收藏
下载资源 加入VIP免费专享

XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx

上传人:牧羊曲112 文档编号:1701923 上传时间:2022-12-15 格式:DOCX 页数:16 大小:238.97KB
返回 下载 相关 举报
XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx_第1页
第1页 / 共16页
XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx_第2页
第2页 / 共16页
XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx_第3页
第3页 / 共16页
XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx_第4页
第4页 / 共16页
XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx》由会员分享,可在线阅读,更多相关《XXXX年MDCN网络扩容项目县级汇聚交换机入网方案.docx(16页珍藏版)》请在三一办公上搜索。

1、 MDCN网络扩容项目县级交换机入网方案云南移动2010年MDCN扩容项目县级汇聚交换机入网方案上海华讯网络系统有限公司 2011年3月目 录1概述42设备、板卡及接口配置51.1设备命名规范51.2端口描述规范51.3设备的访问及访问控制51.3.1远端登陆管理要求51.3.2Console端口配置51.3.3访问控制51.4设备高可靠性措施61.5设备端口配置71.5.1MTU值设计71.5.2GE端口配置71.6配置需求71.7配置模板7未使用端92IP地址分配103云南MDCN县级网络结构114网络路由和转发实现方案及配置134.1协议部署134.2OSPF规范145.4.1Meric

2、/Cost145.4.2参数规划145县级交换机入网测试155.1业务测试155.2倒换测试151 概述本规范主要针对MDCN省网汇聚路由器和MDCN地州延伸网各级设备,主要包含两个层次的内容:方案与配置命令,方案主要指出实施需实现的目标、效果和实现的手段;配置命令包括2部分,即配置需求和配置模板,配置需求针对每个功能和特性提出了详细的配置需求,各厂商根据配置需求给出所需的命令语句。要求:各厂家根据本规范给定的配置模版,需要通过备注形式对每条命令行进行解释。2 设备、板卡及接口配置1.1 设备命名规范请参考交付件2.1 云南移动MDCN集成项目网络资源命名规范V1.0.doc1.2 端口描述规

3、范请参考交付件2.1 云南移动MDCN集成项目网络资源命名规范V1.0.doc1.3 设备的访问及访问控制1.3.1 远端登陆管理要求对于远程登陆要严格控制,只允许信任主机以特定方式(telnet/ssh)登陆路由器。远程登录按省公司维护管理,原则上省公司拥有城域网上所有设备的全部权限;地州维护管理,拥有地州核心路由器以下设备(不包含地州核心路由器)的全部权限;监控系统拥有城域网上所有设备的只读权限。管理员分两级,读写级的必须实名制,值班员公用的职能配发只读级。路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设备主动中断远程连接,这样可以防止所有远程登录VTY端口占用而

4、无法对设备进行管理,将此超时值设置为5分钟。针对VTY端口要设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤,原则举例如下: 县级汇聚交换机维护权由地州和县共同负责,具体登陆限制条件有地州分公司和县公司规定 在设备测试阶段针对VTY端口不设置访问控制列表。1.3.2 Console端口配置路由器console端口要设置口令,尤其必须设置超级口令,以保证设备的安全。在测试阶段用户名和密码为:ynmdcn/yndmcn1.3.3 访问控制l VTY控制安全目标:防止非法用户通过Telnet获取云南移动MDCN城域网设备的控制能力。攻击手段: 非

5、法用户获得网管或维护终端的控制能力,通过网管或维护终端登陆到城域网设备进行操作控制。 无法获取VTY通道,直接进行DoS攻击,致使正常的VTY连接受到影响。保护手段: Access端口上通过分组过滤策略过滤非法的Telnet数据包。 Access端口上通过严格反向路径查找过滤掉进行DoS攻击的伪造源地址数据包。 对Telnet或SSH进行最大连接数限制,idle-timeout设置为5分钟,最多允许同时5个在线防止攻击。 加强密码管理,采用集中认证技术,同时进行认证、授权、审计操作。l SNMP控制安全目标:防止非法用户通过SNMP管理接口获取设备信息或对设备进行控制。攻击手段:盗取SNMP密

6、码,获得SNMP访问通道,利用SNMP管理接口获取设备信息或对设备进行控制。保护手段: Access端口上通过分组过滤和严格反向路径查找过滤非法的SNMP数据包; 采用SNMP V2/V3安全版本,使用MD5认证算法,利用MIB View关闭大数据量的表类型变量(如路由表和转发表); 考虑到目前大部分网管系统需要设备开放SNMP写权限,因此不关闭设备SNMP的写控制; SNMP使用的团体属性密码与现网保持一致。1.4 设备高可靠性措施网络设备是组成多业务城域网的基本节点,其可靠性是整网可靠性的基础。主流网络设备的关键部件,包括主控单元、交换单元、电源、制冷系统等,大多采用热备份冗余设计,这是保

7、证电信级城域网可靠性的最基本要求。主备引擎冗余配置:配置控制卡之间的配置文件和动态数据同步,配置控制卡在故障情况下的无缝倒换。设置主备引擎为最优保护方式。1.5 设备端口配置1.5.1 MTU值设计由于县级交换机和地州营业厅接入交换机4503之间没有特殊的协议部署,4503与县级交换机之间采用默认的MTU值1.5.2 GE端口配置GE端口的参数配置规范如下:1. 关闭GE端口自动协商,配置为强制千兆全双工模式。1.6 配置需求1. 配置Hostname、时区为东8区;2. 定义OSPF的router-id,为第一上行接口地址;3. 配置2个级别的管理组,分别为全部权限和只读权限;4. 配置co

8、nsole口令,配置console口反向telnet方式;5. 设备配置telnet vty并发连接数为5,空闲时间为5 min,加访问控制列表只允许特定网段访问(具体ACL名字见命名规范);6. 配置系统的所有告警日志,保存到本地;系统所有登陆日志,保存到本地;7. 考虑将所有设备的系统日志要求预先设置发送至总部网管中心日志服务器。1.7 配置模板l 设备基本信息配置#sysname hostname1slave auto-update configslave switchover enable#router id x.x.x.x /第一上行接口IP地址#user-interface max

9、imum-vty 5 /设置登录用户的最大数目user-interface con 0authentication-mode aaauser-interface aux 0user-interface vty 0 4 /缺省最大同时在线数为5个acl 3000 inboundauthentication-mode aaaidle-timeout 5 0 /设置用户界面断连的超时时间5登陆账户:配置远程登陆信息。说 明:请分集成商配置临时账户,并告诉总集成商配置规范:username Kchwg719 privilege 15 password 7 012A08075605031B731C1E5

10、15825username liubotao13888955089 privilege 15 password 7 023605481831003368username wangdongxu15908188151 privilege 15 password 7 03335F13575B7615185Ausername huanggongxun13888969231 privilege 15 password 7 12290404013C03160Eusername ccynmon08 privilege 15 password 7 000943080D4F04144E01username ji

11、ankongshi13888294444 password 7 0966451A485744配置远程访问:interface vty 0 15 /进入VTY模式 login authentication MDCN /配置VTY登陆认证方式为AAAidle-timeout 10 0 /配置VTY空闲时间为10分钟 access-class 10 in /配置TENET访问限制。登陆账户:配置远程登陆信息。说 明:请分集成商配置临时账户,并告诉总集成商配置规范:username 用户名全拼手机号 privilege N secret /用户名格式:用户名全拼手机号username Kchwg719

12、 privilege 15 password 7 012A08075605031B731C1E515825username liubotao13888955089 privilege 15 password 7 023605481831003368username wangdongxu15908188151 privilege 15 password 7 03335F13575B7615185Ausername huanggongxun13888969231 privilege 15 password 7 12290404013C03160Eusername ccynmon08 privile

13、ge 15 password 7 000943080D4F04144E01username jiankongshi13888294444 password 7 0966451A485744配置远程访问:interface vty 0 15 /进入VTY模式 login authentication MDCN /配置VTY登陆认证方式为AAAidle-timeout 5 0 /配置VTY空闲时间为10分钟 access-class 10 in /配置TENET访问限制。GE端口interface gigabitethernet interface-number description inter

14、face-descriptionip address ip-address ip-maskduplex full /强制全双工no negotiationno shutdown未使用端配置内容: 关闭所有未使用端口2 IP地址分配县级汇聚交换至地市营业厅汇聚交换机4503之间互联地址及其设备名称统一分配请参考MDCN县级交换机IP地址分配表3 云南MDCN县级网络结构MDCN现网网络架构:目前MDCN CE接入层均落地地市核心机房,县级延伸部分没有纳入MDCN的统一规划,本次工程将在各县新增1台汇聚交换机,以满足各县分公司办公和营业厅对接入需求。同时为满足各县分公司访问MDCN相关业务系统的带

15、宽需求,本次新建的县级汇聚交换机采用1GE口上行。此次工程之后MDCN网络架构如下图所示:4 网络路由和转发实现方案及配置4.1 协议部署依据MDCN层次化的设计原则,路由协议部署同样采取层次化得部署原则,整体的部署入下图所示:如上图所示;省干网部分运行BGP 及MPLS-VPN承载各业务VPN,地市核心PE与个业务CE间运行OSPF协调。本次新建的县级汇聚交换机与地市营业厅汇聚交换机之间运行OSFP。4.2 OSPF规范5.4.1 Meric/Cost同一条链路两端的COST要求一致,各类端口Cost规划如下表,与现网保持一致:链路OSPF Cost地市汇聚4503-1县汇聚交换机第一上行口

16、10地市汇聚4503-2县汇聚交换机第二上行口20地市汇聚4503-1地市汇聚4503-2105.4.2 参数规划以下给出OSPF协议在网络中部署可能用到的参数定义及赋值:编号OSPF相关数据配置1Process ID12ROUTER-ID县级汇聚交换机第一上行口地址3接口cost值参考上述原则 4端口类型P2P10缺省路由类型Type111Area id05 县级交换机入网测试5.1 业务测试县级交换机两台上行链路均正常时,完成下表测试并做好相应记录。IP地址用途测试结果是否与割接前相符备注10.168.2.71BOSS应用服务器 是 否 10.168.2.72BOSS应用服务器 是 否 1

17、0.168.3.65经分应用服务器 是 否 10.168.3.66经分应用服务器 是 否 10.168.3.145经分应用服务器 是 否 10.168.3.146经分应用服务器 是 否 10.168.4.27一级BOSS服务器 是 否 10.168.4.28一级BOSS服务器 是 否 10.168.4.145一级BOSS服务器 是 否 10.168.4.146一级BOSS服务器 是 否 10.168.4.205一级BOSS服务器 是 否 10.168.4.206一级BOSS服务器 是 否 10.168.6.135BOSS应用服务器 是 否 10.168.6.136BOSS应用服务器 是 否 1

18、0.168.10.66OA应用服务器 是 否 重点测试10.168.10.67OA邮件服务器 是 否 重点测试10.168.25.28BOSS数据库服务器 是 否 重点测试10.168.25.99BOSS数据库服务器 是 否 重点测试10.168.28.23CRM1服务器 是 否 重点测试10.168.28.29CRM3服务器 是 否 重点测试10.168.30.154BOSS数据库服务器 是 否 10.168.30.155BOSS数据库服务器 是 否 10.168.31.62CRM2服务器 是 否 重点测试10.168.31.65CRM4服务器 是 否 重点测试10.168.31.80HLR

19、联指服务器 是 否 重点测试10.168.31.81MSC采集服务器 是 否 重点测试10.168.34.16网管服务器 是 否 重点测试10.168.34.18网管服务器 是 否 重点测试10.168.141.80客服数据库服务器 是 否 重点测试10.168.141.98客服应用服务器 是 否 重点测试135.32.22.154企业QQ服务器 是 否 重点测试5.2 倒换测试如下图所示断开县级汇聚交换机其中一条链路是完成业务测试。IP地址用途测试结果是否与割接前相符备注10.168.2.71BOSS应用服务器 是 否 10.168.2.72BOSS应用服务器 是 否 10.168.3.65

20、经分应用服务器 是 否 10.168.3.66经分应用服务器 是 否 10.168.3.145经分应用服务器 是 否 10.168.3.146经分应用服务器 是 否 10.168.4.27一级BOSS服务器 是 否 10.168.4.28一级BOSS服务器 是 否 10.168.4.145一级BOSS服务器 是 否 10.168.4.146一级BOSS服务器 是 否 10.168.4.205一级BOSS服务器 是 否 10.168.4.206一级BOSS服务器 是 否 10.168.6.135BOSS应用服务器 是 否 10.168.6.136BOSS应用服务器 是 否 10.168.10.6

21、6OA应用服务器 是 否 重点测试10.168.10.67OA邮件服务器 是 否 重点测试10.168.25.28BOSS数据库服务器 是 否 重点测试10.168.25.99BOSS数据库服务器 是 否 重点测试10.168.28.23CRM1服务器 是 否 重点测试10.168.28.29CRM3服务器 是 否 重点测试10.168.30.154BOSS数据库服务器 是 否 10.168.30.155BOSS数据库服务器 是 否 10.168.31.62CRM2服务器 是 否 重点测试10.168.31.65CRM4服务器 是 否 重点测试10.168.31.80HLR联指服务器 是 否 重点测试10.168.31.81MSC采集服务器 是 否 重点测试10.168.34.16网管服务器 是 否 重点测试10.168.34.18网管服务器 是 否 重点测试10.168.141.80客服数据库服务器 是 否 重点测试10.168.141.98客服应用服务器 是 否 重点测试135.32.22.154企业QQ服务器 是 否 重点测试2022-12-15第17页, 共16页

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号