IDC机房网络交换机配置规范 - 小专栏,前言:现在机房的各种网络设备日益增多,尤其以交换机设备为甚,很多网络工程师上架、配置设备时不遵守相关的规范,草草的配置完必须的数据后就投入业务使用。如果是在小型业务或者节点单一的情况下这种模式还能勉强维持,但是在IDC或者互联网行业中是不存在这种情况的,往往一个公司要进行多城市、多机房布点,如果还是以这种标准来进行操作,后续维护以及故障处理的效率将会是极其低下的。本人长期从事这方面工作,根据本人多年的工作经验,总结了一些网络设备基本的配置规范,仅供各位参考。
凡是业务上架交换机,主机名应以“[资产编号]-[机房名或编号]-[机柜编号]-[设备层次]-[设备型号简写]”格式命名,这样做的好处是在操作过程中可以仅凭交换机的主机名即可确认交换机的物理位置、型号、作用等信息。
设备层次:设备所处的网络结构层次,Core(核心层)、Distribution(汇聚层)、Access(接入层);
设备型号:此处应简写,因为设备实际型号往往很长,如 H3C S5120-52P-LI 可简写为 S5120 ,只要内部人员能简单识别即可。
如果一个机柜同型号交换机有多个,则按照设备主次在设备型号简写后依次加入A、B、.........
某二层交换机型号为 H3C S5120-52P-LI 、资产编号为 SW-0023 、在上海电信机房B-03机柜,很明显它属于接入层交换机,则该交换机的主机名应该如下:
如果在条件允许的情况下,各节点机房之间核心交换机应和主节点机房的核心交换机做VPN
隧道互联,各机房节点机房所有的汇聚层、接入层交换机远程管理IP均设置为内网IP进行管理,每个节点机房分配不同的内网 C类网段进行区分,例如北京电信IDC为 172.18.1.0/24 、上海电信IDC为 172.18.2.0/24 。日常管理维护通过主节点机房下的跳板机或者VPN服务登录各节点机房网络设备进行内网管理。
核心交换机设备应预留有公网管理IP,以便在特殊情况下能保证顺利登录设备。为了安全核心交换机设备应配置SSH协议进行登录管理,SSH端口改为自定义防止被扫描破解弱口令,其他只有私网地址的汇聚层、接入层交换机设备如不支持 SSH 协议,则可采用Telnet协议管理。
核心交换机设备配置权限时需配置 用户名+密码 方式,管理员用户名则根据直接公司的实际情况进行编写,避免使用 Admin、Administrator、Root 等常用的用户名,密码使用自动生成 10 位数以上的复杂密码;汇聚层、接入层交换机设备如只支持Telnet,则只需配置密码即可,密码设置同上。
各网络设备厂商及互联网协议组织并未对VLAN的划分设定相关的要求与规范,但在实际业务当中为了更好的对网络进行管理维护,我认为很有必要对VLAN的范围进行一些规划,以便后期的网络维护过程中能提高效率。
在IDC机房中运行的网络设备以核心交换机为例,通常设备所互联的基本可以总结为与上级运营商网络设备三层互联、与用户网络设备三层互联、与用户二层业务互联、自有网络设备三层互联、网络设备管理等5种情况,那么以我的经验这5种分别的VLAN规划如下:
因与上级运营商设备互联肯定为网络出口,此处互联地址一般为局端分配,且多为公网地址,多数情况下可作为网络设备管理地址,又因网络设备自身一般对外访问均默认以最靠前VLAN的地址作为源地址,综合来看出去保留vlan外,以数字最靠前的作为与上级运营商互联是最为合适的;自有核心设备互联VLAN与网络设备管理VLAN主要是选择不常用的数字范围,以免后期存在其他方面的冲突情况。
部分以用户角度上架到IDC机房的设备是不存在与用户网络设备互联的情况的,实际业务过程中还应该根据自己的业务需求进行规划,这里想表达的主要在“规划”二字,并非制定规则。
VLAN建立完毕后,应设置备注信息,标明该VLAN的作用以及其他信息,以TO-[业务名称]-[VLAN作用]为格式。
业务名称:一般为该业务最终连接的对端公司的名称简写,特殊情况下也可为道路、大楼等名称;
VLAN作用:指该VLAN与对端业务对接的方式,如三层路由互联为3、二层为2,以及其它根据业务情况简写的信息,以便清晰了解情况。
同VLAN一样,各网络设备厂商及互联网协议组织并未对互联地址划分设定相关的要求与规范,通常我个人倾向于把互联主要分为与上级运营商网络设备互联、自用核心网络设备互联、与用户网络设备互联三种,一般由于互联地址分配的方式都是由局端进行分配,所以与上级运营商网络设备互联的地址大多都是上级运营商分配过来不能自定义的,我们只好对自用以及下级分配的进行相关的规划。
在IDC实际业务当中会存在很多用公网地址当做互联地址的情况,那么不必按照此方式配置,根据实际情况即可。
由于国内诸多家庭网络设备厂商热衷于用192.168.0.0/16内网段,所以造成很多网络管理人员也有了这个习惯,那么在IDC实际业务当中应当避免使用这一网段,以免冲突。
静态路由没有特殊设置,但是需设置备注信息,像VLAN的备注一样标明该条静态路由的作用以及其他信息,以TO-[对端名称]为格式,例如:
如果是限速则直接以限速的目标单位作为命名,比如限速100M则直接命名为100M、500M命名为500M、1G命名为1G;
如果是其它功能的相关策略,则分类和行为直接命名为相关功能的名称,如某个出口ISP为联通的策略路由流策略,那么名称则为to-route-cnc;
总结:以上的一些都是根据我平时的工作经验而整理,当然在实际的业务当中肯定不是适合每一个公司或者项目,仅仅代表个人看法,更不是想制定规则,而是想要表达如果在工作中没有任何规范的话,那么后期的工作会很浪费时间。
前言:现在机房的各种网络设备日益增多,尤其以交换机设备为甚,很多网络工程师上架、配置设备时不遵守相关的规范,草草的配置完必须的数据后就投入业务使用。如果是在小型业务或者节点单一的情况下这种模式还能勉强维持,但是在IDC或者互联网行业中是不存在这种情况的,往往一个公司要进行多城市、多机房布点,如果还是以这种标准来进行操作,后续维护以及故障处理的效率将会是极其低下的。本人长期从事这方面工作,根据本人多年的工作经验,总结了一些网络设备基本的配置规范,仅供各位参考。
凡是业务上架交换机,主机名应以“[资产编号]-[机房名或编号]-[机柜编号]-[设备层次]-[设备型号简写]”格式命名,这样做的好处是在操作过程中可以仅凭交换机的主机名即可确认交换机的物理位置、型号、作用等信息。
设备层次:设备所处的网络结构层次,Core(核心层)、Distribution(汇聚层)、Access(接入层);
设备型号:此处应简写,因为设备实际型号往往很长,如 H3C S5120-52P-LI 可简写为 S5120 ,只要内部人员能简单识别即可。
如果一个机柜同型号交换机有多个,则按照设备主次在设备型号简写后依次加入A、B、.........
某二层交换机型号为 H3C S5120-52P-LI 、资产编号为 SW-0023 、在上海电信机房B-03机柜,很明显它属于接入层交换机,则该交换机的主机名应该如下:
如果在条件允许的情况下,各节点机房之间核心交换机应和主节点机房的核心交换机做VPN
隧道互联,各机房节点机房所有的汇聚层、接入层交换机远程管理IP均设置为内网IP进行管理,每个节点机房分配不同的内网 C类网段进行区分,例如北京电信IDC为 172.18.1.0/24 、上海电信IDC为 172.18.2.0/24 。日常管理维护通过主节点机房下的跳板机或者VPN服务登录各节点机房网络设备进行内网管理。
核心交换机设备应预留有公网管理IP,以便在特殊情况下能保证顺利登录设备。为了安全核心交换机设备应配置SSH协议进行登录管理,SSH端口改为自定义防止被扫描破解弱口令,其他只有私网地址的汇聚层、接入层交换机设备如不支持 SSH 协议,则可采用Telnet协议管理。
核心交换机设备配置权限时需配置 用户名+密码 方式,管理员用户名则根据直接公司的实际情况进行编写,避免使用 Admin、Administrator、Root 等常用的用户名,密码使用自动生成 10 位数以上的复杂密码;汇聚层、接入层交换机设备如只支持Telnet,则只需配置密码即可,密码设置同上。
各网络设备厂商及互联网协议组织并未对VLAN的划分设定相关的要求与规范,但在实际业务当中为了更好的对网络进行管理维护,我认为很有必要对VLAN的范围进行一些规划,以便后期的网络维护过程中能提高效率。
在IDC机房中运行的网络设备以核心交换机为例,通常设备所互联的基本可以总结为与上级运营商网络设备三层互联、与用户网络设备三层互联、与用户二层业务互联、自有网络设备三层互联、网络设备管理等5种情况,那么以我的经验这5种分别的VLAN规划如下:
因与上级运营商设备互联肯定为网络出口,此处互联地址一般为局端分配,且多为公网地址,多数情况下可作为网络设备管理地址,又因网络设备自身一般对外访问均默认以最靠前VLAN的地址作为源地址,综合来看出去保留vlan外,以数字最靠前的作为与上级运营商互联是最为合适的;自有核心设备互联VLAN与网络设备管理VLAN主要是选择不常用的数字范围,以免后期存在其他方面的冲突情况。
部分以用户角度上架到IDC机房的设备是不存在与用户网络设备互联的情况的,实际业务过程中还应该根据自己的业务需求进行规划,这里想表达的主要在“规划”二字,并非制定规则。
VLAN建立完毕后,应设置备注信息,标明该VLAN的作用以及其他信息,以TO-[业务名称]-[VLAN作用]为格式。
业务名称:一般为该业务最终连接的对端公司的名称简写,特殊情况下也可为道路、大楼等名称;
VLAN作用:指该VLAN与对端业务对接的方式,如三层路由互联为3、二层为2,以及其它根据业务情况简写的信息,以便清晰了解情况。
同VLAN一样,各网络设备厂商及互联网协议组织并未对互联地址划分设定相关的要求与规范,通常我个人倾向于把互联主要分为与上级运营商网络设备互联、自用核心网络设备互联、与用户网络设备互联三种,一般由于互联地址分配的方式都是由局端进行分配,所以与上级运营商网络设备互联的地址大多都是上级运营商分配过来不能自定义的,我们只好对自用以及下级分配的进行相关的规划。
在IDC实际业务当中会存在很多用公网地址当做互联地址的情况,那么不必按照此方式配置,根据实际情况即可。
由于国内诸多家庭网络设备厂商热衷于用192.168.0.0/16内网段,所以造成很多网络管理人员也有了这个习惯,那么在IDC实际业务当中应当避免使用这一网段,以免冲突。
静态路由没有特殊设置,但是需设置备注信息,像VLAN的备注一样标明该条静态路由的作用以及其他信息,以TO-[对端名称]为格式,例如:
如果是限速则直接以限速的目标单位作为命名,比如限速100M则直接命名为100M、500M命名为500M、1G命名为1G;
如果是其它功能的相关策略,则分类和行为直接命名为相关功能的名称,如某个出口ISP为联通的策略路由流策略,那么名称则为to-route-cnc;
总结:以上的一些都是根据我平时的工作经验而整理,当然在实际的业务当中肯定不是适合每一个公司或者项目,仅仅代表个人看法,更不是想制定规则,而是想要表达如果在工作中没有任何规范的话,那么后期的工作会很浪费时间。
前言:现在机房的各种网络设备日益增多,尤其以交换机设备为甚,很多网络工程师上架、配置设备时不遵守相关的规范,草草的配置完必须的数据后就投入业务使用。如果是在小型业务或者节点单一的情况下这种模式还能勉强维持,但是在IDC或者互联网行业中是不存在这种情况的,往往一个公司要进行多城市、多机房布点,如果还是以这种标准来进行操作,后续维护以及故障处理的效率将会是极其低下的。本人长期从事这方面工作,根据本人多年的工作经验,总结了一些网络设备基本的配置规范,仅供各位参考。
凡是业务上架交换机,主机名应以“[资产编号]-[机房名或编号]-[机柜编号]-[设备层次]-[设备型号简写]”格式命名,这样做的好处是在操作过程中可以仅凭交换机的主机名即可确认交换机的物理位置、型号、作用等信息。
设备层次:设备所处的网络结构层次,Core(核心层)、Distribution(汇聚层)、Access(接入层);
设备型号:此处应简写,因为设备实际型号往往很长,如 H3C S5120-52P-LI 可简写为 S5120 ,只要内部人员能简单识别即可。
如果一个机柜同型号交换机有多个,则按照设备主次在设备型号简写后依次加入A、B、.........
某二层交换机型号为 H3C S5120-52P-LI 、资产编号为 SW-0023 、在上海电信机房B-03机柜,很明显它属于接入层交换机,则该交换机的主机名应该如下:
如果在条件允许的情况下,各节点机房之间核心交换机应和主节点机房的核心交换机做VPN
隧道互联,各机房节点机房所有的汇聚层、接入层交换机远程管理IP均设置为内网IP进行管理,每个节点机房分配不同的内网 C类网段进行区分,例如北京电信IDC为 172.18.1.0/24 、上海电信IDC为 172.18.2.0/24 。日常管理维护通过主节点机房下的跳板机或者VPN服务登录各节点机房网络设备进行内网管理。
核心交换机设备应预留有公网管理IP,以便在特殊情况下能保证顺利登录设备。为了安全核心交换机设备应配置SSH协议进行登录管理,SSH端口改为自定义防止被扫描破解弱口令,其他只有私网地址的汇聚层、接入层交换机设备如不支持 SSH 协议,则可采用Telnet协议管理。
核心交换机设备配置权限时需配置 用户名+密码 方式,管理员用户名则根据直接公司的实际情况进行编写,避免使用 Admin、Administrator、Root 等常用的用户名,密码使用自动生成 10 位数以上的复杂密码;汇聚层、接入层交换机设备如只支持Telnet,则只需配置密码即可,密码设置同上。
各网络设备厂商及互联网协议组织并未对VLAN的划分设定相关的要求与规范,但在实际业务当中为了更好的对网络进行管理维护,我认为很有必要对VLAN的范围进行一些规划,以便后期的网络维护过程中能提高效率。
在IDC机房中运行的网络设备以核心交换机为例,通常设备所互联的基本可以总结为与上级运营商网络设备三层互联、与用户网络设备三层互联、与用户二层业务互联、自有网络设备三层互联、网络设备管理等5种情况,那么以我的经验这5种分别的VLAN规划如下:
因与上级运营商设备互联肯定为网络出口,此处互联地址一般为局端分配,且多为公网地址,多数情况下可作为网络设备管理地址,又因网络设备自身一般对外访问均默认以最靠前VLAN的地址作为源地址,综合来看出去保留vlan外,以数字最靠前的作为与上级运营商互联是最为合适的;自有核心设备互联VLAN与网络设备管理VLAN主要是选择不常用的数字范围,以免后期存在其他方面的冲突情况。
部分以用户角度上架到IDC机房的设备是不存在与用户网络设备互联的情况的,实际业务过程中还应该根据自己的业务需求进行规划,这里想表达的主要在“规划”二字,并非制定规则。
VLAN建立完毕后,应设置备注信息,标明该VLAN的作用以及其他信息,以TO-[业务名称]-[VLAN作用]为格式。
业务名称:一般为该业务最终连接的对端公司的名称简写,特殊情况下也可为道路、大楼等名称;
VLAN作用:指该VLAN与对端业务对接的方式,如三层路由互联为3、二层为2,以及其它根据业务情况简写的信息,以便清晰了解情况。
同VLAN一样,各网络设备厂商及互联网协议组织并未对互联地址划分设定相关的要求与规范,通常我个人倾向于把互联主要分为与上级运营商网络设备互联、自用核心网络设备互联、与用户网络设备互联三种,一般由于互联地址分配的方式都是由局端进行分配,所以与上级运营商网络设备互联的地址大多都是上级运营商分配过来不能自定义的,我们只好对自用以及下级分配的进行相关的规划。
在IDC实际业务当中会存在很多用公网地址当做互联地址的情况,那么不必按照此方式配置,根据实际情况即可。
由于国内诸多家庭网络设备厂商热衷于用192.168.0.0/16内网段,所以造成很多网络管理人员也有了这个习惯,那么在IDC实际业务当中应当避免使用这一网段,以免冲突。
静态路由没有特殊设置,但是需设置备注信息,像VLAN的备注一样标明该条静态路由的作用以及其他信息,以TO-[对端名称]为格式,例如:
如果是限速则直接以限速的目标单位作为命名,比如限速100M则直接命名为100M、500M命名为500M、1G命名为1G;
如果是其它功能的相关策略,则分类和行为直接命名为相关功能的名称,如某个出口ISP为联通的策略路由流策略,那么名称则为to-route-cnc;
总结:以上的一些都是根据我平时的工作经验而整理,当然在实际的业务当中肯定不是适合每一个公司或者项目,仅仅代表个人看法,更不是想制定规则,而是想要表达如果在工作中没有任何规范的话,那么后期的工作会很浪费时间。
