中国电信IP网络设备配置规范书-BRAS分册(0515).docx

中国电信广西公司ChinaNet 网络设备配置规范 v200905 BRAS分册 目 录 第一章 设备相关配置 3 第1节 系统基本配置 3 1.1 设备名称配置 3 1.2 系统时间配置 3 1.3 NTP配置 3 1.4 主备卡切换配置 4 1.5 接口配置 4 第2节 安全配置 6 2.1 Telnet配置 6 2.2 SNMP配置 7 2.3 SYSLOG配置 8 2.4 登录AAA 9 第3节 安全配置 10 3.1 防攻击设置 10 3.2 主控、业务板卡过载保护 12 第4节 路由配置 12 4.1 静态路由配置 12 4.2 黑洞路由配置 12 4.3 OSPF 13 第二章 业务相关配置 14 第1节 Radius配置 14 1.1 计费认证 14 第2节 域配置 16 第3节 PPPoE 16 3.1 速率模板配置 16 3.2 IP Pool 17 3.3 虚模板配置 18 3.4 业务子接口 18 第4节 IPoE 19 4.1 静态 19 4.2 DHCP 20 4.3 静态用户限速 21 4.4 WLAN 21 第5节 二层VPN 26 5.1 L2TP 26 第6节 MPLS VPN 27 第一章 设备相关配置 第1节 系统基本配置 1.1 设备名称配置 ■ 配置内容： 配置设备名称； ■ 规范要求： 端口命名按附录1：设备和端口命名规范要求配置； ■ 配置示例： 1、华为设备 sysname M-NN-MINZU-B-ME60-01 //字符串形式，长度范围1～30 2、Juniper设备 hostname M-NN-XIJIAO-B-E320-01 //字符串形式，长度范围1～30 1.2 系统时间配置 ■ 配置内容： 设置BRAS 的系统日期及时间； ■ 规范要求： 采用标准北京时间（时区为东八区）； ■ 配置示例： 1、华为设备 clock datetime 06:56:00 2009-04-12 //配置系统时间 clock timezone add 8 //配置系统时区为东8区 2、Juniper设备 clock timezone CST 8 //配置系统时区为东8区 clock set 06:56:00 12 04 2009 //配置系统时间 1.3 NTP配置 ■ 配置内容： 配置NTP服务器； ■ 规范要求： 1、采用NTP Version 3版本； 2、采用 loopback0地址作为时间同步的源地址； 3、统一NTP Server的IP地址为：202.103.194.43； ■ 配置示例： 1、华为设备 ntp-service source-interface LoopBack0 ntp-service unicast-server 202.103.194.43 source-interface LoopBack0 //缺省为版本3 2、Juniper设备 ntp enable ntp server 202.103.194.43 version 3 1.4 主备卡切换配置 ■ 配置内容： 配置系统主备卡切换； ■ 规范要求： 打开自动切换，要求采用最优切换方式； ■ 配置示例： 1、华为设备 不需要配置 2、Juniper设备 no disable-autosync //使用SRP同步 ! redundancy mode high-availability 1.5 接口配置 1.5.1 GE ■ 配置内容： 配置GE端口； ■ 规范要求： 1、端口命名按附录1：设备和端口命名规范要求配置； 2、除特殊情况外，端口使用强制模式：电口采用1000M全双工，光口如果可选强制模式，应优先设置为强制模式；(要求对端设备相应匹配)； 3、所有内部互连端口， IP MTU(MPLS MTU 随IP MTU调整)统一取定为：4470字节； 4、打开端口的波动抑制功能； 5、关闭存在安全风险的漏洞，如ICMP Redirect、Direct Broadcast、Proxy ARP等； ■ 配置示例： 1、华为设备 interface GigabitEthernetX/X/X //进入或创建相应接口、子接口 description TO M-NN-MINZU-R-NE80E-01:GE1/0/1 //路由器接口的描述信息。字符串形式，支持空格，区分大小写，字符串长度范围是1～242。 undo shutdown //开启端口 ip address X.X.X.X X.X.X.X //配置相关IP地址 mtu 4470 //配置接口MTU control-flap //启用端口震荡抑制，可按默认参数配置 undo negotiation auto //用于开启和关闭自协商功能 duplex full //配置双工模式 speed { 10 | 100 | 1000 | auto } //配置接口速率 2、Juniper设备 GE: interface gigabitEthernet 8/0 speed 1000 duplex full encapsulation vlan mtu 4470 ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1 ! interface gigabitEthernet 8/0.1 vlan id 1 ip address x.x.x.x 255.255.255.252 ip description TO M-NN-MINZU-R-NE80E-01:GE1/0/1 no ip redirects 10GE: interface gigabitEthernet 0/0/1 speed 10000 duplex full encapsulation vlan mtu 4470 ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1 //Juniper无打开端口的波动抑制功能；无关闭存在安全风险的漏洞，如ICMP Redirect、Direct Broadcast、Proxy ARP等功能； 1.5.2 端口捆绑 ■ 配置内容： 配置端口捆绑； ■ 规范要求： 1、端口命名按附录1：设备和端口命名规范要求配置；； 2、除特殊情况外，端口使用强制模式：电口采用1000M全双工，光口如果可选强制模式，应优先设置为强制模式；(要求对端设备相应匹配) 3、端口捆绑只应用在二层接口 ■ 配置示例： 1、华为设备 interface eth-trunk trunk-id [.subnumber ] //创建一个Eth-Trunk接口； undo interface eth-trunk trunk-id [.subnumber ] //删除一个已存在的Eth-Trunk接口； interface giX/X/X //将相应端口加入trunk eth-trunk X description TO_LANGDONG ME60:EthTrunk1:2G:GE2/0/1GE3/0/1 //描述eth-trunk 2、Juniper设备 interface gigabitEthernet 13/0/3 mtu 4470 duplex full speed 1000 lacp active interface gigabitEthernet 13/0/2 mtu 4470 //在要实现绑定的物理接口下开启lacp。由于该接口想要起QinQ，所以mtu为4470。 duplex full //注意：协商模式、MTU的配置是在物理接口下 speed 1000 lacp active interface lag TO_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3 //将要绑定的物理接口放入到一个lag接口，名为TO_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3 ! member-interface GigabitEthernet 13/0/3 member-interface GigabitEthernet 13/0/2 encapsulation vlan //注意：vlan是封装在lag接口下 第2节 安全配置 2.1 Telnet配置 ■ 配置内容： 1、配置Telnet 登录的密码； 2、限制Telnet 登录的IP地址； 3、配置Telnet Session的过期时间； ■ 规范要求： 1、Telnet 密码字符串不能过于简单， 一般应由字母、 数字及特殊字符等组成，且不能低于8位； 2、根据实际情况只允许授权网段对设备VTY远程访问； 3、控制连接超时时间，建议每个Telnet Session的超时限制设定为10分钟； ■ 配置示例： 1、华为设备 user-interface maximum-vty 15 //最大进程数设为15 user-interface con 0 //对CON口接入进行设置 authentication-mode password set authentication password cipher N`C55QK<`=/Q=^Q`MAF4<1!! user-interface aux 0 user-interface vty 0 14 //对TELNET进行设置 acl XXX inbound //设置相应网段 authentication-mode aaa //设置认证方式 idle-timeout 10 0 //设置超时时间，默认为10分钟，可不配置 2、Juniper设备 service password-encryption //密码加密 ! telnet listen port 23 ! access-list telnet-acl permit host x.x.x.x //对telnet的ip进行过滤 ! line vty 0 14 login password xxxxxxxx exec-timeout 10 access-class telnet-acl in 2.2 SNMP配置 ■ 配置内容： 1、配置网管工作站，配置内容包括：工作站IP地址、GET/SET团体名等； 2、激活网管工作站； 3、配置TRAP； ■ 规范要求： 1、采取SNMP 访问的限制措施，仅允许授权网段（ip综合网管202.103.194.99-101）访问路由器的SNMP 服务； 2、要求采用V2 版本； 3、开启SNMP TRAP，设置触发条件：端口UP DOWN 、BGP\OSPF\MPLS 协议状态改变、 设备重启、板卡状态改变）；Radius服务器down； ■ 配置示例： 1、华为设备 acl number 2000 //配置ACL访问列表 rule 0 deny any rule 1 permit source 202.103.194.99 0.0.0.0 rule 2 permit source 202.103.194.100 0.0.0.0 rule 3 permit source 202.103.194.101 0.0.0.0 ？ snmp-agent community write XXX acl 2000 //设置写团体及网段范围 snmp-agent community read XXX acl 2000 //设置读团体及网段范围 snmp-agent sys-info version 2 //设置版本号为2 snmp-agent target-host trap address udp-domain X.X.X.X params securityname XXXX v2c //设置接收Trap消息的目的地。 snmp-agent trap enable //开启trap snmp-agent trap enable XXX //可以针对具体功能开trap snmp-agent trap source LoopBack0 //以LOOPBACK0为接口发送TRAP 2、Juniper设备 access-list snmp-acl permit host 202.103.194.99 access-list snmp-acl permit host 202.103.194.100 access-list snmp-acl permit host 202.103.194.101 ？配置命令是否正确？ snmp-server community xxx ro snmp-acl snmp-server host 202.103.194.99 version 2c xxx snmp link inventory bgp log cliSecurityAlert routeTable ping sonnet ospf pim radius dhcp environment haRedundancy trapFilters notice snmp-server enable traps link snmp-server enable traps inventory snmp-server enable traps environment snmp-server enable traps bgp snmp-server enable traps log snmp-server enable traps cliSecurityAlert snmp-server enable traps ping snmp-server enable traps ospf snmp-server enable traps sonet snmp-server enable traps ntp snmp-server enable traps radius snmp-server enable traps dhcp snmp-server enable traps pim snmp-server enable traps haRedundancy snmp-server enable traps routeTable snmp-server 2.3 SYSLOG配置 ■ 配置内容： 1、配置 log信息显示的时间； 2、配置 log信息触发的级别； 3、配置 log server； ■ 规范要求： 1、设备必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警； 2、log信息采用北京时间来显示； 3、指定日志主机的IP地址； 4、log信息需集中保存到 log server（202.103.194.99）上，可以配置多个 log server； 5、IP POOL利用率超过85％，应输出告警信息； 6、Syslog触发级别根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGP\OSPF\MPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down）； ■ 配置示例： 1、华为设备 info-center loghost source LoopBack0 info-center timestamp trap date //trap时间为系统时间 info-center loghost 202.103.194.99 //目标主机,可多个 info-center logbuffer size 1024 //设置logbuffer大小 info-center source default channel 2 log level warning //设置warning级别的通过通道2输出 2、Juniper设备 service timestamps log datetime show-timezone localtime log fields timestamp instance no-calling-task log destination console severity WARNING log destination nv-file severity CRITICAL log destination nv-file severity emergency log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 6 severity info log destination syslog 202.103.194.99 facility 5 severity notice log destination syslog 202.103.194.99 facility 3 severity error log destination syslog 202.103.194.99 source loopback 0 2.4 登录AAA ■ 配置内容： 配置设备登陆到AAA服务器； ■ 规范要求： 1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器（202.103.194.99）。 2、AAA Server采用tacas协议； 3、对于只支持Radius协议的设备，采用Radius协议进行管理。 4、配置本地认证一个超级帐号供应急使用； ■ 配置示例： 1、华为设备 hwtacacs-server template ht //配置tacacs服务器模板  hwtacacs-server authentication 202.103.194.99 49 //配置认证服务器和端口  hwtacacs-server authentication X.X.X.X XXX secondary  hwtacacs-server authorization 202.103.194.99 49 //配置授权服务器和端口  hwtacacs-server authorization X.X.X.X XXX secondary  hwtacacs-server accounting 202.103.194.99 49 //配置计费服务器和端口  hwtacacs-server accounting X.X.X.X XXX secondary  hwtacacs-server shared-key it-is-my-secret //配置服务器密钥 # aaa  authentication-scheme l-h //配置认证模板1-h   authentication-mode  local  hwtacacs //配置认证策略为先本地后tacacs authentication-super hwtacacs super  #  authorization-scheme hwtacacs //配置授权方案模板  authorization-mode  hwtacacs  #  accounting-scheme hwtacacs //配置计费模板   accounting-mode hwtacacs   accounting realtime 3 //配置计费间格  # Aaa视图下  domain XXX //配置认证域   authentication-scheme  l-h //分别使用相应的模板   authorization-scheme hwtacacs   accounting-scheme hwtacacs   hwtacacs-server ht  # super password level 3 cipher );W"&UC6EK+Q=^Q`MAF4<1!! //本地super帐号 2、Juniper设备 aaa new-model aaa authentication login "3a_acs_authen" tacacs+ line //配置认证方式tacacs+ aaa authorization exec "3a_acs_author" tacacs+ none privilege exec level 1 test privilege exec level 1 telnet //帐号权限类型 line vty 0 4 //telnet使用3a tacacs认证 login authentication "3a_acs_authen" authorization exec "3a_acs_author" tacacs-server source-address 222.217.167.11 tacacs-server host 202.103.194.99 key bras primary tacacs-server host X.X.X.X key bras 第3节 安全配置 3.1 防攻击设置 ■ 配置内容： 1、关闭不必要的服务； 2、配置过滤常见病毒的端口及容易受攻击的端口； ■ 规范要求： 1、接口启用uRPF； 2、配置防病毒策略 3、关闭路由器端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)、FTP等，增强设备本身的安全性； 4、关闭设备登录banner提示； ■ 配置示例： 1、华为设备 acl number 2000 //配置ACL访问列表 rule 10 permit source X.X.X.X X.X.X.X # acl number 3100 //配置高级ACL列表 rule 5 permit tcp destination-port eq echo rule 10 permit tcp destination-port eq CHARgen rule 15 permit udp destination-port eq 19 rule 20 permit tcp destination-port eq finger traffic classifier XXX //配置流模板 if-match ACL XXX traffic behavior XXX //配置动作模板 deny traffic policy XXX //配置策略模板，流与动作相关联 classifier XXXl behavior XXX traffic-policy XXX inbound //在相关的接口下应用 2、Juniper设备 no ftp-server enable conf t interface ge0/0 ip sa-validate ip classifier-list tcp7 tcp any any eq 7 ip classifier-list tcp19 tcp any any eq 19 ip classifier-list udp19 udp any any eq 19 ip classifier-list tcp17 tcp any any eq 17 ip policy-list is- attack classifier-group tcp7 filter classifier-group tcp19 filter classifier-group udp19 filter classifier-group tcp17 filter classifier-group * forward 3.2 主控、业务板卡过载保护 ■ 配置内容： 配置业务板卡过载保护功能； ■ 规范要求： 配置防止业务板卡或主控板卡CPU利用率过高的保护 ■ 配置示例： 1、华为设备 默认有保护，不需要配置 2、Juniper设备 E320自动处理ttl攻击流，不需要做配置 第4节 路由配置 4.1 静态路由配置 ■ 配置内容： 配置静态路由； ■ 规范要求： 1、配置静态路由需要同时配置下一跳IP地址以及接口； 2、静态路由优先级统一为1； ■ 配置示例： 1、华为设备 ip route-static X.X.X.X X.X.X.X GIX/X/X X.X.X.X ip route-static default-preference 1 //优先级统一为1 2、Juniper设备 ip route 0.0.0.0 0.0.0.0 x.x.x.x G X/X/X.X per 1 //同时配置下一跳IP地址以及接口； 4.2 黑洞路由配置 ■ 配置内容： 配置黑洞路由； ■ 规范要求： 1、在BRAS上添加IP地址池的时候，需在设备本地配置相应的IP段的黑洞路由，防止路由环路出现。 2、黑洞路由均指向NULL0接口。 ■ 配置示例： 1、华为设备 ip route-static X.X.X.X X.X.X.X NULL0 preference 180 2、Juniper设备 ip route x.x.x.0 255.255.255.0 null 0 per 180 4.3 OSPF ■ 配置内容： 配置OSPF路由协议； ■ 规范要求： 1、OSPF进程号统一使用 100； 2、设备端口上配置启用MD5认证OSPF邻居； 3、OSPF的管理距离（distance）统一为110； 4、链路的cost 值以10的8次方为基数计算； 5、重发布静态路由，没有特殊需要，BRAS上不允许重发布接口路由以及UNR路由； 6、对于不需要建立OSPF邻居的接口，在端口上配置passive-interface； ■ 配置示例： 1、华为设备 router id X.X.X.X //配置router id ospf 100 //配置OSPF进程 silent-interface XXXX //抑制接口收发OSPF报文 preference ase 110 //将ASE类路由改为110（缺省150） preference 110 //将非ASE类路由改为110（缺省10） area 0.0.0.0 network 192.168.0.0 0.0.0.255 area 0.0.0.1 network 192.168.1.0 0.0.0.255 <Quidway> system-view [Quidway2] interface pos 2/0/0 [Quidway2-Pos2/0/0] ospf authentication-mode simple abc //接口下配置认证 <Quidway> system-view [Quidway] ospf 100 [Quidway-ospf-100] area 0 [Quidway-ospf-100-area-0.0.0.0] authentication-mode md5 1 plain abc //区域下配置认证 2、Juniper设备 router ospf 100 router-id x.x.x.x passive-interface gigabitEthernet X/Y distance 110 redistribute static route-map XXX //可以控制发布的路由 ospf auto-cost reference-bandwidth X interface gigabitEthernet 2/0.1 vlan id 1 ip ospf message-digest-key 1 md5 juniper ip ospf authentication message-digest 第二章 业务相关配置 第1节 Radius配置 1.1 计费认证 ■ 配置内容： 配置用户的认证方式； 配置用户的计费方式； 配置用户认证服务器地址及参数； 配置用户计费服务器地址及参数； 配置radius update 源地址； ■ 规范要求：