1、政府行业最佳实践,ISSUE 1.0,日期:2012.12,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,面对日益繁复的IT环境,以及不断累加完工的项目建设,网络架构及技术应用越来越复杂。设备硬件、软件版本、设备配置缺乏统一的管理,海量的运维和变更使运维遭遇重重困难“政府行业最佳实践”旨在加强政府行业网络设备的统一管理,从设备硬件规划、软件版本评估、设备配置上进行统一规范,从而保障设备稳定运行,降低运维成本,提供运维效率,提高客户服满意度,关于政府行业最佳实践,第一章 设备软件推荐第二章 公共资源规范最佳实践第三章 接入/汇聚设备配置最佳实践第四章 核心设备配置最佳实践第五章 设
2、备对接最佳实践第六章 基本维护,目录,关于H3C软件版本评估服务,在政府行业的运维中,客户普遍关注 同一类型设备是否统一使用相同的软件版本 现网版本的已知缺陷是否在可见可控的范围内 针对版本升级需求如何确定稳定的目标版本 定期软件版本评估分析:对重大缺陷或潜在风险提出软件维护升级建议,对于新发现的软件缺陷,会即时启动相关版本预警机制,浙江省公安厅当前推荐版本,浙江省公安厅接入和汇聚设备推荐使用软件版本 (截止到2012.11),第一章 设备软件推荐第二章 公共资源规范最佳实践第三章 常规配置最佳实践第四章 接入/汇聚设备配置最佳实践第五章 核心设备配置最佳实践第六章 设备对接最佳实践第七章 基
3、本维护,目录,设备命名规范-单个区域,设备命名规范核心设备命名规则为:字段1_字段2_字段3_字段4nn字段1:用于标识单位类型,例如:ZJGA、ZJDS、ZJGOV。字段2:用于标识设备功能应用区域,例如:LAN、WAN、DC字段3:用于标识设备功能应用位置,例如CORE(HeXin)。字段4:用于标识设备型号,例如:S12508、S5820X 。nn:长度2字符。相同功能的设备按序号排列,00-99例如: ZJGOV_DC_CORE_S12508_00汇聚设备命名规则为:字段1_字段2_字段3_nn字段1:用于标识大楼,例如:1#、2#。字段2:用于标识设备功能应用位置,例如:CONVER
4、GE(HuiJu)字段3:用于标识设备型号,例如:S5500-28P、S5500-24F。nn:长度2字符。相同功能的设备按序号排列,00-99例如: 1#_CONVERGE_S5500-48P_00接入设备命名规则:字段1_字段2_字段3_nn字段1:用于标识楼层位置,例如:1#2F字段2:用于标识设备功能应用位置,例如:ACCESS(JieRu)字段3:用于标识设备型号,例如:S5100-49Pnn:长度2字符。相同功能的设备按序号排列,00-99例如: 1#2F_ACCESSE_S5100-48P_00,设备命名规范-多个区域,设备命名规范设备命名原则_省核心:AA_XX-NN例:ZJD
5、S_SR8808_00设备命名原则_市汇聚:AA_BB _XX-NN例:ZJDS_HZ_SR6608_00设备命名原则_县接入:AA_BB _CC_XX-NN例:ZJDS_HZ_YH_SR6602-00各字段具体含义如下所示:AA:标识行政单位,例如:ZJDS、ZJGS、ZJGOV。BB:标识地市。地市取汉字拼音的第一个字母的组合缩写,最少为2位。若不同地市组合缩写出现雷同,则为其中一个添加1位字母以做区分,该字母小写。CC:标识区县。县取汉字拼音的第一个字母的组合缩写,最少为2位。若不同县的组合缩写出现雷同,则为其中一个添加1位字母以做区分,该字母小写。XX:表示该设备的设备类型,例如SR8
6、808、S9508E等。N:节点编号,范围从00开始递增,表示该城市中同一类网络节点的序列号。举例:HZ(杭州)、HuZ(湖州),接口描述命名规范,接口描述规范:网络设备接口描述编码方式为:Link-To对方网络设备名称-PPPPPxx/yy/zz 各字段具体含义如下所示:对方网络设备名称:见上两章节对网络设备名称的详细说明。PPPPP:端口类型xx/yy/zz:对端设备的插槽号为详细说明网络设备命名规则,特举例如下:例1:description Link-To ZJDS_HZ_S9508E-00-G1/0/1表示:该端口对端设备为H3C的S9508E交换机,连接的端口类型为千兆以太网,对端的
7、端口位于第1插槽的0模块的第1个端口。,数据标签描述命名规范,标签描述规范:描述方式为:From 本地设备名称- PPPPP-xx/yy/zz To对方设备名称-PPPPP-xx/yy/zz 各字段具体含义如下所示:对方(本地)网络设备名称:见上两章节对网络设备名称的详细说明。PPPPP:端口类型xx/yy/zz:对端设备的插槽号例1:From ZJDS_SR8808-00-G1/0/2 To ZJDS_HZ_S9508E-00-G1/0/1表示:该端口对端设备为H3C的S9508E交换机,连接的端口类型为千兆以太网,对端的端口位于第1插槽的0模块的第1个端口。,设备标签描述命名规范,标签描述
8、规范:设备名称: 设备名称设备管理IP地址及掩码:设备用途:机架位置:各字段具体含义如下所示:本地网络设备名称:见前面章节对网络设备名称的详细说明。例1:ZJDS_HZ_S9508E-00表示:该设备为ZJDS_HZ_S9508E-00,电源标签描述命名规范,标签描述规范:描述方式为:To 本地设备名称各字段具体含义如下所示:对方(本地)网络设备名称:见上两章节对网络设备名称的详细说明。例1:To ZJDS_HZ_S9508E-00表示:该电源线缆连接设备为ZJDS_HZ_S9508E-00,第一章 设备软件推荐第二章 公共资源规范最佳实践第三章 接入/汇聚设备配置最佳实践第四章 核心设备配置
9、最佳实践第五章 设备对接最佳实践第六章 基本维护,目录,常规配置最佳实践,配置loopback地址#interface LoopBack0 ip address x.x.x.x 255.255.255.255#配置设备可被tracert(否则tracert时显示*)# ip ttl-expires enable /开启设备的ICMP超时报文的发送功能 ip unreachables enable /开启设备的ICMP目的不可达报文的发送功能#SNMP配置#snmp-agentsnmp-agent local-engineid 800063A203C4CAD92E524Bsnmp-agent c
10、ommunity read XXX acl 2000 /建议使用acl控制 snmp-agent sys-info version v2c v3 /不要使用all snmp-agent trap source LoopBack0 /使用LoopBack0发送trap#,设备管理配置最佳实践,设备描述的配置Vlan配置描述vlan 11 description 信息中心Interface vlan配置描述interface Vlan-interface11 description 信息中心 ip address x.x.x.x 255.255.255.192物理端口配置描述interface G
11、igabitEthernet1/2/0/21 port link-mode bridge description to S3026-7 e1/0/24 Acl配置描述 acl number 2000 name snmp_permit 静态路由 配置描述 ip route-static 1.1.1.0 24 1.1.1.1 description To 公安部,设备管理安全最佳实践(访问安全),用户登录配置规范:缺省登陆均使用较低级别登陆,通过super切换级别设置console登录密码user-interface aux 1/0 authentication-mode password use
12、r privilege level 1 /设置console登录级别为1,需要通过输入super密码切换到最高级别 set authentication password cipher +54GGOA7OHSQ=QMAF41!设置telnet登录密码# telnet server enable#user-interface vty 0 4 set authentication password cipher +54GGOA7OHSQ=QMAF41! /缺省telnet登录级别为0,输入密码登陆,需要通过输入super密码切换到最高级别#user-interface vty 0 4 authen
13、tication-mode scheme /使用用户名+ 密码方式登陆,通过创建local-users或radius服务器来获取用户名与密码#acl 2000 inbound /配置ACL,限制telnet的网段设置super密码# super password level 3 cipher +54GGOA7OHSQ=QMAF4=3 #,典型组网图(二),Master,Master,OSPF,OSPF,Sever,Carrer network,WAN,IRF,IRF,IRF最佳实践,IRF端口配置规范irf-port 1/1 port group interface Ten-GigabitEt
14、hernet1/8/0/1 mode normal port group interface Ten-GigabitEthernet1/8/0/2 mode normalirf-port 2/2 port group interface Ten-GigabitEthernet2/8/0/1 mode normal port group interface Ten-GigabitEthernet2/8/0/2 mode normal /建议一个irf-port绑定两个物理端口,且物理口分布于同机框的不同的槽位 irf mac-address persistent always /配置IRF的桥M
15、AC地址永久保留 irf auto-update enable undo irf link-delay说明:IRF可以通过IRF的“聚合”或者环形堆叠来增强IRF链路的冗余稳定性,BFD MAD检测配置,BFD MAD配置规范(用于检测IRF堆叠成员体分裂)#interface Vlan-interface4000 description MAD mad bfd enable mad ip address 192.168.1.1 255.255.255.252 member 1 mad ip address 192.168.1.2 255.255.255.252 member 2#在互联接口下
16、undo stp enableinterface GigabitEthernet1/2/0/1. undo port trunk permit vlan 1 port trunk permit vlan 2 to 3999 4001 to 4094 /其它端口需要禁止MAD检测的vlan通过,一般建议直接permit特定的业务vlan,不要permit vlan allBFD全称:Bidirectional Forwarding Detection,双向转发检测MAD全称:Multi-Active Detection,多Active检测说明:正常情况下通过display bfd session
17、查看BFD的会话是down的,只有在检测到分裂时端口会瞬间up,LACD MAD检测配置,LACD MAD配置规范(用于检测IRF堆叠成员体分裂)#SWA-Bridge-Aggregation1 link-aggregation mode dynamicSWA-Bridge-Aggregation1 mad enableSWA-Gigabitethernet*/4/0/1 undo stp enable#缺省情况下,LACP MAD检测未使能。由于LACP MAD检测依赖于LACP协议,因此需要配置聚合组工作在动态聚合模式下。LACP对端设备必须能够识别、处理携带了ActiveID值的LACP
18、 PDU协议报文。,DHCP SNOOPING,Legal DHCP server,DHCP Client,Illegal DHCP server,注意:设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。,DHCP SNOOPING,# 启用DHCP Snooping功能。 system-viewSwitchB dhcp snooping enable# 设置Ten-GigabitEthernet1/0/1端口为信任
19、端口。SwitchB interface Ten-GigabitEthernet 1/0/1SwitchB-Ten-GigabitEthernet1/0/1 dhcp snooping trustSwitchB-Ten-GigabitEthernet1/0/1 quit# 在Ten-GigabitEthernet1/0/2上启用安全表项功能。SwitchB interface Ten-GigabitEthernet 1/0/2SwitchB-Ten-GigabitEthernet1/0/2 dhcp snooping binding recordSwitchB-Ten-GigabitEther
20、net1/0/2 quit,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息,只需在与客户端直接相连不信任端口上记录绑定信息。间接与DHCP客户端相连的不信任端口不需要记录IP地址和MAC地址绑定信息。,OSPF最佳实践配置,手工配置OSPF进程的Router-ID:建议配置带宽参考值为OSPF网络中最大物理接口带宽的10倍;如网络中最大物理接口带宽为10G,则配置带宽参考值为100000:手工配置VLAN接口开销(cost)VLAN接口开销=带宽参考值(bandwidth-reference)/VLAN内物理接口带宽和配置os
21、pf MD5验证在OSPF区域视图下配置md5的区域验证模式: SWA-ospf-1-area-0.0.0.0authentication-mode md5在OSPF接口视图下配置接口验证模式以及验证口令;,SWAospf 10 router-id 1.1.1.1,SWA-Vlan-interface113ospf authentication-mode md5 1 cipher ,OSPF最佳实践配置(续一),在指定网段的接口上使能OSPF SWA-ospf-1-area-0.0.0.0network 10.1.1.1 0.0.0.0 配置只有一个邻居的接口OSPF网络类型改成P2P类型;
22、SWA-Vlan-interface113ospf network-type p2p配置禁止接口收发OSPF报文 SWA-ospf-1silent-interface Vlan-interface 113 在ABR上配置路由聚合,手工配置聚合路由开销 SWA-ospf-1-area-0.0.0.0abr-summary 10.1.0.0 255.255.0.0 cost 100,OSPF最佳实践配置(续二),在ASBR配置路由聚合,且配置聚合路由开销 SWA-ospf-1asbr-summary 10.1.0.0 255.255.0.0 cost 1000ASBR上import外部路由时,根据
23、需要配置路由策略控制路由信息,并手工配置路由cost值(可选) SWA-ospf-1import-route static route-policy 1 cost 1000优化SPF计算参数(可选) SWA-ospf-1spf-schedule-interval 5 100 1000注意:该参数需要全网所有OSPF路由器统一配置才能体现效果。,OSPF最佳实践配置(续三),接口配置BFD提高收敛速度(可选)在接口视图下配置: SWA-Vlan-interface113ospf bfd enable SWA-Vlan-interface113bfd min-transmit-interval 2
24、00 SWA-Vlan-interface113bfd min-receive-interval 200 SWA-Vlan-interface113bfd detect-multiplier 3注意:该参数需要链路上相关的OSPF路由器统一配置才能体现效果。,第一章 设备软件推荐第二章 公共资源规范最佳实践第三章 接入/汇聚设备配置最佳实践第四章 核心设备配置最佳实践第五章 设备对接最佳实践第六章 基本维护,目录,DLDP功能配置,为了避免产生光纤单通或者交叉连接的现象,在设备通过光纤互连,尤其远距离光纤互连的情况下,在光接口下使能dldp功能;并且建议配置dldp的工作模式为加强模式。在系统
25、视图下配置:在需要配置dldp的端口视图下使能dldp功能:注意:只有在全局和端口上均使能DLDP的情况下,才能启动DLDP功能、正常收发DLDP报文。说明:1、DLDP需要两端设备均要支持,对于对端不支持DLDP单通检测功能的设备,本端禁止开启DLDP单通检测;2、为了使DLDP能够正常工作,需要将两端端口的双工模式都配置为全双工模式,速率都配置为相同的强制速率;禁止出现一端强制一端不强制的情况;(S95ES12500)DLDP全称:(Device Link Detection Protocol,设备链路检测协议),SWAdldp enableSWAdldp work-mode enhanc
26、e,SWAGigabitEthernet3/0/4dldp enable,设备对接最佳实践(LLDP/NDP/STP),LLDP配置(获取邻居信息)H3Cdldp enable H3Cdisplay lldp neighbor-information interface GigabitEthernet 1/0/15H3C与Cisco设备STP对接配置Cisco的PVST/PVST+为私有协议,与H3C MSTP只能实现vlan 1互通H3C MSTP与Cisco MST能够实现完全互通,但需要在端口开启摘要侦听(stp config-digest-snooping) H3Cstp pathco
27、st-standard dot1t H3C-GigabitEthernet1/0/1stp config-digest-snoopingLLDP全称:Link Layer Discovery Protocol,链路层发现协议,设备对接最佳实践(链路聚合),链路聚合对接 Comware V3设备 & V5设备 & Cisco设备聚合对接 Comware V3 设备:S3600等 Comware V5 设备:S7500E、S9500E等H3C-V5-Bridge-Aggregation1link-aggregation mode ? /默认为静态static dynamic Specify dyn
28、amic LACP link aggregation group H3C-V3link-aggregation group 1 mode ? /默认为动态dynamic manual Manual link aggregation group static Static LACP link aggregation group,设备对接最佳实践(链路聚合),链路聚合要求聚合组中的成员端口间的端口属性配置、Vlan配置等非第一类配置与成员物理端口下的配置完全一致,且聚合组下的vlan配置要求与成员端口一致;#interface Bridge-Aggregation1001 port link-ty
29、pe trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 3999 4001 to 4094 /要求聚合组下的vlan配置与成员端口见的vlan配置完全一致#interface GigabitEthernet1/2/0/2 port link-mode bridge description to dalou-2 e1/0/24 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 3999 4001 to 4094
30、speed 100 /要求成员端口之间的端口属性配置完全一致 duplex full dldp enableport link-aggregation group 1001# 说明:配置vlan时请在interface Bridge-Aggregation下进行配置,相关配置会自动同步到聚合组下的成员端口,第一章 设备软件推荐第二章 公共资源规范最佳实践第三章 接入/汇聚设备配置最佳实践第四章 核心设备配置最佳实践第五章 设备对接最佳实践第六章 基本维护,目录,网络设备基本维护要求,网络设备日常维护检查要求(每天/周检查项):设备单板运行情况与运行时间(display version)设备电源
31、工作情况(display power)设备风扇工作情况(display fan)设备CPU利用率情况(display CPU)设备内存利用率情况(display memory)设备运行环境温度(display environment)设备接口流量情况(display interface/ display counters)查看路由表,arp表状态查看所运行的协议工作状态查看日志文件是否有异常事件,常用的维护命令,版本信息:display version设备信息:display device,正常情况下,各单板的状态应为normal温度信息:display environment,正常情况下,设
32、备的工作温度应在上下限之间。 CPU信息:display cpu,正常情况下,CPU利用率在过去5分钟内的平均值为60以下, 隔1分钟再收集一次。主、备主控板复位或插拔记录:display switchover state收集相关的端口信息,隔1分钟再收集一次:display interface g2/0/1电源状态信息:display power,正常状态为normal,不在位为absent风扇状态信息:display fan,正常风扇状态为normal当前配置信息:display current-configuration已保存配置信息:display saved-configuratio
33、n内存信息:display memory,正常情况下,内存占用率为80以下路由表信息:display ip routing-table转发表信息:display fib系统trap信息:display trapbufferARP信息:display arp MAC信息:display mac-addressVRRP信息:display vrrp (输入?号,可查看VRRP相关的其他信息)OSPF信息:display ospf (输入?号,可查看OSPF相关的其他信息)日志信息:display logbuffer,Debug开启的方法,开启Debug的方法terminal monitorterm
34、inal debugdebugging ip icmp packet/不要开启debug allDebug抓包完成之后一定要关闭 u d a或者ctrl + O,诊断信息收集方法,诊断信息收集方法执行display diagnostic-information。收集完成后,请隔数分钟,再次收集一次信息。共收集两次。display diagnostic-information Save or display diagnostic information (Y=save, N=display)? Y/N: 注:选择Y,将诊断信息生成一个文件,保存在Flash里。文件名可用默认的,也可自行修改,两次收集的文件命名成不同的名字。信息收集完成后,可将该文件FTP上传至server。选择N,将诊断信息打印在控制台程序上,需打开控制台程序里的log记录功能,将这些信息在电脑上生成一个log文件。,
