网络设备配置规范

李华

摘要：现在的网络设备比如交换机、路由器、防火墙，很多工程师配置设备没有按照一定的规范，仅仅配置完所需连接数据后就投入使用。随着网络设备的增加。我们真正可能面对的情况是，不按照统一的配置规范的网络设备，其后续的排障与维护将变成一场灾难。笔者长期从事网络设备调测工作，根据笔者的经验，以思科设备命令为例，总结了网络设备配置规范，供大家参考。

关键词：配置 规范

1 IP地址分配规范

IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。

在地址分配中需要的从地址的应用类型上给出以下规则： 路由器 loopback地址，每台路由器需要一个 32位掩码的IP地址。点到点的设备连接，可使需要30位最小的子网。服务提供地址按照接入数量和设备数量来分配子网空间。每一个分配层占用的IP地址应尽量整齐，便于作地址汇总。

2 设备描述规范

2.1 设备命名标识 为了能很快区分网络设备，最好能够为网络设备配置一个有意义的系统名字这是最基本、最重要的。如果不进行配置，当使用telnet或者ssh协议登陆到设备进行会话的时候，CLI界面所显示的是网络设备的默认名称。这个默认名称不便于进行区分。特别是在比较复杂的企业网络中，为各台网络设备配置有意义的并且是唯一的系统名字是一项非常有用的工作。

规则：City-System-Location-DeviceName

笔者经常使用汉语拼音头字母作为区分，大家可按照自己的习惯进行标识。

City：表示该台设备所处的城市，例如： BJ表示该设备部署在北京；SH表示设备部署在上海；SJZ表示设备部署在石家庄。

System：表示该设备属于哪个系统或业务使用，例如：SPHY代表了视频会议系统；BG代表了办公系统。

Location：表示该台设备所处的位置，例如： ZSL表示该设备部署在中山路，YYT表示该设备部署在营业厅；这个字段也可根據需求扩展越精确位置越好。

DeviceName：表示该台设备的型号，例如：R75075表示该设备为CISCO7507路由器。

举例说明：LF-SPHY-JGD-R3660

表示是廊坊市的建国道的视频会议系统路由设备，设备型号为3660路由器。

2.2 接口描述 数据接口主要通过各种线卡或者模块整合在路由设备上面，由于各种线卡和模块的种类繁多，接口的形式也各不相同，所以，我们制定了关于数据接口的配置规范，便于得到统一的配置。

接口描述格式：to-远端设备名-远端设备接口-链路带宽

to：固定字符串；远端设备名：本接口连接到远端那个设备。链路带宽：这条链路的实际带宽是多少。

举例说明：To- LF-SPHY-JGD-R3660-S1/1-2M

廊坊-视频会议-建国道-R3660-S1/1接口-2M带宽

3 基本安全配置规范

3.1 Console接口配置规范 Console的安全性配置是很重要的，通过Console口，可以在本地进行直接配置。所以要对Console口的配置作严格的规范，以保证它的安全性。

3.2 登录时间 要限制通过console登录的用户的登录时间。制定的规范是，如果用户30秒内没有任何操作，我们就认为该用户已经离开控制台，就应该自动注销该用户。

配置规范：（设定30秒没有操作自动注销）

line console 0

exec timeout 0 30

3.3 Banner的设定 处于安全的考虑，我们有必要对尝试登陆设备的用户出示Banner提示。告知其恶意尝试破解密码是要负法律责任的，并且，他的所作所为以及他的IP信息都在日志中有记录。

配置规范：

banner login ^C

*****************************************

UNAUTHORIZED ACCESS PROHIBITED！

Do not attempt to log on unless

you are an authorized user

*****************************************

^C

3.4 登录用户范围 要对登录的用户范围走限制，这个限制和登录的认证是不同的。范围限制是指那些网端的用户可以登录。登录认证则是，要有正确的用户名和密码才能登陆设备。

配置规范：

access-list 10 permit x.x.x.x （运行x.x.x.x（例：192.1.1.0）这个网段的用户可以登陆） ＼＼调用已建立的访问控制例表

line vty 0 4

access-class 10 in ＼＼调用已建立的访问控制例表

3.5 用户登录的数量 用户登录的数量虽然不会对设备的性能产生很大的影响，但是数量过多的登录配置，容易受到攻击和入侵，所以我们建议同时登录的用户数量不要超过5个。

配置规范：

line vty 0 4 ＼＼设备用户不超过 5个（0-4）

4 路由协议配置规范

路由协议是整个网络的核心部分，它产生路由表以及转发表，保证了数据的发送。规范的配置路由协议会使得整个网络更加便于管理和维护。

4.1 静态协议配置规范 静态路由协议是网络中使用率较高的一种协议。

他的配置要求给每条静态路由写上注释，以便辨别用途。

配置实例：

ip route 192.168.0.1 255.255.255.0 192.168.0.2 name To- LF-SPHY-JGD-R3660-S1/1

＼＼配置192.168.0.1的下一跳为192.168.0.2 ，到廊坊建国道视频会议业务使用。

注意：在复杂的网络结构中，尽量避免使用静态路由协议，很多故障发生就是配置错误的静态路由，或者失效的静态路由造成路由故障。这种现象经常发生。

4.2 OSPF协议配置验证 设备Loopback接口，要求设置为Passive模式禁止接受OSPF协议报文。

为了安全的原因，我们可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。

在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能，纯文本身份验证和消息摘要（md5）身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。而消息摘要（md5）身份验证在传输身份验证口令前，要对口令进行加密，所以一般建议使用此种方法进行身份验证。

使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。

指定区域身份验证 area area-id authentication[message-digest]

使用明文身份认证 ip ospf authentication-key password

使用密文身份摘要（md5）身份認证 ip ospf message-digest-key key-id md5key

5 设备其他配置规范

5.1 操作系统规范 为了便于维护和管理，我们建议将路由器的操作系统版本统一。路由器软件版本的统一要根据硬件设备本身的限制进行选择；这些限制主要包括内存、FLASH卡。

在进行操作系统版本的选定时，应该选择具有企业版命令特征集的软件即可。

5.2 配置SNMP工具 snmp全称是“简单网络管理协议”，无论是大型网络还是小型网络，SNMP都是一个非常实用的工具。在小型网络中，SNMP比较适合进行网络监控；而在大型网络中，SNMP也是一个有效的网络配置工具。可以通过SNMP工具，进行配置文件的管理与配置；可以利用SNMP协议进行接口的统计和性能度量；可以对接口链路的状态进行追踪等等。

6 结束语

其实网络规范配置还有很多，笔者仅仅介绍一些最基础和初学者需要注意的网络配置规范方面的问题，最终用意是尽量规避因为人为操作，导致网络部署配置混乱，增加故障处理时间。

参考文献：

[1]常景超.网络设备配置策略技术研究[D].南华大学，2008.

[2]骆金维.计算机网络组网形式与网络设备配置技术[J].电脑开发与应用，2012（06）.

[3]李云春，尹殷，刘兴昊.网络设备配置管理软件设计与实现[J]. 大连海事大学学报，2010（01）.