江苏电信城域网CR路由器(华为NE5000E) 配置规范

指定本地发出NTP消息的接口。 配置规范：

ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器，南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器, 南京C4 ntp-service refclock-master 8 #作为城域网内BRAS/SR的ntp server，取默认层数为8 配置验证：

display ntp-service status display ntp-service session 配置注意细节： 华为NE路由器默认NTP协议版本号为V3，不需特别配置版本信息。 配置限制NTP PEER的控制列表统一取值为2579。 3.1.3.3 NTP消息源地址 配置说明： 指定本地发出NTP消息的接口。 规范要求： 城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源地址。 配置规范： ntp-service source-interface loopback 0 配置验证： display current | i ntp-service 配置注意细节： 无。 3.1.3.4 NTP协议加密 配置说明：

配置NTP协议加密，防止伪造NTP源引起设备时间错误。 规范要求：

因部分设备不支持NTP协议加密，为了全网统一规范，现阶段NTP协议均不使用使用加密。

中国电信江苏分公司

第14页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

配置规范（参考）：

ntp-service authentication enable ntp-service authentication-keyid 11 authentication-mode md5 “xxx” #key ntp-service reliable authentication-keyid 11 配置验证： display clock display ntp-service status display ntp-service session 配置注意细节： 无。

3.1.3.5 SNTP进程关闭 配置说明： SNTP是NTP协议的的一个改写本，相比NTP协议实现更简单，但精确度要低，不能同时与多个Server同步时间。关闭SNTP协议，可防止基于SNTP漏洞的攻击。

规范要求： 出口路由器配置使用NTP协议同步时间，而不是使用SNTP协议。已配置了使用SNTP协议同步时间的，应更改SNTP协议为NTP协议。 配置规范： NE5000E默认关闭SNTP进程，不需要特别配置。 配置验证： 无。 配置注意细节： 无。 3.1.3.6 配置范例 clock timezone BeiJing minus 08:00:00 #时区设置（用户视图） ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.192 preference #主用服务器,南京C1 ntp-service unicast-server 202.97.32.187 #备用服务器,南京C4 ntp-service refclock-master 8 #城域网出口路由器，作为城域网内BRAS/SR的ntp server，提供时钟服务 配置acl，限制peer 的访问 acl 2579 acl number 2579 description this acl is used ntp peer rule 10 permit source 202.97.32.192 0 rule 15 permit source 202.97.32.187 0 rule 20 permit source 61.177.248.0 255.255.255.0 中国电信江苏分公司

第15页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

rule 100 deny ntp-service access peer 2579 3.1.4 Telnet配置

3.1.4.1 连接数限制 配置说明：

对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。 规范要求： 配置出口路由器Telnet最大连接数限制为5个（7750设置为7）。 配置规范： user-interface maximum-vty 5 配置验证： display user-interface maximum-vty 配置注意细节： 华为及CISCO设备 VTY连接数限制默认为5。 3.1.4.2 空闲时间 配置说明： 设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。 规范要求： 对VTY, Console,AUX登录超时设置进行配置，设置空闲时间为10分钟。 配置规范：

user-interface console 0 idle-timeout 10 0 user-interface aux 0 idle-timeout 10 0 user-interface vty 0 9 idle-timeout 10 0 配置验证： 中国电信江苏分公司

第16页

江苏电信城域网CR路由器(华为NE5000E) 配置规范

disp curr | b user-interface 配置注意细节： 华为设备默认超时时间即为10分钟，配置后也不会显示配置。 3.1.4.3 TELNET访问控制列表 配置说明：

限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。

规范要求： 配置Telnet源地址限制，包含省公司地址和最小化的地市网管中心维护IP网段。 Telnet访问控制列表条目从10开始，条目的间隔步长为5，在访问控制列表的最后显示配置一条deny source any语句。 配置规范： acl number 2577 description this acl is used telnet rule 10 permit source *.*.*.* *.*.*.* rule 15 permit source *.*.*.* *.*.*.* rule 3000 deny any 配置验证： disp acl 2577 disp curr | b user-interface 配置注意细节： 华为设备Telnet ACL统一使用编号2577。 3.1.4.4 配置范例 中国电信江苏分公司 第17页