电信城域网出口路由器配置规范

1、城 域 网 出 口 路 由 器 配 置 规 范 脚 本POS配置规范-POS framing 建议为 SDH-CR（设置为32位-开启POS Payload扰码-POS flag 统一为 s1s0 2/?/-关闭 direct-broadcast 特性- 关闭proxy-arp 特性-建议打开所有pos故障报告，视厂家来定-打开端口 ais-shut告警。视厂家来定/7750缺省打开/-NETFLOWR采样比的设定定 2000:1 /7750最大只支持-电路时钟选择遵循以下要求：1000:1/电路类型一端时钟另一端时 钟裸纤/DWDMIn ternalLineSDH电路Li neLine请添加

2、模板con figure port 1/1/1 son et-sdh frami ng sdhcon figure port 1/1/1 son et-sdh path crc 32con figure port 1/1/1 son et-sdh path scramblecon figure port 1/1/1 son et-sdh clock-source loop-timed /li necon figure port 1/1/1 son et-sdh clock-source no de-timed /in ternalcon figure router in terface tes

3、t no local-proxy-arpcon figure router in terface test no allow-directed-broadcastscon figure router in terface test cflowd in terfacecon figure cflowd rate 1000 /最小 1000:1时钟时钟GE 口配置规范-关闭GE端口自动协商机制。-网内互连端口二层 MTU统一设置为1500,网络边缘接入端口对端保持一致。/7750的MTI是包括了数据链路层包头/-关闭 direct-broadcast 特性。MTL必须和- 关闭proxy-arp

4、特性请添加模板con figure port 1/1/1 ether net no aut on egotiatecon figure port 1/1/1 ethernet mtu 1514con figure router in terface test no local-proxy-arpcon figure router in terface test no allow-directed-broadcasts路由规范 总体要求城域网出口和省网接口配置 EBGP城域网出口和SR使用OSPF协议，处于同一 AREA 0城域网出口和BRAS之间旧BRAS设备采用静态路由新BRAS设备采用OS

5、PF路由播放给省网采用黑洞路由，PREFIX方式播放。尽量汇聚路由接口地址和其它需要地址（采用 ROUTE MA限制）注入到OSPF中 使用的浮动缺省静态路由指到省网节点，优先级为210路由优先级别的设定普通静态1EBGP20OSPF110O2150IBGP200黑洞210浮动静态210静态路由规范?静态路由配置需要下一跳和接口同时绑定/7750只能添加地址不能同时添加接口 /请添加模板con figure router static-route /24 next-hop ? 一般静态路由优先级别设置为1请添加模板con figurerout

6、er static-route /24 n ext-hop prefere nee 1OSPF 路由规范? AREA划分：一个AREA，出口和SR 一个AREA其它在非骨干区域? PROCESS ID统一，一个 OSPF进程（进程号为163）? ROUTER ID选取：LOOPBACK 地址? METRIC选取：将OSPF cost自动计算参数设置为10,000,000,000? 认证的配置：建议使用链路 MD5? 负载均衡选择 8? 接口类型的选取：尽量使用点对点的类型? 缺省路由的处理 从骨干网学到的 BGP default 路由，生成 OSPF de

7、fault 路由，发布到整个OSPF域。当该BGP路由器上的BGP default路由消失后，将不再产生 OSPF default 路由? 不能在OSPF里面启用NETWORK ? 邻居的变化：记录邻居的变化 log-adjacency-changes?静态注入到OSPF路由采用PREFIX限制?注入外部路由的处理：采用 E1类型，同时COST加 1Import-route static cost 1 type 1 route-policy deny-null请添加模板config router router-id x.x.x.xconfig router ecmp 8confi

8、g router ospfasbrinternal preference 110 external preference 150 reference-bandwidth 10000000 export "default-router" "static-to-ospf" area interface To-SR-1 authentication-type message-digestmessage-digest-keyxx md5 keyinterface-type point-to-pointexitexitarea in

9、terface To-Bras-1 authentication-type message-digestmessage-digest-keyxx md5 keyinterface-type point-to-pointexitconfig router policy-optionbegin prefix-list "defaultroute" prefix /0 exact prefix-list "staticroute" prefix /0 exactpolicy-statement "default-route

10、r" entry 1 from prefix-list "defaultroute" protocol bgp exit to protocol ospf exit action accept metric set 1 type 1 exit exitpolicy-statement "static-to-ospf" entry 1 fromprefix-list "staticroute" protocol static exit toprotocol ospfexit action accept metric set 1

11、 type 1 exit exitBGPB 动BGP 路由规范?关闭BGP路由波动抑制，（请各厂家确认是否合适写脚本） 路由汇总特? 关闭BGP和IGP同步? 关闭 bgp always-compare-med? 明确配置 BGP router-id 为 Loopback 0 地址? 明确配置新式的 community 格式（对应 cisco 路由器 ip bgp community new-format ）。 /7750 无所谓的旧格式? 记录邻居变化 / 缺省记录 ? BGP采用密码建立邻居关系? BGP优先级设置：20 200 200? 负载均衡数目： 8 / 请根据实际需求改， 775

12、0 支持 16 条?配置BGP出方向路由过滤?播放给省网路由尽量合并，采用 PREFIX和NETWORK发?使用环回地址建立EBGP关系，不使用接口建立关系? BGP TIMER统一为 cisco 默认（60 180）? EBGP HOP为 2请添加模板 config router autonomous-system 10000 config router router-id x.x.x.x config router bgphold-time 180 keepalive 60 multipath 16 ibgp-multipath group "IBGP" family

13、ipv4 preference 200 authentication-key "password" type internal peer-as 10000 local-address x.x.x.x neighbor 221.130.x.xdescription "To-RR1"exitgroup "EBGP" family ipv4 multihop 2 preference 20 authentication-key "password" type external peer-as 10002 local-ad

14、dress 221.130.x.x neighbor 221.130.x.xdescription "To-163Route1" exitMPLS 配置规范?功能开启：城域网出口定位为P,全局开启mpls,并指定Idp的router-id 与P及与PE互连端口上开启Idp。?标签发布和管理：所有路由器均使用LDP协议分发标签，统一配置为下游 主动标签分发方式(DU)、有序标签控制方式(Ordered)、自由标签保留方 式( Liberal )。? LDP定时器：对所有类型路由器的 LDP定时器进行统一设定KEEPLIVE 10 HOLD TIME 30? LDP认证：为不影

15、响LDP收敛速度，所有路由器不启用 LDP peer认证。? 标签弹出：为提高处理效率，配置倒数第二跳弹出标签(即PHP)。?标签分发策略：LDP只针对业务路由器PE的Loopback地址分发标签，对 其它路由进行过滤。? GE接口 MTI大于1544(7750),其它设备由厂家来确定请添加模板（需要包含一个POS和GE 口启用MPLS的例子）/7750 不区分pos接口或GE接口config routerldpinterface-parametersinterface "To-P1-1"exitinterface "To-P2-1"exitexitex

16、itconfig routermplsinterface "To-P1-1"exitinterface "To-P2-1"exitexitexit安全相关配置规范设备配置基于源地址TELNET限制请添加模板关闭 FTP 、SSH 等不必要的服务 config system security no ftp-server config system security ssh server-shutdown请添加模板7750 采用 cpm-filter 过滤源地址请添加模板用户TELNET数目限制为10请添加模板config system login-cont

17、roltelnet inbound-max-sessions 7telnet outbound-max-sessions 7/7750 最大只能为 7 个AAA 认证统一由省中心认证，分权给分公司省中心地址 tacas 地址 请添加模板config system securitypassword authentication-order tacplus local tacplusaccountingauthorizationsingle-connectionserver 1 address secret "test" exi

18、t务必配置本地应急帐号TELNET的超时限制为10分钟（华为一些版本不支持，新版本应该支持）请添加模板config system login-control idle-timeout 10? 在 Alcatel-lucent 7750 上为控制报文和管理报文预留带宽请添加模板(具体带宽由ALCATEL评估后确定)? Alcatel-lucent 7750 自身的攻击包括 SYNFlooding 攻击、 UDPFlooding 攻击、ICMP Flooding 等请添加模板? 关闭未使用的小端口服务： echo(TCP 7) 、 chargen(TCP 19 和 UDP 19)、 finger(

19、TCP 79)、 FTP(TCP20 21)等等，增强设备本身的安全性 ( NE5000E 不支持)config system security cpm-filter ip-filterentry 10 create match protocol tcp dst-port 7 action dropentry 11 create match protocol tcp dst-port 19 action dropentry 12 create match protocol udp dst-port 19 action dropentry 13 create match protocol tcp

20、 dst-port 79 action dropentry 14 create match protocol tcp dst-port 20 action dropentry 15 create match protocol tcp dst-port 21 action drop请添加模板华为NE5000E使用CPCA技术实现对控制引擎的保护，CPCA实现接口 板对主控板之间的流量限速。请华为给出推荐配置请添加模板对于安全方面的配置，建议 7750采用源地址限制的方式，将可以信任的源地址 （包括互联接口地址、设备 loopback 地址、网管地址、 telnet 主机地址等）加 入为允许任意服

21、务，将icmp报文单独放开一定的带宽，其它为 deny,配置请参 考：注意，配置CPM-filter请先将该模块shutdown，以免发生意外。config system security cpm-queuequeue 50 createcbs 1000 mbs 1000rate 2000 cir 2000exitconfig system security cpm-filterip-filterdefault-action dorpno shutdownentry 10 createaction queue 50match protocol icmpexitexitentry 20 crea

22、teaction acceptmatchsrc-ipx.x.x.x/x / 可信任地址 /exitexit关于 SNMP 部分?对于SNMP的地址做限制，?关闭SNMP TRAP需要再打开）? SNMP的源地址采集限制?关闭SNMP写 （需要在打开）? SNMP源地址包含省网中心的地址源地址范围为： /24SNMP字 符串为：s$qmyy!请添加模板，以源地址在 /24 为例config system snmp no shutdownconfig system security snmp community s$qmyy! r version both

23、config system security cpm-filter ip-filterentry 10 create match protocol udp dst-port 161 src-ip /24 action acceptentry 50 create match protocol udp dst-port 161 action drop策略路由配置规范请添加模板（基于源地址选路的配置模板） 增长描述，包括 filter 和 entry/ 定义策略路由规则config filterip-filter 10 createdefault-action forwarden

24、try 1 creatematchsrc-ip /24exitaction forward next-hop exitexit/ 下发策略路由规则 config serviceies 1 customer 1 createinterface "Leased-Line-01" create description "Leased-Line-01" address 59.37.x.1/24 sap 1/1/9:2003 create ingress filter ip 10 exitexit限速配置规范可选配置，如能在下层设备限速尽可能在下层设备限速 请添加模板（分别为进、出方向） ， 100M / 定义 qos 策略 config qossap-ingress 2 create queue 1 create rate 100000 cir 100000 exitexit sap-egress 3 create queue 1 create rate 100000 cir 100000 exitexitexit/ 下发 qos 策略 config serviceies 1 customer 1 create interface "Leased-Line-01" create descri