大型网络规划检查标准V1.2

华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 I 大型网络规划检查标准大型网络规划检查标准 V1 2 数据通信工程部 2006 年 02 月 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 II 声明 Copyright 2005 华为技术有限公司 版权所有 保留一切权利 非经本公司书面许可 任何单位和个人不得擅自摘抄 复制本书内容的部分 或全部 并不得以任何形式传播 HUAWEI 华为 C C08 EAST8000 HONET 视点 ViewPoint INtess ETS DMC TELLIN InfoLink Netkey Quidway SYNLOCK Radium 雷霆 M900 M1800 TELESIGHT Quidview Musa 视点通 Airbridge Tellwin Inmedia VRP DOPRA iTELLIN HUAWEI OptiX C C08 iNET NETENGINE OptiX iSite U SYS iMUSE OpenEye Lansway SmartAX 边际网 infoX TopEng 均为华为技术有 限公司的商标 对于本手册中出现的其它商标 由各自的所有人拥有 由于产品版本升级或其它原因 本手册内容会不定期进行更新 除非另有约 定 本手册仅作为使用指导 本手册中的所有陈述 信息和建议不构成任何 明示或暗示的担保 技术支持 技术支援网址 客户服务邮箱 support 客户服务电话 8008302118 0755 28560000传真 0755 28560111 地址 深圳市龙岗区坂田华为总部办公楼邮编 518129 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 III 目录 声明 II 技术支持 II 第 1 章 使用说明 1 第 2 章 公共网络检查项 2 2 1 OSPF 协议部署 2 2 2 ISIS 协议部署 4 2 3 BGP 协议部署 5 2 4 Differ server QoS 部署 6 2 5 MPLS L3 VPN 部署 7 2 6 MPLS L2 VPN 部署 8 2 7 STP 部署 9 第 3 章 典型网络特性检查项 12 3 1 城域网 骨干网出口策略部署 12 3 1 1 城域网出口策略部署 12 3 1 2 骨干网 BGP 路由策略部署 12 3 2 IPTV 部署 13 3 3 NGN 3G 承载网特性部署 14 第 4 章 安全 管理检查项 16 4 1 网络物理结构健壮性 16 4 2 安全策略部署 16 4 3 网络管理 17 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 1 第第 1 章章 使用说明使用说明 1 问题性质 用 A B C 表示 A 类问题 定 义 重要问题 严重影响网络安全运行 可能给客户带来损失的错误数据和部署等 整改要求 所有问题必须整改 否则要求与客户签署备忘录 并在质检报告中说明原因 分 值 不小于 2 分 B 类问题 定 义 次要问题 潜在的影响网络安全运行且不会给客户造成损失的错误数据和设置等 整改要求 条件允许时 必须整改 否则在质检报告中说明原因 分 值 1分或1 5分 C 类问题 定 义 其它问题 不影响设备安全运行且不会给客户造成损失的数据和设置等 但是会影 响数据的可读性 今后扩容和维护操作的便利性等 如不规范数据 垃圾数据等 整改要求 尽量整改 分 值 0分 0分的内容为建议 提示或优化依据 D 类问题 定 义 其它问题 与产品及版本相关 不能给出明确参数等 整改要求 确认具体参数 条件允许时作为网络优化依据 分 值 0分 2 表中的 说明 用于填写检查时容易造成误解的内容或修改建议 3 本标准适用产品 数通高端产品 4 本标准解释权归质量管理部和数据通信工程部 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 2 第第 2 章章 公共网络检查项公共网络检查项 2 1 OSPF 协议部署 问题性质检查内容检查方法说明 C 1 OSPF 是否有明确的拓扑结构 收集网络拓扑信息 通过在核心层 边缘层 Router 采集设备配置加以 分析 B 2 骨干区域 Area 0 是否连续 建 议不使用 Virtual link 链接 收集网络拓扑信息 通过在核心层 边缘层 Router 采集设备配置加以 分析 C 3 建议从源端到目的端的 Router Hop 不超过 6 跳 从源端 Router 对目的地做 Tracert 操作 经过跳数 Max Age Max Age 2 Hello Time 1 second 5 超时时间因子的配置 在稳定的网络中 推荐将超时时间因 子设置为 5 6 或者 7 缺省情况下 交换机的超时时间因子 为 3 C 9 使用 STP 时 arp 表项的老化时间 设置 1 如设备支持网络拓扑改变时由 TCN 报文触发 mac 表项和 arp 表项同 步刷新的话 无需手工调整老化时间 2 否则 需要根据网络拓扑动荡情 况调整 arp 表项老化时间 Disp curr网络拓扑频繁动荡时 建议调小 STP 设备的 arp 表项老化时间 减 小对三层转发的影响 C 10 QinQ 用户 VLAN VLAN VPN 中部署 stp 1 需要 QinQ 设备支持 BPDU Tunnel 功能在用户网络间透传 stp 报 文 2 使能 BPDU TUNNEL 的设备上一 定要启动 STP 协议 Disp curr目前 S8500 B02 版本支持 BPDU Tunnel 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 12 第第 3 章章 典型网络特性检查项典型网络特性检查项 3 1 城域网 骨干网出口策略部署 3 1 1 城域网出口策略部署 问题性质检查内容检查方法说 明 B 1 只发布本城域网地址空间路由及大 客户公网地址段 查看设备 BGP 配置 C2 只发布公网聚合路由查看设备 BGP 配置 C 3 建议发布路由时携带 Community 属 性 查看设备 BGP 配置 C 4 建议不发布 MED 值 如果发布 MED 需要与上层网络协商策略 如果不接收 MED 属性的话 可以 在出口设置策略 acl number 2001 description MED change rule 10 permit route policy MED change permit node 10 if match acl 2001 apply cost 0 BGP xxxxx peer EBGP route policy MED change import B 5 避免使城域网成为 Transit AS 如 果城域网内部存在大客户的独立 AS 则不受此限制 城域网不发布从其他 as 学习来的 网段路由 A 6 对于城域网出口设备部署 BGP 时 1 不向 EBGP 发布直连路由 不引 入直连路由 2 IBGP 建立邻居时采用 next hop local 命令 BGP 视图下 不允许配置 import direct 命令 3 1 2 骨干网 BGP 路由策略部署 问题性质检查内容检查方法说 明 C1 只接收城域网发布的公网路由Disp bgp rout 中不存在私网路由 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 13 表项 C 2 只向城域网发布公网聚合路由BGP 视图下 network 命令只发布 公网聚合的路由 B 3 只接收分配给下级网络的路由 同 时接收公网大客户的独立地址段 查看 BGP 路由表 C 4 接收时对路由掩码长度做限制查看 BGP 配置 B 5 有选择的接收由各城域网发布的路 由属性 查看 BGP 配置 C 6 骨干网出口设备建议不发布 AS 间的 直连路由及属于其他 AS 的路由 查看 BGP 配置 不通过命令 import direct 命令或者 network 命 令发布 AS 间的直连网段 3 2 IPTV 部署 问题性质检查内容检查方法说明 C 1 STB 的接入认证方式 1 PPPOE 双栈 2 DHCP 查看 STB 上是否需要手动设置用 户帐号 第一种 国内开局多采用 需确认 STB 是否支持双栈 第二种 海外开局相对较多 在核 心层设备上需要启用 DHCP 代理 C 2 组播协议选择 1 PIM DM 适用于小型网络 对带 宽占用高 2 PIM SM 适用于大型网络 相对 节省带宽 查看设备脚本 dis cu第二种使用较多 需要规划 RP 的 部署方式 C 3 ES 的位置选择 1 侧挂 BAS 或组播交换机 路由器 适用于建网初期 带宽比较充足 用 户数量较少的情况 2 侧挂 DSLAM 后期用户数量增加 流量增大 需要节省核心层的带宽 查看网络拓扑及链路带宽第一种使用较多 因为靠近核心层 带宽较为充足 B 4 RP 的部署方式 1 中小型网络 建议选择静态 RP 方 式 对设备要求最低 也最稳定 2 大型网络 可以采用 BSR 或 Anycast RP 方式 可靠性高 易维护 查看网络拓扑及设备脚本 dis cuRP 的部署方式 包括静态 RP BSR Auto RP Anycast RP 其中静态 RP 配置方式最为稳 定但存在单点故障问题 Anycast RP 方式具有备份功能 但需要 MSDP 支持 C 5 如果选择部署静态 RP 建议选择直 连组播源的设备做 RP 静态设置 RP PIM 视图下 static rp rp address 这样可以减少源注册的路径 B 6 IPTV 承载网设备必须支持三层组播 功能 接入交换机最好要支持 IGMP 查看设备规格和版本说明书接入交换机上可通过配置组播 VLAN 来提高组播报文复制的效率 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 14 snooping 和 IGMP Filter 接入交换机 DSLAM 上启用 IGMP Filter 组播不向非法用户复制 实 现帐户的安全控制 C 7 建议视频组播流量应控制的核心网 带宽的 30 以内 网络流量模型 设备端口流量收 集 需要为宽带 VPN NGN 网管等 其他业务预留带宽 C 8 建议保证单播视频流总流量控制在 核心网带宽的 30 以内 网络流量模型 设备端口流量收 集 需要为宽带 VPN NGN 网管等 其他业务预留带宽 C 9 VOD 业务需要配合整网的合理规划 随用户数的增加 逐渐将 ES 下移 查看网络拓扑及链路带宽以便释放更多的带宽 C 10 建议配置静态加入组播组以加快频 道切换时间 接口视图下 igmp static group group address 无论是否有用户加入组播组 BAS 甚至 DSLAM L2 都可事先加入组播 组 不会因为是第一个用户而等待 较长时间 提高频道切换速度 C 11 组播复制点 1 BAS 适用于建网初期 用户数量 少 下层设备不支持组播的情况 2 IP DSLAM L2 交换机 用户数量 扩大后 易于控制和管理 且提高带 宽利用率 第一种 BAS 的下行接口配置 PIM 和 IGMP 第二种 BAS 的下行口划分为两 个子接口 一个子接口用于下发 组播流 并配置 PIM 和 IGMP 另一个子接口用于透传 PPPOE 或 DHCP 报文 同时 DSLAM 上配置 IGMP PROXY 采用边缘复制对带宽利用最合理 但是要求 DSLAM 支持组播复制 C 12 QOS 部署 IPTV 承载网核心汇聚层建议采用带宽 预留 MPLS DiffServ TE 接入层采 用 VLAN PVC 隔离 802 1p 双向带 宽控制 CAR 查看设备脚本 dis cu需要综合考虑用户数量 IPTV 业务 带宽大小 总带宽大小等因素 3 3 NGN 3G 承载网特性部署 问题性质检查内容检查方法说 明 B 1 核心网交换机如果启用 STP 下挂 终端的端口设置为 stp disable 或者 edge port 接口视图下配置 stp edged port enable A 2 如果使用交换机连接软交换设备 两台交换机之间只透传使用的 VLAN 禁止透传所有 VLAN 禁止透 传 VLAN 1 不允许出现 trunk permit vlan all A 3 如果使用交换机连接软交换设备 并且在交换机上启用 VRRP 协议 两 台交换机之间至少连接两条物理链路 做捆绑 并且运行 OSPF 保证 OSPF 心跳 以增加链路的健壮性 确保 VRRP 心跳不中断 A4 如果在核心网中使用了防火墙设备 检查 COST 值策略与流量走向策 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 15 则需要控制流量的上行 下行路径一 致 略一致 B 5 在使用 VRRP 的实现部分 尽量保 证 VRRP 主备不频繁切换 不设置监 测端口 B 6 尽量避免在承载网的骨干网和 NGN 的核心网中使用两套 IGP 协议 A 7 骨干网部署 APDP 接口备份时 要合 理配置链路 COST 值 避免环路的出现 B 8 建议将 NGN 3G 业务流和网管流 其他数据流量等进行逻辑隔离 保障 业务安全性 收集网络拓扑及配置信息 分析业 务流是否与网管等其他流量进行逻 辑隔离 B 9 如果存在公网个人用户直接访问核 心网的组网环境 必须通过 SBC 隔离 公网和核心网络 收集网络拓扑及配置信息 C 10 QOS 设置中建议将语音流划分入 EF 流 信令流划分入 AF4 流 收集配置信息 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 16 第第 4 章章 安全安全 管理检查项管理检查项 4 1 网络物理结构健壮性 问题性质检查内容检查方法说 明 C 1 板卡级健壮性 1 主控板 交换网板 电源 风扇是 否实现冗余备份 2 如果拓扑结构涉及到双上行 如果 条件允许 上行口需要分布在不同的 业务板上 同时考虑到设备物理结构 如供电方式 散热方式 电缆布放等 3 双上行端口的流量 建议每端口 带宽平均利用率不超过 40 C 2 设备级健壮性 网络中关键节点保证双设备 双链路 上行 B 3 传输链路级健壮性 传输保护 关 键节点双设备双链路传输要求不通过 同一传输通道 同一传输光缆承载 C 4 平面级健壮性 关键节点双平面保 护 条件允许的话要求异地容灾 4 2 安全策略部署 问题性质检查内容检查方法说明 C 1 协议安全 BGP ISIS OSPF RIP PIM LDP NTP 两个安全域之间运行的协议启用安全认 证 不需运行路由协议的接口禁止运行 路由协议或改为 silent 接口 B 2 远程登录 1 对 telnet ssh 设置最大登陆数量限 制 4 对 Telnet ssh 设置访问控制列表 2 idle timeout 3 建议采用先 radius HWtacacs 后 local 的认证方式 同时进行授权 审 计操作 查看 user interface vty 下的配置 需要 ACL 限制登录地址 idle timeout 配置设置用户界面断连的 超时时间 不允许出现 0 0 的时 间参数 华为产品工程维护资料 大型网络规划检查标准 V1 2 资料发布的时间 2006 02 16 17 4 对 Telnet ssh 设置访问控制列表 C 3 ACL 过滤 对 snmp server 地址做相应的 acl 过滤 查看 snmp 配置 D 4 Access 接口部署病毒过滤和 urpf 查看设备是否配置了病毒 acl 在 接入层部署 urpf 命令 需要确认版 本 D 5 对上送 cpu 的报文做 car 8090 版本通过命令 cpcar 命令设 置上送 cpu 的报文速率 D6 对 VPN instance 做 route limit 查看 peer route limit 命令配置 C 7 在 PE 的 VPN 用户侧接口上关闭针 对目的地为 PE 的 Telnet 功能 同时 也可以在该接口关闭目的地为 PE 的常 见服务端口 查