返回
2010年mdcn网络扩容项目县级汇聚交换机入网方案

2010年mdcn网络扩容项目县级汇聚交换机入网方案

ID:35539376

大小:217.80 KB

页数:17页

时间:2019-03-25

2010年mdcn网络扩容项目县级汇聚交换机入网方案_第1页
2010年mdcn网络扩容项目县级汇聚交换机入网方案_第2页
2010年mdcn网络扩容项目县级汇聚交换机入网方案_第3页
2010年mdcn网络扩容项目县级汇聚交换机入网方案_第4页
2010年mdcn网络扩容项目县级汇聚交换机入网方案_第5页
资源描述:

《2010年mdcn网络扩容项目县级汇聚交换机入网方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、eccom云南移动2010年MDCN扩容项目县级汇聚交换机入网方案ECCO;i;举ifl厢络上海华讯网络系统有限公司2011年3月1概述42设备、板卡及接口配置51」设备命名规范51.2端口描述规范51.3设备的访问及访问控制51.3.1远端登陆管理要求51.3.2Console端口配置51.3.3访问控制.51-4设备高可靠性措施61.5设备端口配置71.5.1MTU值设计71.5.2GE端口配置71.6配置需求71.7配置模板7未使用端.92IP地址分配103云南MDCN县级网络结构114网络路由和转发实现方案及配置134」协议部署134.2OSPF规范145.4.1Meric

2、/Cost145.4.2参数规划.145县级交换机入网测试155」业务测试155.2倒换测试151概述本规范主要针对MDCN省网汇聚路市器和MDCN地州延仲网各级设备,主要包含两个层次的内容:方案与配置命令,方案主要指出实施需实现的目标、效果和实现的手段;配置命令包括2部分,即配置需求和配置模板,配置需求针对每个功能和特性提出了详细的配置需求,各厂商根据配置需求给出所需的命令语句。要求:各厂家根据本规范给定的配置模版,需要通过备注形式对每条命令行进行解释。2设备、板卡及接口配置1.1设备命名规范请参考《交付件2.1云南移动MDCN集成项冃网络资源命名规范Vl.O.doc》1.2端口

3、描述规范请参考《交付件2.1云南移动MDCN集成项目网络资源命名规范V1.0.doc》1.3设备的访问及访问控制1.3.1远端登陆管理要求对于远程登陆要严格控制,只允许信任主机以特定方式(telnet/ssh)登陆路由器。远程登录按省公司维护管理,原则上省公司拥有城域网上所有设备的全部权限;地州维护管理,拥有地州核心路由器以下设备(不包含地州核心路由器)的全部权限;监控系统拥有城域网上所有设备的只读权限。管理员分两级,读写级的必须实名制,值班员公用的职能配发只读级。路由器VTY端口的超吋配置的作用是当远程登录连接在指定时间内没有操作吋由设备主动屮断远程连接,这样可以防止所有远程登录

4、VTY端口占用而无法对设备进行管理,将此超时值设置为5分钟。针对VTY端口要设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问控制列表通过区分不同用户的网段来进行过滤,原则举例如下:◊县级汇聚交换机维护权由地州和县共同负责,具体登陆限制条件有地州分公司和县公司规定◊在设备测试阶段针对VTY端口不设置访问控制列表。1.3.2Console端口配置路由器console端口要设置口令,尤其必须设置超级口令,以保证设备的安全。在测试阶段用户名和密码为:ynmdcn/ynclmcn1.3.3访问控制•VTY控制安全目标:防止非法用户通过Telnet获取云南移动MDCN城域网设备的

5、控制能力。攻击手段:◊非法用户获得网管或维护终端的控制能力,通过网管或维护终端登陆到城域网设备进行操作控制。◊无法获取VTY通道,直接进行DoS攻击,致使正常的VTY连接受到影响。保护手段:◊Access端口上通过分组过滤策略过滤非法的Telnet数据包。◊Access端口上通过严格反向路径查找过滤掉进行DoS攻击的伪造源地址数据包。◊对Telnet或SSH进行最大连接数限制,idle-timeout设置为5分钟,最多允许同时5个在线防止攻击。◊加强密码管理,采用集屮认证技术,同时进行认证、授权、审计操作。•SNMP控希ij安全目标:防止非法用户通过SNMP管理接口获取设备信息或对

6、设备进行控制。攻击手段:盗取SNMP密码,获得SNMP访问通道,利用SNMP管理接口获取设备信息或对设备进行控制。保护手段:◊Access端口上通过分组过滤和严格反向路径查找过滤非法的SNMP数据包;◊采用SNMPV2/V3安全版本,使用MD5认证算法,利用M1BView关闭大数据量的表类型变量(如路由表和转发表);◊考虑到目前大部分网管系统需要设备开放SNMP写权限,因此不关闭设备SNMP的写控制;◊SNMP使用的团体属性密码与现网保持一致。1.4设备高可靠性措施网络设备是组成多业务城域网的基本节点,其可靠性是整网可靠性的基础。主流网络设备的关键部件,包括主控单元、交换单元、电源

7、、制冷系统等,大多采用热备份冗余设计,这是保证电信级城域网可靠性的最基本要求。主备引擎兀余配置:配置控制卡Z间的配置文件和动态数据同步,配置控制卡在故障情况下的无缝倒换。设置主备引擎为最优保护方式。1-5设备端口配置1.5.1MTU值设计由于县级交换机和地州营业厅接入交换机4503之间没有特殊的协议部署,4503与县级交换机之I'可采用默认的MTU值1.5.2GE端口配置GE端口的参数配置规范如下:1.关闭GE端口自动协商,配置为强制千兆全双工模式。1-6配置需求1.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。