SR配置规范Word文档下载推荐.docx
- 文档编号:16156248
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:53
- 大小:33.33KB
SR配置规范Word文档下载推荐.docx
《SR配置规范Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《SR配置规范Word文档下载推荐.docx(53页珍藏版)》请在冰豆网上搜索。
7.2.1P路由器配置41
7.2.2PE路由器配置(VPRN)44
7.2.3PE路由器配置(VPLS)46
8.7750SR常用维护命令49
1.概述
阿尔卡特7750SR路由器是业内第一个专为高级互联网和虚拟专用网络(VPN)业务而设计和优化的IP/MPLS业务路由器。
阿尔卡特7750SR有三种尺寸可供选择:
单槽、7槽和12槽,可提供具有卓越性能和高密度的各种接口。
作为目前业内最具扩展性的路由器平台,阿尔卡特7750SR具有为高效传送基于服务等级协议(SLA)的业务而设计的软件和硬件架构,因此阿尔卡特7750SR不仅仅是强大的互联网路由器,更是一个灵活、强大的业务供应平台。
为正确配置7750SR系列路由器,需完成引导文件配置,系统管理功能配置,IOM/MDA/Port等板卡端口配置,相关路由协议配置,以及7750SR定义的各种Service和QoS配置等。
本规范针对用户日常维护工作中常用的配置任务编写,并提供配置实例,未涉及的内容用户可参考7750SR配置指导手册,表1列出各配置任务对应的指导手册名称便于用户进行针对性查找。
表1:
7750SR配置任务与指导手册对应表
任务
子任务
指导文档
系统基础向导
CLI用法
文件系统管理
配置引导选项文件(BOF)
系统管理(NTP,CRON)
7750_SR_OS_System_Basics_Guide
系统管理配置
配置系统安全参数,例如:
登陆控制,AAA
Syslog,SNMP配置
硬件配置
IOM,MDA,Port配置
7750_SR_OS_Interface_Guide
初始化配置
配置路由器参数,包括:
路由器界面和地址、路由器ID、自主系统及相关系统
VRRP配置
Filter配置
Cflowd配置
7750_SR_OS_Router_Config_Guide
路由协议配置
RIP,OSPF,IS-IS,BGP
组播
路由策略
MPLS,RSVP,LDP
7750_SR_OS_Routing_Protocols_Guide
7750_SR_OS_MPLS_Guide
服务配置
VPN:
VLL,VPLS,VPRN服务
IES(专线业务)服务
镜像(Mirror)服务
OAM/SAA配置
7750_SR_OS_Services_Guide
QOS配置
7750_SR_OS_QoS_Guide
2.系统基本配置
2.1.层次化命令结构
7750SR的TiMos操作系统采用层次化配置命令,通过tree命令可查看配置层次结构,如下列出主要配置层次:
下例演示了各层次的进、出命令:
7750SR#configuresystem
7750SR>
config>
system#
system#back
config#
config#systemsecurity
system>
security#
security#exit
security#cpm-filter
2.2.在CLI中获得帮助
在CLI中帮助系统命令和“?
”键显示不同类型帮助。
表2列出不同的帮助命令;
表3描述命令语法标识符。
表2:
在线帮助命令
命令
目的
help?
在当前环境下列出所有命令。
string?
列出所有在当前环境下可用的以string开头的命令。
Command?
显示命令标识符及相关关键词。
Commandkeyword?
在command中列出与keyword相关的自变量
string<
Tab>
输出未完全输入的命令(自动完成功能)或列示
Space>
与string相匹配的命令。
表3:
命令语法标识符
标识符
描述
|
竖线表示需要方括号或大括号内的一个参数。
tcp-ack{true|false}
[]
方括号表示可选参数。
redirects[numberseconds]
<
>
尖括号表示需要输入与括号内参数匹配的内容。
interface<
interface-name>
{}
大括号表示必须选择里面的一个参数。
default-action{drop|forward}
2.3.硬件板卡配置
7750SR路由器的IOM和MDA板卡只有在配置命令与板卡类型匹配后方可启动,可以事先将IOM和MDA板卡类型部署上,防止错误板卡插入;
当板卡在未配置时插入后,可通过showcard/mda命令查看板卡类型,此时板卡运行状态为down。
配置IOM模块,事先需确认IOM模块的准确类型:
7750SR#configurecard3
card#card-type?
-card-type<
card-type>
-nocard-type
:
iom-20g|iom2-20g|iom-20g-b
card#card-typeiom-20g-b
card#noshutdown
配置MDA模块,事先需确认MDA模块的准确类型:
card#mda1
card>
mda#mda-type?
-mda-type<
mda-type>
-nomda-type
m60-10/100eth-tx|m10-1gb-sfp|m16-oc12/3-sfp|m8-oc12/3-sfp|m16-oc3-sfp|m8-oc3-sfp|m4-oc48-sfp|m1-oc192|m5-1gb-sfp|m12-chds3|m1-choc12-sfp|m1-10gb|m4-choc3-sfp|m2-oc48-sfp|m20-100eth-sfp|m20-1gb-tx|m2-10gb-xfp|m4-atmoc12/3-sfp|m16-atmoc3-sfp|m20-1gb-sfp|m4-chds3|m1-10gb-xfp|vsm-cca|m5-1gb-sfp-b|m10-1gb-sfp-b|m4-choc3-as-sfp
mda#mda-typem10-1gb-sfp
mda#back
card#info
----------------------------------------------
card-typeiom-20g-b
mda1
mda-typem10-1gb-sfp
exit
删除MDA模块:
mda#shutdown
mda#exit
card#nomda1
删除IOM模块(事先需确保该IOM下所有MDA模块均已删除):
card#back
config#nocard3
2.4.设备名称配置
⏹配置内容:
配置设备名称
⏹规范要求:
设备名称要求符合配置有关命名规范;
⏹配置示例:
#configuresystemname“R1-C-xxx-1”
2.5.系统时间配置
配置系统时间;
系统时间要求采用标准北京时间;
#configuresystemtimezoneGMT808//配置系统时区
#adminset-time2006/10/1004:
10:
00//修改系统时间
#showtime//显示系统目前时间
2.6.NTP配置
配置主备NTP服务器
配置源接口
城域网出口路由器NTPSERVER指向专用NTP服务器
城域网其他路由器指向出口路由器
⏹配置示例
城域网出口路由器配置如下:
router>
time>
ntp#
ntp-servertransmit2//ntp-server配置该设备为NTPServer,transmit配置要求对Client端进行认证;
authentication-check
authentication-key2key"
m23V7d4Qu/d9.rxQXvGHPk"
hash2typedes
//指向专用NTP服务器
noshutdown
城域网其他路由器指向出口路由器:
server10.1.1.1key2prefer
server10.1.1.2key2
2.7.主备卡切换配置
配置系统引擎冗余模式
系统支持NSR功能
在4.0版本,配置了双SF/CPM的7750SR路由器在主备CPM切换时可保证不间断路由(Nonstoprouting)、不间断业务(Nonstopservice)
NonstopRouting(NSR)
NSR可保证CPM切换时BGP,LDP,OSPF,ISIS等路由Session不终断,对端路由器不会感知到任何变化。
NSR不需要任何扩展协议,也不存在互通问题。
转发信息始终处于最新状态,不会出现转发环路。
NSR不需要配置命令激活,当系统配置了双SF/CPM,NSR的功能就已经存在。
验证双SF/CPM正常工作,即验证了NSR。
7750SR#showcard
==============================================
CardSummary
slotcardcardcardadminoperational
allowedprovisionedequippedstatestate
-------------------------------------------------------------------------------
2allsupportediom-20giom-20gupup
Aallsupportedsfm-400gsfm-400gupup/active
Ballsupportedsfm-400gsfm-400gupup/standby
2.8.AAA配置(登录用户)
启用AAA认证
根据AAA认证服务器的类型指定采用RADIUS认证还是TACASS+认证;
指定认证密钥;
本地配置用户名和密码作为备份的认证方式
若指定配置Radius认证,则:
security#info
password
authentication-orderradiuslocal
attempts60time5lockout0
radius
authorization
accounting
server1addresssecret"
timetra"
user"
test"
passwordxxxhash//用于本地认证
accessconsole
console
member"
administrative"
default"
若指定配置TACASS+认证,则:
Router>
authentication-ordertacpluslocal
tacplus
single-connection
3.端口配置
3.1.Loopback端口配置
⏹配置内容:
配置Loopback端口IP地址和子网掩码
⏹规范要求:
端口子网掩码为32位
⏹配置示例:
7750SR路由器缺省使用system关键字作为loopback端口
配置第二个loopback地址:
#configurerouterinterfacesystem1loopback
3.2.GE端口配置
配置端口描述
配置自适应模式
配置IP地址
⏹规范要求
端口描述符合有关命名规范;
与不同厂家GE口互联应关闭自适应模式
接口MTU配置为1524
首先配置物理端口port属性:
config#info
port1/1/3
description"
ToRouter-NameGE"
//使用双引号,最长80个字母
ethernet
mtu1524
modeaccess|network//上连路由端口选择network,放入service中的端口选择access
noautonegotiate
再将port与三层逻辑端口绑定:
interface"
inf-name"
一个IPInterface名字最长32个字母(包含数字),区分大小写,必须以字母开头;
3.3.POS端口配置
配置时钟源
配置帧格式
配置封装格式
接口封装为PPP
路由器间POS口光纤直联时采用主从时钟,与传输互联时钟跟随传输
帧格式为SDH
port1/1/4
TORouter-name2.5G(1/2/1)"
sonet-sdh
framingsdh
clock-sourcenode-timed
path
crc32
modeaccess|network
clock-sourcenode-timed使用节点自身的时钟
clock-sourceloop-timed使用线路上时钟
3.4.端口镜像配置
本地端口镜像
远程端口镜像
本地端口镜像配置:
#configport1/1/3ethernetmodeaccess
#configport1/1/3ethernetencapnull
#configport1/1/3noshutdown
Router-name>
mirror#info
mirror-dest1000create
sap1/1/3:
0create//以物理端口1/1/3作为目的端口
slice-size1400
debugmirror-source1000port1/1/1ingressegress//镜像1/1/1端口上的进、出数据
debugmirror-source1000noshutdown
远程端口镜像配置:
7750SR系列路由器不仅支持同设备内的端口镜像,还支持不同设备间的端口镜像,7750SR端口镜像主要功能如下:
1)支持基于Service的镜像,可针对具体用户的子端口完成镜像;
2)支持对报文的整体或特定字段进行镜像;
3)镜像可以在各种端口之间完成,不需源端口和目的端口的类型一致;
4)支持在SAP和Network端口的入、出方向部署镜像
5)支持本地和远程镜像,远程镜像时将报文进行重封装,再通过IP或MPLS隧道通过核心网将报文传递到目标设备。
配置步骤如下:
实例拓扑如下:
在PE3上配置:
1)配置指向PE1的SDP,SDP可以用LDP,RSVP或GRE方式封装,本例采用LDP方式封装,配置如下:
service
sdp3001mplscreate
far-end10.1.1.1
ldp
keep-alive
shutdown
2)配置Mirror目的,指向本地创建的SDP(如是本地镜像则指向本地端口)
configuremirrormirror-dest1000create
sdp3001egr-svc-label3001
3)配置镜像的源端口,使镜像数据指向Mirror-dest
debugmirror-source1000port1/1/2ingressegress
注:
该处port1/1/2的配置实现1/1/2端口上所有数据的镜像,如希望镜像对应某个用户的子端口的数据,即实现基于业务的镜像,可以使用sap端口配置。
在PE1上配置:
mirror
remote-source//配置PE1接收从remote-source来的镜像报文
far-end10.1.1.3ing-svc-label3001
0create//配置出端口
egress
qos1
4.安全配置
4.1.ACL配置
配置防病毒ACL
正常情况下只在入接口启用ACL
config#filter
ip-filter100create
default-actionforward
denfend-virtus"
entry10create
matchprotocoltcp
dst-porteq69
actiondrop
entry20create
matchprotocoludp
dst-porteq135
//根据病毒协议和端口配置其他过滤规则
应用filter到端口:
router#
interface“XXX”
ingress
filteripxx
exit
exit
4.2.防攻击配置
关闭不必要的服务;
限制异常流量带宽;
对路由器进行访问控制;
密码管理;
登录信息修改;
(1)正常情况下,只打开7750SR路由器的SSH服务(系统缺省打开),允许用户通过SSH管理、配置路由器,其他服务在需要的时候再打开,不用时关闭。
通过如下命令关闭telnet和ftp服务:
#config>
security>
notelnet-server
noftp-server
通过如下命令确认系统开放端口:
#showsystemconnections
正常情况下系统只开放如下端口:
TCP179:
用于BGP连接
TCP22:
用于SSH登录
TCP646:
用于LDP
UDP161:
用于SNMP
UDP123:
用于NTP
(2)限制异常流量带宽
7750SR路由器对于那些必须经过CPM上的CPU进行处理的流量可以通过cpm-filter命令来进行识别,该命令作用于流量到达CPMCPU之前的P-Chip芯片上,并可根据情况选择这些流量通过、拒绝或对其进行cpm-queue限速。
限制异常ICMP流量
大量对路由器端口或system地址的Ping包都会造成CPMCPU利用率增加,可通过cpm-filter匹配由IOM送到CPM板卡上的ICMP报文,并通过cpm-queue限制其速率。
参考配置如下:
部署CPM-Queue
sys>
cpm-queue#info
queue40create
cbs1000mbs1000
rate2000cir2000//为ICMP协议只分配2000kbps带宽
部署CPM-Filter
cpm-filter#info
ip-filter
noshutd
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SR 配置 规范