河南联通城域网设备配置规范-华为ME60

内部资料 注意保密 城域网设备配置规范 华为 ME60 中国联合网络通信有限公司河南省分公司 二零一六年 2 目目 录录 1 基本配置 3 1 1 设备名称 3 1 2 系统时间配置 4 1 3 NTP 配置 4 1 4 文件管理 5 1 5 Banner 配置 5 2 网管配置 6 2 1 登陆 AAA 6 2 2 SNMP 7 2 3 用户 8 2 4 SYSLOG 8 2 5 TELNET 9 3 端口配置规范 10 3 1 端口命名格式描述 10 3 2 loopback 11 3 3 GE TG 11 3 4 端口捆绑 12 3 5 POS 12 4 路由配置 13 4 1 静态路由配置 13 4 2 OSPF 配置 13 4 3 BGP 配置 14 4 4 MPLS 配置 17 4 5 BFD 配置 18 5 安全配置 20 5 1 ACL 20 5 2 服务管理 23 5 3 引擎防护 23 6 业务实现 23 6 1 PPPOE 业务 23 6 2 专线业务 25 6 3 VPDN 业务 27 6 4 WLAN 业务 29 6 5 MPLS VPN 业务 34 6 6 VPLS 业务 35 6 8 NAT444 业务 37 6 9 预欠费提醒和欠费提醒业务 38 6 10 HGU 业务 41 6 11 IPTV 业务 43 3 1 基本配置基本配置 1 1 设备名称设备名称 配置描述 配置设备名称 规范要求 1 1 1 格式 网络层次描述 市名缩写 所辖区 县名 节点及机房描述 设备型号 序号 字段字段 名称名称 网络层网络层 次描述次描述 市名缩市名缩 写写 所辖区所辖区 县名 县名 节点及节点及 机房描机房描 述述 设备型设备型 号号 序号序号 字段字段 类型类型 英文字 符 符号 连 接符 英文字 符 符号 连 接符 英文字 符 符号 连 接符 字母 数 字序列 符号 连接 符 数字 长度长度 2 1 3 1 10 1 10 1 3 选项选项必选必选必选必选必选必选必选必选必选 说明 说明 原则上字母全部大写 两端和中间没有任何空格 采用定长命名 网络层次描述 2个字母 省网核心层 PB 省网接入层 地市核心层 PA 城域网业务控制层 BRAS和SR设备 MS 城域网汇聚层 MC 城域网接入层 MA 市名缩写 2至3个字母 原则取用其城市名称前两个汉字拼音首字 母 个别城市名长于两个拼音字母的按照实际情况编写 但最长不 应超过四个字母 地市名称缩写为 郑州 ZZ 洛阳 LY 南阳 NY 安阳 AY 焦作 JZ 新乡 XX 三门峡 SMX 济源 JY 开封 KF 商丘 SQ 驻马店 ZMD 漯和 LH 鹤璧 HB 平顶山 PDS 信阳 XY 周口 ZK 濮阳 PY 许昌 XC 所辖区 县名 节点及机房描述 10个字母 原则取用机房名称 4 汉字拼音首字母 个别机房名长于两个拼音字母的按照实际情况编 写 但最长不应超过10个字母或数字 对于同城n个机房缩写相同 则按谐音或近音改变其中n 1个机房的缩写 以实现同城机房名缩 写的唯一性 例一 中原路机房缩写为 ZYL 例二 新密县老局机房缩写为 XMLJ 设备型号 参照厂商设备命名 CISCO12416 HUAWEI8850 ZTE10600 SE800 序号 3个数字 用来标识同一个节点的机同型号设备的序号 范 围从001 999 配置示例 1 2 系统时间配置系统时间配置 配置描述 配置系统时区及系统时间 规范要求 1 2 1 系统时间要求采用标准北京时间 配置示例 1 3 NTPNTP 配置配置 配置描述 配置 NTP 服务器 ME60 sysname MS XX YMK ME60 001 clock datetime HH MM SS YYYY MM DD 配置 NTP server 后时钟显示不正确 对于 ver5 7 的版本需要将时区更改 原配置为 clock timezone GMT minus 08 00 00 更正为 clock timezone GMT add 08 00 00 5 规范要求 1 3 1 为了冗余可靠 可以配置 2 个 ntp 服务器 建议配置密码认证 省内城 域网 BRAS 和 SR 设备配置 NTP 服务器地址 61 163 204 29 1 3 2 source interface 使用 loopback 地址 配置示例 1 4 文件管理文件管理 配置描述 配置设备的系统文件和配置文件 规范要求 1 4 1 设备的系统文件和配置文件存放路径及格式应符合设备规范要求 1 4 2 主备板的系统文件和配置文件保持一致 配置示例 1 5 BannerBanner 配置配置 配置描述 设备 Banner 配置 规范要求 1 5 1 所有设备配置统一的 Banner 信息 登陆时提示 WARNING Authorised access only all of your done will be recorded Disconnect IMMEDIATELY if you are not an authorised user 配置示例 客户端 ntp service source interface LoopBack0 ntp service unicast server 61 163 204 29 ntp service access peer acl 2000 通过命令查看 Dir dis startup 通过 startup saved configuration Startup system software 设置 6 2 网管配置 网管配置 2 1 登陆登陆 AAAAAA 配置描述 配置管理用户登录 AAA 认证 规范要求 2 1 1 配置登陆 AAA 的 tacacs 协议 AAA Server 采用 tacacs 协议 用户登录认证采用集中认证方式 配置认证策略为先本地后 Tacacs 配置示例 header login information WARNING Authorised access only all of your done will be recorded Disconnect IMMEDIATELY if you are not an authorised user hwtacacs server template hacnc hwtacacs server authentication 61 163 204 11 hwtacacs server authentication 61 163 204 12 secondary hwtacacs server authorization 61 163 204 11 hwtacacs server authorization 61 163 204 12 secondary hwtacacs server accounting 61 163 204 11 hwtacacs server accounting 61 163 204 12 secondary hwtacacs server source ip 61 168 255 222 hwtacacs server shared key EJ FUhY94hZ 8 A undo hwtacacs server user name domain included Quidway aaa authentication scheme hacnc authentication mode local hwtacacs authentication super super hwtacacs accounting scheme hacnc accounting mode hwtacacs accounting start fail online domain default admin 7 2 1 2 Tacacs 账号 对不同用户授予不同权限 实现分级分权管理 至少分为二级分权管理 查看 配置 配置本地认证一个超级帐号供应急使用 配置示例 2 2 SNMPSNMP 配置描述 配置 SNMP 参数 规范要求 2 2 1 snmp 读 写共同体 不能采用默认的 public 和 private 并且 Snmp 字符串除特殊情况不可 以设置为写属性 读 写属性要求采用非缺省团体名字符串并满足一定 的强度要求 建议采用字母 数字和特殊字符的组合 长度不少于 6 位 2 2 2 SNMP 访问 采取 SNMP 访问的限制措施 仅允许授权网段访问路由器的 SNMP 服务 2 2 3 SNMP TRAP 开启 SNMP TRAP TRAP 信息传送网管服务器 2 2 4 Snmp 的源地址 Snmp 的源地址必须为 loopback 地址 2 2 5 SNMP 版本 authentication scheme hacnc accounting scheme hacnc adminuser priority 3 hwtacacs server hacnc Quidway local aaa server user 本地账号 password cipher 本地密码 authentication type T level 3 T 表示 telnet 8 Snmp 版本要求设置为 V2 V2c 如有特殊的需要可进行相应修改 尽量避 免 V1 版本的出现 配置示例 system view 进入系统视图 Quidway acl number 2000 设定允许访问地址段 rule 5 permit source 218 29 255 0 0 0 0 255 rule 10 permit source 61 163 204 0 0 0 3 255 rule 15 permit source 本地允许地址段 Quidway snmp agent acl 2000 Quidway snmp agent community read Quidway snmp agent sys info version V2C Quidway ifindex constant 开启接口索引 2 3 用户用户 配置描述 配置管理用户 规范要求 2 3 1 用户授权配置 配置用户授权 对不同用户授予不同权限 实现分级分权管理 2 3 2 用户密码配置 密码采用系统全局配置的 USERNAME 和 PASSWORD 密码字符串要求应由 字母 数字和特殊字符等组成 且不能低于 6 位 2 3 3 空闲时间设置 对 VTY CONSOLE AUX 登陆超时设置进行配置 设置空闲时间为 10 分钟 2 3 4 账号管理 根据相关规程定期更新用户名 密码 删除无关账号 配置示例 system view 进入系统视图 Quidway local aaa server user 本地账号 password cipher 本地密码 authentication type T level 1 Quidway user interface vty 0 4 acl inbound 9 authentication mode aaa idle timeout 10 0 2 4 SYSLOGSYSLOG 配置描述 配置 SYSLOG 日志参数 规范要求 全省 BRAS SR 配置 syslog 地址为 61 163 204 13 2 4 1 日志功能配置 设备必须配置日志功能 记录所有中高风险 minor marjor 的事件 其中必须记录用户登录事件 并对高风险的事件产生告警 2 4 2 时间设置 log 信息采用北京时间来显示 2 4 3 日志主机设置 log 信息需集中保存到 log server 上 可以配置多个 log server 2 4 4 Syslog 触发级别设置 根据不同设备实际情况调整 需包含如下信息 端口 UP DOWN BGP OSPF MPLS 邻居 updown 设备重启 板卡状态改变 配置示例 开启信息中心 system view Quidway info center enable 配置通道允许输出日志信息的模块和严重级别 Quidway info center source default channel 2 log level warning 配置发送日志信息的源接口 Quidway info center loghost source LoopBack0 配置日志信息输出到指定的日志主机 Quidway info center loghost 61 163 204 13 facility local3 local time 2 5 TELNETTELNET 配置描述 配置 TELNET 远程登录参数 规范要求 10 2 5 1 TELNET 登陆限制 根据实际情况只允许授权网段对设备 VTY 远程访问 允许的省公司管理地址如下 以 cisco 设备配置为例 access list 7 permit 218 29 255 0 0 0 0 255 access list 7 permit 61 168 254 0 0 0 1 255 access list 7 permit 61 163 204 0 0 0 3 255 允许的市公司管理地址如下 市公司的网管地址 设备上联中继地址 登陆限制需要配合 ACL 使用 配置示例 system view 进入系统视图 Quidway acl number 2007 rule 0 permit source 218 29 255 0 0 0 0 255 rule 1 permit source 61 168 254 0 0 0 1 255 rule 3 permit source 61 163 204 0 0 0 3 255 rule 4 permit source 本地授权地址段 Quidway user interface vty 0 4 acl 2007 inbound authentication mode aaa idle timeout 10 0 3 端口配置规范 端口配置规范 3 1 端口命名格式描述端口命名格式描述 配置描述 所有已使用端口根据用途均要正确配置端口描述 规范要求 3 1 1 端口命名格式 To To 对端设备名称 端口号 电路类型 电路条目 电路代号对端设备名称 端口号 电路类型 电路条目 电路代号 ToTo 对端对端 设备设备 名称名称 电路电路 类型类型 电电 路路 条条 目目 电电 路路 代代 号号 符 号 字 符 字 符 字符字符字符字符字符 字 符 字 符 字 符 11 长 度 2 1 32 10 括号内 为端口 号 1 7 1 3 1 1 5 选 项 必 选 必 选 必选必选必选必选必选 必 选 必 选 必 选 说明 说明 1 原则上字母全部大写 除了 To 标点符号为英文标点 2 To的后面为对端设备名称和互联端口号 3 设备名称按设备名称命名规范命名 4 固定字符串 英文下划线 5 电路类型 10M 100M GE 155M 622M 2 5G 10GPOS 10GE等 等 用 10GPOS 和 10GE 来区分POS端口还是以太网端口 6 电路条目 用于区分两台设备之间互联的相同带宽的链路数量 如 果两台设备之间只采用1条链路 那么该字符为 001 如果有2条 那么第二个端口为 002 以此类推 7 电路代号 长传或本传电路代号 配置示例 interface GigabitEthernet7 0 0 description To PA XX TX NE5000E 001 G4 0 2 GE 001 电路代号 表示该端口联接到新乡铁西NE5000E的G4 0 2端口 链路带宽为GE的第1条链路 3 2 loopbackloopback 配置描述 配置 Loopback 端口 IP 地址和子网掩码 规范要求 3 2 1端口配置地址要求为 32 位掩码 3 2 2采用统一规划的 Loopback 地址作为 RADIUS snmp MP BGP 等协议的 Update Source 配置示例 system view 12 Quidway interface LoopBack0 ip address A B C D 255 255 255 255 3 3 GE TGGE TG 配置描述 配置端口协商 速率 MTU 等 规范要求 3 3 1 端口协商强制关闭 配置成全双工 速率 1000M 特殊业务需求时可打开 协商 3 3 2 上联中继端口 mtu 统一 1524 3 3 3 下联中继口打开端口波动抑制 UP 10s DOWN 2 5s 配置示例 system view Quidway inter GigabitEthernet1 0 0 undo negotiation auto mtu 1524 carrier up hold time 10000 carrier down hold time 2500 3 4 端口捆绑端口捆绑 配置描述 链路捆绑端口的 MTU 负载分担方式等 规范要求 3 4 1设置 TRK 里最小活动链路数 最小值为 1 默认为 1 3 4 2TRK 中端口的负载分担方式使用逐流负载分担 默认为逐流 3 5 POSPOS 配置描述 POS 中继口的 CRC 校验位 封装格式等 规范要求 3 5 1 帧格式和封装格式要求和对端相同 如果有传输要求和传输相同 13 3 5 2 除特殊电路要求 CRC 统一 32 校验位 默认为 CRC 32 3 5 3 scramble 要求使能 POS 接口的载荷加扰功能 默认为 scramble 配置示例 system view Quidway interface pos 1 0 0 Quidway Pos1 0 0 ip address 10 110 1 10 255 255 255 0 Quidway Pos1 0 0 undo shutdown 4 路由配置路由配置 4 1 静态路由配置静态路由配置 配置描述 如果配置静态路由 参照以下要求 规范要求 4 1 1 必须指定静态路由的下一跳地址 黑洞路由除外 必要时指定具体接口 4 1 2 根据实际情况设置静态路由和黑洞路由的 DISTANCE 值 建议使用默认值 4 1 3 在设备支持的情况下 建议设置静态路由的描述 配置示例 system view Quidway ip route static 0 0 0 0 0 0 0 0 GigabitEthernet1 0 0 1 1 4 2 description TEXT 4 2 OSPFOSPF 配置配置 配置描述 OSPF 用于在单一自治系统内决策路由 如果网络规划需要配置 OSPF 参照以下要求 规范要求 4 2 1 OSPF 进程号 取值范围 1 65535 建议取值为 100 4 2 2 一台路由器 IGP 路由只配置一个 OSPF 进程号 4 2 3 当存在多个 Area 时 必须配置骨干区域 Area 0 以保证网络部署的合 理性 因目前各市只有一个 Area 只需配置本地 Area 即可 14 4 2 4 对于不需要启用 OSPF 路由的端口 须启用 passive interface 4 2 5 必须采用 loopback 地址来手工设置 router id 4 2 6 在网络中 设备的 Router ID 必须是唯一的 4 2 7 建议在设备端口上配置启用 MD5 认证 OSPF 邻居 4 2 8 如非必要 ospf 中不引入直连和静态 若必须引入 则重发布静态和直连 路由时 建议发布成 TYPE 1 4 2 9 在设备支持的情况下 应该添加 AREA 的描述语句 解释此区域的作用 4 2 10 建议增加 NETWORK 宣告相应网段的描述 4 2 11 所有非 AREA0 的区域 必须与 AREA0 直连 禁止使用虚链接 4 2 12 建议采用非强制方式下发 OSPF 缺省路由 4 2 13 在配置 OSPF 路由聚合时 配置一条与之对应的指向 Null0 的黑洞路由 4 2 14 将同一条链路上互联的 OSPF 接口的 Cost 值配置为相同的值 4 2 15 如非特殊情况 应手工设置 SR BRAS 上联中继接口的 Cost 值为 100 95 包括 GE 和 10GE 接口 10GEcost95 GEcost100 4 2 16 OSPF 邻居两端接口的网络类型要一致 4 2 17 非 ABR 和 ASBR 不应做聚合路由 配置示例 system view Quidway ospf 1 router id loopback0 silent interface LoopBack0 area 本地号 network 10 255 223 20 0 0 0 3 Quidway interface GigabitEthernet 1 0 0 ospf cost 100 ospf network type p2p 4 3 BGPBGP 配置配置 配置描述 BGP 是一种在自治系统之间动态交换路由信息的路由协议 如 15 果网络规划需要 参照以下要求 规范要求 4 3 1 要求关闭同步和自动汇总 4 3 2 在日志中记录 BGP 的邻居变化 4 3 3 建议对多个 IBGP 邻居配置采用 peer group 4 3 4 建议对 IBGP 配置路由反射器 不采用联盟 4 3 5 发布路由时尽量使用配置黑洞路由 然后通过 network 的方式发布聚合路 由 4 3 6 EBGP 和 IBGP 都使用 loopback 地址建立邻居 4 3 7 建议对 BGP 邻居进行认证 Bgp 的密钥使用 md5 加密 4 3 8 本地 AS 号按照全网规范配置 4 3 9 采用 loopback 手工设置 Router ID 4 3 10 禁止配置 BGP DAMPING 4 3 11 要求为 BGP Peer 配置描述信息 配置示例 bgp 65144 group ha xc vpn internal 建立与城域网核心路由器MP iBGP邻居关系对等组 peer ha xc vpn password peer ha xc vpn connect interface LoopBack10 peer 61 168 232 229 as number 65144 peer 61 168 232 229 group ha xc vpn peer 61 168 232 229 description PA XC QYL CISCO12816 001 peer 61 168 232 228 as number 65144 peer 61 168 232 228 group ha xc vpn peer 61 168 232 228 description PA XC XDL CISCO12816 001 group ha xc internal 建立与城域网核心路由器IPv4 iBGP邻居关系对等组 peer ha xc password peer ha xc connect interface LoopBack0 peer 61 168 255 229 as number 65144 17 peer 61 168 255 229 group ha xc peer 61 168 255 229 description PA XC QYL CISCO12816 001 peer 61 168 255 228 as number 65144 peer 61 168 255 228 group ha xc peer 61 168 255 228 description PA XC XDL CISCO12816 001 ipv4 family unicast undo synchronization import route direct import route static import route unr undo peer 61 168 232 228 enable undo peer 61 168 232 229 enable undo peer ha xc vpn enable peer ha xc enable peer ha xc route policy setcommunity export peer ha xc advertise community peer 61 168 255 229 enable peer 61 168 255 229 group ha xc peer 61 168 255 228 enable peer 61 168 255 228 group ha xc ipv4 family vpnv4 policy vpn target peer ha xc vpn enable peer ha xc vpn advertise community peer 61 168 232 229 enable peer 61 168 232 229 group ha xc vpn peer 61 168 232 228 enable 18 peer 61 168 232 228 group ha xc vpn ipv4 family vpn instance mplsvpntest network 192 168 4 47 255 255 255 255 ipv4 family vpn instance mplsvpn jiudi import route direct import route static import route unr ipv4 family vpn instance xc guotuju import route direct import route static import route unr ipv4 family vpn instance mplsvpn LaoDongJu import route direct import route static import route unr 4 4 MPLSMPLS 配置配置 配置描述 如果网络部署 MPLS 相关参数参照以下要求 规范要求 4 4 1 要求 Lsr id 为 loopback 的接口地址 华为设备适用 4 4 2 通过配置控制 如 ACL 仅为需要的路由 如 主机路由 分配 MPLS 标 签 4 4 3 使用 LDP 做为 MPLS 的标签分发协议 使用 DU 有序 自由来分发控制保持 标签 设备默认 19 配置示例 Quidway ip ip prefix ldp filter index 10 permit 61 168 69 3 32 greater equal 32 less equal 32 Quidway ip ip prefix ldp filter index 20 permit 61 168 190 0 24 greater equal 24 less equal 32 Quidway mpls lsr id x x x x Quidway mpls lsp trigger ip prefix ldp filter Quidway interface GigabitEthernet 1 0 0 Quidway GE1 0 0 mpls Quidway GE1 0 0 mpls ldp 4 5 BFDBFD 配置配置 配置描述 如果网络配置 BFD 参照以下要求 规范要求 4 5 1 要求配置 BFD 与所运行的协议相关联 4 5 2 要求 BFD 最小发送间隔 10ms BFD 最小接收间隔 10ms 配置 BFD 检测倍 数 5 次 配置示例 配置ME60A 的接口IP 地址 system view Quidway sysname ME60A ME60A interface gigabitEthernet 1 0 0 ME60A GigabitEthernet1 0 0 undo shutdown ME60A GigabitEthernet1 0 0 ip address 10 1 1 1 24 ME60A GigabitEthernet1 0 0 quit 配置ME60B 的接口IP 地址 system view Quidway sysname ME60B 21 ME60B interface gigabitEthernet 1 0 0 ME60B GigabitEthernet1 0 0 undo shutdown ME60B GigabitEthernet1 0 0 ip address 10 1 1 2 24 ME60B GigabitEthernet1 0 0 quit 在ME60A 上使能BFD 并配置与ME60B 之间的BFD Session 需要在BFD Session 中绑 定接口 ME60A bfd ME60A bfd quit ME60A bfd atob bind peer ip 10 1 1 2 interface gigabitEthernet 1 0 0 ME60A bfd session atob discriminator local 1 ME60A bfd session atob discriminator remote 2 ME60A bfd session atob min tx interval 100 ME60A bfd session atob min rx interval 100 ME60A bfd session atob commit ME60A bfd session atob quit 在ME60B 上使能BFD 并配置与ME60A 之间的BFD Session 需要在BFD Session 中绑 定接口 ME60B bfd ME60B bfd quit ME60B bfd btoa bind peer ip 10 1 1 1 interface gigabitEthernet 1 0 0 ME60B bfd session btoa discriminator local 2 ME60B bfd session btoa ME60B bfd session btoa ME60B bfd session btoa discriminator remote 1 22 ME60A bfd session atob min tx interval 100 ME60A bfd session atob min rx interval 100 ME60B bfd session btoa commit ME60B bfd session btoa quit 配置BFD for OSPF 特性 ME60A bfd ME60A bfd quit ME60A ospf ME60A ospf 1 bfd all interfaces enable ME60A ospf 1 bfd all interfaces min rx interval 10 mintx interval 10 detect multiplier 5 ME60A ospf 1 quit 在接口上配置BFD 特性 并指定最小发送和接收间隔为100ms ME60A interface gigabitethernet 2 0 0 ME60A Gigabitethernet2 0 0 ospf bfd enable ME60A Gigabitethernet 2 0 0 ospf bfd min rx interval 100 min tx interval 100 detect multiplier 5 ME60A Gigabitethernet 2 0 0 quit 配置BFD for BGP 特性 ME60A bfd ME60A bfd quit ME60A bgp 100 ME60A bgp peer 200 1 1 2 bfd enable 23 ME60A bgp peer 200 1 1 2 min rx interval 100 mintx interval 100 detect multiplier 5 5 安全配置 安全配置 5 1 ACLACL 配置描述 配置访问控制列表相关参数 规范要求 5 1 1 登录访问列表 必须配置允许访问地址列表以实现只有特定 IP 地址主机访问节点 5 1 2 病毒访问列表 关闭常见及危害程度较大的病毒 木马端口至少包括 UDP 135 139 445 1433 1434 3333 4444 5554 9995 9996 TCP 135 137 139 593 901 1068 2745 3127 3128 3333 5800 5900 6129 6667 8998 9996 5 1 3 端口应用 URPF 在所有下联口采取源地址校验 上联口不配置源地址校验 源地址校验 方式采取宽松模式 配置示例 acl number 6000 rule 10 deny udp source user group dial destination port eq 135 rule 20 deny udp source user group dial destination port eq 136 rule 30 deny udp source user group dial destination port eq netbios ns rule 40 deny udp source user group dial destination port eq netbios dgm rule 50 deny udp source user group dial destination port eq netbios ss rule 60 deny udp source user group dial destination port eq 445 rule 70 deny udp source user group dial destination port eq 1433 rule 80 deny udp source user group dial destination port eq 1434 24 rule 90 deny udp source user group dial destination port eq 3333 rule 100 deny udp source user group dial destination port eq 4444 rule 110 deny udp source user group dial destination port eq 5554 rule 120 deny udp source user group dial destination port eq 9995 rule 130 deny udp source user group dial destination port eq 9996 rule 140 deny tcp source user group dial destination port eq 135 rule 150 deny tcp source user group dial destination port eq 137 rule 160 deny tcp source user group dial destination port eq 138 rule 170 deny tcp source user group dial destination port eq 139 rule 180 deny tcp source user group dial destination port eq 593 rule 190 deny tcp source user group dial destination port eq 901 rule 200 deny tcp source user group dial destination port eq 1068 rule 210 deny tcp source user group dial destination port eq 2745 rule 220 deny tcp source user group dial destination port eq 3127 rule 230 deny tcp source user group dial destination port eq 3128 rule 240 deny tcp source user group dial destination port eq 3333 rule 250 deny tcp source user group dial destination port eq 5800 rule 260 deny tcp source user group dial destination port eq 5900 rule 270 deny tcp source user group dial destination port eq 6129 rule 280 deny tcp source user group dial destination port eq 6667 rule 290 deny tcp source user group dial destination port eq 8998 rule 300 deny tcp source user group dial destination port eq 9996 traffic classifier dial operator or if match acl 6000 25 traffic behavior dial deny traffic policy limit classifier dial behavior dial system view ME60B interface gigabitethernet 1 0 0 ME60B GigabitEthernet1 0 0 ip address 172 19 139 2 255 255 255 252 ME60B GigabitEthernet1 0 0 undo shutdown 在接口GE1 0 0 上使能URPF 功能 要求URPF 做松散检查 ME60B GigabitEthernet1 0 0 ip urpf loose allow default 5 2 服务管理服务管理 配置描述 关闭不必要的服务 规范要求 5 2 1 全局关闭服务 全局模式下关闭 ftp server finger pad http tcp small servers icmp host unreachable send icmp redirect send udp small servers 等服务进程 如有特殊需要可暂时打开 或建立 acl 列 表进行限制使用 5 2 2 接口关闭服务 除业务需要时 在接口模式下需关闭 proxy arp ip 直连广播和 ip 重 定向等功能 配置示例 undo ftp server 5 3 引擎防护引擎防护 配置描述 保护设备引擎避免遭受攻击 规范要求 26 5 3 1 如果设备支持 需打开引擎防护功能 6 业务实现业务实现 6 1 PPPOEPPPOE 业务业务 配置描述 如果设备启用了 PPPOE 业务功能 参数配置参照以下要求 规范要求 6 1 1 DNS 服务器 必须配置主备 DNS 服务器 6 1 2 RADIUS 认证方式 必须使用 loopback 地址作为认证的源地址 6 1 3 RADIUS 计费方式 必须配置 RADIUS 计费方式 6 1 4 RADIUS 备份 应至少配置主备 2 台 RADIUS 6 1 5 地址池 地址池大小建议不小于 4 个 C 6 1 6 用户限速 使用 RADIUS 属性给用户限速 配置示例 配置认证方案 system view Quidway aaa Quidway aaa authentication scheme auth1 Quidway aaa authen auth1 authentication mode radius Quidway aaa authen auth1 quit 配置计费方案 Quidway aaa accounting scheme acct1 Quidway aaa accounting acct1 accounting mode radius 27 Quidway aaa accounting acct1 quit Quidway aaa quit 配置RADIUS服务器组 Quidway radius server source interface LoopBack0 Quidway radius server group dial radius server shared key authentication 221 13 223 140 1645 weight 0 radius server shared key authentication 202 111 141 70 1645 weight 0 radius server shared key accounting 221 13 223 140 1646 weight 0 radius server shared key accounting 202 111 141 70 1646 weight 0 radius server shared key radius server class as car radius server source interface LoopBack0 undo radius server user name domain included 配置地址池 Quidway ip pool pool1 bas local Quidway ip pool pool1 gateway x x x x 255 255 255 0 Quidway ip pool pool1 section 0 x x x x y y y y Quidway ip pool pool1 Dns server 202 102 224 68 202 102 227 68 配置域 Quidway aaa Quidway aaa domain isp1 Quidway aaa domain isp1 authentication scheme auth1 Quidway aaa domain isp1 accounting scheme acct1 Quidway aaa domain isp1 radius server group