发布时间 : 星期三 文章湖北电信IP城域网SR路由器(华为NE40E)配置规范V1.0更新完毕开始阅读
湖北电信城域网路由器设备配置规范总则
按照 RT 号规划设置RT。现网已配置的保持不变,新配置VRF的RT分配原则如下:
? 对于any-to-any的VPN客户, RT值为RD值后面加2个0; ? 对于Hub-Spoke的VPN客户,Hub站点的RT值为RD值后面加2个0,
Spoke部分的RT取值为RD值加上01;
? 对于不完全网状拓扑的VPN客户,需要多个RT值描述不同站点间的
路由关系时,RT值为RD值后面加从01到99按顺序取的值。
3.1.6.4 配置范例
#新建VRF,并配置RD、RT,采用full-mash模式。 ip vpn-instance CTVPN2600000-Gonghang route-distinguisher 4809:2600000 vpn-target 4809:26000000 export-extcommunity vpn-target 4809:26000000 import-extcommunity 检查: display ip vpn-instance verbose name 3.1.7 系统高可靠性配置
配置说明:
配置系统引擎冗余模式,当主引擎出现故障时能快速切换到备用引擎。配置现网设备将可能引起引擎重启。
规范要求:
打开自动切换,要求采用最优切换方式。 配置规范:
华为 NE 路由器两块引擎之间的备份机制是系统自动的,在Master 引擎故 障的情况下,Slave 会立刻自动将自己切换为Master 引擎,无需命令配置。
查看验证:
display device #显示2块MPU为1个为Master状态,一个为Slave状态 display switchover state #显示备份状态,当状态为“Info:HA FSM State, Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正 在同步时,切换可能会有问题 中国电信湖北分公司
第17页
湖北电信城域网路由器设备配置规范总则
3.2 端口配置规范
3.2.1 MTU值设计
城域网路由型设备端口MTU的设置主要受三方面因素影响: ? 业务MPLS化后,MTU必须足够大,才能保证端到端通信正常; ? IGP路由协议邻居关系的建立,需要两侧设备端口MTU保持一致性; ? 接入网的以太化,终端侧MTU均不超过1500;
为统一全网路由型设备端口MTU值,建议IP城域网路由型设备的所有互连端口,GE/10GE以太网口和POS口MTU统一取值为4470字节。
IGP协议配置全部取消对接口MTU的检查。
3.2.2 Loopback接口配置
配置说明:
配置Loopback地址,提供一个永远up的、掩码为32位IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。
规范要求:
路由器必须配置loopback接口。湖北省Loopback地址路由标识地址采用Loopback 0;组播anycast RP采用Loopback 100。
配置规范:
interface LoopBack0 ip address *.*.*.* 255.255.255.255 description For-Management 配置验证:
disp inter loopback 0
3.2.3 GE接口配置
3.2.3.1 接口描述 配置说明:
中国电信湖北分公司
第18页
湖北电信城域网路由器设备配置规范总则
配置接口描述,明确标识链路连接方向,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
配置二层接端口的描述符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。并注意端口描述中的对端端口应区别不同设备。
配置三层接口的描述和相应的二层接口描述一致,上行链路描述前缀使用“uT:”,下行链路描述前缀使用“dT:”,横连链路前缀使用“pT:”。
未使用的端口需要Shutdown,并删除端口描述、IP地址、子接口等配置。 3.2.3.2 MTU值 配置说明:
配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为,当PING小包时正常,不会丢包,但是PING大包时会明显丢包,而且影响IGP协议正常建立邻居关系。
规范要求:
GE/10GE端口MTU配置为4470。 配置注意细节
端口需shutdown/undoshutdown后,更改后的MTU值才会生效。 3.2.3.3 关闭GE接口协商 配置说明:
端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式,并且侦测远端通告的相应的运行方式,协商两端的数据,如果千兆链路两端的配置不一致,端口状态将可能不UP或不稳定。
规范要求: 关闭GE接口协商
3.2.3.4 关闭存在风险的安全漏洞 配置说明:
关闭GE/10GE端口可能存在风险的安全漏洞。包括:
ICMP Redirect:可以通知主机修改其发送数据的下一跳IP,更改主机的路
中国电信湖北分公司
第19页
湖北电信城域网路由器设备配置规范总则
由,存在DOS攻击的风险。
Direct Broadcast:允许向该网段下的所有设备发送广播包文,造成大量的流量。
Proxy ARP:允许接口代理查询ARP地址,将自己的MAC地址做为应答,存在ARP欺骗安全问题。
规范要求:
关闭ICMP Redirect、Direct Broadcast、Proxy ARP。 3.2.3.5 接口开启震荡禁止 配置说明:
为避免接口反复UP/DOWN造成系统路由震荡,导致对网络稳定性的影响,接口开启震荡禁止功能。仅在主接口启用,不在子接口启用。
所有GE和POS接口都开启damping。 HW默认值:
half-life:60s,resume:750,suppress:2000,max-suppress-time:4倍half-life HW默认值:half-life:54s, resume:750, suppress:2000, max-suppress:6000 规范要求:
开启接口震荡禁止功能,使用默认值。 3.2.3.6 接口数据统计时间间隔设置 配置说明:
为及时查看接口下流量数据统计,所有接口的时间间隔应设置相对较小数值,这样才能使流量统计数值更新较快。
规范要求:
所以接口统一设置30s。
3.2.3.7 绑定VPN实例用户设置 配置说明:
在接口绑定相应VPN实例,承载下挂VPN业务。 规范要求:
接口绑定创建的VPN实例。
中国电信湖北分公司
第20页