《(通信企业管理)某通信公司ChinaNet网络设备配置规范》由会员分享,可在线阅读,更多相关《(通信企业管理)某通信公司ChinaNet网络设备配置规范(31页珍藏版)》请在金锄头文库上搜索。
1、中国电信广西公司ChinaNet网络设备配置规范v200905BRAS分册目 录第一章 设备相关配置3第1节 系统基本配置31.1 设备名称配置31.2 系统时间配置31.3 NTP配置31.4 主备卡切换配置41.5 接口配置4第2节 安全配置62.1 Telnet配置62.2 SNMP配置72.3 SYSLOG配置82.4 登录AAA9第3节 安全配置103.1 防攻击设置103.2 主控、业务板卡过载保护12第4节 路由配置124.1 静态路由配置124.2 黑洞路由配置124.3 OSPF13第二章 业务相关配置14第1节 Radius配置141.1 计费认证14第2节 域配置16第3
2、节 PPPoE163.1 速率模板配置163.2 IP Pool173.3 虚模板配置183.4 业务子接口18第4节 IPoE194.1 静态194.2 DHCP204.3 静态用户限速214.4 WLAN21第5节 二层VPN265.1 L2TP26第6节 MPLS VPN27第一章 设备相关配置第1节 系统基本配置1.1 设备名称配置 配置内容:配置设备名称; 规范要求:端口命名按附录1:设备和端口命名规范要求配置; 配置示例: 1、华为设备sysname M-NN-MINZU-B-ME60-01 /字符串形式,长度范围130 2、Juniper设备hostname M-NN-XIJIA
3、O-B-E320-01 /字符串形式,长度范围1301.2 系统时间配置 配置内容:设置BRAS 的系统日期及时间; 规范要求:采用标准北京时间(时区为东八区); 配置示例: 1、华为设备clock datetime 06:56:00 2009-04-12 /配置系统时间clock timezone add 8 /配置系统时区为东8区 2、Juniper设备clock timezone CST 8 /配置系统时区为东8区clock set 06:56:00 12 04 2009 /配置系统时间1.3 NTP配置 配置内容:配置NTP服务器; 规范要求:1、采用NTP Version 3版本;
4、2、采用 loopback0地址作为时间同步的源地址;3、统一NTP Server的IP地址为:202.103.194.43; 配置示例: 1、华为设备ntp-service source-interface LoopBack0 ntp-service unicast-server 202.103.194.43 source-interface LoopBack0 /缺省为版本3 2、Juniper设备ntp enablentp server 202.103.194.43 version 31.4 主备卡切换配置 配置内容:配置系统主备卡切换; 规范要求:打开自动切换,要求采用最优切换方式;
5、配置示例: 1、华为设备不需要配置 2、Juniper设备no disable-autosync /使用SRP同步!redundancymode high-availability1.5 接口配置1.5.1 GE 配置内容:配置GE端口; 规范要求:1、端口命名按附录1:设备和端口命名规范要求配置;2、除特殊情况外,端口使用强制模式:电口采用1000M全双工,光口如果可选强制模式,应优先设置为强制模式;(要求对端设备相应匹配);3、所有内部互连端口, IP MTU(MPLS MTU 随IP MTU调整)统一取定为:4470字节;4、打开端口的波动抑制功能;5、关闭存在安全风险的漏洞,如ICMP
6、 Redirect、Direct Broadcast、Proxy ARP等; 配置示例: 1、华为设备interface GigabitEthernetX/X/X /进入或创建相应接口、子接口description TO M-NN-MINZU-R-NE80E-01:GE1/0/1/路由器接口的描述信息。字符串形式,支持空格,区分大小写,字符串长度范围是1242。 undo shutdown /开启端口 ip address X.X.X.X X.X.X.X /配置相关IP地址mtu 4470 /配置接口MTUcontrol-flap /启用端口震荡抑制,可按默认参数配置undo negotiat
7、ion auto /用于开启和关闭自协商功能duplex full /配置双工模式speed 10 | 100 | 1000 | auto /配置接口速率 2、Juniper设备GE:interface gigabitEthernet 8/0speed 1000duplex fullencapsulation vlanmtu 4470ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1!interface gigabitEthernet 8/0.1vlan id 1ip address x.x.x.x 255.255.255.252ip d
8、escription TO M-NN-MINZU-R-NE80E-01:GE1/0/1no ip redirects10GE:interface gigabitEthernet 0/0/1speed 10000duplex fullencapsulation vlanmtu 4470ethernet description TO M-NN-MINZU-R-NE80E-01:GE1/0/1/Juniper无打开端口的波动抑制功能;无关闭存在安全风险的漏洞,如ICMP Redirect、Direct Broadcast、Proxy ARP等功能;1.5.2 端口捆绑 配置内容:配置端口捆绑; 规范
9、要求:1、端口命名按附录1:设备和端口命名规范要求配置;2、除特殊情况外,端口使用强制模式:电口采用1000M全双工,光口如果可选强制模式,应优先设置为强制模式;(要求对端设备相应匹配)3、端口捆绑只应用在二层接口 配置示例:1、华为设备interface eth-trunk trunk-id .subnumber /创建一个Eth-Trunk接口;undo interface eth-trunk trunk-id .subnumber /删除一个已存在的Eth-Trunk接口;interface giX/X/X /将相应端口加入trunketh-trunk Xdescription TO_L
10、ANGDONG ME60:EthTrunk1:2G:GE2/0/1GE3/0/1 /描述eth-trunk 2、Juniper设备interface gigabitEthernet 13/0/3 mtu 4470 duplex full speed 1000 lacp activeinterface gigabitEthernet 13/0/2 mtu 4470 /在要实现绑定的物理接口下开启lacp。由于该接口想要起QinQ,所以mtu为4470。 duplex full /注意:协商模式、MTU的配置是在物理接口下 speed 1000 lacp activeinterface lag T
11、O_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3 /将要绑定的物理接口放入到一个lag接口,名为TO_LANGDONG ME60:EthTrunk1:2G:GE13/0/2GE13/0/3! member-interface GigabitEthernet 13/0/3 member-interface GigabitEthernet 13/0/2 encapsulation vlan /注意:vlan是封装在lag接口下第2节 安全配置2.1 Telnet配置 配置内容:1、配置Telnet 登录的密码; 2、限制Telnet 登录的IP地址; 3、
12、配置Telnet Session的过期时间; 规范要求:1、Telnet 密码字符串不能过于简单, 一般应由字母、 数字及特殊字符等组成,且不能低于8位;2、根据实际情况只允许授权网段对设备VTY远程访问;3、控制连接超时时间,建议每个Telnet Session的超时限制设定为10分钟; 配置示例:1、华为设备user-interface maximum-vty 15 /最大进程数设为15 user-interface con 0 /对CON口接入进行设置 authentication-mode password set authentication password cipher NC55QK=/Q=QMAF41! user-interface aux 0
