发布时间 : 星期日 文章湖北电信IP城域网SR路由器(华为NE40E)配置规范V1.0更新完毕开始阅读8941341b6c175f0e7cd137d3
湖北电信城域网路由器设备配置规范总则
第3章 华为SR设备基本配置规范
3.1 系统基本配置规范
3.1.1 设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配置规范:
[sysname] sysname WH-ZBL-SR-1.MAN.NE40E 3.1.2 Banner配置
配置说明:
在连接到路由器,输入用户名称和口令之前,系统显示的提示信息,统一Banner motd语言。
规范要求:
所有路由器配置统一的Banner信息,登陆时提示:
WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!
配置规范:
[sysname] #Banner motd “ WARNING!!! Authorised access only, disconnect IMMEDIATELY if you are not an authorised user! ” [sysname] # 配置验证:
登陆路由器时应看到banner提示。
3.1.3 设备自身时间及NTP
中国电信湖北分公司
第9页
湖北电信城域网路由器设备配置规范总则
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
3.1.3.1 时区配置 配置说明:
统一设备的时区配置。 规范要求:
配置系统时区为GMT+8,北京时区。 配置规范:
[sysname] clock timezone GMT minus 08:00:00 #在用户模式下配置 配置验证: display clock 3.1.3.2 NTP时间 配置说明:
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期(最短10分钟)同步网络上所有设备的时间,保证网络设备得到正确的时间。
骨干设备武汉C1, 武汉C2作为湖北省内城域网出口路由器的NTP SERVER;
城域网配置主和备两组NTP服务器,并分为两级结构:
城域网出口作为NTP CLIENT,配置与202.97.32.72 , 202.97.32.73同步时钟;城域网出口做为NTP SERVER,配置NTP 所在主时钟层数为默认,出口以下设备则配置向出口路由器进行时钟同步。
指定本地发出NTP消息的接口。 规范要求:
配置NTP服务器更新设备硬件时间,配置主和备两组NTP服务器,版本V3,指定本地发出NTP消息的接口loopback0。
配置规范:
ntp-service source-interface LoopBack0 ntp-service unicast-server 202.97.32.72 preference #优选其中一台出口为NTP SERVER ntp-service unicast-server 202.97.32.73 #另一台出口为备用NTP SERVER 配置验证:
中国电信湖北分公司
第10页
湖北电信城域网路由器设备配置规范总则
display clock display ntp-service status display ntp-service session 3.1.3.3 NTP消息源地址 配置说明:
指定设备的接口IP做为NTP消息包的源IP地址,使用该IP与其它NTP设备交换消息包。
规范要求:
城域网核心层、业务控制层设备的使用Loopback0 地址作为NTP消息源地址。
配置规范:
ntp-service source-interface LoopBack0 配置验证:
display clock display ntp-service status display ntp-service session 3.1.4 Telnet配置
3.1.4.1 连接数限制 配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置SR路由器Telnet最大连接数限制为5个。 配置规范:
user-interface maximum-vty 5 配置验证: display user-interface maximum-vty 配置注意细节: 华为及CISCO设备 VTY连接数限制默认为5,7750为7,按默认配置。
中国电信湖北分公司
第11页
湖北电信城域网路由器设备配置规范总则
3.1.4.2 空闲时间 配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY、Console、AUX登录超时设置进行配置,设置空闲时间为10分钟。 配置规范:
user-interface console 0 idle-timeout 10 0 user-interface aux 0 idle-timeout 10 0 user-interface vty 0 4 idle-timeout 10 0 配置验证:
disp curr | b user-interface 3.1.4.3 TELNET访问控制列表 配置说明:
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet源地址限制,包含省公司地址和最小化的地市网管中心维护IP网段。
配置规范:
acl number 2000 description this acl is used telnet rule 10 permit source x.x.x.x/y rule 20 permit source x.x.x.x/y rule 30 permit source x.x.x.x/y rule 3000 deny source any # user-interface vty 0 4 authentication-mode aaa #设置telnet用户通过AAA认证登陆 acl 2000 inbound #设置VTY口登录控制列表为2000 配置验证: 中国电信湖北分公司
第12页