江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
ME60不支持SNTP协议,不需要关闭SNTP协议。 3.1.3.5 配置范例
clock timezone Beijing add 08:00:00 #时区设置(用户视图) ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVER ntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER ntp-service source-interface loopback 0 #NTP消息源地址 3.1.4 VTY接口配置
3.1.4.1 连接数限制 配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置GSR路由器并发连接数限制为10 配置规范:
user-interface maximum-vty 10 配置验证: display user-interface maximum-vty 配置注意细节: 无
3.1.4.2 空闲时间 配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
中盈优创资讯科技有限公司
第11页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
规范要求:
对VTY, Console登录超时设置进行配置,设置空闲时间为10分钟。 配置规范:
user-interface console 0 idle-timeout 10 0 user-interface vty 0 4 idle-timeout 10 0 配置验证: disp curr | b user-interface 配置注意细节: 华为设备默认超时时间即为10分钟,配置后也不会显示配置。 3.1.4.3 访问控制列表 配置说明:
限制Telnet/SSH登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet/SSH源地址限制,包含省公司3个地址段(202.109.128.0 /24,202.97.32.0/19,202.97.30.0 /24)和IP综合网管及前置机网段:117.21.127.0/24。
Telnet/SSH访问控制列表条目从10,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny any any语句。
配置规范:
acl number 2001 rule 10 permit source 202.109.128.0 0.0.0.255 rule 20 permit source 202.97.32.0 0.0.31.255 rule 30 permit source 202.97.30.0 0.0.0.255 rule 40 permit source 117.21.127.0 0.0.0.255 rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any # user-interface vty 0 9 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA protocol inbound all #允许SSH协议登陆 acl 2001 inbound stelnet server enable #打开SSH功能 ssh authentication-type default password #通过AAA认证 中盈优创资讯科技有限公司
第12页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
rsa local-key-pair Deate #生成RSA密钥 配置验证: disp acl 2001 disp curr | beg user-interface 配置注意细节: 华为设备Telnet ACL统一使用编号2001。 3.1.4.4 Console认证配置 配置说明:
设置console认证密码,从而增强设备的安全性,防止非法登陆,同时关闭AUX端口。
规范要求:
配置console采用本地密码认证方式,密码采用NOC专用密码,关闭AUX端口。
配置规范:
user-interface con 0 authentication-mode password #设置Console口登录用户的验证方式为password set authentication password cipher ********* int aux0/0/1 #关闭AUX口 shutdown 配置验证: disp curr | b user-interface 配置注意细节: 无
3.1.4.5 配置范例
acl number 2001 rule 10 permit source 202.109.128.0 0.0.0.255 rule 20 permit source 202.97.32.0 0.0.31.255 rule 30 permit source 202.97.30.0 0.0.0.255 rule 40 permit source 117.21.127.0 0.0.0.255 rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any # user-interface maximum-vty 10 #连接数限制 user-interface con 0 中盈优创资讯科技有限公司
第13页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
authentication-mode password #设置Console口登录用户的验证方式为password set authentication password cipher ******** user-interface vty 0 9 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2001 inbound int aux0/0/1 #关闭AUX口 shutdown 3.1.5 AAA配置
3.1.5.1 概述
BRAS统一验证配置分成管理AAA配置和用户AAA配置,二种配置使用不同的统一验证方法。
管理AAA使用Tacacs+统一验证,
用户AAA使用Radius统一验证,全省统一大后台。 3.1.5.2 管理AAA配置 配置说明:
配置管理AAA的认证方式 配置管理AAA的授权方式 配置管理AAA的计费方式
配置管理AAA认证服务器地址及参数 配置管理AAA授权服务器地址及参数 配置管理AAA计费服务器地址及参数 配置Tacacs+协议加密key。 配置Tacacs+ update 源地址 规范要求:
管理AAA采用tacacs+统一验证方式
设置统一的tacacs+服务器地址为:主用117.21.127.10,备用(待定)。 设置tacacs+密钥为:cisco12416
配置认证方式为先本地对用户信息进行认证,后通过Tacacs+服务器。 配置授权方式为先TAC授权,后本地授权,配置后设备本地帐号将不可用。 配置计费方式为不计费。
中盈优创资讯科技有限公司
第14页