IP网络设备配置规范书-BRAS分册（201004修订征求意见）

`

中国电信广西公司ChinaNet

网络设备配置规范

v200905

`

BRAS分册

目 录

第一章 设备相关配置 ..................................................................................................................... 4

第1节 系统基本配置 ........................................................................................................... 4

1.1 设备名称配置 ......................................................................................................... 4 1.2 系统时间配置 ......................................................................................................... 4 1.3 NTP配置 .................................................................................................................. 4 1.4 主备卡切换配置 ..................................................................................................... 5 1.5 接口配置 ................................................................................................................. 5 第2节 网管配置 ................................................................................................................... 8

2.1 远程登录Telnet/SSH配置 ................................................................................... 8 2.2 SNMP配置 ................................................................................................................ 9 2.3 SYSLOG配置 .......................................................................................................... 11 2.4 登录AAA ................................................................................................................ 12 第3节 安全配置 ................................................................................................................. 13

3.1 防攻击设置 ........................................................................................................... 14 3.2 主控、业务板卡过载保护 ................................................................................... 16 第4节 路由配置 ................................................................................................................. 16

4.1 静态路由配置 ....................................................................................................... 16 4.2 黑洞路由配置 ....................................................................................................... 16 4.3 OSPF ....................................................................................................................... 17

第二章 业务相关配置 ................................................................................................................... 18

第1节 Radius配置 .............................................................................................................. 19

1.1 计费认证 ............................................................................................................... 19 第2节 域配置 ....................................................................................................................... 20 第3节 PPPoE ......................................................................................................................... 22

3.1 速率模板配置 ....................................................................................................... 22 3.2 IP Pool ................................................................................................................. 23 3.3 虚模板配置 ........................................................................................................... 24 3.4 业务子接口 ........................................................................................................... 24 第4节 IPoE ........................................................................................................................... 25

4.1 静态 ....................................................................................................................... 26 4.2 DHCP ....................................................................................................................... 27 4.3 静态用户限速 ....................................................................................................... 28 4.4 WLAN ....................................................................................................................... 29 第5节 二层VPN .................................................................................................................. 34

5.1 L2TP ....................................................................................................................... 35 第6节 MPLS VPN ................................................................................................................... 37 第三章 安全加固配置 ................................................................................................................... 42

第1节 数据层面安全加固 ................................................................................................. 42

1.1 关闭IP选项 ......................................................................................................... 42 1.2 关闭IP 直接广播 ................................................................................................ 43

`

1.3 典型垃圾流量过滤 ............................................................................................... 43 第2节 控制层面安全加固 ................................................................................................. 47

2.1 IGP 安全防护 ....................................................................................................... 48 2.2 关闭控制平面未使用的服务 ............................................................................... 48 2.3 控制引擎防护 ....................................................................................................... 48 第3节 管理层面安全加固 ................................................................................................. 49

3.1 禁用未使用的管理平面服务 ............................................................................... 49

`

第一章 设备相关配置

第1节 系统基本配置

1.1 设备名称配置

■ 配置内容： 配置设备名称； ■ 规范要求：

端口命名按附录1：设备和端口命名规范要求配置； ■ 配置示例： 1、华为设备 sysname M-NN-MINZU-B-ME60-01 //字符串形式，长度范围1～30

2、Juniper设备 hostname M-NN-XIJIAO-B-E320-01 //字符串形式，长度范围1～30 3、中兴设备 hostname M-LZ-LONGCHENG-B-T1200-01 //字符串形式，长度范围1～32 1.2 系统时间配置

■ 配置内容：

设置BRAS 的系统日期及时间； ■ 规范要求：

采用标准北京时间（时区为东八区）； ■ 配置示例： 1、华为设备 clock datetime 06:56:00 2009-04-12 //配置系统时间 clock timezone add 8 //配置系统时区为东8区

2、Juniper设备 clock timezone CST 8 //配置系统时区为东8区 clock set 06:56:00 12 04 2009 //配置系统时间

3、中兴设备

clock set 08:08:08 apr 30 2009 //配置系统时间，特权模式进行配置 clock timezone beijing 8 //配置系统时区为东8区 `

1.3 NTP配置

■ 配置内容： 配置NTP服务器； ■ 规范要求：

1、采用NTP Version 3版本且启用MD5认证； 2、采用 loopback0地址作为时间同步的源地址； 3、统一NTP Server的IP地址为：202.103.194.43； ■ 配置示例： 1、华为设备 ntp-service source-interface LoopBack0 ntp-service unicast-server 202.103.194.43 source-interface LoopBack0 //缺省为版本3

2、Juniper设备 ntp enable ntp server 202.103.194.43 version 3

3、中兴设备

ntp enable ntp source loopback1 //中兴设备从loopback1开始 ntp server 202.103.194.43 priority 1 version 3 //priority为server优先级 1最高 1.4 主备卡切换配置

■ 配置内容：

配置系统主备卡切换； ■ 规范要求：

打开自动切换，要求采用最优切换方式； ■ 配置示例： 1、华为设备 不需要配置 2、Juniper设备 no disable-autosync //使用SRP同步 ! redundancy mode high-availability 3、中兴设备

`

snmp-server enable traps haRedundancy snmp-server enable traps routeTable snmp-server

3、中兴设备

standard acl 1000 //配置ACL访问列表 rule 1 permit 202.103.194.99 0.0.0.0 rule 2 permit 202.103.194.100 0.0.0.0 rule 3 permit 202.103.194.101 0.0.0.0 snmp-server access-list 1000 //配置允许访问的网段范围 snmp-server community public view AllView ro //配置读团体串 snmp-server community private view AllView rw //配置写团体串 snmp-server host 202.103.194.99 trap version 2c private udp-port 162 //设置接收Trap消息的目的地 snmp-server enable trap //开启trap snmp-server enable trap xxx //可以针对具体功能开trap(bgp ospf rmon snmp stalarm vpn) logging trap-enable notifications //配置允许告警信息上送trap 2.3 SYSLOG配置

■ 配置内容：

1、配置 log信息显示的时间； 2、配置 log信息触发的级别； 3、配置 log server； ■ 规范要求：

1、设备必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警；

2、log信息采用北京时间来显示； 3、指定日志主机的IP地址；

4、log信息需集中保存到 log server（202.103.194.99）上，可以配置多个 log server； 5、IP POOL利用率超过85％，应输出告警信息；

6、Syslog触发级别根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGP\\OSPF\\MPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down）； ■ 配置示例： 1、华为设备 info-center loghost source LoopBack0 info-center timestamp trap date //trap时间为系统时间 info-center loghost 202.103.194.99 //目标主机,可多个 info-center logbuffer size 1024 //设置logbuffer大小 info-center source default channel 2 log level warning //设置warning级别的通过通道2输出 2、Juniper设备

`

service timestamps log datetime show-timezone localtime log fields timestamp instance no-calling-task log destination console severity WARNING log destination nv-file severity CRITICAL log destination nv-file severity emergency log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 6 severity info log destination syslog 202.103.194.99 facility 5 severity notice log destination syslog 202.103.194.99 facility 3 severity error log destination syslog 202.103.194.99 source loopback 0 3、中兴设备 syslog-server host 202.103.194.99 fport 514 lport 514 alarmlog level notifications cmdlog debugmsg //配置log server，最多可配5个 syslog-server facility local0 //默认local0，可以配置 syslog-server host x.x.x.x //配置发送log的host 2.4 登录AAA

■ 配置内容：

配置设备登陆到AAA服务器； ■ 规范要求：

1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器（202.103.194.99）。 2、AAA Server采用tacas协议；

3、对于只支持Radius协议的设备，采用Radius协议进行管理。 4、配置本地认证一个超级帐号供应急使用； ■ 配置示例： 1、华为设备 hwtacacs-server template ht //配置tacacs服务器模板 hwtacacs-server authentication 202.103.194.99 49 //配置认证服务器和端口 hwtacacs-server authentication X.X.X.X XXX secondary hwtacacs-server authorization 202.103.194.99 49 //配置授权服务器和端口 hwtacacs-server authorization X.X.X.X XXX secondary hwtacacs-server accounting 202.103.194.99 49 //配置计费服务器和端口 hwtacacs-server accounting X.X.X.X XXX secondary hwtacacs-server shared-key Nocteam //配置服务器密钥 hwtacacs-server source-ip x.x.x.x //配置上送报文携带的源地址，一般是LOOBAPCK地址

undo hwtacacs-server user-name domain-included //设置上送帐号不携带域名 # `

aaa

authentication-scheme l-h //配置认证模板1-h

authentication-mode local-hwtacacs //配置认证策略为先本地后tacacs

或authentication-mode hwtacacs-local //MA5200G只支持先TACACS后本地 authentication-super hwtacacs super #

authorization-scheme hwtacacs //配置授权方案模板

authorization-mode local hwtacacs if-authenticated //配置授权策略为先本地后tacacs 或 authorization-mode hwtacacs local if-authenticated //MA5200G只支持先TACACS后

本地

#

accounting-scheme hwtacacs //配置计费模板 accounting-mode hwtacacs

accounting realtime 3 //配置计费间格 #

aaa视图下

domain default_admin //配置默认认证域 authentication-scheme l-h //分别使用相应的模板 authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server ht #

super password level 3 cipher );W\本地super帐号

2、Juniper设备 aaa new-model aaa authentication login \ //配置认证方式tacacs+ aaa authorization exec \ privilege exec level 1 test privilege exec level 1 telnet //帐号权限类型 line vty 0 4 //telnet使用3a tacacs认证 login authentication \authorization exec \ tacacs-server source-address 222.217.167.11 tacacs-server host 202.103.194.99 key bras primary tacacs-server host X.X.X.X key bras 3、中兴设备

tacacs enable tacacs-server host 202.103.194.99 //配置认证tacacs+ server地址 `

aaa group-server tacacs+ zte //配置aaa 列表 server 202.103.194.99 //配置aaa服务器地址和tacacs server配置一样 aaa authentication enable default group zte local //配置enable方式，默认为tacacs服务器，如果认证不通过，则使用本地认证 aaa authentication login default group zte local //配置enable方式，默认为tacacs服务器，如果认证不通过，则使用本地认证 username zte password zte privilege 15 //本地最高权限账号 第3节 安全配置

3.1 防攻击设置

■ 配置内容：

1、关闭不必要的服务；

2、配置过滤常见病毒的端口及容易受攻击的端口； ■ 规范要求：

1、接口启用uRPF； 2、配置防病毒策略 3、关闭路由器端口服务如：ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)、FTP等，增强设备本身的安全性； 4、关闭设备登录banner提示；

5、Console端口登录需设置本地口令 ■ 配置示例： 1、华为设备 acl number 2000 //配置ACL访问列表 rule 10 permit source X.X.X.X X.X.X.X # acl number 3100 //配置高级ACL列表 rule 5 permit tcp destination-port eq echo rule 10 permit tcp destination-port eq CHARgen rule 15 permit udp destination-port eq 19 rule 20 permit tcp destination-port eq finger traffic classifier XXX //配置流模板 if-match ACL XXX traffic behavior XXX //配置动作模板 deny `

traffic policy XXX //配置策略模板，流与动作相关联 classifier XXXl behavior XXX traffic-policy XXX inbound //在相关的接口下应用

2、Juniper设备

no ftp-server enable conf t

interface ge0/0 ip sa-validate

ip classifier-list tcp7 tcp any any eq 7 ip classifier-list tcp19 tcp any any eq 19 ip classifier-list udp19 udp any any eq 19 ip classifier-list tcp17 tcp any any eq 17

ip policy-list is- attack classifier-group tcp7 filter

classifier-group tcp19 filter

classifier-group udp19 filter

classifier-group tcp17 filter

classifier-group * forward

3、中兴设备 no ftp-server enable acl extended number 100 //进入ACL配置模式 # extended acl 100 //配置扩展ACL列表 rule 1 deny tcp any any eq 7 rule 10 deny tcp any any eq 19 rule 20 deny tcp any any eq finger rule 15 deny udp any any eq 19 ip access-group 100 X //接口下匹配ACL ip verify XXX unicast-reverse-path acl XXX //接口下配置uRPF

`

nas-port-id-format china-tel nas-ip-address X.X.X.X //RADIUS采用的loopback接口地址 user-name-format strip-domain //设置RADIUS服务器的用户名不包含域名 vendor enable ! radius accounting-group XXX server 1 X.X.X.X master key XXX port 1813 //配置主RADIUS服务器及密钥

server 2 X.X.X.X key XXX port 1813 //配置从RADIUS服务器及密钥 algorithm first timeout 3 max-retries 3 deadtime 5 //默认不可达时等待重试时间 calling-station-format 1 nas-port-id-format china-tel nas-ip-address X.X.X.X //RADIUS采用的loopback接口地址 user-name-format strip-domain //设置RADIUS服务器的用户名不包含域名 vendor enable local-buffer enable //是否开启本地缓存 life-time 2 interim-packet-quota

第2节 域配置

■ 配置内容： 配置域

■ 规范要求：

1、域名按照全区统一规范命名，根据业务类型来区分不同认证域； 命名格式：业务类型-可选（对特殊应用）.gx； 命名原则：

A、域名长度+用户名长度不超过32个字符；

B、域名命名格式为：业务类型-特殊应用描述.gx；其中“特殊应用描述”为可选项目，可根据实际情况进行设计。

2、配置引入IP POOL，同类业务使用相同的认证域； 3、在域引入认证模板，同类业务使用相同的认证模板； 4、在域引入计费模板，同类业务使用相同的计费模板 5、引入RADIUS组, 同类业务使用相同的Radius组 6、用于MPLS VPN的认证域，需绑定VPN实例 ■ 配置示例： 1、华为设备 domain XXX `

authentication-scheme XXX //认证模板 accounting-scheme XXX //计费模板 user-priority upstream XX //用户上行优先级 user-priority downstream XX //用户下行优先级 flow-statistic up //打开上行流统计功能 flow-statistic down //打开下行流统计功能 ip-pool XXX //配置使用的地址池 qos profile XX //应用QOS模板 //对于L2tp域，要求强制radius认证 2、Juniper设备 aaa domain-map XXXXX //域后缀 router-name YYY //vr的名字 local-interface loopback X 3、中兴设备

domain XXX accounting-group XXX //RADIUS计费组 accounting-type radius accounting-update XXX //RADIUS计费更新间隔 authentication-group XXX //RADIUS认证组 authentication-type radius max-subscriber 96000 ppp web-force timer 5 count 0 ip vrf XXX //VPN认证域 alias XXX //域名 subscriber-template ip address pool XXX //配置指定地址池 第3节 PPPoE

3.1 速率模板配置

■ 配置内容： 配置速率模板 ■ 规范要求：

1、该速率模板的配置主要针对采取pppoe接入的动态用户；

2、华为BRAS设备的速率模板由Raidus服务器下发；Juniper设备在本地配置速率模板，模板命名需根据区公司要求统一，和Raidus服务器下发属性匹配。 3、命名规范

BIMS系统与BRAS所配置的PPPOE模板名字必须一致。模板名字约定如下： 速率体系 速率体系 `

下/上行速率（kbps） e家用户1024/384 e家用户2048/384 e家用户3072/512 e家用户4096/512 单产品1024/256 单产品2048/256 单产品3072/384 单产品4096/384 基本型512/128

表格：

■ 配置示例： 1、华为设备 上行模板命名 ADSL_E8_1M_ingress ADSL_E8_2M_ingress ADSL_E8_3M_ingress ADSL_E8_4M_ingress ADSL_1M_ingress ADSL_2M_ingress ADSL_3M_ingress ADSL_4M_ingress ADSL_512K_ingress 下行模板命名 ADSL_E8_1M_egress ADSL_E8_2M_egress ADSL_E8_3M_egress ADSL_E8_4M_egress ADSL_1M_egress ADSL_2M_egress ADSL_3M_egress ADSL_4M_egress ADSL_512K_egress 不用配置（对静态PPPoE用户的限速在Dslam端口实现） 2、Juniper设备 rate-limit-profile pro2M committed-rate 2000000 committed-burst 200000 ! policy-list pro2M classifier * rate-limit-profile pro2M

3、中兴设备 不用配置 3.2 IP Pool

■ 配置内容：

为拨号用户设置IP POOL； ■ 规范要求：

1、按照业务统需求设置IP POOL，IP POOL命名规则如下：

（1）PPPoE用户的IP POOL命名为：pppoe-1、pppoe-2以此类推；

（2）静态用户的IP POOL命名为：static-user-1、static-user-2以此类推； （3）设备网管的IP POOL命名为：，以nms开头，以设备类型作为区分，如nms-dslam-1、nms-lanswitch-1、nms-pon-1；

2、网管或静态用户的IP pool 地址范围不多于1个C，动态用户的IP Pool 地址范围不少于8个C。

2、创建与POOL地段对应的黑洞路由（华为设备默认针对IP Pool自动产生黑洞路由），路

`

由指向NULL0 优先级设置为255 ■ 配置示例： 1、华为设备 ip pool XXX local gateway X.X.X.X X.X.X.X section A X.X.X.X X.X.X.X excluded-ip-address X.X.X.X X.X.X.X //静态用户的地址池需要将静态用户IP除去 2、Juniper设备 ip local pool pool-1 x.x.x.x x.x.x.y ip route x.x.x.0 255.255.255.0 null 0

3、中兴设备

interface vbuiX ip address X.X.X.X X.X.X.X //配置网关 ip pool XXX X.X.X.X X.X.X.X //配置地址池 3.3 虚模板配置

■ 配置内容： 配置业务虚模板； ■ 规范要求：

1、配置PPP认真方式为PAP 2、配置MTU值1434

3、配置keepalive interval为60秒，重传4次 ■ 配置示例： 1、华为设备 interface Virtual-Template1 ppp authentication-mode pap ppp keepalive interval 60 retransmit 4 //keepalive interval为60秒，重传4次 mtu 1434 2、Juniper设备 profile pppoe ip unnumbered loopback X ppp authentication pap ppp keeplive 60 //轮询次数只能默认3次 pppoe mtu 1434

3、中兴设备

interface gei_X/X.X bras //用户接入子接口 ip mtu 1434 `

access-type ethernet encapsulation dot1q ppp-over-ethernet //配置PPPOE接入 bind authentication pap maximum 16000 //绑定认证模式为PAP ppp idle interval 300 traffic-limit 0 ppp keepalive timer 60 count 4 //keepalive为60秒，重传4次 3.4 业务子接口

■ 配置内容： 1、配置物理接口； 2、配置业务子接口； 3、端口描述；

4、绑定认证模式、认证域； ■ 规范要求：

1、在主接口对应下挂的不同DSLAM划分独立的业务子接口。 2、子接口命名按附录1：设备和端口命名规范要求配置； 3、华为BRAS配置认证域（拨号用户统一采用pppoe域，静态用户统一采用static-user域）； ■ 配置示例： 1、华为设备 interface GigabitEthernetX/X/X.X //PPPOE用户子接口 pppoe-server bind Virtual-Template 1 user-vlan XX YY qinq-vlan ZZ bas access-type layer2-subscriber interface GigabitEthernetX/X/X.X //静态用户子接口 user-vlan XXX bas access-type layer2-subscriber default-domain XXX authentication-method bind 2、Juniper设备 interface gigabitEthernet 8/0.100 vlan id 100 vlan description to-XXX encapsulation pppoe pppoe auto-configure pppoe duplicate-protection pppoe sessions 10 pppoe profile profileNAME 3、中兴设备

`

interface gei_X/X.X bras //用户接入子接口 dot1Q XXX //配置一层VLAN qinq XXX second-dot1q XXX //配置QinQ description XXX //描述子端口 ip mtu 1434 access-type ethernet encapsulation dot1q ppp-over-ethernet //配置PPPOE接入模式 bind authentication pap maximum 16000 //绑定认证模式 ppp idle interval 300 traffic-limit 0 ppp keepalive timer 60 count 4 //keepalive为60秒，重传4次 ppp check-magic-numbe 第4节 IPoE

4.1 静态

■ 配置内容：

1、主端口二层参数配置（mtu 值、工作方式、速率、封装类型、描述等） 2、子端口二层参数配置（vlan id、ip unnumbered 端口等） 3、配置子端口的速率策略 ■ 规范要求：

1、主端口MTU 设置为4470，工作方式为全双工，速率为1000，封装方式；为vlan（假设BAS 的上联口与三层交换机相连，如与路由器相连无需设置）； 2、子端口号对应内外层vlan id命名为：物理端口.外层vlan 3、引用的速率策略预先在全局配置模式下配置好；

4、配置子端口的描述，格式要求符合配置有关命名规范； 5、配置该专线用户的IP 路由；

6、IPOE用户只用于网管或ADSL静态用户接入，专线静态用户接入原则上接入SR ■ 配置示例： 1、华为设备 interface GigabitEthernetX/X/X.XX description static-user user-vlan XX XX qinq XXX bas access-type layer2-subscriber authentication-method bind static-user X.X.X.X X.X.X.X interface X/X/X.XX vlan XX detect domain-name XXX 2、Juniper设备 interface gigabitEthernet 8/0.1000 `

vlan id 1000 ip unnumbered loopback x ip description to-xxx ip policy input 2M ip policy output 2M ! ip route x.x.x.x 255.255.255.255 gi 8/0.1000

3、中兴设备 interface gei_X/X.X bras dot1Q XX //配置单层VLAN qinq XX second-dot1q XX //配置双层VLAN description static-user //配置子接口描述 service-policy input XX //引用速率策略 service-policy output XX access-type ethernet encapsulation dot1q ip-over-ethernet //配置封装方式 bind vbui vbuiX maximum 16000 //绑定用户接口 interface vbuiX ip address X.X.X.X X.X.X.X ip host X.X.X.X slot X port X vlan XX second-vlan XX //配置静态用户 4.2 DHCP

■ 配置内容： 配置DHCP服务 ■ 规范要求：

1、开启了DHCP业务时候，设置DHCP地址池，DNS Server，开启DHCP Snooping 2、ARP侦测，通过DHCP Snooping+ ARP侦测实现防ARP攻击 3、如果业务没有特殊需求，默认DHCP租用时间为48小时 ■ 配置示例： 1、华为设备 interface GigabitEthernet X/X/X.X //单层vlan user-vlan X X bas access-type layer2-subscriber default-domain authentication XX authentication-method bind interface GigabitEthernet X/X/X.X //Qinq user-vlan X X qinq X X bas access-type layer2-subscriber default-domain authentication XX `

authentication-method bind domain XX //不认证不计费的域可以自动分配IP地址的 authentication-scheme XX accounting-scheme XX ip pool XXX local //配置地址池 gateway X.X.X.X X.X.X.X section A X.X.X.X X.X.X.X lease 2 //地址的租用时间为2天

2、Juniper设备

service dhcp-local equal-access ip dhcp-local pool default lease 0 0 2 !

ip dhcp-local pool WLAN

network 113.15.224.0 255.255.255.0

dns-server 202.103.224.68 202.103.225.68 default-router 113.15.224.1 lease 0 0 2

server-address 113.15.224.1

interface gigabitEthernet 0/0/2 mtu 1526 duplex full speed 1000

encapsulation vlan auto-configure vlan vlan bulk-config svlan

profile vlan bulk-config svlan \

vlan bulk-config svlan svlan-range 1951 1974//外层vlan起始100 1499//内层vlan起始

interface gigabitEthernet 0/0/2.100 vlan id 100

ip description TO TEST pppoe

pppoe auto-configure pppoe profile any pppoe

3、中兴设备

ip dhcp enable //使能dhcp interface gei_X/X. X bras `

qinq XX second-dot1q XX //配置双层VLAN access-type ethernet encapsulation dot1q ip-over-ethernet //配置封装方式 bind vbui vbuiX maximum 16000 //绑定用户接口 interface vbuiX ip address X.X.X.X X.X.X.X ip dhcp mode server //配置DHCP工作模式 ip dhcp server gateway X.X.X.X //配置网关 ip pool XXX X.X.X.X X.X.X.X dhcp-slot X priority X unlock //配置DHCP地址池 ip pool XXX dns X.X.X.X X.X.X.X //地址池XXX下配置主从DNS Server bras ip dhcp server dns X.X.X.X X.X.X.X //配置缺省主从DNS Server ip dhcp server leasetime 65535 //配置DHCP租期，缺省为1小时，最大为65535秒 4.3 静态用户限速

■ 配置内容：

配置静态用户规范； ■ 规范要求：

IPOE用户只用于网管或ADSL静态用户接入其限速通过DLSAM端口来实现，专线静态用户接入原则上接入SR，限速在用户接入交换机上实现。

4.4 WLAN

■ 配置内容：

配置WLAN用户接口； ■ 规范要求：

按照规范要求配置； ■ 配置示例： 1、华为设备 interface XXX X/X/X.XX pppoe-server bind Virtual-Template X //该虚模板专门给wlan使用 description XXXXXX user-vlan XX YY QinQ ZZ bas access-type layer2-subscriber default-domain pre-authentication preauth aut hentication webppp `

interface Virtual-TemplateX //虚模板的配置 ppp authentication-mode pap ppp keepalive interval 60 retransmit 4 //keepalive interval为60秒，重传4次 mtu 1434

//配置相应认证前域及认证域

roam-domain wifi-roam //配置漫游域 nas-port-type 802.11 //业务接入方式 authentication-method ppp web //认证类型

domain preauth //WLAN认证前域

authentication-scheme default0 accounting-scheme default0

service-type hsi //配置为HIS业务，ME60必需配置 web-server 202.103.194.221 web-server url http://wlan.ct10000.com:8080/hwssp/

user-group wlangp ip-pool pppoe-15

2、Juniper设备 //可以使用loopback0 1．配置虚拟路由器VR。 virtual-router WLAN 2．配置WLAN相关域。 aaa domain-map WLAN.GX router-name WLAN.GX ipv6-router-name default aaa domain-map wlan.gx.chntel.com router-name WLAN.GX ipv6-router-name default 3．配置VR的loopback地址。 interface loopback 0 ip address 222.217.**.** 255.255.255.255 4．配置Radius服务器。

将key设置为创意公司规定cisco，radius上传报文通过VR中的loopback地址。 radius authentication server 202.103.194.219 max-sessions 2000 key cisco radius authentication server 202.103.194.220 max-sessions 2000 key cisco radius accounting server 202.103.194.220 max-sessions 2000

`

key cisco radius accounting server 202.103.194.219 max-sessions 2000 key cisco radius update-source-addr loopback0 5．配置认证计费方式。 aaa accounting interval 15 //配置每隔15分钟上传计费报文 6．配置WLAN VR的缺省路由。 ip route 0.0.0.0 0.0.0.0 116.252.**.** 7．配置拨号模板。 nas-port-type 802.11为将上传数据字段更改为集团公司规定的19。 aaa profile pppoe-wlan nas-port-type atm 19 nas-port-type ethernet 19 profile \ ip unnumbered loopback 1 ip sa-validate ip ignore-df-bit ip policy secondary-input \ ppp authentication pap ppp aaa-profile \8．配置GE子接口用于WLAN VR与互联网的互联。 interface gigabitEthernet 13/0/0.60 ip description TO XXXX //加端口描述 vlan id 60 //子接口vlan为60 ip address 116.252.**.** 255.255.255.252 9．配置SDX/SEA服务器相关数据。 sscc enable cops-pr sscc transportRouter WLAN sscc sourceInterface loopback0 //采用上面配置好的loopback0的地址作为SSCC client的源地址 sscc primary address 124.227.15.9 port 3288 sscc secondary address 124.227.15.10 port 3288 sscc retryTimer 10 //在配置完上面六条命令后，用sh sscc info查看sscc是否已经连接。确认连接建好了，再配置DHCP（第10步）相关内容.。若sscc连接未建好，就不配置DHCP内容，联系NOC或者Juniper进行检查。另外, 请各ERX/E320管理员在配置了SDX后，告知NOC在后台添加相应配置。 使用GRE Tunnel方式与SDX/SEA服务器相连。 配置GE子接口用于通过GRE Tunnle与SDX服务器的重定向“一跳可达”，配置私网地址 1) 首先使用命令: Show tunnel-server config `

根据输出确定tunnel-server所使用的所有端口, 例如13/2/0, 15/2/0

2) 配置启用tunnel-server功能, 建议打开所有端口, 以实现冗余备份 tunnel-server 13/2/0

max-interfaces all-available !

tunnel-server 15/2/0

max-interfaces all-available

3) 配置到重定向服务器所使用的接口

interface tunnel gre:Toredirector1 transport-virtual-router WLAN tunnel source 222.217.**.**

//222.217.**.**即为loopback0的地址 tunnel destination 124.227.15.2 tunnel mtu 1480 tunnel checksum

ip description Tunnel To_HuaWei_Firewall-1 ip address 192.168.107.6 255.255.255.252 //192.168.107.6为第一条tunnle的接口地址

interface tunnel gre:Toredirector2 transport-virtual-router WLAN tunnel source 222.217.**.**

//222.217.**.**即为loopback0的地址 tunnel destination 124.227.15.6 tunnel mtu 1480 tunnel checksum

ip description Tunnel To_HuaWei_Firewall-2 ip address 192.168.207.6 255.255.255.252 //192.168.207.6为第二条tunnle的接口地址 !

请各ERX1440/E320管理员在创建Gre Tunnle时，将本ERX/E320互联网接口地址和自己选定（或由NOC指定）的gre tunnle私网地址告知NOC，由NOC在SDX端的防火墙上添加终结Gre tunnle的配置。

rtr 100

type echo protocol ipIcmpEcho 192.168.107.5 source TUNNEL gre:Toredirector1 receive-interface TUNNEL gre:Toredirector1 frequency 1 rtr 200

type echo protocol ipIcmpEcho 192.168.207.5 source TUNNEL gre:Toredirector2 receive-interface TUNNEL gre:Toredirector2 frequency 1 !

rtr reaction-configuration 100 action-type trapOnly

`

rtr reaction-configuration 200 action-type trapOnly rtr reaction-configuration 100 test-failure 3 rtr reaction-configuration 200 test-failure 3 rtr reaction-configuration 100 test-completion rtr reaction-configuration 200 test-completion rtr schedule 100 life 3 rtr schedule 200 life 3 rtr schedule 100 start-time now rtr schedule 200 start-time now rtr schedule 100 restart-time 1 rtr schedule 200 restart-time 1 路由配置，该主机路由为到重定向的路由。 ip route 192.168.0.0 255.255.0.0 null0 ip route 192.168.254.1 255.255.255.255 192.168.107.5 rtr 100 ip route 192.168.254.1 255.255.255.255 192.168.207.5 rtr 200 10．配置DHCP用户IP地址池。 //可以使用loopback1

或使用BRAS中原普通用户地址池。此为wlan用户的dhcp地址池，dhcp的地址池的首地址一般作为default-router。把作为default-router的dhcp的地址池的首地址排除，不让用户获取此地址。

ip local pool pppoe-wlan ip local pool pppoe-wlan 116.252.**.** 116.252.**.** ! Interface loopback1 ip address 116.252.**.** 255.255.255.255 //loopback1是DHCP的unnumber地址，拿DHCP地址池的第一个地址来做 service dhcp-local equal-access ip dhcp-local pool WLAN network 116.252.**.** 255.255.255.0 dns-server 202.103.224.68 202.103.225.68 default-router 116.252.**.** lease 0 0 2 server-address 116.252.**.** ip dhcp-local excluded-address 116.252.**.** 11配置业务测试子接口。 interface gigabitEthernet */*/*.3400 vlan id 3400 ip description WLAN-liuzhou-starbuck //ip description是WLAN用户获得服务的必要条件，其格式为WLAN-city-site，WLAN要大写 ip unnumber loopback1 ip auto-configure ip-subscriber exclude-primary pppoe pppoe sessions 10 pppoe auto-configure `

pppoe profile any \ //WLAN业务没必要做QinQ

3、中兴设备

ip dhcp enable //使能dhcp

radius authentication-group 1 server 1 X.X.X.X key XXX port 1812 //配置radius认证服务器，端口缺省为1812 nas-port-id-format chinatel-wlan //配置nas-port-id格式 radius accounting-group 1 server 1 X.X.X.X key XXX port 1813 //配置radius计费服务器，端口缺省为1813 nas-port-id-format chinatel-wlan //配置nas-port-id格式 bras

node-ip X.X.X.X //配置node-ip为机架的loopback地址 special-acl X

permit X.X.X.X //允许DHCP用户认证前可以访问Web服务器地址

domain X accounting-group X //引用计费组 accounting-type radius //采用radius计费 authentication-group X //引用认证组 authentication-type radius //采用radius认证 alias zte.com //配置域名

interface vbuiX ip address X.X.X.X X.X.X.X

ip dhcp mode server //配置DHCP工作模式 ip dhcp server gateway X.X.X.X //配置网关

special-acl 1 //引用special-acl web authentication subscriber web force //配置web强推 web server 202.92.38.180 port 1814 //配置web服务器地址，端口缺省为1814 url http://202.92.38.180 //配置强推出的认证页面地址 $

ip pool XXX X.X.X.X X.X.X.X dhcp-slot X priority X unlock //配置DHCP地址池

interface gei_X/X. X bras dot1Q XX //配置单层VLAN qinq XX second-dot1q XX //配置双层VLAN

access-type ethernet encapsulation dot1q ip-over-ethernet //配置封装方式 bind vbui vbuiX maximum 16000 //绑定用户接口

`

interface gei_X/X. ip address X.X.X.X X.X.X.X //配置连接网络侧的接口地址 第5节 二层VPN

5.1 L2TP

■ 配置内容：

配置VPDN认证Raidus组 配置二层VPN认证域； 配置VPDN L2TP组 ■ 规范要求：

1、二层VPN的认证首选通过rdiaus下发L2TP参数

2、VPDN域名设置，按照“VPN实例命名规则（附件三）”来执行 3、VPDN 隧道建立源IP 首选使用设备loopback0端口。

4、juniper设备的VPDN数据默认不需要配置，但是在开启伪认证时候需要批量倒入用户数据，在关闭伪认证时，删除数据。 ■ 配置示例： 1、华为设备

radius-server group XXX //配置radius radius-server authentication X.X.X.X XXXX radius-server accounting X.X.X.X XXXX radius-server shared-key XXX #

interface GigabitEtherneX/X/X.XX //配置子接口 pppoe-server bind Virtual-Template 1 user-vlan X qinq Y bas

access-type layer2-subscriber #

l2tp-group XXX //配置L2TP组

tunnel password simple quidway1 //配置TUNNEL密码 tunnel name XXX //配置TUNNEL名称 start l2tp ip X.X.X.X //配置发起会话的LNS地址

tunnel source LoopBack0 //TUNNEL使用设备loopback0端口 # aaa

domain domain1

authentication-scheme default0 accounting-scheme default0 radius-server group XXX

l2tp-group XXX //域下绑定相关L2TP组

`

l2tp-user radius-force //指定域用户使用RADIUS下发的L2TP属性 2、Juniper设备 aaa domain-map xxx.com tunnel 1 address x.x.x.x source-address z.z.z.z client-name XXX password \

3、中兴设备

radius authentication-group XXX //配置radius认证组 server 1 X.X.X.X key XXX port 1812 //radius服务器地址，key，端口配置

algorithm first timeout 3 max-retries 3 deadtime 5 calling-station-format 1 nas-port-id-format china-tel user-name-format include-domain //认证时带域名 vendor enable

radius accounting-group XXX //配置radius计费组 server 1 X.X.X.X key XXX port 1813 algorithm first timeout 3 max-retries 3 deadtime 5 calling-station-format 1 nas-port-id-format china-tel user-name-format include-domain vendor enable local-buffer disable life-time 2 interim-packet-quota 80

vpdn enable //使能vpdn

vpdn-group:XXX //VPDN配置 service-type:LAC proxy-authentication:No //代理认证配置 new-random:Yes //序列号设置 l2tp hidden:Yes //AVP隐藏设置 `

l2tp sequencing:No l2tp tunnel authentication:Yes //隧道认证设置 l2tp tunnel password:XXX //隧道密码 l2tp tunnel hello:30s //hello时间间隔设置 l2tp tunnel receive-window:4 l2tp tunnel retransmit retries:5 //SCCRQ报文重传次数 l2tp tunnel retransmit timeout:5s //SCCRQ报文重传间隔 l2tp tunnel timeout:60s //隧道老化时间 domain:XXX //关联域名，是domain name不是domain number local name:XXX //LNS上的terminate-from hostname max-session:16000 max-session-per-tunnel:16000 source-ip:X.X.X.X //隧道源IP initiate-to[0] ip:Y.Y.Y.Y //隧道目的ip（可配置多个，根据优先级和配置顺序

domain 100 domain status enable accounting-group XXX //radius计费的计费组

accounting-type radius //计费方式 authentication-group XXX //radius认证的认证组 authentication-type radius //认证方式 max-subscriber 96000 ppp web-force timer 5 count 0 alias XXX //域名，可配置多个 subscriber-template ip address vrf tunnel domain //所有从该域上来的用户为vpdn用户

第6节 MPLS VPN

■ 配置内容：

1、三层MPLS VPN配置； 2、标签过滤；

3、PE与CE之间的路由方式：静态路由、OSPF、BGP； ■ 规范要求： 一、MPLS配置

1、设置MPLS router-id为Loopback0

2、设备上只对Loopback0地址分配MPLS LDP标签

3、使用LDP协议分发MPLS 标签，并统一配置为下游主动标签分发方式（DU）、有序标签控制方式（Ordered）、自由标签保留方式（Liberal）。 4、LDP定时器设置：

`

A、Hello时间间隔定时器设定为5秒； B、Hello保持定时器设定为15秒； C、LDP会话Keepalive间隔定时器设定为10秒； D、LDP会话Keepalive保持定时器设定为30秒； 二、MBGP 配置

1、BGP基本配置（本地AS号、Router ID、对等体IP地址和AS号、更新报文源端口）BGP本地AS号根据各个地市实际分配AS配置（参见附录）； 2、关闭与CR的正常BGP邻居

3、统一采用loopback0建立IBGP邻居

4、Timer 设置： keepalive设为30s，hold time设为90s； 5、记录邻居变化

6、设置MinRouteAdvertisementInterva为5s 7、使用NETWOK方式宣告路由 8、团体属性发送标准和扩展 9、发布以下属性：

（1）ebgp的优先级为20 （2）ibgp 的优先级100 （3）本地优先级为100 三、VRF规划 参见相关规划

四、RD和RT规划 参见相关规划

五、VRF、RD和RT配置实例 六、网元接入模式 规范要求：

静态ADSL接入方式； 动态ADSL接入方式； 专线接入方式 ■ 配置示例： 1、华为设备 一、MPLS配置

MPLS: 1： mpls lsr-id X.X.X.X 2： mpls lsp-trigger host/ ip-prefix XXX //只对32位地址路由分配标签，也可以定义策略 mpls ldp 3： 缺省情况下，标签分配控制方式为有序方式ordered；标签保持方式为自由方式liberal；标签发布方式为下游自主方式DU。 4： [GigabitEthernetX/X/X] mpls ldp timer hello-hold 15 //hello保持定时器 [GigabitEthernetX/X/X] mpls ldp timer keepalive-hold 30 //LDP会话Keepalive保持定时器设定 `

二、MBGP 配置

bgp XXXX //配置BGP，根据自治系统号定 preference 20 100 100 peer X.X.X.X log-change peer X.X.X.X as-number XXX peer X.X.X.X connect-interface LoopBack0 peer X.X.X.X ebgp-max-hop 2 peer X.X.X.X timer keepalive 30 hold 90 peer 1.1.1.2 route-update-interval 5 ipv4-family vpnv4 undo policy vpn-target peer X.X.X.X enable peer X.X.X.X advertise-community ipv4-family unicast undo peer X.X.X.X enable //关闭正常邻居 五、VRF、RD和RT配置实例 ip vpn-instance XXXX route-distinguisher XXX:YYYY vpn-target XXX:YYYY export-extcommunity vpn-target XXX:YYYY import-extcommunity 六、网元接入模式 动态用户：

[Quidway] ip pool pool1 local

[Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252

[Quidway-ip-pool-pool1] vpn-instance vpn2 //将地址池绑定入VPN [Quidway-ip-pool-pool1] quit

[Quidway] aaa

[Quidway-aaa] domain isp1

[Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1

[Quidway-aaa-domain-isp1] vpn-instance vpn2 //将域绑定入VPN [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

interface XXXX

user-vlan XXX XXX qinq XX bas access-type layer2-subscriber

vpn-instance XXXX //将相关BAS接口绑入VPN

`

authentication-method bind

静态用户：

[Quidway] ip pool pool1 local

[Quidway-ip-pool-pool1] gateway 172.82.0.1 255.255.0.0 [Quidway-ip-pool-pool1] section 0 172.82.0.2 172.82.0.200 [Quidway-ip-pool-pool1] dns-server 192.168.7.252

[Quidway-ip-pool-pool1] vpn-instance vpn2 //将地址池绑定入VPN [Quidway-ip-pool-pool1] quit

[Quidway] aaa

[Quidway-aaa] domain isp1

[Quidway-aaa-domain-isp1] authentication-scheme auth1 [Quidway-aaa-domain-isp1] accounting-scheme acct1 [Quidway-aaa-domain-isp1] radius-server group rd1 [Quidway-aaa-domain-isp1] ip-pool pool1

[Quidway-aaa-domain-isp1] vpn-instance vpn2 //将域绑定入VPN [Quidway-aaa-domain-isp1] quit [Quidway-aaa]quit

interface XXXX

user-vlan XXX XXX qinq XX bas access-type layer2-subscriber

vpn-instance XXX //将相关BAS接口绑入VPN authentication-method bind

static-user X.X.X.X X.X.X.X vpn-instance XXXX interface XXX vlan XXX qinq XXX detect domain-name XXX //静态用户配置

2、Juniper设备

三层mpls VPN配置示例 Ip route 0.0.0.0 0.0.0.0.0 61.157.77.144 router ospf 100 network 61.157.77.144 0.0.0.3 area 0.0.0.1 address 222.211.185.1 area 0.0.0.1 router bgp xxx no synchronization no auto-summary neighbor internal peer-group / neighbor external peer-group neighbor internal remote-as xxx / neighbor external remote-as xxx

`

neighbor x.x.x.x peer-group internal / external network 218.88.144.0 mask 255.255.254.0 Interface loopback 0 Ip address 222.211.185.1 255.255.255.255 mpls mpls topology-driven-lsp mpls ldp advertise-labels for PE access-list PE permit ip host 222.211.185.1 any ip as-path access-list 1 permit exit mpls ldp targeted-hello interval 5 mpls ldp targeted-hello holdtime 15 mpls ldp session keepalive interval 10 mpls ldp session holdtime 30 mpls ldp profile default MBGP配置

router bgp xxx

no synchronization no auto-summary timers bgp 30 90 maximum-paths 2

neighbor internal peer-group neighbor internal remote-as xxx neighbor internal send-community

neighbor internal route-map \ neighbor x.x.x.x peer-group internal

neighbor x.x.x.x update-source loopback 0 neighbor x.x.x.x remote-as xxx log here

bgp router-id x.x.x.x

neighbor 1.1.1.1 advertisement-interval 5

//以下作为选配内容

neighbor internal route-map \route-map \match ip address 10 set local-preference 100 set community 65182:65182

neighbor external route-map \route-map \match ip address 10 set local-preference 20

set community 4134:651822

`

3、中兴设备

MPLS: 1：

全局配置模式下：

mpls ip //全局启用mpls

mpls ldp router-id loopback1 //配置mpls的建链接口，前提是需要首先创建loopback1接口 接口模式下

mpls ip //接口下启用mpls

以上配置是必配项，两个loopback1（建链接口）地址需要用路由打通，这样mpls邻居可以建立起来。需要注意的是两个loopback1的地址不能相同，否则邻居无法建立。 2：

全局配置模式下

mpls ldp access-fec host-route-only / for acl. // host-route-only只对32位地址路由分配标签，for acl.可以用acl对标签分发做控制。 3：

缺省情况下，标签分配控制方式为有序方式ordered；标签保持方式为自由方式liberal；标签发布方式为下游自主方式DU。 4：

缺省情况下，Hello时间间隔定时器设定为5秒；Hello保持定时器设定为15秒； 全局配置模式下

mpls ldp holdtime 30 //LDP会话Keepalive保持定时器设定

第三章 安全加固配置

第1节 数据层面安全加固

1.1 关闭IP选项

■ 配置内容： 关闭IP选项； ■ 规范要求：

IP数据平面中的 IP选项功能一般在特定的情形中需要应用，但对于大多数常见的IP通信则不是必须的。由于IP选项导致IP数据包的可变长度和复杂处理的需要，具有IP选项的数据包会通过数据平面转发的慢速路径进行处理，在城域网网络中，不需要也没有必要对 IP

`

选项进行处理，因此，应该禁用 IP选项技术。 ■ 配置示例： 1、华为设备 缺省关闭。 2、Juniper设备 缺省关闭。 3、中兴设备

中兴BRAS涉及IP选项的有两个，一是IGMP，该选项无法关闭；二是RSVP，该功能能够通过以下方式关闭。 ZXR10(config)#no ip source-route 1.2 关闭IP 直接广播

■ 配置内容： 关闭IP直接广播； ■ 规范要求：

IP直接广播是其目的地址是一个 IP子网（或网络）的一个有效广播地址的数据包，该子网（或网络）是来自源地址的一个或多个路由器。IP 直接广播运行 IP 广播进行远程传输，这就为 DoS 攻击提供了一定的条件，在城域网网络中，应该禁止IP直接广播。 ■ 配置示例： 1、华为设备 缺省关闭。

2、Juniper设备 缺省关闭。

3、中兴设备 缺省关闭。 1.3 典型垃圾流量过滤

■ 配置内容：

1、配置病毒木马端口过滤； 2、配置URPF； ■ 规范要求： 1、通过使用接口ACL技术，可以有效的阻止一些有害的流量进入CHINANET，也阻止CHINANET有害流量进入城域网。

2、需要阻止的流量主要有以下几类：

1）.常见及危害程度较大的病毒、木马端口。

`

2）.伪造源地址数据流。 3、具体过滤的端口如下：

Udp： 1433~1434、1027、1028、135~139、 445、9995、9996、3333、4444、5554； Tcp： 901、2745、3127、3128、 6129、 6667、593、135、137~139、 9996、 1068、

5800、5900、 8998、3333；

■ 配置示例： 1、华为设备

一、病毒木马端口过滤 acl number 3000

description ANTI-VIRUS

rule 1 permit tcp destination-port eq 4444 rule 2 permit tcp destination-port eq 5554 rule 3 permit tcp destination-port eq 901 rule 4 permit tcp destination-port eq 2745 rule 5 permit tcp destination-port eq 3127 rule 6 permit tcp destination-port eq 3128 rule 7 permit tcp destination-port eq 6129 rule 8 permit tcp destination-port eq 6667 rule 9 permit tcp destination-port eq 593 rule 10 permit tcp destination-port eq 135 rule 11 permit tcp destination-port eq 137 rule 12 permit tcp destination-port eq 138 rule 13 permit tcp destination-port eq 139 rule 14 permit tcp destination-port eq 9996 rule 15 permit tcp destination-port eq 1068 rule 16 permit tcp destination-port eq 5800 rule 17 permit tcp destination-port eq 5900 rule 18 permit tcp destination-port eq 8998 rule 19 permit tcp destination-port eq 3333 rule 20 permit udp destination-port eq 1433 rule 21 permit udp destination-port eq 1434 rule 22 permit udp destination-port eq 1027 rule 23 permit udp destination-port eq 1028 rule 24 permit udp destination-port eq 135 rule 25 permit udp destination-port eq 136 rule 26 permit udp destination-port eq 137 rule 27 permit udp destination-port eq 138 rule 28 permit udp destination-port eq 139 rule 29 permit udp destination-port eq 445 rule 30 permit udp destination-port eq 9995 rule 31 permit udp destination-port eq 9996 rule 32 permit udp destination-port eq 3333

`

acl number 3001 rule permit ip

traffic classifier bingdu //配置流模板

if-match ACL 3000

traffic classifier any //配置流模板

if-match ACL 3001

traffic behavior bingdu //配置动作模板 deny

traffic behavior permit

permit

traffic policy bingdu //配置策略模板，流与动作相关联

classifier bingdu behavior bingdu

classifier any behavior permit

interface GigabitEthernet1/0/0

description Link-to-MZNE5000E-GE6/0/6

traffic-policy bingdu outbound //在相关的接口下应用

`

二、URPF

1） 二层接口：

[Quidway] traffic classifier URPF

[Quidway-classifier-URPF] if-match any [Quidway-classifier-URPF] quit [Quidway] traffic behavior URPF

[Quidway-behavior-URPF] ip urpf loose [Quidway-behavior-URPF] quit [Quidway] traffic policy URPF

[Quidway-trafficpolicy-URPF] classifier URPF behavior URPF [Quidway-trafficpolicy-URPF] quit

[Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet1/0/0]traffic-policy URPF inbound 2） 三层接口 Interface X/X/X

ip urpf loose

2、Juniper设备

一、病毒木马端口过滤

ip classifier-list isVirus tcp any any eq 139 ip classifier-list isVirus udp any any eq 139 ip classifier-list isVirus tcp any any eq 445 ip classifier-list isVirus udp any any eq 445 ip classifier-list isVirus tcp any any eq 3127 ip classifier-list isVirus tcp any any eq 1025 ip classifier-list isVirus tcp any any eq 5554 ip classifier-list isVirus tcp any any eq 9996 ip classifier-list isVirus tcp any any eq 1068 ip classifier-list isVirus tcp any any eq 135 ip classifier-list isVirus tcp any any eq 137 ip classifier-list isVirus tcp any any eq 138 ip classifier-list isVirus tcp any any eq 593 ip classifier-list isVirus tcp any any eq 4444 ip classifier-list isVirus tcp any any eq 5800 ip classifier-list isVirus tcp any any eq 5900 ip classifier-list isVirus tcp any any eq 8998 ip classifier-list isVirus udp any any eq 135 ip classifier-list isVirus udp any any eq 1434

二、URPF

`

针对pppoe拨号用户: profile pppoe ip unnumbered loopback 0 ip sa-vaildate //在pppoe用户使用的profile中加入该命令 ppp authentication pap 针对静态用户： conf t int g X/X/X ip sa-vaildate //针对静态专线用户在端口配置下加入该命令 3、中兴设备

acl extended number 101

rule 1 deny tcp any any eq 135 rule 2 deny tcp any any eq 136 rule 3 deny tcp any any eq 137 rule 4 deny tcp any any eq 138 rule 5 deny tcp any any eq 139 rule 6 deny tcp any any eq 445 rule 7 deny tcp any any eq 593 rule 8 deny tcp any any eq 1433 rule 9 deny tcp any any eq 1434 rule 10 deny tcp any any eq 3333 rule 11 deny tcp any any eq 4444 rule 12 deny tcp any any eq 5554 rule 13 deny udp any any eq 135 rule 14 deny udp any any eq 136 rule 15 deny udp any any eq 137 rule 16 deny udp any any eq 138 rule 17 deny udp any any eq 139 rule 18 deny udp any any eq 445 rule 19 deny udp any any eq 593 rule 20 deny udp any any eq 1433 rule 21 deny udp any any eq 1434 rule 22 deny udp any any eq 3333 rule 23 deny udp any any eq 4444 rule 24 deny udp any any eq 5554 rule 25 permit ip any any

Urpf：

中兴BRAS默认开启。

`

第2节 控制层面安全加固

2.1 IGP 安全防护

■ 配置内容：

网络规划和IGP配置。 ■ 规范要求：

原则上城域网设备不与骨干网设备建立IGP 邻居关系。 ■ 配置示例： 参照OSPF章节。 2.2 关闭控制平面未使用的服务

■ 配置内容：

关闭控制平面未使用的服务。 ■ 规范要求：

按照网络安全的基本要求，在网络中的每个设备上需要禁用未使用的设备和协议，因此在城域网网络设备上，需要禁止以下不使用的协议：

1）代理ARP（no ip proxy-arp） 例外的情况：

-------软交换业务上AG必须开启proxy-arp。

-------SR上如启用Super-vlan，且子网内用户需互通，必须开启proxy-arp。 2）源路由（no ip source-route） ■ 配置示例： 1、华为设备 代理ARP和IP源路由缺省关闭。 以下是NE80E在使用SUPER－VLAN的时候需要开始ARP代理的脚本： interface vlanif xx arp-proxy enable arp-proxy inner-sub-vlan-proxy enable arp-proxy inter-sub-vlan-proxy enable 2、Juniper设备 pppoe 拨号端口上proxy-arp默认关闭，仅在软交换端口上使用命令ip proxy-arp 打开。

3、中兴设备 中兴BRAS默认关闭proxy-arp，如要开启ip源路由，使用以下命令， ZXR10(config)#ip source-route `

2.3 控制引擎防护

■ 配置内容：

配置控制引擎防护。 ■ 规范要求：

实现设备基础结构的安全性，并通过和接口ACL 结合使用，增加设备本身的安全性。 ■ 配置示例： 1、华为设备 缺省开启。

2、Juniper设备 缺省开启。 3、中兴设备 无需部署 第3节 管理层面安全加固

3.1 禁用未使用的管理平面服务

■ 配置内容：

关闭不使用的管理平面服务。 ■ 规范要求：

对于城域网网络设备不经常或不使用的管理平面服务，需要在设备上强制进行关闭，视实际应用情况，关闭网络设备不必要的服务（FTP、TFTP、TCP UDP SMALL 、Finger 、HTTP、BOOTP 、echo、chargen、cdp、DNS查询、ip rediect、ip direct-broadcast等服务功能）。 ■ 配置示例： 1、华为设备 缺省关闭。 2、Juniper设备 conf t no ftp-server //其他类型服务不支持 int g X/X/X no ip proxy-arp no ip rediect ip direct -broadcast 3、中兴设备

`

中兴BRAS默认关闭ftp、bootp、proxy-arp，其余无此应用，故默认都是关闭。

本文来源：https://www.bwwdw.com/article/5mlw.html