設(shè)備管理_聯(lián)通城域網(wǎng)設(shè)備配置規(guī)范范本

內(nèi)部資料 注意保密城域網(wǎng)設(shè)備配置規(guī)范 華為ME60中國聯(lián)合網(wǎng)絡(luò)通信有限公司河南省分公司二零一六年目 錄1. 基本配置31.1 設(shè)備名稱31.2 系統(tǒng)時(shí)間配置41.3 NTP配置41.4 文件管理51.5 Banner配置52網(wǎng)管配置62.1 登陸AAA62.2 SNMP72.3 用戶82.4 SYSLOG82.5 TELNET93端口配置規(guī)范103.1 端口命名格式描述103.2 loopback113.3 GE/TG113.4 端口捆綁123.5 POS124. 路由配置134.1 靜態(tài)路由配置134.2 OSPF配置134.3 BGP配置144.4 MPLS配置174.5 BFD配置185安全配置205.1 ACL205.2服務(wù)管理235.3 引擎防護(hù)236. 業(yè)務(wù)實(shí)現(xiàn)236.1 PPPOE業(yè)務(wù)236.2 專線業(yè)務(wù)256.3 VPDN業(yè)務(wù)276.4 WLAN業(yè)務(wù)296.5 MPLS VPN 業(yè)務(wù)346.6 VPLS業(yè)務(wù)356.8 NAT444業(yè)務(wù)376.9 預(yù)欠費(fèi)提醒和欠費(fèi)提醒業(yè)務(wù)386.10 HGU業(yè)務(wù)416.11 IPTV業(yè)務(wù)431. 基本配置1.1 設(shè)備名稱【配置描述】: 配置設(shè)備名稱【規(guī)范要求】:1.1.1 格式：網(wǎng)絡(luò)層次描述-市名縮寫-所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述-設(shè)備型號-序號字段名稱網(wǎng)絡(luò)層次描述-市名縮寫-所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述-設(shè)備型號-序號字段類型英文字符符號（連接符）英文字符符號（連接符）英文字符符號（連接符）字母/數(shù)字序列符號（連接符）數(shù)字長度=2=13=110=110=1=3選項(xiàng)必選必選必選必選必選必選必選必選必選說明：n 原則上字母全部大寫，兩端和中間沒有任何空格，采用定長命名。n 網(wǎng)絡(luò)層次描述：2個(gè)字母。 省網(wǎng)核心層：PB 省網(wǎng)接入層（地市核心層）：PA 城域網(wǎng)業(yè)務(wù)控制層（BRAS和SR設(shè)備）：MS 城域網(wǎng)匯聚層：MC 城域網(wǎng)接入層：MAn 市名縮寫：2至3個(gè)字母。原則取用其城市名稱前兩個(gè)漢字拼音首字母，個(gè)別城市名長于兩個(gè)拼音字母的按照實(shí)際情況編寫，但最長不應(yīng)超過四個(gè)字母。地市名稱縮寫為：鄭州（ZZ），洛陽（LY）、南陽（NY）、安陽（AY）、焦作（JZ）、新鄉(xiāng)（XX）、三門峽（SMX）、濟(jì)源（JY）、開封（KF），商丘（SQ）、駐馬店（ZMD）、漯和（LH）、鶴璧（HB）、平頂山（PDS）、信陽（XY）、周口（ZK）、濮陽（PY）、許昌（XC）。n 所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述：10個(gè)字母。原則取用機(jī)房名稱漢字拼音首字母，個(gè)別機(jī)房名長于兩個(gè)拼音字母的按照實(shí)際情況編寫，但最長不應(yīng)超過10個(gè)字母或數(shù)字。對于同城n個(gè)機(jī)房縮寫相同，則按諧音或近音改變其中n-1個(gè)機(jī)房的縮寫，以實(shí)現(xiàn)同城機(jī)房名縮寫的唯一性。 例一：中原路機(jī)房縮寫為：ZYL 例二：新密縣老局機(jī)房縮寫為：XMLJn 設(shè)備型號：參照廠商設(shè)備命名。 CISCO12416 HUAWEI8850 ZTE10600 SE800n 序號：3個(gè)數(shù)字。用來標(biāo)識同一個(gè)節(jié)點(diǎn)的機(jī)同型號設(shè)備的序號。范圍從001-999?！九渲檬纠?ME60sysname MS-XX-YMK-ME60-0011.2 系統(tǒng)時(shí)間配置【配置描述】：配置系統(tǒng)時(shí)區(qū)及系統(tǒng)時(shí)間；【規(guī)范要求】：1.2.1 系統(tǒng)時(shí)間要求采用標(biāo)準(zhǔn)北京時(shí)間【配置示例】:clock datetime HH:MM:SS YYYY/MM/DD配置NTP server 后時(shí)鐘顯示不正確,對于ver5.7的版本需要將時(shí)區(qū)更改原配置為：clock timezone GMT minus 08:00:00更正為：clock timezone GMT add 08:00:001.3 NTP配置【配置描述】：配置NTP服務(wù)器；【規(guī)范要求】：1.3.1 為了冗余可靠，可以配置2個(gè)ntp服務(wù)器，建議配置密碼認(rèn)證，省內(nèi)城域網(wǎng)BRAS和SR設(shè)備配置NTP服務(wù)器地址：9。1.3.2 source-interface使用loopback地址【配置示例】:客戶端：ntp-service source-interface LoopBack0ntp-service unicast-server 9ntp-service access peer acl 20001.4 文件管理【配置描述】：配置設(shè)備的系統(tǒng)文件和配置文件；【規(guī)范要求】：1.4.1 設(shè)備的系統(tǒng)文件和配置文件存放路徑及格式應(yīng)符合設(shè)備規(guī)范要求1.4.2 主備板的系統(tǒng)文件和配置文件保持一致【配置示例】:通過命令查看：Dirdis startup通過startup saved-configurationStartup system-software設(shè)置。1.5 Banner配置【配置描述】:設(shè)備Banner配置【規(guī)范要求】：1.5.1 所有設(shè)備配置統(tǒng)一的Banner信息，登陸時(shí)提示：WARNING! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user! 【配置示例】:header login information WARNING! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!2網(wǎng)管配置2.1 登陸AAA【配置描述】:配置管理用戶登錄AAA認(rèn)證【規(guī)范要求】：2.1.1 配置登陸AAA的tacacs+協(xié)議 AAA Server采用tacacs協(xié)議，用戶登錄認(rèn)證采用集中認(rèn)證方式。配置認(rèn)證策略為先本地后Tacacs?！九渲檬纠?hwtacacs-server template hacnc hwtacacs-server authentication 1 hwtacacs-server authentication 2 secondary hwtacacs-server authorization 1 hwtacacs-server authorization 2 secondary hwtacacs-server accounting 1 hwtacacs-server accounting 2 secondary hwtacacs-server source-ip 22 hwtacacs-server shared-key EJ*FUhY94hZ*8+!A undo hwtacacs-server user-name domain-includedQuidway aaaauthentication-scheme hacnc authentication-mode local hwtacacs authentication-super super hwtacacs #accounting-scheme hacnc accounting-mode hwtacacs accounting start-fail online #domain default_admin authentication-scheme hacnc accounting-scheme hacnc adminuser-priority 3 hwtacacs-server hacnc 2.1.2 Tacacs賬號對不同用戶授予不同權(quán)限，實(shí)現(xiàn)分級分權(quán)管理，至少分為二級分權(quán)管理（查看、配置）。配置本地認(rèn)證一個(gè)超級帳號供應(yīng)急使用?！九渲檬纠? Quidway local-aaa-serveruser 本地賬號 password cipher 本地密碼authentication-type T level 3 #T 表示telnet2.2 SNMP【配置描述】:配置SNMP參數(shù)【規(guī)范要求】：2.2.1 snmp讀/寫共同體不能采用默認(rèn)的public和private，并且Snmp字符串除特殊情況不可以設(shè)置為寫屬性。讀、寫屬性要求采用非缺省團(tuán)體名字符串并滿足一定的強(qiáng)度要求（建議采用字母、數(shù)字和特殊字符的組合，長度不少于6位）；2.2.2 SNMP訪問 采取SNMP訪問的限制措施，僅允許授權(quán)網(wǎng)段訪問路由器的SNMP 服務(wù)；2.2.3 SNMP TRAP開啟SNMP TRAP，TRAP信息傳送網(wǎng)管服務(wù)器。2.2.4 Snmp的源地址Snmp的源地址必須為loopback地址2.2.5 SNMP 版本 Snmp版本要求設(shè)置為V2/V2c，如有特殊的需要可進(jìn)行相應(yīng)修改，盡量避免V1版本的出現(xiàn)?！九渲檬纠? system-view 進(jìn)入系統(tǒng)視圖Quidway acl number 2000 設(shè)定允許訪問地址段rule 5 permit source 55rule 10 permit source 55rule 15 permit source 本地允許地址段Quidway snmp-agent acl 2000Quidwaysnmp-agent community read Quidway snmp-agent sys-info version V2C Quidwayifindex constant /開啟接口索引2.3 用戶【配置描述】:配置管理用戶【規(guī)范要求】：2.3.1 用戶授權(quán)配置配置用戶授權(quán)，對不同用戶授予不同權(quán)限，實(shí)現(xiàn)分級分權(quán)管理。2.3.2 用戶密碼配置密碼采用系統(tǒng)全局配置的USERNAME和PASSWORD，密碼字符串要求應(yīng)由字母、數(shù)字和特殊字符等組成，且不能低于6位。2.3.3 空閑時(shí)間設(shè)置對VTY、CONSOLE、AUX登陸超時(shí)設(shè)置進(jìn)行配置，設(shè)置空閑時(shí)間為10分鐘。2.3.4 賬號管理根據(jù)相關(guān)規(guī)程定期更新用戶名、密碼，刪除無關(guān)賬號?！九渲檬纠? system-view 進(jìn)入系統(tǒng)視圖Quidwaylocal-aaa-serveruser 本地賬號 password cipher 本地密碼authentication-type T level 1 Quidway user-interface vty 0 4acl inboundauthentication-mode aaaidle-timeout 10 02.4 SYSLOG【配置描述】:配置SYSLOG日志參數(shù)【規(guī)范要求】：全省BRAS、SR配置syslog地址為：3。2.4.1日志功能配置設(shè)備必須配置日志功能，記錄所有中高風(fēng)險(xiǎn)（minor、marjor）的事件，其中必須記錄用戶登錄事件，并對高風(fēng)險(xiǎn)的事件產(chǎn)生告警。2.4.2 時(shí)間設(shè)置log信息采用北京時(shí)間來顯示； 2.4.3 日志主機(jī)設(shè)置log信息需集中保存到 log server上，可以配置多個(gè) log server；2.4.4 Syslog觸發(fā)級別設(shè)置根據(jù)不同設(shè)備實(shí)際情況調(diào)整，需包含如下信息：（端口UP DOWN 、BGPOSPFMPLS 鄰居updown、設(shè)備重啟、板卡狀態(tài)改變）【配置示例】:開啟信息中心。 system-viewQuidway info-center enable配置通道允許輸出日志信息的模塊和嚴(yán)重級別。Quidway info-center source default channel 2 log level warning配置發(fā)送日志信息的源接口。Quidway info-center loghost source LoopBack0配置日志信息輸出到指定的日志主機(jī)Quidway info-center loghost 3 facility local3 local-time2.5 TELNET【配置描述】:配置TELNET遠(yuǎn)程登錄參數(shù)【規(guī)范要求】：2.5.1 TELNET登陸限制根據(jù)實(shí)際情況只允許授權(quán)網(wǎng)段對設(shè)備VTY遠(yuǎn)程訪問。允許的省公司管理地址如下（以cisco設(shè)備配置為例）：access-list 7 permit 55access-list 7 permit 55access-list 7 permit 55允許的市公司管理地址如下：市公司的網(wǎng)管地址、設(shè)備上聯(lián)中繼地址。登陸限制需要配合ACL使用 【配置示例】: system-view 進(jìn)入系統(tǒng)視圖Quidway acl number 2007rule 0 permit source 55 rule 1 permit source 55rule 3 permit source 55 rule 4 permit source 本地授權(quán)地址段 Quidway user-interface vty 0 4acl 2007 inboundauthentication-mode aaaidle-timeout 10 03端口配置規(guī)范3.1 端口命名格式描述【配置描述】: 所有已使用端口根據(jù)用途均要正確配置端口描述【規(guī)范要求】： 3.1.1 端口命名格式： To_對端設(shè)備名稱（端口號）：電路類型：電路條目：電路代號To_對端設(shè)備名稱（）：電路類型：電路條目：電路代號符號字符字符字符字符字符字符字符字符字符字符長度=2=13210（括號內(nèi)為端口號）=17=13=115選項(xiàng)必選必選必選必選必選必選必選必選必選必選說明：1) 原則上字母全部大寫（除了“To”）,標(biāo)點(diǎn)符號為英文標(biāo)點(diǎn)2) To的后面為對端設(shè)備名稱和互聯(lián)端口號3) 設(shè)備名稱按設(shè)備名稱命名規(guī)范命名4) _：固定字符串（英文下劃線）；5) 電路類型：10M、100M、GE、155M、622M、2.5G、10GPOS、10GE等等，用“10GPOS”和“10GE”來區(qū)分POS端口還是以太網(wǎng)端口；6) 電路條目：用于區(qū)分兩臺設(shè)備之間互聯(lián)的相同帶寬的鏈路數(shù)量，如果兩臺設(shè)備之間只采用1條鏈路，那么該字符為“001”，如果有2條，那么第二個(gè)端口為“002”，以此類推；7) 電路代號：長傳或本傳電路代號?！九渲檬纠?interface GigabitEthernet7/0/0description To_PA-XX-TX-NE5000E-001(G4/0/2):GE:001:電路代號表示該端口聯(lián)接到新鄉(xiāng)鐵西NE5000E的G4/0/2端口，鏈路帶寬為GE的第1條鏈路。3.2 loopback【配置描述】: 配置Loopback端口IP地址和子網(wǎng)掩碼【規(guī)范要求】： 3.2.1端口配置地址要求為32位掩碼3.2.2采用統(tǒng)一規(guī)劃的Loopback地址作為RADIUS,snmp,MP-BGP等協(xié)議的Update Source【配置示例】: system-viewQuidway interface LoopBack0ip address A.B.C.D 553.3 GE/TG【配置描述】 ：配置端口協(xié)商、速率、MTU等【規(guī)范要求】： 3.3.1 端口協(xié)商強(qiáng)制關(guān)閉，配置成全雙工，速率1000M，特殊業(yè)務(wù)需求時(shí)可打開協(xié)商3.3.2 上聯(lián)中繼端口mtu統(tǒng)一15243.3.3下聯(lián)中繼口打開端口波動(dòng)抑制，UP 10s DOWN 2.5s【配置示例】: system-viewQuidway inter GigabitEthernet1/0/0undo negotiation automtu 1524carrier up-hold-time 10000carrier down-hold-time 25003.4 端口捆綁【配置描述】 ：鏈路捆綁端口的MTU，負(fù)載分擔(dān)方式等【規(guī)范要求】： 3.4.1設(shè)置TRK里最小活動(dòng)鏈路數(shù)，最小值為1(默認(rèn)為1)3.4.2TRK中端口的負(fù)載分擔(dān)方式使用逐流負(fù)載分擔(dān)(默認(rèn)為逐流)3.5 POS【配置描述】：POS中繼口的CRC校驗(yàn)位，封裝格式等【規(guī)范要求】：3.5.1幀格式和封裝格式要求和對端相同,如果有傳輸要求和傳輸相同3.5.2 除特殊電路要求，CRC統(tǒng)一32 校驗(yàn)位(默認(rèn)為CRC-32)3.5.3 scramble，要求使能POS接口的載荷加擾功能(默認(rèn)為scramble)【配置示例】: system-viewQuidway interface pos 1/0/0Quidway -Pos1/0/0 ip address 0 Quidway -Pos1/0/0 undo shutdown4. 路由配置4.1 靜態(tài)路由配置【配置描述】：如果配置靜態(tài)路由，參照以下要求【規(guī)范要求】：4.1.1 必須指定靜態(tài)路由的下一跳地址(黑洞路由除外),必要時(shí)指定具體接口。4.1.2 根據(jù)實(shí)際情況設(shè)置靜態(tài)路由和黑洞路由的DISTANCE值，建議使用默認(rèn)值。4.1.3 在設(shè)備支持的情況下，建議設(shè)置靜態(tài)路由的描述。【配置示例】: system-viewQuidway ip route-static GigabitEthernet1/0/0 description TEXT4.2 OSPF配置【配置描述】：OSPF用于在單一自治系統(tǒng)內(nèi)決策路由，如果網(wǎng)絡(luò)規(guī)劃需要配置OSPF，參照以下要求；【規(guī)范要求】：4.2.1 OSPF進(jìn)程號,取值范圍1-65535，建議取值為100。4.2.2 一臺路由器IGP路由只配置一個(gè)OSPF進(jìn)程號。4.2.3 當(dāng)存在多個(gè)Area時(shí)，必須配置骨干區(qū)域（Area 0），以保證網(wǎng)絡(luò)部署的合理性。因目前各市只有一個(gè)Area，只需配置本地Area即可。4.2.4 對于不需要啟用OSPF路由的端口，須啟用passive-interface。4.2.5 必須采用loopback地址來手工設(shè)置router-id。4.2.6 在網(wǎng)絡(luò)中，設(shè)備的Router ID必須是唯一的。4.2.7 建議在設(shè)備端口上配置啟用MD5認(rèn)證OSPF鄰居。4.2.8 如非必要ospf中不引入直連和靜態(tài)，若必須引入，則重發(fā)布靜態(tài)和直連路由時(shí)，建議發(fā)布成TYPE-1。4.2.9 在設(shè)備支持的情況下，應(yīng)該添加AREA的描述語句，解釋此區(qū)域的作用。4.2.10 建議增加NETWORK宣告相應(yīng)網(wǎng)段的描述。4.2.11 所有非AREA0的區(qū)域，必須與AREA0直連，禁止使用虛鏈接。4.2.12 建議采用非強(qiáng)制方式下發(fā)OSPF缺省路由。4.2.13 在配置OSPF路由聚合時(shí)，配置一條與之對應(yīng)的指向Null0的黑洞路由。4.2.14 將同一條鏈路上互聯(lián)的OSPF接口的Cost值配置為相同的值。4.2.15 如非特殊情況，應(yīng)手工設(shè)置SR、BRAS上聯(lián)中繼接口的Cost值為100/95（包括GE和10GE接口,10GEcost95,GEcost100）。4.2.16 OSPF鄰居兩端接口的網(wǎng)絡(luò)類型要一致。4.2.17 非ABR和ASBR不應(yīng)做聚合路由?！九渲檬纠? system-viewQuidwayospf 1 router-id loopback0 silent-interface LoopBack0 area 本地號 network 0 Quidway interface GigabitEthernet 1/0/0ospf cost 100 ospf network-type p2p 4.3 BGP配置【配置描述】：BGP是一種在自治系統(tǒng)之間動(dòng)態(tài)交換路由信息的路由協(xié)議，如果網(wǎng)絡(luò)規(guī)劃需要，參照以下要求?！疽?guī)范要求】：4.3.1 要求關(guān)閉同步和自動(dòng)匯總；4.3.2 在日志中記錄BGP的鄰居變化;4.3.3 建議對多個(gè)IBGP鄰居配置采用peer-group；4.3.4 建議對IBGP配置路由反射器，不采用聯(lián)盟；4.3.5 發(fā)布路由時(shí)盡量使用配置黑洞路由,然后通過network的方式發(fā)布聚合路由；4.3.6 EBGP和IBGP，都使用loopback地址建立鄰居4.3.7 建議對BGP鄰居進(jìn)行認(rèn)證，Bgp的密鑰使用md5加密； 4.3.8 本地AS號按照全網(wǎng)規(guī)范配置。4.3.9 采用loopback手工設(shè)置Router ID。4.3.10 禁止配置BGP DAMPING。4.3.11 要求為BGP Peer配置描述信息?！九渲檬纠?bgp 65144 group ha-xc-vpn internal #建立與城域網(wǎng)核心路由器MP-iBGP鄰居關(guān)系對等組 peer ha-xc-vpn password * peer ha-xc-vpn connect-interface LoopBack10 peer 29 as-number 65144 peer 29 group ha-xc-vpn peer 29 description PA-XC-QYL-CISCO12816-001 peer 28 as-number 65144 peer 28 group ha-xc-vpn peer 28 description PA-XC-XDL-CISCO12816-001 group ha-xc internal #建立與城域網(wǎng)核心路由器IPv4 iBGP鄰居關(guān)系對等組 peer ha-xc password * peer ha-xc connect-interface LoopBack0 peer 29 as-number 65144 peer 29 group ha-xc peer 29 description PA-XC-QYL-CISCO12816-001 peer 28 as-number 65144 peer 28 group ha-xc peer 28 description PA-XC-XDL-CISCO12816-001 # ipv4-family unicast undo synchronization import-route direct import-route static import-route unr undo peer 28 enable undo peer 29 enable undo peer ha-xc-vpn enable peer ha-xc enable peer ha-xc route-policy setcommunity export peer ha-xc advertise-community peer 29 enable peer 29 group ha-xc peer 28 enable peer 28 group ha-xc # ipv4-family vpnv4 policy vpn-target peer ha-xc-vpn enable peer ha-xc-vpn advertise-community peer 29 enable peer 29 group ha-xc-vpn peer 28 enable peer 28 group ha-xc-vpn # ipv4-family vpn-instance mplsvpntest network 7 55 # ipv4-family vpn-instance mplsvpn_jiudi import-route direct import-route static import-route unr # ipv4-family vpn-instance xc_guotuju import-route direct import-route static import-route unr # ipv4-family vpn-instance mplsvpn_LaoDongJu import-route direct import-route static import-route unr # 4.4 MPLS配置【配置描述】：如果網(wǎng)絡(luò)部署MPLS，相關(guān)參數(shù)參照以下要求?！疽?guī)范要求】：4.4.1 要求Lsr-id為loopback 的接口地址(華為設(shè)備適用)。4.4.2 通過配置控制（如ACL），僅為需要的路由（如：主機(jī)路由）分配MPLS標(biāo)簽。4.4.3 使用LDP做為MPLS的標(biāo)簽分發(fā)協(xié)議，使用DU+有序+自由來分發(fā)控制保持標(biāo)簽。（設(shè)備默認(rèn)）【配置示例】: Quidway ip ip-prefix ldp-filter index 10 permit 32 greater-equal 32 less-equal 32Quidway ip ip-prefix ldp-filter index 20 permit 24 greater-equal 24 less-equal 32Quidwaympls lsr-id x.x.x.x Quidwaympls lsp-trigger ip-prefix ldp-filter Quidway interface GigabitEthernet 1/0/0Quidway-GE1/0/0mplsQuidway-GE1/0/0mpls ldp4.5 BFD配置【配置描述】：如果網(wǎng)絡(luò)配置BFD，參照以下要求。 【規(guī)范要求】：4.5.1 要求配置BFD與所運(yùn)行的協(xié)議相關(guān)聯(lián)；4.5.2 要求BFD最小發(fā)送間隔10ms，BFD最小接收間隔10ms，配置BFD檢測倍數(shù)5次。【配置示例】:# 配置ME60A 的接口IP 地址。 system-viewQuidway sysname ME60AME60A interface gigabitEthernet 1/0/0ME60A-GigabitEthernet1/0/0 undo shutdownME60A-GigabitEthernet1/0/0 ip address 24ME60A-GigabitEthernet1/0/0 quit# 配置ME60B 的接口IP 地址。 system-viewQuidway sysname ME60BME60B interface gigabitEthernet 1/0/0ME60B-GigabitEthernet1/0/0 undo shutdownME60B-GigabitEthernet1/0/0 ip address 24ME60B-GigabitEthernet1/0/0 quit# 在ME60A 上使能BFD，并配置與ME60B 之間的BFD Session。需要在BFD Session 中綁定接口。ME60A bfdME60A-bfd quitME60A bfd atob bind peer-ip interface gigabitEthernet 1/0/0ME60A-bfd-session-atob discriminator local 1ME60A-bfd-session-atob discriminator remote 2ME60A-bfd-session-atobmin-tx-interval 100ME60A-bfd-session-atobmin-rx-interval 100ME60A-bfd-session-atob commitME60A-bfd-session-atob quit# 在ME60B 上使能BFD，并配置與ME60A 之間的BFD Session。需要在BFD Session 中綁定接口。ME60B bfdME60B-bfd quitME60B bfd btoa bind peer-ip interface gigabitEthernet 1/0/0ME60B-bfd-session-btoa discriminator local 2ME60B-bfd-session-btoaME60B-bfd-session-btoaME60B-bfd-session-btoa discriminator remote 1ME60A-bfd-session-atobmin-tx-interval 100ME60A-bfd-session-atobmin-rx-interval 100ME60B-bfd-session-btoa commitME60B-bfd-session-btoa quit# 配置BFD for OSPF 特性。ME60A bfdME60A-bfd quitME60A ospfME60A-ospf-1 bfd all-interfaces enableME60A-ospf-1 bfd all-interfaces min-rx-interval 10 mintx-interval 10 detect-multiplier 5ME60A-ospf-1 quit# 在接口上配置BFD 特性，并指定最小發(fā)送和接收間隔為100ms。ME60A interface gigabitethernet 2/0/0ME60A-Gigabitethernet2/0/0 ospf bfd enableME60A-Gigabitethernet 2/0/0 ospf bfd min-rx-interval 100 min-tx-interval 100 detect-multiplier 5ME60A-Gigabitethernet 2/0/0 quit配置BFD for BGP 特性。ME60A bfdME60A-bfd quitME60A bgp 100ME60A-bgp peer bfd enableME60A-bgp peer min-rx-interval 100 mintx-interval 100 detect-multiplier 55安全配置5.1 ACL【配置描述】：配置訪問控制列表相關(guān)參數(shù)。【規(guī)范要求】：5.1.1 登錄訪問列表必須配置允許訪問地址列表以實(shí)現(xiàn)只有特定IP地址主機(jī)訪問節(jié)點(diǎn)。5.1.2 病毒訪問列表關(guān)閉常見及危害程度較大的病毒、木馬端口至少包括：UDP： 135-139、 445、1433-1434、3333、4444、5554、9995、9996； TCP： 135、137139、593、901、1068、2745、3127、3128、3333、 58005900、6129、6667、8998、9996。5.1.3 端口應(yīng)用URPF在所有下聯(lián)口采取源地址校驗(yàn)，上聯(lián)口不配置源地址校驗(yàn)，源地址校驗(yàn)方式采取寬松模式?！九渲檬纠?acl number 6000 rule 10 deny udp source user-group dial destination-port eq 135rule 20 deny udp source user-group dial destination-port eq 136rule 30 deny udp source user-group dial destination-port eq netbios-nsrule 40 deny udp source user-group dial destination-port eq netbios-dgmrule 50 deny udp source user-group dial destination-port eq netbios-ssrule 60 deny udp source user-group dial destination-port eq 445rule 70 deny udp source user-group dial destination-port eq 1433rule 80 deny udp source user-group dial destination-port eq 1434rule 90 deny udp source user-group dial destination-port eq 3333rule 100 deny udp source user-group dial destination-port eq 4444rule 110 deny udp source user-group dial destination-port eq 5554rule 120 deny udp source user-group dial destination-port eq 9995rule 130 deny udp source user-group dial destination-port eq 9996rule 140 deny tcp source user-group dial destination-port eq 135rule 150 deny tcp source user-group dial destination-port eq 137rule 160 deny tcp source user-group dial destination-port eq 138rule 170 deny tcp source user-group dial destination-port eq 139rule 180 deny tcp source user-group dial destination-port eq 593rule 190 deny tcp source user-group dial destination-port eq 901rule 200 deny tcp source user-group dial destination-port eq 1068rule 210 deny tcp source user-group dial destination-port eq 2745rule 220 deny tcp source user-group dial destination-port eq 3127rule 230 deny tcp source user-group dial destination-port eq 3128rule 240 deny tcp source user-group dial destination-port eq 3333rule 250 deny tcp source user-group dial destination-port eq 5800rule 260 deny tcp source user-group dial destination-port eq 5900rule 270 deny tcp source user-group dial destination-port eq 6129rule 280 deny tcp source user-group dial destination-port eq 6667rule 290 deny tcp source user-group dial destination-port eq 8998 rule 300 deny tcp source user-group dial destination-port eq 9996traffic classifier dial operator or if-match acl 6000traffic behavior dial denytraffic policy limit classifier dial behavior dial system-viewME60B interface gigabitethernet 1/0/0ME60B-GigabitEthernet1/0/0 ip address 52ME60B-GigabitEthernet1/0/0 undo shutdown#在接口GE1/0/0 上使能URPF 功能，要求URPF 做松散檢查。ME60B-GigabitEthernet1/0/0 ip urpf loose allow-default5.2服務(wù)管理 【配置描述】：關(guān)閉不必要的服務(wù)?！疽?guī)范要求】：5.2.1 全局關(guān)閉服務(wù)全局模式下關(guān)閉ftp-server、finger、pad、http、tcp-small-servers、icmp host-unreachable send、icmp redirect send、udp-small-servers等服務(wù)進(jìn)程，如有特殊需要可暫時(shí)打開，或建立acl列表進(jìn)行限制使用。5.2.2 接口關(guān)閉服務(wù)除業(yè)務(wù)需要時(shí)，在接口模式下需關(guān)閉proxy-arp、ip直連廣播和ip 重定向等功能?！九渲檬纠?undo ftp server5.3 引擎防護(hù)【配置描述】：保護(hù)