XXXX年MDCN网络扩容项目县级汇聚交换机入网方案

MDCN网络扩容项目县级交换机入网方案2019-9-5第2页,共16页云南移动2010年MDCN扩容项目县级汇聚交换机入网方案上海华讯网络系统有限公司2011年3月MDCN网络扩容项目县级交换机入网方案2019-9-5第3页,共16页目录1概述..................................................................................................................................................42设备、板卡及接口配置..................................................................................................................51.1设备命名规范.........................................................................................................................51.2端口描述规范.........................................................................................................................51.3设备的访问及访问控制.........................................................................................................51.3.1远端登陆管理要求.........................................................................................................51.3.2Console端口配置..........................................................................................................51.3.3访问控制.........................................................................................................................51.4设备高可靠性措施.................................................................................................................61.5设备端口配置.........................................................................................................................71.5.1MTU值设计......................................................................................................................71.5.2GE端口配置....................................................................................................................71.6配置需求.................................................................................................................................71.7配置模板.................................................................................................................................7未使用端..........................................................................................................................................92IP地址分配...................................................................................................................................103云南MDCN县级网络结构.........................................................................................................114网络路由和转发实现方案及配置................................................................................................134.1协议部署...............................................................................................................................134.2OSPF规范.............................................................................................................................145.4.1Meric/Cost...................................................................................................................145.4.2参数规划.......................................................................................................................145县级交换机入网测试....................................................................................................................155.1业务测试...............................................................................................................................155.2倒换测试...............................................................................................................................15MDCN网络扩容项目县级交换机入网方案2019-9-5第4页,共16页1概述本规范主要针对MDCN省网汇聚路由器和MDCN地州延伸网各级设备，主要包含两个层次的内容：方案与配置命令，方案主要指出实施需实现的目标、效果和实现的手段；配置命令包括2部分，即配置需求和配置模板，配置需求针对每个功能和特性提出了详细的配置需求，各厂商根据配置需求给出所需的命令语句。要求：各厂家根据本规范给定的配置模版，需要通过备注形式对每条命令行进行解释。MDCN网络扩容项目县级交换机入网方案2019-9-5第5页,共16页2设备、板卡及接口配置1.1设备命名规范请参考《交付件2.1云南移动MDCN集成项目网络资源命名规范V1.0.doc》1.2端口描述规范请参考《交付件2.1云南移动MDCN集成项目网络资源命名规范V1.0.doc》1.3设备的访问及访问控制1.3.1远端登陆管理要求对于远程登陆要严格控制，只允许信任主机以特定方式（telnet/ssh）登陆路由器。远程登录按省公司维护管理，原则上省公司拥有城域网上所有设备的全部权限；地州维护管理，拥有地州核心路由器以下设备（不包含地州核心路由器）的全部权限；监控系统拥有城域网上所有设备的只读权限。管理员分两级，读写级的必须实名制，值班员公用的职能配发只读级。路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接，这样可以防止所有远程登录VTY端口占用而无法对设备进行管理，将此超时值设置为5分钟。针对VTY端口要设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤，原则举例如下：县级汇聚交换机维护权由地州和县共同负责，具体登陆限制条件有地州分公司和县公司规定在设备测试阶段针对VTY端口不设置访问控制列表。1.3.2Console端口配置路由器console端口要设置口令，尤其必须设置超级口令，以保证设备的安全。在测试阶段用户名和密码为：ynmdcn/yndmcn1.3.3访问控制VTY控制安全目标：防止非法用户通过Telnet获取云南移动MDCN城域网设备的控制能力。MDCN网络扩容项目县级交换机入网方案2019-9-5第6页,共16页攻击手段：非法用户获得网管或维护终端的控制能力，通过网管或维护终端登陆到城域网设备进行操作控制。无法获取VTY通道，直接进行DoS攻击，致使正常的VTY连接受到影响。保护手段：Access端口上通过分组过滤策略过滤非法的Telnet数据包。Access端口上通过严格反向路径查找过滤掉进行DoS攻击的伪造源地址数据包。对Telnet或SSH进行最大连接数限制，idle-timeout设置为5分钟，最多允许同时5个在线防止攻击。加强密码管理，采用集中认证技术，同时进行认证、授权、审计操作。SNMP控制安全目标：防止非法用户通过SNMP管理接口获取设备信息或对设备进行控制。攻击手段：盗取SNMP密码，获得SNMP访问通道，利用SNMP管理接口获取设备信息或对设备进行控制。保护手段：Access端口上通过分组过滤和严格反向路径查找过滤非法的SNMP数据包；采用SNMPV2/V3安全版本，使用MD5认证算法，利用MIBView关闭大数据量的表类型变量（如路由表和转发表）；考虑到目前大部分网管系统需要设备开放SNMP写权限，因此不关闭设备SNMP的写控制；SNMP使用的团体属性密码与现网保持一致。1.4设备高可靠性措施网络设备是组成多业务城域网的基本节点，其可靠性是整网可靠性的基础。主流网络设备的关键部件，包括主控单元、交换单元、电源、制冷系统等，大多采用热备份冗余设计，这是保证电信级城域网可靠性的最基本要求。主备引擎冗余配置：配置控制卡之间的配置文件和动态数据同步，配置控制卡在故障情况下的无缝倒换。设置主备