中国电信IP网络设备配置规范书BRAS分册Word文档下载推荐.docx
- 文档编号:16713660
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:43
- 大小:34.91KB
中国电信IP网络设备配置规范书BRAS分册Word文档下载推荐.docx
《中国电信IP网络设备配置规范书BRAS分册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《中国电信IP网络设备配置规范书BRAS分册Word文档下载推荐.docx(43页珍藏版)》请在冰豆网上搜索。
2、采纳loopback0地址作为时刻同步的源地址;
3、统一NTPServer的IP地址为:
202.103.194.43;
ntp-servicesource-interfaceLoopBack0
ntp-serviceunicast-server202.103.194.43source-interfaceLoopBack0//缺省为版本3
ntpenable
ntpserver202.103.194.43version3
1.4主备卡切换配置
配置系统主备卡切换;
打开自动切换,要求采纳最优切换方式;
不需要配置
nodisable-autosync//使用SRP同步
!
redundancy
modehigh-availability
1.5接口配置
1.5.1GE
配置GE端口;
1、端口命名按附录1:
2、除专门情形外,端口使用强制模式:
电口采纳1000M全双工,光口假如可选强制模式,应优先设置为强制模式;
(要求对端设备相应匹配);
3、所有内部互连端口,IPMTU(MPLSMTU随IPMTU调整)统一取定为:
4470字节;
4、打开端口的波动抑制功能;
5、关闭存在安全风险的漏洞,如ICMPRedirect、DirectBroadcast、ProxyARP等;
interfaceGigabitEthernetX/X/X//进入或创建相应接口、子接口
descriptionTOM-NN-MINZU-R-NE80E-01:
GE1/0/1
//路由器接口的描述信息。
字符串形式,支持空格,区分大小写,字符串长度范畴是1~242。
undoshutdown//开启端口
ipaddressX.X.X.XX.X.X.X//配置相关IP地址
mtu4470//配置接口MTU
control-flap//启用端口震荡抑制,可按默认参数配置
undonegotiationauto//用于开启和关闭自协商功能
duplexfull//配置双工模式
speed{10|100|1000|auto}//配置接口速率
GE:
interfacegigabitEthernet8/0
speed1000
duplexfull
encapsulationvlan
mtu4470
ethernetdescriptionTOM-NN-MINZU-R-NE80E-01:
interfacegigabitEthernet8/0.1
vlanid1
ipaddressx.x.x.x255.255.255.252
ipdescriptionTOM-NN-MINZU-R-NE80E-01:
noipredirects
10GE:
interfacegigabitEthernet0/0/1
speed10000
//Juniper无打开端口的波动抑制功能;
无关闭存在安全风险的漏洞,如ICMPRedirect、DirectBroadcast、ProxyARP等功能;
1.5.2端口捆绑
配置端口捆绑;
;
(要求对端设备相应匹配)
3、端口捆绑只应用在二层接口
interfaceeth-trunktrunk-id[.subnumber]//创建一个Eth-Trunk接口;
undointerfaceeth-trunktrunk-id[.subnumber]//删除一个已存在的Eth-Trunk接口;
interfacegiX/X/X//将相应端口加入trunk
eth-trunkX
descriptionTO_LANGDONGME60:
EthTrunk1:
2G:
GE2/0/1GE3/0/1//描述eth-trunk
interfacegigabitEthernet13/0/3
mtu4470
duplexfull
speed1000
lacpactive
interfacegigabitEthernet13/0/2
//在要实现绑定的物理接口下开启lacp。
由于该接口想要起QinQ,因此mtu为4470。
duplexfull//注意:
协商模式、MTU的配置是在物理接口下
interfacelagTO_LANGDONGME60:
GE13/0/2GE13/0/3//将要绑定的物理接口放入到一个lag接口,名为TO_LANGDONGME60:
GE13/0/2GE13/0/3
member-interfaceGigabitEthernet13/0/3
member-interfaceGigabitEthernet13/0/2
encapsulationvlan//注意:
vlan是封装在lag接口下
第2节安全配置
2.1Telnet配置
1、配置Telnet登录的密码;
2、限制Telnet登录的IP地址;
3、配置TelnetSession的过期时刻;
1、Telnet密码字符串不能过于简单,一样应由字母、数字及专门字符等组成,且不能低于8位;
2、依照实际情形只承诺授权网段对设备VTY远程访问;
3、操纵连接超时时刻,建议每个TelnetSession的超时限制设定为10分钟;
1、华为设备
user-interfacemaximum-vty15//最大进程数设为15
user-interfacecon0//对CON口接入进行设置
authentication-modepassword
setauthenticationpasswordcipherN`C55QK<
`=/Q=^Q`MAF4<
1!
user-interfaceaux0
user-interfacevty014//对TELNET进行设置
aclXXXinbound//设置相应网段
authentication-modeaaa//设置认证方式
idle-timeout100//设置超时时刻,默认为10分钟,可不配置
servicepassword-encryption//密码加密
telnetlistenport23
access-listtelnet-aclpermithostx.x.x.x//对telnet的ip进行过滤
linevty014
login
passwordxxxxxxxx
exec-timeout10
access-classtelnet-aclin
2.2SNMP配置
1、配置网管工作站,配置内容包括:
工作站IP地址、GET/SET团体名等;
2、激活网管工作站;
3、配置TRAP;
1、采取SNMP访问的限制措施,仅承诺授权网段(ip综合网管202.103.194.99-101)访问路由器的SNMP服务;
2、要求采纳V2版本;
3、开启SNMPTRAP,设置触发条件:
端口UPDOWN、BGP\OSPF\MPLS协议状态改变、设备重启、板卡状态改变);
Radius服务器down;
aclnumber2000//配置ACL访问列表
rule0denyany
rule1permitsource202.103.194.990.0.0.0
rule2permitsource202.103.194.1000.0.0.0
rule3permitsource202.103.194.1010.0.0.0
snmp-agentcommunitywriteXXXacl2000//设置写团体及网段范畴
snmp-agentcommunityreadXXXacl2000//设置读团体及网段范畴
snmp-agentsys-infoversion2//设置版本号为2
snmp-agenttarget-hosttrapaddressudp-domainX.X.X.XparamssecuritynameXXXXv2c
//设置接收Trap消息的目的地。
snmp-agenttrapenable//开启trap
snmp-agenttrapenableXXX//能够针对具体功能开trap
snmp-agenttrapsourceLoopBack0//以LOOPBACK0为接口发送TRAP
access-listsnmp-aclpermithost202.103.194.99
access-listsnmp-aclpermithost202.103.194.100
access-listsnmp-aclpermithost202.103.194.101
snmp-servercommunityxxxrosnmp-acl
snmp-serverhost202.103.194.99version2cxxxsnmplinkinventorybgplogcliSecurityAlertrouteTablepingsonnetospfpimradiusdhcpenvironmenthaRedundancytrapFiltersnotice
snmp-serverenabletrapslink
snmp-serverenabletrapsinventory
snmp-serverenabletrapsenvironment
snmp-serverenabletrapsbgp
snmp-serverenabletrapslog
snmp-serverenabletrapscliSecurityAlert
snmp-serverenabletrapsping
snmp-serverenabletrapsospf
snmp-serverenabletrapssonet
snmp-serverenabletrapsntp
snmp-serverenabletrapsradius
snmp-serverenabletrapsdhcp
snmp-serverenabletrapspim
snmp-serverenabletrapshaRedundancy
snmp-serverenabletrapsrouteTable
snmp-server
2.3SYSLOG配置
1、配置log信息显示的时刻;
2、配置log信息触发的级别;
3、配置logserver;
1、设备必须配置日志功能,记录所有中高风险的事件,其中必须记录用户登录事件,并对高风险的事件产生告警;
2、log信息采纳北京时刻来显示;
3、指定日志主机的IP地址;
4、log信息需集中储存到logserver(202.103.194.99)上,能够配置多个logserver;
5、IPPOOL利用率超过85%,应输出告警信息;
6、Syslog触发级别依照不同设备实际情形调整,需包含如下信息:
(端口UPDOWN、BGP\OSPF\MPLS邻居updown、设备重启、板卡状态改变、Radius服务器down);
info-centerloghostsourceLoopBack0
info-centertimestamptrapdate//trap时刻为系统时刻
info-centerloghost202.103.194.99//目标主机,可多个
info-centerlogbuffersize1024//设置logbuffer大小
info-centersourcedefaultchannel2loglevelwarning//设置warning级别的通过通道2输出
servicetimestampslogdatetimeshow-timezonelocaltime
logfieldstimestampinstanceno-calling-task
logdestinationconsoleseverityWARNING
logdestinationnv-fileseverityCRITICAL
logdestinationnv-fileseverityemergency
logdestinationsyslog202.103.194.99facility4severityWARNING
logdestinationsyslog202.103.194.99facility6severityinfo
logdestinationsyslog202.103.194.99facility5severitynotice
logdestinationsyslog202.103.194.99facility3severityerror
logdestinationsyslog202.103.194.99sourceloopback0
2.4登录AAA
配置设备登陆到AAA服务器;
1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器(202.103.194.99)。
2、AAAServer采纳tacas协议;
3、关于只支持Radius协议的设备,采纳Radius协议进行治理。
4、配置本地认证一个超级帐号供应急使用;
hwtacacs-servertemplateht//配置tacacs服务器模板
hwtacacs-serverauthentication202.103.194.9949//配置认证服务器和端口
hwtacacs-serverauthenticationX.X.X.XXXXsecondary
hwtacacs-serverauthorization202.103.194.9949//配置授权服务器和端口
hwtacacs-serverauthorizationX.X.X.XXXXsecondary
hwtacacs-serveraccounting202.103.194.9949//配置计费服务器和端口
hwtacacs-serveraccountingX.X.X.XXXXsecondary
hwtacacs-servershared-keyit-is-my-secret//配置服务器密钥
#
aaa
authentication-schemel-h//配置认证模板1-h
authentication-mode
local
hwtacacs//配置认证策略为先本地后tacacs
authentication-superhwtacacssuper
authorization-schemehwtacacs//配置授权方案模板
authorization-mode
hwtacacs
accounting-schemehwtacacs//配置计费模板
accounting-modehwtacacs
accountingrealtime3//配置计费间格
Aaa视图下
domainXXX//配置认证域
authentication-scheme
l-h//分别使用相应的模板
authorization-schemehwtacacs
accounting-schemehwtacacs
hwtacacs-serverht
superpasswordlevel3cipher);
W"
&
UC6EK+Q=^Q`MAF4<
//本地super帐号
aaanew-model
aaaauthenticationlogin"
3a_acs_authen"
tacacs+line//配置认证方式tacacs+
aaaauthorizationexec"
3a_acs_author"
tacacs+none
privilegeexeclevel1test
privilegeexeclevel1telnet//帐号权限类型
linevty04//telnet使用3atacacs认证
loginauthentication"
authorizationexec"
tacacs-serversource-address222.217.167.11
tacacs-serverhost202.103.194.99keybrasprimary
tacacs-serverhostX.X.X.Xkeybras
第3节安全配置
3.1防攻击设置
1、关闭不必要的服务;
2、配置过滤常见病毒的端口及容易受攻击的端口;
1、接口启用uRPF;
2、配置防病毒策略
3、关闭路由器端口服务如:
ECHO(TCP7)、HCEGEN(TCP19和UDP19)、FINGER(TCP79)、FTP等,增强设备本身的安全性;
4、关闭设备登录banner提示;
aclnumber2000//配置ACL访问列表
rule10permitsourceX.X.X.XX.X.X.X
#
aclnumber3100//配置高级ACL列表
rule5permittcpdestination-porteqecho
rule10permittcpdestination-porteqCHARgen
rule15permitudpdestination-porteq19
rule20permittcpdestination-porteqfinger
trafficclassifierXXX//配置流模板
if-matchACLXXX
trafficbehaviorXXX//配置动作模板
deny
trafficpolicyXXX//配置策略模板,流与动作相关联
classifierXXXlbehaviorXXX
traffic-policyXXXinbound//在相关的接口下应用
2、Juniper设备
noftp-serverenable
conft
interfacege0/0
ipsa-validate
ipclassifier-listtcp7tcpanyanyeq7
ipclassifier-listtcp19tcpanyanyeq19
ipclassifier-listudp19udpanyanyeq19
ipclassifier-listtcp17tcpanyanyeq17
ippolicy-listis-attack
classifier-grouptcp7
filter
classifier-grouptcp19
classifier-groupudp19
filter
classifier-grouptcp17
classifier-group*
forward
3.2主控、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国电信 IP 网络设备 配置 规范 BRAS 分册
![提示](https://static.bdocx.com/images/bang_tan.gif)