年MDCN网络扩容项目县级汇聚交换机入网方案.doc

2 16 云南移动云南移动 2010 年年 MDCN 扩容项目扩容项目 县级汇聚交换机入网方案县级汇聚交换机入网方案 上海华讯网络系统有限公司上海华讯网络系统有限公司 20112011 年年 3 3 月月 3 16 目目 录录 1概述概述 4 2设备 板卡及接口配置设备 板卡及接口配置 5 1 1设备命名规范 5 1 2端口描述规范 5 1 3设备的访问及访问控制 5 1 3 1远端登陆管理要求远端登陆管理要求 5 1 3 2ConsoleConsole 端口配置端口配置 5 1 3 3访问控制访问控制 5 1 4设备高可靠性措施 6 1 5设备端口配置 7 1 5 1MTUMTU 值设计值设计 7 1 5 2GEGE 端口配置端口配置 7 1 6配置需求 7 1 7配置模板 7 未使用端 9 2IP 地址分配地址分配 10 3云南云南 MDCN 县级网络结构县级网络结构 11 4网络路由和转发实现方案及配置网络路由和转发实现方案及配置 13 4 1协议部署 13 4 2OSPF 规范 14 5 4 1Meric CostMeric Cost 14 5 4 2参数规划参数规划 14 5县级交换机入网测试县级交换机入网测试 15 5 1业务测试 15 5 2倒换测试 15 4 16 1 概述概述 本规范主要针对 MDCN 省网汇聚路由器和 MDCN 地州延伸网各级设备 主要包含两个层 次的内容 方案与配置命令 方案主要指出实施需实现的目标 效果和实现的手段 配置 命令包括 2 部分 即配置需求和配置模板 配置需求针对每个功能和特性提出了详细的配 置需求 各厂商根据配置需求给出所需的命令语句 要求 要求 各厂家根据本规范给定的配置模版 需要通过备注形式对每条命令行进行解释 5 16 2 设备 板卡及接口配置设备 板卡及接口配置 1 1设备命名规范设备命名规范 请参考 交付件 2 1 云南移动 MDCN 集成项目网络资源命名规范 V1 0 doc 1 2端口描述规范端口描述规范 请参考 交付件 2 1 云南移动 MDCN 集成项目网络资源命名规范 V1 0 doc 1 3设备的访问及访问控制设备的访问及访问控制 1 3 1远端登陆管理要求远端登陆管理要求 对于远程登陆要严格控制 只允许信任主机以特定方式 telnet ssh 登陆路由器 远程登录按省公司维护管理 原则上省公司拥有城域网上所有设备的全部权限 地州 维护管理 拥有地州核心路由器以下设备 不包含地州核心路由器 的全部权限 监控系 统拥有城域网上所有设备的只读权限 管理员分两级 读写级的必须实名制 值班员公用 的职能配发只读级 路由器 VTY 端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备 主动中断远程连接 这样可以防止所有远程登录 VTY 端口占用而无法对设备进行管理 将 此超时值设置为 5 分钟 针对 VTY 端口要设置相应的访问控制列表来限制通过 VTY 端口对路由器的访问 访问控制列表通过区分不同用户的网段来进行过滤 原则举例如下 县级汇聚交换机维护权由地州和县共同负责 具体登陆限制条件有地州分公司和 县公司规定 在设备测试阶段针对 VTY 端口不设置访问控制列表 1 3 2ConsoleConsole 端口配置端口配置 路由器 console 端口要设置口令 尤其必须设置超级口令 以保证设备的安全 在测试阶段用户名和密码为 ynmdcn yndmcn 1 3 3访问控制访问控制 VTY 控制 安全目标 防止非法用户通过 Telnet 获取云南移动 MDCN 城域网设备的控制能力 6 16 攻击手段 非法用户获得网管或维护终端的控制能力 通过网管或维护终端登陆到城域网设 备进行操作控制 无法获取 VTY 通道 直接进行 DoS 攻击 致使正常的 VTY 连接受到影响 保护手段 Access 端口上通过分组过滤策略过滤非法的 Telnet 数据包 Access 端口上通过严格反向路径查找过滤掉进行 DoS 攻击的伪造源地址数据包 对 Telnet 或 SSH 进行最大连接数限制 idle timeout 设置为 5 分钟 最多允许 同时 5 个在线防止攻击 加强密码管理 采用集中认证技术 同时进行认证 授权 审计操作 SNMP 控制 安全目标 防止非法用户通过 SNMP 管理接口获取设备信息或对设备进行控制 攻击手段 盗取 SNMP 密码 获得 SNMP 访问通道 利用 SNMP 管理接口获取设备信息或 对设备进行控制 保护手段 Access 端口上通过分组过滤和严格反向路径查找过滤非法的 SNMP 数据包 采用 SNMP V2 V3 安全版本 使用 MD5 认证算法 利用 MIB View 关闭大数据量的 表类型变量 如路由表和转发表 考虑到目前大部分网管系统需要设备开放 SNMP 写权限 因此不关闭设备 SNMP 的 写控制 SNMP 使用的团体属性密码与现网保持一致 1 4设备高可靠性措施设备高可靠性措施 网络设备是组成多业务城域网的基本节点 其可靠性是整网可靠性的基础 主流网络 设备的关键部件 包括主控单元 交换单元 电源 制冷系统等 大多采用热备份冗余设 计 这是保证电信级城域网可靠性的最基本要求 主备引擎冗余配置 配置控制卡之间的配置文件和动态数据同步 配置控制卡在故障 情况下的无缝倒换 设置主备引擎为最优保护方式 7 16 1 5设备端口配置设备端口配置 1 5 1MTUMTU 值设计值设计 由于县级交换机和地州营业厅接入交换机 4503 之间没有特殊的协议部署 4503 与县 级交换机之间采用默认的 MTU 值 1 5 2GEGE 端口配置端口配置 GE 端口的参数配置规范如下 1 关闭 GE 端口自动协商 配置为强制千兆全双工模式 1 6配置需求配置需求 1 配置 Hostname 时区为东 8 区 2 定义 OSPF 的 router id 为第一上行接口地址 3 配置 2 个级别的管理组 分别为全部权限和只读权限 4 配置 console 口令 配置 console 口反向 telnet 方式 5 设备配置 telnet vty 并发连接数为 5 空闲时间为 5 min 加访问控制列表只允 许特定网段访问 具体 ACL 名字见命名规范 6 配置系统的所有告警日志 保存到本地 系统所有登陆日志 保存到本地 7 考虑将所有设备的系统日志要求预先设置发送至总部网管中心日志服务器 1 7配置模板配置模板 设备基本信息配置 sysname hostname1 slave auto update config slave switchover enable router id x x x x 第一上行接口 IP 地址 user interface maximum vty 5 设置登录用户的最大数目 user interface con 0 authentication mode aaa user interface aux 0 8 16 user interface vty 0 4 缺省最大同时在线数为 5 个 acl 3000 inbound authentication mode aaa idle timeout 5 0 设置用户界面断连的超时时间 5 登陆账户 登陆账户 配置远程登陆信息 说 明 请分集成商配置临时账户 并告诉总集成商 配置规范 username Kchwg719 privilege 15 password 7 012A08075605031B731C1E515825 username liubotaprivilege 15 password 7 023605481831003368 username wangdongxprivilege 15 password 7 03335F13575B7615185A username huanggongxuprivilege 15 password 7 12290404013C03160E username ccynmon08 privilege 15 password 7 000943080D4F04144E01 username jiankongshpassword 7 0966451A485744 配置远程访问配置远程访问 interface vty 0 15 进入 VTY 模式 login authentication MDCN 配置 VTY 登陆认证方式为 AAA idle timeout 10 0 配置 VTY 空闲时间为 10 分钟 access class 10 in 配置 TENET 访问限制 登陆账户 登陆账户 配置远程登陆信息 说 明 请分集成商配置临时账户 并告诉总集成商 配置规范 username 用户名全拼用户名全拼 手机号手机号 privilege N secret 用户名格式 用户名全拼用户名全拼 手机号手机号 username Kchwg719 privilege 15 password 7 012A08075605031B731C1E515825 username liubotaprivilege 15 password 7 023605481831003368 username wangdongxprivilege 15 password 7 03335F13575B7615185A username huanggongxuprivilege 15 password 7 12290404013C03160E username ccynmon08 privilege 15 password 7 000943080D4F04144E01 username jiankongshpassword 7 0966451A485744 配置远程访问配置远程访问 interface vty 0 15 进入 VTY 模式 9 16 login authentication MDCN 配置 VTY 登陆认证方式为 AAA idle timeout 5 0 配置 VTY 空闲时间为 10 分钟 access class 10 in 配置 TENET 访问限制 GEGE 端口端口 interface gigabitethernet interface number description interface description ip address ip address ip mask duplex full 强制全双工 no negotiation no shutdown 未使用端未使用端 配置内容 关闭所有未使用端口 10 16 2IP 地址分配地址分配 县级汇聚交换至地市营业厅汇聚交换机 4503 之间互联地址及其设备名称统一分配 请参考 MDCN 县级交换机 IP 地址分配表 MDCN四期县级交换 机IP地址分配表 xls 11 16 3云南云南 MDCN 县级网络结构县级网络结构 MDCN 现网网络架构 目前 MDCN CE 接入层均落地地市核心机房 县级延伸部分没有纳入 MDCN 的统一规划 本次工程将在各县新增 1 台汇聚交换机 以满足各县分公 司办公和营业厅对接入需求 同时为满足各县分公司访问 MDCN 相关业务系 统的带宽需求 本次新建的县级汇聚交换机采用 1GE 口上行 此次工程之后 MDCN 网络架构如下图所示 12 16 13 16 4网络路由网络路由和转发实现方案及配置和转发实现方案及配置 4 1协议部署协议部署 依据 MDCN 层次化的设计原则 路由协议部署同样采取层次化得部署原则 整 体的部署入下图所示 如上图所示 省干网部分运行 BGP 及 MPLS VPN 承载各业务 VPN 地 市核心 PE 与个业务 CE 间运行 OSPF 协调 本次新建的县级汇聚交换机与地 市营业厅汇聚交换机之间运行 OSFP 14 16 4 2OSPF 规范规范 5 4 1Meric CostMeric Cost 同一条链路两端的 COST 要求一致 各类端口 Cost 规划如下表 与现网保持一致 链路链路 OSPF Cost 地市汇聚 4503 1 县汇 聚交换机第一上行口 10 地市汇聚 4503 2 县汇 聚交换机第二上行口 20 地市汇聚 4503 1 地市 汇聚 4503 2 10 5 4 2参数规划参数规划 以下给出 OSPF 协议在网络中部署可能用到的参数定义及赋值 编号编号OSPF 相关数据相关数据配置配置 1Process ID1 2ROUTER ID县级汇聚交换机第一上行口地址 3接口 cost 值参考上述原则 4端口类型P2P 10缺省路由类型Type1 11Area id0 15 16 5县级交换机入网测试县级交换机入网测试 5 1业务测试业务测试 县级交换机两台上行链路均正常时 完成下表测试并做好相应记录 IPIP 地址地址用途用途测试结果是否与割接前相符测试结果是否与割接前相符备注备注 10 168 2 71 BOSS 应用服务器 是 否 10 168 2 72 BOSS 应用服务器 是 否 10 168 3 65 经分应用服务器 是 否 10 168 3 66 经分应用服务器 是 否 10 168 3 145 经分应用服务器 是 否 10 168 3 146 经分应用服务器 是 否 10 168 4 27 一级 BOSS 服务器 是 否 10 168 4 28 一级 BOSS 服务器 是 否 10 168 4 145 一级 BOSS 服务器 是 否 10 168 4 146 一级 BOSS 服务器 是 否 10 168 4 205 一级 BOSS 服务器 是 否 10 168 4 206 一级 BOSS 服务器 是 否 10 168 6 135 BOSS 应用服务器 是 否 10 168 6 136 BOSS 应用服务器 是 否 10 168 10 66 OA 应用服务器 是 否 重点测试 10 168 10 67 OA 邮件服务器 是 否 重点测试 10 168 25 28 BOSS 数据库服务器 是 否 重点测试 10 168 25 99 BOSS 数据库服务器 是 否 重点测试 10 168 28 23 CRM1 服务器 是 否 重点测试 10 168 28 29 CRM3 服务器 是 否 重点测试 10 168 30 154 BOSS 数据库服务器 是 否 10 168 30 155 BOSS 数据库服务器 是 否 10 168 31 62 CRM2 服务器 是 否 重点测试 10 168 31 65 CRM4 服务器 是 否 重点测试 10 168 31 80 HLR 联指服务器 是 否 重点测试 10 168 31 81 MSC 采集服务器 是 否 重点测试 10 168 34 16 网管服务器 是 否 重点测试 10 168 34 18 网管服务器 是 否 重点测试 10 168 141 80 客服数据库服务器 是 否 重点测试 10 168 141 98 客服应用服务器 是 否 重点测试 135 32 22 154 企业 QQ 服务器 是 否 重点测试 5 2倒换测试倒换测试 如下图所示断开县级汇聚交换机其中一条链路是完成业务测试 16 16 IPIP 地址地址用途用途测试结果是否与割接前相符测试结果是否与割接前相符备注备注 10 168 2 71 BOSS 应用服务器 是 否 10 168 2 72 BOSS 应用服务器 是 否 10 168 3 65 经分应用服务器 是 否 10 168 3 66 经分应用服务器 是 否 10 168 3 145 经分应用服务器 是 否 10 168 3 146 经分应用服务器 是 否 10 168 4 27 一级 BOSS 服务