城域网出口路由器配置规范脚本POS 配置规范–POS framing建议为SDH–CRC设置为32位–开启POS Payload扰码–POS flag统一为s1s0 2/?/–关闭direct-broadcast特性–关闭proxy-arp特性–建议打开所有pos故障报告，视厂家来定–打开端口ais-shut告警。

视厂家来定/7750缺省打开/–NETFLOW 和采样比的设定定2000:1 /7750最大只支持1000:1/–电路时钟选择遵循以下要求：–请添加模板configure port 1/1/1 sonet-sdh framing sdhconfigure port 1/1/1 sonet-sdh path crc 32configure port 1/1/1 sonet-sdh path scrambleconfigure port 1/1/1 sonet-sdh clock-source loop-timed //line时钟configure port 1/1/1 sonet-sdh clock-source node-timed //internal时钟configure router interface test no local-proxy-arpconfigure router interface test no allow-directed-broadcasts configure router interface test cflowd interfaceconfigure cflowd rate 1000 //最小1000:1GE 口配置规范-关闭GE端口自动协商机制。

–网内互连端口二层MTU统一设置为1500，网络边缘接入端口MTU必须和对端保持一致。

/7750的MTU是包括了数据链路层包头/–关闭direct-broadcast特性。

–关闭proxy-arp特性请添加模板configure port 1/1/1 ethernet no autonegotiateconfigure port 1/1/1 ethernet mtu 1514configure router interface test no local-proxy-arpconfigure router interface test no allow-directed-broadcasts路由规范总体要求●城域网出口和省网接口配置EBGP●城域网出口和SR 使用OSPF 协议，处于同一AREA 0●城域网出口和BRAS 之间旧BRAS 设备采用静态路由新BRAS 设备采用OSPF 路由●播放给省网采用黑洞路由，PREFIX 方式播放。

尽量汇聚路由●接口地址和其它需要地址（采用ROUTE MAP 限制）注入到OSPF 中●使用0.0.0.0 的浮动缺省静态路由指到省网节点，优先级为210静态路由规范•静态路由配置需要下一跳和接口同时绑定/7750只能添加地址不能同时添加接口/请添加模板configure router static-route 192.168.0.0/24 next-hop 10.0.0.1•一般静态路由优先级别设置为1请添加模板configure router static-route 192.168.0.0/24 next-hop 10.0.0.1 preference 1OSPF 路由规范•AREA 划分：一个AREA ,出口和SR 一个AREA.其它在非骨干区域•PROCESS ID：统一，一个OSPF 进程（进程号为163)•ROUTER ID 选取：LOOPBACK 0 地址•METRIC 选取：将OSPF cost自动计算参数设置为10,000,000,000•认证的配置：建议使用链路MD5•负载均衡选择8•接口类型的选取：尽量使用点对点的类型•缺省路由的处理从骨干网学到的BGP default路由，生成OSPF default路由，发布到整个OSPF域。

当该BGP路由器上的BGP default路由消失后，将不再产生OSPF default路由•不能在OSPF 里面启用NETWORK 0.0.0.0•邻居的变化：记录邻居的变化 log-adjacency-changes•静态注入到OSPF 路由采用PREFIX 限制•注入外部路由的处理：采用E1 类型，同时COST 加1Import-route static cost 1 type 1 route-policy deny-null请添加模板config router router-id x.x.x.xconfig router ecmp 8config router ospfasbrinternal preference 110external preference 150reference-bandwidth 10000000export "default-router" "static-to-ospf"area 0.0.0.0interface To-SR-1authentication-type message-digestmessage-digest-key xx md5 keyinterface-type point-to-pointexitexitarea 0.0.0.1interface To-Bras-1authentication-type message-digestmessage-digest-key xx md5 keyinterface-type point-to-pointexitexitconfig router policy-optionbeginprefix-list "defaultroute" prefix 0.0.0.0/0 exactprefix-list "staticroute" prefix 0.0.0.0/0 exactpolicy-statement "default-router"entry 1fromprefix-list "defaultroute"protocol bgpexittoprotocol ospfexitaction acceptmetric set 1type 1exitexitpolicy-statement "static-to-ospf"entry 1fromprefix-list "staticroute"protocol staticexittoprotocol ospfexitaction acceptmetric set 1type 1exitexitBGP 路由规范•关闭BGP路由波动抑制，（请各厂家确认是否合适写脚本）关闭BGP自动路由汇总特•关闭BGP和IGP同步•关闭 bgp always-compare-med•明确配置BGP router-id为Loopback 0地址•明确配置新式的community格式（对应cisco路由器ip bgp community new-format）。

//7750无所谓的旧格式•记录邻居变化 //缺省记录•BGP 采用密码建立邻居关系•BGP 优先级设置：20 200 200•负载均衡数目：8 //请根据实际需求改，7750支持16条•配置BGP 出方向路由过滤•播放给省网路由尽量合并，采用PREFIX 和NETWORK 播发•使用环回地址建立EBGP 关系，不使用接口建立关系•BGP TIMER 统一为cisco 默认（60 180）•EBGP HOP 为2请添加模板config router autonomous-system 10000config router router-id x.x.x.xconfig router bgphold-time 180keepalive 60multipath 16ibgp-multipathgroup "IBGP"family ipv4preference 200authentication-key "password"type internalpeer-as 10000local-address x.x.x.xneighbor 221.130.x.xdescription "To-RR1"exitgroup "EBGP"family ipv4multihop 2preference 20authentication-key "password"type externalpeer-as 10002local-address 221.130.x.xneighbor 221.130.x.xdescription "To-163Route1"exitexitMPLS 配置规范•功能开启：城域网出口定位为P，全局开启mpls，并指定ldp的router-id，与P及与PE互连端口上开启ldp。

•标签发布和管理：所有路由器均使用LDP协议分发标签，统一配置为下游主动标签分发方式(DU)、有序标签控制方式(Ordered)、自由标签保留方式（Liberal）。

•LDP定时器：对所有类型路由器的LDP定时器进行统一设定KEEPLIVE 10 HOLD TIME 30•LDP认证：为不影响LDP收敛速度，所有路由器不启用LDP peer认证。

•标签弹出：为提高处理效率，配置倒数第二跳弹出标签（即PHP）。

•标签分发策略：LDP只针对业务路由器PE的Loopback地址分发标签，对其它路由进行过滤。

•GE接口MTU大于1544(7750）,其它设备由厂家来确定请添加模板（需要包含一个POS 和GE 口启用MPLS 的例子）//7750不区分pos接口或GE接口config routerldpinterface-parametersinterface "To-P1-1"exitinterface "To-P2-1"exitexitexitconfig routermplsinterface "To-P1-1"exitinterface "To-P2-1"exitexitexit安全相关配置规范●设备配置基于源地址TELNET 限制请添加模板●关闭FTP 、SSH 等不必要的服务config system security no ftp-serverconfig system security ssh server-shutdown请添加模板●7750 采用cpm-filter 过滤源地址请添加模板●用户TELNET 数目限制为10请添加模板config system login-controltelnet inbound-max-sessions 7 telnet outbound-max-sessions 7//7750最大只能为7个●AAA 认证统一由省中心认证，分权给分公司省中心地址tacas 地址 202.105.82.3请添加模板config system securitypassword authentication-order tacplus local tacplus accounting authorization single-connection server 1 address 202.105.82.3 secret "test"exit 务必配置本地应急帐号●TELNET 的超时限制为10 分钟(华为一些版本不支持，新版本应该支持）请添加模板config system login-control idle-timeout 10•在Alcatel-lucent 7750上为控制报文和管理报文预留带宽请添加模板（具体带宽由ALCATEL 评估后确定）•Alcatel-lucent 7750自身的攻击包括SYN Flooding攻击、UDP Flooding 攻击、ICMP Flooding等请添加模板•关闭未使用的小端口服务： echo(TCP 7)、chargen(TCP 19和UDP 19)、finger(TCP 79)、FTP(TCP 20 21)等等，增强设备本身的安全性（ NE5000E 不支持）config system security cpm-filter ip-filterentry 10 creatematch protocol tcpdst-port 7action dropentry 11 creatematch protocol tcpdst-port 19action dropentry 12 creatematch protocol udpdst-port 19action dropentry 13 creatematch protocol tcpdst-port 79action dropentry 14 creatematch protocol tcpdst-port 20action dropentry 15 creatematch protocol tcpdst-port 21action drop请添加模板华为NE5000E使用CPCAR技术实现对控制引擎的保护，CPCAR实现接口板对主控板之间的流量限速。