内部资料注意保密城域网设备配置规范—华为ME60中国联合网络通信有限公司河南省分公司二零一六年目录1. 基本配置 (3)1.1 设备名称 (3)1.2 系统时间配置 (4)1.3 NTP配置 (4)1.4 文件管理 (5)1.5 Banner配置 (5)2.网管配置 (6)2.1 登陆AAA (6)2.2 SNMP (7)2.3 用户 (8)2.4 SYSLOG (9)2.5 TELNET (9)3.端口配置规范 (10)3.1 端口命名格式描述 (10)3.2 loopback (11)3.3 GE/TG (12)3.4 端口捆绑 (12)3.5 POS (12)4. 路由配置 (13)4.1 静态路由配置 (13)4.2 OSPF配置 (13)4.3 BGP配置 (14)4.4 MPLS配置 (17)4.5 BFD配置 (18)5.安全配置 (21)5.1 ACL (21)5.2服务管理 (23)5.3 引擎防护 (23)6. 业务实现 (24)6.1 PPPOE业务 (24)6.2 专线业务 (26)6.3 VPDN业务 (27)6.4 WLAN业务 (29)6.5 MPLS VPN 业务 (34)6.6 VPLS业务 (35)6.8 NAT444业务 (37)6.9 预欠费提醒和欠费提醒业务 (45)6.10 HGU业务 (48)6.11 IPTV业务 (50)1. 基本配置1.1 设备名称【配置描述】: 配置设备名称【规范要求】:1.1.1 格式:网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号说明:⏹原则上字母全部大写,两端和中间没有任何空格,采用定长命名。
⏹网络层次描述:2个字母。
✓省网核心层:PB✓省网接入层(地市核心层):PA✓城域网业务控制层(BRAS和SR设备):MS✓城域网汇聚层:MC✓城域网接入层:MA⏹市名缩写:2至3个字母。
原则取用其城市名称前两个汉字拼音首字母,个别城市名长于两个拼音字母的按照实际情况编写,但最长不应超过四个字母。
地市名称缩写为:郑州(ZZ),洛阳(LY)、南阳(NY)、安阳(AY)、焦作(JZ)、新乡(XX)、三门峡(SMX)、济源(JY)、开封(KF),商丘(SQ)、驻马店(ZMD)、漯和(LH)、鹤璧(HB)、平顶山(PDS)、信阳(XY)、周口(ZK)、濮阳(PY)、许昌(XC)。
⏹所辖区/县名、节点及机房描述:≤10个字母。
原则取用机房名称汉字拼音首字母,个别机房名长于两个拼音字母的按照实际情况编写,但最长不应超过10个字母或数字。
对于同城n个机房缩写相同,则按谐音或近音改变其中n-1个机房的缩写,以实现同城机房名缩写的唯一性。
✓例一:中原路机房缩写为:ZYL✓例二:新密县老局机房缩写为:XMLJ⏹设备型号:参照厂商设备命名。
✓CISCO12416✓HUAWEI8850✓ZTE10600✓SE800⏹序号:3个数字。
用来标识同一个节点的机同型号设备的序号。
范围从001-999。
【配置示例】:1.2 系统时间配置【配置描述】:配置系统时区及系统时间;【规范要求】:1.2.1 系统时间要求采用标准北京时间【配置示例】:1.3 NTP配置【配置描述】:配置NTP服务器;【规范要求】:1.3.1 为了冗余可靠,可以配置2个ntp服务器,建议配置密码认证,省内城域网BRAS和SR设备配置NTP服务器地址:61.163.204.29。
1.3.2 source-interface使用loopback地址【配置示例】:1.4 文件管理【配置描述】:配置设备的系统文件和配置文件;【规范要求】:1.4.1 设备的系统文件和配置文件存放路径及格式应符合设备规范要求1.4.2 主备板的系统文件和配置文件保持一致【配置示例】:1.5 Banner配置【配置描述】:设备Banner配置【规范要求】:1.5.1 所有设备配置统一的Banner信息,登陆时提示:WARNING!!! Authorised access only, all of your done will be recorded!Disconnect IMMEDIATELY if you are not an authorised user!【配置示例】:2.网管配置2.1 登陆AAA【配置描述】:配置管理用户登录AAA认证【规范要求】:2.1.1 配置登陆AAA的tacacs+协议AAA Server采用tacacs协议,用户登录认证采用集中认证方式。
配置认证策略为先本地后Tacacs。
【配置示例】:hwtacacs-server template hacnchwtacacs-server authentication 61.163.204.11hwtacacs-server authentication 61.163.204.12 secondaryhwtacacs-server authorization 61.163.204.11hwtacacs-server authorization 61.163.204.12 secondaryhwtacacs-server accounting 61.163.204.11hwtacacs-server accounting 61.163.204.12 secondaryhwtacacs-server source-ip 61.168.255.222hwtacacs-server shared-key EJ*FUhY94hZ*8+!Aundo hwtacacs-server user-name domain-included[Quidway ]aaaauthentication-scheme hacncauthentication-mode local hwtacacsauthentication-super super hwtacacs#accounting-scheme hacncaccounting-mode hwtacacsaccounting start-fail online#domain default_admin2.1.2 Tacacs账号对不同用户授予不同权限,实现分级分权管理,至少分为二级分权管理(查看、配置)。
配置本地认证一个超级帐号供应急使用。
【配置示例】:2.2 SNMP【配置描述】:配置SNMP参数【规范要求】:2.2.1 snmp读/写共同体不能采用默认的public和private,并且Snmp字符串除特殊情况不可以设置为写属性。
读、写属性要求采用非缺省团体名字符串并满足一定的强度要求(建议采用字母、数字和特殊字符的组合,长度不少于6位);2.2.2 SNMP访问采取SNMP访问的限制措施,仅允许授权网段访问路由器的SNMP 服务;2.2.3 SNMP TRAP开启SNMP TRAP,TRAP信息传送网管服务器。
2.2.4 Snmp的源地址Snmp的源地址必须为loopback地址2.2.5 SNMP 版本Snmp版本要求设置为V2/V2c,如有特殊的需要可进行相应修改,尽量避免V1版本的出现。
【配置示例】:2.3 用户【配置描述】:配置管理用户【规范要求】:2.3.1 用户授权配置配置用户授权,对不同用户授予不同权限,实现分级分权管理。
2.3.2 用户密码配置密码采用系统全局配置的USERNAME和PASSWORD,密码字符串要求应由字母、数字和特殊字符等组成,且不能低于6位。
2.3.3 空闲时间设置对VTY、CONSOLE、AUX登陆超时设置进行配置,设置空闲时间为10分钟。
2.3.4 账号管理根据相关规程定期更新用户名、密码,删除无关账号。
【配置示例】:2.4 SYSLOG【配置描述】:配置SYSLOG日志参数【规范要求】:全省BRAS、SR配置syslog地址为:61.163.204.13。
2.4.1日志功能配置设备必须配置日志功能,记录所有中高风险(minor、marjor)的事件,其中必须记录用户登录事件,并对高风险的事件产生告警。
2.4.2 时间设置log信息采用北京时间来显示;2.4.3 日志主机设置log信息需集中保存到 log server上,可以配置多个 log server;2.4.4 Syslog触发级别设置根据不同设备实际情况调整,需包含如下信息:(端口UP DOWN 、BGP\OSPF\MPLS 邻居updown、设备重启、板卡状态改变)【配置示例】:2.5 TELNET【配置描述】:配置TELNET远程登录参数【规范要求】:2.5.1 TELNET登陆限制根据实际情况只允许授权网段对设备VTY远程访问。
允许的省公司管理地址如下(以cisco设备配置为例):access-list 7 permit 218.29.255.0 0.0.0.255access-list 7 permit 61.168.254.0 0.0.1.255access-list 7 permit 61.163.204.0 0.0.3.255允许的市公司管理地址如下:市公司的网管地址、设备上联中继地址。
登陆限制需要配合ACL使用【配置示例】:3.端口配置规范3.1 端口命名格式描述【配置描述】: 所有已使用端口根据用途均要正确配置端口描述【规范要求】:3.1.1 端口命名格式:To_对端设备名称(端口号):电路类型:电路条目:电路代号说明:1)原则上字母全部大写(除了“To”),标点符号为英文标点2)To的后面为对端设备名称和互联端口号3)设备名称按设备名称命名规范命名4)_:固定字符串(英文下划线);5)电路类型:10M、100M、GE、155M、622M、2.5G、10GPOS、10GE等等,用“10GPOS”和“10GE”来区分POS端口还是以太网端口;6)电路条目:用于区分两台设备之间互联的相同带宽的链路数量,如果两台设备之间只采用1条链路,那么该字符为“001”,如果有2条,那么第二个端口为“002”,以此类推;7)电路代号:长传或本传电路代号。
【配置示例】:3.2 loopback【配置描述】: 配置Loopback端口IP地址和子网掩码【规范要求】:3.2.1 端口配置地址要求为32位掩码3.2.2 采用统一规划的Loopback地址作为RADIUS,snmp,MP-BGP等协议的Update Source【配置示例】:3.3 GE/TG【配置描述】:配置端口协商、速率、MTU等【规范要求】:3.3.1 端口协商强制关闭,配置成全双工,速率1000M,特殊业务需求时可打开协商3.3.2 上联中继端口mtu统一15243.3.3下联中继口打开端口波动抑制,UP 10s DOWN 2.5s【配置示例】:3.4 端口捆绑【配置描述】:链路捆绑端口的MTU,负载分担方式等【规范要求】:3.4.1 设置TRK里最小活动链路数,最小值为1(默认为1)3.4.2 TRK中端口的负载分担方式使用逐流负载分担(默认为逐流)3.5 POS【配置描述】:POS中继口的CRC校验位,封装格式等【规范要求】:3.5.1帧格式和封装格式要求和对端相同,如果有传输要求和传输相同3.5.2 除特殊电路要求,CRC统一32 校验位(默认为CRC-32)3.5.3 scramble,要求使能POS接口的载荷加扰功能(默认为scramble)【配置示例】:4. 路由配置4.1 静态路由配置【配置描述】:如果配置静态路由,参照以下要求【规范要求】:4.1.1 必须指定静态路由的下一跳地址(黑洞路由除外),必要时指定具体接口。