李華

摘要：現(xiàn)在的網(wǎng)絡(luò)設(shè)備比如交換機、路由器、防火墻，很多工程師配置設(shè)備沒有按照一定的規(guī)范，僅僅配置完所需連接數(shù)據(jù)后就投入使用。隨著網(wǎng)絡(luò)設(shè)備的增加。我們真正可能面對的情況是，不按照統(tǒng)一的配置規(guī)范的網(wǎng)絡(luò)設(shè)備，其后續(xù)的排障與維護(hù)將變成一場災(zāi)難。筆者長期從事網(wǎng)絡(luò)設(shè)備調(diào)測工作，根據(jù)筆者的經(jīng)驗，以思科設(shè)備命令為例，總結(jié)了網(wǎng)絡(luò)設(shè)備配置規(guī)范，供大家參考。

關(guān)鍵詞：配置 規(guī)范

1 IP地址分配規(guī)范

IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。

在地址分配中需要的從地址的應(yīng)用類型上給出以下規(guī)則： 路由器 loopback地址，每臺路由器需要一個 32位掩碼的IP地址。點到點的設(shè)備連接，可使需要30位最小的子網(wǎng)。服務(wù)提供地址按照接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間。每一個分配層占用的IP地址應(yīng)盡量整齊，便于作地址匯總。

2 設(shè)備描述規(guī)范

2.1 設(shè)備命名標(biāo)識 為了能很快區(qū)分網(wǎng)絡(luò)設(shè)備，最好能夠為網(wǎng)絡(luò)設(shè)備配置一個有意義的系統(tǒng)名字這是最基本、最重要的。如果不進(jìn)行配置，當(dāng)使用telnet或者ssh協(xié)議登陸到設(shè)備進(jìn)行會話的時候，CLI界面所顯示的是網(wǎng)絡(luò)設(shè)備的默認(rèn)名稱。這個默認(rèn)名稱不便于進(jìn)行區(qū)分。特別是在比較復(fù)雜的企業(yè)網(wǎng)絡(luò)中，為各臺網(wǎng)絡(luò)設(shè)備配置有意義的并且是唯一的系統(tǒng)名字是一項非常有用的工作。

規(guī)則：City-System-Location-DeviceName

筆者經(jīng)常使用漢語拼音頭字母作為區(qū)分，大家可按照自己的習(xí)慣進(jìn)行標(biāo)識。

City：表示該臺設(shè)備所處的城市，例如： BJ表示該設(shè)備部署在北京；SH表示設(shè)備部署在上海；SJZ表示設(shè)備部署在石家莊。

System：表示該設(shè)備屬于哪個系統(tǒng)或業(yè)務(wù)使用，例如：SPHY代表了視頻會議系統(tǒng)；BG代表了辦公系統(tǒng)。

Location：表示該臺設(shè)備所處的位置，例如： ZSL表示該設(shè)備部署在中山路，YYT表示該設(shè)備部署在營業(yè)廳；這個字段也可根據(jù)需求擴展越精確位置越好。

DeviceName：表示該臺設(shè)備的型號，例如：R75075表示該設(shè)備為CISCO7507路由器。

舉例說明：LF-SPHY-JGD-R3660

表示是廊坊市的建國道的視頻會議系統(tǒng)路由設(shè)備，設(shè)備型號為3660路由器。

2.2 接口描述 數(shù)據(jù)接口主要通過各種線卡或者模塊整合在路由設(shè)備上面，由于各種線卡和模塊的種類繁多，接口的形式也各不相同，所以，我們制定了關(guān)于數(shù)據(jù)接口的配置規(guī)范，便于得到統(tǒng)一的配置。

接口描述格式：to-遠(yuǎn)端設(shè)備名-遠(yuǎn)端設(shè)備接口-鏈路帶寬

to：固定字符串；遠(yuǎn)端設(shè)備名：本接口連接到遠(yuǎn)端那個設(shè)備。鏈路帶寬：這條鏈路的實際帶寬是多少。

舉例說明：To- LF-SPHY-JGD-R3660-S1/1-2M

廊坊-視頻會議-建國道-R3660-S1/1接口-2M帶寬

3 基本安全配置規(guī)范

3.1 Console接口配置規(guī)范 Console的安全性配置是很重要的，通過Console口，可以在本地進(jìn)行直接配置。所以要對Console口的配置作嚴(yán)格的規(guī)范，以保證它的安全性。

3.2 登錄時間 要限制通過console登錄的用戶的登錄時間。制定的規(guī)范是，如果用戶30秒內(nèi)沒有任何操作，我們就認(rèn)為該用戶已經(jīng)離開控制臺，就應(yīng)該自動注銷該用戶。

配置規(guī)范：（設(shè)定30秒沒有操作自動注銷）

line console 0

exec timeout 0 30

3.3 Banner的設(shè)定 處于安全的考慮，我們有必要對嘗試登陸設(shè)備的用戶出示Banner提示。告知其惡意嘗試破解密碼是要負(fù)法律責(zé)任的，并且，他的所作所為以及他的IP信息都在日志中有記錄。

配置規(guī)范：

banner login ^C

*****************************************

UNAUTHORIZED ACCESS PROHIBITED！

Do not attempt to log on unless

you are an authorized user

*****************************************

^C

3.4 登錄用戶范圍 要對登錄的用戶范圍走限制，這個限制和登錄的認(rèn)證是不同的。范圍限制是指那些網(wǎng)端的用戶可以登錄。登錄認(rèn)證則是，要有正確的用戶名和密碼才能登陸設(shè)備。

配置規(guī)范：

access-list 10 permit x.x.x.x （運行x.x.x.x（例：192.1.1.0）這個網(wǎng)段的用戶可以登陸） ＼＼調(diào)用已建立的訪問控制例表

line vty 0 4

access-class 10 in ＼＼調(diào)用已建立的訪問控制例表

3.5 用戶登錄的數(shù)量 用戶登錄的數(shù)量雖然不會對設(shè)備的性能產(chǎn)生很大的影響，但是數(shù)量過多的登錄配置，容易受到攻擊和入侵，所以我們建議同時登錄的用戶數(shù)量不要超過5個。

配置規(guī)范：

line vty 0 4 ＼＼設(shè)備用戶不超過 5個（0-4）

4 路由協(xié)議配置規(guī)范

路由協(xié)議是整個網(wǎng)絡(luò)的核心部分，它產(chǎn)生路由表以及轉(zhuǎn)發(fā)表，保證了數(shù)據(jù)的發(fā)送。規(guī)范的配置路由協(xié)議會使得整個網(wǎng)絡(luò)更加便于管理和維護(hù)。

4.1 靜態(tài)協(xié)議配置規(guī)范 靜態(tài)路由協(xié)議是網(wǎng)絡(luò)中使用率較高的一種協(xié)議。

他的配置要求給每條靜態(tài)路由寫上注釋，以便辨別用途。

配置實例：

ip route 192.168.0.1 255.255.255.0 192.168.0.2 name To- LF-SPHY-JGD-R3660-S1/1

＼＼配置192.168.0.1的下一跳為192.168.0.2 ，到廊坊建國道視頻會議業(yè)務(wù)使用。

注意：在復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中，盡量避免使用靜態(tài)路由協(xié)議，很多故障發(fā)生就是配置錯誤的靜態(tài)路由，或者失效的靜態(tài)路由造成路由故障。這種現(xiàn)象經(jīng)常發(fā)生。

4.2 OSPF協(xié)議配置驗證 設(shè)備Loopback接口，要求設(shè)置為Passive模式禁止接受OSPF協(xié)議報文。

為了安全的原因，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗證的功能，只有經(jīng)過身份驗證的同一區(qū)域的路由器才能互相通告路由信息。

在默認(rèn)情況下OSPF不使用區(qū)域驗證。通過兩種方法可啟用身份驗證功能，純文本身份驗證和消息摘要（md5）身份驗證。純文本身份驗證傳送的身份驗證口令為純文本，它會被網(wǎng)絡(luò)探測器確定，所以不安全，不建議使用。而消息摘要（md5）身份驗證在傳輸身份驗證口令前，要對口令進(jìn)行加密，所以一般建議使用此種方法進(jìn)行身份驗證。

使用身份驗證時，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗證方法。為起用身份驗證，必須在路由器接口配置模式下，為區(qū)域的每個路由器接口配置口令。

指定區(qū)域身份驗證 area area-id authentication[message-digest]

使用明文身份認(rèn)證 ip ospf authentication-key password

使用密文身份摘要（md5）身份認(rèn)證 ip ospf message-digest-key key-id md5key

5 設(shè)備其他配置規(guī)范

5.1 操作系統(tǒng)規(guī)范 為了便于維護(hù)和管理，我們建議將路由器的操作系統(tǒng)版本統(tǒng)一。路由器軟件版本的統(tǒng)一要根據(jù)硬件設(shè)備本身的限制進(jìn)行選擇；這些限制主要包括內(nèi)存、FLASH卡。

在進(jìn)行操作系統(tǒng)版本的選定時，應(yīng)該選擇具有企業(yè)版命令特征集的軟件即可。

5.2 配置SNMP工具 snmp全稱是“簡單網(wǎng)絡(luò)管理協(xié)議”，無論是大型網(wǎng)絡(luò)還是小型網(wǎng)絡(luò)，SNMP都是一個非常實用的工具。在小型網(wǎng)絡(luò)中，SNMP比較適合進(jìn)行網(wǎng)絡(luò)監(jiān)控；而在大型網(wǎng)絡(luò)中，SNMP也是一個有效的網(wǎng)絡(luò)配置工具。可以通過SNMP工具，進(jìn)行配置文件的管理與配置；可以利用SNMP協(xié)議進(jìn)行接口的統(tǒng)計和性能度量；可以對接口鏈路的狀態(tài)進(jìn)行追蹤等等。

6 結(jié)束語

其實網(wǎng)絡(luò)規(guī)范配置還有很多，筆者僅僅介紹一些最基礎(chǔ)和初學(xué)者需要注意的網(wǎng)絡(luò)配置規(guī)范方面的問題，最終用意是盡量規(guī)避因為人為操作，導(dǎo)致網(wǎng)絡(luò)部署配置混亂，增加故障處理時間。

參考文獻(xiàn)：

[1]常景超.網(wǎng)絡(luò)設(shè)備配置策略技術(shù)研究[D].南華大學(xué)，2008.

[2]駱金維.計算機網(wǎng)絡(luò)組網(wǎng)形式與網(wǎng)絡(luò)設(shè)備配置技術(shù)[J].電腦開發(fā)與應(yīng)用，2012（06）.

[3]李云春，尹殷，劉興昊.網(wǎng)絡(luò)設(shè)備配置管理軟件設(shè)計與實現(xiàn)[J]. 大連海事大學(xué)學(xué)報，2010（01）.