在县局,ME60双上行至地市核心GSR路由器,上行开启三层接口,启用OSPF以及BGP协议;同时,与本局汇聚交换机通过GE口连接,该接口用来终结县级汇聚交换机透传上来的单层VLAN以及QINQ VLAN。
除了挂接用户业务以外,本期项目中党建、CDN等服务器业务也需要割接到新建BRAS上。
1.3 VLAN规划原则
1.遵循管理VLAN 与用户VLAN 分开、一用户一VLAN 的原则。
2.对于直连一级汇聚层交换机的市区接入设备,要求采用VLAN Stacking 模式,做到每个用户一个VLAN。接入设备的外层VLAN 使用原汇聚层交换机中预留的VLAN。
3.对于下挂在和BAS 有直连链路的县局节点下的接入设备,也要求采用VLAN Stacking 模式。
4.对于下挂在二级汇聚交换机以下的接入设备(如支局),不建议采用VLAN Stacking 模式,可采用一个DSLAM 分配“一个用户VLAN+一个管理VLAN”的方式;对于LAN 方式,ZAN 和BAN 的管理VLAN 使用同一VLAN,每个BAN 采用不同用户VLAN;
5.对于采用PPPOE 与DHCP+并行模式的接入层设备,不采用VLAN Stacking 模式,应遵循不同认证方式用户分配不同VLAN 的原则进行VLAN 规划。通过相连的各级交换机将新增VLAN 透传至BAS。设备管理VLAN 则延用原模式。 1.4 IP地址规划原则
本着连续分配、节约资源、便于管理的原则进行规划。 1.普通拨号用户IP 地址规划
PPPOE 拨号用户的IP 地址均直接由BAS 通过地址池动态分配,每台BAS 暂时分配4 个C 类地址。
2.专线用户IP 地址规划
每个专线用户一个VLAN,每台BAS 分配一个C 类地址,用户地址可以连续分配。 3.设备管理IP 地址规划
每台BAS 下挂的接入层设备管理地址为一个C类地址,可进行连续分配。 4.BAS 设备管理(loopback 地址等)和互联地址由省公司统一规划分配。 5.每台BAS 目前预留两个C 类地址备用。
2、BAS配置规范(ME60)
该部分所介绍的配置是现网设备配置的说明和解释,以及部分配置规范;具体命令的格式及说明请参考ME60 设备配置手册。 2.1 设备基本配置
设备的基本配置包括主机名称、时钟、用户管理设置等。 2.1.1 设置主机名
主机名命名规则:
字段名称字段类型网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号英文字符符号英文字符符号英文字符符号字母/数字序列符号数字(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)(主字段)(连接符)省网骨干核心层:PB全省各市的简称:辖区/县+节点/机房中文名第一个字由厂商名及数用来标识同一省网骨干汇聚层:PCZZ LY XX AY NY母的缩写字序列组成,个节点的相同字段省网接入层:PAJZ PDS XC SQ XY例一:中原路机房缩写为:ZYL示例:型号设备的序说明城域网业务控制层:MSKF PY HB SMX ZK例二:新密县老局机房缩写为:XMLJC12416号。范围从城域网汇聚层:MCJY LH ZMDHW8850001-999城域网接入层:MAZTE10600
【示例】MC-ZZ-KFQ-C6509-001 郑州城域网汇聚层开发区思科6509设备
MA-ZZ-XZ.BQ.LD-HW5100-001 新郑市八千乡刘店接入点华为5100设备 对于华为本期项目上的NE40E及ME60,属于城域网业务控制层,按照规范描述网络层次为MS,例如,洛阳道北节点ME60命名如下: MS-LY-DB-HW60-001
2.1.2 时区和时钟校准 配置时钟命令如下:
clock datetime HH:MM:SS YYYY-MM-DD
配置时区命令如下:
clock timezone time-zone-name { add | minus } offset 例如,设置中国区时钟: clock timezone beijing add 8
2.1.3 配置管理员及其密码
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令local-aaa-server,进入本地AAA 视图。
步骤 3 执行命令user username { password { simple simple-password | cipher
cipher-password } |authentication-type type-mask | block | ftp-directory ftp-directory | level level |callback-nocheck | callback-number callback-number | idle-cut | qos-profileqos-profile-name } *,增加操作用户。 例如,增加一个名字为HUAWEI的用户,配置如下: local-aaa-server
user HUAWEI password cipher Huawei level 3
级别3为超级用户权限,可以根据需要将用户设置为0-3的任何级别。
2.1.4 启用服务
ME60启用网络服务命令如下: ftp server enable ssh server enable
2.1.5 对管理员地址范围进行限定 定义访问控制列表: Acl 2000
rule 5 permit ip source 10.1.1.1 255.255.255.255 rule 10 permit ip source 10.1.1.2 255.255.255.255 rule 15 permit ip source 10.1.1.3 255.255.255.255 进入USER-INTERFACE User-interface vty 0 4 Acl 2000 in
2.1.6 timeout 时间设置 空闲过时设置
User-interface vty 0 4 Idle-timeout 5
当telnet 会话在5 分钟内没有输入时timeout 退出
2.1.7 ACL 配置范例
Acl 2000至2999为基本ACL,只能够定义源地址;3000-3999为扩展ACL,能够依照五元组进行定义
1、配置管理ACL范例: Acl 3000
rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管;
rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS(SE800)网管服务器地址;
rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地址;
rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1; rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2; rule 30 deny tcp source any destination any eq telnet
rule 35 deny tcp source any destination any eq ssh rule 40 deny tcp source any destination any eq ftp rule 45 deny tcp source any destination any eq ftp-data rule 50 deny udp source any destination any eq tftp rule 55 deny udp source any destination any eq snmp rule 60 deny udp source any destination any eq snmptrap rule 65 permit ip any any 进入telnet 用户接口 User-interface vty 0 4 Acl 3000 in
2、配置普通ACL并应用范例
acl number 3001 rule 5 permit ip #
acl number 6000 match-order auto
rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445
rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135
rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434
rule 90 deny ip source user-group help destination ip-address any rule 95 deny ip source user-group iptv destination ip-address any
[ACL6000是一个用户ACL,前面定义了防病毒部分,最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]
#
acl number 6001
rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0