【正文】 ress 0 //允許訪問DNS servertraffic classifier wlan_permit operator or ifmatch acl 6103traffic classifier redirect operator or ifmatch acl 6101traffic classifier wlan_deny operator or ifmatch acl 6102traffic behavior wlan_permittraffic behavior redirect redirecttraffic behavior wlan_deny denytraffic policy limit sharemode classifier iptv behavior iptv classifier help behavior help classifier dial behavior dial classifier wlan_permit behavior wlan_permit classifier redirect behavior redirect classifier wlan_deny behavior wlan_denyaaa redirect enable這里配置ACL規(guī)則的主要目的是限制用戶在認證前域獲取了地址之后的上網(wǎng)權限。 認證前為不認證不計費方式，認證后為RADIUS認證，RADIUS計費。OPE表示W(wǎng)LAN所屬的運營商，由2位數(shù)字組成。【規(guī)范要求】：參照《》，要求各省BRAS上報給各省AAA平臺的Radius協(xié)議中，對于NASIdentifier字段要做正確填充，NASIdentifier包含ACN、CTY、PRO、OPE、NAT。【規(guī)范要求】： 用戶地址建議配置多個戶共用地址段Se800 interface配置為multibind方式，并配置securedarp 7750配置為subscriberinterface，并配置antispoof URPF用戶接口必須配置URPF 終結用戶vlan建議專線業(yè)務終結在單獨的中繼上 用戶限速使用qos限速模板對用戶限速【配置示例】:華為BAS配置：Quidway systemview配置2m限速模板qosprofile 2mcar cir 2000 cbs 375000 pbs 375000 green pass yellow pass red discard inboundcar cir 2000 cbs 375000 pbs 375000 green pass yellow pass red discard outbound配置2m用戶域[Quidway]aaa[Quidwayaaa]domain line2mauthenticationscheme noneaccountingscheme none qosprofile 2m inbound qosprofile 2m outbound qos ratelimitmode car inbound qos ratelimitmode car outbound[ME60B] interface ETHtrunk1在接口上使能URPF 功能，要求URPF 做松散檢查。Quidway systemview[Quidway] aaa[Quidwayaaa] authenticationscheme auth1[Quidwayaaaauthenauth1] authenticationmode radius[Quidwayaaaauthenauth1] quit配置計費方案。【規(guī)范要求】： DNS服務器必須配置主備DNS服務器。 接口關閉服務除業(yè)務需要時，在接口模式下需關閉proxyarp、ip直連廣播和ip 重定向等功能。 端口應用URPF在所有下聯(lián)口采取源地址校驗，上聯(lián)口不配置源地址校驗，源地址校驗方式采取寬松模式。[ME60A] interface gigabitethernet 2/0/0[ME60AGigabitethernet2/0/0] ospf bfd enable[ME60AGigabitethernet 2/0/0] ospf bfd minrxinterval 100 mintxinterval 100 detectmultiplier 5[ME60AGigabitethernet 2/0/0] quit配置BFD for BGP 特性。[ME60A] bfd[ME60Abfd] quit[ME60A] bfd atob bind peerip interface gigabitEthernet 1/0/0[ME60Abfdsessionatob] discriminator local 1[ME60Abfdsessionatob] discriminator remote 2[ME60Abfdsessionatob]mintxinterval 100[ME60Abfdsessionatob]minrxinterval 100[ME60Abfdsessionatob] mit[ME60Abfdsessionatob] quit 在ME60B 上使能BFD，并配置與ME60A 之間的BFD Session?！九渲檬纠? 配置ME60A 的接口IP 地址。 通過配置控制（如ACL），僅為需要的路由（如：主機路由）分配MPLS標簽。 禁止配置BGP DAMPING。【配置示例】:Quidway systemview[Quidway]ospf 1 routerid loopback0 silentinterface LoopBack0 area 本地號 network [Quidway] interface GigabitEthernet 1/0/0ospf cost 100 ospf networktype p2p BGP配置【配置描述】：BGP是一種在自治系統(tǒng)之間動態(tài)交換路由信息的路由協(xié)議，如果網(wǎng)絡規(guī)劃需要，參照以下要求。 將同一條鏈路上互聯(lián)的OSPF接口的Cost值配置為相同的值。 建議增加NETWORK宣告相應網(wǎng)段的描述。 在網(wǎng)絡中，設備的Router ID必須是唯一的。 當存在多個Area時，必須配置骨干區(qū)域（Area 0），以保證網(wǎng)絡部署的合理性。 根據(jù)實際情況設置靜態(tài)路由和黑洞路由的DISTANCE值，建議使用默認值。允許的省公司管理地址如下（以cisco設備配置為例）：accesslist 7 permit accesslist 7 permit accesslist 7 permit 允許的市公司管理地址如下：市公司的網(wǎng)管地址、設備上聯(lián)中繼地址。 時間設置log信息采用北京時間來顯示； 日志主機設置log信息需集中保存到 log server上，可以配置多個 log server； Syslog觸發(fā)級別設置根據(jù)不同設備實際情況調整，需包含如下信息：（端口UP DOWN 、BGP\OSPF\MPLS 鄰居updown、設備重啟、板卡狀態(tài)改變）【配置示例】:開啟信息中心。 空閑時間設置對VTY、CONSOLE、AUX登陸超時設置進行配置，設置空閑時間為10分鐘。讀、寫屬性要求采用非缺省團體名字符串并滿足一定的強度要求（建議采用字母、數(shù)字和特殊字符的組合，長度不少于6位）； SNMP訪問 采取SNMP訪問的限制措施，僅允許授權網(wǎng)段訪問路由器的SNMP 服務； SNMP TRAP開啟SNMP TRAP，TRAP信息傳送網(wǎng)管服務器。配置認證策略為先本地后Tacacs。范圍從001999。 HUAWEI8850252。 例一：中原路機房縮寫為：ZYL252。n 所轄區(qū)/縣名、節(jié)點及機房描述：≤10個字母。 城域網(wǎng)匯聚層：MC252。252。n 網(wǎng)絡層次描述：2個字母。 城域網(wǎng)業(yè)務控制層（BRAS和SR設備）：MS252。地市名稱縮寫為：鄭州（ZZ），洛陽（LY）、南陽（NY）、安陽（AY）、焦作（JZ）、新鄉(xiāng)（XX）、三門峽（SMX）、濟源（JY）、開封（KF），商丘（SQ）、駐馬店（ZMD）、漯和（LH）、鶴璧（HB）、平頂山（PDS）、信陽（XY）、周口（ZK）、濮陽（PY）、許昌（XC）。252。 CISCO12416252。用來標識同一個節(jié)點的機同型號設備的序號。 Banner配置【配置描述】:設備Banner配置【規(guī)范要求】： 所有設備配置統(tǒng)一的Banner信息，登陸時提示：WARNING!!! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user! 【配置示例】:header login information WARNING!!! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!2．網(wǎng)管配置 登陸AAA【配置描述】:配置管理用戶登錄AAA認證【規(guī)范要求】： 配置登陸AAA的tacacs+協(xié)議 AAA Server采用tacacs協(xié)議，用戶登錄認證采用集中認證方式?！九渲檬纠? [ Quidway ]localaaaserveruser 本地賬號 password cipher 本地密碼authenticationtype T level 3 T 表示telnet SNMP【配置描述】:配置SNMP參數(shù)【規(guī)范要求】： snmp讀/寫共同體不能采用默認的public和private，并且Snmp字符串除特殊情況不可以設置為寫屬性。 用戶密碼配置密碼采用系統(tǒng)全局配置的USERNAME和PASSWORD，密碼字符串要求應由字母、數(shù)字和特殊字符等組成，且不能低于6位。設備必須配置日志功能，記錄所有中高風險（minor、marjor）的事件，其中必須記錄用戶登錄事件，并對高風險的事件產(chǎn)生告警。[Quidway] infocenter loghost source LoopBack0配置日志信息輸出到指定的日志主機[Quidway] infocenter loghost facility local3 localtime TELNET【配置描述】:配置TELNET遠程登錄參數(shù)【規(guī)范要求】： TELNET登陸限制根據(jù)實際情況只允許授權網(wǎng)段對設備VTY遠程訪問。 loopback【配置描述】: 配置Loopback端口IP地址和子網(wǎng)掩碼【規(guī)范要求】： 端口配置地址要求為32位掩碼 采用統(tǒng)一規(guī)劃的Loopback地址作為RADIUS,snmp,MPBGP等協(xié)議的Update Source【配置示例】:Quidway systemview[Quidway] interface LoopBack0ip address GE/TG【配置描述】 ：配置端口協(xié)商、速率、MTU等【規(guī)范要求】： 端口協(xié)商強制關閉，配置成全雙工，速率1000M，特殊業(yè)務需求時可打開協(xié)商 上聯(lián)中繼端口mtu統(tǒng)一1524，UP 10s DOWN 【配置示例】:Quidway systemview[Quidway] inter GigabitEthernet1/0/0undo negotiation automtu 1524carrier upholdtime 10000carrier downholdtime 2500 端口捆綁【配置描述】 ：鏈路捆綁端口的MTU，負載分擔方式等【規(guī)范要求】： 設置TRK里最小活動鏈路數(shù)，最小值為1(默認為1) TRK中端口的負載分擔方式使用逐流負載分擔(默認為逐流) POS【配置描述】：POS中繼口的CRC校驗位，封裝格式等【規(guī)范要求】：,如果有傳輸要求和傳輸相同 除特殊電路要求，CRC統(tǒng)一32 校驗位(默認為CRC32) scramble，要求使能POS接口的載荷加擾功能(默認為scramble)【配置示例】: Quidway systemview[Quidway] interface pos 1/0/0[Quidway Pos1/0/0] ip a