国家电力北京数据网络工程实施方案

《国家电力北京数据网络工程实施方案》由会员分享，可在线阅读，更多相关《国家电力北京数据网络工程实施方案（31页珍藏版）》请在装配图网上搜索。

1、国家电力北京数据网络工程 国家电力北京数据网络工程实施方案1 MPLS VPN 简介32国家电力北京数据网络概述32.3新建网络组网分析62.4设备命名规则72.5、VPN命名规则82.6、接口描述命名规则93自治域设置94 IP地址规划105 路由协议185.1全网BGP4规划18BGP的构建18BGP路由的总结20在BGP中设置EBGP连接20BGP与IGP的同步20复位BGP连接215.2全网IGP规划21OSPF AREA划分细则21OSPF的构建23在OSPF中引入其他路由协议的路由24在OSPF中统一路由尺度（cost）的计算256、网络设备管理26控制口console的控制26远

2、程拨号（AUX口）的控制26远程登录telnet 的控制26EXEC用户的安全管理26网管SNMP的安全性277 配置举例281 MPLS VPN 简介MPLS是多协议标签交换协议的简称，多协议是指它能够支持多种三层协议；标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容；MPLS的报文转发是基于标签的，在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时，标签被边缘路由器分离。MPLS可以在IP网中的实现的一种面向连接的特性

3、。通过MPLS可以在IP网中提供一些原来只有ATM/ Frame Relay才能提供的业务，使得IP网络运营商可以根据用户需求，提供形式多样、方便快捷的增值服务：VPN（包括二层和三层VPN）、流量工程和QoS、虚拟专线、电路交叉连接（CCC）等等，其中的MPLS VPN 就是其中一项重要的应用。MPLS VPN可以分为BGP扩展实现的VPN和LDP扩展实现的VPN。根据PE（Provider Edge）设备是否参与VPN路由又细分为二层VPN和三层VPN。本次工程中，采用BGP扩展实现的三层MPLS VPN。采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络，并且每个V

4、PN单独构成一个独立的地址空间，即VPN之间可以重用地址，在分配地址时不必考虑是否会与其他的VPN发生冲突，只需要考虑在本VPN之内不冲突即可，这样可以解决IP网络地址不足的问题，也方便与网络的扩展和变更。MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。MPLS VPN网络中，由三种设备：CE、PE和P路由器，CE（Custom Edge）是用户直接与服务提供商相连的边缘设备，一般也是路由器设备；PE（Provider Edge）是骨干网中的边缘设备，它直接与用户的CE相连；P 路由器（

5、Provider Router）是骨干网中不与CE直接相连的设备，P 路由器并也不知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。PE位于服务提供商网络的边缘，所有的VPN的构建、连接和管理工作都是在PE上进行的。2国家电力北京数据网络概述国家电力北京数据网络原有两个业务网络：信息网络（包括办公网络）、电力调度网络，这两种业务的物理设备和运行的路由协议都是相互分离的，这样给全网的统一管理和维护带来了相当的不便，并且某些旧有的设备和广域网带宽已经不能满足当前的业务发展的需求，因此有必要建设一个统一的、高效的、可运营、可维护的数据网络，本次工程的建设目

6、的正是为了满足这一需求。本次工程采用MPLS VPN的方案，在同一物理拓扑的基础上，MPLS VPN能够按照用户需求实现多种业务的隔离，并且管理和控制VPN的业务，只是在数据上作相应的配置，物理设备和链路都不用作改动，这样为各种VPN业务的管理和维护提供了很大的方便，所以MPLS VPN具有很好的业务扩展性。在各业务结点新建一台出口路由器NE05，作为MPLS 内的PE设备，每个VPN使用一个CE设备与PE相连，在所有的PE设备中至少连接两个VPN，voipvpn（CE设备是华为的2630）、信息VPN（CE设备是华为的2631），只有在“北供”和“华北网调”两个PE设备下连接三个VPN，增加

7、一个电力调度VPN（CE设备待定）。由于所有的VPN数据只是在PE上作相应的配置，控制也是在PE上实现的，所以对原有网络的影响很小，这样能最大限度的减小对原来的各种业务的影响。增加了PE设备以后，每个节点的CE设备就通过本地的PE设备与骨干网和其他节点相连了。2.3新建网络组网分析1、 国家电力数据网北京地区宽带网由西单、白广路、六铺炕、水规院、安华桥等节点构成，如上图所示。网络分为两层，核心层和接入层；其中西单、白广路、六铺炕是三个核心节点，其它节点作为接入层节点。2、 为提高整个网络的可靠性，在三个核心节点配置NE80路由器，设置成环状拓扑结构。这样任何一个核心节点到其它核心节点都具有两条

8、路径可达，冗余路径提高整个网络的可用性。而且，当前采用环状结构使用GE方式构建宽带的核心网，保证全网的高性能。将来还可以利用RPR技术，升级组建更高带宽和网络收敛迂回更快的数据骨干网。由于受到骨干层与接入层接入手段的限制，在上述三个核心节点各配置3台NE08路由器作为接入层的汇聚设备。3、 接入层节点实现业务向核心层的导入，使用NE05路由器，与骨干节点间采用155M POS、E1捆绑或100M FE等方式互联。北供、安华桥、华北网调、电科院、华能总公司通过SDH，采用155M POS与接入核心节点；水规院、成套设备局、华北院、三峡办、电建所、华能国际、高培、华北电力大学采用FE接入核心节点。

9、电力出版社、华电总公司、三建委、兵办采用NE1接入核心节点。4、 各个VPN接入internet由VPN内部的设备自行解决，与本次组网不涉及。5、 所有的PE之间的IGP采用OSPF协议，各PE路由器只在内部互联端口运行OSPF，骨干层的三台NE80划分为骨干Area 0，每台NE80下连的所有P和PE路由器分别属于Area1、Area2、Area3。6、 各PE之间同时还运行BGP协议，通过MP-BGP的扩展属性，实现VPN的标签的分发和传递。7、 各PE与CE之间也通过BGP协议交换路由信息。2.4设备命名规则为了保证以后的管理方便，设备命名需有一定的规范性。高端设备采用以下命名方法：AA

10、-BB-CC-YYYY。AA：表示地名全拼的第一个字母，BB：表示该网络的类型，例如城网表示为CWCC：表示设备放置地点全拼的第一个字母，Yyyy：表示设备型号，如S8016交换机则使用S8016，例如： 六铺炕NE80路由器命名为BJ-CW- LPK-NE80。对于中低端的CE设备，采用以下命名方法：AA-BB-CC-YYYY-TT其中TT：表示该设备所属的VPN类型：信息VPN：SPI ；VOIP VPN：VOIP电力调度VPN：SPD例如： 六铺炕三峡办信息VPN的CE路由器命名为BJ-CW-SXB-2631E-SPI路由器局点名设备命名北供NE05BJ-CW-BG-NE05华北网调NE

11、05BJ-CW-HBWD-NE05水规院NE05BJ-CW-SGY-NE05成套设备局NE05BJ-CW-CTSBJ-NE05安华桥NE05BJ-CW-AHQ-NE05华能总公司NE05BJ-CW-HNZGS-NE05电力出版社NE05BJ-CW-DLCBS-NE05华电总公司NE05BJ-CW-HDZGS-NE05华北院NE05BJ-CW-HBY-NE05三建委NE05BJ-CW-SJW-NE05兵办NE05BJ-CW-BB-NE05电科院NE05BJ-CW-DKY-NE05高培NE05BJ-CW-GP-NE05华北电力大学NE05BJ-CW-HBDLDX-NE05华能国际NE05BJ-CW

12、-HNGJ-NE05电建所NE05BJ-CW-DJS-NE05三峡办NE05BJ-CW-SXB-NE05西单NE80BJ-CW-XD-NE80西单NE08BJ-CW-XD-NE08西单S8016BJ-CW-XD-S8016六铺炕NE80BJ-CW-LPK-NE80六铺炕NE08BJ-CW-LPK-NE08六铺炕S8016BJ-CW-LPK-S8016白广路NE80BJ-CW-BGL-NE80白广路NE08BJ-CW-BGL-NE08白广路S8016BJ-CW-BGL-S80162.5、VPN命名规则1、VRF命名规则规定如下：信息VPN：SPI ；VOIP VPN：VOIP电力调度VPN：SP

13、D2、RDrouter distinguish命名规则使用16bits：32 bits格式，分配规则为 router-id：VPN类别其中router-id为该设备的loopback接口地址的最后8位；VPN类别：信息VPN: 100VOIP-VPN：200调度VPN：300例如华北网调NE05路由器的loopback接口地址为：10.9.0.5，则信息VPN的RD是:5:1003、RTRoute-target命名规则使用16bits：32 bits格式，分配规则为 VPN所属AS：VPN类别VPN所属AS:信息VPN AS: 65300VOIP-VPN AS：65400调度VPN AS：65

14、500VPN类别：信息VPN: 100VOIP-VPN：200调度VPN：300则信息VPN的RT是: 65300:1002.6、接口描述命名规则在接口模式下使用命令：description 源地名_源设备名_to_目的地名_目的设备名_带宽例如：西单NE80与北供NE05相连接的155M POS链路描述如下：description XD_NE80_to_BG_NE05_155M3自治域设置国家电力公司北京网的各PE节点与CE节点之间运行EBGP4协议，采用保留自治域号（6451265535）。其中北京电力数据网采用AS号：64512。CE侧的AS采用6530165535之间的AS。具体分配如

15、下：局点信息 VPNVOIP VPN电力调度 VPN北供653016540165501华北网调653056540565505水规院6530965409成套设备局6531365413安华桥6531765417华能总公司6532165421电力出版社6532565425华电总公司6532965429华北院6533365433三建委6533765437兵办6534165441电科院6534565445高培6534965449华北电力大学6535365453华能国际6535765457电建所6536165461三峡办6536565465以后扩容设备653666539965465654996550665

16、5354 IP地址规划NE05路由器IP 地址规划：NE05路由器局点名Loopback地址（32位掩码）上联接口地址（30位掩码）与信息VPN的CE互联地址（30位掩码）与VOIP VPN的CE互联的地址（30位掩码）与电力调度 VPN的CE互联的地址（30位掩码）北供10.9.0.110.9.1.110.9.5.110.9.6.110.9.7.1华北网调10.9.0.510.9.1.510.9.5.510.9.6.510.9.7.5水规院10.9.0.910.9.1.910.9.5.910.9.6.9成套设备局10.9.0.1310.9.1.1310.9.5.1310.9.6.13安华桥1

17、0.9.0.1710.9.1.1710.9.5.1710.9.6.17华能总公司10.9.0.2110.9.1.2110.9.5.2110.9.6.21电力出版社10.9.0.2510.9.1.2510.9.5.2510.9.6.25华电总公司10.9.0.2910.9.1.2910.9.5.2910.9.6.29华北院10.9.0.3310.9.1.3310.9.5.3310.9.6.33三建委10.9.0.3710.9.1.3710.9.5.3710.9.6.37兵办10.9.0.4110.9.1.4110.9.5.4110.9.6.41电科院10.9.0.4510.9.1.4510.9.

18、5.4510.9.6.45高培10.9.0.4910.9.1.4910.9.5.4910.9.6.49华北电力大学10.9.0.5310.9.1.5310.9.5.5310.9.6.53华能国际10.9.0.5710.9.1.5710.9.5.5710.9.6.57电建所10.9.0.6110.9.1.6110.9.5.6110.9.6.61三峡办10.9.0.6510.9.1.6510.9.5.6510.9.6.65NE80设备IP地址规划：西单NE80：loopback地址：10.9.0.255； 与白广路NE80互联地址：10.9.2.1与六铺炕NE80互联地址：10.9.2.5与西单N

19、E08互联地址：10.9.2.13与西单S8016的GE口互联地址：10.9.2.25，FE口互联地址：10.9.2.37与各NE05的互联地址可由上表推出。白广路NE80：loopback地址：10.9.0.254； 与西单NE80互联地址：10.9.2.2与六铺炕NE80互联地址：10.9.2.9与白广路NE08互联地址：10.9.2.17与白广路S8016的GE口互联地址：10.9.2.29，FE口互联地址：10.9.2.41与各NE05的互联地址可由上表推出。六铺炕NE80：loopback地址：10.9.0.253； 与白广路NE80互联地址：10.9.2.10与西单NE80互联地址

20、：10.9.2.6与六铺炕NE08互联地址：10.9.2.21与六铺炕S8016的GE口互联地址：10.9.2.33，FE口互联地址：10.9.2.45与各NE05的互联地址可由上表推出。NE08设备IP地址规划：西单NE08：loopback地址：10.9.0.250；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。六铺炕NE08：loopback地址：10.9.0.251；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。白广路NE08：loopback地址：10.9.0.252；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。S8

21、016设备IP地址规划：西单S8016：loopback地址：10.9.0.249；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。六铺炕S8016：loopback地址：10.9.0.248；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。白广路S8016：loopback地址：10.9.0.247；与各NE05及NE80的互联地址可由NE80和NE05的地址表推出。5 路由协议 路由协议包括IGP的选择和EGP的选择。在本期工程中，采用OSPF作为内部路由协议，BGP4作为自治系统之间的路由协议。 5.1全网BGP4规划BGP的构建在西单和白广路的两

22、台NE80路由器上运行EBGP路由协议，将国家电力北京地区网络的路由发布到全国骨干网，同时获取全国电力网络的路由。向全国骨干网发布路由时，使用network 静态路由的方式（不使用redistribute命令），将本AS的路由聚合成少数的几条路由发送出去（少于10条）尽量由国家骨干网络的路由器向北京地区发布缺省路由，同时需要查看国家骨干网络发来的路由数量，如果超过1万条，则在两台运行EBGP的NE80向本AS内其他路由器发送路由时将这些路由过滤掉，同时由这两台NE80各发布一条缺省路由（通过OSPF），注意要在这两台NE80之间过滤掉答复发送的缺省路由，以免形成路由环路。全网PE之间运行IBG

23、P。各地市CE之间的VPN路由的传递、VPN路由标签的分发，都是通过MP-BGP协议的扩展属性实现的。由于同一AS内运行BGP的路由器太多，存在全连通的N问题，所以使用BGP中的路由反射器方式来解决。AS内划分3个族，三台NE80分别担任三个族内的路由反射器。所有的PE和CE之间运行EBGP，CE需要将本地相关业务的路由发布到PE中去。 本次工程使用MBGP（多协议扩展BGP协议），用于携带VPN路由的标记，在MPLS域传播MPLE VPN路由。配置过程为了使BGP能够运行，首先必须启动BGP。启动BGP时应指定本地的自治区域号（AS号）。启动BGP后，本地路由器监听相邻路由器的BGP连接请求

24、。要使本地路由器主动向相邻路由器发出BGP连接请求，使用neighbor的配置。假定OSPF已经配置好并正常运行，以下具体配置以抚州财政为例，说明BGP的配置1、在路由器上起用BGP路由进程。Router(config)#router BGP 64512一般情况下，BGP是使用最佳本地地址进行TCP连接的；但为使接口在出现问题时该TCP连接还有效的话，可配置允许内部BGP会话使用任何可与对端建立TCP连接的接口，BGP neighbor通常与Loopback接口一起使用。2、设置路由器的Loopback地址。Router(config)#int loopback0Router(config-i

25、f-loopback0)#ip address 192.168.32.1 255.255.255.2553、设置路由器BGP的邻居Router(config-router-bgp)# neighbor 192.168.0.1 remote-as 64512Router(config-router-bgp)# neighbor 192.168.0.2 remote-as 645124、指定BGP update-source 为Loopback0 地址Router(config-router-bgp)# neighbor 192.168.0.1 update-source Loopback0Rou

26、ter(config-router-bgp)# neighbor 192.168.0.2 update-source Loopback05、进入MBGP的VRF地址族配置模式，激活PE-PE BGPRouter(config-router-bgp)# address-family vpnv4Router(config-router-bgp-af-vpn)# neighbor 192.168.0.1 activateRouter(config-router-bgp-af-vpn)# neighbor 192.168.0.2 activate6、在中心结点，配置MPGP路由反射器Router(co

27、nfig-router-bgp-af-vpn)# bgp cluster-id 192.168.0.1Router(config-router-bgp-af-vpn)# neighbor 192.168.32.1 route-reflector-client7、进入MBGP的VRF地址族配置模式，激活PE-CE BGPRouter(config-router-bgp)# address-family ipv4 vrf FZCZ Router(config-router-bgp-af-vpn)# neighbor 10.32.11.2 remote-as 65513Router(config-r

28、outer-bgp-af-vpn)# redistribute connected5.2全网IGP规划广域网骨干网采用OSPF作为IGP，构建骨干路由。OSPF是一种收敛迅速、消耗系统资源较少的高效的链路状态路由协议，在很多大型的骨干网的环境中得到了成功的应用。OSPF AREA划分细则OSPF里最重要的概念之一是存在层次和区域。OSPF允许把连续网络汇集起来，以进行分组。这样的组，和路由器一起维护到内含网络的接口，称为区域(area) 。每个区域独立运行基本链路状态路由算法的一个副本。与把整个自治系统当作单个链路状态域相比，区域的拓扑结构更优越一些，它能隐藏起来，使之从区域外面不可见。同样地

29、，其它区域里的路由器不知道其区域外的拓扑结构，这样明显地减少路由选择流量。在网络里可以创建多个区域，不需要自治系统里的全部路由器都去维持整个链路状态数据库。只有同一区域里的路由器要有相同的数据库。由于创建了区域，自治系统里的路由分成两种：区域内(连接到区域内的目标)和区域间(连接到本地区域外的目标)。通过设计，OSPF协议可把网络强制分层。对于能实施OSPF的网络，必须存在或能创建层次结构。区域的概念促使管理员在网络里创建层次。随着区域间路由选择的引入，出现了主干区域(backbone area)的概念。区域之间的所有流量必须流经主干区域。OSPF主干区域是专用OSPF区域0。OSPF主干始终

30、包含全部的ABR，并负责在非主干区域之间发布路由选择信息。主干区域必须与其它区域连续。如果不连续的话，必须创建虚拟链路使之连续，以保证流量不被中断。流量不能不流经主干区域。但是，若整个网络只有一个区域，那区域ID就不重要了，因为不需要主干区域。若单个区域设置成非主干区域，引入第二个区域时，把第二个区域当作主干区域来建立，因为所有区域间的流量必须流经过它。OSPF层次的主要优点在于隐含了其它区域的拓扑结构，这样能明显地减少路由选择协议流量。区域可能是一个或多个网络、一个或多个子网、或是网络或子网的任意组合。若需要进一步减少路由更新，可能需要总结网络或子网。总结使用连续的地址块。OSPF的AREA

31、划分原则：1、一个AREA 内的路由器最佳不要超过50台；2、一个ABR（或ASBR）路由器上建议不要超过4个AREA；3、AREA 0中的路由器应该为高端路由器。具体规划如下：各PE路由器只在内部互联端口运行OSPF，骨干层的三台NE80划分为骨干Area 0，每台NE80下连的所有P和PE路由器分别属于：西单NE80下挂路由器：Area1白广路NE80下挂路由器：Area2六铺炕NE80下挂路由器：Area3。路由器局点设备名区域划分规则北供NE05AREA 1华北网调NE05AREA 3水规院NE05AREA 1成套设备局NE05AREA 1安华桥NE05AREA 1华能总公司NE05A

32、REA 1电力出版社NE05AREA 1华电总公司NE05AREA 1华北院NE05AREA 1三建委NE05AREA 3兵办NE05AREA 3电科院NE05AREA 3高培NE05AREA 3华北电力大学NE05AREA 3华能国际NE05AREA 3电建所NE05AREA 3三峡办NE05AREA 3西单NE80与其他NE80互联的接口属于AREA 0，与西单NE08、S8016及NE05互联的接口属于AREA 1西单NE08AREA 1西单S8016AREA 1六铺炕NE80与其他NE80互联的接口属于AREA 0，与六铺炕NE08、S8016及NE05互联的接口属于AREA 2六铺炕

33、NE08AREA 2六铺炕S8016AREA 2白广路NE80与其他NE80互联的接口属于AREA 0，与白广路NE08、S8016及NE05互联的接口属于AREA 3白广路NE08AREA 3白广路S8016AREA 3OSPF的构建OSPF的AREA划分原则是：一个AREA 内的路由器最佳不要超过50台；一个ABR（或ASBR）路由器上建议不要超过4个AREA；AREA 0的路由器应该为中高端路由器。各PE路由器只在内部互联端口运行OSPF，骨干层的三台NE80划分为骨干Area 0，每台NE80下连的所有P和PE路由器分别属于具体区域编码见上表。为加强路由信息安全，采用如下技术措施：在O

34、SPF域中，在所有的区域内都配置邻居身份验证，防止黑客利用受攻击的设备，假冒路由器散播错误的路由信息。配置过程启动OSPF协议RouterA(config)# router id 192.168.1.1RouterA(config)# router ospf配置接口所属区域号（AREA）RouterA(config-router-ospf)# network 10.0.0.0 0.0.0.255 area 0RouterA(config-router-ospf)# network 20.0.0.0 0.0.0.255 area 0每台路由器的OSPF实际配置可按上述步骤进行，下面是 OSPF的

35、典型配置实例router id 192.168.32.1interface loopback0 ip address 192.168.32.1 255.255.255.255 ! 将Loopback接口的IP地址作为该路由器的ID号interface pos 0/0/0 description 155M SDH to center NE80 ip address 10.0.32.2 255.255.255.252router ospf network 10.0.32.0 0.0.0.3 area 0 network 10.0.32.4 0.0.0.3 area 0在OSPF中引入其他路由协议的

36、路由目标OSPF可以引入其他路由协议产生的路由，包括直连路由、静态路由、RIP、IGRP、EIGRP、ISIS、BGP等。本次工程只引入直连路由。配置过程以下是在的OSPF进程引入直连路由和静态路由。router OSPF redistribute connected 引入直连路由在OSPF中统一路由尺度（cost）的计算目标为确保路由器选择最优路径，统一OSPF路由尺度（cost）的计算，计算公式为：10000/带宽，带宽的单位是Mbps，各种接口的路由尺度如下表所示。接口类型Cost GE10155M POS65100M FE100NE15000/N在接口配置模式下运行ip ospf co

37、st 命令进行cost设置。OSPF引入的静态路由尺度值统一设置为1000，类型为1。OSPF引入直连路由的尺度值设置为100，类型为1。但是在本次组网中，各PE设备上，只引入接口的直连路由，而不引入静态路由和其他路由协议发布的路由。 配置过程在接口配置模式下运行ip ospf cost 命令进行cost设置。Interface Ethernet 3/0/0 Ip ospf cost 100 设置接口的COST值为100设置OSPF引入直连路由的尺度值设置为100，类型为1。Router ospf redistribute connected type 1 metic 100 设置接口的COS

38、T值为1006、网络设备管理控制口console的控制控制口（console）是完成网络设备最初是配置的，它一般用来直接接一个终端，另外，AUX口作为辅助。通常，采用密码校验来控制用户访问console口，缺省设置是不需要密码就可以访问。我们可以通过以下方法来控制console口的安全：用户模式密码（只能用一些查看设备状态的命令）;特权模式密码（能使用所有命令查看设备状态和配置设备）会话超时（console口没有使用一段时间后自动断开）;密码加密（将密码以加密的格式保存）;同时，可以和访问列表结合，以保证只有合法的地址才能访问设备，对于具体网络环境，我们建议采用以下一些命令来加强安全性,其中e

39、xec-timeout命令用来设置会话超时，access-class用来设置合法的IP地址访问列表，login authentication用来和 TACACS 或RADIUS结合实现集中认证：远程拨号（AUX口）的控制 AUX一般用于远程拨号。远程登录telnet 的控制通过telnet到网络设备上，我们可以进入用户模式和特权模式，完成查看和配置设备的全部功能，一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登陆的主机，还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有

40、用户名验证，我们还可以用终端访问控制器访问控制系统（TACACS）来进行分用户管理telnet的访问权限，与console口控制类似，我们可以采用下面一些命令来加强telnet的管理其中exec-timeout命令用来设置会话超时， access-class用来设置合法的IP地址，login authentication用来和 TACACS 或RADIUS结合实现集中认证：EXEC用户的安全管理Line用户分为：line con 0; line aux 0 line vty 0-4（1）EXEC终端服务启动控制line命令模式下：noexec（2）EXEC超时设定line命令模式下：noexe

41、c 3（3）终端锁定line命令模式下：nolockable（4）用户管理line命令模式下：1）line的本地password验证Quidway(config-line-vty0)# loginQuidway(config-line-vty0)# password huawei2）line的本地username和password验证Quidway(config)# line vty 0Quidway(config-line-vty0)# login Quidway(config) # user huawei service-type exec passwork 7 huawei3）line的

42、AAA验证Quidway(config)# aaa authentication login default localQuidway(config) # user huawei service-type exec passwork 7 huaweiQuidway(config)# line vty 0Quidway(config-line-vty0)# login authentication default（5）终端用户优先级Quidway(config-line-console0)# privilege level 15Quidway(config) # user huawei priv

43、ilege level 15（6）VTY类型LINE的呼入呼出限制 Quidway(config) # access-list 3 permit 10.1.10.0 0.0.0.255 /* ACL limit vty access Quidway(config) # access-list 3 deny any Quidway(config-line-vty0)# access-class 3 in Quidway(config-line-vty0)# login authentication String网管SNMP的安全性SNMP是另一种访问网络设备的方式。使用SNMP，你可以收集网络设

44、备的状态，配置网络设备。Get-request、get-next-request消息用来 收集状态信息，set-request消息用来配置网络设备。在每台路由器都要 配置community string，每一个SNMP消息都有一个community string来进 行校验，每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的，SNMPv2的community string采用MD5来进行加密，同 时SNMP可以和访问列表结合起来，使指定的的IP地址或端口才可以访问到网管信

45、息。我们可以采用以下命令，结合访问列表来设置SNMP的安全性，其中，string可以是用户定义的任何字符串，访问列表指定了只有10.1.2.10,10.1.2.20地址才可以接受SNMP信息，并且要进行Trap校验:（1）设置只读和可写团体snmp-server community community-name RO/RW（2）Trap报文的控制是否发送Trap报文： snmp-server enable traps trap-type trap-option no snmp-server enable traps设置Trap报文发送的主机和团体snmp-server host 10.1.2.

46、10 community-name指定发送Trap的源地址snmp-server trap-source Loopback0 网管使用VLAN2；被网管设备的网管IP地址使用loopback地址，地址范围为192.169.0.0/167 配置举例l 西单NE80配置命令详解系统三个VPN，即SPI、VOIP、SPD VPN计划配置如下，西单的NE80路由器作为P和PE路由器，下接二个PE设配，即北供的NE05路由器，西单的NE08一个CE设备即西单的S8016设备。S8016作为信息VPN，提供本地的数据业务接入。1：环回接口配置 interface LoopBack0 no shutdown

47、 ip address 10.9.0.255 255.255.255.255 2：router id的配置 router id 10.9.0.2553：各个链路层的地址配置，请用description命令描述该条链路指向哪一台路由器。4：mpls ldp配置 mpls lsr id 10.9.0.255 mpls ldp 然后需要在西单NE80与北供NE05相连接的链路、西单本地NE08连接的链路、白广路NE80相连接链路和六铺炕相连接的链路接口配置模式下用mpls ldp enable使能ldp协议。 举例如下： interface Ethernet3/0/1 mpls ldp enable

48、 description 100M_to_XIDAN_NE08 no shutdown ip address 10.9.2.13 255.255.255.252 5：西单NE80的ospf的配置如下： router ospf network 10.9.1.1 0.0.0.3 area 1 /与北供的NE05相连接的链路 network 10.9.2.13 0.0.0.3 area 1 /与西单的NE08相连接的链路 network 10.9.2.1 0.0.0.3 area 0 /与白广路的NE80相连接的链路 network 10.9.1.5 0.0.0.3 area 0 /与六铺炕的NE8

49、0相连接的链路 network 10.9.0.255 0.0.0.0 area 0 /西单NE80自己的环回接口地址6：信息vrf的配置 ip vrf SPI rd 255:100 route-target export 65300:100 route-target import 65300:1007：西单NE80的BGP的配置如下：router bgp 64512 no synchronization neighbor 10.9.0.1 remote-as 64512 /北供的NE05路由器 neighbor 10.9.0.1 allowas-in 2 neighbor 10.9.0.1 u

50、pdate-source LoopBack0 neighbor 10.9.0.250 remote-as 64512 /西单的NE08路由器 neighbor 10.9.0.250 allowas-in 2 neighbor 10.9.0.250 update-source LoopBack0 neighbor 10.9.0.254 remote-as 64512 /白广路的NE80路由器 neighbor 10.9.0.254 allowas-in 2 neighbor 10.9.0.254 update-source LoopBack0 neighbor 10.9.0.253 remote

51、-as 64512 /六铺炕的NE80路由器 neighbor 10.9.0.253 allowas-in 2 neighbor 10.9.0.253 update-source LoopBack0 address-family ipv4 vrf SPI redistribute connected no synchronization neighbor 10.9.2.25 remote-as 65366 /与S8016相连接的信息VPN exit-address-family address-family vpnv4 neighbor 10.9.0.1 route-reflector-cli

52、ent neighbor 10.9.0.1 activate neighbor 10.9.0.250 route-reflector-client neighbor 10.9.0.250 activate neighbor 10.9.0.254 activate neighbor 10.9.0.253 activate exit-address-familyl 北供NE05配置命令详解系统三个VPN，即SPI、VOIP、SPD VPN1：环回接口配置 interface LoopBack0 no shutdown ip address 10.9.0.1 255.255.255.255 2：ro

53、uter id的配置 router id 10.9.0.13：各个链路层的地址配置，请用description命令描述该条链路指向哪一台路由器。 用如下例子分别配置信息，语音，调度配置。 interface Ethernet2/1/0 ip vrf forwarding SPI ip address 信息VPN的链路地址 255.255.255.0 4：mpls ldp配置 mpls lsr id 10.9.0.1 mpls ldp 在与西单NE80设配相连接的链路上使能ldp协议5：北供NE05的ospf的配置如下： router ospf network 西单NE80链路IP 0.0.0.

54、3 area 0 /与西单的NE80相连接的链路 network 10.9.0.254 0.0.0.3 area 0 /北供NE05自己的环回接口地址6：信息vrf的配置 ip vrf SPI rd 1:100 route-target export 65300:100 route-target import 65300:100 ip vrf VOIP rd 1:200 route-target export 65400:200 route-target import 65400:200 ip vrf SPD rd 3:300 route-target export 65500:300 rou

55、te-target import 65500:3007：北供NE05的BGP的配置如下：router bgp 64512 no synchronization neighbor 10.9.0.255 remote-as 64512 /西单的NE80路由器 neighbor 10.9.0.255 allowas-in 2 neighbor 10.9.0.255 update-source LoopBack0 address-family ipv4 vrf SPI redistribute connected no synchronization neighbor 北供NE05信息VPN相连的26

56、20接口ip地址 remote-as 信息2620的私有AS号 /信息VPN exit-address-family address-family ipv4 vrf VOIP redistribute connected no synchronization neighbor 北供语音信息VPN相连的2621接口ip地址 remote-as 语音2621的私有AS号 /语音VPN exit-address-family address-family ipv4 vrf SPD redistribute connected no synchronization neighbor 北供NE05调度VPN相连的2620接口ip地址 remote-as 调度2620的私有AS号 exit-address-family address-family vpnv4 neighbor 10.9.0.255 activate exit-address-family 31华为技术 2021-11-23