中国电信城域网路由器配置规范模板.doc

中国电信城域网路由器配置规范模板中国电信集团公司2006年10月中国电信集团公司编制说明为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。本课题涉及的对象就是城域网网络设备配置的相关规范标准，目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对城域网核心层路由器设备制定相关配置规范。本文主要内容安排如下：1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位；2. 从网络配置方面阐述配置内容以及规范要求，并给出主流路由器型号设备的配置示例。针对路由器设备，网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等；3. 提出文档维护和执行的管理要求。本文涉及到的术语和缩写：ospf: open shortest path first (开放式最短路径优先协议)bgp： border gateway protocol （边界网关协议）isis：intermediate system to intermediate system (中间系统到中间系统)snmp：simple network management protocol （简单网络管理协议）ntp: network time protocol （网络时间协议）h-qos: hierarchical quality of servie(层次化qos)版本变更记录日期版本说明作者2006.5.281.0创建宛传东200修改了格式宛传东200按集团大纲讨论会会议意见进行大纲修改林向彬2006.112.0阿尔卡特根据章节规定填写相应内容alcatel2006.123.0阿尔卡特根据反馈意见修改相应内容alcatel目 录1. 概述52. 系统基本配置52.1 设备名称配置52.2 系统时间配置52.3 ntp配置62.4 主备卡切换配置72.5 aaa配置（登录用户）83. 端口配置93.1 loopback端口配置93.2 ge端口配置93.3 pos端口配置103.4 atm端口配置113.5 端口镜像配置134. 安全配置144.1 acl配置144.2 防攻击配置（加设备自身安全加固）155. 网管配置215.1 网管地址配置215.2 telnet配置215.3 ftp配置235.4 snmp235.5 syslog245.6 配置备份255.7 ssh配置265.8 netflow备份266. 路由配置276.1 黑洞路由配置276.2 静态路由配置286.3 ospf配置286.4 isis配置336.5 bgp配置366.6 路由策略（出口路由器分流策略）配置437. qos配置477.1.1 调度和拥塞控制478. 组播配置489. vpn配置（l2和l3 mpls vpn配置）499.1 p路由器配置499.2 pe路由器配置（三层vpn）539.3 pe路由器配置（vpls）5610. 个性化配置5910.1 cli结构5910.1.1 层次化命令结构5910.1.2 在cli中获得帮助6110.2 硬件板卡配置6210.3 远程镜像6310.4 qos配置6610.4.1 7750sr qos实现模型6610.4.2 网络口出口qos队列规划（举例）6610.4.3 网络口入口qos规划表（举例）6710.4.4 网络口qos配置6810.4.5 业务口入口qos配置7510.4.6 业务口出口qos配置7910.4.7 层次化qos（h-qos）配置8110.5 7750sr常用维护命令8411. 文档要求8588中国电信城域网router配置规范模板1. 概述经过城域网改造扩容后，目标网络结构如图1所示。骨干路由器作为城域骨干网核心层设备，主要需要具备三层路由和高速转发功能，负责对业务接入控制点设备进行汇接并提供ip 城域网到骨干网和cn2的出口。图1：城域网目标结构图骨干路由器可级联为两级。其中，出口路由器双挂chinanet 和cn2，提供ip 城域网到骨干网的出口；其他核心路由器上联出口路由器，完成业务接入控制点的分片汇接。核心路由器主要提供数据的高速转发，在开通mpls vpn的情况下作为p路由器。2. 系统基本配置2.1 设备名称配置n 配置内容：配置设备名称n 规范要求：设备名称要求符合配置有关命名规范；n 配置示例：#configure system name “r1-c-xxx-1”查看该项配置内容：router-nameconfigsystem#info2.2 系统时间配置n 配置内容：配置系统时间；n 规范要求：系统时间要求采用标准北京时间；n 配置示例：#configure system time zone gmt8 08 /配置系统时区# admin set-time 2006/10/10 04:10:00 /修改系统时间查看该项配置内容：router-nameconfigsystemtime#info# show time /显示系统目前时间2.3 ntp配置n 配置内容： 配置主备ntp服务器 配置源接口n 规范要求： 城域网出口路由器ntp server指向专用ntp服务器 城域网其他路由器指向出口路由器n 配置示例timos4.0版本前只能作ntp client, 如下routerconfigsystemtimesntp#sntpserver-address xxx.xxx.xxx.xxxserver-address xxx.xxx.xxx.xxx preferno shutdownexit查看该项配置内容：router-nameconfigsystemtimesntp#infotimos4.0版本以后可以既作ntp server又可以作ntp client, 按照“规范要求”城域网出口路由器配置如下：routerconfigsystemtimentp# ntp-server transmit 2 /ntp-server配置该设备为ntp server, transmit配置要求对client端进行认证； authentication-check authentication-key 2 key m23v7d4qu/d9.rxqxvghpk hash2 type des server version 4 prefer /指向专用ntp服务器 no shutdown按照“规范要求”城域网其他路由器指向出口路由器：routerconfigsystemtimentp# authentication-check authentication-key 2 key m23v7d4qu/d9.rxqxvghpk hash2 type des server key 2 prefer server key 2 no shutdown查看该项配置内容：router-nameconfigsystemtimentp#info2.4 主备卡切换配置n 配置内容：配置系统引擎冗余模式n 规范要求： 支持sso的路由器应配置为sso模式 不支持sso的路由器应配置为rpr+模式n 配置示例在4.0版本，配置了双sf/cpm的7750sr路由器在主备cpm切换时可保证不间断路由（non stop routing）、不间断业务（non stop service）nonstop routing (nsr)nsr可保证cpm切换时bgp,ldp,ospf,isis等路由session不终断，对端路由器不会感知到任何变化。nsr不需要任何扩展协议，也不存在互通问题。转发信息始终处于最新状态，不会出现转发环路。nsr不需要配置命令激活，当系统配置了双sf/cpm，nsr的功能就已经存在。验证双sf/cpm正常工作，即验证了nsr。7750sr# show card=card summary=slot card card card admin operational allowed provisioned equipped state state -2 all supported iom-20g iom-20g up up a all supported sfm-400g sfm-400g up up/active b all supported sfm-400g sfm-400g up up/standby =7750sr#2.5 aaa配置（登录用户）n 配置内容：启用aaa认证n 规范要求： 根据aaa认证服务器的类型指定采用radius认证还是tacass+认证； 指定认证密钥； 本地配置用户名和密码作为备份的认证方式n 配置示例若指定配置radius认证，则：routerconfigsystemsecurity# info- password authentication-order radius local attempts 60 time 5 lockout 0 exit radius authorization accounting server 1 address x.x.x.x secret timetra exit user test password xxx hash /用于本地认证 access console console member administrative member default exit-routerconfigsystemsecurity#若指定配置tacass认证，则：routerconfigsystemsecurity# info - password authentication-order tacplus local exit tacplus authorization accounting single-connection source-address 18 server 1 address secret timetra exit-3. 端口配置3.1 loopback端口配置n 配置内容:配置loopback端口ip地址和子网掩码n 规范要求:端口子网掩码为32位n 配置示例:7750sr路由器缺省使用system关键字作为loopback端口#configure router interface system address x.x.x.x/32配置第二个loopback地址:#configure router interface system1 address y.y.y.y/32#configure router interface system1 loopback 查看该项配置内容：router-nameconfigrouter#info#show router interface3.2 ge端口配置n 配置内容： 配置端口描述 配置自适应模式 配置ip地址n 规范要求 端口描述符合有关命名规范； 不同厂家ge口互联应关闭自适应模式 接口mtu配置为1524n 配置示例首先配置物理端口port属性:routerconfig#info port 1/1/3 description to router-name ge /使用双引号，最长80个字母 ethernet mtu 1524 mode access|network /上连路由端口选择network，放入service中的端口选择access no autonegotiate exit no shutdown exit再将port与三层逻辑端口绑定：routerconfig#info interface inf-name address 8/30 port 1/1/3 exit一个ip interface名字最长32个字母（包含数字），区分大小写，必须以字母开头；查看该项配置内容：router-nameconfigrouter#inforouter-nameconfigport#info#show port x/y/z#show router interface3.3 pos端口配置n 配置内容: 配置端口描述 配置ip地址 配置时钟源 配置帧格式 配置封装格式n 规范要求: 端口描述符合有关命名规范； 接口封装为ppp 路由器间pos口光纤直联时采用主从时钟，与传输互联时钟跟随传输 帧格式为sdhn 配置示例:port 1/1/4 description to router-name 2.5g (1/2/1) sonet-sdh framing sdh clock-source node-timed path no shutdown exit exit no shutdown exit查看该项配置内容：router-nameconfigport#info#show port x/y/z#show router interface3.4 atm端口配置n 配置内容： 配置端口描述 子接口配置ip地址 子接口配置mtu 配置pvc参数n 规范要求： 端口描述符合规范要求 设置为点对点子接口方式 配置oam-pvc manage aal5 snap封装n 配置示例：将port配置为atm模式（假定atm接口都作为用户接入接口）router# configure port 1/2/3 sonet-sdh path mode access encap-type atm atm cell-format uni /也可定义为nni，但须两端统一 exit no shutdown exit exit no shutdown exit关联ies业务到该端口router#configure service ies 4000 customer 1 create /创建ies业务 interface atm_1/2/3_oc12 create description “atm-ies” address /24 sap 1/2/3:255/255 create /假定vpi/vci=255/255 atm encapsulation aal5snap-routed /aal5 snap封装ingress traffic-desc 2 /指定业务类型，带宽等信息exitegress traffic-desc 2 /指定业务类型，带宽等信息exit oam alarm-cells exit exit exit no shutdown exitrouterconfigqos# atm-td-profile 2 createrouter configqosatm-td-profile$ description atm td profile policyrouterconfigqosatm-td-profile$ service-category nrt-vbr /service category=nrt-vbrrouterconfigqosatm-td-profile$ traffic sir 4000 pir 5000 /sir=4m, pir=5mrouterconfigqosatm-td-profile$ info-description test atm td profile policyservice-category nrt-vbrtraffic sir 4000 pir 5000-查看该项配置内容：router-nameconfigport#info#show port x/y/z#show router interface 3.5 端口镜像配置n 配置内容：端口镜像n 规范要求：n 配置示例： 配置config port 1/1/3 ethernet mode accessconfig port 1/1/3 ethernet encap nullconfig port 1/1/3 no shutdownrouter-nameconfigmirror#info mirror-dest 1000 create sap 1/1/3:0 create /以物理端口1/1/3作为目的端口 exit slice-size 1400 no shutdownexitdebug mirror-source 1000 port 1/1/1 ingress egress /镜像1/1/1端口上的进、出数据debug mirror-source 1000 no shutdown查看该项配置内容：#show debug4. 安全配置4.1 acl配置n 配置内容：配置防病毒acln 规范要求：正常情况下只在入接口启用acln 配置示例：routerconfig# filter ip-filter 100 create default-action forward description denfend-virtus entry 10 create match protocol tcp dst-port eq 69 exit action drop exit entry 20 create match protocol udp dst-port eq 135 exit action drop exit exit /根据病毒协议和端口配置其他过滤规则应用filter到端口：7750srconfigrouter#interface “xxx”ingressfilter ip xxexitexit查看该项配置内容：router-nameconfigfilter#inforouter-nameconfigrouterinterface#info4.2 防攻击配置（加设备自身安全加固）n 配置内容： 将配置文件中所用密码信息加密 关闭不必要的服务； 启用urpfn 规范要求： 在全局模式下需关闭finger、pad、tcp-small-servers、udp-small-servers等服务进程； 在接口模式下需关闭proxy-arp、ip direct-broadcast和ip redirects等功能； 在用户网段或服务器网段上启用urpf 如果设备支持，启用copp对设备cpu进行保护n 配置示例（1）正常情况下，只打开7750sr路由器的ssh 服务（系统缺省打开），允许用户通过ssh管理、配置路由器，其他服务在需要的时候再打开，不用时关闭。通过如下命令关闭telnet和ftp服务：#configsystemsecurityno telnet-server#configsystemsecurityno ftp-server查看该项配置内容：router-nameconfigsystemsecurity#info通过如下命令确认系统开放端口：#show system connections正常情况下系统只开放如下端口：tcp 179：用于bgp连接tcp 22：用于ssh登录tcp 646：用于ldpudp 161：用于snmpudp 123：用于ntp（2）限制异常流量带宽7750sr路由器对于那些必须经过cpm上的cpu进行处理的流量可以通过cpm-filter命令来进行识别，该命令作用于流量到达cpm cpu之前的p-chip芯片上，并可根据情况选择这些流量通过、拒绝或对其进行cpm-queue限速。限制异常icmp流量 大量对路由器端口或system地址的ping包都会造成cpm cpu利用率增加，可通过cpm-filter匹配由iom送到cpm板卡上的icmp报文，并通过cpm-queue限制其速率。参考配置如下：部署cpm-queuerouter-nameconfigsyssecuritycpm-queue# info- queue 40 create cbs 1000 mbs 1000 rate 2000 cir 2000 /为icmp协议只分配2000 kbps带宽 exit-部署cpm-filterrouter-nameconfigsyssecuritycpm-filter# info- ip-filter no shutdown entry 40 create action queue 40 match protocol icmp exit exit exit-限制异常tcp syn流量 tcp syn flood攻击通过大量伪造的源地址报文向路由器发送tcp syn连接请求，路由器的tcp缓存队列被占满后，将拒绝新的连接请求。通常路由器设备的tcp连接主要来自临近路由设备的路由协议（如bgp协议采用tcp179端口，ldp协议使用646端口建立tcp session），以及telnet, ssh等管理需要。参考配置如下：部署cpm-queuerouter-nameconfigsyssecuritycpm-queue# info- queue 50 create cbs 1000 mbs 1000 rate 2000 cir 2000 /为tcp syn流量只分配2000 kbps带宽 exit-部署cpm-filterrouter-nameconfigsyssecuritycpm-filter# info- ip-filter no shutdown entry 50 create action queue 50 match protocol tcp tcp-syn true src-ip /8 exit exit entry 51 create action queue 50 match protocol tcp tcp-syn true src-ip /12 exit exit entry 52 create action queue 50 match protocol tcp tcp-syn true src-ip /16 exit exit exit-注：上述配置基于常见syn flood采用的源地址，只对这些源地址产生的tcp连接进行限速，其他正常的tcp连接不受影响。（3）限制路由器的访问控制7750sr路由器可通过management-access-filter命令控制进、出cpm的流量，其动作只有permit或deny，可用于设置路由器的登录访问控制：对ssh登录源地址限制：router-nameconfigsystemsecuritymgmt-access-filter# info- default-action permit /必须为permit，否则所有未明确permit的流量均会被拒绝 entry 10 src-ip x.x.x.x/32 /允许登录的第一台主机 dst-port 22 65535 action permit exit entry 15 src-ip y.y.y.y/32 /允许登录的第二台主机 dst-port 22 65535 action permit exit . entry 100 /该条目放在最后，用于拒绝所有其他主机 dst-port 22 65535 action deny exit-对于telnet登录限制可将上述配置中的dst-port值设置成23，entry编号从110200；对于snmp访问控制可将上述配置中的dst-port值设置成161，entry编号从210300；（4）密码管理7750sr的系统密码管理缺省配置如下：router-nameconfigsystemsecuritypassword# info detail - authentication-order radius tacplus local no aging minimum-length 6 attempts 3 time 5 lockout 10 complexity health-check no admin-password-a)建议设置aaa服务器管理用户登录；b)建议设置密码失效时间为30天；c)建议设置密码最短长度为8；d)建议加强本地密码设置的复杂程度，如必须包含数字，必须包含特殊字符，必须包含字母大小写。e)建议配置admin-password，该命令可允许任何在线用户通过输入enable-admin密码后成为系统管理员。密码参数修改后如下：router-nameconfigsystemsecuritypassword# info detail - authentication-order radius tacplus local aging 30 minimum-length 8 attempts 3 time 5 lockout 10 complexity numeric mixed-case special-character health-check admin-password -（5）在端口下关闭一些平时不用的协议（缺省关闭）router-nameconfig#interface “example” address 03/32 no description no arp-timeout no allow-directed-broadcasts no local-proxy-arp no proxy-arp no ntp-broadcast no cflowd no shutdown exit（7）目前7750sr暂不支持urpf。目前我们还不支持urfp功能，但是可以通过配置filter来实现相同的功能。比如在路由表中有路由：/20 next-hop 29, next-hop 90则可以为interface 30和89配置一个ip-filter只允许源地址为/20的那些包进入这两个interface:router-nameconfigfilter# ip-filter 10 create router-nameconfigfilterip-filter$ default-action droprouter-nameconfigfilterip-filter$ entry 10 createrouter-nameconfigfilterip-filterentry$ match src-ip /20router-nameconfigfilterip-filterentry$ action forwardrouter-nameconfigfilterip-filterentry$ exit（filter中包含路由表中所有以29为下一跳的路由，否则会有丢包，因为filter的默认动作是drop以实现urfp的功能。汇总一段路由，则创建一个entry来匹配）然后将该ip-filter应用到到interface 30和89的ingress上router-nameconfigrouter# interface “interface1”router-nameconfigrouterif# ingress filter ip 10router-nameconfigrouterif#exitrouter-nameconfigrouter#interface “interface2”router-nameconfigrouterif# ingress filter ip 10router-nameconfigrouterif#exit同样地，为其它地址创建类似的ip-filter并应用到相应的interface ingress方向上。查看该项配置内容：router-nameconfigfilter#info5. 网管配置5.1 网管地址配置n 配置内容：配置网管地址n 规范要求：正常情况下采用loopback地址作为网管地址n 配置示例：见3.1 loopback端口配置采用带内网管需确保system（loopback）地址纳入igp