山西省电信IP三期及太原城域网整合工程（系统集成总体方案）

山西省电信IP三期扩容集成总体方案山西省电信IP三期及太原城域网整合工程（系统集成总体方案）中盈优创资讯科技有限公司二零零四年九月版本号修改人/时间主要更新内容V1.3V1.2V1.1V1.0常守海/2004-9-22第一版目 录第1章 山西电信IP网络现状51.1 概述51.2 本次工程建设需求51.3 工程分工和进度61.4 网络现状71.4.1 原广电太原城域网现状71.4.2 山西电信太原城域网现状81.4.3 山西电信省干网络现状91.4.4 各地市网络设备分布情况101.5 路由协议与路由策略111.6 设备命名规则111.7 中继电路命名规则12第2章 工程总体建设方案142.1 网络结构142.1.1 核心节点扩容142.1.2 汇聚节点扩容152.1.3 太原节点城域网合并162.1.4 三期目标拓扑172.2 路由协议规划182.2.1 BGP路由策略192.2.2 IGP路由策略192.3 IP地址分配212.4 VLAN规划设计222.5 总体实施原则23（1）时间选择应遵循每个流量周期最小区间实施；23（2）割接前应完成流量的疏导工作，业务影响最小化；23（3）应做好相应的故障应对措施；23（4）割接与测试同时进行，密切注意割接前后的对比情况。23第3章 分节点实施方案24第4章 工程进度和实施顺序28第5章 MPLS VPN业务30第6章 网络安全316.1 路由器安全316.1.1 Cisco网络设备的安全配置和操作326.2 网络防病毒346.2.1 Cisco 设备Sql蠕虫的防范356.3 网络安全管理35附件一、Loopback地址和ISIS NET ID分配表36附件二、互连地址表37附件三、IP地址范围详表38第1章 山西电信IP网络现状1.1 概述电信拆分后，北方电信迅速完成了北方十省的网络重新建设。山西电信作为北方十省之一，从2003年开始建设数据网络，经过一年多的建设和发展，省干、太原城域网已初具规模。2004年初北方十省骨干网扩容工程建设完成以后，省出口路由器分别通过1个2.5G POS端口与西安、呼和浩特两个国家骨干网节点设备连接。但山西省网与省出口设备之间仍然只有11G的带宽容量，山西全省的出省流量都通过这条1G链路传送，峰值流量已经接近60的带宽，增加省网核心设备与省出口设备之间的带宽以及冗余已迫在眉睫。省干目前采用星型网络结构，核心节点只有一台设备，单点失效有可能导致整个省网出现故障。省干核心与汇聚节点之间采用单链路连接，除太原采用1G的带宽以外，其它9个地市均采用1155M的链路。随着山西的电信业务迅速增长，宽带业务对网络带宽的需求尤为迅猛，现有网络规模与结构已不能满足业务发展的需要。1.2 本次工程建设需求根据建设单位对本工程的要求，本次山西电信三期扩容工程的建设目标为优化网络结构，全面提高CHINANET山西骨干网的交换容量和电路带宽，提升网络性能，提高网络业务提供的能力，为促进中国电信互联网业务的发展提供坚实的网络技术条件。本期扩容工程对山西省宽带互联网骨干网核心层、汇接层及以上的省际网络部分（含路由器设备和中继、互联端口）进行扩容。建设范围涵盖太原、大同、忻州、吕梁、阳泉、晋中、临汾、长治、晋城、运城、朔州等11市州的骨干网核心节点和汇接节点。1.3 工程分工和进度本次扩容工程涉及山西省网络全部骨干层面，同时完成太原市城域网和原广电城域网得合并和扩容。由于所涉及的网络均为山西电信的运营业务网络，明确相应网络调整的分工界定对后期工程实施具有重要的指导作用。工程进度表（下表）为工程施工前，与用户方、山西设计院、设备厂商及设备供应商沟通后确定的进度计划。时间施工进度备注9.7-9.81、 设计会审及第一次工程协调会2、 成立项目组3、 提交工程施工进度表9.8-9.221、 省干网设备招投标和采购工作（局方）2、 3条2.5G和3条155M线路资源基本到位（局方）3、 完成工程整体设计方案（中盈）4、 完成路由规划和IP地址分配（中盈）5、 完成各节点互连拓扑图、单点实施方案、单点验收报告和随工报告（中盈）6、 完成MPLS VPN组网设计方案（中盈）7、 完成全网联调方案（中盈）3条具备2.5G线路的地市：长治、临汾、运城（尚不具备2.5G条件的地市：忻州、晋中）3条具备155M线路的地市：阳泉、吕梁、晋城（尚不具备155M条件的地市：大同、朔州）8.10-9. 251、 设备到货、验收及安装（浙大兰德）2、 用户现场培训（浙大）4、 施工前准备工作9.23-9.301、 华为出具体搬迁和割接方案（华为）2、 6个地市尾纤到位（华为）3、 完成太原城域网方案和省干方案，进行省干设备采购（局方）省干设备到位时间待定10.8-10.201、 6个线路到位地市的施工（华为，中盈）2、 太原省干施工（前提是省干设备到位）10.21-10.241、 单点联调（中盈）2、 6个地市网络联调（中盈）3、 部分网络问题的解决（中盈）4、 编写全网初验方案（中盈）10月21日以后的工作进行前提是省干施工完成10.25-10.281、 6个施工完成的地市进行第一次初验10.29后1、 6个地市进入试运行2、 等待其余4个地市的线路资源，到位后即可施工4地市线路资源到位时间待定；全网初验时间待定；26周试运行1、 系统试运行解决遗漏问题2天1、系统终验1.4 网络现状2004年初，太原广电网由山西电信并购。原广电网络由高端路由器组建，网络规模较大，为山西电信省干以及太原城域网的扩容提供了坚实的基础。1.4.1 原广电太原城域网现状如上所示为原广电城域网网络结构图，核心层由三台华为NE80组成，分别放置在河西、城南和城北机房。核心设备之间通过2.5G的RPR连接，形成环路。河西核心设备分别通过POS 155M链路连接到山西电信、山西网通，形成双出口。汇聚层采用9台华为NE80，分别放置在河西、城南、城北、上马街、省委党校、鸿峰、凯旋大帝、省人民医院、小店9个局点。每个汇聚点都通过两条GE链路上连到两个核心节点，从而提供了一定的冗余。汇聚节点到核心节点之间的连接方式，遵循就近原则，并且考虑到核心节点负载均衡，每个核心节点分别连接6个汇聚节点。接入层采用华为MA5200/MA5201，MA5200通过GE连接到汇聚层。太原广电根据业务情况，只在河西局部署了MA5200/5201 ，提供CM 上网功能。1.4.2 山西电信太原城域网现状电信太原城域网在2003年7月建成，网络结构基本上为星型结构，以高科技节点为核心。在高科技节点放置3台主要设备，分别为华为S8016、S8512与S8505，三台设备之间通过GE链路连接。高科技的S8016通过一条GE链路连接到省干，并通过两条FE链路连接到PE设备（cisco7206）。珠林、迎宾苑、交管中心节点分别放置华为S8016，其中珠林通过GE连接到高科技的S8016，迎宾苑和交管中心分别通过FE连接到高科技的S8016。太原城域网拓扑示意图如下：1.4.3 山西电信省干网络现状目前山西电信省干网络采用星型结构，全省设立一个核心节点，配置高端路由器设备（CISCO 12406，通过一个GE接口与省出口路由器（CISCO 12016）连接，通过4155M的线路连接到呼和浩特的国干路由器。省出口路由器分别通过1个2.5G POS端口与西安、呼和浩特两个国家骨干网节点设备连接。各地市分别设置1个汇聚节点，每个节点分别配置路由器、三层交换机和宽带接入服务器。其中路由器通过1条155M上联中继电路与省网核心路由器相连；宽带接入服务器通过旁挂方式以2个FE端口接入三层交换机；三层交换机以2个FE端口与路由器相连。窄带接入网络在太原、长治等7个地市建设有ZXP10-AS接入设备，通过E1中继与市话交换机相连；通过FE中继与本地区设置的三层交换机连接。省干网络拓扑如下图所示：1.4.4 各地市网络设备分布情况各节点安装设备表地市名称节点名称MA5200NE40-8S8016ZXP10-AS备注各地市节点太原高科技11交警指挥中心1珠林大厦11迎宾苑1大同1111朔州111忻州1111阳泉111晋中1111吕梁111长治1111晋城111临汾1111运城1111总计12101371.5 路由协议与路由策略目前山西省网同骨干网路由采用EBGP路由协议互连，山西电信作为一个独立的自治域（自治域号17883）和国家骨干交换路由。 域内路由协议采用ospf，整个山西省都再一个area 0中，省网出口12416 发布默认动态路由，同时吧ospf路由注入bgp中。1.6 设备命名规则当设备加入到数据城域网络中时，应给设备配置逻辑名称，即设备的Hostname，城域网三层设备逻辑命名规则如下：命名方案：设备类型(n)-设备功能-(地市缩写)(县市区安装地点缩写)-机房编号.Pnet设备类型(n)：r：表示此设备为路由器s：表示此设备为交换机b：宽带接入设备n：所在机房的同类设备编号，范围从1开始递增设备功能：ce：表示为MPLS VPN的CE设备a：表示为接入设备g：汇聚层设备c：核心层设备地市缩写：安装地市的前两个汉字拼音的第一个字母的组合，如下所示：各地市缩写节点名称缩写名称节点名称缩写名称太原TY大同DT朔州SZ忻州XZ晋中JZ阳泉YQ吕梁LV长治CZ晋城JC运城YC临汾LF县市区安装地点缩写：为设备安装具体县市区汉字拼音的第一个字母组合机房编号：表明设备所在县市区的多个机房编号，两位数字Pnet：表明设备属于省网设备。Mnet：表明设备属于本地城域网设备。设备命名详见附一 设备名称及IP地址分配表1.7 中继电路命名规则目前省网全网采用10G、2.5G、GE、155M电路组成(城域网核心路由器和省网接入路由器之间采用2XGE连接)。各市州基本按双归方式上联省中心和荆州。因为全网历经多次扩容和改造，其电路命名规范较乱，本期工程后将统一并实施新命名规范。整体网络中继电路命名规则如下例：r1-a-sxdt-1.Pnet to r1-c-sxty-1.Pnet 2.5G-1 POS0/1 (S16-N0002IP) (2004/09/21)大同A1到省中心A1的第一条2.5G电路，对端端口POS0/1， 电路调单号S16-N0002IP，开通日期2004/09/14。对于临时电路，需要在开通日期后附开通人的名字拼音+手机号码。在正式开通后将其开通人信息删除。第2章 工程总体建设方案2.1 网络结构2.1.1 核心节点扩容目前山西电信省网只有1个核心节点，建议在本次工程中新增一台高端路由器作为第二个核心节点，也放置在太原，为了区分，在此特定义已有的核心节点称为太原1，新增的核心节点为太原2。二期省核心节点到省出口路由器采用GE连接，在本次工程中，建议在核心节点与省出口之间采用2.5G链路，提高出入省吞吐量。建议在太原1的CISCO12406上新增一块4口2.5G的板卡，1口连接省出口路由器，余下接口作为备份或以后扩容使用；在骨干路由器12016上新增一块4口2.5G的板卡，1口连接山西省干核心太原1，一口连接山西省干核心太原2，另外两口作为备份或者以后扩容使用。在核心节点太原1的12406上剩余2GE，可以用于核心设备之间的互连。同时在太原2核心节点新增一台高端路由器，建议采用CISCO 12406。Cisco 12406采用先进的分布式结构，PRP与各个线卡通过交换矩阵相连，每个线卡都存有全局的路由表，具有路由转发的能力。PRP提升的CPU的处理能力，比早期的GRP具有更快的路由计算速度。CISCO 12406 的交换矩阵采用4:1的冗余配置。其中CSC负责时钟调度和数据交换，实现1:1的热备份；SFC负责数据交换，实现4:1的热备份。每个线卡、PRP与交换矩阵都有20Gbps的有效带宽连接，整机具有120Gbps的吞吐能力。建议在新增的12406上配置双电源、双路由引擎，配置3块4口2.5G的板卡，用于连接汇聚层设备；配置一块4口GE接口板用于核心互连。核心新增板卡连接方向归类如下：与骨干网互连电路扩容节点太原1的12406二期通过GE链路与骨干网设备12016连接，在本次工程中改为一条2.5G链路上连。新增节点太原2也通过一条2.5G链路上连到骨干设备12016。两台核心路由器间互连电路太原1的12406与太原2的路由器可以通过GE或者2GE互连。核心路由器下连汇聚路由交换机端口扩容核心节点太原1通过原有的155M链路连接到汇聚节点，而核心节点太原2则通过2.5G的链路连接到各个汇聚节点。连接太原城域网的情况有些不同，核心节点太原1分别连接到太原城域网的河西节点和城南节点，而核心节点太原2也连接到同样的节点。核心节点本次工程新增设备和新增板卡汇总如下表： 单位（块）地名核心路由器42.5G板卡核心路由器4XGE板卡核心路由器GBIC模块核心路由器8 X155M板卡太原1（原有）12太原2（新增）312省出口路由器1合计51402.1.2 汇聚节点扩容二期汇聚只设置一台上连至核心节点的路由器，本次工程建议在各个汇聚地市增加一台上连设备，为了区分，二期已有的汇聚设备称为地市名+1，新增的汇聚设备称为地市名2，例如，大同原有的汇聚设备称为大同1，大同新增的设备成为大同2。通过整合原广电太原城域网，调整下来7台华为NE80设备，可以用作省干地市节点的第二台汇聚设备。由于有10个地市汇聚节点，因此需要新增3台省干汇聚设备，建议采用华为NE80。华为NE80属于高端路由设备，因此具有较强的MPLS VPN功能，建议NE80作为第二汇聚节点的同时，作为省干PE设备承载MPLS VPN业务。每个地市的第一台汇聚设备采用原有的155M链路连接到核心节点太原1，第二台汇聚设备利用新增2.5G链路连接到核心节点太原2。两台汇聚设备之间采用GE链路互连。另外，在每个地市设置三层交换机，通过两条GE链路分别连接两台汇聚路由器上，接入层设备可以通过GE或者FE连接到汇聚层的三层交换机。重要的大客户可以直接连接到汇聚层设备上。2.1.3 太原节点城域网合并考虑到电信太原城域网与原广电城域网的特点，在整合的城域网中设置4个核心节点，分别为高科技、河西、城南和城北，每个核心节点放置一台华为NE80。4个核心节点之间组成2.5G RPR双环，形成冗余保护。汇聚节点设置12个，分别为高科技、河西、城南、城北、迎宾苑、珠林、交警中心、省党校、省人民医院、鸿峰、上马街和凯旋大帝局点。其中河西节点原有的NE80由于承载业务较多，所以仍然保留在河西作为汇聚设备使用。高科技、珠琳、迎宾苑、交警中心可以采用已有的4台华为S8016作为汇聚设备。原广电网络共有12台华为NE80，在太原城域网放置了4台，其它7台可以用于省干的扩容。这样在太原城域网只需要在7个汇聚节点新增三层交换设备即可。汇聚节点通过两条链路连接到不同的核心节点，实现双归宿的负载均衡冗余路由。并网后的网络结构图如下：2.1.4 三期目标拓扑山西省电信IP网络三期网络拓扑图如下：2.2 路由协议规划山西省IP网络路由策略主要从BGP和IGP两个方面考虑，全省整体路由策略如下：2.2.1 BGP路由策略山西电信核心路由和国干4314运行EBGP, 本次工程中，整合以后的电信太原城域网与省干网络都采用山西电信AS号17883。出省流量引导由骨干的MED策略进行引导，实现链路流量均衡，路由策略优化的目的。同时，两台核心路由器作为路由反射器（RR）同各地市汇聚层路由器运行IBGP,各地汇聚层路由器对外宣告本城域网路由，引导入流量。2.2.2 IGP路由策略山西省干IGP由于山西电信二期采用OSPF作为IGP路由协议，而原广电太原城域网采用IS-IS作为IGP路由协议，因此本次工程需要对IGP路由协议进行整合。由于并网以后的山西电信网络地域上较为分散，OSPF对网络的结构要求较为严格，不利于网络以后的扩展，而IS-IS比较灵活，因此建议采用IS-IS作为山西电信网络的IGP，由两个核心节点向全网发布缺省路由引导出省流量，全省的流量均可以依靠ISIS 的metric来控制。IS-IS使用层次结构，将全省的省干设备放入骨干区域Level-2。对于太原城域网汇聚层而言，IGP与省干使用同一IS-IS，城域网核心和汇聚设备都放入Level-2区域中。本期工程建议全网路由器设备和交换机设备参与IS-IS运算，以获得最优的域内路由。为方便地配合MPLS，建议IS-IS的Metric采用wide模式。为运行IS-IS，设备上必须配置NET地址。NET地址指明路由器的系统ID和区域ID的网络地址，由ISO8348定义，长度8-20字节：“Area IDSystem IDSEL”。对于一个独立运行的IS-IS网络，可以使用简单的NET方案。SEL为0x00时，表示节点自身的地址。建议使用各个路由器的loopback地址作为system ID.例如： 86.7883.2191.4913.6001.00ISIS METRIC规则如下：太原1太原2： 20各市州上联2.5G链路：100各市州上联155M链路：200各地市汇聚1汇聚2：10城域网内IGP由于原山西电信城域网IGP为OSPF,OSPF本身作为城域网路由协议是一个比较优秀的协议，便于城域网内路由的管理和配置，同时，有利用各个城域网的平滑割接。建议各地市城域网采用OSPF作为域内协议，考虑到山西电信各城域网规模不大，OSPF暂不划分区域，所以汇聚层设备和接入层设备运行在AREA 0中；城域网汇聚设备向OSPF发布默认路由，引导出流量。参考值设定为10G链路，城域网核心链路上的OSPF COST值，全部改为手工设定。链路带宽COST参考值1000010G1000012.5G25004GE100010622M62216155M15564100M10010010M1010002M250002.3 IP地址分配山西电信网络的IP地址分配采用无级域间路由(CIDR)和可变长子网掩码(VLSM)技术，保证对IP地址空间的有效使用。在前期骨干扩容中，原省骨干网共申请了范围为x个C类的IP地址，地址范围为见下表，本次扩容将沿用原地址范围。详细分配见附件本次扩容申请互连地址段：x本次扩容申请loopback地址段：x互连地址段和loopabck地址段的使用详见附件。2.4 VLAN规划设计通过划分Vlan，可以实现流量和用户的隔离。通过把不同的流量映射到不同的Vlan中并分配相应的优先级，可以为用户提供不同优先级别的服务质量保证。但是，Vlan的划分必须进行合理的规划，首先，二层网络的范围不宜过大，过大的二层网络将导致大量的STP计算，使设备的性能下降并降低网络的效率；其次，Vlan ID资源有限，每台交换机全局支持4096个802.1q Vlan ID，每台交换机能同时支持的STP实例也是有限的。当然路由器没有这个限制，每个路由器端口即可支持4096个ID。建议根据前两期网络建设的资源使用状况，尽可能合理的、优化利用Vlan资源。除LAN to LAN业务所使用的Vlan ID全城域网范围需要保持全局唯一外，诸如PPPOE、IP专线等在汇聚节点可以将Vlan信息终结的业务所使用的Vlan ID可以在各汇聚节点重叠使用。这样可以在一定程度上解决Vlan ID资源相对有限的问题。Vlan划分表VLAN ID用途19保留1011本地核心设备互联（不足可往前顺序使用）12中心机房测试1360DCN61120保留121140网管141145业务管理，包括用于业务计费、结算、统计、用户认证等146150应用服务，如域名服务、邮件服务、导航服务、拨号服务等151155代维服务，如托管主机、虚拟主机等156165保留166185用于本地核心设备出口MSTP应急电路186215用于BRAS上联VLAN 216235汇聚层与核心层互联（凡本地与核心层设备直连皆属）236255汇聚层与接入层互联 2561024用于PPPoE用户（一个VLAN不超过200个用户）10252000预留给PPPoE使用20013000用于LAN专线和小区/楼宇30014000用于LAN to LAN互联40014096保留注：1、 本方案将根据实际情况修正。2.5 总体实施原则本工程中需要扩容核心路由器、扩容汇聚层路由器、增加部分现网中继电路。为保证设备扩容和中继割接平滑过渡，工程割接应遵循以下总体原则：（1） 时间选择应遵循每个流量周期最小区间实施；（2） 割接前应完成流量的疏导工作，业务影响最小化；（3） 应做好相应的故障应对措施；（4） 割接与测试同时进行，密切注意割接前后的对比情况。本次扩容中除扩容网络设备外，要更改IGP路由协议，我们要充分利用metric和管理距离做到网络的扩容和割接的平滑。第3章 分节点实施方案按照网络层次划分，山西省10个地市划分为核心层和汇聚层：核心层：山西省设置两个核心出口节点：核心太原1、核心太原2。汇聚层：地市：太原、大同、朔州、忻州、阳泉、晋中、吕梁、长治、晋城、临汾、运城第一类节点 核心节点太原2编号任务1新核心设备上架，安装，测试2新增到太原1、太原城域网 的GE 链路3新增到国干、各个地市的2.5G链路4调整路由策略，加载EBGP、IBGP、ISIS路由协议。使其成为山西出口之一5作为MPLS/VPN的P ROUTER打开LDP转发功能第一类节点 核心节点太原1编号任务1增加到太原2的GE链路2扩容到国干出口为2.5G3调整路由策略，加载IBGP、ISIS路由协议。4割接完毕后删除原IGP垃圾配置5作为MPLS/VPN的P ROUTER打开LDP转发功能第一类节点割接思路：l 新增出口核心设备（核心太原2）安装，调试。l 核心太原1到核心太原2新链路的搭建，链路质量测试后，建立IBGP邻居关系。 l 核心太原2到国干2.5G链路搭建，通过链路质量测试后，建立EBGP邻居关系。 l 核心太原2到地市汇聚路由设备新链路的搭建，链路质量测试后，配置ISIS建立CLNS邻居关系。 l 核心太原2到地市汇聚路由设备配置ISIS建立CLNS邻居关系。l 核心太原1、2和地市汇聚路由设备建立IBGP关系l 确保OSPF的管理距离小于ISISl 各地市汇聚设备通过IBGP宣告城域网地址l 核心太原1、2通过ISIS宣告默认路由l 改变路由管理距离，实现割接地市路由不在依赖OSPFl 删除核心太原1到割接地市的OSPF邻接关系。路由分析割接前：核心太原1（12406）作为全身唯一出口，对外通过EBGP和电信骨干交换路由，对内向OSPF注入默认路由，引导出流量。割接后：核心太原1和核心太原2对外通过EBGP和电信骨干交换路由，出省流量引导由骨干的MED策略进行引导，实现链路流量均衡，路由策略优化的目的。入流量可以通过宣告汇聚路由和不同部分细做到太原1和太原2的负载分担。省内的流量可以依靠ISIS 的metric来控制。第二类节点大同、朔州、忻州、阳泉、晋中、吕梁、长治、晋城、临汾、运城编号任务1新增汇聚设备的安装调试，增加到太原2的2.5G链路、到老汇聚设备、城域网交换机的GE链路2调整路由策略，加载IBGP、ISIS路由协议。3割接完毕后删除原IGP垃圾配置4城域网汇聚设备作为MPLS/VPN的PE ROUTER 接入MPLS/VPN用户第二类节点割接思路：l 新增汇聚设备安装、调试。l 地市新增汇聚路由设备到核心太原2到新链路的搭建，链路质量测试后，配置ISIS建立CLNS邻居关系。 l 配置各地市原有汇聚设备的ISIS和核心太原1建立CLNS邻居关系。 l 核心太原1、2和地市汇聚路由设备建立IBGP关系，确保OSPF的管理距离小于ISISl 各地市汇聚设备通过IBGP宣告城域网地址l 核心太原1、2通过ISIS宣告默认路由l 改变路由管理距离，实现割接地市出口路由不在依赖ospfl 删除已经割接地市到核心太原1的OSPF邻接关系l 各地市汇聚设备继续通过OSPF向城域网注入静态路由。路由分析割接前：整个山西城域网在OSPF的AREA 0中，城域网出省流量依靠太原1默认路由引导，省内流量依靠OSPF的COST 计算路径。割接后：城域网汇聚设备对外通过IBGP宣告路由，引导入流量，城域网间流量依靠ISIS METRIC 计算路径；城域网汇聚设备对内通过OSPF注入默认路由，引导出流量；本城域网内流量依靠OSPF COST 计算路径。第三类节点 太原城域网编号任务1城域网合并和改造（华为完成）2调整路由策略，加载IBGP、ISIS路由协议。城域网核心和汇聚设备都放入Level-2区域中3建议城域网内IGP 为OSPF4城域网汇聚设备作为MPLS/VPN的PE ROUTER 接入MPLS/VPN用户第三类节点割接思路：l 太原城域网合并l 太原市汇聚路由设备到核心太1、2到新链路的搭建，链路质量测试后，配置ISIS建立CLNS邻居关系。 l 配置太原市汇聚设备的ISIS和太原1、2建立CLNS邻居关系。 l 太原核心1、2和太原市出口汇聚路由设备（和核心设备连接的NE80）建立IBGP关系，确保OSPF的管理距离小于ISISl 太原市各出口汇聚设备通过IBGP宣告城域网地址l 太原核心1、2通过ISIS宣告默认路由l 改变路由管理距离，实现割接地市出口路由不在依赖OSPFl 删除太原市到太原核心1的OSPF邻接关系l 各地市汇聚设备继续通过OSPF向城域网注入静态路由。路由分析割接前：整个山西城域网在OSPF的AREA 0中，城域网出省流量依靠太原1默认路由引导，省内流量依靠OSPF的COST 计算路径。割接后：城域网汇聚设备对外通过IBGP宣告路由，引导入流量，城域网间流量依靠ISIS METRIC 计算路径；城域网汇聚设备对内通过OSPF注入默认路由，引导出流量；本城域网内流量依靠OSPF COST 计算路径。第4章 MPLS VPN业务参加MPLS/VPN组网设计方案第5章 网络安全5.1 路由器安全网络的安全性在很大程度上取决于网络设备的安全性，目前山西省IP网主要以思科、华为设备为主，做好相关厂商设备的安全方面的配置，是尤为重要的。一般针对网络设备安全，做好如下一些配置：在网络设备上关闭不必要的服务，如Finger、Bootp、Http等；设置NTP时间同步服务器，保持时间的全网同步；缺省情况下，从任何地方都可以登录网络设备。为了增加网络设备的安全性，需要对远程登录的范围进行限制。通常使用访问控制列表（access-list）限制登录主机的源地址，只有具有符合条件的主机能够登录到该网络设备上。配置分为两步：1 定义访问控制列表（access-list）2 应用访问控制列表（access-list）网络设备防攻击：对于网络设备的攻击，从某种程度上可以说，攻击永远不会消失而且从技术上目前没有非常根本的解决办法。 常用的如DoS攻击，从其技术严格的说只是一种破坏网络服务的技术方式，具体的实现多种多样，但都有一个共同点，就是其根本目的是使受害主机或网络失去及时接受处理外界请求，或无法及时回应外界请求。针对这样的攻击，目前网络设备上也有一些相应的命令可以防范。1 使用 ip verfy unicast reverse-path 网络接口命令2 使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址3 使用CAR（Control Access Rate）限制ICMP数据包流量速率对于已经发生的攻击，可以可以采用access-list过滤，并纪录攻击的情况。access-list access-list-number deny | permit source source-wildcard log access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard precedence precedence tos tos log通过show access-list可以察看符合该access-list的数据包的数量而采取相应的行动。5.1.1 Cisco网络设备的安全配置和操作 对于思科的设备由于中国电信应用和装机率都是比较高的，对其使用时间较长，因此对于一些常见的安全配置操作都较为熟悉，因此我们此次技术建议只是间要列出一些常见的命令供参考。互联网安全手册RFC 2196 “Site Security Handbook”是一个非常好的范例。从路由设备的安全方面考虑，我们建议北方九省电信省骨干网采取以下措施：关闭路由器内不需要的服务。这些服务通常会消耗资源，并产生不必要的数据报。但是，安全性和管理性始终是一对矛盾，一些时候由于我们强调增强了设备的安全性配置恰恰由于关闭了某些服务，就降低了对设备的管理性，所以在实施的时候也需要因地制宜，因事而议，这些服务包括但不仅限于：根据我们北方网络情况建议山西省网设备如下基本安全配置的内容是所有路由器都需要实施的：1 禁止TCP、UDP Small服务。Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers2 禁止Finger服务。Router(Config)# no ip fingerRouter(Config)# no service finger3 建议禁止HTTP服务。Router(Config)# no ip http server 4 禁止bootp服务。Router(Config)# no ip bootp server5 禁止IP Source Routing。Router(Config)# no ip source-route6 建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。Router(Config)# no ip proxy-arpRouter(Config-if)# no ip proxy-arp7 禁止IP Directed Broadcast。Router(Config)# no ip directed-broadcast8 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。Router(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply9 检查SNMP协议服务配置目前北方网络由于有网管服务器，需要打开snmp服务，所以需要设置较强的community值，并指定snmp服务器。10 如果没必要则禁止WINS和DNS服务。Router(Config)# no ip domain-lookup如果需要则需要配置：Router(Config)# hostname RouterRouter(Config)# ip name-server 219.150.32.xxx11 为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。Router（config）#service password-encryptionRouter（config）#enable secret保护对路由器本身的访问。对路由器访问都要经过con、aux或vty，在这些线路上应配置用户登录和访问时限；路由器的所有密码都要进行加密；应该仅限制内部网管网段才可以远程登录路由器。启动日志并随时告警。启动路由器内的日志功能，可以将路由器的错误信息记录下来，并且对保存日志的服务器进行