H3C售后人员指导手册(政府行业最佳实践)解读课件

,45,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,杭州华三通信技术有限公司,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,政府行业最佳实践,ISSUE 1.0,日期：,2012.12,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,面对日益繁复的,IT,环境，以及不断累加完工的项目建设，网络架构及技术应用越来越复杂。设备硬件、软件版本、设备配置缺乏统一的管理，海量的运维和变更使运维遭遇重重困难,“政府行业最佳实践”旨在加强政府行业网络设备的统一管理，从设备硬件规划、软件版本评估、设备配置上进行统一规范，从而保障设备稳定运行，降低运维成本，提供运维效率，提高客户服满意度,关于政府行业最佳实践,第一章 设备软件推荐,第二章 公共资源规范最佳实践,第三章 接入,/,汇聚设备配置最佳实践,第,四,章,核心设备配置最佳实践,第五章 设备对接最佳实践,第六章 基本维护,目录,关于,H3C,软件版本评估服务,在政府行业的运维中，客户普遍关注,同一类型设备是否统一使用相同的软件版本,现网版本的已知缺陷是否在可见可控的范围内,针对版本升级需求如何确定稳定的目标版本,定期软件版本评估分析：对重大缺陷或潜在风险提出软件维护升级建议，对于新发现的软件缺陷，会即时启动相关版本预警机制,浙江省公安厅当前推荐版本,浙江省公安厅接入和汇聚设备推荐使用软件版本,（截止到,2012.11,）,设备型号,当前版本,推荐版本,S5120EI,CMW5.20-R2202P06,CMW520-R2215,S5800,CMW5.20-R1211P02,CMW520-R1211P08,S7500E,CMW5.20-R6626,CMW520-R6635,S12500,CMW5.20-R1626,CMW520-R1729,第一章 设备软件推荐,第二章 公共资源规范最佳实践,第三章 常规配置最佳实践,第四章 接入,/,汇聚设备配置最佳实践,第,五,章,核心设备配置最佳实践,第六章 设备对接最佳实践,第七章 基本维护,目录,设备命名规范,-,单个区域,设备命名规范,核心设备命名规则为：字段,1_,字段,2_,字段,3_,字段,4nn,字段,1,：用于标识单位类型，例如：,ZJGA,、,ZJDS,、,ZJGOV,。,字段,2,：用于标识设备功能应用区域,例如：,LAN,、,WAN,、,DC,字段,3,：用于标识设备功能应用位置，例如,CORE,（,HeXin,）。,字段,4,：用于标识设备型号，例如：,S12508,、,S5820X,。,nn,：长度,2,字符。相同功能的设备按序号排列，,00-99,例如：,ZJGOV_DC_CORE_S12508_00,汇聚设备命名规则为：字段,1_,字段,2_,字段,3_nn,字段,1,：用于标识大楼，例如：,1#,、,2#,。,字段,2,：用于标识设备功能应用位置，例如：,CONVERGE(HuiJu),字段,3,：用于标识设备型号，例如：,S5500-28P,、,S5500-24F,。,nn,：长度,2,字符。相同功能的设备按序号排列，,00-99,例如：,1#_CONVERGE_S5500-48P_00,接入设备命名规则：字段,1_,字段,2_,字段,3_nn,字段,1,：用于标识楼层位置，例如：,1#2F,字段,2,：用于标识设备功能应用位置，例如：,ACCESS(JieRu),字段,3,：用于标识设备型号，例如：,S5100-49P,nn,：长度,2,字符。相同功能的设备按序号排列，,00-99,例如：,1#2F_ACCESSE_S5100-48P_00,设备命名规范,-,多个区域,设备命名规范,设备命名原则,_,省核心：,AA_XX-NN,例：,ZJDS_SR8808_00,设备命名原则,_,市汇聚：,AA_BB _XX-NN,例：,ZJDS_HZ_SR6608_00,设备命名原则,_,县接入：,AA_BB _CC_XX-NN,例：,ZJDS_HZ_YH_SR6602-00,各字段具体含义如下所示：,AA,：标识行政单位，例如：,ZJDS,、,ZJGS,、,ZJGOV,。,BB,：标识地市。地市取汉字拼音的第一个字母的组合缩写，最少为,2,位。若不同地市组合缩写出现雷同，则为其中一个添加,1,位字母以做区分，该字母小写。,CC,：标识区县。县取汉字拼音的第一个字母的组合缩写，最少为,2,位。若不同县的组合缩写出现雷同，则为其中一个添加,1,位字母以做区分，该字母小写。,XX,：表示该设备的设备类型，例如,SR8808,、,S9508E,等。,N,：节点编号，范围从,00,开始递增，表示该城市中同一类网络节点的序列号。,举例：,HZ(,杭州,),、,HuZ,（湖州）,接口描述命名规范,接口描述规范：,网络设备接口描述编码方式为：,Link-To,对方网络设备名称,-PPPPPxx/yy/zz,各字段具体含义如下所示：,对方网络设备名称：见上两章节对网络设备名称的详细说明。,PPPPP,：端口类型,xx/yy/zz,：对端设备的插槽号,为详细说明网络设备命名规则，特举例如下：,例,1,：,description Link-To ZJDS_HZ_S9508E-00-G1/0/1,表示：该端口对端设备为,H3C,的,S9508E,交换机，连接的端口类型为千兆以太网，对端的端口位于第,1,插槽的,0,模块的第,1,个端口。,数据标签描述命名规范,标签描述规范：,描述方式为：,From,本地设备名称,-,PPPPP-xx/yy/zz,To,对方设备名称,-PPPPP-xx/yy/zz,各字段具体含义如下所示：,对方,（本地）,网络设备名称：见上,两章,节对网络设备名称的详细说明。,PPPPP,：端口类型,xx/yy/zz,：对端设备的插槽号,例,1,：,From ZJDS_SR8808-00-G1/0/2 To ZJDS_HZ_S9508E-00-G1/0/1,表示：该端口对端设备为,H3C,的,S9508E,交换机，连接的端口类型为千兆以太网，对端的端口位于第,1,插槽的,0,模块的第,1,个端口。,设备标签描述命名规范,标签描述规范：,设备名称,：,设备名称,设备管理,IP,地址及掩码：,设备用途：,机架位置：,各字段具体含义如下所示：,本地,网络设备名称：见,前面章,节对网络设备名称的详细说明。,例,1,：,ZJDS_HZ_S9508E-00,表示：该设备为,ZJDS_HZ_S9508E-00,电源标签描述命名规范,标签描述规范：,描述方式为：,To,本地,设备名称,各字段具体含义如下所示：,对方,（本地）,网络设备名称：见上,两章,节对网络设备名称的详细说明。,例,1,：,To ZJDS_HZ_S9508E-00,表示：该电源线缆连接设备为,ZJDS_HZ_S9508E-00,第一章 设备软件推荐,第二章 公共资源规范最佳实践,第三章 接入,/,汇聚设备配置最佳实践,第,四,章,核心设备配置最佳实践,第五章 设备对接最佳实践,第六章 基本维护,目录,常规配置最佳实践,配置,loopback,地址,#,interface LoopBack0,ip address x.x.x.x 255.255.255.255,#,配置设备可被,tracert,(,否则,tracert,时显示*,),#,ip ttl-expires enable /,开启设备的,ICMP,超时报文的发送功能,ip unreachables enable /,开启设备的,ICMP,目的不可达报文的发送功能,#,SNMP,配置,#,snmp-agent,snmp-agent local-engineid 800063A203C4CAD92E524B,snmp-agent community read XXX acl 2000,/,建议使用,acl,控制,snmp-agent sys-info version v2c v3,/,不要使用,all,snmp-agent trap source LoopBack0,/,使用,LoopBack0,发送,trap,#,设备管理配置最佳实践,设备描述的配置,Vlan,配置描述,vlan 11,description,信息中心,Interface vlan,配置描述,interface Vlan-interface11,description,信息中心,ip address x.x.x.x 255.255.255.192,物理端口配置描述,interface GigabitEthernet1/2/0/21,port link-mode bridge,description to S3026-7 e1/0/24,Acl,配置描述,acl number 2000 name snmp_permit,静态路由 配置描述,ip route-static 1.1.1.0 24 1.1.1.1 description,To,公安部,设备管理安全最佳实践,(,访问安全,),用户登录配置规范：缺省登陆均使用较低级别登陆,通过,super,切换级别,设置,console,登录密码,user-interface aux 1/0,authentication-mode password,user privilege level 1 /,设置,console,登录级别为,1,，需要通过输入,super,密码切换到最高级别,set authentication password cipher +54GGOA7OHSQ=QMAF41!,设置,telnet,登录密码,#,telnet server enable,#,user-interface vty 0 4,set authentication password cipher +54GGOA7OHSQ=QMAF41!,/,缺省,telnet,登录级别为,0,，输入密码登陆，需要通过输入,super,密码切换到最高级别,#,user-interface vty 0 4,authentication-mode scheme /,使用用户名,+,密码方式登陆，通过创建,local-users,或,radius,服务器来获取用户名与密码,#,acl 2000 inbound /,配置,ACL,，限制,telnet,的网段,设置,super,密码,#,super password level 3 cipher +54GGOA7OHSQ=QMAF4=3,#,典型组网图（二）,Master,Master,OSPF,OSPF,Sever,Carrer,network,WAN,IRF,IRF,IRF,最佳实践,IRF,端口配置规范,irf-port 1/1,port group interface Ten-GigabitEthernet1/8/0/1 mode normal,port group interface Ten-GigabitEthernet1/8/0/2 mode normal,irf-port 2/2,port group interface Ten-GigabitEthernet2/8/0/1 mode normal,port group interface Ten-GigabitEthernet2/8/0/2 mode normal,/,建议一个,irf-port,绑定两个物理端口，且物理口分布于同机框的不同的槽位,irf mac-address persistent always,/,配置,IRF,的桥,MAC,地址永久保留,irf auto-update enable,undo irf link-delay,说明：,IRF,可以通过,IRF,的“聚合”或者环形堆叠来增强,IRF,链路的冗余稳定性,BFD MAD,检测配置,BFD MAD,配置规范（用于检测,IRF,堆叠成员体分裂）,#,interface Vlan-interface4000,description MAD,mad bfd enable,mad ip address 192.168.1.1 255.255.255.252 member 1,mad ip address 192.168.1.2 255.255.255.252 member 2,#,在互联接口下,undo stp enable,interface GigabitEthernet1/2/0/1,.,undo port trunk permit vlan 1,port trunk permit vlan 2 to 3999 4001 to 4094,/,其它端口需要禁止,MAD,检测的,vlan,通过，一般建议直接,permit,特定的业务,vlan,，不要,permit vlan all,BFD,全称：,Bidirectional Forwarding Detection,，双向转发,检测,MAD,全称：,Multi-Active Detection,，多,Active,检测,说明：正常情况下通过,display bfd session,查看,BFD,的会话是,down,的，只有在检测到分裂时端口会瞬间,up,LACD MAD,检测配置,LACD MAD,配置规范（用于检测,IRF,堆叠成员体分裂）,#,SWA-Bridge-Aggregation1 link-aggregation mode dynamic,SWA-Bridge-Aggregation1,mad enable,SWA-Gigabitethernet*/4/0/1 undo stp enable,#,缺省情况下，,LACP MAD,检测未使能。,由于,LACP MAD,检测依赖于,LACP,协议，因此需要配置聚合组工作在动态聚合模式下。,LACP,对端设备必须能够识别、处理携带了,ActiveID,值的,LACP PDU,协议报文。,SWB,SWA,XG1/3/0/1,IRF-port1/2,XG2/3/0/1,IRF-port2/1,G1/4/0/1,G2/4/0/1,DHCP SNOOPING,Legal DHCP server,DHCP Client,Illegal DHCP server,Legal DHCP INFO,Illegal DHCP INFO,Legal DHCP INFO,注意：设备只有位于,DHCP,客户端与,DHCP,服务器之间，或,DHCP,客户端与,DHCP,中继之间时，,DHCP Snooping,功能配置后才能正常工作；设备位于,DHCP,服务器与,DHCP,中继之间时，,DHCP Snooping,功能配置后不能正常工作。,DHCP SNOOPING,#,启用,DHCP Snooping,功能。, system-view,SwitchB dhcp snooping enable,#,设置,Ten-GigabitEthernet1/0/1,端口为信任端口。,SwitchB interface Ten-GigabitEthernet 1/0/1,SwitchB-Ten-GigabitEthernet1/0/1 dhcp snooping trust,SwitchB-Ten-GigabitEthernet1/0/1 quit,#,在,Ten-GigabitEthernet1/0/2,上启用安全表项功能。,SwitchB interface Ten-GigabitEthernet 1/0/2,SwitchB-Ten-GigabitEthernet1/0/2 dhcp snooping binding record,SwitchB-Ten-GigabitEthernet1/0/2 quit,为了节省系统资源，不需要每台,DHCP Snooping,设备都记录所有,DHCP,客户端的,IP,地址和,MAC,地址的绑定信息，只需在与客户端直接相连不信任端口上记录绑定信息。间接与,DHCP,客户端相连的不信任端口不需要记录,IP,地址和,MAC,地址绑定信息。,OSPF,最佳实践配置,手工配置,OSPF,进程的,Router-ID,：,建议配置带宽参考值为,OSPF,网络中最大物理接口带宽的,10,倍；,如网络中最大物理接口带宽为,10G,，则配置带宽参考值为,100000,：,手工配置,VLAN,接口开销,(cost),VLAN,接口开销,=,带宽参考值（,bandwidth-reference,）,/VLAN,内物理接口带宽和,配置,ospf MD5,验证,在,OSPF,区域视图下配置,md5,的区域验证模式：,SWA-ospf-1-area-0.0.0.0authentication-mode,md5,在,OSPF,接口视图下配置接口验证模式以及验证口令；,SWA-ospf-1bandwidth-reference,100000,单位为,Mbps,SWAospf 10 router-id 1.1.1.1,SWA-Vlan-interface113ospf authentication-mode md5 1 cipher ,OSPF,最佳实践配置（续一）,在指定网段的接口上使能,OSPF,SWA-ospf-1-area-0.0.0.0network 10.1.1.1 0.0.0.0,配置只有一个邻居的接口,OSPF,网络类型改成,P2P,类型；,SWA-Vlan-interface113ospf network-type p2p,配置禁止接口收发,OSPF,报文,SWA-ospf-1silent-interface Vlan-interface 113,在,ABR,上配置路由聚合,手工配置聚合路由开销,SWA-ospf-1-area-0.0.0.0abr-summary 10.1.0.0 255.255.0.0 cost 100,OSPF,最佳实践配置（续二）,在,ASBR,配置路由聚合,且配置聚合路由开销,SWA-ospf-1asbr-summary 10.1.0.0 255.255.0.0 cost 1000,ASBR,上,import,外部路由时，根据需要配置路由策略控制路由信息，并手工配置路由,cost,值（可选）,SWA-ospf-1import-route static route-policy 1 cost 1000,优化,SPF,计算参数（可选）,SWA-ospf-1spf-schedule-interval 5 100 1000,注意：该参数需要全网所有,OSPF,路由器统一配置才能体现效果。,OSPF,最佳实践配置（续三）,接口配置,BFD,提高收敛速度（可选）,在接口视图下配置：,SWA-Vlan-interface113ospf bfd enable,SWA-Vlan-interface113bfd min-transmit-interval 200,SWA-Vlan-interface113bfd min-receive-interval 200,SWA-Vlan-interface113bfd detect-multiplier 3,注意：该参数需要链路上相关的,OSPF,路由器统一配置才能体现效果。,第一章 设备软件推荐,第二章 公共资源规范最佳实践,第三章 接入,/,汇聚设备配置最佳实践,第,四,章,核心设备配置最佳实践,第五章 设备对接最佳实践,第六章 基本维护,目录,DLDP,功能配置,为了避免产生光纤单通或者交叉连接的现象，在设备通过光纤互连，尤其远距离光纤互连的情况下，在光接口下使能,dldp,功能；并且建议配置,dldp,的工作模式为加强模式。,在系统视图下配置：,在需要配置,dldp,的端口视图下使能,dldp,功能：,注意：只有在全局和端口上均使能,DLDP,的情况下，才能启动,DLDP,功能、正常收发,DLDP,报文。,说明：,1,、,DLDP,需要两端设备均要支持，对于对端不支持,DLDP,单通检测功能的设备，本端禁止开启,DLDP,单通检测；,2,、,为了使,DLDP,能够正常工作，需要将两端端口的双工模式都配置为全双工模式，速率都配置为相同的强制速率；禁止出现一端强制一端不强制的情况；,(S95ES12500),DLDP,全称：,(Device,Link Detection Protocol,，设备链路检测,协议,),SWAdldp enable,SWAdldp work-mode enhance,SWA,GigabitEthernet3/0/4,dldp enable,设备对接最佳实践（,LLDP/NDP/STP,）,LLDP,配置（获取邻居信息）,H3Cdldp enable,H3Cdisplay lldp neighbor-information interface GigabitEthernet 1/0/15,H3C,与,Cisco,设备,STP,对接配置,Cisco,的,PVST/PVST+,为私有协议，与,H3C MSTP,只能实现,vlan 1,互通,H3C MSTP,与,Cisco MST,能够实现完全互通，但需要在端口开启摘要侦听（,stp config-digest-snooping,）,H3Cstp pathcost-standard dot1t,H3C-GigabitEthernet1/0/1stp config-digest-snooping,LLDP,全称：,Link Layer Discovery Protocol,，链路层发现协议,设备对接最佳实践（链路聚合）,链路聚合对接,Comware V3,设备,& V5,设备,& Cisco,设备聚合对接,Comware V3,设备：,S3600,等,Comware V5,设备：,S7500E,、,S9500E,等,H3C-V5-Bridge-Aggregation1link-aggregation mode ? /,默认为静态,static,dynamic,Specify dynamic LACP link aggregation group,H3C-V3link-aggregation group 1 mode ? /,默认为动态,dynamic,manual,Manual link aggregation group,static,Static LACP link aggregation group,H3C,CMW V3,H3C,CMWV5,CISCO,兼容,manual,static,on,是,static,dynamic,Active/passive,是,dynamic,V5,不支持,否,设备对接最佳实践（链路聚合）,链路聚合要求聚合组中的成员端口间的端口属性配置、,Vlan,配置等非第一类配置与成员物理端口下的配置完全一致，且聚合组下的,vlan,配置要求与成员端口一致；,#,interface Bridge-Aggregation1001,port link-type trunk,undo port trunk permit vlan 1,port trunk permit vlan 2 to 3999 4001 to 4094 /,要求聚合组下的,vlan,配置与成员端口见的,vlan,配置完全一致,#,interface GigabitEthernet1/2/0/2,port link-mode bridge,description to dalou-2 e1/0/24,port link-type trunk,undo port trunk permit vlan 1,port trunk permit vlan 2 to 3999 4001 to 4094,speed 100 /,要求成员端口之间的端口属性配置完全一致,duplex full,dldp enable,port link-aggregation group 1001,#,说明：配置,vlan,时请在,interface Bridge-Aggregation,下进行配置，相关配置会自动同步到聚合组下的成员端口,第一章 设备软件推荐,第二章 公共资源规范最佳实践,第三章 接入,/,汇聚设备配置最佳实践,第,四,章,核心设备配置最佳实践,第五章 设备对接最佳实践,第六章 基本维护,目录,网络设备基本,维护要求,网络设备,日常维护检查要求（每天,/,周检查项）：,设备单板运行情况与运行时间,（,display version,）,设备电源工作情况,（,display power,）,设备风扇工作情况,（,display fan,）,设备,CPU,利用率情况（,display CPU,）,设备内存利用率情况（,display memory,）,设备运行环境温度（,display environment,）,设备接口流量情况（,display interface/,display counters),查看路由表，,arp,表状态,查看所运行的协议工作状态,查看日志文件是否有异常事件,常,用,的,维护,命令,版本信息：,display version,设备信息：,display device,，正常情况下，各单板的状态应为,normal,温度信息：,display environment,，正常情况下，设备的工作温度应在,上下限之间,。,CPU,信息：,display cpu,，正常情况下，,CPU,利用率在过去,5,分钟内的平均值为,60,以下,，,隔,1,分钟再收集一次。,主、备主控板复位或插拔记录：,display switchover state,收集相关的端口信息，隔,1,分钟再收集一次：,display interface g2/0/1,电源状态信息：,display power,，正常状态为,normal,，不在位为,absent,风扇状态信息：,display fan,，正常风扇状态为,normal,当前配置信息：,display current-configuration,已保存配置信息：,display saved-configuration,内存信息：,display memory,，正常情况下，内存占用率为,80,以下,路由表信息：,display ip routing-table,转发表信息：,display fib,系统,trap,信息：,display trapbuffer,ARP,信息：,display arp,MAC,信息：,display mac-address,VRRP,信息：,display vrrp,（输入？号，可查看,VRRP,相关的其他信息）,OSPF,信息：,display ospf,（输入？号，可查看,OSPF,相关的其他信息）,日志信息：,display logbuffer,Debug,开启的方法,开启,Debug,的方法,terminal,monitor,terminal debug,debugging ip icmp packet,/,不要开启,debug,all,Debug,抓包完成之后一定要关闭, u d a,或者,ctrl,+,O,诊断信息收集方法,诊断信息收集方法,执行,display diagnostic-information,。收集完成后，请隔数分钟，再次收集一次信息。共收集两次。,display diagnostic-information,Save or display diagnostic information (Y=save, N=display)? Y/N:,注：,选择,Y,，将诊断信息生成一个文件，保存在,Flash,里。文件名可用默认的，也可自行修改,，两次收集的文件命名成不同的名字,。信息收集完成后，可将该文件,FTP,上传,至,server,。,选择,N,，将诊断信息打印在控制台程序上，需打开控制台程序里的,log,记录功能，将这些信息在电脑上生成一个,log,文件。,