江西电信BRAS华为ME60MA5200G配置规范

江西电信BRAS（华为ME60/MA5200G）设备配置规范中国电信江西分公司2010年11月目录TOC\o"1-4"\h\z\u第1章 概述 11.1 术语和缩写语表 11.2 网络结构说明 3第2章 IP城域网网络设备命名及链路描述规范 42.1 设备命名规范 42.1.1 适用范围 42.1.2 设备命名规范格式 42.2 端口描述规范 52.2.1 环回接口描述 52.2.2 网络端口描述规范 6 适用范围 6 端口描述包含下面几部分 62.2.3 用户端口 62.2.4 关于华为BRAS上连端口的描述 72.2.5 空闲端口描述 7第3章 华为ME60配置规范 83.1 系统基本配置规范 83.1.1 设备名称配置 83.1.2 系统高可靠性配置 83.1.3 设备自身时间及NTP 9 时区配置 9 NTP配置 9 NTP协议加密 10 SNTP进程关闭 10 配置范例 113.1.4 VTY接口配置 11 连接数限制 11 空闲时间 11 访问控制列表 12 Console认证配置 13 配置范例 133.1.5 AAA配置 14 概述 14 管理AAA配置 14 用户AAA配置 16 本地用户帐号 18 配置范例 193.1.6 典型垃圾流量过滤策略 213.2 端口配置规范 223.2.1 Loopback地址配置 223.2.2 GE端口配置 23 GE用做上连接口 23 GE用做下联接口 23 GE拨号下联子接口(dot1Q) 24 GE拨号下联子接口(QinQ) 24 GE专线下联子接口 25 接口uRPF 26 hold-time配置 26 配置范例 273.3 Multi-VR(context)配置 283.3.1 VR(context)规划 283.3.2 VR(context)接口绑定 283.3.3 VR(context)间路由处理 293.3.4 Domain配置 293.4 路由协议配置规范 313.4.1 路由优先级/管理距离 313.4.2 静态路由配置 32 静态路由配置方式 32 黑洞路由配置方式 32 浮动静态路由配置方式 333.4.3 OSPF配置 33 概述 33 OSPF进程名 33 OSPFROUTER-ID 34 OSPF时间参数 34 OSPF接口宣告 35 OSPFreference-bandwidth 35 OSPF负载均衡条目 36 OSPF重分布路由 37 OSPFAREA规划 370 OSPF路由协议优先级 381 OSPFlog邻居变化信息 382 OSPF邻居链路加密 393 OSPF链路COST值调整 394 配置范例 393.4.4 ISIS配置 40 概述 40 ISIS进程名 40 ISISNETID 41 ISIS路由类型及Metric类型 41 路由协议优先级 42 ISISlog邻居变化信息 42 ISIS邻居链路加密 43 ISIS负载均衡条目及其他 43 ISIS接口宣告 440 配置范例 443.4.5 BGP配置 45 概述 45 自治系统 45 BGP路由引入策略 46 BGProuter-id配置 46 BGPlog邻居变化信息 46 关闭BGP同步和自动汇总 47 BGP邻居MD5加密 47 BGP时间参数 47 BGPPeergroup命名 480 BGPcommunity属性规划 481 BRASBGP路由策略 492 配置范例 503.5 用户策略配置 513.5.1 IPPool配置 513.5.2 DNS配置 513.5.3 用户限速配置 523.5.4 页面推送配置 533.5.5 配置范例 533.6 MPLSVPN配置规范 543.6.1 MPLS配置 54 全局开启MPLS功能 54 LDProuter-id 54 LDP协议加密 55 LDP标签发布和管理 56 LDP标签过滤 57 LDP协议时间参数 573.6.2 MP-BGP配置 58 概述 58 MP-BGP部署策略 58 BGProuter-id配置 59 BGPlog邻居变化信息 60 关闭BGP同步和自动汇总 60 BGP时间参数 60 BGPPeergroup命名 61 BGP邻居MD5加密 613.7 网管配置 623.7.1 SNMP管理代理配置 62 全局开启SNMP进程 62 SNMP版本 63 ROCommunity值 63 RWCommunity值 64 SNMP访问控制列表 64 Ifindex索引一致性 65 配置范例 663.7.2 故障管理配置 66 SNMPTRAP信息内容 66 SNMPTRAP服务器地址 67 SNMPTRAP消息源地址 67 SYSLOG服务器地址 67 SYSLOG信息级别 67 SYSLOG消息源地址 68 配置范例 683.7.3 关闭不需要的服务 683.8 H-QoS配置规范 693.9 业务配置实例 693.9.1 拨号业务配置实例 693.9.2 专线业务配置实例 703.9.3 @10000业务配置实例 723.9.4 IPTV业务配置实例（参考） 733.9.5 Wlan无线共享和C+W业务配置规范 753.9.6 VPN业务配置实例 83 VPDN业务配置实例（参考） 83 MPLSVPN业务配置实例（参考） 853.10. 安全加固配置 873.10.1. 关闭IP直接广播 873.10.2. 拉圾过虑（上行口出入方向ACL） 883.10.3. 私网流量过滤 893.10.4. Syslog安全 893.10.5. NTP部署 903.10.6. 关闭控制层面未用服务 903.10.7. telnet防护 903.10.8. 关闭未使用的服务 903.10.9. 密码加密 913.10.10. SNMP安全 91概述为保证城域网的运行质量，必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。由于网络规模不断扩大，设备特性不断变化，配置工作正日益变得复杂，全网配置发生错误的概率也在增加，因此很有必要对城域网BRAS网络设备的网络配置予以规范化。本课题涉及的对象就是城域网网络设备配置的相关规范标准，目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确，配置规范按分册进行编写，本篇只针对城域网核心层路由器设备制定相关配置规范。本文主要内容安排如下：1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位；2. 从网络配置方面阐述配置说明以及规范要求，并给出主流路由器型号设备的配置示例。针对路由器设备，网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。3. 提出文档维护和执行的管理要求。术语和缩写语表本文中将使用下列术语和缩写，除非文中特别说明，否则意义如下；对于下表中未说明的术语和缩写，应做业界标准或惯例理解。AAAAutenticationAuthorizationandAccounting认证、授权与计费ACLAccessControlList访问控制列表ASAutonomousSystem自治系统BGPBoarderGatewayProtocol边界网关协议CARCommittedAccessRate承诺访问速率CECustomerEdge客户边缘设备DCoreRouter核心路由器DDoSDistributedDenyofService分布式拒绝服务攻击DiffServDifferentiatedServices差分服务DSCPDifferentiatedServiceCodePoint差分服务代码点FRRFastRe-route快速重路由GEGigabyteEthernet千兆以太网GRGracefulRestart平滑重启动HAHighAvailability高可用性HDLCHighDataLinkControl高级数据链路控制H-QOSHierarchicalQualityofServieIPInternetProtocol互联网协议ISISInterSystemtoInterSystem中间系统到中间系统LDPLabelDistributionProtocol标记分发协议LSPLabelSwitchingPath标记转发路径LSRLabelSwitchRouter标记交换路由器MP-BGPMulti-protocolBoarderGateProtocol多协议边界网关协议MIBManagementInformationBase管理信息库MPLSMultipleProtocolLabelSwitching多协议标签交换NSFNonstopFowarding不间断转发NSRNonstopRouting不间断路由NTPNetworkTimeProtocolOAMOperationAdministrationandMaintenance操作维护管理OSPFOpenShortestPathFirstPEProviderEdge运营商边缘设备POSPacketoverSDHSDH封装数据包PPPPointtoPointProtocol点到点协议QoSQualityofService服务质量RRRouteReflector路由反射器RSVPResourceReservationProtocol资源预留协议SDHSymMetricDigitalHierarchy同步数字序列SNMPSimpleNetworkManagementProtocol简单网络管理协议SRServiceRouter业务路由器TCPTransferControlProtocol传输控制协议TETrafficEngineering流量工程UDPUserDataProtocol用户数据报协议uRPFReversePathFowarding反向路径转发VPLSVirtualPrivateLANService虚拟专用局域网业务VPNVirtualPrivateNetwork虚拟专用网VRFVirtualRoutingandForwarding虚拟路由转发实例VRRPVirtualRoutingRedundancyProtocol虚拟路由冗余协议上行流量用户发出的流量下行流量用户收到的流量…………网络结构说明经过城域网改造扩容后，目标网络结构如下图所示。IP城域网包括城域骨干网和宽带接入网，其中城域骨干网是业务接入控制点（包括BRAS和SR）及控制点以上的城域网核心路由器组成的三层路由网络，划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网，负责实现集中的业务提供和控制，BRAS和SR作为业务接入控制层组成部分，是IP城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。IP城域网网络设备命名及链路描述规范设备命名规范适用范围本部分规定的IP城域网设备命名规范，适用于IP城域网内以下设备：出口核心路由器普通核心路由器BRASSR汇聚交换机园区交换机楼道交换机DSLAM设备命名规范格式城市缩写-节点缩写-设备属性-设备编号.网络(业务)类型.自定义字段符号字符字符字符字符字符字符数字字符字母字母字母字符数<81<81固定11111≤5选项必选必选必选必选必选必选必选必选必选可选可选字母大小各市需要采用统一标准，全部大写。两端、中间不带任何空格。城市标识，取城市名称拼音的首字母大写，郊市区节点标识前统一增加郊市区名称拼音的首字母：如九江：JJ南昌：NC吉安：JA赣州：GZ抚州：FZ设备属性标识，规定如下出口路由器：D核心路由器：GSRBRAS：BAS业务路由器：SR设备序号，取阿拉伯数字，从1开始。同节点的相同属性的设备间以设备序号区别。网络类型：Mnet(城域网)I（IDC）N(NGN)自定义字段，可以加入网络子类型及设备型号等内容。例子：示例1：城域网出口路由器，南昌孺子路，第一台核心路由器，命名为r1-c-ncrzl-1.Mnet注：设备名称后的字段可以根据实际需要，允许地市增加设备型号，但是要求尽量简洁。增加设备型号后，完整的设备命名格式为“设备名称”+“.”+“设备类型简写”，如GZ_NM_S6506R_01。地市设备命名务必在国信朗讯等相关资源系统中一一对应，方便查询和识别。端口描述规范环回接口描述To空格功能描述符号字符字符字符串字符数31≤30选项必选必选必选说明：To：固定字符串。功能描述：描述该loopback端口特殊功能，为有意义的英文字符串。如：Management、Multicast、VPN、GlobalRouting、BGPLoadbalance等。interfaceLoopback0DesDiptionToLOOPBACKipaddress655网络端口描述规范适用范围本部分适用于城域网设备的互连接口描述端口描述包含下面几部分对端设备名称设备类型描述空格链路带宽::对端端口名称符号字符字符字符字符字符字符字符数≤20≤101≤52≤20选项必选可选必选必选必选必选上表中“::”后“对端端口名称”要根据对端不同设备类型进行区分规范，具体区别如下表：Juniper-TX阿朗RedbackJuniper-ERX华为CiscoPOS(10G/40G)so-*/*/*so-*/*/*so-*/*/*POS*/*/*POS*/*/*POS*/*/*以太(GE/10GE)ge-*/*/*ge-*/*/*ge-*/*/*GI*/*/*GI*/*/*GI*/*/*示例：descriptionToJX-NC-ECL-D-3.16310G(S-64N0001IP)用户端口对于连接用户的接口或子接口，最前面为添加本地专线号，如果是长途VPN电路，需要添加本地接入电路号（比如赣州CTVPN52127A）。另外，建议添加用户名称等如下信息。格式：专线号To用户标识本地专线号或者接入电路号空格To空格用户标识空格分配带宽符号字符字符字符字符字符字符字符字符数根据实际情况121≤201≤5选项必选必选必选必选必选必选必选关于华为BRAS上连端口的描述将二层接口的描述按照网络端口描述规范执行将三层接口名称描述,后面添加子接口号ge2/0/0.300将三层子接口描述和相应的二层接口描述一致。例子：上行GE二层描述：InterGigebitethernet1/1desDiptionTO:GZ-SN-GSR-1.M.GSR128161G::GI1/1/4三层子接口描述：与三层子接口对应的ip地址端口配置：interfacege-1/1.190desDiptionTO:GZ-SN-GSR-1.M.GSR128161G::GI1ipaddress0/30空闲端口描述规范要求设备上的所有端口均需要配置描述，对于设备上空闲未用的端口统一描述内容为no-use，便于网管监控。示例：某城域网XX节点SE800空闲GE端口2/8描述：portethernet2/8desDiptionno-use华为ME60配置规范系统基本配置规范设备名称配置配置说明：规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。规范要求：设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。配置规范：SysnameGZ-SN-BRAS-ME60-01配置验证：配置后立即生效，设备名称显示在配置命令行的左边。系统高可靠性配置配置说明：配置系统引擎冗余模式。规范要求：打开自动切换，要求采用最优切换方式配置规范：华为ME60两块引擎之间的备份机制是系统自动的，在Master引擎故障的情况下，Slave会立刻自动将自己切换为Master引擎，无需命令配置。配置验证：displaydevice#显示2块MPU为1个为Master状态，一个为Slave状态displayswitchoverstate#显示备份状态，当状态为“Info:HAFSMState,Realtimeandroutinebackup.”时即表示可以进行主备切换，当状态为主备引擎正在同步时，切换可能会有问题配置注意细节：无。设备自身时间及NTPNTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。时区配置配置说明：统一设备的时区配置。规范要求：配置系统时区为GMT+8，北京时区。配置规范：对于Version

5.30

版本配置如下：clocktimezoneBeijingadd08:00:00#在用户模式下配置对于Version

5.50

版本配置如下：clocktimezoneBeijingminus08:00:00#在用户模式下配置配置验证：displayclock配置注意细节：无。NTP配置配置说明：使用NTP同步网络上所有设备的时间，保证网络设备得到正确的时间。规范要求：配置主和备两组NTP服务器。城域网NTP配置为两级结构，出口路由器配置与省网NTPSERVER56/157同步时钟，出口以下设备则配置向出口路由器进行时钟同步。配置现网设备NTP协议版本为V3。指定本地发出NTP消息的接口。配置规范：ntp-servicesource-interfaceLoopBack0ntp-serviceunicast-server56preference#优选其中一台出口为NTPSERVERntp-serviceunicast-server57#另一台出口为备用NTPSERVER配置验证：displayclockdisplayntp-servicestatusdisplayntp-servicesession配置注意细节：地市出口直接用56/157,出口以下设备以出口为服务器为NTPserver。ME60默认NTP协议版本号为V3，不需特别配置版本信息。NTP协议加密配置说明：配置NTP协议加密，防止伪造NTP源引起设备时间错误。规范要求：现阶段NTP协议均不使用使用加密。配置规范（参考）：ntp-serviceauthenticationenablentp-serviceauthentication-keyid11authentication-modemd5“xxx”#keyntp-servicereliableauthentication-keyid11配置验证：displayclockdisplayntp-servicestatusdisplayntp-servicesession配置注意细节：无。SNTP进程关闭配置说明：SNTP是NTP协议的的一个改写本，相比NTP协议实现更简单，但精确度要低，不能同时与多个Server同步时间。关闭SNTP协议，可防止基于SNTP漏洞的攻击。规范要求：出口路由器配置使用NTP协议同步时间，而不是使用SNTP协议。已配置了使用SNTP协议同步时间的，应更改SNTP协议为NTP协议。配置规范：ME60不支持SNTP协议，不需要关闭SNTP协议。配置范例clocktimezoneBeijingadd08:00:00#时区设置（用户视图）ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVERntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVERntp-servicesource-interfaceloopback0#NTP消息源地址VTY接口配置连接数限制配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。规范要求：配置GSR路由器并发连接数限制为10配置规范：user-interfacemaximum-vty10配置验证：displayuser-interfacemaximum-vty配置注意细节：无空闲时间配置说明：设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。规范要求：对VTY,Console登录超时设置进行配置，设置空闲时间为10分钟。配置规范：user-interfaceconsole0idle-timeout100user-interfacevty04idle-timeout100配置验证：dispcurr|buser-interface配置注意细节：华为设备默认超时时间即为10分钟，配置后也不会显示配置。访问控制列表配置说明：限制Telnet/SSH登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。规范要求：配置Telnet/SSH源地址限制，包含省公司3个地址段(/24，/19，/24)和IP综合网管及前置机网段：/24。Telnet/SSH访问控制列表条目从10，条目的间隔步长为10，在访问控制列表的最后显示配置一条denyanyany语句。配置规范：aclnumber2001rule10permitsource55rule20permitsource0.0.31rule30permitsource55rule40permitsource55rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段rule99denysourceany#user-interfacevty09authentication-modeaaa#设置VTY口登录用户的验证方式为AAAprotocol

inbound

all#允许SSH协议登陆acl2001inboundstelnet

server

enable#打开SSH功能ssh

authentication-type

default

password#通过AAA认证rsa

local-key-pair

Deate#生成RSA密钥配置验证：dispacl2001dispcurr|beguser-interface配置注意细节：华为设备TelnetACL统一使用编号2001。Console认证配置配置说明：设置console认证密码，从而增强设备的安全性，防止非法登陆，同时关闭AUX端口。规范要求：配置console采用本地密码认证方式，密码采用NOC专用密码，关闭AUX端口。配置规范：user-interfacecon0authentication-modepassword#设置Console口登录用户的验证方式为passwordsetauthenticationpasswordcipher*********intaux0/0/1#关闭AUX口shutdown配置验证：dispcurr|buser-interface配置注意细节：无配置范例aclnumber2001rule10permitsource55rule20permitsource0.0.31rule30permitsource55rule40permitsource55rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段rule99denysourceany#user-interfacemaximum-vty10#连接数限制user-interfacecon0authentication-modepassword#设置Console口登录用户的验证方式为passwordsetauthenticationpasswordcipher********user-interfacevty09authentication-modeaaa#设置VTY口登录用户的验证方式为AAAacl2001inboundintaux0/0/1#关闭AUX口shutdownAAA配置概述BRAS统一验证配置分成管理AAA配置和用户AAA配置，二种配置使用不同的统一验证方法。管理AAA使用Tacacs+统一验证，用户AAA使用Radius统一验证，全省统一大后台。管理AAA配置配置说明：配置管理AAA的认证方式配置管理AAA的授权方式配置管理AAA的计费方式配置管理AAA认证服务器地址及参数配置管理AAA授权服务器地址及参数配置管理AAA计费服务器地址及参数配置Tacacs+协议加密key。配置Tacacs+update源地址规范要求：管理AAA采用tacacs+统一验证方式设置统一的tacacs+服务器地址为：主用0，备用(待定)。设置tacacs+密钥为：cisco12416配置认证方式为先本地对用户信息进行认证，后通过Tacacs+服务器。配置授权方式为先TAC授权，后本地授权，配置后设备本地帐号将不可用。配置计费方式为不计费。Tacacs+update源地址设置建议采用路由器的loopback0地址。配置规范：#配置HWTACACS服务器模板tacacs，源地址为设备LOOPBACK0地址，密钥为cisco12416，用户名格式中不包括域名。hwtacacs-servertemplatetacacshwtacacs-serverauthentication0hwtacacs-serverauthenticationX.X.X.Xsecondaryhwtacacs-serverauthorization0hwtacacs-serverauthorizationX.X.X.Xsecondaryhwtacacs-serveraccounting0hwtacacs-serveraccountingX.X.X.Xsecondaryhwtacacs-serversource-ipX.X.X.Xhwtacacs-servershared-keycisco12416undohwtacacs-serveruser-namedomain-includedaaa#进入AAA视图#配置认证方案tacacs，认证模式为先本地认证，后HWTACACS认证。authentication-schemetacacsauthentication-modelocal-hwtacacs#配置计费方案tacacs，计费模式为不计费。accounting-schemetacacsaccounting-modenone#配置授权方案tacacs，由于采用先hwtacacs后local的方式只有hwtacacs失效的情况下本地账号才能登陆，所以暂时考虑用none模式，避免3A异常本地账号也无法登陆。authorization-schemetacacsauthorization-modenone#配置缺省的管理员域default_admin，域的认证方案、计费方案、授权方案名称都为tacacs，域的用户可以作为管理员登录BRAS，管理员级别为3。domaindefault_adminauthentication-schemetacacsaccounting-schemetacacsadminuser-priority3hwtacacs-servertacacsauthorization-schemetacacs配置验证：displayauthentication-schemetacacsdisplayaccounting-schemetacacscdisplayauthorization-schemetacacsdisplayhwtacacs-servertemplatetacacscdisplaydomainnamedefault_admindiscurrent-configuration|inctacacs配置注意细节：华为BRAS备选授权方式为authorization-modenone，即用户认证后直接授权通过。此时AAA和本地帐号同时生效，但无法通过AAA为用户授权，用户认证通过后即具备最高管理员权限。用户AAA配置配置说明：配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数配置预付费用户COS认证配置radiusupdate源地址规范要求：用户的认证方式采用radius方式用户计费方式采用radius方式认证及计费服务器的地址根据各地的实际情况设置设置Radius密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置（一般为1645或1812）计费端口号根据各个地方的实际情况设置（一般为1646或1813）radiusupdate源地址设置建议采用路由器的loopback0地址要求配置Radius服务器为负载分担算法所有定义的Radius-server组中不允许配置命令undoradius-serveruser-namedomain-included，即将用户帐号上送radius-server认证时不允许去掉用户域名后缀。对于domainnc.jx，要求使用单独定义的radius-servergroupnc.jx，其它domain可以根据业务类型，同一类业务使用相同的一个radius-servergroup。如可以将l2tp的业务单独定义一个radius-server组，所有l2tp的domain都调用这一个radius-server组。对于预付费用户，配置对COA服务器17和1的信任。预付费用户domain使用的radius-servergroupnc.jx，COA使用的默认端口为3799，建议全省BRAS与COA服务器通信KEY统一为123456。配置规范：system-viewinterfaceVirtual-Template1#建立ppp虚模版pppauthentication-modepapchap#定义ppp认证的模式，先pap再chappppkeepaliveinterval30retransmit5#定义二层检测时间间隔以及超时检测次数radius-serversourceinterfaceLoopBack0#radius报文的源IP为loopback0地址radius-serverdead-count40dead-time3#radius报文重传和中断时延aaa#进入AAA视图#配置RADIUS服务器组nc.jx，配置radius-serverip，缺省情况下，若配置多个ip，ME60工作在主备模式，若配置server的权重weight，可以实现负载分担，认证/计费服务器的端口号，缺省值为1812和1813。radius-servergroupnc.jx#该radius-server组只能被domainnc.jx调用radius-serverauthentication11812weight50#两台server使用相同权重，负载均衡radius-serverauthentication11812weight50radius-serveraccounting11813weight50radius-serveraccounting11813weight50radius-servershared-key*******radius-serverretransmit2timeout3#指定远程radius服务器报文重传时间radius-serverclass-as-car#配置报文中携带CAR值radius-servertraffic-unitbyte#设置RADIUS服务器使用字节作为流量单位radius-serveralgorithmloading-share#radius-server使用负载均衡算法undoradius-serveruser-namedomain-included#用户名格式中不包括域名。该命令不再使用，如现网有该配置，须删除，因为在每个子接口已经使用默认域可以让用户不带域名拨号认证。分类radius-server组，建立多个radius-server组,实现不同业务类型domain调用不同的radius-server组.避免修改radius-server组属性时出现错误修改。radius-serverauthorization33shared-keyjxcoa123server-groupnc.jx注：针对预付费用户配置对COA服务器和17的信任，预付费用户domain使用的radius-servergroupnc.jx，COA使用的默认端口为3799，建议全省BRAS与COA服务器通信KEY统一为123456。#配置认证方案radius，缺省情况下，认证方案的认证模式为RADIUS认证。authentication-schemeradius#配置计费方案radius，缺省情况下，计费方法为RADIUS计费，设置实施计费间隔为120分钟。accounting-schemeradiusaccountinginteriminterval120accountingstart-failonline#用户计费中断后依然在线#配置nc.jx域，域的认证方案、计费方案名称都为radius，域使用的RADIUS服务器组为nc.jx。domainnc.jxauthentication-schemeradiusaccounting-schemeradiusradius-servergroupnc.jx#其它domain一定不能调用该radius-servergroupl2tp-group6#设置域使用的L2TP组的组名l2tp-userradius-force#设置L2TP用户由RADIUS通道类型属性决定ip-poolinternet-01#设置域的IP地址池，每个域最多可以设置128个地址池ip-pool******IP-Warning-Threshold90#设置域的IP地址使用告警阈值returnsystem-viewl2tpenable#启用L2TP功能，缺省情况下，L2TP功能被禁止。l2tp-group6#配置上面domain调用的l2tp-group6undotunnelauthentication#取消L2TP隧道验证功能tunnelnameZQ-GN-BAS-1#指定隧道本端的名称，缺省情况下，系统的本端名称为设备名称。startl2tpiptunnelsourceLoopBack0#配置LAC端向LNS发起隧道建立请求时使用的隧道源接口，只能是LoopBack接口。quit配置验证：displayauthentication-schemeradiusdisplayauthentication-schemeradiusdisplayradius-serverconfigurationgroupnc.jxdisplaydomainnamenc.jx配置注意细节：对于华为BRAS，domainnc.jx调用的radius-servergroup需要单独定义，其它domain可以根据业务类型，每一类业务定义一个radius-servergroup。注意添加预付费平台授权配置。本地用户帐号配置说明：配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。规范要求：全省BRAS配置相同本地用户帐号noc189，设置最高权限，使用省公司统一指定的密码，根据实际情况可保留地市本地管理帐号。配置规范：local-aaa-server#进入本地AAA服务器视图usernoc189passwordcipher********level3idle-cutauthentication-typeA配置验证：displayusernamenoc189discurrent-configurationconfigurationlocal-aaa-server配置注意细节：保留地市本地帐号。配置范例1、管理AAA：#配置HWTACACS服务器模板tacacs，源地址为设备LOOPBACK0地址，密钥为cisco12416，用户名格式中不包括域名。hwtacacs-servertemplatetacacshwtacacs-serverauthentication0hwtacacs-serverauthenticationX.X.X.Xsecondaryhwtacacs-serverauthorization0hwtacacs-serverauthorizationX.X.X.Xsecondaryhwtacacs-serveraccounting0hwtacacs-serveraccountingX.X.X.Xsecondaryhwtacacs-serversource-ipX.X.X.Xhwtacacs-servershared-keycisco12416undohwtacacs-serveruser-namedomain-includedaaa#进入AAA视图#配置认证方案tacacs，认证模式为先本地认证，后HWTACACS认证。authentication-schemetacacsauthentication-modelocal-hwtacacs#配置计费方案tacacs，计费模式为不计费。accounting-schemetacacsaccounting-modenone#配置授权方案tacacs，由于采用先hwtacacs后local的方式只有hwtacacs失效的情况下本地账号才能登陆，所以暂时考虑用none模式，避免3A异常本地账号也无法登陆。authorization-schemetacacsauthorization-modenone#配置缺省的管理员域default_admin，域的认证方案、计费方案、授权方案名称都为tacacs，域的用户可以作为管理员登录BRAS，管理员级别为3。domaindefault_adminauthentication-schemetacacsaccounting-schemetacacsadminuser-priority3hwtacacs-servertacacsauthorization-schemetacacs2、用户AAA：system-viewinterfaceVirtual-Template1#建立ppp虚模版pppauthentication-modepapchap#定义ppp论证的模式，先pap再chappppkeepaliveinterval30retransmit5#定义二层检测时间间隔以及超时检测次数radius-serversourceinterfaceLoopBack0#radius报文的源IP为loopback0地址radius-serverdead-count40dead-time3#radius报文重传和中断时延aaa#进入AAA视图#配置RADIUS服务器组nc.jx，配置radius-serverip，缺省情况下，若配置多个ip，ME60工作在主备模式，若配置server的权重weight，可以实现负载分担，认证/计费服务器的端口号，缺省值为1812和1813。radius-servergroupnc.jx#该radius-server组只能被domainnc.jx调用radius-serverauthentication11812weight50#两台server使用相同权重，负载均衡radius-serverauthentication11812weight50radius-serveraccounting11813weight50radius-serveraccounting11813weight50radius-servershared-key*********radius-serverretransmit2timeout3#指定远程radius服务器报文重传时间radius-serverclass-as-car#配置报文中携带CAR值radius-servertraffic-unitbyte#设置RADIUS服务器使用千字节做为流量单位radius-serveralgorithmloading-share#radius-server使用负载均衡算法undoradius-serveruser-namedomain-included#用户名格式中不包括域名。该命令不再使用，如现网有该配置，须删除，因为在每个子接口已经使用默认域可以让用户不带域名拨号认证。分类radius-server组，建立多个radius-server组,实现不同业务类型domain调用不同的radius-server组.避免修改radius-server组属性时出现错误修改。#配置认证方案radius，缺省情况下，认证方案的认证模式为RADIUS认证。authentication-schemeradius#配置计费方案radius，缺省情况下，计费方法为RADIUS计费，设置实施计费间隔为120分钟。accounting-schemeradiusaccountinginteriminterval120accountingstart-failonline#用户计费中断后依然在线#配置nc.jx域，域的认证方案、计费方案名称都为radius，域使用的RADIUS服务器组为nc.jx。domainnc.jxauthentication-schemeradiusaccounting-schemeradiusradius-servergroupnc.jxl2tp-group6#设置域使用的L2TP组的组名l2tp-userradius-force#设置L2TP用户由RADIUS通道类型属性决定ip-poolip-pool1#设置域的IP地址池，每个域最多可以设置128个地址池ip-pool******IP-Warning-Threshold90#设置域的IP地址使用告警阈值returnsystem-viewl2tpenable#启用L2TP功能，缺省情况下，L2TP功能被禁止。l2tp-group6#配置上面domain调用的l2tp-group6undotunnelauthentication#取消L2TP隧道验证功能tunnelnameZQ-GN-BAS-1#指定隧道本端的名称，缺省情况下，系统的本端名称为设备名称。startl2tpiptunnelsourceLoopBack0#配置LAC端向LNS发起隧道建立请求时使用的隧道源接口，只能是LoopBack接口。quit3、本地用户帐号：local-aaa-server#进入本地AAA服务器视图usernoc189passwordcipher********level3idle-cutauthentication-typeA典型垃圾流量过滤策略配置说明：在全局下配置inbound方向的控制策略，过滤用户发起的病毒端口流量。规范要求：定义ACL6300作为病毒端口过滤列表，过滤的端口包括如下：udp1434//sqlworm病毒端口udp1433//sqlworm病毒端口udp1027-1028//灰鸽子木马端口udp135-139//禁止netbios端口udpnetbios-ss//禁止netbios端口udp445//禁止netbios端口tcp4444//冲击波病毒端口tcp445//传送冲击波病毒端口tcp5554//冲击波病毒端口，在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒配置规范：aclnumber6300desDiptionaclforVirusProtectionfromInternetrule100permitudpdestination-porteq1434rule110permitudpdestination-porteq1433rule120permitudpdestination-porteq1027rule130permitudpdestination-porteq1028rule140permitudpdestination-porteq135rule150permitudpdestination-porteq136rule160permitudpdestination-porteq137rule170permitudpdestination-porteq138rule180permitudpdestination-porteq139rule190permitudpdestination-porteq445rule200permittcpdestination-porteq4444rule210permittcpdestination-porteq445rule220permittcpdestination-porteq5554quittrafficclassifierdeny-virusoperatoror#定义流if-matchacl6300quittrafficpolicydeny-tcp#定义封堵策略classifierdeny-virusbehaviorop_denyquittraffic-policydeny-tcpoutbound#全局应用配置验证：displayacl6300配置注意细节：无。端口配置规范Loopback地址配置配置说明：配置两个Loopback地址，各提供一个永远up的IP地址，其中一个用于各种路由协议邻居的建立、远程登录、设备管理等。同时，BGP和MP-BGP路由器上的loopback地址，用作该路由器发布的BGP或MP-BGP路由的下一跳地址。另一个loopback地址用于标记BGPcommunity属性。规范要求：城域骨干网SR路由器配置一个loopback0地址及loopback23地址，掩码必须为32位。Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。配置规范：[Quidway]Intloopback0[Quidway-LoopBack0]Ipaddress*.*.*.*55[Quidway-LoopBack0]desDiptionForManagement[Quidway]Intloopback23[Quidway-LoopBack0]Ipaddress*.*.*.*55[Quidway-LoopBack0]desDiptionForBGP-Community配置验证：dispinterloopback0//查看运行情况dispinterloopback23discurrent-configurationinterfaceLoopBack0//查看配置情况discurrent-configurationinterfaceLoopBack23//查看配置情况配置注意细节：无GE端口配置GE用做上连接口配置说明：配置GE端口用做上连接口。规范要求：配置GE端口MTU设置为1548，关闭GE端口自行协商。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范：interfaceGigabitEthernet1/0/0undonegotiationautomtu1548desDiptionNC_RZL_S6503R_011G::GI3/0/7ipaddress2652配置验证：dispintergi1/0/0//查看运行情况dispcuintergi1/0/0//查看配置情况配置注意细节：无。GE用做下联接口配置说明：配置GE端口用做下联接口，即纯二层封装接口。规范要求：配置关闭GE端口自行协商。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范：interfaceGigabitEthernet1/0/1undonegotiationautodesDiptionNC_RZL_S6503R_011G::GI3/0/1配置验证：dispintergi1/0/0//查看运行情况dispcuintergi1/0/0//查看配置情况配置注意细节：无。GE拨号下联子接口(dot1Q)配置说明：配置GE拨号下联子接口，封装为dot1Q。规范要求：配置子端口封装为pppoe配置规范：interfaceGigabitEthernet1/0/2.734pppoe-serverbindVirtual-Template1desDiptionNC_RZL_S6503R_011G::GI3/0/7user-vlan734#用户接入VLAN号basaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jx#配置二层拨号缺省论证域为nc.jx配置验证：displayinterfaceGigabitEthernet1/0/2.734//查看运行情况dispcuintergi1/0/2.734//查看配置情况配置注意细节：注：SE800每个VLAN的缺省拨入数量为1，ME60缺省情况下不作限制。GE拨号下联子接口(QinQ)配置说明：配置GE拨号下联子接口，封装为QinQ。规范要求：配置子端口封装为QiniQ配置规范：interfaceGigabitEthernet1/0/2.762pppoe-serverbindVirtual-Template1desDiptiongz_nm_s6506_01_1G::GI1/0user-vlan10011096QinQ762#配置内外层VLANbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jx#配置二层拨号缺省论证域为nc.jxauthentication-methodppp#配置BAS接口的认证方法配置验证：displayinterfaceGigabitEthernet1/0/2.762//查看运行情况dispcuinterGigabitEthernet1/0/2.762//查看配置情况配置注意细节：无。GE专线下联子接口配置说明：配置GE下联子接口为专线接入。规范要求：子端口号建议与vlanid对应一致；引用的速率策略预先在全局配置模式下配置好；配置子端口的描述，格式要求符合配置有关命名规范；配置该专线用户的IP路由；配置接口描述符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。配置规范：1、配置普通VLAN专线用户：interfaceGigabitEthernet2/0/1.2001user-vlan2001desDiption********undoshutdownbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jxauthentication-methodbind#static-user6565interfaceGigabitEthernet2/0/1.2001vlan2001detectdomain-nameleased_line2、配置QinQ专线用户：interfaceGigabitEthernet2/0/1.1216qinq-vlan1216user-vlan30013999desDiption********undoshutdownbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jxauthentication-methodbind#static-user6565interfaceGigabitEthernet2/0/1.3001vlan3001qinq1216detectdomain-nameleased_line#对于80端口黑名单用户static-user6565interfaceGigabitEthernet2/0/1.3001vlan3001qinq1216detectdomain-nameleased_permit_tcp80#对于80端口白名单用户配置验证：displayinterfaceGigabitEthernet2/0/1.2001//查看运行情况displayinterfaceGigabitEthernet2/0/1.1216dispcuinterGigabitEthernet2/0/1.1216//查看配置情况配置注意细节：注意80端口黑名单用户绑定domainleased_line，白名单用户绑定domainleased_permit_tcp80。接口uRPF配置说明：配置GE下联用户接口的uRPF功能。规范要求：ME60的uRPF在主接口下开启，在该主接口下的所有子接口生效。如果有etrunk三层接口的话，需要在用户网关的子接口下面使能，但目前BAS版本不支持子接口配置URPF。配置规范：#在下联主接口上开启uRPF严格模式：interfaceGigabitEthernet2/0/1ipurpfstrict配置验证：discurrent-configurationinterfaceGigabitEthernet2/0/1配置注意细节：无。hold-time配置配置说明：缺省情况下，设备检测到端口UP/DOWN信息便立刻反映给系统，可以通过配置端口UP/DOWN的hold-time来控制系统感知端口状态的时间，避免个别端口反复UP/DOWN造成系统路由震荡。规范要求：建议GE端口up-hold-time和down-hold-time时间配置为2s和1s。配置范例1、GE用作上联接口：interfaceGigabitEthernet1/0/0undonegotiationautocarrierdown-hold-time1000carrierup-hold-time2000mtu3000desDiptionToGZ_SD_S9306_01::GI2/1ipaddress26522、GE用作下联接口：interfaceGigabitEthernet1/0/1undonegotiationautodesDiptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0ipurpfstrict#开启下联主接口uRPF功能3、GE拨号下联子接口（dot1Q）：interfaceGigabitEthernet1/0/2.734pppoe-serverbindVirtual-Template1desDiptiondT:ZQ-HJ-DSL-1.M1G::GI1/0user-vlan734#用户接入VLAN号basaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jx#配置二层拨号缺省论证域为nc.jx4、GE拨号下联子接口（QinQ）：interfaceGigabitEthernet1/0/2.762pppoe-serverbindVirtual-Template1desDiptiondT:ZQ-HJ-DSL-1.M1G::GI1/0user-vlan10011096QinQ762#配置内外层VLANbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jx#配置二层拨号缺省论证域为nc.jxauthentication-methodpppweb#配置BAS接口的认证方法5、GE专线下联子接口（普通VLAN）：interfaceGigabitEthernet2/0/1.2001user-vlan2001desDiption********undoshutdownbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jxauthentication-methodbind#static-user6565interfaceGigabitEthernet2/0/1.2001vlan2001detectdomain-nameleased_line6、GE专线下联子接口（QinQ）：interfaceGigabitEthernet2/0/1.1216qinq-vlan1216user-vlan30013999desDiption********undoshutdownbasaccess-typelayer2-subsDiberdefault-domainauthenticationnc.jxauthentication-methodbind#static-user6565interfaceGigabitEthernet2/0/1.3001vlan3001qinq1216detectdomain-nameleased_lineMulti-VR(context)配置VR(context)规划配置虚拟路由器功能。SE800支持多VR(context)配置，VR具有一个传统路由器应该具有的一切功能，例如路由表、路由协议、认证以及IP地址空间等。虚拟路由器支持一个传统路由器应该支持的一切网络业务，可根据不同的业务需要，将不同业务放到单独的VR中，如拨号上网、IPTV，都可以设置到不同的VR(context)虚拟路由器上。华为ME60/MA5200G无VR(context)概念，无需配置。VR(context)接口绑定配置VR(context)与接口绑定关系。VR(Context)接口绑定规范如下表所示：为ERX1440的每一个VR绑定一个子接口，VR与子接口一一对应。为SE800运行动态路由协议的localcontext、vrInternetcontext、vrLeasedLinecontext绑定一个外出子接口。其中localcontext和vrInternetcontext绑定全部的上行子接口，实现流量在所有上行链路上负载均担。Iptvcontext需要绑定全部的上行子接口，而VPDN和vrLEASEcontext因流量较小，当上行链路多于2条以上时，可只选择对其中两条接口进行绑定，这样可达到了减少资源消耗，节约IP地址的目的，同时也保证了链路的冗余。其他context不绑定外出子接口，使用context间路由互通功能，由运行动态路由协议的localcontext携带流量。MA5200G、ME60使用domain的概念区分业务，不支持vr(context)的概念。上行链路口不分割子接口，直连使用物理接口与出口路由器相连。业务描述vr(Context)ERX1440SE800MA5200G/ME60默认default/local.190.190不分割子接口拨号vrINTERNET(SE800).191vpdnvrVPDN_LAC.192.192专线vrLEASEDLINE.193iptvvriTV.194wlanvrWLAN.195EyevrEYE.196200vr200.19710000vr10000.198E8ManagevrE8MANAGER.199centrexvrCENTREX.200网管vrNMS.201网管vrDJ.202网管vrDJTV.203临时vrTEMP.204MPLSVPNvrCTVPNXXXXVR(context)间路由处理开启SE800context间路由互通功能，简化出口路由器的路由维护量，减少IP地址的浪费情况。华为ME60/MA5