江西电信城域网BRAS(华为ME60/MA5200G) 配置规范
对于不带域名的用户名要求作为默认域名(如nc.jx)处理。
鉴于domain涉及到大后台的相关规范,domain配置需参考大后台相关规范执行。
对于拨号(domain 163)和专线(黑名单domain leased_line和白名单domain leased_permit_tcp80)用户要增加80端口封堵策略。
配置规范:
user-group nc.jx
user-group leased_line
acl number 6200 #定义针对80端口封堵的ACL desDiption ACL_for_tcp_deny
rule 10 permit tcp destination user-group nc.jx destination-port eq www #拨号用户80端口封堵
rule 20 permit tcp destination user-group leased_line destination-port eq www #专线用户80端口封堵
traffic classifier deny-tcp operator or if-match acl 6200
traffic behavior op_deny deny
traffic policy deny-tcp
classifier deny-tcp behavior op_deny
traffic-policy deny-tcp outbound aaa
domain nc.jx
authentication-scheme radius #采用的论证模版 accounting-scheme radius #采用的计费模版 radius-server group nc.jx #采用的radius组
user-group nc.jx #绑定动态拨号用户的user-group策略 l2tp-group 6
l2tp-user radius-force
ip-pool internet-01 #指定该域下可用地址池,ME60默认自上向下分配 ip-pool ******** #上面的地址池分配完后接着分配下面的地址池 IP-Warning-Threshold 90 #设置域的IP地址使用告警阈值
domain leased_line //80端口黑名单专线用户domain
authentication-scheme none accounting-scheme none
user-group leased_line #绑定80端口黑名单用户的user-group策略 ip-pool leased_line-pool-01 IP-Warning-Threshold 90
domain leased_permit_tcp80 //80端口白名单专线用户domain
authentication-scheme none accounting-scheme none
中盈优创资讯科技有限公司
第30页
江西电信城域网BRAS(华为ME60/MA5200G) 配置规范
ip-pool leased_line-pool-01 IP-Warning-Threshold 90 static-user 121.15.183.252 121.15.183.252 interface GigabitEthernet2/0/5.4 vlan 385 qinq 3172 detect domain-name leased_line #将不需要放通80端口的用户绑定到domain leased_line static-user 121.15.183.252 121.15.183.252 interface GigabitEthernet2/0/5.4 vlan 385 qinq 3172 detect domain-name leased_permit_tcp80 #将需要放通80端口的用户绑定到domain leased_permit_tcp80 配置验证: display current-configuration configuration aaa | begin nc.jx 配置注意细节: 注意增加针对80端口封堵的策略配置。
3.4 路由协议配置规范
3.4.1 路由优先级/管理距离
配置说明:
配置路由协议优先级。 规范要求:
SE800路由优先级别的设定按如下面规范执行,与出口路由器和SR的路由优先级不同,SE800对应ip pool的黑洞路由的优先级应小于ip pool接口的优先级,SE800配置黑洞路由优先级为1。
华为ME60与SE800在对IP POOL路由的处理机制上有所不同,华为将其作为UNR(User network routes)路由,默认优先级为61,不能更改,也不需更改。
ME60的UNR路由由分为粗路由和细路由两种:粗路由即为地址池路由,掩码反映地址池的范围,下一跳为NULL0;细路由则是地址池中已经分配给用户的路由,下一跳为具体的用户子接口。细路由还有一个特殊情况就是ME60会为地址池的第一个地址产生一个指向设备自身InLoopBack0的主机路由,目的就是为了使该地址池有一个始终up的主机路由,从而使得该地址池粗路由(UNR路
中盈优创资讯科技有限公司
第31页
江西电信城域网BRAS(华为ME60/MA5200G) 配置规范
由)永远生效。
ME60可以通过将UNR路由引入动态路由协议,从而将用户路由动态分发出去,而且ME60在引入UNR路由的时候并不会引入用户主机路由,只是引入了地址池的粗路由,准确的满足了用户路由重分布的需要,无需再做路由过滤。
静态路由 1 用户路由 61 EBGP 20 OSPF 110 ISIS 115 External OSPF 150 IBGP 200 浮动静态 210 3.4.2 静态路由配置
3.4.2.1 静态路由配置方式 配置说明:
手工配置静态路由并设定相关参数。 规范要求:
在ME60上配置静态路由时,要求既绑定下一跳地址,也要绑定出接口。 全局修改静态路由的优先级为1。 配置规范:
ip route-static default-preference 1 #全局配置静态路由缺省优先级为1 ip route-static 1.1.1.1 255.255.255.255 GigabitEthernet1/0/0 2.2.2.2 #静态路由同时绑定下一跳地址和出接口 配置验证: display ip routing-table protocol static 配置注意细节: ME60静态路由缺省优先级为60。 3.4.2.2 黑洞路由配置方式 配置说明:
根据需要配置BRAS黑洞路由。
根据需要指定黑洞路由的distance metric值。 规范要求:
ME60自动生成每一个IP POOL地址段的黑洞路由,即UNR路由,默认优先级为61,无需配置。
中盈优创资讯科技有限公司
第32页
江西电信城域网BRAS(华为ME60/MA5200G) 配置规范
3.4.2.3 浮动静态路由配置方式 配置说明:
浮动静态路由一般是作为主路由的备份存在,只有主路由失效时,浮动路由才会生效出现在路由表中。
规范要求:
配置指向出口的浮动默认路由,优先级为210,需绑定下一跳和接口。 配置规范:
ip route-static 0.0.0.0 0.0.0.0 g1/0/1 202.104.209.225 preference 210 ip route-static 0.0.0.0 0.0.0.0 g2/0/0 202.104.209.229 preference 210 配置验证: display ip routing-table protocol static 配置注意细节: 无
3.4.3 OSPF配置
3.4.3.1 概述
IGP运行在城域网核心层和业务接入控制层,在城域网三层设备之间承载和交换两类路由信息:a、城域网AS域内设备接口(包括loopback接口)地址路由;b、城域网内IPV4用户路由。
运行IGP的设备包括:核心路由器(包括出口核心路由器和普通核心路由器)和SR,BRAS中SE800、ME60、5200G运行IGP,其它BRAS(ERX1440、8850等)暂不参与IGP。所有的宽带接入网设备,包括二层交换机、DSLAM等不参与IGP,其路由可达通过在业务接入控制点上生成用户路由的方式实现(详见专门章节)。
江西电信下属城域网原则上选择OSPF为IGP协议,部分规模较大的城域网可考虑选择ISIS为IGP。
3.4.3.2 OSPF进程名 配置说明:
中盈优创资讯科技有限公司
第33页
江西电信城域网BRAS(华为ME60/MA5200G) 配置规范
配置OSPF进程标识,用于对不同的OSPF进程进行区别。 规范要求:
同一城域网OSPF process ID保持统一,配置OSPF进程号为163。 单机不运行多个OSPF进程。 配置规范:
ospf 163 route-id x.x.x.x 配置验证: disp ospf GSRief 配置注意细节: 无。
3.4.3.3 OSPF ROUTER-ID 配置说明:
配置OSPF router-id,唯一标识自治系统中的一台OSPF路由器。 规范要求:
配置OSPF router-id地址为loopback0接口的IP地址,不使用自动选举OSPF router-id方式。
配置规范:
ospf 163 route-id x.x.x.x 配置验证: disp ospf GSRief 配置注意细节: 无。
3.4.3.4 OSPF 时间参数 配置说明:
配置OSPF邻居的hello、dead时间参数一致,否则将不能建立OSPF邻居关系。
规范要求:
中盈优创资讯科技有限公司
第34页