江苏电信城域网CR路由器(华为NE5000E) 配置规范
acl number 2577 description this acl is used telnet
rule 10 permit source 61.155.48.0 0.0.0.255 rule 15 permit source 61.177.248.0 0.0.1.255 rule 20 permit source 202.102.15.200 0
rule 25 permit source 202.102.37.64 0.0.0.31 rule 3000 deny any
user-interface vty 0 4
acl 2577 inbound #设置VTY口登录控制列表为2577
disp acl 2577
disp curr | b user-interface
注意:
修改ACL时,先删除VTY下acl的应用,如undo acl inbound,而不是undo acl xxx inbound,再重新应用新的acl。
3.1.5 AAA配置
3.1.5.1 AAA服务器IP地址和端口号 配置说明:
配置AAA服务器IP地址,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定采用Tacacs+认证;
例:指定Tacacs+服务器地址为:221.231.148.6,认证密钥为XXX。并增加备用Tacacs+服务器地址61.177.64.146,认证密钥为XXX。
3.1.5.2 AAA消息数据包源地址 配置说明:
配置AAA消息数据包源地址。 规范要求:
指定出口路由器AAA消息数据包源地址为Loopback0接口地址。 3.1.5.3 认证模式 配置说明:
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及
中国电信江苏分公司
第18页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。
规范要求:
配置认证方式顺序为首先选用Tacacs+服务器,其次选用本地用户信息进行认证。
配置注意细节:
不同厂家AAA认证的顺序差异较大,需要注意。 3.1.5.4 授权模式 配置说明:
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一个用户能访问什么服务。配置由先TACACS服务器授权,后本地用户授权。用户分3个等级:
1级只具有一般的查看权限,不具有查看配置权限; 2级具有1级的查看权限、配置接口权限; 3级全部操作权限。 规范要求:
配置由首先TACACS服务器授权,其次本地用户授权,用户分3个等级。 3.1.5.5 审计模式 配置说明:
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。
规范要求:
配置Tacacs+服务器对登陆设备的用户进行审计记录。 3.1.5.6 本地用户帐号 配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。配置本地用户帐号admin,设置最高权限,使用省公司统一指定的密码。路由器的CONSOLE口仅允许本地帐号认证,不使用AAA服务器认证。
中国电信江苏分公司
第19页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
规范要求:
设置最高权限的本地账号,用于应急登陆。 3.1.5.7 配置范例
#配置HWTACACS服务器模板tongyirenzheng,源地址为设备LOOPBACK0地址,密钥为XXX,用户名格式中不包括域名。
hwtacacs-server template tongyirenzheng hwtacacs-server authentication 221.231.148.6
hwtacacs-server authentication 61.177.64.146 secondary hwtacacs-server authorization 221.231.148.6
hwtacacs-server authorization 61.177.64.146 secondary hwtacacs-server accounting 221.231.148.6
hwtacacs-server accounting 61.177.64.146 secondary hwtacacs-server source-ip *.*.*.* hwtacacs-server shared-key xxx
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案hwtacacs,认证模式先采用tac服务器认证,后采用本地认证。 authentication-scheme hwtacacs
authentication-mode hwtacacs local
#配置授权方案hwtacacs,先采用tac服务器授权,后采用本地用户授权。 authorization-scheme hwtacacs
authorization-mode hwtacacs local
#配置计费方案hwtacacs,使用tac服务器进行计费。 accounting-scheme hwtacacs accounting-mode hwtacacs
#配置记录方案hwtacacs,与记录方法关联的hwtacacs服务器模板的名称为上面配置的hwtacacs。注意:在使用recording-mode hwtacacs命令前,hwtacacs服务器模板必须已经创建完成。
recording-scheme hwtacacs
recording-mode hwtacacs tongyirenzheng
#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。 system recording-scheme hwtacacs
#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户端的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。 outbound recording-scheme hwtacacs
#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备情况进行记录,对监控和故障处理有一定的帮助。 cmd recording-scheme hwtacacs
#配置缺省域defaul,域的认证方案、计费方案、授权方案名称都为hwtacacs。
domain default
authentication-scheme hwtacacs authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server tongyirenzheng
中国电信江苏分公司
第20页
江苏电信城域网CR路由器(华为NE5000E) 配置规范
#规范本地level 3 的帐号: local-user admin password cipher admin local-user admin level 3 local-user admin service-type terminal telnet user-interface con 0 authentication-mode password //con口,本地认证模式 set authentication password cipher XXX //可根据省NOC统一规划 检查: display authentication-scheme hwtacacs display authentication-scheme hwtacacs display authorization-scheme hwtacacs display hwtacacs-server template tongyirenzheng display domain default display local-user 3.1.6 系统高可靠性配置 配置说明: 配置系统引擎冗余模式。 规范要求: 打开自动切换,要求采用最优切换方式。 配置规范: 华为NE路由器两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。 配置验证: display device #显示2块MPU为1个为Master状态,一个为Slave状态 display switchover state #显示备份状态,当状态为“Info:HA FSM State, Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题 配置注意细节: 无。
3.2 端口配置规范
3.2.1 MTU值设计
城域网路由型设备端口MTU的设置主要受多个方面因素影响:
? IP城域网内部统一IP MTU值(MPLS MTU随IP MTU自动调整);对厂家、
中国电信江苏分公司
第21页