7750SR配置规范.doc

1、7750SR 路由器配置规范V2.1上海贝尔阿尔卡特股份有限公司互联网事业部二零零六年十一月7750SR 路由器配置规范第 2 页 共 49 页目 录1. 概述 42. 系统基本配置 62.1. 层次化命令结构 62.2. 在 CLI 中获得帮助 .72.3. 硬件板卡配置 82.4. 设备名称配置 92.5. 系统时间配置 92.6. NTP 配置 92.7. 主备卡切换配置 .102.8. AAA 配置（登录用户） .113. 端口配置 .133.1. Loopback 端口配置 133.2. GE 端口配置 133.3. POS 端口配置 143.4. 端口镜像配置 154. 安全配置

2、.184.1. ACL 配置 .184.2. 防攻击配置 .185. 网管配置 .245.1. 网管地址配置 245.2. TELNET 配置 .245.3. FTP 配置 .255.4. SNMP .255.5. SYSLOG265.6. 配置备份 275.7. SSH 配置 275.8. NetFlow 备份 286. 路由配置 .297750SR 路由器配置规范第 3 页 共 49 页6.1. 黑洞路由配置 296.2. 静态路由配置 296.3. OSPF 配置 .296.4. ISIS 配置 336.5. BGP 配置 357. 业务配置 .407.1. 专线业务配置（IES 配置）

3、 .407.2. MPLS VPN 业务配置 .417.2.1 P 路由器配置 417.2.2 PE 路由器配置（VPRN） .447.2.3 PE 路由器配置（VPLS） 468. 7750SR 常用维护命令 .497750SR 路由器配置规范第 4 页 共 49 页1. 概述阿尔卡特 7750SR 路由器是业内第一个专为高级互联网和虚拟专用网络（VPN）业务而设计和优化的 IP/MPLS 业务路由器。阿尔卡特 7750SR 有三种尺寸可供选择：单槽、7 槽和 12 槽，可提供具有卓越性能和高密度的各种接口。作为目前业内最具扩展性的路由器平台，阿尔卡特 7750SR 具有为高效传送基于服务等

4、级协议（SLA）的业务而设计的软件和硬件架构，因此阿尔卡特7750SR 不仅仅是强大的互联网路由器，更是一个灵活、强大的业务供应平台。为正确配置 7750SR 系列路由器，需完成引导文件配置，系统管理功能配置，IOM/MDA/Port 等板卡端口配置，相关路由协议配置，以及 7750SR 定义的各种 Service 和 QoS 配置等。本规范针对用户日常维护工作中常用的配置任务编写，并提供配置实例，未涉及的内容用户可参考 7750SR 配置指导手册，表 1 列出各配置任务对应的指导手册名称便于用户进行针对性查找。7750SR 路由器配置规范第 5 页 共 49 页表 1：7750SR 配置任务

5、与指导手册对应表任务 子任务 指导文档系统基础向导CLI 用法文件系统管理配置引导选项文件（BOF）系统管理（NTP,CRON）7750_SR_OS_System_Basics_Guide系统管理配置配置系统安全参数，例如：登陆控制，AAASyslog,SNMP 配置7750_SR_OS_System_Basics_Guide硬件配置 IOM,MDA,Port 配置 7750_SR_OS_Interface_Guide初始化配置配置路由器参数，包括：路由器界面和地址、路由器 ID、自主系统及相关系统VRRP 配置Filter 配置Cflowd 配置7750_SR_OS_Router_Confi

6、g_Guide路由协议配置RIP,OSPF,IS-IS,BGP组播路由策略MPLS,RSVP,LDP7750_SR_OS_Routing_Protocols_Guide7750_SR_OS_MPLS_Guide服务配置 VPN：VLL,VPLS,VPRN 服务IES(专线业务)服务镜像（Mirror）服务OAM/SAA 配置7750_SR_OS_Services_GuideQOS 配置 7750_SR_OS_QoS_Guide7750SR 路由器配置规范第 6 页 共 49 页2. 系统基本配置2.1.层次化命令结构7750SR 的 TiMos 操作系统采用层次化配置命令，通过 tree 命令

7、可查看配置层次结构，如下列出主要配置层次:下例演示了各层次的进、出命令：7750SR# configure system 7750SRconfigsystem# 7750SRconfigsystem# back7750SR 路由器配置规范第 7 页 共 49 页7750SRconfig# 7750SRconfig# system security 7750SRconfigsystemsecurity# 7750SRconfigsystemsecurity# exit7750SRconfig# 7750SRconfig# system security 7750SRconfigsystemsec

8、urity# cpm-filter2.2.在 CLI 中获得帮助在 CLI 中帮助系统命令和“？”键显示不同类型帮助。表 2 列出不同的帮助命令；表 3 描述命令语法标识符。表 2：在线帮助命令命令 目的help? 在当前环境下列出所有命令。string? 列出所有在当前环境下可用的以 string 开头的命令。Command? 显示命令标识符及相关关键词。Command keyword?在 command 中列出与 keyword 相关的自变量string 输出未完全输入的命令（自动完成功能）或列示string 与 string 相匹配的命令。表 3：命令语法标识符标识符 描述| 竖线表示需

9、要方括号或大括号内的一个参数。tcp-acktrue|false 方括号表示可选参数。redirectsnumber seconds尖括号表示需要输入与括号内参数匹配的内容。interface 大括号表示必须选择里面的一个参数。default-actiondrop|forward7750SR 路由器配置规范第 8 页 共 49 页2.3.硬件板卡配置7750SR 路由器的 IOM 和 MDA 板卡只有在配置命令与板卡类型匹配后方可启动，可以事先将 IOM 和 MDA 板卡类型部署上，防止错误板卡插入；当板卡在未配置时插入后，可通过 show card/mda 命令查看板卡类型，此时板卡运行状态

10、为 down。配置 IOM 模块，事先需确认 IOM 模块的准确类型：7750SR# configure card 3 7750SRconfigcard# card-type ？- card-type - no card-type: iom-20g|iom2-20g|iom-20g-b7750SRconfigcard# card-type iom-20g-b 7750SRconfigcard# no shutdown配置 MDA 模块，事先需确认 MDA 模块的准确类型：7750SRconfigcard# mda 1 7750SRconfigcardmda# mda-type ? - mda-

11、type - no mda-type: m60-10/100eth-tx|m10-1gb-sfp|m16-oc12/3-sfp|m8-oc12/3-sfp|m16-oc3-sfp|m8-oc3-sfp|m4-oc48-sfp|m1-oc192|m5-1gb-sfp|m12-chds3|m1-choc12-sfp|m1-10gb|m4-choc3-sfp|m2-oc48-sfp|m20-100eth-sfp|m20-1gb-tx|m2-10gb-xfp|m4-atmoc12/3-sfp|m16-atmoc3-sfp|m20-1gb-sfp|m4-chds3|m1-10gb-xfp|vsm-cca

12、|m5-1gb-sfp-b|m10-1gb-sfp-b|m4-choc3-as-sfp7750SRconfigcardmda# mda-type m10-1gb-sfp7750SRconfigcardmda# back7750SRconfigcard# info-card-type iom-20g-bmda 1mda-type m10-1gb-sfpexit-7750SR 路由器配置规范第 9 页 共 49 页删除 MDA 模块：7750SRconfigcard# mda 1 7750SRconfigcardmda# shutdown 7750SRconfigcardmda# exit7750

13、SRconfigcard# no mda 1删除 IOM 模块（事先需确保该 IOM 下所有 MDA 模块均已删除）:7750SRconfigcard# back7750SRconfig# no card 32.4.设备名称配置 配置内容：配置设备名称 规范要求：设备名称要求符合配置有关命名规范； 配置示例：#configure system name “R1-C-xxx-1”2.5.系统时间配置 配置内容：配置系统时间； 规范要求：系统时间要求采用标准北京时间； 配置示例：#configure system time zone GMT8 08 /配置系统时区# admin set-time

14、2006/10/10 04:10:00 /修改系统时间# show time /显示系统目前时间2.6.NTP 配置 配置内容：配置主备 NTP 服务器配置源接口 规范要求：城域网出口路由器 NTP SERVER 指向专用 NTP 服务器城域网其他路由器指向出口路由器 配置示例7750SR 路由器配置规范第 10 页 共 49 页城域网出口路由器配置如下：routerconfigsystemtimentp#ntp-server transmit 2 /ntp-server 配置该设备为 NTP Server, transmit 配置要求对 Client 端进行认证；authentication

15、-checkauthentication-key 2 key “m23V7d4Qu/d9.rxQXvGHPk“ hash2 type desserver 138.203.192.2 version 4 prefer /指向专用 NTP 服务器no shutdown城域网其他路由器指向出口路由器：routerconfigsystemtimentp#authentication-checkauthentication-key 2 key “m23V7d4Qu/d9.rxQXvGHPk“ hash2 type desserver 10.1.1.1 key 2 preferserver 10.1.1.

16、2 key 2 no shutdown2.7.主备卡切换配置 配置内容：配置系统引擎冗余模式 规范要求：系统支持 NSR 功能 配置示例在 4.0 版本，配置了双 SF/CPM 的 7750SR 路由器在主备 CPM 切换时可保证不间断路由（Non stop routing）、不间断业务（ Non stop service）Nonstop Routing (NSR)NSR 可保证 CPM 切换时 BGP,LDP,OSPF,ISIS 等路由 Session 不终断，对端路由器不会感知到任何变化。NSR 不需要任何扩展协议，也不存在互通问题。转发信息始终处于最新状态，不会出现转发环路。NSR 不需

17、要配置命令激活，当系统配置了双 SF/CPM，NSR 的功能就已经存在。验证双 SF/CPM 正常工作，即验证了 NSR。7750SR 路由器配置规范第 11 页 共 49 页7750SR# show card=Card Summary=slot card card card admin operational allowed provisioned equipped state state -2 all supported iom-20g iom-20g up up A all supported sfm-400g sfm-400g up up/active B all supported

18、sfm-400g sfm-400g up up/standby =2.8.AAA 配置（登录用户） 配置内容：启用 AAA 认证 规范要求：根据 AAA 认证服务器的类型指定采用 RADIUS 认证还是 TACASS+认证；指定认证密钥；本地配置用户名和密码作为备份的认证方式 配置示例若指定配置 Radius 认证，则：routerconfigsystemsecurity# info-passwordauthentication-order radius local attempts 60 time 5 lockout 0exitradiusauthorizationaccountingser

19、ver 1 address x.x.x.x secret “timetra“exituser “test“password xxx hash /用于本地认证access console consolemember “administrative“member “default“exit-routerconfigsystemsecurity#7750SR 路由器配置规范第 12 页 共 49 页若指定配置 TACASS认证，则：Routerconfigsystemsecurity# info -passwordauthentication-order tacplus local exittacp

20、lusauthorizationaccountingsingle-connectionsource-address 138.203.17.218server 1 address 138.203.228.5 secret “timetra“exit-7750SR 路由器配置规范第 13 页 共 49 页3. 端口配置3.1. Loopback 端口配置 配置内容:配置 Loopback 端口 IP 地址和子网掩码 规范要求:端口子网掩码为 32 位 配置示例:7750SR 路由器缺省使用 system 关键字作为 loopback 端口#configure router interface sy

21、stem address x.x.x.x/32配置第二个 loopback 地址:#configure router interface system1 address y.y.y.y/32#configure router interface system1 loopback3.2. GE 端口配置 配置内容：配置端口描述配置自适应模式配置 IP 地址 规范要求端口描述符合有关命名规范；与不同厂家 GE 口互联应关闭自适应模式接口 MTU 配置为 1524 配置示例首先配置物理端口 port 属性:Routerconfig#infoport 1/1/3description “To Rout

22、er-Name GE“ /使用双引号，最长 80 个字母ethernetmtu 15247750SR 路由器配置规范第 14 页 共 49 页mode access|network /上连路由端口选择 network，放入 service 中的端口选择 accessno autonegotiateexitno shutdownexit再将 port 与三层逻辑端口绑定：Routerconfig#infointerface “inf-name“ address 60.30.58.58/30port 1/1/3exit一个 IP Interface 名字最长 32 个字母（包含数字），区分大小写，

23、必须以字母开头；3.3. POS 端口配置 配置内容:配置端口描述配置 IP 地址配置时钟源配置帧格式配置封装格式 规范要求:端口描述符合有关命名规范；接口封装为 PPP路由器间 POS 口光纤直联时采用主从时钟，与传输互联时钟跟随传输帧格式为 SDH 配置示例:port 1/1/4description “TO Router-name 2.5G (1/2/1)“sonet-sdhframing sdhclock-source node-timedpath no shutdowncrc 32mode access|networkexitexit7750SR 路由器配置规范第 15 页 共 49

24、 页no shutdownexitclock-source node-timed 使用节点自身的时钟clock-source loop-timed 使用线路上时钟3.4. 端口镜像配置 配置内容：本地端口镜像远程端口镜像 规范要求： 配置示例： 本地端口镜像配置：config port 1/1/3 ethernet mode accessconfig port 1/1/3 ethernet encap nullconfig port 1/1/3 no shutdownRouter-nameconfigmirror#infomirror-dest 1000 createsap 1/1/3:0 c

25、reate /以物理端口 1/1/3 作为目的端口exitslice-size 1400no shutdownexitdebug mirror-source 1000 port 1/1/1 ingress egress /镜像 1/1/1 端口上的进、出数据debug mirror-source 1000 no shutdown远程端口镜像配置：7750SR 系列路由器不仅支持同设备内的端口镜像，还支持不同设备间的端口镜像，7750SR 端口镜像主要功能如下：1）支持基于 Service 的镜像，可针对具体用户的子端口完成镜像；2）支持对报文的整体或特定字段进行镜像；3）镜像可以在各种端口之间

26、完成，不需源端口和目的端口的类型一致；4）支持在 SAP 和 Network 端口的入、出方向部署镜像5）支持本地和远程镜像，远程镜像时将报文进行重封装，再通过 IP 或MPLS 隧道通过核心网将报文传递到目标设备。7750SR 路由器配置规范第 16 页 共 49 页配置步骤如下：实例拓扑如下：在 PE3 上配置：1）配置指向 PE1 的 SDP，SDP 可以用 LDP，RSVP 或 GRE 方式封装，本例采用 LDP 方式封装，配置如下：servicesdp 3001 mpls create7750SR 路由器配置规范第 17 页 共 49 页far-end 10.1.1.1ldpkeep

27、-aliveshutdownexitno shutdownexitexit2）配置 Mirror 目的，指向本地创建的 SDP（如是本地镜像则指向本地端口）configure mirror mirror-dest 1000 createsdp 3001 egr-svc-label 3001 no shutdownexit3）配置镜像的源端口，使镜像数据指向 Mirror-destdebug mirror-source 1000 port 1/1/2 ingress egressdebug mirror-source 1000 no shutdown注：该处 port 1/1/2 的配置实现 1

28、/1/2 端口上所有数据的镜像，如希望镜像对应某个用户的子端口的数据，即实现基于业务的镜像，可以使用 sap 端口配置。在 PE1 上配置：mirror mirror-dest 1000 createremote-source /配置 PE1 接收从 remote-source 来的镜像报文far-end 10.1.1.3 ing-svc-label 3001 exit sap 1/1/3:0 create /配置出端口egress qos 1 exit exit no shutdownexit exit7750SR 路由器配置规范第 18 页 共 49 页4. 安全配置4.1. ACL 配置

29、 配置内容：配置防病毒 ACL 规范要求：正常情况下只在入接口启用 ACL 配置示例：Routerconfig# filter ip-filter 100 createdefault-action forwarddescription “denfend-virtus“ entry 10 creatematch protocol tcpdst-port eq 69 exit action dropexit entry 20 creatematch protocol udpdst-port eq 135 exit action dropexit exit /根据病毒协议和端口配置其他过滤规则应用

30、filter 到端口：7750SRconfigrouter#interface “XXX”ingressfilter ip xxexitexit4.2. 防攻击配置 配置内容：关闭不必要的服务；限制异常流量带宽；对路由器进行访问控制；7750SR 路由器配置规范第 19 页 共 49 页密码管理；登录信息修改； 配置示例（1）正常情况下，只打开 7750SR 路由器的 SSH 服务（系统缺省打开），允许用户通过 SSH 管理、配置路由器，其他服务在需要的时候再打开，不用时关闭。通过如下命令关闭 telnet 和 ftp 服务：#configsystemsecurityno telnet-ser

31、ver#configsystemsecurityno ftp-server通过如下命令确认系统开放端口：#show system connections正常情况下系统只开放如下端口：TCP 179：用于 BGP 连接TCP 22：用于 SSH 登录TCP 646：用于 LDPUDP 161：用于 SNMPUDP 123：用于 NTP（2）限制异常流量带宽7750SR 路由器对于那些必须经过 CPM 上的 CPU 进行处理的流量可以通过cpm-filter 命令来进行识别，该命令作用于流量到达 CPM CPU 之前的 P-Chip 芯片上，并可根据情况选择这些流量通过、拒绝或对其进行 cpm-q

32、ueue 限速。限制异常 ICMP 流量 大量对路由器端口或 system 地址的 Ping 包都会造成 CPM CPU 利用率增加，可通过 cpm-filter 匹配由 IOM 送到 CPM 板卡上的 ICMP 报文，并通过 cpm-queue 限制其速率。参考配置如下：部署 CPM-Queueconfigsyssecuritycpm-queue# info-queue 40 create7750SR 路由器配置规范第 20 页 共 49 页cbs 1000 mbs 1000rate 2000 cir 2000 /为 ICMP 协议只分配 2000 kbps 带宽exit-部署 CPM-Fi

33、lterconfigsyssecuritycpm-filter# info-ip-filterno shutdownentry 40 createaction queue 40match protocol icmpexitexitexit-限制异常 TCP SYN 流量 TCP SYN Flood 攻击通过大量伪造的源地址报文向路由器发送 TCP SYN 连接请求，路由器的 TCP 缓存队列被占满后，将拒绝新的连接请求。通常路由器设备的 TCP 连接主要来自临近路由设备的路由协议（如 BGP 协议采用 TCP179端口，LDP 协议使用 646 端口建立 TCP Session），以及 tel

34、net, ssh 等管理需要。参考配置如下：部署 CPM-Queueconfigsyssecuritycpm-queue# info-queue 50 createcbs 1000 mbs 1000rate 2000 cir 2000 /为 TCP SYN 流量只分配 2000 kbps 带宽exit-部署 CPM-Filterconfigsyssecuritycpm-filter# info-ip-filterno shutdownentry 50 createaction queue 50match protocol tcp7750SR 路由器配置规范第 21 页 共 49 页tcp-sy

35、n truesrc-ip 10.0.0.0/8exitexitentry 51 createaction queue 50match protocol tcptcp-syn truesrc-ip 172.16.0.0/12exitexitentry 52 createaction queue 50match protocol tcptcp-syn truesrc-ip 192.168.0.0/16exitexitexit-注：上述配置基于常见 SYN Flood 采用的源地址，只对这些源地址产生的TCP 连接进行限速，其他正常的 TCP 连接不受影响。（3）限制路由器的访问控制7750SR 路

36、由器可通过 management-access-filter 命令控制进、出 CPM 的流量，其动作只有 permit 或 deny，可用于设置路由器的登录访问控制：对 SSH 登录源地址限制：configsystemsecuritymgmt-access-filter# info-default-action permit /必须为 permit，否则所有未明确 permit 的流量均会被拒绝entry 10src-ip x.x.x.x/32 /允许登录的第一台主机dst-port 22 65535action permitexitentry 15src-ip y.y.y.y/32 /允许登

37、录的第二台主机dst-port 22 65535action permitexit7750SR 路由器配置规范第 22 页 共 49 页entry 100 /该条目放在最后，用于拒绝所有其他主机dst-port 22 65535action denyexit-对于 Telnet 登录限制可将上述配置中的 dst-port 值设置成 23，Entry 编号从110200；对于 SNMP 访问控制可将上述配置中的 dst-port 值设置成 161，Entry 编号从 210300；（4）密码管理7750SR 的系统密码管理缺省配置如下：Router-nameconfigsystemsecurit

38、ypassword# info detail -authentication-order radius tacplus local no agingminimum-length 6attempts 3 time 5 lockout 10complexityhealth-checkno admin-password-a)建议设置 AAA 服务器管理用户登录；b)建议设置密码失效时间为 30 天；c)建议设置密码最短长度为 8；d)建议加强本地密码设置的复杂程度，如必须包含数字，必须包含特殊字符，必须包含字母大小写。e)建议配置 admin-password，该命令可允许任何在线用户通过输入 en

39、able-admin 密码后成为系统管理员。7750SR 路由器配置规范第 23 页 共 49 页密码参数修改后如下：configsystemsecuritypassword# info detail -authentication-order radius tacplus local aging 30minimum-length 8attempts 3 time 5 lockout 10complexity numeric mixed-case special-characterhealth-checkadmin-password -(5)登录信息修改缺省情况下，7750 登录前会显示路由器

40、版本信息，例如：TiMOS-C-4.0.R5 cpm/hops ALCATEL SR 7750 Copyright (c) 2000-2006 Alcatel.All rights reserved. All use subject to applicable license agreements.Built on Tue Aug 29 11:54:54 PST 2006 by builder in /rel4.0/b1/R5/panos/main这些内容为网络攻击提供了重要的参考信息，建议将其屏蔽；#configure system login-control no login-banner

41、配置系统登录警告，要求非授权用户立即退出：configsystemlogin-control# pre-login-message “*n* WARNING *n* This system is owned by XX-Telecom. If you are not *n* authorized to access this system, exit immediately. *n*n“完成上述修改后，登录界面如下：* WARNING * This system is owned by XX-Telecom. If you are not * authorized to access this

42、 system, exit immediately. *Login: 7750SR 路由器配置规范第 24 页 共 49 页5. 网管配置5.1. 网管地址配置 配置内容：配置网管地址 规范要求：正常情况下采用 LOOPBACK 地址作为网管地址 配置示例：见 3.1 LOOPBACK 端口配置采用带内网管需确保 system（loopback）地址纳入 IGP 中；如需配置 CPM 板卡上的带外网口地址，参照如下：# bof address x.x.x.x/24 primary /配置带外地址# bof static-route y.y.y.y/24 next-hop y.y.y.1 /配置

43、带外网关# bof save5.2. TELNET 配置 配置内容：限制 TELNET 登陆的 IP 地址；配置 TELNETsession 的过期时间； 规范要求：TELNET 密码采用系统全局配置的 USERNAME 和 PASSWORD，密码字符串不要过于简单，一般应由字母、数字及特殊字符等组成，且不能低于 6 位；如果启用 AAA 认证，则参考 2.8 节的配置规范；根据实际情况只允许指定的 IP 地址能 TELNET 到设备上；每个 TELNETsession 的时效一般设定在 20 分钟左右； 配置示例router-nameconfigsystemsecuritytelnet-se

44、rverrouter-name configsystemsecuritymgmt-access-filter# info-default-action permit entry 10src-ip x.x.x.x/32 /允许登录的第一台主机dst-port 23 655357750SR 路由器配置规范第 25 页 共 49 页action permitexitentry 15src-ip y.y.y.y/32 /允许登录的第二台主机dst-port 23 65535action permitexitentry 100 /该条目放在最后，用于拒绝所有其他主机dst-port 23 65535action denyexitrouter-nameconfigsystemlogin-control# idle-timeout 20 /TELNET session 过期时间为 20 分钟修改当前用户密码：A:router-name# password Enter curren