河南联通城域网设备配置规范华为ME60.docx

河南联通城域网设备配置规范华为ME60.docx

《河南联通城域网设备配置规范华为ME60.docx》由会员分享，可在线阅读，更多相关《河南联通城域网设备配置规范华为ME60.docx（54页珍藏版）》请在冰豆网上搜索。

河南联通城域网设备配置规范华为ME60

内部资料注意保密

城域网设备配置规范

—华为ME60

中国联合网络通信有限公司河南省分公司

二零一六年

1.基本配置

1.1设备名称

【配置描述】:

配置设备名称

【规范要求】:

1.1.1格式：

网络层次描述-市名缩写-所辖区/县名、节点及机房描述-设备型号-序号

字段名称

网络层次描述

-

市名缩写

-

所辖区/县名、节点及机房描述

-

设备型号

-

序号

字段类型

英文字符

符号（连接符）

英文字符

符号（连接符）

英文字符

符号（连接符）

字母/数字序列

符号（连接符）

数字

长度

=2

=1

≤3

=1

≤10

=1

≤10

=1

=3

选项

必选

必选

必选

必选

必选

必选

必选

必选

必选

说明：

⏹原则上字母全部大写，两端和中间没有任何空格，采用定长命名。

⏹网络层次描述：

2个字母。

✓省网核心层：

PB

✓省网接入层（地市核心层）：

PA

✓城域网业务控制层（BRAS和SR设备）：

MS

✓城域网汇聚层：

MC

✓城域网接入层：

MA

⏹市名缩写：

2至3个字母。

原则取用其城市名称前两个汉字拼音首字母，个别城市名长于两个拼音字母的按照实际情况编写，但最长不应超过四个字母。

地市名称缩写为：

郑州（ZZ），洛阳（LY）、南阳（NY）、安阳（AY）、焦作（JZ）、新乡（XX）、三门峡（SMX）、济源（JY）、开封（KF），商丘（SQ）、驻马店（ZMD）、漯和（LH）、鹤璧（HB）、平顶山（PDS）、信阳（XY）、周口（ZK）、濮阳（PY）、许昌（XC）。

⏹所辖区/县名、节点及机房描述：

≤10个字母。

原则取用机房名称汉字拼音首字母，个别机房名长于两个拼音字母的按照实际情况编写，但最长不应超过10个字母或数字。

对于同城n个机房缩写相同，则按谐音或近音改变其中n-1个机房的缩写，以实现同城机房名缩写的唯一性。

✓例一：

中原路机房缩写为：

ZYL

✓例二：

新密县老局机房缩写为：

XMLJ

⏹设备型号：

参照厂商设备命名。

✓CISCO12416

✓HUAWEI8850

✓ZTE10600

✓SE800

⏹序号：

3个数字。

用来标识同一个节点的机同型号设备的序号。

范围从001-999。

【配置示例】:

[ME60]sysnameMS-XX-YMK-ME60-001

1.2系统时间配置

【配置描述】：

配置系统时区及系统时间；

【规范要求】：

1.2.1系统时间要求采用标准北京时间

【配置示例】:

clockdatetimeHH:

MM:

SSYYYY/MM/DD

配置NTPserver后时钟显示不正确,对于ver5.7的版本需要将时区更改

原配置为：

clocktimezoneGMTminus08:

00:

00

更正为：

clocktimezoneGMTadd08:

00:

00

1.3NTP配置

【配置描述】：

配置NTP服务器；

【规范要求】：

1.3.1为了冗余可靠，可以配置2个ntp服务器，建议配置密码认证，省内城域网BRAS和SR设备配置NTP服务器地址：

61.163.204.29。

1.3.2source-interface使用loopback地址

【配置示例】:

客户端：

ntp-servicesource-interfaceLoopBack0

ntp-serviceunicast-server61.163.204.29

ntp-serviceaccesspeeracl2000

1.4文件管理

【配置描述】：

配置设备的系统文件和配置文件；

【规范要求】：

1.4.1设备的系统文件和配置文件存放路径及格式应符合设备规范要求

1.4.2主备板的系统文件和配置文件保持一致

【配置示例】:

通过命令查看：

Dir

disstartup

通过startupsaved-configuration

Startupsystem-software设置。

1.5Banner配置

【配置描述】:

设备Banner配置

【规范要求】：

1.5.1所有设备配置统一的Banner信息，登陆时提示：

WARNING!

!

!

Authorisedaccessonly,allofyourdonewillberecorded!

DisconnectIMMEDIATELYifyouarenotanauthoriseduser!

【配置示例】:

headerlogininformation"WARNING!

!

!

Authorisedaccessonly,allofyourdonewillberecorded!

DisconnectIMMEDIATELYifyouarenotanauthoriseduser!

"

2．网管配置

2.1登陆AAA

【配置描述】:

配置管理用户登录AAA认证

【规范要求】：

2.1.1配置登陆AAA的tacacs+协议

AAAServer采用tacacs协议，用户登录认证采用集中认证方式。

配置认证策略为先本地后Tacacs。

【配置示例】:

hwtacacs-servertemplatehacnc

hwtacacs-serverauthentication61.163.204.11

hwtacacs-serverauthentication61.163.204.12secondary

hwtacacs-serverauthorization61.163.204.11

hwtacacs-serverauthorization61.163.204.12secondary

hwtacacs-serveraccounting61.163.204.11

hwtacacs-serveraccounting61.163.204.12secondary

hwtacacs-serversource-ip61.168.255.222

hwtacacs-servershared-keyEJ*FUhY94hZ*8+!

A

undohwtacacs-serveruser-namedomain-included

[Quidway]aaa

authentication-schemehacnc

authentication-modelocalhwtacacs

authentication-supersuperhwtacacs

#

accounting-schemehacnc

accounting-modehwtacacs

accountingstart-failonline

#

domaindefault_admin

authentication-schemehacnc

accounting-schemehacnc

adminuser-priority3

hwtacacs-serverhacnc

2.1.2Tacacs账号

对不同用户授予不同权限，实现分级分权管理，至少分为二级分权管理（查看、配置）。

配置本地认证一个超级帐号供应急使用。

【配置示例】:

[Quidway]local-aaa-server

user本地账号passwordcipher本地密码authentication-typeTlevel3#T表示telnet

2.2SNMP

【配置描述】:

配置SNMP参数

【规范要求】：

2.2.1snmp读/写共同体

不能采用默认的public和private，并且Snmp字符串除特殊情况不可以设置为写属性。

读、写属性要求采用非缺省团体名字符串并满足一定的强度要求（建议采用字母、数字和特殊字符的组合，长度不少于6位）；

2.2.2SNMP访问

采取SNMP访问的限制措施，仅允许授权网段访问路由器的SNMP服务；

2.2.3SNMPTRAP

开启SNMPTRAP，TRAP信息传送网管服务器。

2.2.4Snmp的源地址

Snmp的源地址必须为loopback地址

2.2.5SNMP版本

Snmp版本要求设置为V2/V2c，如有特殊的需要可进行相应修改，尽量避免V1版本的出现。

【配置示例】:

system-view进入系统视图

[Quidway]aclnumber2000设定允许访问地址段

rule5permitsource218.29.255.00.0.0.255

rule10permitsource61.163.204.00.0.3.255

rule15permitsource本地允许地址段

[Quidway]snmp-agentacl2000

[Quidway]snmp-agentcommunityread<字符串>

[Quidway]snmp-agentsys-infoversionV2C

[Quidway]ifindexconstant//开启接口索引

2.3用户

【配置描述】:

配置管理用户

【规范要求】：

2.3.1用户授权配置

配置用户授权，对不同用户授予不同权限，实现分级分权管理。

2.3.2用户密码配置

密码采用系统全局配置的USERNAME和PASSWORD，密码字符串要求应由字母、数字和特殊字符等组成，且不能低于6位。

2.3.3空闲时间设置

对VTY、CONSOLE、AUX登陆超时设置进行配置，设置空闲时间为10分钟。

2.3.4账号管理

根据相关规程定期更新用户名、密码，删除无关账号。

【配置示例】:

system-view进入系统视图

[Quidway]local-aaa-server

user本地账号passwordcipher本地密码authentication-typeTlevel1

[Quidway]user-interfacevty04

aclinbound

authentication-modeaaa

idle-timeout100

2.4SYSLOG

【配置描述】:

配置SYSLOG日志参数

【规范要求】：

全省BRAS、SR配置syslog地址为：

61.163.204.13。

2.4.1日志功能配置

设备必须配置日志功能，记录所有中高风险（minor、marjor）的事件，其中必须记录用户登录事件，并对高风险的事件产生告警。

2.4.2时间设置

log信息采用北京时间来显示；

2.4.3日志主机设置

log信息需集中保存到logserver上，可以配置多个logserver；

2.4.4Syslog触发级别设置

根据不同设备实际情况调整，需包含如下信息：

（端口UPDOWN、BGP\OSPF\MPLS邻居updown、设备重启、板卡状态改变）

【配置示例】:

开启信息中心。

system-view

[Quidway]info-centerenable

配置通道允许输出日志信息的模块和严重级别。

[Quidway]info-centersourcedefaultchannel2log