收藏
下载资源

03.锐捷网络工程实施软件调试质量规范

上传人:飞*** 文档编号:51672813 上传时间:2018-08-15 格式:PPT 页数:35 大小:1.24MB
返回 下载 相关 举报
03.锐捷网络工程实施软件调试质量规范_第1页
第1页 / 共35页
03.锐捷网络工程实施软件调试质量规范_第2页
第2页 / 共35页
03.锐捷网络工程实施软件调试质量规范_第3页
第3页 / 共35页
03.锐捷网络工程实施软件调试质量规范_第4页
第4页 / 共35页
03.锐捷网络工程实施软件调试质量规范_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《03.锐捷网络工程实施软件调试质量规范》由会员分享,可在线阅读,更多相关《03.锐捷网络工程实施软件调试质量规范(35页珍藏版)》请在金锄头文库上搜索。

1、锐捷网络工程实施-软件调试质量规范部门/作者工程管理部硬件安装质量规范目录第 2页 / 共 4页一、版本与设备基本配置1. 软件版本 实施设备的软件版本必须是锐捷网络公司发布的正式版本、维护版本或者已申请的受控版本; 版本实施前,需要查看软件版本的预警通告、releasenotes以及使用范围; 设备上面的启动软件版本命名统一为rgos.bin 。2. 关闭所有调试信息 ; 设备正常运行时,关闭所有debug调试开关。3. 设备系统命名; 客户有自己的命名规则,按照客户的规则设置主机名; 如果没有,按规范(设备位置_网络位置_设备型号_设备编号命名。如网络中心核心层第一台S8610,WLZX_

2、CORE_S8610_1,第二台 WLZX_CORE_S8610_1)全网统一部署。第 3页 / 共 4页一、版本与设备基本配置4. 系统时间配置 全网所有设备的系统时间要与当地时间一致。(相差不要超过5分钟) ;5. 保存配置文件 每次实施完成后,在设备上要保存配置文件 ;6. 操作记录与备份; 配置操作全过程log记录,配置文件有备份并在客户处有保存。第 4页 / 共 4页二、用户与系统安全1. 用户权限 不同的登录用户划分不同的用户级别,分配不同的权限与命令; 各种口令/密码安全客户要求进行设置,使用密文格式保存,禁止使用通用名称作为口令。如ruijie等; 要求telnet/ssh登录

3、口令与enable口令不一样。2. TELNET/SSHtelnet与ssh主要用于管理网络设备。telnet是明文的传输,ssh是密文的传输 必须在line vty 上设备ACL限制非法用户通过telnet/ssh管理网络设备 密码配置要求8位以上,大小写字母、数字组合。3. SNMPSNMP团体名称 SNMP协议的团体名称(Community)需要由数字和字母组成; 禁止使用public、private等常见的词。第 5页 / 共 4页二、用户与系统安全SNMP版本 SNMP的版本配置,SNMP版本分为SNMPv1、SNMPv2c、SNMPv3,需要在配置命令时明确配置使用哪个版本,与网管

4、软件保持一致;SNMPv3密码设置 SNMPv3版本下,需要设置视图、用户名、用户组、加密方式、加密密码。 视图名不能设置为view,根据网管需要设置大于6位的字符串。 其中用户名不能设置为user,根据网管需要设置大于6位的字符串。 用户组不能设置为group,根据网管需要设置大于6位的字符串。 密码设置要超过8位,建议使用字母加符号的方式提高安全性。 加密方式,使用认证加密方式,设置认证密码和加密密码。第 6页 / 共 4页二、用户与系统安全SNMP源限制 指定特定的用户能够通过SNMP网管软件访问设备,获取网管信息,通过配置标准ACL,ACL名称必须配置为1-99之间的数字应用于SNMP

5、,来限制特定的主机来访问设备设置SNMP Trap 开启SNMP Trap命令后,SNMP Trap的源地址必须要设置为loopback地址。4. Syslog 建议设置logging buffer到最大,建议设置syslog带有时间戳、带有主机名。(log默认为4K)。 Syslog的源地址要设置为loopback地址。 建议配置2台日志服务器,进行数据的备份,以防止重要信息的丢失。第 7页 / 共 4页三、交换机相关规范1. 交换机接口配置接口 互连的接口必须配置成相同的介质类型; 所有激活接口都使用description 命令进行了规范描述,建议按照客户规范进行描述;如果客户没有相应规范

6、,按照下列规则进行描述,接口描述规则: 本端设备名-本端端口号-对端设备名-端口号-/端口速率 例如:description S8610_A-G0/1-S8610_B-G2/1-/1000M; 所有不使用的端口必须shutdown; 建议把上联设备的端口尽量从后面的端口号开始,前面的端口号作为下联链路与终端互联;配置二层接口 必须配置正确的access,hybrid,trunk类型; 配置hybrid,trunk类型时,必须配置正确的native VLAN; 在trunk上修剪不必要的VLAN。第 8页 / 共 4页三、交换机相关规范1. 交换机接口配置三层接口 三层接口分为SVI接口和路由口

7、,按照网络环境选择三层接口类型。当路由口满足需求时,三层接口类型应该优先使用路由口;2. MAC地址表交换机的MAC地址表中所有的MAC地址都和VLAN相关联,不同的VLAN允许相同的MAC地址交换机的MAC地址表可以通过动态地址学习和手工配置进行更新和维护建议把上联设备的端口尽量从后面的端口号开始,前面的端口号作为下联链路与终端互联; 过滤地址对所有端口有效,静态地址对特定端口生效。配置过程应该注意,如果过滤地址与静态地址相同,会将该静态地址覆盖,同样的,静态地址会覆盖相同的过滤地址。(后配置的会覆盖先配置的) ; 对于机箱式交换机,尽量避免跨线卡的VLAN划分;第 9页 / 共 4页三、交

8、换机相关规范1. 交换机接口配置三层接口 三层接口分为SVI接口和路由口,按照网络环境选择三层接口类型。当路由口满足需求时,三层接口类型应该优先使用路由口;2. MAC地址表交换机的MAC地址表中所有的MAC地址都和VLAN相关联,不同的VLAN允许相同的MAC地址交换机的MAC地址表可以通过动态地址学习和手工配置进行更新和维护建议把上联设备的端口尽量从后面的端口号开始,前面的端口号作为下联链路与终端互联; 过滤地址对所有端口有效,静态地址对特定端口生效。配置过程应该注意,如果过滤地址与静态地址相同,会将该静态地址覆盖,同样的,静态地址会覆盖相同的过滤地址。(后配置的会覆盖先配置的) ; 对于

9、机箱式交换机,尽量避免跨线卡的VLAN划分;第 10页 / 共 4页三、交换机相关规范3. 交换机接口 成员端口的所有属性(如速率、接口类型等)必须一致; 当AP口配置成二层接口时,遵循二层接口配置规范; 当AP建立成功后,所有基于AP的操作必须在AP上进行配置,物理接口严禁进行配置操作4. 交换机端口镜像 本地镜像的目的端口的带宽大于或等于源端口带宽,以避免目的端口产生拥塞; 远程镜像使用的remote vlan不能承载数据流; 严禁将镜像的目的口接在交换网络中。5. VLAN 项目中所有可网管交换机上配置的VALN 必须用NAME 进行描述。VLAN name 的命名规则:可考虑该VLAN

10、的实际用途,比如用于OA的VLAN命名为OA-VLAN; 项目中所有可网管交换机上配置的trunk 必须对没有经过该trunk链路的VLAN进行裁剪 用户vlan禁止使用vlan1。第 11页 / 共 4页三、交换机相关规范6. ARP-CHECK 使用端口安全加ARP-CHECK的方式时,应该尽量采用IP+MAC绑定的方式进行ARP检测,单纯的检测IP或者MAC均有可能导致设备对部分特定的ARP攻击检测失效; 设备部署时ARP-CHECK模式应该由默认的自动模式修改为关闭模式; 部署ARP-CHECK时,宜先shutdown端口促使当前合法用户重新进行检测7. 生成树STP/RSTP 所有交

11、换机必须配置相同的生成树模式,必须同为STP,RSTP或者MSTP.,建议使用MSTP模式; 配置生成树时,建议按照设计的数据转发路径配置交换机的设备优先级,端口优先级,端口代价。第 12页 / 共 4页三、交换机相关规范MSTP在达到链路冗余备份后,在网络正常的情况下,只有一条链路是转发数据的,另外一条由于生成树协议作用的结果而处于完全的备份状态。如果想要同时利用两条上联链路进行转发数据,可采用MSTP 协议,使得每个VLAN可以有独立的转发路径 在配置MSTP之前,需要先配置VLAN ; 配置MSTP时,所有交换机MSTP的instance参数必须一致; 具有相同拓扑结构的VLAN应划分到

12、同一个instance; 配置MSTP时,应使各个instance的根桥分布在不同的设备上,以达到分流和冗余备份的目的;安全特性通过配置可选安全特性,可以有效防止网络中的恶意攻击和误操作引起的网络振荡 如果交换端口联接的是PC等不参与生成树计算的终端设备,必须在端口上启用portfast和bpduguard功能;第 13页 / 共 4页三、交换机相关规范 如果交换端口的上联交换机不参与生成树计算,必须在端口上启用portfast功能和bpdufilter ; 在对生成树安全性较高的情况下,可在端口上配置rootguard功能防止新接入的交换机对转发路径产生影响,或配置loopguard避免网络

13、中产生环路时阻塞端口进入转发状态; 网络环境中,配置为跟桥的设备,priority 应配置为0; STP域内设备必须开启TPP拓扑保护功能; TC-guard功能应在接入汇聚层部署。安全特性通过配置可选安全特性,可以有效防止网络中的恶意攻击和误操作引起的网络振荡 如果交换端口联接的是PC等不参与生成树计算的终端设备,必须在端口上启用portfast和bpduguard功能;第 14页 / 共 4页三、交换机相关规范8. 防ARP网关欺骗 不能将ARP网关欺骗命令配置在上连口(与上行网关设备相连的接口) ;9. SP/WRR交换机支持SP(Strict Priority)调度算法和WRR(Wei

14、ghed Round Robin)调度算法 当交换机端口拥塞时,SP/WRR才会生效,所以在配置SP/WRR时,一般在出接口的output方向配置端口限速rate-limit;10.RLDP 配置RLDP环路检测时,惩罚方式必须配置为shutdown-port; RLDP与STP一起启用时,RLDP惩罚方式为shutdown-port; 故障恢复时间建议配置成30秒; 两个端口通过HUB或透传设备相连时,建议配置单向/双向链路检测; 两个端口通过光纤相连时,建议配置单向/双向链路检测。第 15页 / 共 4页三、交换机相关规范11.防IP扫描 Scan检查阀值必须设置在100以上,否则设备容易

15、将产生误识别,导致正常主机被隔离的情况; 在设备开启Sys-guard的情况下,对于网管系统、安全服务产品鞥需要进行定期扫描保活的服务器必须将其IP地址配置为Ssy-guard特定例外地址; Sys-guard隔离时间宜设置为300s,避免过短的隔离时间导致设备频繁进行检测与操作12.安全通道 安全通道关联的ACL不能配置deny方式的ACE ; 在认证之前先配置安全通道,以避免系统资源耗尽引起已经认证过的用户由于中途配置了安全通道而不能上网;13.基于端口的流控制本节内容主要针对端口下的风暴抑制以及端口安全两部功能配置规范进行说明,重点是根据既往的经验对一些安全抑制功能的阀值和特殊应用情况下的配置进行规范性指导。第 16页 / 共 4页三、交换机相关规范端口风暴抑制 在网络中部署风暴抑制功能时应尽量在网络边缘接入设备上进行,如在核心及汇聚设备上进行部署必须根据实际环境进行阀值设定; 风暴抑制的阀值宜通过PPS进行设

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号