联通城域网设备配置规范范本(doc 51页).doc

内部资料 注意保密城域网设备配置规范 华为ME60中国联合网络通信有限公司河南省分公司二零一六年目 录1. 基本配置31.1 设备名称31.2 系统时间配置41.3 NTP配置41.4 文件管理51.5 Banner配置52网管配置62.1 登陆AAA62.2 SNMP72.3 用户82.4 SYSLOG82.5 TELNET93端口配置规范103.1 端口命名格式描述103.2 loopback113.3 GE/TG113.4 端口捆绑123.5 POS124. 路由配置134.1 静态路由配置134.2 OSPF配置134.3 BGP配置144.4 MPLS配置174.5 BFD配置185安全配置205.1 ACL205.2服务管理235.3 引擎防护236. 业务实现236.1 PPPOE业务236.2 专线业务256.3 VPDN业务276.4 WLAN业务296.5 MPLS VPN 业务346.6 VPLS业务356.8 NAT444业务376.9 预欠费提醒和欠费提醒业务386.10 HGU业务416.11 IPTV业务431. 基本配置1.1 设备名称【配置描述】: 配置设备名称【规范要求】:1.1.1 格式：网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号字段名称网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号字段类型英文字符符号（连接符）英文字符符号（连接符）英文字符符号（连接符）字母/数字序列符号（连接符）数字长度=2=13=110=110=1=3选项必选必选必选必选必选必选必选必选必选说明：n 原则上字母全部大写，两端和中间没有任何空格，采用定长命名。n 网络层次描述：2个字母。 省网核心层：PB 省网接入层（地市核心层）：PA 城域网业务控制层（BRAS和SR设备）：MS 城域网汇聚层：MC 城域网接入层：MAn 市名缩写：2至3个字母。原则取用其城市名称前两个汉字拼音首字母，个别城市名长于两个拼音字母的按照实际情况编写，但最长不应超过四个字母。地市名称缩写为：郑州（ZZ），洛阳（LY）、南阳（NY）、安阳（AY）、焦作（JZ）、新乡（XX）、三门峡（SMX）、济源（JY）、开封（KF），商丘（SQ）、驻马店（ZMD）、漯和（LH）、鹤璧（HB）、平顶山（PDS）、信阳（XY）、周口（ZK）、濮阳（PY）、许昌（XC）。n 所辖区/县名、节点及机房描述：10个字母。原则取用机房名称汉字拼音首字母，个别机房名长于两个拼音字母的按照实际情况编写，但最长不应超过10个字母或数字。对于同城n个机房缩写相同，则按谐音或近音改变其中n-1个机房的缩写，以实现同城机房名缩写的唯一性。 例一：中原路机房缩写为：ZYL 例二：新密县老局机房缩写为：XMLJn 设备型号：参照厂商设备命名。 CISCO12416 HUAWEI8850 ZTE10600 SE800n 序号：3个数字。用来标识同一个节点的机同型号设备的序号。范围从001-999。【配置示例】:ME60sysname MS-XX-YMK-ME60-0011.2 系统时间配置【配置描述】：配置系统时区及系统时间；【规范要求】：1.2.1 系统时间要求采用标准北京时间【配置示例】:clock datetime HH:MM:SS YYYY/MM/DD配置NTP server 后时钟显示不正确,对于ver5.7的版本需要将时区更改原配置为：clock timezone GMT minus 08:00:00更正为：clock timezone GMT add 08:00:001.3 NTP配置【配置描述】：配置NTP服务器；【规范要求】：1.3.1 为了冗余可靠，可以配置2个ntp服务器，建议配置密码认证，省内城域网BRAS和SR设备配置NTP服务器地址：9。1.3.2 source-interface使用loopback地址【配置示例】:客户端：ntp-service source-interface LoopBack0ntp-service unicast-server 9ntp-service access peer acl 20001.4 文件管理【配置描述】：配置设备的系统文件和配置文件；【规范要求】：1.4.1 设备的系统文件和配置文件存放路径及格式应符合设备规范要求1.4.2 主备板的系统文件和配置文件保持一致【配置示例】:通过命令查看：Dirdis startup通过startup saved-configurationStartup system-software设置。1.5 Banner配置【配置描述】:设备Banner配置【规范要求】：1.5.1 所有设备配置统一的Banner信息，登陆时提示：WARNING! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user! 【配置示例】:header login information WARNING! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!2网管配置2.1 登陆AAA【配置描述】:配置管理用户登录AAA认证【规范要求】：2.1.1 配置登陆AAA的tacacs+协议 AAA Server采用tacacs协议，用户登录认证采用集中认证方式。配置认证策略为先本地后Tacacs。【配置示例】:hwtacacs-server template hacnc hwtacacs-server authentication 1 hwtacacs-server authentication 2 secondary hwtacacs-server authorization 1 hwtacacs-server authorization 2 secondary hwtacacs-server accounting 1 hwtacacs-server accounting 2 secondary hwtacacs-server source-ip 22 hwtacacs-server shared-key EJ*FUhY94hZ*8+!A undo hwtacacs-server user-name domain-includedQuidway aaaauthentication-scheme hacnc authentication-mode local hwtacacs authentication-super super hwtacacs #accounting-scheme hacnc accounting-mode hwtacacs accounting start-fail online #domain default_admin authentication-scheme hacnc accounting-scheme hacnc adminuser-priority 3 hwtacacs-server hacnc 2.1.2 Tacacs账号对不同用户授予不同权限，实现分级分权管理，至少分为二级分权管理（查看、配置）。配置本地认证一个超级帐号供应急使用。【配置示例】: Quidway local-aaa-serveruser 本地账号 password cipher 本地密码authentication-type T level 3 #T 表示telnet2.2 SNMP【配置描述】:配置SNMP参数【规范要求】：2.2.1 snmp读/写共同体不能采用默认的public和private，并且Snmp字符串除特殊情况不可以设置为写属性。读、写属性要求采用非缺省团体名字符串并满足一定的强度要求（建议采用字母、数字和特殊字符的组合，长度不少于6位）；2.2.2 SNMP访问 采取SNMP访问的限制措施，仅允许授权网段访问路由器的SNMP 服务；2.2.3 SNMP TRAP开启SNMP TRAP，TRAP信息传送网管服务器。2.2.4 Snmp的源地址Snmp的源地址必须为loopback地址2.2.5 SNMP 版本 Snmp版本要求设置为V2/V2c，如有特殊的需要可进行相应修改，尽量避免V1版本的出现。【配置示例】: system-view 进入系统视图Quidway acl number 2000 设定允许访问地址段rule 5 permit source 55rule 10 permit source 55rule 15 permit source 本地允许地址段Quidway snmp-agent acl 2000Quidwaysnmp-agent community read Quidway snmp-agent sys-info version V2C Quidwayifindex constant /开启接口索引2.3 用户【配置描述】:配置管理用户【规范要求】：2.3.1 用户授权配置配置用户授权，对不同用户授予不同权限，实现分级分权管理。2.3.2 用户密码配置密码采用系统全局配置的USERNAME和PASSWORD，密码字符串要求应由字母、数字和特殊字符等组成，且不能低于6位。2.3.3 空闲时间设置对VTY、CONSOLE、AUX登陆超时设置进行配置，设置空闲时间为10分钟。2.3.4 账号管理根据相关规程定期更新用户名、密码，删除无关账号。【配置示例】: system-view 进入系统视图Quidwaylocal-aaa-serveruser 本地账号 password cipher 本地密码authentication-type T level 1 Quidway user-interface vty 0 4acl inboundauthentication-mode aaaidle-timeout 10 02.4 SYSLOG【配置描述】:配置SYSLOG日志参数【规范要求】：全省BRAS、SR配置syslog地址为：3。2.4.1日志功能配置设备必须配置日志功能，记录所有中高风险（minor、marjor）的事件，其中必须记录用户登录事件，并对高风险的事件产生告警。2.4.2 时间设置log信息采用北京时间来显示； 2.4.3 日志主机设置log信息需集中保存到 log server上，可以配置多个 log server；2.4.4 Syslog触发级别设置根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGPOSPFMPLS 邻居updown、设备重启、板卡状态改变）【配置示例】:开启信息中心。 system-viewQuidway info-center enable配置通道允许输出日志信息的模块和严重级别。Quidway info-center source default channel 2 log level warning配置发送日志信息的源接口。Quidway info-center loghost source LoopBack0配置日志信息输出到指定的日志主机Quidway info-center loghost 3 facility local3 local-time2.5 TELNET【配置描述】:配置TELNET远程登录参数【规范要求】：2.5.1 TELNET登陆限制根据实际情况只允许授权网段对设备VTY远程访问。允许的省公司管理地址如下（以cisco设备配置为例）：access-list 7 permit 55access-list 7 permit 55access-list 7 permit 55允许的市公司管理地址如下：市公司的网管地址、设备上联中继地址。登陆限制需要配合ACL使用 【配置示例】: system-view 进入系统视图Quidway acl number 2007rule 0 permit source 55 rule 1 permit source 55rule 3 permit source 55 rule 4 permit source 本地授权地址段 Quidway user-interface vty 0 4acl 2007 inboundauthentication-mode aaaidle-timeout 10 03端口配置规范3.1 端口命名格式描述【配置描述】: 所有已使用端口根据用途均要正确配置端口描述【规范要求】： 3.1.1 端口命名格式： To_对端设备名称（端口号）：电路类型：电路条目：电路代号To_对端设备名称（）：电路类型：电路条目：电路代号符号字符字符字符字符字符字符字符字符字符字符长度=2=13210（括号内为端口号）=17=13=115选项必选必选必选必选必选必选必选必选必选必选说明：1) 原则上字母全部大写（除了“To”）,标点符号为英文标点2) To的后面为对端设备名称和互联端口号3) 设备名称按设备名称命名规范命名4) _：固定字符串（英文下划线）；5) 电路类型：10M、100M、GE、155M、622M、2.5G、10GPOS、10GE等等，用“10GPOS”和“10GE”来区分POS端口还是以太网端口；6) 电路条目：用于区分两台设备之间互联的相同带宽的链路数量，如果两台设备之间只采用1条链路，那么该字符为“001”，如果有2条，那么第二个端口为“002”，以此类推；7) 电路代号：长传或本传电路代号。【配置示例】:interface GigabitEthernet7/0/0description To_PA-XX-TX-NE5000E-001(G4/0/2):GE:001:电路代号表示该端口联接到新乡铁西NE5000E的G4/0/2端口，链路带宽为GE的第1条链路。3.2 loopback【配置描述】: 配置Loopback端口IP地址和子网掩码【规范要求】： 3.2.1端口配置地址要求为32位掩码3.2.2采用统一规划的Loopback地址作为RADIUS,snmp,MP-BGP等协议的Update Source【配置示例】: system-viewQuidway interface LoopBack0ip address A.B.C.D 553.3 GE/TG【配置描述】 ：配置端口协商、速率、MTU等【规范要求】： 3.3.1 端口协商强制关闭，配置成全双工，速率1000M，特殊业务需求时可打开协商3.3.2 上联中继端口mtu统一15243.3.3下联中继口打开端口波动抑制，UP 10s DOWN 2.5s【配置示例】: system-viewQuidway inter GigabitEthernet1/0/0undo negotiation automtu 1524carrier up-hold-time 10000carrier down-hold-time 25003.4 端口捆绑【配置描述】 ：链路捆绑端口的MTU，负载分担方式等【规范要求】： 3.4.1设置TRK里最小活动链路数，最小值为1(默认为1)3.4.2TRK中端口的负载分担方式使用逐流负载分担(默认为逐流)3.5 POS【配置描述】：POS中继口的CRC校验位，封装格式等【规范要求】：3.5.1帧格式和封装格式要求和对端相同,如果有传输要求和传输相同3.5.2 除特殊电路要求，CRC统一32 校验位(默认为CRC-32)3.5.3 scramble，要求使能POS接口的载荷加扰功能(默认为scramble)【配置示例】: system-viewQuidway interface pos 1/0/0Quidway -Pos1/0/0 ip address 0 Quidway -Pos1/0/0 undo shutdown4. 路由配置4.1 静态路由配置【配置描述】：如果配置静态路由，参照以下要求【规范要求】：4.1.1 必须指定静态路由的下一跳地址(黑洞路由除外),必要时指定具体接口。4.1.2 根据实际情况设置静态路由和黑洞路由的DISTANCE值，建议使用默认值。4.1.3 在设备支持的情况下，建议设置静态路由的描述。【配置示例】: system-viewQuidway ip route-static GigabitEthernet1/0/0 description TEXT4.2 OSPF配置【配置描述】：OSPF用于在单一自治系统内决策路由，如果网络规划需要配置OSPF，参照以下要求；【规范要求】：4.2.1 OSPF进程号,取值范围1-65535，建议取值为100。4.2.2 一台路由器IGP路由只配置一个OSPF进程号。4.2.3 当存在多个Area时，必须配置骨干区域（Area 0），以保证网络部署的合理性。因目前各市只有一个Area，只需配置本地Area即可。4.2.4 对于不需要启用OSPF路由的端口，须启用passive-interface。4.2.5 必须采用loopback地址来手工设置router-id。4.2.6 在网络中，设备的Router ID必须是唯一的。4.2.7 建议在设备端口上配置启用MD5认证OSPF邻居。4.2.8 如非必要ospf中不引入直连和静态，若必须引入，则重发布静态和直连路由时，建议发布成TYPE-1。4.2.9 在设备支持的情况下，应该添加AREA的描述语句，解释此区域的作用。4.2.10 建议增加NETWORK宣告相应网段的描述。4.2.11 所有非AREA0的区域，必须与AREA0直连，禁止使用虚链接。4.2.12 建议采用非强制方式下发OSPF缺省路由。4.2.13 在配置OSPF路由聚合时，配置一条与之对应的指向Null0的黑洞路由。4.2.14 将同一条链路上互联的OSPF接口的Cost值配置为相同的值。4.2.15 如非特殊情况，应手工设置SR、BRAS上联中继接口的Cost值为100/95（包括GE和10GE接口,10GEcost95,GEcost100）。4.2.16 OSPF邻居两端接口的网络类型要一致。4.2.17 非ABR和ASBR不应做聚合路由。【配置示例】: system-viewQuidwayospf 1 router-id loopback0 silent-interface LoopBack0 area 本地号 network 0 Quidway interface GigabitEthernet 1/0/0ospf cost 100 ospf network-type p2p 4.3 BGP配置【配置描述】：BGP是一种在自治系统之间动态交换路由信息的路由协议，如果网络规划需要，参照以下要求。【规范要求】：4.3.1 要求关闭同步和自动汇总；4.3.2 在日志中记录BGP的邻居变化;4.3.3 建议对多个IBGP邻居配置采用peer-group；4.3.4 建议对IBGP配置路由反射器，不采用联盟；4.3.5 发布路由时尽量使用配置黑洞路由,然后通过network的方式发布聚合路由；4.3.6 EBGP和IBGP，都使用loopback地址建立邻居4.3.7 建议对BGP邻居进行认证，Bgp的密钥使用md5加密； 4.3.8 本地AS号按照全网规范配置。4.3.9 采用loopback手工设置Router ID。4.3.10 禁止配置BGP DAMPING。4.3.11 要求为BGP Peer配置描述信息。【配置示例】:bgp 65144 group ha-xc-vpn internal #建立与城域网核心路由器MP-iBGP邻居关系对等组 peer ha-xc-vpn password * peer ha-xc-vpn connect-interface LoopBack10 peer 29 as-number 65144 peer 29 group ha-xc-vpn peer 29 description PA-XC-QYL-CISCO12816-001 peer 28 as-number 65144 peer 28 group ha-xc-vpn peer 28 description PA-XC-XDL-CISCO12816-001 group ha-xc internal #建立与城域网核心路由器IPv4 iBGP邻居关系对等组 peer ha-xc password * peer ha-xc connect-interface LoopBack0 peer 29 as-number 65144 peer 29 group ha-xc peer 29 description PA-XC-QYL-CISCO12816-001 peer 28 as-number 65144 peer 28 group ha-xc peer 28 description PA-XC-XDL-CISCO12816-001 # ipv4-family unicast undo synchronization import-route direct import-route static import-route unr undo peer 28 enable undo peer 29 enable undo peer ha-xc-vpn enable peer ha-xc enable peer ha-xc route-policy setcommunity export peer ha-xc advertise-community peer 29 enable peer 29 group ha-xc peer 28 enable peer 28 group ha-xc # ipv4-family vpnv4 policy vpn-target peer ha-xc-vpn enable peer ha-xc-vpn advertise-community peer 29 enable peer 29 group ha-xc-vpn peer 28 enable peer 28 group ha-xc-vpn # ipv4-family vpn-instance mplsvpntest network 7 55 # ipv4-family vpn-instance mplsvpn_jiudi import-route direct import-route static import-route unr # ipv4-family vpn-instance xc_guotuju import-route direct import-route static import-route unr # ipv4-family vpn-instance mplsvpn_LaoDongJu import-route direct import-route static import-route unr # 4.4 MPLS配置【配置描述】：如果网络部署MPLS，相关参数参照以下要求。【规范要求】：4.4.1 要求Lsr-id为loopback 的接口地址(华为设备适用)。4.4.2 通过配置控制（如ACL），仅为需要的路由（如：主机路由）分配MPLS标签。4.4.3 使用LDP做为MPLS的标签分发协议，使用DU+有序+自由来分发控制保持标签。（设备默认）【配置示例】: Quidway ip ip-prefix ldp-filter index 10 permit 32 greater-equal 32 less-equal 32Quidway ip ip-prefix ldp-filter index 20 permit 24 greater-equal 24 less-equal 32Quidwaympls lsr-id x.x.x.x Quidwaympls lsp-trigger ip-prefix ldp-filter Quidway interface GigabitEthernet 1/0/0Quidway-GE1/0/0mplsQuidway-GE1/0/0mpls ldp4.5 BFD配置【配置描述】：如果网络配置BFD，参照以下要求。 【规范要求】：4.5.1 要求配置BFD与所运行的协议相关联；4.5.2 要求BFD最小发送间隔10ms，BFD最小接收间隔10ms，配置BFD检测倍数5次。【配置示例】:# 配置ME60A 的接口IP 地址。 system-viewQuidway sysname ME60AME60A interface gigabitEthernet 1/0/0ME60A-GigabitEthernet1/0/0 undo shutdownME60A-GigabitEthernet1/0/0 ip address 24ME60A-GigabitEthernet1/0/0 quit# 配置ME60B 的接口IP 地址。 system-viewQuidway sysname ME60BME60B interface gigabitEthernet 1/0/0ME60B-GigabitEthernet1/0/0 undo shutdownME60B-GigabitEthernet1/0/0 ip address 24ME60B-GigabitEthernet1/0/0 quit# 在ME60A 上使能BFD，并配置与ME60B 之间的BFD Session。需要在BFD Session 中绑定接口。ME60A bfdME60A-bfd quitME60A bfd atob bind peer-ip interface gigabitEthernet 1/0/0ME60A-bfd-session-atob discriminator local 1ME60A-bfd-session-atob discriminator remote 2ME60A-bfd-session-atobmin-tx-interval 100ME60A-bfd-session-atobmin-rx-interval 100ME60A-bfd-session-atob commitME60A-bfd-session-atob quit# 在ME60B 上使能BFD，并配置与ME60A 之间的BFD Session。需要在BFD Session 中绑定接口。ME60B bfdME60B-bfd quitME60B bfd btoa bind peer-ip interface gigabitEthernet 1/0/0ME60B-bfd-session-btoa discriminator local 2ME60B-bfd-session-btoaME60B-bfd-session-btoaME60B-bfd-session-btoa discriminator remote 1ME60A-bfd-session-atobmin-tx-interval 100ME60A-bfd-session-atobmin-rx-interval 100ME60B-bfd-session-btoa commitME60B-bfd-session-btoa quit# 配置BFD for OSPF 特性。ME60A bfdME60A-bfd quitME60A ospfME60A-ospf-1 bfd all-interfaces enableME60A-ospf-1 bfd all-interfaces min-rx-interval 10 mintx-interval 10 detect-multiplier 5ME60A-ospf-1 quit# 在接口上配置BFD 特性，并指定最小发送和接收间隔为100ms。ME60A interface gigabitethernet 2/0/0ME60A-Gigabitethernet2/0/0 ospf bfd enableME60A-Gigabitethernet 2/0/0 ospf bfd min-rx-interval 100 min-tx-interval 100 detect-multiplier 5ME60A-Gigabitethernet 2/0/0 quit配置BFD for BGP 特性。ME60A bfdME60A-bfd quitME60A bgp 100ME60A-bgp peer bfd enableME60A-bgp peer min-rx-interval 100 mintx-interval 100 detect-multiplier 55安全配置5.1 ACL【配置描述】：配置访问控制列表相关参数。【规范要求】：5.1.1 登录访问列表必须配置允许访问地址列表以实现只有特定IP地址主机访问节点。5.1.2 病毒访问列表关闭常见及危害程度较大的病毒、木马端口至少包括：UDP： 135-139、 445、1433-1434、3333、4444、5554、9995、9996； TCP： 135、137139、593、901、1068、2745、3127、3128、3333、 58005900、6129、6667、8998、9996。5.1.3 端口应用URPF在所有下联口采取源地址校验，上联口不配置源地址校验，源地址校验方式采取宽松模式。【配置示例】:acl number 6000 rule 10 deny udp source user-group dial destination-port eq 135rule 20 deny udp source user-group dial destination-port eq 136rule 30 deny udp source user-group dial destination-port eq netbios-nsrule 40 deny udp source user-group dial destination-port eq netbios-dgmrule 50 deny udp source user-group dial destination-port eq netbios-ssrule 60 deny udp source user-group dial destination-port eq 445rule 70 deny udp source user-group dial destination-port eq 1433rule 80 deny udp source user-group dial destination-port eq 1434rule 90 deny udp source user-group dial destination-port eq 3333rule 100 deny udp source user-group dial destination-port eq 4444rule 110 deny udp source user-group dial destination-port eq 5554rule 120 deny udp source user-group dial destination-port eq 9995rule 130 deny udp source user-group dial destination-port eq 9996rule 140 deny tcp source user-group dial destination-port eq 135rule 150 deny tcp source user-group dial destination-port eq 137rule 160 deny tcp source user-group dial destination-port eq 138rule 170 deny tcp source user-group dial destination-port eq 139rule 180 deny tcp source user-group dial destination-port eq 593rule 190 deny tcp source user-group dial destination-port eq 901rule 200 deny tcp source user-group dial destination-port eq 1068rule 210 deny tcp source user-group dial destination-port eq 2745rule 220 deny tcp source user-group dial destination-port eq 3127rule 230 deny tcp source user-group dial destination-port eq 3128rule 240 deny tcp source user-group dial destination-port eq 3333rule 250 deny tcp source user-group dial destination-port eq 5800rule 260 deny tcp source user-group dial destination-port eq 5900rule 270 deny tcp source user-group dial destination-port eq 6129rule 280 deny tcp source user-group dial destination-port eq 6667rule 290 deny tcp source user-group dial destination-port eq 8998 rule 300 deny tcp source user-group dial destination-port eq 9996traffic classifier dial operator or if-match acl 6000traffic behavior dial denytraffic policy limit classifier dial behavior dial system-viewME60B interface gigabitethernet 1/0/0ME60B-GigabitEthernet1/0/0 ip address 52ME60B-GigabitEthernet1/0/0 undo shutdown#在接口GE1/0/0 上使能URPF 功能，要求URPF 做松散检查。ME60B-GigabitEthernet1/0/0 ip urpf loose allow-default5.2服务管理 【配置描述】：关闭不必要的服务。【规范要求】：5.2.1 全局关闭服务全局模式下关闭ftp-server、finger、pad、http、tcp-small-servers、icmp host-unreachable send、icmp redirect send、udp-small-servers等服务进程，如有特殊需要可暂时打开，或建立acl列表进行限制使用。5.2.2 接口关闭服务除业务需要时，在接口模式下需关闭proxy-arp、ip直连广播和ip 重定向等功能。【配置示例】:undo ftp server5.3 引擎防护【配置描述】：保护