XXXX年MDCN网络扩容项目县级汇聚交换机入网方案

云南移动2023年MDCN扩容项目县级汇聚交换机入网方案街上海华讯网绢络系统有限隐公司魄20雹11年3月殊目慈什场艘录TOC\o"1-5"\u僻1黎撇概述术眯4导2愉舌设备、板卡秧及接口配置恋推5师1.1尾忽设备命名规督范泛忘5圣1.2礼歼端口描述规绞范患史5聋1.3珍籍设备的访问窃及访问控制牺烧5皂丹赏远端登陆管挤理要求样喊5疏债奴Conso骨le阴端口配置机栗5昏趴句访问控制肢令5苗1.4仇禽设备高可靠颂性措施虾横6叔1.5低踏设备端口配桌置果林7别昂慕MTU阳值设计掠该7朵赌贿GE医端口配置看惧7饲1.6撞虑配置需求紧缩7朱1.7存险配置模板猛亡7丙未使用端镇月9谁2梯柱IP发地址分配语默10商3遮话云南姐MDCN巧县级网络结缓构碌饿11柄4难厕网络路由和年转发实现方蹈案及配置轰存13篇4.1肥庸协议部署挑置13座4.2余攻OSPF唯规范却株14牙高蛇Meric乳/Cost裙歼14用阻众参数规划漏室14柴5状歪县级交换机总入网测试企浇15间5.1野于业务测试吃纪15术5.2所务倒换测试乐笋15概述乱本规范缺主要针对沟MDCN花省网汇聚路踏由器和豪MDCN返地州延伸网去各级很设备，脏主要包含两忍个层次的内信容：方案与蒙配置命令，班方案主要指聚出实施需实棍现的目标、肉效果和实现逃的手段法；配置命令租包括2部分踢，即配置需铜求和配置模陕板，配置需贤求针对每个仗功能和特性次提出了详细紫的配置需求蛛，皱各厂商乓根据配置需油求只给出所需的庸命令语句。征要求：毫各厂家根据厘本规范给定同的配置模版绵，需要通过摇备注形式对锈每条命令行稼进行解释。供设备、板卡轮及接口配置创设备命名规锻范杨请参考技《筝交付件池2.1纽云南移动砍MDCN葛集成项目网尿络资源命名胁规范V1.讽0.doc科》葡端口描述规葛范锁请参考颤《栋交付件焦2.1打云南移动楼MDCN声集成项目网蒸络资源命名活规范V1.艳0.doc涂》与设备的访问渐及访问陡控制决远端登陆管拍理要求刘对于远程登逢陆要严格控蛾制，只允许跪信任主机以凡特定方式（柿telne受t/ssh朴）狠登陆路由器汤。已远程登录按庙省们公司维护包管理，原则从上芳省公司涨拥有著城域部网上所有坦设备享的全部权限穴；雪地颂州维护管理小，拥蹦有地州核心柿路由器瓦以下设备（惧不包含地州桐核心路由器阴）午的尚全部权限；幕监控系统拥脉有城域扩网上所有庭设备防的滤只读科权限藏。旧管理员分两捆级，读写级惧的必须实名挠制，值班员隶公用的职能默配发只读级绿。戴路由器VT阻Y端口的超吓时配置的作锯用是当远程启登录连接在验指定时间内蹄没有操作时它由设备主动美中断远程连俯接，这样可股以防止所有谊远程登录V壁TY端口占居用而无法对狠设备进行管绩理，将此超哄时值设置为极5分钟围。扶针对VTY摄端口要设置袖相应的访问掀控制列表来鸦限制通过V欠TY端口对筛路由器的访宗问。墨访问控制列提表通过区分注不同用户的归网段来进行忧过滤，原则窃举例如下：云县级汇聚交载换机维护权撤由地州和县条共同负责，冻具体登陆限叔制条件有地瞒州分公司和王县公司规定批在设备测试龄阶段针对V贴TY端口不驴设置访问控嘱制列表。妻Conso岩le端口配凡置谅雄路由器co越nsole异端口要设置买口令，尤其糕必须设置超训级口令，以喇保证设备的溜安全。技在测试阶段纱用户名和密所码项为：扰ynmdc宵n/ynd令mcn访问控制VTY控制塘安全目标：忽防止非法用怜户通过Te易lnet获睬取贿云南撕移动欲MDCN霉城域网吃设备的控制随能力。攻击手段：秩非法用户获刘得网管或维骡护终端的控充制能力，通如过网管或维问护终端登陆荒到筒城域激网设备进行旋操作控制。交无法获取V钢TY通道，桥直接进行D隆oS攻击，储致使正常的凝VTY连接宵受到影响。保护手段：召Acces迎s端口上通下过分组过滤挨策略过滤非核法的Tel明net数据沃包。梦Acces持s端口上通历过严格反向剪路径查找过衫滤掉进行D汽oS攻击的第伪造源地址打数据包。众对Teln句et或SS晒H进行最大再连接数限制毒，idle估-time广out设置虾为部5篮分钟，最多棕允许同时柱5转个在线防止配攻击。心加强密码管本理，采用集菠中认证技术丝，同时进行鸣认证、授权遵、审计操作页。床SNMP控锄制观安全目标：琴防止非法用聚户通过SN殃MP管理接胀口获取设备雪信息或对设距备进行控制廊。鹅攻击手段：浓盗取SNM狠P密码，获蛛得SNMP即访问通道，削利用SNM昏P管理接口糊获取设备信名息或对设备帆进行控制。保护手段：押Acces框s端口上通塑过分组过滤卫和严格反向桑路径查找过盟滤非法的S毕NMP披数据包奔；更采用SNM竿P包V2/夕V3安全版秃本，使用M系D5认证算帅法，利用M彩IBVi世ew椒关闭大数据脊量的表类型乖变量（如路板由表和转发躬表）尺；佣考虑到目前伟大部分网管钻系统需要设络备开放SN冤MP写权限读，因此不关葵闭设备SN过MP弦的写控制激；巨SNMP使献用的团体属成性密码与现思网保持一致甜。怎设备高可靠掀性措施酿网络设备是对组成多业务傻城域岗网的基本节解点，其可靠障性是整网可湿靠性的基础呆。主流网络跌设备的关键序部件，包括豆主控单元、得交换单元、哲电源、制冷券系统等，大钻多采用热备苦份冗余设计锅，这是保证筒电信级获城域啦网可靠性的顾最基本要求签。流主备引擎冗雄余配置：盆配置控制卡芒之间的配置塔文件和动态烈数据同步乏，感配置控制卡膏在故障情况陈下的无缝倒锻换让。衣设置主备引弓擎为最优保贷护方式酒。倾设备端口配会置负MTU值设喝计敬由于县级交额换机和地州村营业厅接入益交换机45临03之间没砍有特殊的协跳议部署，4供503与县窜级交换机之令间采用默认位的MTU值凭GE端口遇配置违GE端口的熊参数配置规遵范如下：陆关闭GE端河口自动协商袭，配置为强恋制千兆全双珠工模式。配置需求旁配置Hos娱tname患、时区为东竖8区；凳定义四OSPF的衰route悉r-id吼，斤为旋第一上行接展口地址将；妙配置2个级阅别的管理组涌，分别为全怠部权限和只润读权限；景配置con邻sole口慈令，配置c袭onsol悄e口反向t标elnet畜方式；减设备配置t掌elnet鸣vty并猪发连接数为后5肤，空闲时间掌为睛5京min，加磁访问控制列洽表只允许仗特定网段获访问（具体泰ACL名字件见命名规范狗）；纺配置系统的驶所有告警日唱志，保存到当本地；系统呆所有登陆日澡志，保存到唤本地；筛考虑搜将拳所有设备的飘系统日志要订求预先设置抬发送至总部嗽网管中心日险志服务器肺。配置模板隔设备基本信法息配置#份sysna砌me旨hostn狡ame扩1杂s想lave左auto-械updat第econ安fig盒slave肆swit趣chove模rena选ble##却route挺rid楼x.x.巡x.x兆犬齐缎黎禾扬//消第一上行接偿口IP忆地址##予user-扯inter巷face咐maxim弓um-vt姐y火5惩划绑冶两辞//骑设置登录用埋户的最大数天目芬user-约inter乳face上con0隆authe冷nti伤catio勾n-mod夏eaaa帮user-颤inter请face自aux0晒user-滥inter榴face似vty0载唱4互馅晌富絮呜鼓//缺省最藏大同时在线鹰数为5个净acl晃30右00in票bound悦authe腊ntica仿tion-遵mode摩aaa乘idle-急timeo款ut5逝0古就眯艳倡左扬哗//沸设置用户界薯面断连的超席时时间坝5登陆账户：苹配置远程登称陆信息。朱说通明：请分集书成商配置临准时账户，并通告诉总集成蹄商配置规范：缝usern听ameK字chwg7督19pr技ivile贝ge15迅pass份word道7点012A尤08075近60503泰1B掏731C桂1E515统825无usern因amel宅iubot座ao138虏88955确089p四rivil纱ege1巩5pas炮sword右702坏36054蚊81831樱00336症8屈usern剪amew张angdo猎ngxu1径59081缠88151耀priv束ilege染15p具asswo胞rd7挠03335滤F缎13575集B箱76151年85A杂usern义ameh凉uangg湿ongxu绣n1388界89692界31p依rivil栏ege1少5pas甲sword厚7威12290接40401牛3C正03160叮E莫usern渠amec健cynmo北n08p衡rivil扑ege1柴5pas权sword轻700齿09430雨80D文4F呜04144矮E01未usern垮amej答ianko商ngshi保13888菊29444构4pas司sword巩7娇09664膊51A分48574惑4鹊配置远程访遣问巨：碧inter晃face馆vty电0基15匀隙//进进入韵VTY昆模式炒谨logi迹naut床henti悼catio练n萄MDCN景/第/怖配置下VTY钞登陆认证方享式为仗AAA洋idle-脱timeo假ut哲10违0偷处单//誓配置总VTY规空闲时间为窑10军分钟渡卷acces麻s-cla及ss词困10羽in阁猾絮//固配置TEN庸ET访问限痕制。登陆账户：妥配置远程登盒陆信息。骤说愉明：请分集扫成商配置临议时账户，并拼告诉总集成或商配置规范：左usern蝶ame刊[产用户名全拼培][闲号摔]州委privi稍lege阴N御secr姻et使君<浸认证密码侄>删颈而忙//耳用户名格式桥：清[新用户名哥全拼雀]颤[胡号滩]荐usern冬ameK奶chwg7蛾19pr备ivile拉ge15丈pass灾word螺7珍012A业08075仰60503族1B稠731C荐1E515饥825逢usern姓amel殖iubot勇ao138绵88955厨089p沉rivil谣ege1恳5pas寿sword侧702采36054级81831窃00336第8植usern唯amew纲angdo剥ngxu1荐59081特88151另priv音ilege螺15p飞asswo蕉rd7育03335厚F兄13575犯B匀76151示85A侄usern碍ameh阶uangg罩ongxu现n1388依89692挪31pr什ivile落ge15意pass滤word迫7馒12290拳40401泥3C而03160旁E负usern坑amec监cynmo没n08p楚rivil扮ege1姜5pas提sword风700座09430太80D辜4F刺04144佣E01忠usern授amej讲ianko奸ngshi娱13888而29444螺4pas女sword流7暮09664澡51A北48574辩4展配置远程访竞问皇：旁inter只face口vty谎0馒15额注//北进入渔VTY微模式剖嫂logi客naut摩henti枝catio层n点MDCN碌/绑/诊配置乘VTY将登陆认证方铲式为寺AAA款idle-早timeo搏ut闸5坟说0矮希萄//震配置惰VTY晋空闲时间为课10芒分钟胀场acces新s-cla栗ss优居10碰in佩捎缠//芹配置TEN同ET访问限凡制。GE端口冶inter萝face满gigab奋iteth桑ernet析inte矿rface比-numb适er血descr励iptio货n饰inter斗face-歌descr到iptio张n柳ipad兰dress怪ip-a挑ddres抚sip-初mask镰duple胖xful眼l姿盼餐引训//年强制全双工觉no更如negot痛iatio缩n订n语oshu技tdown未使用端咬配置内容：南关闭所有踢未使用端口跌IP地址分患配征县级汇聚交赖换至地市营兵业厅汇聚交胸换机450霸3之间互联刘地址及其设塌备名称统一纵分配倘请参考芳《字MDCN县哲级交换机I周P地址分配圈表革》耻云南爷MDCN县陕级使网络结构嘴MDCN现明网网络架构晴：缴目前MDC肯NCE接宾入层均落地程地市核心机圣房，县级延复伸部分没有透纳入MDC羞N的统一规按划，本次工触程将在各县哄新增1台汇量聚交换机，约以满足各县践分公司办公味和营业厅对悼接入需求。俯同时为满足黎各县分公司拜访问MDC迁N相关业务寇系统的带宽题需求，本次票新建的县级至汇聚交换机讽采用1GE苍口上行。灶此次工程之剃后MDCN掀网络架构如箩下图所示：政网络路由榜和转发实现辟方案及配置协议部署稿依据MDC壳N层次化的奶设计原则，陈路由协议部豪署同样采取蓬层次化得部瞧署原则，整航体的部署入枪下图所示：薪如上图所示顷；省干网部品分运行BG采P及MP奶LS-VP思N承载各业淋务VPN，吗地市核心P再E与个业务床CE间运行瞒OSPF协耻调。本次新怜建的县级汇组聚交换机与渡地市营业厅馋汇聚交换机喜之间运行O寄SFP。眨OSPF规蛮范能Meric稻/Cost备同一条链路浊两端的CO劣ST稼要求秘一致，各类毯端口Cos莫t规划如下咸表暮，与现网保温持一致笼：惊链路北OSPF于Cost喜地市汇聚4湾503-1薪→颗县汇聚交换镰机第一上行斗口或10惭地市汇聚4撒503-2齿→值县汇聚交换辫机第二上行拣口刺20垂地市汇聚4武503-1话→港地市汇聚4羞503-2采10参数规划险以下给出O奖SPF协议溉在网络中部仆署可能用到凯的参数定义洽及赋值：谈编号正OSPF相蜜关数据攻配置哭1纪Proce正ssID更1依2呀ROUTE稍R-ID穗县级汇聚交泛换机第一上活行口剖地址谦3真接口cos毙t值辰参考上述原析则绣著4厦端口类型岁P2P转10款缺省路由慕类型鹿T住ype1窑11乳A醒reai蔑d倒0穴县级交换机狠入网测试业务测试墓县级交换机爽两台上行链趋路均正常时期，完成下表小测试并做好壶相应记录。油IP地址皮用途刮测试结果是眼否与割接前管相符堤备注翠10.16汉艳1侍BOSS应亦用服务器喂是果□歪波否患□丽牙10.16症愧2澡BOSS应吓用服务器忌是基□雹歌否先□骡煎10.16徐俘5估经分应用服条务器腾是酿□暖锡否榴□找有10.16裁墙6氧经分应用服梁务器静是陆□盾疼否葱□端杯10.16业哀45显经分应用服虏务器域是溉□个稼否妹□残拣10.16峰健46外经分应用服闲务器矮是咱□真段否茶□垄但10.16够舱7李一级BOS么S服务器霸是灯□苏成否袄□冈奥10.16礼蚕8障一级BOS演S服务器忆是碧□摔荣否挺□洞炼10.16岂拾45招一级BOS驾S服务器限是得□千池否域□凤铁10.16荡伞46咸一级BOS瓜S服务器段是贼□睬定否设□轻抚10.16气样05延一级BOS面S服务器赠是载□朴文否神□宏议10.16灶仔06销一级BOS峡S服务器况是庄□斤查否抢□缺图10.16漫饼35策BOSS应茂用服务器荐是午□贷作否壁□见拜10.16班膨36槐BOSS应抢用服务器鹊是烈□踢站否音□业拘10.16咏8.10.罩66邀OA应用服藏务器拣是骆□怪收否服□宇重点测试条10.16姜8.10.膨67普OA邮件服处务器漫是厉□雹本否痒□裕重点测试客10.16劲8.25.订28索BOSS数瓣据库服务器培是护□炊漆否昌□寇重点测试与10.16引8.25.毒99善BOSS数山据库服务器微是息□即鄙否上□偶重点测试膛10.16逗8.28.裂23斑CRM1服趣务器棕是悉□签碧否菊□毕重点测试子10.16妖8.28.手29激CRM3服政务器乐是优□虾裕否喉□盾重点测试坝10.16失8.30.却154释BOSS数乎据库服务器武是握□嚼未否群□题踏10.16庭8.30.松155竞BOSS数巨据库服务器箱是构□重旷否逐□遵盛10.16乡8.31.诉62朋CRM2服鞭务器猎是吓□柏本否扎□息重点测试遣10.16帖8.31.汪65剥CRM4服猫务器及是象□循大否龄□装重点测试侮10.16慰8.31.央80橡HLR联指贴服务器婚是扇□杏员否延□穿重点测试尽10.16紫8.31.何81曾MSC采集享服务器众是表□僚仁否度□声重点测试顾10.16村8.34.犁16丢网管服务器迹是矩□侨蝇否摘□李重点测试熄10.16削8.34.踏18馆网管服务器戒是截□龙粱否香□摘重点测试渠10.16酬8.141末.80叫客服数据库汁服务器辜是钟□升系否洽□喘重点测试蒸10.16烫8.141梳.98返客服应用服乱务器墓是坡□男景否酱□多重点测试阿135.3纱2.22.旱154伸企业QQ服拍务器己是颜□债述否朗□礼重点测试倒换测试汽如下图所示茄断开县级汇桃聚交换机其爬中一条链路啊是完成业务急测试。兵IP地址延用途矩测试结果是拜否与割接前缘相符去备注柜10.16兼征1望BOSS应才用服务器畏是东□筋伯否驻□花诸10.16亩个2火BOSS应键用服务器堪是喝□奏徐否腥□饭睡10.16虚秧5惑经分应用服答务器葛是泄□辅放否逗□炒描10.16督猜6朵经分应用服阀务器并是食□仍路否盾□忙著10.16钱出45劫经分应用服虏务器萌是为□劫肝否红□陈衰10.16日半46锻经分应用服厌务器节是货□宗陵否烘□巷最10.16既钻7浇一级BOS戏S服务器体是隆□绒吉否偶□白近10.16唇孟8驼一级BOS场S服务器船是次□练导否帖□银料10.16趁孟45升一级BOS微S服务器智是仪□委严否莫□幼迈10.16霸容46云一级BOS垒S服务器腐是段□穴孩否弱□父介10.16特夕05跑一级BOS碌S服务器腹是趣□投纵否址□象犬10.16扫意06畜一级BOS架S服务器会是