配置规范

IDC数据配置规范
为了规范IDC机房数据配置，减少人为工作失误所造成设备、业务影响，依据《中国电信集团河北分公司宽带业务设备管理规范》、IDC数据设备操作注意事项和IDC机房实际情况，特制定本设备配置及命名管理规范。

一、数据配置基本要求：
1、涉及核心设备操作时，值班人员两人同时在场，一人操作，一人监护，在涉
及到汇聚层以上（包括汇聚层）设置时，必须报数据主管，同时口头报告实施方案。

2、在制作数据前要对现有的配置进行备份，做好回退准备，对临时性的操作不
做保存处理。

3、每次数据配置完成后观察至少5分钟，同时对所作的数据进行审核，确认没
有问题方可离开设备现场。

4、IDC日常业务开放（包括带宽变更、IP地址的划分）由专人负责，每周向公
司汇报变更情况，每月月报中汇报端口开放等详细情况。

5、原则上将IDC数据设备划分为核心层和汇聚层，核心层包括NE80E，汇聚层
包括除NE80E以外的其他三层设备（S9312、S8512等）。

华为NE80E的管理一级密码（可以查看状态）向省公司申请，授权IDC值班人员在紧急情况下进行远端查看。

S8500的远程管理二级密码（可以查看和配置），紧急情况下可以远端登陆便于查看，所有密码按照维护规程每月修改一次。

6、所有涉及业务的调整（包括带宽的变更、端口的开放、IP的分配、机柜的变
更）必须有政企客户部的工单，个别业务需有政企客户部主任或是主管老总的签字。

7、因业务调整涉及到的数据配置由专人负责，特殊情况可授权值班人员进行操
作。

8、IDC在接到工单后在2个工作日内完成对业务的调整。

9、对所有IDC业务的调整必须在正常工作日内进行操作，割接除外。

10、每周核对交换机的配置、端口使用情况、带宽分配情况及机柜使用情况，如
可能影响到业务的运行，必须在工作日内进行，同时上报维护中心主任。

11、如需远端登录IDC设备必须有维护中心主任的授权，同时说明需进行的相关
操作，操作完成后通知值班人员，由值班人员核查业务运行情况。

12、维护人员需定时巡查监控系统，发现用户业务异常的应及时进行上报，并通
知用户。

二、常用配置命令格式：
1、查封IP(以219.232.228.43为例)
ip route-static 219.232.228.43 255.255.255.255 NULL 0 blackhole 解封IP(以219.232.228.43为例)
Undo ip route-static 219.232.228.43 255.255.255.0 null 0
2、将流量引入防火墙的配置流程（需同时在NE80-1和NE80-2制作）
NE80-1:
Acl 3001
Rule 45 permit ip destination 被攻击IP 反掩码
如将去219.232.228.43IN方向的流量引入防火墙：
Acl 3001
Rule 45 permit ip destination 219.232.228.43 0.0.0.15
如需删除上面的操作:
Acl 3001
Undo rule 0
NE80-2:
Acl 3003
Rule 45 permit ip destination 被攻击IP 反掩码
如将去219.232.228.43IN方向的流量引入防火墙：
Acl 3003
Rule 45 permit ip destination 219.232.228.43 0.0.0.0
如需删除上面的操作:
Acl 3003
Undo Rule 45
3、远程管理配置（以华为S2000为例）
system-view // 进入系统视图
sysname IDC_S2016_M-4 // 配置主机名
local-user huawei // 配置 telnet 用户名
service-type telnet level 0 // 服务类型为 telnet ，等级为 0
password cipher huawei // 密码密文
user-interface vty 0 4 // 终端用户登录的数目
authentication-mode scheme // 认证方案
Quit
super password level 3 cipher huawei // 超级用户密码
vlan 500 // 建立 vlan
interface vlan 500 // 配置管理 vlan 接口
description Manager //描述vlan500为manager（别名）ip address 10.0.10.35 255.255.255.0 //配置vlan接口得IP地址
nterface Ethernet 0/1 // 进入端口视图
description To_S8512 //端口描述为 To_S8512
Port link-type trunk //配置端口连接模式为trunk
Port trunk per vlan 500 601 //将端口加入到vlan500 601 Undo port trunk permit vlan 1 //删除端口到默认vlan 1
Quit //退出端口视图
ip route-static 0.0.0.0 0.0.0.0 10.0.10.1 // 配置默认路由指向网关
Quit //退出系统视图
Save // 保存
4、三层设备下挂二层设备配置流程（S8512和S2016）如下：
例如分配 ip 地址段 219.232.224.1/25,vlan 为 210 ,S2016交换机为P-1机柜
S8512 配置
System-view
Vlan 210
Interface Vlan-interface210
Ip address 219.232.224.1 255.255.255.128
例如交换机为 P-1, 在 S8512 上端口为 ethernet1/0/1
Interface Ethernet1/0/1
Description To_P_1 //端口描述
Port link-type trunk
Undo port trunk permit vlan 1
Port trunk permit vlan 210
S2016 配置
System
Sysname IDC_S2016_P-1
Local-user huawei
Service-type telnet level 0
Password cipher huawei
User-interface vty 0 4
Authentication scheme
Quit
Super password level 3 cipher huawei
Vlan 210
Port Ethernet 0/2 to eth 0/24
Inter vlan 210
Description p-1
Ip address 219.232.224.2 255.255.255.128
Interface Ethernet 0/1
Description To_S8512_1/0/1 //端口描述
Port link-type trunk
Port trunk permit vlan 210
Undo port trunk permit vlan 1
Quit
Ip route-static 0.0.0.0 0.0.0.0 219.232.224.1
Quit
Save
Yes
5、端口限速
华为S2016 ：
System-view //进入系统视图
Interface Ethernet 0/2 //进入端口视图
Line-rate inbound 28 //设置端口IN方向流量为1Mbps
Line-rate outbound 28 //设置端口OUT方向流量为 1Mbps
说明：报文速率限制级别取值范围为1~127。

如果速率限制级别取值在1~28范围内，则速率限制得粒度为64Kbps，这种情况下，当设置得级别为N，则端口上限制的速率大小为N×64Kpbs，如果速率限制级别取值在29～127得范围内，则速率限制的粒度为1Mbps，当设置的级别为N，则端口上的限制得速率为（N-27）×1Mbps。

华为S3528：
System-view //进入系统视图
Interface Ethernet 0/1 //进入端口视图
traffic-limit in ip-group 3001 1024 exceed drop //设置端口IN方向流量为1024K
Traffic-shape 1024 4 //设置端口OUT方向流量为1024K
注意：3001为acl,如需要限速10M或100M，请直接使用“speed 10”或“speed 100”。

华为：S8505
System-view
interface GigabitEthernet 3/1/4
traffic-limit in link-group 4000 1024 102400 102400 exceed drop //设置端口IN方向流量为1024K
traffic-shape 1024 1024 //设置端口OUT方向流量为1024K
注意：4000为acl,上面的限速为1024k,承诺突发尺寸和最大突发尺寸应为承诺平均速率的100倍；如需要限速10M或100M，请直接使用“speed 10”
或“speed 100”
6、端口镜像配置
华为S2000 ：
System-view
Monitor-port Ethernet 0/2 no-filt //设置监控端口 (可选参数filt-da_监控指定目的mac地址的报文 ,filt-sa_监控指定源mac地址的报文 , no-filt_监控所有报文。

)
Mirroring-port Ethernet 0/4 both //设置被监控端口(可选参数inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。

)
注意：只可以1口至8口（或9口至16口）之间进行镜像。

华为S3528：
System-view
Monitor-port Ethernet 0/2 both
//设置监控端口(可选参数 inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。

)
Mirroring-port Ethernet 0/4 both
//设置被监控端口(可选参数 inbound_只监控端口接收的报文,outbound_只监控端口发送的报文,both_监控发送和接收的报文。

)
华为 S8505：
system-view
mirroring-group 1 inbound gi 1/1/1 mirrored-to gi 1/1/2 //建立镜像组1，把端口1/1/1in方向的流量复制到端口1/1/2
mirroring-group 1 outbound gi 1/1/1 mirrored-to gi 1/1/2 //建立镜像组1，把端口1/1/1out方向的流量复制到端口1/1/2
7、网通方向中断后，将流量导至电信方向的配置
NE80-1上数据更改：
traffic behavior BJKuanJie
undo redirect // 将双线地址下一跳172.16.16.1删掉
redirect ip-nexthop 219.148.19.21
// 将双线地址下一跳改为219.148.19.21
bgp 65356 //保证双线IP使用正常进行分拆
ipv4-family unicast
network 219.232.224.0 255.255.248.0
network 219.232.232.0 255.255.248.0
network 219.232.240.0 255.255.248.0
network 219.232.248.0 255.255.248.0
network 124.248.32.0 255.255.248.0
network 124.248.40.0 255.255.248.0
q
ip route-static 219.232.224.0 255.255.248.0 null 0
ip route-static 219.232.232.0 255.255.248.0 null 0
ip route-static 219.232.240.0 255.255.248.0 null 0
ip route-static 219.232.248.0 255.255.248.0 null 0
ip route-static 124.248.32.0 255.255.248.0 null 0
ip route-static 124.248.40.0 255.255.248.0 null 0
NE80-2上数据更改：
traffic behavior BJKuanJie
undo redirect // 将双线地址下一跳172.16.16.129删掉 redirect ip-nexthop 219.148.19.57
8、将网通方向流量由电信方向切回：
NE80-1上数据更改：
traffic behavior BJKuanJie
undo redirect // 将双线地址下一跳 219.148.19.21 删掉 redirect ip-nexthop 172.16.16.1// 将双线地址下一跳改为172.16.16.1 bgp 65356
ipv4-family unicast
undo network 219.232.224.0 255.255.248.0
undo network 219.232.232.0 255.255.248.0
undo network 219.232.240.0 255.255.248.0
undo network 219.232.248.0 255.255.248.0
undo network 124.248.32.0 255.255.248.0
undo network 124.248.40.0 255.255.248.0
q
undo ip route-static 219.232.224.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.232.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.240.0 255.255.248.0 null 0 pre 200 undo ip route-static 219.232.248.0 255.255.248.0 null 0 pre 200 undo ip route-static 124.248.32.0 255.255.248.0 null 0 pre 200 undo ip route-static 124.248.40.0 255.255.248.0 null 0 pre 200
NE80-2上数据更改：
traffic behavior BJKuanJie
undo redirect // 将双线地址下一跳删掉
redirect ip-nexthop 172.16.16.129
运行维护部IDC维护中心
二零一三年四月。