................................................9
设备自身时间及NTP
.................................................................................................9
Telnet配置
...............................................................................................................11
AAA配置
...................................................................................................................13
VRF配置
...................................................................................................................16
系统高可靠性配置
...................................................................................................17
端口配置规范...............................................................................................................18
MTU值设计
..............................................................................................................18
Loopback接口配置
.................................................................................................18
GE接口配置
.............................................................................................................18
GE子接口接口配置
.................................................................................................21
端口镜像配置
...........................................................................................................22
路由协议配置规范.......................................................................................................22
城域网路由架构概述
...............................................................................................22
第2页
中国电信湖北分公司
湖北电信城域网路由器设备配置规范总则
3.3.2
3.3.3
3.3.4
3.3.5
3.4
路由优先级/管理距离
.............................................................................................23
静态路由配置
...........................................................................................................23
ISIS配置
..................................................................................................................24
BGP配置
...................................................................................................................30
MPLS标签配置规范.........................................................................................................35
3.4.1
3.4.2
3.5
3.5.1
3.5.2
3.6
MPLS全局配置
........................................................................................................35
LDP协议配置
...........................................................................................................36
网管配置.......................................................................................................................38
SNMP管理代理配置
................................................................................................38
故障管理配置
...........................................................................................................40
Q
O
S配置规范....................................................................................................................43
3.6.1
3.6.2
3.6.3
3.7
3.7.1
3.7.2
QOS体系
..................................................................................................................43
采取的QOS策略
.....................................................................................................43
配置举例
...................................................................................................................44
组播配置规范...............................................................................................................45
组播概述
...................................................................................................................45
组播配置
...................................................................................................................45
中国电信湖北分公司
第3页
AS
范。
CE
CR
ACL
AAA
BGP
CAR
中国电信湖北分公司
供总体技术特性介绍。
第1章概述
1.1术语和缩写语表
本文主要内容安排如下:
全配置、路由协议配置、网管配置等。
3.提出文档维护和执行的管理要求。
下表中未说明的术语和缩写,应做业界标准或惯例理解。
1.介绍城域网优化目标网络结构以及SR 在城域网中的功能定位;
的配置示例。针对SR 设备,网络配置主要包括系统基本配置、端口配置、安
城域网网络设备配置的相关规范标准,目的是为城域网配置规范各设备分册提
发生错误的概率也在增加,因此很有必要对城域网网络设备的网络配置予以规
网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置
的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于
面的功能和特性,实现网络的互通,保证网络具备预期的业务承载能力。同样
络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层
在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于
本篇是针对城域网路由器设备配置规范制定的总体原则,用于总结性描述
为保证城域网的运行质量,实现易维护、可管理、集中维护的需要,必须
2.从网络配置方面阐述配置说明以及规范要求,并给出主流SR 型号设备
Core Router 核心路由器
Customer Edge 客户边缘设备
Autonomous System 自治系统
ted Access Rate 承诺访问速率
Access Control List 访问控制列表
Boarder Gateway Protocol 边界网关协议
Autentication Authorization and Accounting 认证、授权与计费
湖北电信城域网路由器设备配置规范总则
第1页
IP
PE
SR
GE
RR
HA
GR
LSP
PPP
LSR
LDP
MIB
NSF
FRR
NTP
QoS
POS
NSR
ISIS
SDH
OAM
RSVP
OSPF
MPLS
DSCP
HDLC
DDoS
SNMP
CRS-1
H-QOS
DiffServ
MP-BGP
中国电信湖北分公司
Network Time Protocol
Carrier Routing System
Open Shortest Path First
Fast Re-route 快速重路由
High Availability 高可用性
Service Router 业务路由器
Quality of Service 服务质量
Route Reflector 路由反射器
Graceful Restart 平滑重启动
Hierarchical Quality of Servie
Internet Protocol 互联网协议
Non Stop Routing 不间断路由
Gigabyte Ethernet 千兆以太网
Provider Edge 运营商边缘设备
Differentiated Services 差分服务
Non Stop Fowarding 不间断转发
Packet over SDH SDH封装数据包
Label Switching Path 标记交换路径
Point to Point Protocol 点到点协议
Label Switch Router 标记交换路由器
Label Distribution Protocol 标记分发协议
High Data Link Control 高级数据链路控制
SymMetric Digital Hierarchy 同步数字序列
Management Information Base 管理信息库
Resource Reservation Protocol 资源预留协议
Distributed Deny of Service 分布式拒绝服务攻击
Multiple Protocol Label Switching 多协议标签交换
Differentiated Service Code Point 差分服务代码点
Inter System to Inter System 中间系统到中间系统
Operation Administration and Maintenance 操作维护管理
Simple Network Management Protocol 简单网络管理协议
Multi-protocol Boarder Gate Protocol 多协议边界网关协议
湖北电信城域网路由器设备配置规范总则
第2页
TE
……
TCP
VRF
VPN
UDP
VPLS
uRPF
VRRP
下行流量
上行流量
的重要环节。
中国电信湖北分公司
……
1.2网络结构说明
用户收到的流量
用户发出的流量
Traffic Engineering 流量工程
Virtual Private Network虚拟专用网
User Data Protocol 用户数据报协议
Reverse Path Fowarding 反向路径转发
Transfer Control Protocol 传输控制协议
Virtual Private LAN Service 虚拟专用局域网业务
Virtual Routing and Forwarding 虚拟路由转发实例
Virtual Routing Redundancy Protocol 虚拟路由冗余协议
中的业务提供和控制,BRAS 和SR 作为业务接入控制层组成部分,是IP 城
经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨
干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)
接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集
及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务
域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标
湖北电信城域网路由器设备配置规范总则
第3页
IP业业
业
业业
业业业
业业业
业业
业业业
中国电信湖北分公司
业业业业业业业
业业业
业业业
业业
业业业
DSLAM
ChinaNet骨干网
BRAS
CPE
业业业业业
楼道交换机
业业业
骨干路由器
(可级连)
湖北电信城域网路由器设备配置规范总则
业业业业业/MSTP /RPR
(业业业)
终端
MAN SR
CN2 SR
CN2骨干网
第4页
符号
字符
数
选项
<6
-
1
DSLAM
必选
字符
城市
缩写
中国电信湖北分公司
SR设备
BRAS设备
楼道交换机
园区交换机
汇聚交换机
路由反射器
汇聚路由器
PON相关设备
2.1.1适用范围
必选
<8
必选
字符
节点
缩写
字符
2.1设备命名规范
出口核心路由器
2.1.2设备命名规范格式
用数字和字母。
-
1
≤3
必选必选
-
1
必选
字符字符
设备
属性
字符
第2章IP城域网网络设备命名及链路描述规范
县缩写,取县名称拼音的首字母大写。
≤4
-
1
字符
网络
(业务)
类型
必选必选
字符
≤7
可选
字符
设备
型号
.
1
可选
字符
字母大小需要采用统一标准,全部大写。
城市缩写,取城市名称拼音的首字母大写,如WH。
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
节点缩写,取节点名称拼音的首字母大写,如城市、县及两节点的首
3
除了已标出的符号,各标识两端、中间不带任何空格、符号,只能采
字母均有重叠,分两种情况,当后一个字不同时则后一个取全拼,当
可选
数字
设备
序号
湖北电信城域网路由器设备配置规范总则
第5页
格式示例:
OLT:OLT
中国电信湖北分公司
ONU:ONU
Dslam:DSL
BRAS:BAS
城域网:MAN
网络类型:
业务路由器:SR
汇聚路由器:BR
楼道交换机:LSW
园区交换机:ASW
汇聚交换机:DSW
由器。
|
城域网二平面:M2N
2.2端口描述规范
2.2.1环回接口描述
设备属性,规定如下:
后一个字相同时则前一个字取全拼。
设备编号,取阿拉伯数字,从1开始。
出口路由器:CR,如汇聚路由器兼做出口路由器则用CR
别称:只能为字母和数字,各地市根据组网按需规划。
湖北电信城域网路由器设备配置规范总则
示例:40E,代表武汉市中北路节点用于城域
网SR路由器第一台设备,设备别称为NE40E,代表华为 NE40E路
符号
字符数
选项
For
3
必选
字符
-
1
必选
字符
功能描述
字符串
≤30
必选
第6页
|
数
选项
字符
符号
示例:
说明:
3
Management、Multicast、VPN、Global Routing、BGP Load balance等。
中国电信湖北分公司
interface Loopback0
For:固定字符串。
description For-Management
2.2.2.1适用范围
uT:(上行)pT:(平行)
dT:(下行)
2.2.2网络接口描述规范
ipv4 address 221.235.39.247/32
最多64个字符,5200G最多80个字符;
2.2.2.2端口描述包含下面几部分
REDBACK:SE800接口描述最多63个字符;
CISCO:CRS、GSR接口描述最多80个字符;
阿尔卡特:SR7750接口描述最多160个字符;
必选
名称
对端设备
:
字符
≤20
必选
(链路传输
编号)类型
对端端口
字符
1
选
必
符
字
≤15
必选
字符
≤10
必选
字符
“对端端口类型”要根据对端不同设备类型进行区分规范,
标志
“对端端口标志”表示链路对端设备对应端口的具体标志规范,
华为:NE5000E接口描述最多242个字符,NE80最多80个字符,ME60
对端端口
符
≤8
数字/字
功能描述:描述该loopback端口特殊功能,为有意义的英文字符串。如:
湖北电信城域网路由器设备配置规范总则
可选
(VR)
≤10
可选
字符
本部分适用于城域网设备的互连接口描述。各厂家设备接口描述最大字符:
第7页
|
符号
字符数
选项
说明:
例子:
中国电信湖北分公司
端口类型如下表:
2.2.3用户端口
务后取消“::PROCESSING”。
To:固定字符串;
本地专线号或者接入电路号
端口类型
字符
根据实际情况
必选
格式: 专线号 To用户标识
本地专线号或者接入电路号
POS(2.5G)
POS(40G)
POS(10G)
以太(GE)
以太(10GE)
uT:
1
:(Local)10GE0/0/1/0::PROCESSING
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途
“(链路传输编号)”表示链路的传输号,如果同机房内设备互连无传输编号,
VPN电路,需要添加本地接入电路号。另外,建议添加用户名称等如下信息。
则为(Local)。调测期间的链路描述最后增加“::PROCESSING”,调测完成加业
其中用户名为小写,用户性质见下表规参照下表进行规定。
字符
1
必选
空格
湖北电信城域网路由器设备配置规范总则
证券
银行
团体
政府
网吧
To
字符
2
必选
10GE*/*/*
字符
1
必选
空格用户标识
字符
≤20
必选
字符
1
必选
空格分配带宽
字符
≤5
必选
公司
CORP
端口描述
OC48POS*/*/*
40GPOS*/*/*
10GPOS*/*/*
SECU
BANK
COMM
GOVE
NETB
GE*/*/*
用户标识:有意义的汉语拼音和语音组成的字符串,用户名.用户性质,
第8页
中国电信湖北分公司
X科技公司,使用3M带宽。
2.2.4空闲端口
中小学
大学
SCHO
UNIV
示例: G2810001 To 3M ,表示专线号G2810001的用户为
湖北电信城域网路由器设备配置规范总则
规范要求设备上的所有空闲未用的端口统统一shutdown,便于网管监控。
第9页
规定。
配置验证:
配置规范:
规范要求:
配置说明:
配置规范:
规范要求:
配置说明:
disconnect IMMEDIATELY if you are not an authorised user!
中国电信湖北分公司
Banner motd语言。
3.1系统基本配置规范
3.1.2Banner配置
3.1.1设备名称配置
备进行区分,方便设备管理,提高可读性和可管理性。
3.1.3设备自身时间及NTP
[sysname] sysname 40E
第3章华为SR设备基本配置规范
登陆路由器时应看到banner提示。
所有路由器配置统一的Banner信息,登陆时提示:
WARNING!!! Authorised access only, all of your done will be recorded!
在连接到路由器,输入用户名称和口令之前,系统显示的提示信息,统一
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中
[sysname] #Banner motd “ WARNING!!! Authorised access only, disconnect
IMMEDIATELY if you are not an authorised user! ”
[sysname] #
湖北电信城域网路由器设备配置规范总则
第10页
SERVER;
配置规范:
display clock
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
中国电信湖北分公司
3.1.3.1时区配置
统一设备的时区配置。
3.1.3.2NTP时间
以下设备则配置向出口路由器进行时钟同步。
于时间限制带宽等,都需要基于正确的时间。
配置系统时区为GMT+8,北京时区。
指定本地发出NTP消息的接口。
钟)同步网络上所有设备的时间,保证网络设备得到正确的时间。
V3,指定本地发出NTP消息的接口loopback0。
城域网配置主和备两组NTP服务器,并分为两级结构:
[sysname] clock timezone GMT minus 08:00:00 #在用户模式下配置
钟;城域网出口做为NTP SERVER,配置NTP 所在主时钟层数为默认,出口
ntp-service source-interface LoopBack0
ntp-service unicast-server 202.97.32.72 preference #优选其中一台出口为NTP
SERVER
ntp-service unicast-server 202.97.32.73 #另一台出口为备用NTP
骨干设备武汉C1, 武汉C2作为湖北省内城域网出口路由器的NTP
配置NTP服务器更新设备硬件时间,配置主和备两组NTP服务器,版本
城域网出口作为NTP CLIENT,配置与202.97.32.72 , 202.97.32.73同步时
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期(最短10分
湖北电信城域网路由器设备配置规范总则
第11页
地址。
SERVER
配置验证:
配置规范:
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
设备交换消息包。
display clock
display ntp-service status
display ntp-service session
display clock
display ntp-service status
display ntp-service session
3.1.4Telnet配置
3.1.4.1连接数限制
ntp-service source-interface LoopBack0
连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
配置SR路由器Telnet最大连接数限制为5个。
指定设备的接口IP做为NTP消息包的源IP地址,使用该IP与其它NTP
城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源
对同时远程登陆到设备上的session数进行限制,可以防止大量的session
user-interface maximum-vty 5
3.1.3.3NTP消息源地址
湖北电信城域网路由器设备配置规范总则
第12页
网段。
法登陆尝试。
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
配置规范:
规范要求:
中国电信湖北分公司
配置注意细节:
user-interface aux 0
idle-timeout 10 0
user-interface vty 0 4
idle-timeout 10 0
3.1.4.2空闲时间
user-interface console 0
idle-timeout 10 0
disp curr | b user-interface
止未被授权的人员在操作员离开后进行非法操作。
华为及CISCO设备 VTY连接数限制默认为5,7750为7,按默认配置。
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防
配置Telnet源地址限制,包含省公司地址和最小化的地市网管中心维护IP
acl number 2000
description this acl is used telnet
rule 10 permit /y
rule 20 permit /y
rule 30 permit /y
display user-interface maximum-vty
3.1.4.3TELNET访问控制列表
湖北电信城域网路由器设备配置规范总则
对VTY、Console、AUX登录超时设置进行配置,设置空闲时间为10分钟。
第13页
hwtacacs。
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
3.1.5AAA配置
disp acl 2000
disp curr | b user-interface
远程登录设备测试
rule 3000 deny source any
#
user-interface vty 0 4
authentication-mode aaa
acl 2000 inbound
Tacacs+服务器地址:*.*.*.*,认证密钥为XXX。
配置 AAA 消息数据包源地址。
有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只
指定出口路由器 AAA 消息数据包源地址为Loopback0 接口地址。
3.1.5.2AAA消息数据包源地址
3.1.5.1AAA服务器IP地址和端口号
根据AAA认证服务器的类型指定采用Tacacs+认证。华为设备使用
3.1.5.3认证模式
#设置telnet用户通过AAA认证登陆
#设置VTY口登录控制列表为2000
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,
例:指定Tacacs+服务器地址为:*.*.*.*,认证密钥为XXX。并增加备用
以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路
配置AAA服务器方便后台统一管理,Tacacs+协议支持使用MD5算法来加
湖北电信城域网路由器设备配置规范总则
第14页
进行认证
记录。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
CONSOLE口仅允许本地帐号认证,不使用AAA服务器认证。
用户帐号admin,设置最高权限,使用省公司统一指定的密码。路由器的
中国电信湖北分公司
用户分3个等级:
3级全部操作权限。
3.1.5.5审计模式
3.1.5.4授权模式
2级具有1级的查看权限、配置接口权限;
3.1.5.6本地用户帐号
由器在认证一个用户时使用。认证模式一般为本地认证和远程服务器认证。
一个用户能访问什么服务。配置由先本地用户授权,后TACACS服务器授权。
事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐
设置最高权限的本地账号,用于应急登陆。
1级只具有一般的查看权限,不具有查看配置权限;
配置Tacacs+服务器对登陆设备的用户进行审计记录。
配置认证方式顺序为为首先使用Tacacs+服务器,其次选用本地用户信息
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者
配置由首先TACACS服务器授权,其次本地用户授权,用户分3个等级。
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。配置本地
湖北电信城域网路由器设备配置规范总则
第15页
中国电信湖北分公司
3.1.5.7配置范例
domain default
authentication-scheme hwtacacs
authorization-scheme hwtacacs
#配置计费方案hwtacacs,使用tac服务器进行计费。
accounting-scheme hwtacacs
accounting-mode hwtacacs
hwtacacs-server template hbnoc
hwtacacs-server authentication
58.53.191.55
hwtacacs-server authentication
58.53.191.46
secondary
hwtacacs-server authorization
58.53.191.55
hwtacacs-server authorization
58.53.191.46
secondary
hwtacacs-server accounting
58.53.191.55
hwtacacs-server accounting
58.53.191.46
secondary
hwtacacs-server
hwtacacs-server shared-key ****
undo hwtacacs-server user-name domain-included
#配置缺省域defaul,域的认证方案、计费方案、授权方案名称都为
hwtacacs。
#配置授权方案hwtacacs,先采用tac服务器授权,后采用本地用户授权。
authorization-scheme hwtacacs
authorization-mode hwtacacs local
#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。
system recording-scheme hwtacacs
#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户
端
的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。
outbound recording-scheme hwtacacs
#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备
情
况进行记录,对监控和故障处理有一定的帮助。
cmd recording-scheme hwtacacs
#配置记录方案hwtacacs,与记录方法关联的hwtacacs服务器模板的名称为上
面配置的hwtacacs。注意:在使用recording-mode hwtacacs命令前,
hwtacacs
服务器模板必须已经创建完成。
recording-scheme hwtacacs
recording-mode hwtacacs hbnoc
#配置HWTACACS服务器模板hbnoc,源地址为设备LOOPBACK0地址,密钥为
****,用户名格式中不包括域名。
aaa #进入AAA视图
#配置认证方案hwtacacs,认证模式先采用tac服务器认证,后采用本地认证。
authentication-scheme hwtacacs
authentication-mode hwtacacs local
湖北电信城域网路由器设备配置规范总则
第16页
”+序号
规范要求:
配置说明:
规范要求:
配置说明:
简称,以省为单位统一。命名格式:CTVPN+专网号+“-”+客户名简称+“-
中国电信湖北分公司
配置 VRF 实例。
3.1.6VRF配置
CTVPN2600000-Gonghang。
3.1.6.2设备RD
user-interface con 0
authentication-mode aaa
3.1.6.1VRF命名
accounting-scheme hwtacacs
hwtacacs-server hbnoc
用资源格式可为:4809: YYYYYY。
#规范本地level 3 的帐号:
local-aaa-server
user admin password cipher ******
user admin level 15
user admin authentication-type A
检查:
display authentication-scheme hwtacacs
display authentication-scheme hwtacacs
display authorization-scheme hwtacacs
display hwtacacs-server template hbnoc
display domain default
display local-user
//设置con口采用aaa认证模式
在相应 VRF 实例下指定RD 号。
示例:工商银行VPN网号为CTVPN2600000,该VPN的VRF名称为:
创建 VRF 实例,VRF描述使用简短、直观字符串描述客户信息,含客户
按照 RD 号规划设置RD。现网已配置的保持不变,新配置VRF的RD使
湖北电信城域网路由器设备配置规范总则
第17页
配原则如下:
配置规范:
3.1.6.3设备RT
3.1.6.4配置范例
对于any-to-any的VPN客户, RT值为RD值后面加2个0;
0,Spoke部分的RT取值为RD值加上01;
路由关系时,RT值为RD值后面加从01到99按顺序取的值。
对于Hub-Spoke的VPN客户,Hub站点的RT值为RD值后面加2个
对于不完全网状拓扑的VPN客户,需要多个RT值描述不同站点间的
规范要求:
配置说明:
规范要求:
配置说明:
中国电信湖北分公司
置现网设备将可能引起引擎重启。
检查:
display ip vpn-instance verbose name
3.1.7系统高可靠性配置
在相应 VRF 实例下指定RT 号。
#新建VRF,并配置RD、RT,采用full-mash模式。
ip vpn-instance CTVPN2600000-Gonghang
route-distinguisher 4809:2600000
vpn-target 4809:26000000 export-extcommunity
vpn-target 4809:26000000 import-extcommunity
打开自动切换,要求采用最优切换方式。
按照 RT 号规划设置RT。现网已配置的保持不变,新配置VRF的RT分
各城域网资源按照资源分配表格内容配置。
配置系统引擎冗余模式,当主引擎出现故障时能快速切换到备用引擎。配
湖北电信城域网路由器设备配置规范总则
第18页
故
址。
配置规范:
接入网的以太化,终端侧MTU均不超过1500;
display device #显示2块MPU为1个为Master状态,一个为Slave状态
display switchover state #显示备份状态,当状态为“Info:HA FSM State,
Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正
在同步时,切换可能会有问题
规范要求:
配置说明:
查看验证:
Loopback 0;组播anycast RP采用Loopback 100。
中国电信湖北分公司
3.2端口配置规范
3.2.1MTU值设计
障的情况下,Slave 会立刻自动将自己切换为Master 引擎,无需命令配置。
连端口,GE/10GE以太网口和POS口MTU统一取值为4470字节。
3.2.2Loopback接口配置
为统一全网路由型设备端口MTU值,建议IP城域网路由型设备的所有互
城域网路由型设备端口MTU的设置主要受三方面因素影响:
华为 NE 路由器两块引擎之间的备份机制是系统自动的,在Master 引擎
IGP协议配置全部取消对接口MTU的检查。
业务MPLS化后,MTU必须足够大,才能保证端到端通信正常;
种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由
IGP路由协议邻居关系的建立,需要两侧设备端口MTU保持一致性;
配置Loopback地址,提供一个永远up的、掩码为32位IP地址,用于各
器上的loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地
路由器必须配置loopback接口。湖北省Loopback地址路由标识地址采用
湖北电信城域网路由器设备配置规范总则
第19页
配置说明:
disp inter loopback 0
规范要求:
配置说明:
规范要求:
配置说明:
配置验证:
中国电信湖北分公司
议正常建立邻居关系。
3.2.3GE接口配置
配置注意细节
3.2.3.2MTU值
3.2.3.1接口描述
interface LoopBack0
ip address *.*.*.* 255.255.255.255
description For-Management
分,方便设备管理,提高可读性和可管理性。
规范”中规定。并注意端口描述中的对端端口应区别不同设备。
“uT:”,下行链路描述前缀使用“dT:”,横连链路前缀使用“pT:”。
GE/10GE端口MTU配置为4470。
配置三层接口的描述和相应的二层接口描述一致,上行链路描述前缀使用
配置二层接端口的描述符合第二章中“IP城域网网络设备命名及链路描述
PING小包时正常,不会丢包,但是PING大包时会明显丢包,而且影响IGP协
未使用的端口需要Shutdown,并删除端口描述、IP地址、子接口等配置。
端口需shutdown/undoshutdown后,更改后的MTU值才会生效。
配置接口描述,明确标识链路连接方向,用于对城域网的每台设备进行区
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为,当
3.2.3.3关闭GE接口协商
湖北电信城域网路由器设备配置规范总则
第20页
流量。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
HW默认值:
关闭GE接口协商
由,存在DOS攻击的风险。
存在ARP欺骗安全问题。
suppress:6000
3.2.3.5接口开启震荡禁止
3.2.3.4关闭存在风险的安全漏洞
配置不一致,端口状态将可能不UP或不稳定。
接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。
并且侦测远端通告的相应的运行方式,协商两端的数据,如果千兆链路两端的
开启接口震荡禁止功能,使用默认值。
所有GE和POS接口都开启damping。
关闭ICMP Redirect、Direct Broadcast、Proxy ARP。
关闭GE/10GE端口可能存在风险的安全漏洞。包括:
Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的
Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,
ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路
HW默认值:half-life:54s, resume:750, suppress:2000, max-
half-life:60s,resume:750,suppress:2000,max-suppress-time:4倍half-life
3.2.3.6接口数据统计时间间隔设置
湖北电信城域网路由器设备配置规范总则
端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,
为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,
第21页
检查:
disp inter gi1/0/0
VLAN号。
规范要求:
配置说明:
规范要求:
所以接口统一设置30s。
3.2.3.8配置范例
接口绑定创建的VPN实例。
description To_G2810001_X__3M
ip address X.X.X.X X.X.X.X
undo icmp redirect send
undo arp-proxy enable #默认行为
control-flap #端口启用震荡禁止
set flow-stat interval 30 #流量统计时间间隔为30秒。
配置说明:
配置说明:
中国电信湖北分公司
3.2.4.1命名规范
值,这样才能使流量统计数值更新较快。
interface GigabitEthernet1/0/0
ip binding vpn-instance name #绑定相应VPN实例
undo negotiation auto #GE光口
mtu 4470 #注意与对端保持一致
3.2.4GE子接口接口配置
在接口绑定相应VPN实例,承载下挂VPN业务。
华为、Cisco为固定“主接口名”+“.”+“数字编号”的格式。
3.2.3.7绑定VPN实例用户设置
3.2.4.2dot1q封装格式
GE子接口封装为dot1q格式,用于与下联设备互通,子接口ID使用
为及时查看接口下流量数据统计,所有接口的时间间隔应设置相对较小数
湖北电信城域网路由器设备配置规范总则
第22页
配置验证:
规范要求:
规范要求:
配置说明:
中国电信湖北分公司
检查命令:
display inter gi X/X/X
display inter gi X/X/X.100
贝到这个镜像端口上来。
disp curr | i observe-port
disp curr int gi 1/0/0
3.2.4.3配置范例
3.2.5端口镜像配置
3.3路由协议配置规范
根据需要配置端口镜像功能。
observe-port 1 interface gigabitethernet3/0/2
interface gi 1/0/0
port-mirroring to observe-port 1 inbound
interface GigabitEthernetX/X/X.100
description To_G2810001__3M
vlan-type dot1q 100
ip binding vpn-instance name #绑定相应VPN实例
ip address X.X.X.X X.X.X.X
interface GigabitEthernet1/0/0
undo negotiation auto #GE光口
mtu 4470 #注意与对端保持一致
description dT:.S8505:(传输代号)GE0/0/0
Gundo icmp redirect send
undo arp-proxy enable #默认行为
control-flap #端口启用震荡禁止
set flow-stat interval 30 #流量统计时间间隔为30秒。
3.3.1城域网路由架构概述
组网需求,湖北电信IP城域骨干网的目标路由组织如下:
设置一个端口作为镜像端口,将流经一个或几个指定端口的所有数据帧拷
为了遵循层次清晰、功能齐全等原则,满足可运营、可管理、高可用性的
湖北电信城域网路由器设备配置规范总则
第23页
力。
中国电信湖北分公司
背路由互联。
EBGP
议的快速收敛提高收敛速度。
路由协议管理距离设计规划如下:
IS-IS level 2
Static routes
Direct attached
Route type
MP-BGP连接,交换城域网MPLS
3.3.2路由优先级/管理距离
允许CN2和ChinaNet之间的业务流量穿透任何城域网。
IBGP中,用IBGP来承载用户路由。
1)城域骨干网内部统一采用ISIS协议作为IGP协议,以城域网为单位划分
心路由器、业务控制层设备上,将用户的直连路由以及静态路由发布到
5)选取城域网两台出口路由器作为VRR设备,所有PE设备都与VRR建立
ChinaNet是CN2的备份通道,而CN2网络不是ChinaNet的备用通道;不
业务控制层设备都与RR建立IBGP连接,以减少IBGP连接数。武汉作为
的互连链路和loopback地址的主机路由,不承载用户的路由。部署ISIS协
考虑到网络的可扩展性,使用城域网两台出口路由器作为RR设备,所有的
特大型城域网,在条件具备的情况下设置独立的RR设备。在每台城域网核
4)核心具备提供L2/L3 VPN业务能力,针对不同业务/应用提供差异化承载能
2)城域网和ChinaNet、CN2 之间采用eBGP协议交换路由。城域网配备独立
Option A方式与CN2 PE互联,通过子接口建立BGP会话实现VRF 背对
Area,配置Level 2模式,ISIS协议不下发缺省路由。ISIS只承载设备之间
IBGP & Local BGP Routes
Route Preference/AD
湖北电信城域网路由器设备配置规范总则
VPN用户路由。城域网ASBR采用
200**
150**
10
1
0
的私有自治域号,采用白名单方式向ChinaNet、CN2宣告城域网汇总路由。
3)在城域网核心路由器、业务控制层设备之间运行IBGP协议,承载用户路由。
第24页
省优先级。
规范要求:
配置说明:
规范要求:
配置说明:
条修改每条静态路由)。Juniper和华为可以用一条命令修有所有静态路由的缺
中国电信湖北分公司
静态路由优先级设置为1。
为城域网AS标记。
配置注意细节:
3.3.3.1静态路由优先级
3.3.3.3静态黑洞路由配置
3.3.3.2静态路由配置方式
3.3.3静态路由配置
骨干返回的流量不均衡及uRPF错误。
设置普通静态路由优先级/管理距离配置为1。
路由器上静态路由的配置方式:绑定接口和下一跳IP地址。
效,而修改前已存在的静态路由的优先级别依然需逐条手动调整。
议将城域网网段宣告给骨干,设备路由优先级/管理距离为199,并增加TAG
出口路由器上的城域网网段黑洞路由严禁注入到ISIS中。
各厂家静态路由优先级缺省值:Cisco 1;Alcatel 5;华为:60。
静态路由优先级缺省值:Cisco 1;Juniper 5;Alcatel 5;华为:60。
在出口路由器上配置城域网网段的指向NULL0的黑洞路由,用于BGP协
城域网两台出口路由器上配置的黑洞路由原则上必须完全相同,以避免从
华为设备使用一条命令修改所有静态路由的优先级,只针对新增的静态生
黑洞路由配置路由优先级为199,增加TAG 为城域网AS标记,严禁注入
CISCO和Alcatel无法用一条命令修改所有静态路由的缺省优先级(只能逐
湖北电信城域网路由器设备配置规范总则
第25页
到ISIS中。
在区号作为数字标识。
链路端口;核心路由器的上联接口和设备的Loopback 端口设置为Passive模
供的是业务接入控制层及其以上设备之间的可达性,为IBGP提供IGP可达。
例名称使用设备所在的地市名称全拼小写字母。不支持字母的设备使用设备所
务接入控制层。ISIS 涵盖网络中所有核心设备和汇聚设备的Loopback 端口和
承载用户的路由。城域网出口路由器ISIS进程始终下发默认路由。ISIS协议提
式。ISIS路由协议只承载设备之间的互连链路和loopback地址的主机路由,不
中国电信湖北分公司
3.3.4.1概述
3.3.4ISIS配置
NSEL固定为00。
3.3.4.2ISIS 实例名
3.3.4.3ISIS NET ID
net id地址采用Area ID + System ID + NSEL地址方式,
私有5位AS号的后4位,ZZZZ为各地市电话区号,不足四位的前面补零。
其中,为Area ID,其中XX固定为86,YYYY为各城域网
同一城域网ISIS实例名称保持统一,单机不运行多个ISIS实例。ISIS实
3.3.4.4ISIS路由器类型
的IP地址表示为十进制形式,每字节用3个十进制位表示,不足3位的空位补
0,然后映射为System-ID。比如202.103.29.138转换后为2021.0302.9138。
ISIS的路由器类型可分为level-1和level-2两种,规范要求同一个城域网
湖北电信下属城域网使用ISIS为IGP协议,IGP运行在城域网核心层和业
湖北电信城域网路由器设备配置规范总则
System ID为6位,格式为,采用城域网设备loopback0
第26页
居。
规范要求:
配置说明:
配置说明:
规范要求:
配置说明:
须一致,否则双方不可以建立起邻居关系。
metric类型,metric值只能从0—63,不支持MPLS TE。wide方式时ISIS
to-point,不发送广播包,减少LSP泛洪。链路两端的IS-IS接口的网络类型必
中国电信湖北分公司
规范要求:
3.3.4.5ISIS metric-type
3.3.4.6ISIS协议接口类型
3.3.4.7ISIS 负载均衡条目
Loopback ---- Passive进ISIS域内
metric可以从1 — 16,777,214 。不同metric-type的ISIS对等体不能建立邻
运行同一个ISIS协议并且处于Level-2,湖北电信城域网使用ISIS Level-2。
配置ISIS负载均衡数不少于8条。
配置ISIS metric-type的类型为wide,
配置ISIS负载均衡条目,实现流量的负载均衡。
城域网内互连用POS----保持为Point-To-Point不变
城域网内互联用GE/10GE --- 强制更改为Point-To-Point
在使用30位掩码的广播类型接口下,配置ISIS网络类型为点到点point-
ISIS协议metric-type分为narrow和wide两种方式,narrow方式是老式
3.3.4.8ISIS 路由协议优先级
湖北电信城域网路由器设备配置规范总则
第27页
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
其他路由协议注入进ISIS,如需要则用router-map过滤注入。
实施扁平化后,出口路由器的ISIS邻居数将较多,为减少ISIS邻居加密占用
中国电信湖北分公司
配置将其他协议重分布到ISIS协议。
更改ISIS协议路由协议优先级/管理距离
统一ISIS路由协议优先级/管理距离为115。参考前表。
太多CPU资源,建议湖北城域网不开启ISIS邻居加密功能。
3.3.4.11ISIS接口宣告
3.3.4.10ISIS邻居加密
3.3.4.9ISIS 重分布路由
址路由自动发布到ISIS。用户接入接口一律不可配置为ISIS接口。
配置ISIS邻居加密,对ISIS邻居之间的协议报文进行加密和校验。
考虑到城域网面向用户的端口关闭了ISIS处理,且湖北城域网取消BR,
ISIS协议不承载用户路由,仅为BGP协议提供底层IGP可达,原则上不将
配置需宣告到ISIS协议中的接口,配置loopback接口和互连接口为ISIS
配置loopback接口和上连接口为ISIS接口,采用PASSIVE模式,接口地
湖北电信城域网路由器设备配置规范总则
接口,接口地址路由自动发布到ISIS,用户接入接口一律不可配置为ISIS接口。
第28页
路质量的目的。
配置说明:
3.3.4.14
3.3.4.13
规范要求:
配置说明:
规范要求:
配置说明:
3.3.4.15
收到刷新的LSP,则将该LSP删除。
路由器一直没有收到更新的LSP,在此LSP的有效时间已减少到0后,若还未
中国电信湖北分公司
Metric值设计规划如下:
链路功能
3.3.4.12ISIS metric
出口路由器之间链路
关闭ISIS hello padding特性 。
SR/BRAS至汇聚路由器
汇聚路由器至出口路由器
出口路由器与RR之间链路
设置为65500s,与LSP刷新时间保持匹配。
ISIS LSP MTU
ISIS hello padding
3000
100000
ISIS LSP最大有效时间
50
1500
ISIS的接口CLNS MTU。CISCO缺省是开启,华为缺省是关闭。
ISIS metric 值设计
CRS默认为1200s,华为默认为1200s,阿郎默认为1200s。
ISIS LSP MTU 决定了ISIS 发出LSP 的最大长度,必须小于全网所有
路由器生成系统LSP时,会在LSP中填写此LSP的最大有效时间。如果
指定运行ISIS接口的metric值,不使用ISIS自动计算的接口metric值。
湖北电信城域网路由器设备配置规范总则
ISIS hello包填充,将hello包大小填充至接口的MTU大小,以达到检测链
第29页
由器名称。
LSP 保持同步。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
3.3.4.20
ISIS动态主机名
ISIS OVERBIT位
ISIS LSP 刷新间隔时间
3.3.4.19
3.3.4.18
3.3.4.17
3.3.4.16
中国电信湖北分公司
华为缺省为900s。
配置开启ISIS动态主机名。
原则上ISIS不下发缺省路由。
ISIS缺省路由
CISCO缺省是开启,华为缺省是关闭。
设置为 32768s。减少刷新占用链路带宽。
配置在路由器重启的15分种内设置ISIS OVERBIT位。
LSP MTU 统一设置为1497(华为厂家设备默认数值)。
在路由器重起时,设置ISIS OVERBIT,使ISIS流量不在该设备横穿。
ISIS 路由器周期的发送LSP 给其它ISIS 路由器,使整个ISIS 区域的
ISIS的LSP报文携带ISIS路由器主机名,其它ISIS路由器能动态解析路
湖北电信城域网路由器设备配置规范总则
ISIS log邻居变化信息
第30页
规范要求:
配置说明:
中国电信湖北分公司
3.3.4.21配置范例
3.3.5.1概述
3.3.5BGP配置
配置ISIS log 邻居变化信息功能。
配置ISIS log邻居变化信息,记录ISIS邻居变化。
interface pos0/0/0
isis enable huangshi
isis circuit-level level-2
isis cost 3000 level-2
网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
IBGP运行在城域网核心层和业务接入控制层,承载用户路由。
interface gi1/0/0 #配置接口宣告
isis enable huangshi
isis circuit-level level-2
isis cost 3000 level-2 #配置cost值
isis small-hello #用来设置接口发送不加入填充字段的小型
Hello报文
isis circuit-type p2p #设置端口类型为P2P
isis huangshi #配置ISIS实例ID
set-overload on-startup 15 #可以选择数值或wait-for-bgp
is-name 40E #配置动态主机名
network-entity .00 #配置NET ID
log-peer-change #打开IS-IS邻接状态变化的输出开关
cost-style wide #配置接口开销类型为wide
is-level level-2 #配置路由器类型
maximum load-balancing 8 #配置负载均衡数为8
preference 150 #配置协议优先级,默认为150
timer lsp-max-age 65500 #设置为65500,本机有效
timer lsp-refresh 32768 #设置为32768,本机有效
timer spf 5 50 200 #路由计算最大延迟时间缺省值是5秒,初
次路由计算的延迟时间为50ms,两次路由计算之间的递增延迟时间为200ms。
EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域
3.3.5.2自治系统
#配置接口宣告
湖北电信城域网路由器设备配置规范总则
第31页
如下:
Multihop为255和BGP TTLSecurity检测。
中国电信湖北分公司
负载均衡数目:8。
各城域网AS号如下:
本地网
恩施
鄂州
黄冈
黄石
荆门
荆州
十堰
随州
武汉
襄樊
孝感
咸宁
仙桃
宜昌
关闭IGP与BGP的同步。
关闭BGP自动路由汇总特性。
关闭 bgp always-compare-med
AS
明确配置BGP router-id为Loopback 0地址。
开启BGP DAMPING,避免路由抑制对业务的影响。
城域网以ORIGIN IGP的方式对外发布路由。
宣告给163的城域网路由携带MED属性,设置MED=0。
记录BGP邻居变化。
3.3.5.3城域网BGP 部署策略
65122
65127
64923
64922
64926
65121
65128
65126
65120
64925
64924
64921
65123
64920
明确配置新式community格式。
BGP采用密码建立邻居关系(EBGP密码:电话区号_AS)。
根据需要确定BGP Multihop的TTL值,对大部分情况,配置EBGP
配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和
湖北电信所属城域网上布署的BGP采用私有自治系统号。各城域网AS号
湖北电信城域网路由器设备配置规范总则
第32页
TTL检测。
告路由。
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
中国电信湖北分公司
NETWORK宣告。
动选举的router-id。
配置BGP log 邻居变化信息。
3.3.5.7BGP邻居MD5加密
3.3.5.4BGP router-id配置
3.3.5.5BGP log邻居变化信息
3.3.5.6关闭BGP同步和自动汇总
BGP TIMER 参数keepalive和Holdtime定时器统一为60s与180s。
使用Loopback地址建立EBGP关系,不使用接口建立关系,启用EBGP
配置BGP邻居加密,确保建立安全的BGP邻居。
配置BGP router-id,唯一标识自治系统中的一台BGP路由器。
配置BGP log邻居变化信息,记录BGP邻居变化,方便排障和管理。
在城域网所有运行BGP协议的设备上关闭BGP同步和自动汇总功能。
配置BGP router-id地址为loopback0接口的IP地址,不使用BGP协议自
配置BGP协议的同步和自动汇总功能,避免需要EBGP与IGP同步才能宣
湖北电信城域网路由器设备配置规范总则
第33页
80个。
180s。
配置规范:
配置要求:
配置说明:
规范要求:
配置说明:
规范要求:
3.3.5.10
中国电信湖北分公司
IBGP邻居不加密。
router bgp 65120
ipv4-family unicast
maximum load-balancing 8
3.3.5.9负载均衡配置
3.3.5.8BGP时间参数
开启IBGP multi-path 功能。
设置BGP keepalive时间为60s,holdtime时间为180s。
发送的存活报文,就认为这个邻居已死亡,从而结束会话。
Keepalive时间向邻居发送一个存活报文,如果Holdtime时间内没有必到邻居
阿朗默认BGP keepalive时间为30s,holdtime时间为90s。
EBGP邻居均采用MD5加密,密与CN2的密钥按CN2规范执行。
配置BGP协议的Keepalive和Holdtime定时器,一个BGP对等体每隔
密钥最大字符长度:CISCO 80个,华为16个,阿朗255个,REDBACK
CISCO、华为、REDBACK默认BGP keepalive时间为60s,holdtime时间为
到达相同网段的多个下一跳出现在FIB 中,通常能够达到出流量的负载均衡。
SR 从两台出口核心均学习到下发的默认路由,开启IBGP multi-path 后,
湖北电信城域网路由器设备配置规范总则
IBGP路由策略
第34页
ipv4-family vpnv4
规范要求:
配置说明:
3.3.5.11
中国电信湖北分公司
route-policy rpToRR permit node 10
if-match ip-prefix ipToRR
route-policy rpToRR deny node 20
城域网SR->CR:严格宣告该设备下挂所有用户的明细路由,建议掩码小于
24。
CR->SR:仅下发默认路由。
router #华为设备全局下配置ruter-id,如BGP下未另外配置,则沿用全局的
router-id配置
ip ip-prefix ipToRR index 10 permit X.X.X.X X #控制向CR发送的下挂用户路由的聚
合网段
ip ip-prefix ipDefault index 10 permit 0.0.0.0 0
bgp 65120 #城域网自治系统号
//上连RR的IBGP Peer Group 配置
group pgRR internal
peer pgRR connect-interface LoopBack0 #设置ibgp使用loopback0建立邻居
peer X.X.X.X as-number 65120
peer X.X.X.X group pgRR
peer X.X.X.X description To 1
peer X.X.X.X as-number 65120
peer X.X.X.X group pgRR
peer X.X.X.X description To 1
ipv4-family unicast
undo synchronization #关闭同步
dampening #dampening配置,采取默认值
preference 10 200 200 #第一个是ebgp优先级,第二是ibgp,第三个是本地起源的
bgp路由
maximum load-balancing 8 #负载均衡条目设置为8
peer pgRR enable
#import方向暂不做限制,接收RR发送的所有路由
peer pgRR route-policy rpToRR export
peer pgRR next-hop-local
peer X.X.X.X enable
peer X.X.X.X group pgRR
peer X.X.X.X enable
peer X.X.X.X group pgRR
peer pgRR enable
enable
group pgRR
policy vpn-target
配置范例
配置城域网 SR 与CR 之间的IBGP 路由策略
湖北电信城域网路由器设备配置规范总则
#
使能对接收到的VPN路由开启VPN-Target过滤功能
第35页
配置说明:
配置验证:
配置规范:
规范要求:
配置说明:
mpls命令用来使能所在接口的MPLS。
中国电信湖北分公司
enable
group pgRR
3.4.1MPLS全局配置
display mpls route-state
display mpls ldp lsp
bgp 65120
ipv4-family unicast
network 202.103.0.0 255.255.0.0
network 61.183.128.0 255.255.128.0
3.4MPLS标签配置规范
3.4.1.2MPLS router-id
3.4.1.1全局开启MPLS功能
//VPN用户路由的发布
bgp 65120
ipv4-family vpn-instance CTVPN2600000-GongHang
network 192.168.0.0 255.255.255.0
开启 MPLS 功能,在全局和接口模式下起用LDP 协议。
[sysname] mpls #全局使能MPLS
[sysname-mpls] quit
[sysname] mpls ldp #全局使能LDP
//用户路由的汇总发布
ip route-static 202.103.0.0 255.255.0.0 NULL0 preference 199 tag 65120
ip route-static 61.183.128.0 255.255.128.0 NULL0 preference 199 tag 65120
配置LSR ID(即MPLS router-id)时,请注意以下情况:
的IPv4地址作为LSR ID。
LSR ID与两字节的标签空间序号一起构成LDP Identifier,用
LSR ID使用IPv4地址格式,在MPLS域内唯一。使用Loopback接口
湖北电信城域网路由器设备配置规范总则
在 NE40E 系统视图下,mpls 命令用来进入MPLS 视图。在接口视图下,
第36页
配置说明:
规范要求:
配置说明:
配置验证:
配置规范:
规范要求:
认证,LDP涉及到多种设备兼容问题,暂不作协议加密配置。
LSR。即,标签由下游指定,标签的分配按从下游到上游的方向分发。
中国电信湖北分公司
3.4.2LDP协议配置
1. 标签发布方式
3.4.1.3配置范例
display mpls route-state
[sysname] mpls lsr-id *.*.*.*
不作协议加密配置。
3.4.2.1LDP协议加密
[sysname] mpls #全局使能MPLS
[sysname-mpls] quit
[sysname] mpls ldp #全局使能LDP
[sysname] mpls lsr-id *.*.*.* #配置LOOPBACK0地址为LSR-ID
根据需要配置LOOPBACK0为LSR-ID。
缺省情况下,不对LDP的TCP连接进行MD5认证。
3.4.2.2LDP标签发布和管理
标签发布方式(Label Advertisement Mode)分为两种:
下游自主方式DU(Downstream Unsolicited):对于一个特定的
在MPLS体系中,由下游LSR决定将标签分配给特定FEC,再通知上游
为了提高LDP会话连接的安全性,可以对LDP使用的TCP连接配置MD5
FEC,LSR无须从上游获得标签请求消息即进行标签分配与分
湖北电信城域网路由器设备配置规范总则
于标识此LSR使用的标签空间,并用于LSR之间建立和维持LDP会话。
第37页
发。
规范要求:
下游标签之前就发布了上游标签;
论邻居LSR是不是自己的下一跳都保留;
只有当邻居LSR是自己的下一跳时才保留。
FEC,LSR获得标签请求消息之后才进行标签分配与分发。
只有当该LSR已经具有此FEC下一跳的标签映射消息、或者该LSR就
的LSR通告标签映射(标签与FEC的绑定)。这种方式可能导致在收到
方式达成一致,否则LSP无法正常建立。
签,节省了内存和标签空间,但LSP的重建会比较慢。
中国电信湖北分公司
3. 标签保持方式
2. 标签分配控制方式
用不到的标签映射的处理方式。
标签保持方式也分为两种:
式为有序方式ordered;标签保持方式为自由方式liberal。
标签分配控制方式(Label Distribution Control Mode)分为两种:
下游按需方式DoD(Downstream on Demand):对于一个特定的
有序标签控制方式(Ordered):对于LSR上某个FEC的标签映射,
自由标签保持方式(Liberal):对于从邻居LSR收到的标签映射,无
标签保持方式(Label Retention Mode)是指LSR对收到的、但目前暂时
独立标签分配控制(Independent):LSR可以在任意时间向与它连接
具有标签分发邻接关系的上游LSR和下游LSR之间必须对使用的标签发布
标签空间; 而使用保守标签保持方式,由于LSR只保留了来自下一跳邻居的标
直接利用原来非下一跳邻居发来的标签,迅速重建LSP,但就需要更多的内存和
保守标签保持方式通常与DoD方式一起,用于标签空间有限的LSR。
当网络拓扑变化引起下一跳邻居改变时,使用自由标签保持方式,LSR可以
默认情况下,CISCO、华为标签发布方式为下游自主DU,标签分配控制方
湖北电信城域网路由器设备配置规范总则
是此FEC的出口节点时,该LSR才可以向上游发送此FEC的标签映射。
保守标签保持方式(Conservative):对于从邻居LSR收到的标签映射,
第38页
配置说明:
配置范例:
规范要求:
配置说明:
由项不能触发建立LSP。
滤的IGP路由项将可以触发LDP建立LSP,被IP地址前缀列表拒绝的IGP路
中国电信湖北分公司
3.5网管配置
3.5.1SNMP管理代理配置
mpls
mpls ldp
interface Gi1/0/0 #进入接口视图
mpls
mpls ldp advertisement { dod | du }
du
mpls ldp
quit
标签发布和管理方式使用默认设置。
3.5.1.1SNMP版本
3.4.2.3LDP邻居过滤
SNMP v3。v2c增加通知特性,V3版本增加MD5加密特性。
配置IP地址前缀列表过滤32位地址的IP路由触发LDP建立LSP。
mpls ldp #进入MPLS LDP视图
label-distribution { independent | ordered } #配置标签分配控制方式,缺
省
label-retention { liberal | conservative } #配置标签保持方式,缺省
mpls ldp timer keepalive-hold interval #配置远端会话保持定时器,缺
省
#进入MPLS LDP视图
#配置LDP的标签发布方式,缺省为
#接口下使能开启ldp
#退回到全局视图
#配置标签过滤列表,只允许主机路由触发LDP建立LSP通道
ip ip-prefix plLspFilter index 10 permit 0.0.0.0 32 greater-equal 32 less-equal 32
mpls
lsp-trigger ip-prefix plLspFilter
目前路由器系统中的SNMP Agent支持标准网管SNMP v1、SNMP v2c和
湖北电信城域网路由器设备配置规范总则
设置建立LSP的策略,通过32位地址的IP路由或通过IP地址前缀列表过
第39页
设备进行配置。
配置说明:
3.5.1.2RO Community值
3.5.1.3RW Community值
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
(Community Name)。
造为具备更高安全性的V3版本。
组成,用于提高SNMP协议安全。
地市的community保持现状。
具有写权限的的团体可以对设备进行配置。
SNMP实体的引擎ID(snmp-agent local-engineid)。
备信息,设备信息可以是IP地址、MAC地址或自己定义的十六进制数字串。
有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对
一配置设备的SNMP WR COMMNITY为
*******
。
报文将被丢弃。SNMP团体(Community)由一字符串来命名,称为团体名
为了统一规范考虑,要求统一配置为V2版本,将来具备条件时再统一改
不同的团体可具有只读(read-only)或读写(read-write)访问模式。具
SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP
本地SNMP实体的引擎ID是个十六进制数字串。缺省为公司的企业号+设
配置community字符串不要过于简单,一般应由字母、数字及特殊字符等
启动SNMP Agent服务后,系统会自动配置SNMP协议的版本和本地
现阶段不建议开启SNMP 写功能,若需开启SNMP写功能,建议规范、统
3.5.1.4SNMP访问控制列表
湖北电信城域网路由器设备配置规范总则
配置SNMP的community为只读模式,增加省公司的community字符串,
第40页
问设备。
属性。
配置范例:
规范要求:
配置说明:
中国电信湖北分公司
acl number 2005
设置ifIndex的一致性。
而改变。这时,可以通过配置接口索引固定特性,来满足这一需求。
snmp-agent #启动SNMP Agent服务
snmp-agent sys-info version all # SNMPv1、SNMPv2C、SNMPv3版本都使能
snmp-agent community read *****-ipnms acl 2005 #设置只读团体名及访问权限
snmp-agent community write *****-ipnms-rw acl 2005 #设置可写团体名及访问
权限
的数字。通过网管工作站的客户端软件,可以看到路由器每个接口的IfIndex
件配置或软件配置改动时,都有可能会引起同一个接口的Ifindex发生改变。
必须固定,不会受到接口的增加、删除、系统重启或者软硬件配置变化的影响
但在某些应用环境中,比如使用接口索引作为计费的依据,要求接口的索引值
ifindex constant #使能接口索引固定特性
set constant-ifindex max-number
number
#设置索引固定的接口最大数量
set constant-ifindex subinterface { dense-mode | sparse-mode } #设置子接口索
引的内存分配模式
rule 10 permit source X.X.X.X X.X.X.X
rule 20 permit source X.X.X.X X.X.X.X
rule 30 permit source X.X.X.X X.X.X.X
rule 99 deny any
3.5.2故障管理配置
开启SNMP接口索引特性。
3.5.1.5 Ifindex索引一致性
开启SNMP接口索引特性。
对SNMP增加ACL访问列表,只允许指定的IP地址能通过SNMP协议访
一般情况下,同一个接口的索引序号不是固定的。例如当路由器重启、硬
在SNMP中,接口索引号(Ifindex)是一个用来标识物理接口或逻辑接口
湖北电信城域网路由器设备配置规范总则
#允许下列信任主机访问SNMP-AGENT
第41页
务器地址。
状况信息。
是稳定的接口。
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
规范要求:
配置说明:
备配置发生变化等告警信息。
中国电信湖北分公司
TRAP的默认端口是UDP162。
3.5.2.4SYSLOG服务器地址
3.5.2.1SNMP TRAP信息内容
3.5.2.3SNMP TRAP消息源地址
3.5.2.2SNMP TRAP 服务器地址
SYSLOG服务器地址为:58.53.191.131、58.53.191.132。
通过指定SNMP TRAP服务器地址,将TRAP信息发送给指定的服务器,
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧
配置发送SNMP TRAP消息源的IP地址,需要使用稳定的接口,loopback
开启SNMP TRAP功能,配置省网管SNMP TRAP服务器地址,及地市的服
开启Trap采用SNMP V2C版本,记录接口的状态变化,协议状态变化,设
配置SYSLOG服务器地址,发送日志到指定的服务器。
统一配置SNMP TRAP消息源地址为设备LOOPBACK0接口。
急的重要事件。如果需要路由器主动发送这些信息,就必须配置Trap功能。
建议配置省公司和地市两个LOG服务器记录设备的LOG。指定省公司
湖北电信城域网路由器设备配置规范总则
第42页
IP地址。
配置说明:
规范要求:
配置说明:
规范要求:
中国电信湖北分公司
越紧急其信息级别越小,emergencies表示的等级为1,debugging为8。
要求统一SYSLOG消息源地址为路由器LOOPBACK0地址。
3.5.2.6SYSLOG消息源地址
对于level5(warnings)及其以下级别的log信息发往syslog服务器。
3.5.2.7配置范例
3.5.2.5SYSLOG信息级别
snmp-agent trap enable ospf
snmp-agent trap enable bgp
snmp-agent trap enable configuration
snmp-agent trap enable system
snmp-agent target-host trap address udp-domain X.X.X.X params securityname XXX v2c
snmp-agent trap source LoopBack0 #指定发送Trap的源接口
info-center loghost 58.53.191.131
info-center loghost 58.53.191.132
设置信息级别level,禁止信息级别大于所设置的severity的信息输出。
从一台路由器发出的日志消息,默认的源地址是发送该日志消息的接口的
info-center source default channel 2 log level warning #对于level5(warnings)及其以
湖北电信城域网路由器设备配置规范总则
一般情况下,按信息的严重等级或紧急程度划分为八个级别,如下表所示,
第43页
中国电信湖北分公司
检查命令:
disp cu | i snmp
display snmp-agent sys-info
display snmp-agent community
display snmp-agent statistics
3.6.1QOS体系
3.6QoS配置规范
于DiffServ为主的QOS技术提供基本的QoS保证。
下级别的log信息发往syslog服务器
info-center loghost source LoopBack0 #设置发送信息的源地址
info-center timestamp debugging date #设置输出的调试/告警/日志信息中时间戳格式
3.6.2采取的QOS策略
为满足不同用户和不同业务差异化承载的需要,IP 城域网骨干网采取以基
湖北电信城域网路由器设备配置规范总则
第44页
务
等级名称
互联网业务
高等级业务
自营关键业
中国电信湖北分公司
000
10,001
100,110
城域网标记(IP
性,对进入ChinaNet流量标记为0。
的分类和三层QoS 标记(DSCP或EXP)。
3.6.2.2队列调度
000
PRE/EXP/802.1p)
PRE/EXP)
100,110
,010,001
CN2标记(IP
3.6.2.1分类与标记
2)在接入网设备划分不同的VLAN,实现业务的区分、标记。
3)城域网出口路由器对进出CN2流量不必重写,即要求保持等级标签的一致
1)在BRAS和SR上根据根据物理端口、逻辑子端口或CoS 位完成对接入用户
设备根据IP优先级标记实现3个队列的优先级调度功能。策略如下:
IP城域骨干网的QOS策略与CN2骨干网、ChinaNet骨干网统筹考虑,城
域网标记与CN2保持一致,只按照IP PRE/EXP/802.1P进行划分,具体如下:
2)在发生拥塞情况下,按照业务等级高、丢弃概率低的原则进行丢弃,优
1)各等级可达到承诺带宽,在有空闲带宽时,某等级的流量最大可突发至
网络压力,从而保证高等级的业务质量。
111,101,011,0
111,101,011
图表1 城域网QoS等级
轮询队列2
轮询队列1
发流量超过允许的突发带宽时,超出部分的流量将被丢弃。
严格优先队列
城域骨干网队
列类型(参考)
该等级以及以上等级所购带宽的总和(即最大承诺可突发带宽)。在突
湖北电信城域网路由器设备配置规范总则
先对低等级的流量提前丢包,使低等级的业务放慢流量发送速度,降低
互联网业务
营视频业务
网络控制信息
3G/软交换语音/
大客户业务,自
业务类型(参考)
第45页
0
4,6
7,5,3,2,1
IP PRE/802.1p
DSCP到队列的映射
dscp-map 8 af2
dscp-map 12 be
dscp-map 14 be
dscp-map 18 be
dscp-map 20 be
dscp-map 22 be
dscp-map 24 af2
dscp-map 26 be
dscp-map 28 be
dscp-map 30 be
dscp-map 32 ef
dscp-map 34 be
dscp-map 36 be
dscp-map 38 be
dscp-map 40 af3
dscp-map 46 be
dscp-map 48 af4
dscp-map 56 af3
中国电信湖北分公司
20%
50%
30%
3.6.3配置举例
3.6.2.3限速和整形
下行速率限制。
带宽保证丢包
阈值等,GE/10GE端口有效)如下:
定义流和流所占带宽的权重
traffic flowNM cdr 2000 cbs 12288 weight 1
traffic flowVIP weight 10
traffic flowNGN weight 10
traffic flowIPTV weight 30
traffic flowdefault weight 49
出端口上将队列与已经定义的流带宽权重进行关联
interface GigabitEthernet1/1/1
Drop Tail策略
2)在BRAS和SR上作用户下行流量的整形。
Network端口的QoS配置参数(主要是带宽分配、优先级、缓冲和WRED
湖北电信城域网路由器设备配置规范总则
丢包参数:Min=30%*B,Max=B,Min开始丢包,
Max完全丢包。B为缓冲区长度。
丢包参数:Min=80%*B,Max=B,Min开始丢包,
Max完全丢包。B为缓冲区长度。
1)在接入网设备上对接入用户的上行速率进行限制,在BRAS上作用户的
第46页
检查命令
display dscp-map
display traffic
配置验证:
配置规范:
规范要求:
配置说明:
中国电信湖北分公司
入端口信任DSCP标
interface GigabitEthernet1/1/2
diffserv enable
3.7组播配置规范
3.7.2组播配置
3.7.1组播概述
启用组播sparse模式。
pim sm
rp-address *.*.*.*
diffserv output-queue be flowdefault
diffserv output-queue af2 flowVIP
diffserv output-queue af3 flowIPTV
diffserv output-queue af4 flowNM
diffserv output-queue ef flowNGN
对分散、范围较广、大规模的网络。
配置全局和接口启用组播,接口启用组播sparse模式。
一个分离的组播路由表实现组播转发,PIM分为sparse模式和dense模式,
收者(一次的,同时的)的网络技术。PIM不依赖于某一特定单播路由协议,
它可利用各种单播路由协议建立的单播路由表完成RPF检查功能,而不是维护
dense模式采用全网泛洪的方式构造组播路由表,sparse适用于组成员分布相
组播是一种允许一个或多个发送者(组播源)发送单一的数据包到多个接
interface Gi0/0/0
pim sm
multicast routing-enable
#全局启用组播sparse 模式
湖北电信城域网路由器设备配置规范总则
#全局配置,启用分布式组播路由
#接口启用组播sparse 模式
第47页
中国电信湖北分公司
display pim interface
display pim neighbor
display pim routing-table
湖北电信城域网路由器设备配置规范总则
第48页