配置规范

为了规范IDC机房数据配置，减少人为工作失误所造成设备、业务影响，依据《中国电信集团河北分公司宽带业务设备管理规范》、IDC数据设备操作注意事项和IDC机房实际情况，特制定本设备配置及命名管理规范。

一、数据配置基本要求：

1、涉及核心设备操作时，值班人员两人同时在场，一人操作，一人监护，在涉及到汇聚层以上（包括汇聚层）设置时，必须报数据主管，同时口头报告实施方案。

2、在制作数据前要对现有的配置进行备份，做好回退准备，对临时性的操作不做保存处理。

3、每次数据配置完成后观察至少5分钟，同时对所作的数据进行审核，确认没有问题方可离开设备现场。

4、IDC日常业务开放（包括带宽变更、IP地址的划分）由专人负责，每周向公司汇报变更情况，每月月报中汇报端口开放等详细情况。

5、原则上将IDC数据设备划分为核心层和汇聚层，核心层包括NE80E，汇聚层包括除NE80E以外的其他三层设备（S9312、S8512等）。华为NE80E的管理一级密码（可以查看状态）向省公司申请，授权IDC值班人员在紧急情况下进行远端查看。S8500的远程管理二级密码（可以查看和配置），紧急情况下可以远端登陆便于查看，所有密码按照维护规程每月修改一次。

6、所有涉及业务的调整（包括带宽的变更、端口的开放、IP的分配、机柜的变更）必须有政企客户部的工单，个别业务需有政企客户部主任或是主管老总的签字。

7、因业务调整涉及到的数据配置由专人负责，特殊情况可授权值班人员进行操作。

8、IDC在接到工单后在2个工作日内完成对业务的调整。

9、对所有IDC业务的调整必须在正常工作日内进行操作，割接除外。

10、每周核对交换机的配置、端口使用情况、带宽分配情况及机柜使用情况，如可能影响到业务的运行，必须在工作日内进行，同时上报维护中心主任。 11、如需远端登录IDC设备必须有维护中心主任的授权，同时说明需进行的相关操作，操作完成后通知值班人员，由值班人员核查业务运行情况。

12、维护人员需定时巡查监控系统，发现用户业务异常的应及时进行上报，并通知用户。

二、常用配置命令格式：

1、查封IP(以219.232.228.43为例)

ip route-static 219.232.228.43 255.255.255.255 NULL 0 blackhole 解封IP(以219.232.228.43为例)

Undo ip route-static 219.232.228.43 255.255.255.0 null 0

2、将流量引入防火墙的配置流程（需同时在NE80-1和NE80-2制作）

NE80-1: Acl 3001

Rule 45 permit ip destination 被攻击IP 反掩码 如将去219.232.228.43IN方向的流量引入防火墙： Acl 3001

Rule 45 permit ip destination 219.232.228.43 0.0.0.15 如需删除上面的操作: Acl 3001 Undo rule 0

NE80-2:

Acl 3003

Rule 45 permit ip destination 被攻击IP 反掩码 如将去219.232.228.43IN方向的流量引入防火墙： Acl 3003

Rule 45 permit ip destination 219.232.228.43 0.0.0.0 如需删除上面的操作: Acl 3003 Undo Rule 45

3、远程管理配置（以华为S2000为例）

system-view // 进入系统视图 sysname IDC_S2016_M-4 // 配置主机名

local-user huawei // 配置 telnet 用户名

service-type telnet level 0 // 服务类型为 telnet ，等级为 0

password cipher huawei // 密码密文

user-interface vty 0 4 // 终端用户登录的数目 authentication-mode scheme // 认证方案 Quit

super password level 3 cipher huawei // 超级用户密码 vlan 500 // 建立 vlan

interface vlan 500 // 配置管理 vlan 接口

description Manager //描述vlan500为manager（别名） ip address 10.0.10.35 255.255.255.0 //配置vlan接口得IP地址 nterface Ethernet 0/1 // 进入端口视图

description To_S8512 //端口描述为 To_S8512 Port link-type trunk //配置端口连接模式为trunk Port trunk per vlan 500 601 //将端口加入到vlan500 601 Undo port trunk permit vlan 1 //删除端口到默认vlan 1 Quit //退出端口视图

ip route-static 0.0.0.0 0.0.0.0 10.0.10.1 // 配置默认路由指向网关

Quit //退出系统视图 Save // 保存

4、三层设备下挂二层设备配置流程（S8512和S2016）如下：

例如分配 ip 地址段 219.232.224.1/25,vlan 为 210 ,S2016交换机为P-1机柜

S8512 配置 System-view Vlan 210

Interface Vlan-interface210

Ip address 219.232.224.1 255.255.255.128

例如交换机为 P-1, 在 S8512 上端口为 ethernet1/0/1 Interface Ethernet1/0/1

Description To_P_1 //端口描述 Port link-type trunk

Undo port trunk permit vlan 1 Port trunk permit vlan 210 S2016 配置 System

Sysname IDC_S2016_P-1 Local-user huawei

Service-type telnet level 0 Password cipher huawei User-interface vty 0 4 Authentication scheme Quit

Super password level 3 cipher huawei Vlan 210

Port Ethernet 0/2 to eth 0/24 Inter vlan 210 Description p-1

Ip address 219.232.224.2 255.255.255.128 Interface Ethernet 0/1

Description To_S8512_1/0/1 //端口描述 Port link-type trunk

Port trunk permit vlan 210 Undo port trunk permit vlan 1 Quit

Ip route-static 0.0.0.0 0.0.0.0 219.232.224.1 Quit Save Yes

5、端口限速

华为S2016 ：

System-view //进入系统视图

Interface Ethernet 0/2 //进入端口视图

Line-rate inbound 28 //设置端口IN方向流量为1Mbps Line-rate outbound 28 //设置端口OUT方向流量为 1Mbps

说明：报文速率限制级别取值范围为1~127。如果速率限制级别取值在1~28范围内，则速率限制得粒度为64Kbps，这种情况下，当设置得级别为N，则端口上限制的速率大小为N×64Kpbs，如果速率限制级别取值在29～127得范围内，则速率限制的粒度为1Mbps，当设置的级别为N，则端口上的限制得速率为（N-27）×1Mbps。 华为S3528：

System-view //进入系统视图

Interface Ethernet 0/1 //进入端口视图

traffic-limit in ip-group 3001 1024 exceed drop //设置端口IN方向流量为1024K

Traffic-shape 1024 4 //设置端口OUT方向流量为1024K 注意：3001为acl,如需要限速10M或100M，请直接使用“speed 10”或“speed 100”。

华为：S8505 System-view

interface GigabitEthernet 3/1/4

traffic-limit in link-group 4000 1024 102400 102400 exceed drop //设置端口IN方向流量为1024K

traffic-shape 1024 1024 //设置端口OUT方向流量为1024K 注意：4000为acl,上面的限速为1024k, 承诺突发尺寸和最大突发尺寸应为承诺平均速率的100倍；如需要限速10M或100M，请直接使用“speed 10”或“speed 100”

6、端口镜像配置

华为S2000 ： System-view

Monitor-port Ethernet 0/2 no-filt //设置监控端口 (可选参数filt-da_监控指定目的mac地址的报文 ,filt-sa_监控指定源mac地址的报文 , no-filt_监控所有报文 。)

Mirroring-port Ethernet 0/4 both //设置被监控端口(可选参数 inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。)

注意：只可以1口至8口（或9口至16口）之间进行镜像。 华为S3528： System-view

Monitor-port Ethernet 0/2 both

//设置监控端口(可选参数 inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。)

Mirroring-port Ethernet 0/4 both

//设置被监控端口(可选参数 inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。) 华为 S8505： system-view

mirroring-group 1 inbound gi 1/1/1 mirrored-to gi 1/1/2 //建立镜像组1，把端口1/1/1in方向的流量复制到端口1/1/2

mirroring-group 1 outbound gi 1/1/1 mirrored-to gi 1/1/2 //建立镜像组1，把端口1/1/1out方向的流量复制到端口1/1/2

7、网通方向中断后，将流量导至电信方向的配置 NE80-1上数据更改：

traffic behavior BJKuanJie

undo redirect // 将双线地址下一跳172.16.16.1删掉 redirect ip-nexthop 219.148.19.21 // 将双线地址下一跳 改为219.148.19.21

bgp 65356 //保证双线IP使用正常进行分拆 ipv4-family unicast

network 219.232.224.0 255.255.248.0 network 219.232.232.0 255.255.248.0 network 219.232.240.0 255.255.248.0 network 219.232.248.0 255.255.248.0 network 124.248.32.0 255.255.248.0 network 124.248.40.0 255.255.248.0 q

ip route-static 219.232.224.0 255.255.248.0 null 0 ip route-static 219.232.232.0 255.255.248.0 null 0 ip route-static 219.232.240.0 255.255.248.0 null 0 ip route-static 219.232.248.0 255.255.248.0 null 0 ip route-static 124.248.32.0 255.255.248.0 null 0 ip route-static 124.248.40.0 255.255.248.0 null 0

NE80-2上数据更改：

traffic behavior BJKuanJie

undo redirect // 将双线地址下一跳172.16.16.129删掉 redirect ip-nexthop 219.148.19.57

8、将网通方向流量由电信方向切回： NE80-1上数据更改：

traffic behavior BJKuanJie

undo redirect // 将双线地址下一跳 219.148.19.21 删掉 redirect ip-nexthop 172.16.16.1// 将双线地址下一跳 改为172.16.16.1 bgp 65356 ipv4-family unicast

undo network 219.232.224.0 255.255.248.0 undo network 219.232.232.0 255.255.248.0 undo network 219.232.240.0 255.255.248.0 undo network 219.232.248.0 255.255.248.0

undo network 124.248.32.0 255.255.248.0 undo network 124.248.40.0 255.255.248.0 q

undo ip route-static 219.232.224.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.232.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.240.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.248.0 255.255.248.0 null 0 pre 200 undo ip route-static 124.248.32.0 255.255.248.0 null 0 pre 200 undo ip route-static 124.248.40.0 255.255.248.0 null 0 pre 200

NE80-2上数据更改：

traffic behavior BJKuanJie

undo redirect // 将双线地址下一跳删掉 redirect ip-nexthop 172.16.16.129

运行维护部IDC维护中心

二零一三年四月