发布时间 : 星期四 文章湖北电信IP城域网SR路由器(华为NE40E)配置规范V1.0更新完毕开始阅读8941341b6c175f0e7cd137d3
湖北电信城域网路由器设备配置规范总则
disp acl 2000 disp curr | b user-interface 远程登录设备测试
3.1.5 AAA配置
3.1.5.1 AAA服务器IP地址和端口号 配置说明:
配置AAA服务器方便后台统一管理,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定采用Tacacs+认证。华为设备使用hwtacacs。
例:指定Tacacs+服务器地址为:*.*.*.*,认证密钥为XXX。并增加备用Tacacs+服务器地址:*.*.*.*,认证密钥为XXX。
3.1.5.2 AAA消息数据包源地址 配置说明:
配置 AAA 消息数据包源地址。 规范要求:
指定出口路由器 AAA 消息数据包源地址为Loopback0 接口地址。 3.1.5.3 认证模式 配置说明:
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。认证模式一般为本地认证和远程服务器认证。
规范要求:
配置认证方式顺序为为首先使用Tacacs+服务器,其次选用本地用户信息进行认证
中国电信湖北分公司
第13页
湖北电信城域网路由器设备配置规范总则
3.1.5.4 授权模式 配置说明:
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一个用户能访问什么服务。配置由先本地用户授权,后TACACS服务器授权。用户分3个等级:
1级只具有一般的查看权限,不具有查看配置权限; 2级具有1级的查看权限、配置接口权限; 3级全部操作权限。 规范要求:
配置由首先TACACS服务器授权,其次本地用户授权,用户分3个等级。 3.1.5.5 审计模式 配置说明:
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。
规范要求:
配置Tacacs+服务器对登陆设备的用户进行审计记录。 3.1.5.6 本地用户帐号 配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。配置本地用户帐号admin,设置最高权限,使用省公司统一指定的密码。路由器的CONSOLE口仅允许本地帐号认证,不使用AAA服务器认证。
规范要求:
设置最高权限的本地账号,用于应急登陆。 3.1.5.7 配置范例
#配置HWTACACS服务器模板hbnoc,源地址为设备LOOPBACK0地址,密钥为 ****,用户名格式中不包括域名。 hwtacacs-server template hbnoc hwtacacs-server authentication 58.53.191.55 中国电信湖北分公司
第14页
湖北电信城域网路由器设备配置规范总则
hwtacacs-server authentication 58.53.191.46 secondary hwtacacs-server authorization 58.53.191.55
hwtacacs-server authorization 58.53.191.46 secondary hwtacacs-server accounting 58.53.191.55
hwtacacs-server accounting 58.53.191.46 secondary hwtacacs-server source-ip x.x.x.x hwtacacs-server shared-key ****
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案hwtacacs,认证模式先采用tac服务器认证,后采用本地认证。 authentication-scheme hwtacacs authentication-mode hwtacacs local
#配置授权方案hwtacacs,先采用tac服务器授权,后采用本地用户授权。 authorization-scheme hwtacacs authorization-mode hwtacacs local
#配置计费方案hwtacacs,使用tac服务器进行计费。 accounting-scheme hwtacacs accounting-mode hwtacacs
#配置记录方案hwtacacs,与记录方法关联的hwtacacs服务器模板的名称为上 面配置的hwtacacs。注意:在使用recording-mode hwtacacs命令前,hwtacacs 服务器模板必须已经创建完成。 recording-scheme hwtacacs
recording-mode hwtacacs hbnoc
#设置系统事件的记录策略,目前支持对reboot命令导致的事件进行记录。 system recording-scheme hwtacacs
#设置对于路由器做为客户端进行的操作的记录策略,目前支持对Telnet客户端 的记录。命令中引用的记录方案名称必须是已经创建完成的记录方案。 outbound recording-scheme hwtacacs
#设置用户在路由器上所执行的命令的记录策略,配置该命令后,可以对设备情 况进行记录,对监控和故障处理有一定的帮助。 cmd recording-scheme hwtacacs
#配置缺省域defaul,域的认证方案、计费方案、授权方案名称都为hwtacacs。
domain default
authentication-scheme hwtacacs authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server hbnoc
#规范本地level 3 的帐号: local-aaa-server
user admin password cipher ****** user admin level 15
user admin authentication-type A
user-interface con 0
authentication-mode aaa //设置con口采用aaa认证模式
中国电信湖北分公司
第15页
湖北电信城域网路由器设备配置规范总则
检查: display authentication-scheme hwtacacs display authentication-scheme hwtacacs display authorization-scheme hwtacacs display hwtacacs-server template hbnoc display domain default display local-user 3.1.6 VRF配置
3.1.6.1 VRF命名 配置说明: 配置 VRF 实例。 规范要求:
创建 VRF 实例,VRF描述使用简短、直观字符串描述客户信息,含客户简称,以省为单位统一。命名格式:CTVPN+专网号+“-”+客户名简称+“-”+序号
示例:工商银行VPN网号为CTVPN2600000,该VPN的VRF名称为:CTVPN2600000-Gonghang。
3.1.6.2 设备RD 配置说明:
在相应 VRF 实例下指定RD 号。 规范要求:
按照 RD 号规划设置RD。现网已配置的保持不变,新配置VRF的RD使用资源格式可为:4809: YYYYYY。
各城域网资源按照资源分配表格内容配置。
3.1.6.3 设备RT 配置说明:
在相应 VRF 实例下指定RT 号。 规范要求:
中国电信湖北分公司
第16页