设备管理_某通信公司chinanet网络设备配置规范

中国电信广西公司ChinaNet网络设备配置规范vBRAS分册目 录第一章 设备相关配置3第1节 系统基本配置31.1 设备名称配置31.2 系统时间配置31.3 NTP配置31.4 主备卡切换配置41.5 接口配置4第2节 安全配置62.1 Telnet配置62.2 SNMP配置72.3 SYSLOG配置82.4 登录AAA9第3节 安全配置103.1 防攻击设置103.2 主控、业务板卡过载保护12第4节 路由配置124.1 静态路由配置124.2 黑洞路由配置124.3 OSPF13第二章 业务相关配置14第1节 Radius配置141.1 计费认证14第2节 域配置16第3节 PPPoE163.1 速率模板配置163.2 IP Pool173.3 虚模板配置183.4 业务子接口18第4节 IPoE194.1 静态194.2 DHCP204.3 静态用户限速214.4 WLAN21第5节 二层VPN265.1 L2TP26第6节 MPLS VPN27第一章 设备相关配置第1节 系统基本配置1.1 设备名称配置 配置内容：配置设备名称； 规范要求：端口命名按附录1：设备和端口命名规范要求配置； 配置示例： 1、华为设备sysname M-NN-MINZU-B-ME60-01 /字符串形式，长度范围130 2、Juniper设备hostname M-NN-XIJIAO-B-E320-01 /字符串形式，长度范围1301.2 系统时间配置 配置内容：设置BRAS 的系统日期及时间； 规范要求：采用标准北京时间（时区为东八区）； 配置示例： 1、华为设备clock datetime 06:56:00 2009-04-12 /配置系统时间clock timezone add 8 /配置系统时区为东8区 2、Juniper设备clock timezone CST 8 /配置系统时区为东8区clock set 06:56:00 12 04 2009 /配置系统时间1.3 NTP配置 配置内容：配置NTP服务器； 规范要求：1、采用NTP Version 3版本； 2、采用 loopback0地址作为时间同步的源地址；3、统一NTP Server的IP地址为：3； 配置示例： 1、华为设备ntp-service source-interface LoopBack0 ntp-service unicast-server 3 source-interface LoopBack0 /缺省为版本3 2、Juniper设备ntp enablentp server 3 version 31.4 主备卡切换配置 配置内容：配置系统主备卡切换； 规范要求：打开自动切换，要求采用最优切换方式； 配置示例： 1、华为设备不需要配置 2、Juniper设备no disable-autosync /使用SRP同步!redundancymode high-availability1.5 接口配置1.5.1 GE 配置内容：配置GE端口； 规范要求：1、端口命名按附录1：设备和端口命名规范要求配置；2、除特殊情况外，端口使用强制模式：电口采用1000M全双工，光口如果可选强制模式，应优先设置为强制模式；(要求对端设备相应匹配)；3、所有内部互连端口， IP MTU(MPLS MTU 随IP MTU调整)统一取定为：4470字节；4、打开端口的波动抑制功能；5、关闭存在安全风险的漏洞，如ICMP Redirect、Direct Broadcast、Proxy ARP等； 配置示例： 1、华为设备interface GigabitEthernetX/X/X /进入或创建相应接口、子接口description TO M-NN-MINZU-R-NE80E-01:GE1/0/1/路由器接口的描述信息。字符串形式，支持空格，区分大小写，字符串长度范围是1242。 undo shutdown /开启端口 ip address X.X.X.X X.X.X.X /配置相关IP地址mtu 4470 /配置接口MTUcontrol-flap /启用端口震荡抑制，可按默认参数配置undo negotiation auto /用于开启和关闭自协商功能duplex full /配置双工模式speed 10 | 100 | 1000 | auto /配置接口速率 2、Juniper设备GE:interface gigabitEthernet 8/0speed 1000duplex fullencapsulation vlanmtu 4470ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1!interface gigabitEthernet 8/0.1vlan id 1ip address x.x.x.x 52ip description TO M-NN-MINZU-R-NE80E-01:GE1/0/1no ip redirects10GE:interface gigabitEthernet 0/0/1speed 10000duplex fullencapsulation vlanmtu 4470ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1/Juniper无打开端口的波动抑制功能；无关闭存在安全风险的漏洞，如ICMP Redirect、Direct Broadcast、Proxy ARP等功能；1.5.2 端口捆绑 配置内容：配置端口捆绑； 规范要求：1、端口命名按附录1：设备和端口命名规范要求配置；2、除特殊情况外，端口使用强制模式：电口采用1000M全双工，光口如果可选强制模式，应优先设置为强制模式；(要求对端设备相应匹配)3、端口捆绑只应用在二层接口 配置示例：1、华为设备interface eth-trunk trunk-id .subnumber /创建一个Eth-Trunk接口；undo interface eth-trunk trunk-id .subnumber /删除一个已存在的Eth-Trunk接口；interface giX/X/X /将相应端口加入trunketh-trunk Xdescription TO_LANGDONG ME60:EthTrunk1:2G:GE2/0/1GE3/0/1 /描述eth-trunk 2、Juniper设备interface gigabitEthernet 13/0/3 mtu 4470 duplex full speed 1000 lacp activeinterface gigabitEthernet 13/0/2 mtu 4470 /在要实现绑定的物理接口下开启lacp。由于该接口想要起QinQ，所以mtu为4470。 duplex full /注意：协商模式、MTU的配置是在物理接口下 speed 1000 lacp activeinterface lag TO_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3 /将要绑定的物理接口放入到一个lag接口，名为TO_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3! member-interface GigabitEthernet 13/0/3 member-interface GigabitEthernet 13/0/2 encapsulation vlan /注意：vlan是封装在lag接口下第2节 安全配置2.1 Telnet配置 配置内容：1、配置Telnet 登录的密码； 2、限制Telnet 登录的IP地址； 3、配置Telnet Session的过期时间； 规范要求：1、Telnet 密码字符串不能过于简单， 一般应由字母、 数字及特殊字符等组成，且不能低于8位；2、根据实际情况只允许授权网段对设备VTY远程访问；3、控制连接超时时间，建议每个Telnet Session的超时限制设定为10分钟； 配置示例：1、华为设备user-interface maximum-vty 15 /最大进程数设为15 user-interface con 0 /对CON口接入进行设置 authentication-mode password set authentication password cipher NC55QK=/Q=QMAF41! user-interface aux 0 user-interface vty 0 14 /对TELNET进行设置 acl XXX inbound /设置相应网段 authentication-mode aaa /设置认证方式 idle-timeout 10 0 /设置超时时间，默认为10分钟，可不配置 2、Juniper设备service password-encryption /密码加密!telnet listen port 23!access-list telnet-acl permit host x.x.x.x /对telnet的ip进行过滤!line vty 0 14loginpassword xxxxxxxxexec-timeout 10access-class telnet-acl in2.2 SNMP配置 配置内容：1、配置网管工作站，配置内容包括：工作站IP地址、GET/SET团体名等； 2、激活网管工作站； 3、配置TRAP； 规范要求：1、采取SNMP 访问的限制措施，仅允许授权网段（ip综合网管9-101）访问路由器的SNMP 服务； 2、要求采用V2 版本； 3、开启SNMP TRAP，设置触发条件：端口UP DOWN 、BGPOSPFMPLS 协议状态改变、 设备重启、板卡状态改变）；Radius服务器down； 配置示例： 1、华为设备acl number 2000 /配置ACL访问列表 rule 0 deny anyrule 1 permit source 9 rule 2 permit source 00 rule 3 permit source 01 ？snmp-agent community write XXX acl 2000 /设置写团体及网段范围 snmp-agent community read XXX acl 2000 /设置读团体及网段范围 snmp-agent sys-info version 2 /设置版本号为2snmp-agent target-host trap address udp-domain X.X.X.X params securityname XXXX v2c/设置接收Trap消息的目的地。snmp-agent trap enable /开启trapsnmp-agent trap enable XXX /可以针对具体功能开trapsnmp-agent trap source LoopBack0 /以LOOPBACK0为接口发送TRAP 2、Juniper设备access-list snmp-acl permit host 9access-list snmp-acl permit host 00access-list snmp-acl permit host 01？配置命令是否正确？snmp-server community xxx ro snmp-aclsnmp-server host 9 version 2c xxx snmp link inventory bgp log cliSecurityAlert routeTable ping sonnet ospf pim radius dhcp environment haRedundancy trapFilters noticesnmp-server enable traps linksnmp-server enable traps inventorysnmp-server enable traps environmentsnmp-server enable traps bgpsnmp-server enable traps logsnmp-server enable traps cliSecurityAlertsnmp-server enable traps pingsnmp-server enable traps ospfsnmp-server enable traps sonetsnmp-server enable traps ntpsnmp-server enable traps radiussnmp-server enable traps dhcpsnmp-server enable traps pimsnmp-server enable traps haRedundancysnmp-server enable traps routeTablesnmp-server2.3 SYSLOG配置 配置内容：1、配置 log信息显示的时间； 2、配置 log信息触发的级别； 3、配置 log server； 规范要求：1、设备必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警； 2、log信息采用北京时间来显示； 3、指定日志主机的IP地址； 4、log信息需集中保存到 log server（9）上，可以配置多个 log server；5、IP POOL利用率超过85，应输出告警信息；6、Syslog触发级别根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGPOSPFMPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down）； 配置示例： 1、华为设备info-center loghost source LoopBack0 info-center timestamp trap date /trap时间为系统时间 info-center loghost 9 /目标主机,可多个info-center logbuffer size 1024 /设置logbuffer大小info-center source default channel 2 log level warning /设置warning级别的通过通道2输出 2、Juniper设备service timestamps log datetime show-timezone localtimelog fields timestamp instance no-calling-tasklog destination console severity WARNINGlog destination nv-file severity CRITICALlog destination nv-file severity emergencylog destination syslog 9 facility 4 severity WARNINGlog destination syslog 9 facility 4 severity WARNINGlog destination syslog 9 facility 6 severity infolog destination syslog 9 facility 5 severity notice log destination syslog 9 facility 3 severity errorlog destination syslog 9 source loopback 02.4 登录AAA 配置内容：配置设备登陆到AAA服务器； 规范要求：1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器（9）。2、AAA Server采用tacas协议；3、对于只支持Radius协议的设备，采用Radius协议进行管理。4、配置本地认证一个超级帐号供应急使用； 配置示例：1、华为设备hwtacacs-server template ht /配置tacacs服务器模板hwtacacs-server authentication 9 49 /配置认证服务器和端口hwtacacs-server authentication X.X.X.X XXX secondaryhwtacacs-server authorization 9 49 /配置授权服务器和端口hwtacacs-server authorization X.X.X.X XXX secondaryhwtacacs-server accounting 9 49 /配置计费服务器和端口hwtacacs-server accounting X.X.X.X XXX secondaryhwtacacs-server shared-key it-is-my-secret /配置服务器密钥#aaa authentication-scheme l-h /配置认证模板1-h authentication-mode local hwtacacs /配置认证策略为先本地后tacacsauthentication-super hwtacacs super#authorization-scheme hwtacacs /配置授权方案模板authorization-mode hwtacacs#accounting-scheme hwtacacs /配置计费模板 accounting-mode hwtacacs accounting realtime 3 /配置计费间格# Aaa视图下domain XXX /配置认证域 authentication-scheme l-h /分别使用相应的模板 authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server ht#super password level 3 cipher );W&UC6EK+Q=QMAF41! /本地super帐号 2、Juniper设备aaa new-modelaaa authentication login 3a_acs_authen tacacs+ line /配置认证方式tacacs+aaa authorization exec 3a_acs_author tacacs+ noneprivilege exec level 1 testprivilege exec level 1 telnet /帐号权限类型line vty 0 4 /telnet使用3a tacacs认证login authentication 3a_acs_authenauthorization exec 3a_acs_authortacacs-server source-address 1tacacs-server host 9 key bras primarytacacs-server host X.X.X.X key bras第3节 安全配置3.1 防攻击设置 配置内容： 1、关闭不必要的服务； 2、配置过滤常见病毒的端口及容易受攻击的端口； 规范要求： 1、接口启用uRPF； 2、配置防病毒策略3、关闭路由器端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)、FTP等，增强设备本身的安全性；4、关闭设备登录banner提示； 配置示例： 1、华为设备acl number 2000 /配置ACL访问列表 rule 10 permit source X.X.X.X X.X.X.X # acl number 3100 /配置高级ACL列表 rule 5 permit tcp destination-port eq echo rule 10 permit tcp destination-port eq CHARgen rule 15 permit udp destination-port eq 19 rule 20 permit tcp destination-port eq finger traffic classifier XXX /配置流模板 if-match ACL XXXtraffic behavior XXX /配置动作模板 denytraffic policy XXX /配置策略模板，流与动作相关联 classifier XXXl behavior XXXtraffic-policy XXX inbound /在相关的接口下应用 2、Juniper设备 no ftp-server enable conf tinterface ge0/0ip sa-validateip classifier-list tcp7 tcp any any eq 7ip classifier-list tcp19 tcp any any eq 19ip classifier-list udp19 udp any any eq 19ip classifier-list tcp17 tcp any any eq 17ip policy-list is- attack classifier-group tcp7 filterclassifier-group tcp19filterclassifier-group udp19filter classifier-group tcp17filterclassifier-group *forward3.2 主控、业务板卡过载保护 配置内容：配置业务板卡过载保护功能； 规范要求：配置防止业务板卡或主控板卡CPU利用率过高的保护 配置示例：1、华为设备默认有保护，不需要配置 2、Juniper设备E320自动处理ttl攻击流，不需要做配置第4节 路由配置4.1 静态路由配置 配置内容：配置静态路由； 规范要求：1、配置静态路由需要同时配置下一跳IP地址以及接口；2、静态路由优先级统一为1； 配置示例： 1、华为设备ip route-static X.X.X.X X.X.X.X GIX/X/X X.X.X.X ip route-static default-preference 1 /优先级统一为1 2、Juniper设备ip route x.x.x.x G X/X/X.X per 1 /同时配置下一跳IP地址以及接口；4.2 黑洞路由配置 配置内容：配置黑洞路由； 规范要求：1、在BRAS上添加IP地址池的时候，需在设备本地配置相应的IP段的黑洞路由，防止路由环路出现。2、黑洞路由均指向NULL0接口。 配置示例：1、华为设备ip route-static X.X.X.X X.X.X.X NULL0 preference 180 2、Juniper设备ip route x.x.x.0 null 0 per 1804.3 OSPF 配置内容：配置OSPF路由协议； 规范要求：1、OSPF进程号统一使用 100；2、设备端口上配置启用MD5认证OSPF邻居；3、OSPF的管理距离（distance）统一为110；4、链路的cost 值以10的8次方为基数计算；5、重发布静态路由，没有特殊需要，BRAS上不允许重发布接口路由以及UNR路由；6、对于不需要建立OSPF邻居的接口，在端口上配置passive-interface； 配置示例： 1、华为设备router id X.X.X.X /配置router idospf 100 /配置OSPF进程silent-interface XXXX /抑制接口收发OSPF报文preference ase 110 /将ASE类路由改为110（缺省150）preference 110 /将非ASE类路由改为110（缺省10）area network 55area network 55 system-view Quidway2 interface pos 2/0/0Quidway2-Pos2/0/0 ospf authentication-mode simple abc /接口下配置认证 system-view Quidway ospf 100Quidway-ospf-100 area 0Quidway-ospf-100-area- authentication-mode md5 1 plain abc /区域下配置认证 2、Juniper设备router ospf 100router-id x.x.x.xpassive-interface gigabitEthernet X/Ydistance 110redistribute static route-map XXX /可以控制发布的路由ospf auto-cost reference-bandwidth X interface gigabitEthernet 2/0.1vlan id 1ip ospf message-digest-key 1 md5 juniperip ospf authentication message-digest第二章 业务相关配置第1节 Radius配置 1.1 计费认证 配置内容：配置用户的认证方式；配置用户的计费方式；配置用户认证服务器地址及参数；配置用户计费服务器地址及参数；配置radius update 源地址； 规范要求：1、按照业务创建RADIUS组，当多种业务对应的RADIUS信息相同时，只创建一个共用组。2、配置radius通讯需要的KEY以及端口3、如果没有特殊业务需求，radius的更新地址采用loopback0接口4、BAS向Radius发送计费报文的发送间隔为45分钟5、Raidus服务器的主备配置（要求厂家给出优化建议）6、BAS向主备RADIUS服务器发送报文的策略，确保(或修改)其策略如下：（1）、首先发给主RADIUS；（2）、主RADIUS三次超时(超时间隔为3秒)错误后，再发给备用RADIUS；（3）、在发给备用RADIUS时，如果主RADIUS恢复服务，仍然先发给主RADIUS；（4）、不要设置为轮流发送方式；（需要BAS厂家确认） 配置示例： 1、华为设备radius-server source interface LoopBack0 / radius的更新地址采用loopback0接口 radius-server group XXX radius-server authentication X.X.X.X 1812 weight 0 radius-server authentication X.X.X.X 1812 weight 0 radius-server accounting X.X.X.X 1813 weight 0 radius-server accounting X.X.X.X 1813 weight 0 /主备备份：配置的第一个服务器为主用服务器，其余的为备用服务器。Weight 0表示主备 radius-server shared-key XXX /配置RADIUS服务器的密钥 radius-server class-as-car /配置使用Class属性携带CAR值(选配) undo radius-server user-name domain-included /设置RADIUS服务器的用户名不包含域名 radius-server dead-count 3 /判定RADIUS服务器异常的连续无响应次数为3次 /默认情况下判定RADIUS服务器异常的连续无响应次数为10次，从第一个没有响应报文到设置的dead-count个数的没有响应报文之间的时间间隔为5秒，没有改间隔时间的参数，建议按默认配置即可。/缺省情况下，判定RADIUS服务器异常的连续无响应次数为10次，从第一个没有响应报文到设置的dead-count个数的没有响应报文之间的时间间隔为5秒。 2、Juniper设备aaa authentication ppp default radiusaaa accounting ppp default radius!radius authentication server x.x.x.xudp-port 1812key 123timeout 5retransmit 2deadtime 10!radius accounting server x.x.x.xudp-port 1813key 123timeout 5retransmit 2deadtime 10!radius authentication server y.y.y.yudp-port 1812key 123timeout 5retransmit 2deadtime 10!radius accounting server y.y.y.yudp-port 1813key 123timeout 5retransmit 2deadtime 10!radius update-source-address x.x.x.x第2节 域配置 配置内容：配置域 规范要求：1、域名按照全区统一规范命名，根据业务类型来区分不同认证域；命名格式：业务类型-可选（对特殊应用）.gx；命名原则：A、域名长度+用户名长度不超过32个字符；B、域名命名格式为：业务类型-特殊应用描述.gx；其中“特殊应用描述”为可选项目，可根据实际情况进行设计。2、配置引入IP POOL，同类业务使用相同的认证域；3、在域引入认证模板，同类业务使用相同的认证模板；4、在域引入计费模板，同类业务使用相同的计费模板5、引入RADIUS组, 同类业务使用相同的Radius组6、用于MPLS VPN的认证域，需绑定VPN实例 配置示例：1、华为设备domain XXX authentication-scheme XXX /认证模板accounting-scheme XXX /计费模板 user-priority upstream XX /用户上行优先级user-priority downstream XX /用户下行优先级flow-statistic up /打开上行流统计功能flow-statistic down /打开下行流统计功能 ip-pool XXX /配置使用的地址池qos profile XX /应用QOS模板/对于L2tp域，要求强制radius认证 2、Juniper设备 aaa domain-map XXXXX /域后缀