中国移动通信集团广东有限公司IP城域网汇聚交换机局数据规范V1.0-中兴T160G

广东移动IP城域网汇聚交换机 局数据规范 中兴T160G分册（V1.0） 中国移动通信集团广东有限公司 二ΟΟ九年8月 阅读指南 为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。网络配置主要是指通过在设备上实施具体配置命令，开启设备控制层面和转发层面的功能，实现网络的互通，保证网络具备预期的业务承载能力。同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远，此外，由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网网络设备的网络配置予以规范。 本期城域网涉及的厂家较多，各种厂家、型号的设备将会出现到网络中，为保证本期城域网的建设质量，确保工程的顺利实施，同时为了加强城域网局数据配置的规范性和合理性，特制定本局数据配置规范，用于指导城域网网络管理人员进行配置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化。本局数据配置规范将根据各厂家设备型号分别组织编制相应的局数据配置规范分册。该分册为华为分册。 本文主要 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 安排如下： 1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位； 2. 从网络配置方面阐述配置内容以及规范要求，并给出华为的S9312的配置示例。每种类型的网络设备的网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等； 版本变更记录 日期 版本 说明 作者 2009. 7.20 0.5 创建修改文档 阳江分公司冯汉奎 2009.7.27 0.6 网维中心、阳江等分公司讨论修订 阳江分公司冯汉奎 2009.8.1 0.7 规范文档格式，细化内容 阳江分公司冯汉奎 2009.8.10 0.9 修订增删部分内容，定稿 网维中心何劲 2009.8.18 1.0 发布文档 网维中心 目 录 51. 概述 51.1 目标网络结构 61.2 配置原则 61.3 说明 62. 系统基本配置 72.1 设备名称配置 72.2 Banner配置 72.3 系统时间配置 82.4 NTP配置 82.5 主备卡切换配置 92.6 AAA配置(登录用户) 103. VLAN的划分原则 134. 端口配置 134.1 vlan配置 134.2 二层GE端口配置 144.3 链路汇聚配置 154.4 Trunk端口配置 164.5 普通QinQ配置 174.6 配置管理VLAN接口 184.7 端口镜像配置 184.8 其它未使用端口配置 195. 安全配置 195.1 关闭不需要的服务 195.2 端口MAC地址数量限制 196. STP配置 196.1 MSTP配置 217. 网管配置 217.1 网管地址配置 217.2 SNMP配置 227.3 SYSLOG配置 238. 路由配置 238.1 默认路由配置 239. QOS配置 239.1 端口和Vlan限速 249.2 队列调度和拥塞控制 1. 概述 1.1 目标网络结构 IP城域网的定位： 1、网络定位：IP城域网是位于用户驻地网和CMnet网之间的网络，既要满足用户的需求也需要适应企业未来的发展。IP城域网与城域传送网共同构成了我公司城域综合业务承载平台。 2、业务定位： (1)为公司内部业务应用系统 (营业厅、OA、BOSS等)提供接入以及实现自有机楼数据互连等。 (2)为用户提供互联网接入、集团客户接入、VPN接入等业务。 城域网目标结构图： 在上图中，将IP城域网划分成四个层次：骨干层、核心汇聚层、区域汇聚层和接入层。 · 骨干层通过骨干路由器实现与两张骨干网的连接。骨干层和核心汇聚层组成核心路由区域，完成高速的数据转发，并充当三层MPLS VPN的P设备。 · 在核心汇聚层选择两个节点充当跨域MPLS VPN业务互通的ASBR(跨域边界路由器)，并与CMNET的汇聚路由器直接连接。 · BRAS和核心汇聚路由器充当三层网络边缘的业务控制点设备，充当PE并支持组播复制功能等。 · 区域汇聚层以上起三层网络，区域汇聚层以下视具体的情况设置三层网络和二层网络。 · 接入层负责用户接入，采用二层网络。 1.2 配置原则 1.配置总体原则 为保证配置的规范性和统一性，以减少维护工作的难度和工作量，设备配置过程中应遵循一下基本原则： · 配置语法、语义必须正确无误，保证网络能够正常运行，各种管理接口能够正常通信； · 能够统一的策略和参数必须统一； · 配置应尽量简洁，无用的配置命令不应出现在配置文件中，用于试验的配置应及时删除； · 配置应具有一定的扩展性，方便未来修改和扩展（如ACL的序号安排）； · 配置应保证较好的可读性，尽量通过description参数对重要命令进行注解； · 汇聚层及其以上设备AAA认证必须采用集中服务器认证； · 密码的设置要符合复杂性要求并定期修改； · DNS配置本地网内一致； · SNMP、SYSLOG配置本地网内一致； 如有远程访问控制协议SSH配置也应本地网内一致。 1.3 说明 · 本文档灰底字体表示需注意或表示一定要统一配置的内容 · 关于Qos的具体实现在V1.0版本中没有具体规定，将在城域网一期建设过程中制定。 · 本文档以中兴T160G为示例 2. 系统基本配置 系统基本配置包括设备名称、系统时间、NTP、AAA等的配置 2.1 设备名称配置 · 配置内容：配置设备名称 · 规范要求：设备名称要求符合《中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)》的要求； · 配置示例： 设置交换机的主机名为GDYJ-MA-IPMAN-YD-SW01-T160G。 ZXR10(config)#hostname GDYJ-MA-IPMAN-YD-SW01-T160G 查询： show running-config 2.2 Banner配置 · 配置内容：配置登录提示页面； · 规范要求：提示该系统为移动专有系统，禁止非法登录；城域网所有路由器配置统一的Banner信息，登陆时提示： WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! · 配置示例 ZXR10(config)#banner incoming # WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! # ZXR10(config)# 2.3 系统时间配置 · 配置内容：配置系统时区、配置系统时间； · 规范要求：系统时间要求采用标准北京时间； · 配置示例： ZXR10(config)#clock timezone CHN/SH 8 //设置时区 ZXR10(config)#clock set HH:MM:SS MM DD YYYY //HH:小时；MM:分钟；SS:秒YYY:年；MM:月；DD：日。 查询： Show clock 2.4 NTP配置 · 配置内容：配置NTP服务器； · 规范要求： 1：城域网NTP服务器分为两级；第一级为CMNET-GD的NTP服务器，城域网核心路由器统一指向它；第二级为城域网核心路由器作为NTP服务器，城域网其他设备指向它。 2：为了冗余可靠，需配置多个ntp服务器； 3：城域网核心路由器采用loopback 0作为NTP服务器的源地址； · 配置示例 ZXR10(config)#ntp enable //启用ntp协议 ZXR10(config)#ntp server x.x.x.x version 3//设置ntp服务器 ZXR10(config)#ntp server y.y.y.y version 3//设置ntp服务器 ZXR10(config)#clock timezone CHN/SH 8 //设置时区， ZXR10(config)#ntp source //配置NTP协议发送同步时间请求时使用的源地址 /** x.x.x.x 为城域网核心路由器1的loopback0地址；y.y.y.y为城域网核心路由器2的loopback0地址**/ 查询： show ntp status /** 汇聚交换机数目众多，不配置NTP同步。**/ 2.5 主备卡切换配置 · 配置内容：配置系统主备卡切换 · 规范要求： · 打开自动切换，要求采用最优切换方式 · 配置示例 中兴自动主备同步，无需配置 查询：show version 或 show processor 2.6 AAA配置(登录用户) · 配置内容：配置登录用户及密码 · 规范要求： · 建议分公司建立radius（或Tacacs+）服务器：日常维护时采用radius上配置的帐号，应急情况下使用路由器本地配置的帐号。同时应对radius服务器采用安全保护措施（如防火墙，防病毒等）。 · 帐号认证顺序为先采用local，当认证失败时再将认证请求发送到radius认证服务器，不启用none认证； · 用户名为用户名字加手机号； · 不建议配置5个以上的本地帐号，本地帐号全网统一； · 登录密码应符合复杂性要求（即密码长度要求至少8位，且包含数字、大小写字母），如果支持加密密码要求采用加密方式，定期修改密码。 · Radius服务器的IP地址和端口由市公司自行建设和规划。 · SUPER密码由市公司自行设置，定期修改密码。 · 配置CON/AUX/VTY接口，限制VTY 登陆源地址，ACL号固定为20，acl rule步长为5，空闲超时时间定为10分钟，VTY最大接入用户数4个(T160G/T64G最多允许4个Telnet用户同时登录)。 · 配置示例 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 一、RADIUS认证 ZXR10(config)#radius server 1 authentication master 192.168.4.45 1812 demoradius //设置RADIUS服务器认证配置组 ZXR10(config)#radius server 1 authentication slave 192.168.4.46 1812 demoradius2 ZXR10(config)#radius server timeout 1 10 //设置RADIUS服务器的认证请求超时值 ZXR10(config)#radius server retry-time 1 3 //设置RADIUS服务器认证请求超时重试次数 ZXR10(config)#user-authentication-type local radius 1 //指定Telnet登录时采用的用户认证方式 方案二、配置本地用户 ZXR10(config)#username password ZXR10(config)#line telnet idle-timeout 10 //设置telnet空闲时间10分钟 ZXR10(config)#line console idle-timeout 10 //设置本地串口空闲时间10分钟ZXR10(config)#acl standard number 20 ZXR10(config-std-acl)#rule 5 permit 211.139.132.1 0.0.0.0 //网管中心7206 loopback ZXR10(config-std-acl)#rule 10 permit 211.139.136.53 0.0.0.0 //网管服务器：CMNET省网管服务器网段和市公司的网管服务器网段，城域网内loopback地址段。 ZXR10(config-std-acl)#rule 15 permit 211.139.136.109 0.0.0.0 //网管服务器 ZXR10(config-std-acl)#rule 20 permit 211.139.136.238 0.0.0.0 //网管服务器 ZXR10(config-std-acl)#rule 25 permit 211.139.136.241 0.0.0.0 //网管服务器 ZXR10(config-std-acl)#rule 500 deny any any ZXR10(config)#line telnet access-class 20 //将acl与telnet关联,限制登陆设备的IP 查询 show acl [|name ] //显示所有或指定表号的ACL的内容 3. VLAN的划分原则 VlanID的分配，采用以一个交换域为单位进行规划，同一城域网的不同2层交换域的vlanID可以重复使用。但同一用途在不同的2层交换域的vlanID建议相同。同时应对vlan的使用进行记录。在使用SVLAN技术情况下VLAN资源分配完时，可以通过新建交换域将业务割接至新域解决。 VLAN规划如下：（重要程度按排列顺序递减） 0）原则上城域网交换机对接业务交换机的端口模式只能为access口或QinQ端口，不能为trunk模式，即城域网交换机不参与用户交换域，只给用户交换域提供vlan透传。 1）全城域网规划原则方法一致，并对VLAN划分进行记录。 2）对于采用动态ip地址的普通上网业务应使用QinQ（两层vlan标签）来定位不同的用户（或对于WLAN业务定位到AP）。 3）城域网所属交换机的Vlan 1-99作为特殊VLAN保留（vlan1一般不用，vlan2作为城域网交换机所有未用端口的所在vlan，vlan3做两个城域网交换机之间启用trunk时的native vlan，vlan10是城域网交换机的管理vlan） 4）进行VLAN划分时应根据交换机的可能拥有的端口数进行划分，比如一汇聚交换机最多12个接口槽，每槽最多48个端口，那么应预留600个VLAN给直接接入该汇聚交换机的客户使用。 5）汇聚交换机上的VLAN规划如下： Vlan 1-99 预留。（vlan1一般不用，vlan2作为城域网交换机所有未用端口的所在vlan，vlan3做两个城域网交换机之间启用trunk时的native vlan，vlan10是城域网交换机的管理vlan） Vlan100-699 直接接汇聚交换机的专线用户，即access口所在vlan（可进一步划分内部和外部，重要和普通客户） Vlan700-799 直接接汇聚交换机的VPN用户，即access口所在vlan。 Vlan800-999 预留 Vlan1000-1999 用于QinQ时的外层VLAN。 Vlan2000-4095 预留 6）采用QinQ时，外层Vlan1000-1999用于定位该汇聚交换机上下挂的接入交换机（或可能有的DSLAM）以及定义所接的业务类型： A）千位—十位：定位该汇聚交换机上下挂的接入交换机，可定位100台接入交换机。其中接入交换机和其下挂的园区交换机看做是一个虚拟接入交换机（在该虚拟交换机上统一规划QinQ的内层VLAN）。比如图所示的汇聚交换机下3台接入交换机，则分别用01，02，03表示。如果汇聚交换机下挂了OLT，则OLT起QinQ功能，汇聚交换机起透传VLAN功能；但OLT所加的QinQ外层VLAN必须满足汇聚交换机VLAN的规划（Vlan1000-1999千位—十位定位下挂的接入交换机），OLT下带的每个ONU看作为虚拟接入交换机，统一进行虚拟接入交换机编号（见下图）。 B）个位：表明业务类型 1 PPPOE 2 WLAN 3 专线 4 VPN 0,5-9 预留 举例：专线用户1所在vlan为100，专线用户2所在vlan为101。虚拟交换机1下的专线用户，外层vlan为1013；虚拟交换机3下的专线用户，外层vlan为1033； 7）采用QinQ时，内层vlan规划如下： Vlan 1-99预留，VLAN2000~vlan4096预留。分公司以接入交换机（或虚拟接入交换机）为单位，根据接入交换机下带的业务类型和最大可能的物理端口数自行进行划分。比如接入交换机2以接入pppoe拨号的用户为主，那么规划vlan100~vlan699做为pppoe拨号用户的vlan。 8）统一在汇聚交换机上部署QinQ功能。 4. 端口配置 4.1 vlan配置 · 配置内容： · 创建VLAN并指定VLAN名字； · 规范要求： · 根据VLAN的规划合理选择使用VLAN号； · VLAN名字符合配置规范综述中的相关命名规范； · 根据VLAN的规划合理选择使用VLAN号。 · 配置示例 1、接用户 ZXR10# vlan database //进入vlan database模式 ZXR10(config)# vlan 222 //直接创建单个VLAN/进入VLAN模式 ZXR10(config-vlan)# name //设置VLAN名称（不支持description，只支持别名30个字符，在30个范围内自行规范命名） · 查看配置： show vlan 4.2 二层GE端口配置 · 配置内容： · 配置端口工作模式； · 配置端口描述； · 启用端口。 · 规范要求： · 端口描述符合《中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)》的要求； · 汇聚交换机上联SR和汇聚交换机下联的端口MTU值设置为：1500。 · 关闭GE端口自动协商； · 配置示例 ZXR10(config)# interface gei_2/1 //进入端口配置模式 ZXR10(config-if)# no shutdown //打开以太网端口 ZXR10(config-if)# no negotiation auto //关闭以太网端口自动协商 ZXR10(config-if)#speed 1000 ZXR10(config-if)# duplex full //端口被强制后设置端口双工模式 ZXR10(config-if)# descreption TO-[GDSZ-MS- IPMAN-RT01-NE80E]-GE2/0/0-1G ZXR10(config-if)#switchport mode access ZXR10(config-if)# switchport access vlan 222 /** 必须明确指定access口所在的vlan **/ 查询： Show interface gei_2/1 Show interface brief 4.3 链路汇聚配置 · 配置内容： · 把多个GE接口绑定成一个逻辑接口； · 规范要求： · 端口描述符合《中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)》的要求； · 涉及GE接口的配置详见3.2 或3.4GE端口配置； · 配置示例 ZXR10(config)# interface smartgroup 1 //创建链路聚合组端口 ZXR10(config)# interface gei_2/1 //进入物理端口模式 ZXR10(config-if)# smartgroup 1 mode active //设置链路聚合的动态模式，并把物理端口加入链路聚合组 ZXR10(config)# interface gei_2/2 //进入物理端口模式 ZXR10(config-if)# smartgroup 1 mode active //设置链路聚合的动态模式，并把物理端口加入链路聚合组 4.4 Trunk端口配置 · 配置内容： · 配置端口工作模式； · 配置端口描述； · 配置trunk端口native VLAN；  · 配置业务VLAN · 启用端口。 · 规范要求： · 端口名称要符合《中国移动广东公司IP城域网命名规范》的要求； · 不同厂家设备对接时关闭GE端口（仅主端口）自动协商； · Trunk启用端口。端口native VLAN配置为VLAN 3； · 如果端口配成了trunk，则必须先配成禁止所有VLAN通过，以后根据需求放开特定的VLAN；不允许直接放通所有VLAN。 · 具体VLAN根据业务开展情况配置到trunk端口。 · 配置示例 交换机A的端口gei_3/1、gei_3/2和交换机B的端口gei_7/1、gei_7/2属于VLAN 100；交换机A的端口gei_3/4、gei_3/5和交换机B的端口gei_7/4、gei_7/5属于VLAN 200，均为Access端口。两台交换机通过端口gei_3/24和gei_7/24以Trunk方式连接，两端口为Trunk端口。 交换机A的配置： ZXR10_A(config)#interface gei_3/24 ZXR10_A(config-if)#switchport mode trunk ZXR10_A(config-if)#switchport trunk native vlan 3 ZXR10_A(config-if)#switchport trunk vlan 100 ZXR10_A(config-if)#switchport trunk vlan 200 交换机B的配置： ZXR10_B(config)#interface gei_7/24 ZXR10_B(config-if)#switchport mode trunk ZXR10_A(config-if)#switchport trunk native vlan 3 ZXR10_B(config-if)#switchport trunk vlan 100 ZXR10_B(config-if)#switchport trunk vlan 200 · 查看配置： show vlan 4.5 普通QinQ配置 · 配置内容： · 配置端口工作模式； · 配置端口描述； · 配置外层Vlan · 启用端口。 · 规范要求： · 端口名称要符合《中国移动广东公司IP城域网命名规范》的要求； · 不同厂家设备对接时关闭GE端口（仅主端口）自动协商； · 外层标签在接入层的方向配置，根据业务需要在内层标签加上外层标签 · 配置示例： 注意本例子是为示例参考，非局数据规范。 QinQ技术的典型组网如图，连接用户网络的端口称为Customer端口，连接服务提供商网络的端口称为Uplink端口，服务提供商网络边缘接入设备称为PE（Provider Edge）。 SPVLAN：Service Provider VLAN；CVLAN：Customer VLAN 交换机A的配置： ZXR10_A(config)#vlan 20 ZXR10_A(config)#interface gei_3/1 ZXR10_A(config-if)#switchport qinq customer ZXR10_A(config-if)#switchport access vlan 20 ZXR10_A(config)#interface gei_3/24 ZXR10_A(config-if)#switchport qinq uplink ZXR10_A(config-if)#switchport mode trunk ZXR10_A(config-if)#switchport trunk vlan 20 交换机B的配置： ZXR10_B(config)#vlan 20 ZXR10_B(config)#interface gei_7/1 ZXR10_B(config-if)#switchport qinq customer ZXR10_B(config-if)#switchport access vlan 20 ZXR10_B(config)#interface gei_7/24 ZXR10_B(config-if)#switchport qinq uplink ZXR10_B(config-if)#switchport mode trunk ZXR10_B(config-if)#switchport trunk vlan 20 4.6 配置管理VLAN接口 · 配置内容: · 配置管理VLAN接口，VLAN号为：10 · 规范要求: · 端口名称要符合《中国移动通信集团广东有限公司IP城域网资源命名规范(V1.0)》的要求； · IP地址根据《中国移动通信集团广东有限公司IP城域网IP地址规划》设定。 · 配置端口描述信息 · 配置示例: ZXR10_R1(config)#interface Vlan10 ZXR10_R1(config-if)#ip address 10.1.1.1 255.255.255.255 ZXR10_R1(config-if)# description For Management 查询： show interface Vlan10 4.7 端口镜像配置 · 配置内容： · 为便于分析和监视，根据需要配置端口镜像； · 规范要求： · 建议一般情况下不启用端口镜像； · 为减少设备节点资源消耗，分析和监视完成后须及时取消端口镜像； · 配置示例 ZXR10(config)#interface gei_1/1 ZXR10(config-if)#monitor session 1 source direction rx //创建一个会话, ZXR10(config)#interface gei_1/2 ZXR10(config-if)#monitor session 1 source //设置被镜像端口和数据流方向 ZXR10(config)#interface gei_3/3 ZXR10(config-if)#monitor session 1 destination //设置监控端口 ZXR10(config)#show monitor session 1 · 查看配置： show monitor session 1 4.8 其它未使用端口配置 · 配置内容： · 配置端口工作模式； · 配置端口描述； · 配置native VLAN · 禁用端口。 · 规范要求： · 端口名称配置为no-use； · 端口配置为access模式，native VLAN配置为2； · 禁用端口。 · 配置示例： ZXR10(config)#interface gei_3/3 ZXR10(config-if)#description no-use ZXR10(config-if)#switchport mode access ZXR10(config-if)#switchport access vlan 2 ZXR10(config-if)#shutdown 5. 安全配置 5.1 关闭不需要的服务 · 配置内容： · 关闭FTP server · 规范要求：关闭设备不需要的服务及端口，避免设备受到这些服务及端口的攻击。 · 配置示例 待添加 5.2 端口MAC地址数量限制 待添加 6. STP配置 6.1 MSTP配置 · 配置内容： · 指定spantree的root； · 不启用Bpdu-guard功能； · 启用扩展系统ID · 规范要求： · 每个vlan选择最核心的交换机做为其spantree root； · 使用扩展vlan，启用spantree的扩展系统ID · 配置示例 MSTP（Multiple Spanning Tree Protocol）即多生成树协议，它增加了实例和VLAN映射的概念，SSTP模式和RSTP模式均可以当作MSTP模式的特例，即只存在一个实例0的情况。MSTP模式还提供了VLAN环境的快速聚合和负载均衡。 STP不能快速迁移。RSTP可以快速收敛，但和STP一样不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。 MSTP可以弥补STP和RSTP的缺陷，它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，为冗余链路提供了更好的负载分担机制。城域网配置MSTP协议。 · 配置示例 /*配置MST区域*/ ZXR10_A(config)#spanning-tree mode mstp ZXR10_A(config)#spanning-tree mst configuration ZXR10_A(config-mstp)#name IPMAN ZXR10_A(config-mstp)#revision 2 ZXR10_A(config-mstp)#instance 0 vlan 1-99 ZXR10_A(config-mstp)#instance 1 vlan 100-1999 ZXR10_A(config-mstp)#instance 2 vlan 2000-4095 /** vlan与instance对应关系由分公司决定 **/ ZXR10_ A (config-mstp)#spanning-tree mst instance 0 priority 4096 ZXR10_ A (config-mstp)#spanning-tree mst instance 1 priority 4096 ZXR10_ A (config-mstp)#spanning-tree mst instance 2 priority 4096 7. 网管配置 网管配置包括TELNET配置、SNMP配置、SYSLOG配置和设备配置的备份等。 7.1 网管地址配置 · 配置内容：配置网管地址 · 规范要求：正常情况下采用VLAN10网管地址 配置示例： 见3.1 配置管理VLAN接口 7.2 SNMP配置 · 配置内容： · 启用SNMP服务，并设定其community字符串； · 配置SNMP服务的访问控制 · 规范要求： · 采取SNMP 访问的限制措施，ACL编号设为30，仅允许省公司和当地市公司的网管网段访问路由器的SNMP 服务，具体网管系统地址见《城域网IP地址规划》，配置示例中以X.X.X.X代替； · 配置SNMP协议为V2版本，目前暂不采用SNMP V3 版本； · community 设置，至少8个字符，包含字符，数字，特殊字符；不能采用缺省的public和private；分公司在工程验收后需进行密码的修改 · 配置TRAP要求： 若有多个网管工作站、需要配置TRAP端口，要避免多个TRAP端口号冲突； 允许发送所有模块的所有类型的SNMP Trap报文；后期各地市可根据具体情况进行更改只发送某些类型的SNMP Trap报文。 · 使能接口索引固定特性。 · 指定源地址为VLAN10 · 配置示例 ZXR10(config)#acl standard number 30 ZXR10(config-std-acl)#rule 5 permit 1.1.1.1 0.0.0.255 ZXR10(config-std-acl)#rule 500 deny any any ZXR10(config)# snmp-server community getgmcc!) r ZXR10(config)# snmp-server community putgmcc!) w ZXR10(config)# snmp-server host x.x.x.x trap version 2c trapgmcc!) /** 设置告警上送 **/ ZXR10(config)# snmp-server enable trap 使能TRAP ZXR10(config)# snmp-server access-list 30 设置SNMP访问限制 查询： show snmp 7.3 SYSLOG配置 · 配置内容： · 配置log信息显示的时间； · 配置log信息触发的级别； · 配置log server。 · 规范要求： · 设备必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警； · log信息采用北京时间来显示； · 指定日志主机的IP地址； · log信息需集中保存到log server上，可以配置多个log server。 · log buffer值设置为最大值(待确认数值)。 · 设置SYS LOG的源地址为网管地址或loopback地址。 · 配置示例 ZXR10(config)#syslog on 启用syslog功能 ZXR10(config)#logging buffer 100 //设置为最大值 ZXR10(config)#syslog level warnings 设置syslog级别 ZXR10(config)#syslog server 1.1.1.1 设置syslog服务器地址 ZXR10(config)#syslog server 1.1.1.2 设置syslog服务器地址 ZXR10(config)#logging console warnings (待确认含义) ZXR10(config)#logging level warnings （根据具体使用情况定义级别） ZXR10(config)#logging timestamps datetime localtime /** 上述内容在工程建设中完善 **/ 查询： show logging alarm 8. 路由配置 8.1 默认路由配置 · 配置内容： · 根据需要配置静态路由； · 规范要求： · 配置缺省路由 · 配置示例 ZXR10_R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.2 查询： show ip route 9. QOS配置 QOS配置包括Vlan限速，端口流整形以及队列的调度和拥塞控制。注意本部分是为示例参考，非局数据规范。 9.1 端口和Vlan限速 · 配置内容： · 对汇聚交换机指定的Vlan进行流分类 · 在汇聚交换机的端口对指定的VLan进行Qos限速； · QOS划分为八个等级，汇聚交换机不信任用户侧Qos，全部重设为0，管理流设为7。 · 对接入端口配置端口整形速率（端口限速） · 规范要求 · 配置的流量策略、流量分类、流量行为的名字要统一规范 · 不同类型的报文优先级定义规范； · 配置示例 1、端口限速 示例：对端口gei_5/1上目的IP地址为168.2.5.5的数据包进行流量监管，设定带宽为10M，突发速率不超过1M，对超过部分改变DSCP值为23，并设置为高丢弃优先级（队列拥塞时优先被丢弃）。 ZXR10(config)#acl extend number 100 ZXR10(config-ext-acl)#rule 1 permit any 168.2.5.5 ZXR10(config-ext-acl)#exit ZXR10(config)#traffic-limit in 100 rule-id 1 rate-limit 10000 bucketsize 1000 exceed remark-dscp 23 drop-precedence high ZXR10(config)#interface gei_5/1 ZXR10(config-if)#ip access-group 100 in 2、流量整形 示例：在端口gei_5/1上进行流量整形，配置入口速率为200M，出口速率为40M。 ZXR10(config)#interface gei_5/1 ZXR10(config-if)#traffic-limit rate-limit 200000 bucket-size 2000 in ZXR10(config-if)#traffic-limit rate-limit 40000 bucket-size 2000 Out 9.2 队列调度和拥塞控制 · 配置内容 · 配置端口队列的调度模式 · 配置参与WRR调度的某个或某些队列的WRR权值 · 规范要求 · 针对不同的CoS值（=IP Precedence），设定队列权重的规范 · 在汇聚交换机上联接口进行队列调度和拥塞控制 · 配置示例 示例：在端口gei_5/1上实施严格优先级调度；在端口gei_5/2上实施WRR调度，队列0~7的权重依次为10、5、8、10、5、8、9、10；配置端口gei_5/2的缺省802.1p为5。 ZXR10(config)#interface gei_5/1 ZXR10(config-if)#queue-mode strict-priority ZXR10(config-if)#exit ZXR10(config)#interface gei_5/2 ZXR10(config-if)#queue-mode wrr queue-0 10 queue-1 5 queue-2 8 queue-3 10 queue-4 5 queue-5 8 queue-6 9 queue-7 10 ZXR10(config-if)#priority 5 · 查看配置： Show Qos _1312013760.vsd � � _1312094436.vsd 集线器 Switch B Switch A gei_3/1 gei_3/2 gei_3/5 gei_3/4 gei_7/1 gei_7/2 gei_7/5 gei_7/4 Vlan 100 Vlan 200 Trunk vlan 10,20 gei_3/24 gei_7/24 Vlan 100 Vlan 200 _1312097394.vsd 集线器 云图 Switch A PE 用户网络1 CVLAN 1~100 用户网络2 CVLAN 1~100 SPVLAN 20 customer port SPVLAN 20 customer port SPVLAN 20 uplink port SPVLAN 20 uplink port PE Switch B 服务提供商网络 _1310934607.vsd � �