发布时间 : 2024/6/29 11:25:06 星期六 文章中国电信移动承载网实施配置规范(ER设备分册模板)1115更新完毕开始阅读

1 1.1 设备基本信息配置

配置模板：

设备基本信息及可靠性

? 配置设备名称，要求符合资源命名规范要求。 ? 配置系统时间，要求采用标准北京时间。

? 定义Router-ID，思科、华为设备配置为Loopback0地址，中兴设备配置为

Loopback1地址，阿朗设备缺省使用system关键字作为Loopback端口。

1.2 设备的访问及访问控制

1.2.1 设备远程管理要求

对ER设备远程管理需要进行严格控制，只允许信任用户以特定方式（SSH/SNMP等）进行访问。在设备的初始化管理阶段允许通过TELNET对设备进行访问。

1.2.2 路由器访问控制

1.2.2.1 VTY接口访问控制

对ER设备VTY接口访问进行控制，防止非法用户通过Telnet/SSH方式获取ER设备的控制能力。

具体采取以下措施对VTY接口访问进行控制：

? 修改VTY并发连接数缺省值，调整为厂商允许最大值。华为设备最多允许同时15

个，阿朗设备为15个，空闲时间为5分钟。

? 针对VTY端口设置相应的访问控制列表来限制通过VTY端口对路由器的访问。访问

控制列表通过区分不同用户的网段来进行过滤：

? 允许以下地址段访问（根据实际情况进行调整）： CN2国内设备地址段 集团网管地址段 集团NOC地址段 全网CE设备地址段 省内网管地址段和IPRAN设备管理地址段 59.43.0.0-59.43.47.255 59.43.48.0-59.43.55.255 202.97.3.0-202.97.3.255 115.168.128.0－115.168.253.255 各省自定 ? 正常情况下，不允许其他地址登陆。

? 路由器VTY端口的超时配置的作用是当远程登录连接在指定时间内没有操作时由设

备主动中断远程连接，这样可以防止所有远程登录VTY端口占用而无法对设备进行管理，将此超时时间设置为5分钟。

? 加强VTY用户密码管理，对VTY用户采用TACACS+集中认证和本地认证技术，

TACASCS+认证优先，同时进行认证、授权、审计操作。

? 考虑到采用TACACS+服务器对VTY用户帐号、权限进行统一管理。设备的TACACS管?

理密码应实现动态更新。

紧急故障处理期间，允许外网设备通过L2TP(IPSEC) VPN拨号方式登陆到网管中心专用设备上，通过该设备进行跳转访问ER设备，正常期间需关闭L2TP VPN拨号访问的通道。

ER设备可管理后，需关闭telnet，只允许使用SSH。

TACACS认证只用于用户登录，设备命令授权推荐在设备上实现。

路由器本地配置用户名和管理组作为备份管理方式，需要配置全部读写权限和只读权限2个级别的管理组。

配置Console端口口令，防止非法用户对设备进行控制。

? ? ? ?

配置模板：

1.2.2.2 SNMP访问控制

对SNMP访问进行控制，防止非法用户通过SNMP管理接口获取设备信息。 ER设备采取以下措施对SNMP访问进行控制：

? 开启SNMP V2/v3 Agent的功能，提高安全性，并采用Auth&Priv安全模式，并采用

MD5算法。

? 开放网管系统需要的MIB View，对表变量（如路由表，转发表等）设置MIB View

限制网管系统访问。

? 设置相应的访问控制列表只允许信任主机通过SNMP方式访问设备。 ? SNMP只开启只读权限，SNMP团体名每半年更新一次。 配置模板：

1.2.2.3 其他服务访问控制

? 关闭HTTP服务，防止非法用户通过设备提供的HTTP服务对设备进行访问控制。 ? 关闭FTP服务，防止非法用户通过设备提供的FTP服务下载设备重要文件，维护时

期如需上传软件，则临时开启FTP SERVER服务。

? 关闭路由器其他小端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、

FINGER(TCP 79)等，增强设备本身的安全性。 配置模板：

1.3 设备系统日志

? ER设备的系统日志包括告警日志及操作日志，在设备本地和日志服务器上保存，其

中日志服务器记录的级别为Warnings以上。

? ER设备上所有设备的系统日志要求预先设置发送至总部网管中心日志服务器，要求

每天对系统日志进行检查，及时发现异常及时处理，日志在日志服务器保留期限至少三个月。

? 配置系统的所有级别告警日志和操作日志，保存到本地，其中阿朗设备LOG-ID为20；华为设备log缓冲区大小设置为1024。

? 设备系统日志及其他信息显示时间为设备NTP时间。 配置模板：

1.4 设备高可靠性措施

? 路由器主备引擎配置为自身支持的最优冗余保护方式，优选NSR模式。

? 配置路由器控制引擎之间的配置文件和动态数据同步。

? 开启CPU保护功能，防止非法流量对路由器引擎CPU的攻击。 配置模板：

1.5 设备负载均衡的方式

目前主流厂家设备的负载均衡，可以分为两种方式：

? per packet负载均衡方式 ? per flow负载均衡方式

对于per packet方式，在转发时按照报文进入路由器的次序进行负载均衡，但容易乱序并造成TCP转发速度慢。

对于per flow方式，设备实现中采用Hash的方式，这种方式不会产生乱序。本期工程所采购的路由器缺省采用per flow负载均衡方式；并采用缺省或配置hash因子实现MPLS流量负载均衡。

配置模板：

1.6 其他特性

对于ER设备未使用端口，全部关闭，防止非法用户接入。 配置模板：