網(wǎng)絡(luò)設(shè)備配置規(guī)范

李華

摘要：現(xiàn)在的網(wǎng)絡(luò)設(shè)備比如交換機(jī)、路由器、防火墻，很多工程師配置設(shè)備沒(méi)有按照一定的規(guī)范，僅僅配置完所需連接數(shù)據(jù)后就投入使用。隨著網(wǎng)絡(luò)設(shè)備的增加。我們真正可能面對(duì)的情況是，不按照統(tǒng)一的配置規(guī)范的網(wǎng)絡(luò)設(shè)備，其后續(xù)的排障與維護(hù)將變成一場(chǎng)災(zāi)難。筆者長(zhǎng)期從事網(wǎng)絡(luò)設(shè)備調(diào)測(cè)工作，根據(jù)筆者的經(jīng)驗(yàn)，以思科設(shè)備命令為例，總結(jié)了網(wǎng)絡(luò)設(shè)備配置規(guī)范，供大家參考。

關(guān)鍵詞：配置 規(guī)范

1 IP地址分配規(guī)范

IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。

在地址分配中需要的從地址的應(yīng)用類型上給出以下規(guī)則： 路由器 loopback地址，每臺(tái)路由器需要一個(gè) 32位掩碼的IP地址。點(diǎn)到點(diǎn)的設(shè)備連接，可使需要30位最小的子網(wǎng)。服務(wù)提供地址按照接入數(shù)量和設(shè)備數(shù)量來(lái)分配子網(wǎng)空間。每一個(gè)分配層占用的IP地址應(yīng)盡量整齊，便于作地址匯總。

2 設(shè)備描述規(guī)范

2.1 設(shè)備命名標(biāo)識(shí) 為了能很快區(qū)分網(wǎng)絡(luò)設(shè)備，最好能夠?yàn)榫W(wǎng)絡(luò)設(shè)備配置一個(gè)有意義的系統(tǒng)名字這是最基本、最重要的。如果不進(jìn)行配置，當(dāng)使用telnet或者ssh協(xié)議登陸到設(shè)備進(jìn)行會(huì)話的時(shí)候，CLI界面所顯示的是網(wǎng)絡(luò)設(shè)備的默認(rèn)名稱。這個(gè)默認(rèn)名稱不便于進(jìn)行區(qū)分。特別是在比較復(fù)雜的企業(yè)網(wǎng)絡(luò)中，為各臺(tái)網(wǎng)絡(luò)設(shè)備配置有意義的并且是唯一的系統(tǒng)名字是一項(xiàng)非常有用的工作。

規(guī)則：City-System-Location-DeviceName

筆者經(jīng)常使用漢語(yǔ)拼音頭字母作為區(qū)分，大家可按照自己的習(xí)慣進(jìn)行標(biāo)識(shí)。

City：表示該臺(tái)設(shè)備所處的城市，例如： BJ表示該設(shè)備部署在北京；SH表示設(shè)備部署在上海；SJZ表示設(shè)備部署在石家莊。

System：表示該設(shè)備屬于哪個(gè)系統(tǒng)或業(yè)務(wù)使用，例如：SPHY代表了視頻會(huì)議系統(tǒng)；BG代表了辦公系統(tǒng)。

Location：表示該臺(tái)設(shè)備所處的位置，例如： ZSL表示該設(shè)備部署在中山路，YYT表示該設(shè)備部署在營(yíng)業(yè)廳；這個(gè)字段也可根據(jù)需求擴(kuò)展越精確位置越好。

DeviceName：表示該臺(tái)設(shè)備的型號(hào)，例如：R75075表示該設(shè)備為CISCO7507路由器。

舉例說(shuō)明：LF-SPHY-JGD-R3660

表示是廊坊市的建國(guó)道的視頻會(huì)議系統(tǒng)路由設(shè)備，設(shè)備型號(hào)為3660路由器。

2.2 接口描述 數(shù)據(jù)接口主要通過(guò)各種線卡或者模塊整合在路由設(shè)備上面，由于各種線卡和模塊的種類繁多，接口的形式也各不相同，所以，我們制定了關(guān)于數(shù)據(jù)接口的配置規(guī)范，便于得到統(tǒng)一的配置。

接口描述格式：to-遠(yuǎn)端設(shè)備名-遠(yuǎn)端設(shè)備接口-鏈路帶寬

to：固定字符串；遠(yuǎn)端設(shè)備名：本接口連接到遠(yuǎn)端那個(gè)設(shè)備。鏈路帶寬：這條鏈路的實(shí)際帶寬是多少。

舉例說(shuō)明：To- LF-SPHY-JGD-R3660-S1/1-2M

廊坊-視頻會(huì)議-建國(guó)道-R3660-S1/1接口-2M帶寬

3 基本安全配置規(guī)范

3.1 Console接口配置規(guī)范 Console的安全性配置是很重要的，通過(guò)Console口，可以在本地進(jìn)行直接配置。所以要對(duì)Console口的配置作嚴(yán)格的規(guī)范，以保證它的安全性。

3.2 登錄時(shí)間 要限制通過(guò)console登錄的用戶的登錄時(shí)間。制定的規(guī)范是，如果用戶30秒內(nèi)沒(méi)有任何操作，我們就認(rèn)為該用戶已經(jīng)離開(kāi)控制臺(tái)，就應(yīng)該自動(dòng)注銷該用戶。

配置規(guī)范：（設(shè)定30秒沒(méi)有操作自動(dòng)注銷）

line console 0

exec timeout 0 30

3.3 Banner的設(shè)定 處于安全的考慮，我們有必要對(duì)嘗試登陸設(shè)備的用戶出示Banner提示。告知其惡意嘗試破解密碼是要負(fù)法律責(zé)任的，并且，他的所作所為以及他的IP信息都在日志中有記錄。

配置規(guī)范：

banner login ^C

*****************************************

UNAUTHORIZED ACCESS PROHIBITED！

Do not attempt to log on unless

you are an authorized user

*****************************************

^C

3.4 登錄用戶范圍 要對(duì)登錄的用戶范圍走限制，這個(gè)限制和登錄的認(rèn)證是不同的。范圍限制是指那些網(wǎng)端的用戶可以登錄。登錄認(rèn)證則是，要有正確的用戶名和密碼才能登陸設(shè)備。

配置規(guī)范：

access-list 10 permit x.x.x.x （運(yùn)行x.x.x.x（例：192.1.1.0）這個(gè)網(wǎng)段的用戶可以登陸） ＼＼調(diào)用已建立的訪問(wèn)控制例表

line vty 0 4

access-class 10 in ＼＼調(diào)用已建立的訪問(wèn)控制例表

3.5 用戶登錄的數(shù)量 用戶登錄的數(shù)量雖然不會(huì)對(duì)設(shè)備的性能產(chǎn)生很大的影響，但是數(shù)量過(guò)多的登錄配置，容易受到攻擊和入侵，所以我們建議同時(shí)登錄的用戶數(shù)量不要超過(guò)5個(gè)。

配置規(guī)范：

line vty 0 4 ＼＼設(shè)備用戶不超過(guò) 5個(gè)（0-4）

4 路由協(xié)議配置規(guī)范

路由協(xié)議是整個(gè)網(wǎng)絡(luò)的核心部分，它產(chǎn)生路由表以及轉(zhuǎn)發(fā)表，保證了數(shù)據(jù)的發(fā)送。規(guī)范的配置路由協(xié)議會(huì)使得整個(gè)網(wǎng)絡(luò)更加便于管理和維護(hù)。

4.1 靜態(tài)協(xié)議配置規(guī)范 靜態(tài)路由協(xié)議是網(wǎng)絡(luò)中使用率較高的一種協(xié)議。

他的配置要求給每條靜態(tài)路由寫上注釋，以便辨別用途。

配置實(shí)例：

ip route 192.168.0.1 255.255.255.0 192.168.0.2 name To- LF-SPHY-JGD-R3660-S1/1

＼＼配置192.168.0.1的下一跳為192.168.0.2 ，到廊坊建國(guó)道視頻會(huì)議業(yè)務(wù)使用。

注意：在復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中，盡量避免使用靜態(tài)路由協(xié)議，很多故障發(fā)生就是配置錯(cuò)誤的靜態(tài)路由，或者失效的靜態(tài)路由造成路由故障。這種現(xiàn)象經(jīng)常發(fā)生。

4.2 OSPF協(xié)議配置驗(yàn)證 設(shè)備Loopback接口，要求設(shè)置為Passive模式禁止接受OSPF協(xié)議報(bào)文。

為了安全的原因，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能，只有經(jīng)過(guò)身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。

在默認(rèn)情況下OSPF不使用區(qū)域驗(yàn)證。通過(guò)兩種方法可啟用身份驗(yàn)證功能，純文本身份驗(yàn)證和消息摘要（md5）身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測(cè)器確定，所以不安全，不建議使用。而消息摘要（md5）身份驗(yàn)證在傳輸身份驗(yàn)證口令前，要對(duì)口令進(jìn)行加密，所以一般建議使用此種方法進(jìn)行身份驗(yàn)證。

使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。為起用身份驗(yàn)證，必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令。

指定區(qū)域身份驗(yàn)證 area area-id authentication[message-digest]

使用明文身份認(rèn)證 ip ospf authentication-key password

使用密文身份摘要（md5）身份認(rèn)證 ip ospf message-digest-key key-id md5key

5 設(shè)備其他配置規(guī)范

5.1 操作系統(tǒng)規(guī)范 為了便于維護(hù)和管理，我們建議將路由器的操作系統(tǒng)版本統(tǒng)一。路由器軟件版本的統(tǒng)一要根據(jù)硬件設(shè)備本身的限制進(jìn)行選擇；這些限制主要包括內(nèi)存、FLASH卡。

在進(jìn)行操作系統(tǒng)版本的選定時(shí)，應(yīng)該選擇具有企業(yè)版命令特征集的軟件即可。

5.2 配置SNMP工具 snmp全稱是“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議”，無(wú)論是大型網(wǎng)絡(luò)還是小型網(wǎng)絡(luò)，SNMP都是一個(gè)非常實(shí)用的工具。在小型網(wǎng)絡(luò)中，SNMP比較適合進(jìn)行網(wǎng)絡(luò)監(jiān)控；而在大型網(wǎng)絡(luò)中，SNMP也是一個(gè)有效的網(wǎng)絡(luò)配置工具。可以通過(guò)SNMP工具，進(jìn)行配置文件的管理與配置；可以利用SNMP協(xié)議進(jìn)行接口的統(tǒng)計(jì)和性能度量；可以對(duì)接口鏈路的狀態(tài)進(jìn)行追蹤等等。

6 結(jié)束語(yǔ)

其實(shí)網(wǎng)絡(luò)規(guī)范配置還有很多，筆者僅僅介紹一些最基礎(chǔ)和初學(xué)者需要注意的網(wǎng)絡(luò)配置規(guī)范方面的問(wèn)題，最終用意是盡量規(guī)避因?yàn)槿藶椴僮?，?dǎo)致網(wǎng)絡(luò)部署配置混亂，增加故障處理時(shí)間。

參考文獻(xiàn)：

[1]常景超.網(wǎng)絡(luò)設(shè)備配置策略技術(shù)研究[D].南華大學(xué)，2008.

[2]駱金維.計(jì)算機(jī)網(wǎng)絡(luò)組網(wǎng)形式與網(wǎng)絡(luò)設(shè)備配置技術(shù)[J].電腦開(kāi)發(fā)與應(yīng)用，2012（06）.

[3]李云春，尹殷，劉興昊.網(wǎng)絡(luò)設(shè)備配置管理軟件設(shè)計(jì)與實(shí)現(xiàn)[J]. 大連海事大學(xué)學(xué)報(bào)，2010（01）.