江苏电信城域网CR路由器(华为NE5000E) 配置规范

机型、板卡类型、端口类型都统一；

? L3 Protocol MTU值尽可能取大值，以加快协议收敛；

? IGP路由协议邻居关系的建立，需要两侧设备端口MTU值保持一致； ? 接入网的以太化，终端侧MTU均不超过1500；

? 与外部连接端口的MTU值需与对端设备协商保持一致，尽可能取大值。 ? PIM Join消息以端口MTU为基准，进行Join 数据包分片； ? ISIS协议LSP数据包默认最大值为1497；

规范IP城域网路由型设备的所有互连端口，GE/10GE以太网口IP MTU统一取值为1600字节；POS口IP MTU统一取值为4470字节。 为缩短IGP邻居建立时间，IGP协议配置全部取消对接口MTU的检查。 各厂家设备的设备端口配置下MTU具体含义有所不同，具体见下表： 序号 1 2 3 4 5 6 1 2 3 4 6 7 8 Juniper TX 阿朗 SR7750 EX 思科 RedBack SE系列 CRS-1系列 华为 NE系列 思科 设备厂商 设备类型 GSR/76/65系列 端口类型 Ethernet POS Ethernet POS Ethernet POS Ethernet POS Ethernet POS Ethernet Ethernet POS MTU值含义 IP MTU IP MTU IP MTU IP MTU IP MTU IP MTU IP MTU+14 IP MTU+4 IP MTU＋14 IP MTU＋2 IP MTU＋18 IP MTU＋14 IP MTU＋4 缺省值 1500 4470 1500 4470 1500 4470 1514 4474 1514 9208 1518 1514 4474 建议值 1600 4470 1600 4470 1600 4470 1614 4474 1614 4472 1622 1614 4474 【1】 Juniper E系列Bras设备通常用子接口的方式互连上层设备，子接口下IP MTU=主接口 MTU

-22 ,因此建议主接口MTU取值为1622。

E系列设备IP MTU值是根据二层MTU层值自动计算而来，三层MTU等于二层MTU减22;

【2】 SR 7750 以太端口为access 模式，默认MTU 为1514，若封装dot1Q ，则需加4字节为

1518字节；若为network模式，则默认为1514字节;

SR 7750 POS端口为netwotk模式时默认为9208字节。

【3】 对于iTV平台、全球眼平台、交换BAC等非MPLS接入，建议统一接口IP MTU为1500。

中国电信江苏分公司

第22页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

3.2.2 Loopback接口配置

配置说明：

配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。同时，BGP和MP-BGP路由器上的loopback地址，用作该路由器发布的BGP或MP-BGP路由的下一跳地址。

规范要求：

城域骨干网出口路由器配置一个loopback 0地址，掩码必须为32位。 Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。 测试使用loopback从500开始编号,并明确标注相应的测试用途，便于查询和删除。 配置规范： interface LoopBack0 ip address *.*.*.* 255.255.255.255 description For-Management 配置验证： disp inter loopback 0 配置注意细节： 无 3.2.3 GE接口配置 3.2.3.1 接口描述 配置说明： 配置接口描述，明确标识链路连接方向，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。

规范要求：

对于二三层接口不分的设备，（华为，CISCO、Juniper）：

端口描述要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。 对于二三层接口分离的设备，（7750、SE800）：

配置二层接端口的描述符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。并注意端口描述中的对端端口应区别不同设备。

中国电信江苏分公司

第23页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

命名三层接口时，采用与Juniper类似的名称, 比如so-1/1/3,ge-2/0/0，名称中不带空格。

配置三层接口的描述和相应的二层接口描述一致，上行链路描述前缀使用“uT:”，下行链路描述前缀使用“dT:”，横连链路前缀使用“pT:”。

未使用的端口需要Shutdown，并删除端口描述、IP地址、子接口等配置。 3.2.3.2 MTU值 配置说明：

配置接口的最大传输单元(MTU)值。当两端的mtu值不一致时表现为：当PING小包时正常，不会丢包，但是PING大包时会明显丢包，而且影响IGP协议正常建立邻居关系。

规范要求：

Cisco CRS-1，Juniper TX，阿郎SR 7750 设备端口MTU为IP MTU +14，即取值为：1614。

Cisco GSR，华为设备端口MTU取值为：1600。 Juniper E系列Bras设备端口MTU为IP MTU +22 ，即取值为：1622. 配置注意细节

端口需shutdown/undoshutdown后，更改后的MTU值才会生效。

不同设备端口下MTU配置命令功能存在差异，例：华为设备端口下配置MTU命令的默认即为3层MTU,而Cisco CRS设备端口配置MTU命令为2层MTU，其数值需-14字节才为IP MTU值，因此配置端口MTU值时，需注意不同设备的配置下MTU配置命令的功能差异。

3.2.3.3 关闭GE端口协商 配置说明：

端口协商功能允许一个设备向链路远端的设备通告自己所运行的工作方式，并且侦测远端通告的相应的运行方式。一条链路两端的端口必须是同样的配置，如果千兆链路两端的配置不一致，端口状态将不up或不稳定。

规范要求：

关闭GE端口的自动协商功能，防止协商不一致导致端口不能up。 配置注意细节：

中国电信江苏分公司

第24页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

缺省情况下，GE电口为自动协商，可修改协商模式。 3.2.3.4 关闭存在风险的安全漏洞 配置说明：

关闭GE端口可能存在风险的安全漏洞。

ICMP Redirect：可以通知主机修改其发送数据的下一跳IP，更改主机的路由，存在DOS攻击的风险。

Direct Broadcast：允许向该网段下的所有设备发送广播包文，造成大量的流量。 Proxy ARP：允许接口代理查询ARP地址，将自己的MAC地址做为应答，存在ARP欺骗安全问题。 规范要求： 关闭ICMP Redirect、Direct Broadcast、Proxy ARP。 3.2.3.5 接口震荡禁止 配置说明： 为避免接口反复UP/DOWN造成系统路由震荡，导致对网络稳定性的影响，接口开启震荡禁止功能。仅在主接口启用，不在子接口启用。 所有GE和POS接口都开启damping。 HW默认值： half-life:54s, resume:750, suppress:2000, max-suppress:6000 规范要求： 开启接口震荡禁止功能，使用默认值。 3.2.3.6 配置范例 interface GigabitEthernet1/0/0 undo negotiation auto #GE电口 mtu 1600 #注意与对端保持一致 description pT: NJ-HZM-BAS.MAN.SE800-1::( )GE1/0/0 ip address X.X.X.X X.X.X.X undo icmp redirect send undo arp-proxy enable #默认行为 control-flap #端口启用震荡禁止 set flow-stat interval 30 #流量统计时间间隔为30秒。 检查： disp inter gi1/0/0 中国电信江苏分公司 第25页