. 动态路由的初始配置
按照网络设计,同时配置了OSPF和BGP两个动态路由。OSPF主要是实现路由设备的互通,其中只包含各路由设备的接口地址(不含6509的用户接口地址),是为BGP服务的。BGP作用是承载用户路由,里面包含了上万条用户路由信息,它是通过各6509设备将自己的直联路由和静态路由注入到BGP而得来的。
1.1、OSPF动态路由的初始配置
该动态路由通过路由宣称(network命令),只允许6509上联的两个GE端口和Loopback接口参与到OSPF中,其他用户接口是不能够和6509建立OSPF邻居关系的。通过该设置,OSPF中只存在我们允许的接口地址和Loopback地址,用户地址都不会被放入OSPF中。
配置:
router ospf 1 OSPF配置
log-adjacency-changes
auto-cost reference-bandwidth 100000
passive-interface Loopback0
network xxx area 395 参与OSPF的接口
network xxxxxxxxxx area 395
network xxxxxx 0.0.0.0 area 395 参与OSPF的Loopback接口
!
1.2、BGP动态路由的初始配置
BGP是用来承载用户路由,通过ospf来保障各路由设备的连通性。在6509上,BGP要和上连的两个GSR建立BGP邻居关系,通过注入的方式将用户路由放到BGP中。通过路由汇聚(aggregate-address命令)将路由汇聚成一条较大的路由,实现减少路由条目的目的。
router bgp 65130 BGP配置
no synchronization
bgp log-neighbor-changes
aggregate-address 10.51.0.0 255.255.128.0 summary-only 将该网段汇聚成一条路由
redistribute connected 将直联路由注入BGP中
redistribute static 将静态路由注入BGP中
neighbor ha-lh peer-group BGP邻居组
neighbor ha-lh remote-as 65130
neighbor ha-lh password 7 13151601181B0B382F 加密过的密码
neighbor ha-lh update-source Loopback0
neighbor ha-lh next-hop-self
neighbor ha-lh send-community
neighbor ha-lh route-map setcommunity out
neighbor 61.68.255.218 peer-group ha-lh 配置那些路由器属于邻居组“ha-lh”
neighbor 61.68.255.219 peer-group ha-lh
no auto-summary 不允许BGP自动汇聚
!
2. 动态路由的日常配置
2.1、OSPF的日常配置
由于OSPF只是用来保障路由设备间的连通性的,所以日常维护工作时,是不需要对其进行修改的。
2.2、BGP的日常配置
由于是通过将直联路由和静态路由注入到BGP来获得,所以日常维护时,无论是配置直联路由,还是静态路由,都会自动注入到BGP中,也是不需要进行配置的。
三、 VLAN的配置
VLAN配置时要注意几个原则:
1. 不要使用太多的secondary地址段
路由设备比较忌讳在一个接口上捆绑太多的secondary地址段,因为那样会极大地降低路由设备运行的效率。
2. VLAN号和端口相对应
将VLAN号和端口相对应,例如3/8端口对应的VLAN号设为138,在维护时就比较容易,不用查配置表就可以处理了。
3. VLAN和端口需要配置描述信息
在VLAN和端口上配置相应的用户信息,这样无论是谁都可以方便地处理。
四、 防DDOS的配置
互联网上的DDOS攻击现象越来越多,而且随着用户接入带宽的增大,一个用户发起的DDOS攻击,对网络的影响也越来越大。所以防DDOS,是我们工作的一个重点。
在不影响性能的前提下,建议6509所有的用户VLAN均增加防DDOS攻击的配置,如反转路由检测。
interface Vlan99 用户VLAN
.
.
.
ip verify unicast reverse-path allow-self-ping 反转路由检测,防止用户进行DDOS攻击
.
.
.
但是要注意,如果有用户设备(如信息港的视频服务器)有两个网卡,分别接到6509的两个网段时,一定不能加反转路由检测配置,否则将有部分用户无法访问该设备。
五、 访问列表的使用
访问列表的作用是过滤有害流量,减轻网络压力。但同时需要考虑访问列表条数越长,效率也就越低,对网络的影响也就越大。所以,在实现功能的同时,要尽可能地减少访问列表条数。
注意:6509上联GSR的接口上不要加访问列表。
下面是用户端口访问列表的实例,访问列表151生效在用户端口的IN方向,访问列表152生效在用户端口out方向。
access-list 151 deny udp any any eq 1434
access-list 151 deny tcp any any eq 135
access-list 151 deny udp any any eq 135
access-list 151 deny udp any any eq 137
access-list 151 deny tcp any any eq 139
access-list 151 deny tcp any any eq 445
access-list 151 deny tcp any any eq 4444
access-list 151 permit ip 10.160.0.0 0.31.255.255 218.29.0.224 0.0.0.31
access-list 151 deny ip 10.160.0.0 0.31.255.255 any
access-list 151 permit ip any any
access-list 152 deny udp any any eq 1434
access-list 152 deny tcp any any eq 135
access-list 152 deny udp any any eq 135
access-list 152 deny udp any any eq 137
access-list 152 deny tcp any any eq 139
access-list 152 deny tcp any any eq 445
access-list 152 deny tcp any any eq 4444
access-list 152 permit ip any any
六、 IP地址的规划
部分地市的IP地址没有很好的规划,从省局申请来的一段段地址被随意布置到各个6509上,而且也没有考虑过路由的汇总。
例如某地市的一个6509上,使用了10.113.*.*和10.177.*.*两个B里面的部分地址,而这些地址段同样存在于该地市的其他6509上。而这个6509上却做了10.109.0.0~10.109.127.0半个B的路由汇总,这个路由汇总是起不到任何作用的。
建议地市对私网地址的使用做好规划,每个6509分配半个B地址,做好rip的路由汇总。这样做的好处是极大地减少路由条目,避免由此对路由设备性能造成的不良影响。
公网地址也要做好规划,尽量在6509上做路由汇总,减少路由设备的路由条数,提高路由设备运行的效率。
七、 网络设备安全
所有的网络设备,包括GSR、6509,以及接入层设备,都增加对登陆IP的限制,只允许网管IP段访问,增强网络的安全性。
定期对路由设备的配置进行备份,要求每周至少备份一次。在进行插拔板子等硬件操作前,应单独做配置的备份工作。
