`
中国电信广西公司ChinaNet
网络设备配置规范 (ME60分册)
v201209
`
目 录
第一章 设备相关配置 ..................................................................................................................... 4
第1节 系统基本配置 ........................................................................................................... 4
1.1 设备名称配置 ......................................................................................................... 4 1.2 系统时间配置 ......................................................................................................... 4 1.3 NTP配置 .................................................................................................................. 4 1.4 主备卡切换配置 ..................................................................................................... 5 1.5 接口配置 ................................................................................................................. 5 第2节 网管配置 ................................................................................................................... 6
2.1 远程登录SSH配置 ................................................................................................. 6 2.2 SNMP配置 ................................................................................................................ 7 2.3 SYSLOG配置 ............................................................................................................ 8 2.4 登录AAA .................................................................................................................. 9 第3节 路由配置 ................................................................................................................. 10
3.1 路由优先级/管理距离 ......................................................................................... 10 3.2 静态路由配置 ....................................................................................................... 10 3.3 黑洞路由配置 ....................................................................................................... 10 3.4 OSPF ....................................................................................................................... 11 3.5 ISIS ....................................................................................................................... 11 3.6 BGP ......................................................................................................................... 13
第二章 业务相关配置 ................................................................................................................... 15
第1节 Radius配置 .............................................................................................................. 15
1.1 计费认证 ............................................................................................................... 15 第2节 域配置 ....................................................................................................................... 16 第3节 PPPoE ......................................................................................................................... 17
3.1 速率模板配置 ....................................................................................................... 17 3.2 IP Pool ................................................................................................................. 18 3.3 虚模板配置 ........................................................................................................... 18 3.4 业务子接口 ........................................................................................................... 19 3.5 基于Web的主动控制和管理-踢用户下线配置 ............................................... 20 第4节 IPoE ........................................................................................................................... 20
4.1 静态 ....................................................................................................................... 20 4.2 DHCP ....................................................................................................................... 21 4.3 静态用户限速 ....................................................................................................... 22 4.4 WLAN ....................................................................................................................... 22 第5节 二层VPN .................................................................................................................. 23
5.1 L2TP ....................................................................................................................... 23 第6节 MPLS VPN ................................................................................................................... 24 第三章 安全加固配置 ................................................................................................................... 27
第1节 数据层面安全加固 ................................................................................................. 27
1.1 关闭IP选项 ......................................................................................................... 27
`
1.2 关闭IP 直接广播 ................................................................................................ 28 1.3 典型垃圾流量过滤 ............................................................................................... 28 第2节 控制层面安全加固 ................................................................................................. 30
2.1 IGP 安全防护 ....................................................................................................... 30 2.2 关闭控制平面未使用的服务 ............................................................................... 30 2.3 控制引擎防护 ....................................................................................................... 31 第3节 管理层面安全加固 ................................................................................................. 31
3.1 禁用未使用的管理平面服务 ............................................................................... 31
第四章 QOS..................................................................................................................................... 31
第1节 QOS标记、队列规划 .............................................................................................. 31 第2节 队列调度、带宽预留和拥塞避免 ......................................................................... 33 ME60软件版本: VRP (R) software, Version 5.70 (ME60 V600R002C02SPC700) ...................... 35 附: CZ-LZ-MJ-BRAS-1.MAN.ME60配置脚本: .............................................................................. 35
`
第一章 设备相关配置
第1节 系统基本配置
1.1 设备名称配置
■ 配置内容: 配置设备名称; ■ 规范要求:
端口命名按《IP网络设备配置规范书附件一资源和命名》规范要求配置; ■ 配置示例: sysname CZ-LZ-MJ-BRAS-1.MAN.ME60 //字符串形式,长度范围1~30 1.2 系统时间配置
■ 配置内容:
设置BRAS 的系统日期及时间; ■ 规范要求:
采用标准北京时间(时区为东八区); ■ 配置示例:
clock datetime 06:56:00 2009-04-12 //配置系统时间 clock timezone add 8 //配置系统时区为东8区 1.3 NTP配置
■ 配置内容: 配置NTP服务器; ■ 规范要求:
1、采用NTP Version 3版本且启用MD5认证; 2、采用 loopback0地址作为时间同步的源地址;
3、以本城域网CR1作为主用NTP Server,以CR2作为备用NTP Server;
4、NTP服务器时钟为格林威治0时区,要求在设备上以此为基准调整为北京时区东8区。 ■ 配置示例:
ntp-service source-interface LoopBack0 ntp-service unicast-server 222.217.167.1 source-interface LoopBack0 ntp-service unicast-server 222.217.167.2 source-interface LoopBack0 ntp-service authentication enable ntp-service authentication-keyid 10 authentication-mode md5 Gxdxntp@12 `
1.4 主备卡切换配置
■ 配置内容:
配置系统主备卡切换; ■ 规范要求:
打开自动切换,要求采用最优切换方式; ■ 配置示例: 不需要配置 1.5 接口配置 1.5.1 GE
■ 配置内容: 配置GE端口; ■ 规范要求:
1、端口命名按《IP网络设备配置规范书附件一资源和命名》规范要求配置;
2、除特殊情况外,端口使用强制模式:电口采用1000M全双工,光口如果可选强制模式,应优先设置为强制模式;(要求对端设备相应匹配);
3、所有内部互连端口, IP MTU(MPLS MTU 随IP MTU调整)统一取定为:3000字节; 4、打开端口的波动抑制功能:Down数值为0,即端口故障后立即关闭端口,便于关闭无效转发端口;up数值为30000,确保链路可用状态稳定为30秒再开启端口(仅在CR与BRAS/SR互联的GE/10GE接口配置)。对down时间无法指定为0的设备型号,以最接近0的数值配置;
5、如无特殊业务需要,关闭存在安全风险的漏洞,参见《第三章.安全加固配置》。 ■ 配置示例: interface GigabitEthernet1/0/0 //进入或创建相应接口、子接口 mtu 3000 description uT:NN-MZ-CR-1.MAN.NE5000E(NN-LZ/1000M0001IP)GE1/7/0/3 //路由器接口的描述信息。字符串形式,支持空格,区分大小写,字符串长度范围是1~242。 undo shutdown ip address 218.65.138.198 255.255.255.252 //配置相关IP地址 control-flap //启用端口震荡抑制,可按默认参数配置 undo negotiation auto //用于开启和关闭自协商功能 1.5.2 端口捆绑
■ 配置内容: 配置端口捆绑; ■ 规范要求:
1、端口命名按《IP网络设备配置规范书附件一资源和命名》规范要求配置;
2、除特殊情况外,端口使用强制模式:电口采用1000M全双工,光口如果可选强制模式,应优先设置为强制模式;(要求对端设备相应匹配); 3、捆绑端口在条件具备的情况下建议起LACP; ■ 配置示例: