江苏电信城域网CR路由器(华为 NE5000E)配置规范V1.4-20110709 下载本文

江苏电信城域网CR路由器(华为NE5000E) 配置规范

指定本地发出NTP消息的接口。 配置规范:

ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器,南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器, 南京C4 ntp-service refclock-master 8 #作为城域网内BRAS/SR的ntp server,取默认层数为8 配置验证:

display ntp-service status display ntp-service session 配置注意细节: 华为NE路由器默认NTP协议版本号为V3,不需特别配置版本信息。 配置限制NTP PEER的控制列表统一取值为2579。 3.1.3.3 NTP消息源地址 配置说明: 指定本地发出NTP消息的接口。 规范要求: 城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源地址。 配置规范: ntp-service source-interface loopback 0 配置验证: display current | i ntp-service 配置注意细节: 无。 3.1.3.4 NTP协议加密 配置说明:

配置NTP协议加密,防止伪造NTP源引起设备时间错误。 规范要求:

因部分设备不支持NTP协议加密,为了全网统一规范,现阶段NTP协议均不使用使用加密。

中国电信江苏分公司

第14页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

配置规范(参考):

ntp-service authentication enable ntp-service authentication-keyid 11 authentication-mode md5 “xxx” #key ntp-service reliable authentication-keyid 11 配置验证: display clock display ntp-service status display ntp-service session 配置注意细节: 无。

3.1.3.5 SNTP进程关闭 配置说明: SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。关闭SNTP协议,可防止基于SNTP漏洞的攻击。

规范要求: 出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。 配置规范: NE5000E默认关闭SNTP进程,不需要特别配置。 配置验证: 无。 配置注意细节: 无。 3.1.3.6 配置范例 clock timezone BeiJing minus 08:00:00 #时区设置(用户视图) ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器,南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器,南京C4 ntp-service refclock-master 8 #城域网出口路由器,作为城域网内BRAS/SR的ntp server,提供时钟服务 配置acl,限制peer 的访问 acl 2579 acl number 2579 description this acl is used ntp peer rule 10 permit source 202.97.32.192 0 rule 15 permit source 202.97.32.187 0 rule 20 permit source 61.177.248.0 255.255.255.0 中国电信江苏分公司

第15页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

rule 100 deny ntp-service access peer 2579 3.1.4 Telnet配置

3.1.4.1 连接数限制 配置说明:

对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。 规范要求: 配置出口路由器Telnet最大连接数限制为5个(7750设置为7)。 配置规范: user-interface maximum-vty 5 配置验证: display user-interface maximum-vty 配置注意细节: 华为及CISCO设备 VTY连接数限制默认为5。 3.1.4.2 空闲时间 配置说明: 设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。 规范要求: 对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为10分钟。 配置规范:

user-interface console 0 idle-timeout 10 0 user-interface aux 0 idle-timeout 10 0 user-interface vty 0 9 idle-timeout 10 0 配置验证: 中国电信江苏分公司

第16页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

disp curr | b user-interface 配置注意细节: 华为设备默认超时时间即为10分钟,配置后也不会显示配置。 3.1.4.3 TELNET访问控制列表 配置说明:

限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。

规范要求: 配置Telnet源地址限制,包含省公司地址和最小化的地市网管中心维护IP网段。 Telnet访问控制列表条目从10开始,条目的间隔步长为5,在访问控制列表的最后显示配置一条deny source any语句。 配置规范: acl number 2577 description this acl is used telnet rule 10 permit source *.*.*.* *.*.*.* rule 15 permit source *.*.*.* *.*.*.* rule 3000 deny any 配置验证: disp acl 2577 disp curr | b user-interface 配置注意细节: 华为设备Telnet ACL统一使用编号2577。 3.1.4.4 配置范例 中国电信江苏分公司 第17页