【正文】 e simple命令用來配置RIP2明文認證字。若設(shè)置了MD5密文驗證的關(guān)鍵字，而沒有指定MD5密文驗證的報文類型，則使用非標準兼容格式，keyid值為1。id：MD5密文驗證標識符，取值范圍為1~255。md5：MD5密文驗證方式?！九渲脤嵗?RIP的認證rip authenticationmode命令rip authenticationmode simple passwordrip authenticationmode md5 keystring stringrip authenticationmode md5 keyid idrip authenticationmode md5 type [ nonstandard | usual ]undo rip authenticationmode【視圖】接口視圖【參數(shù)】simple：明文驗證方式。由于采用明文驗證的時候，會在網(wǎng)絡(luò)上傳播驗證密碼，并不安全，所以建議使用MD5算法，對于密鑰的設(shè)置要求足夠的強壯。 路由協(xié)議采用加密認證現(xiàn)網(wǎng)上已經(jīng)發(fā)現(xiàn)有對BGP的攻擊，導(dǎo)致BGP鏈路異常斷鏈。系統(tǒng)日志可以向Telnet終端和啞終端（monitor）、日志主機（loghost）輸出，但需要配置。系統(tǒng)日志建議一直打開，以便于網(wǎng)絡(luò)異常的時候，查找相關(guān)的記錄。 關(guān)閉不使用的物理端口為了防止誤接設(shè)備而引起網(wǎng)絡(luò)的異常，建議對于不使用的物理端口在配置上將其關(guān)閉，防止誤接。并且在配置munity時，將RO和RW的munity分開，不要配置成相同的名字。建議使用視圖來限制用戶的訪問權(quán)限。在SNMP服務(wù)中，提供了ACL過濾機制，該機制適用于SNMPv1/v2/v3三個版本，建議通過訪問控制列表來限制SNMP的客戶端。在配置SNMPv3時，最好既鑒別又加密，以更有效地加強安全。 在使用SNMP協(xié)議時候的安全建議在不使用網(wǎng)管的時候，建議關(guān)閉SNMP協(xié)議。1禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件。禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask－Replies。明確的禁止IP Directed Broadcast。禁止BOOTp服務(wù)。建議禁止HTTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機制。禁止其他的TCP、UDP Small服務(wù)。S 6506定義防病毒訪問控制列表：acl name anti_worm advanced rule 10 deny tcp destinationport eq 445 rule 20 deny tcp destinationport eq 5554 rule 30 deny tcp destinationport eq 9995 //振蕩波病毒D變種 rule 40 deny tcp destinationport eq 9996 //振蕩波病毒將以上規(guī)則以notcareforinterface方式在單板上全局下發(fā) 關(guān)閉危險的服務(wù)如果在不使用以下服務(wù)的時候，建議將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對設(shè)備的影響。一方面保證了設(shè)備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護了網(wǎng)絡(luò)中的主機設(shè)備。對于這些常見的病毒，我們都知道它們的工作方式，知道他們所使用的端口號。[Quidway–aaa]accountingscheme radius[Quidway–aaaaccounting]accountingmode radius 配置huawei域，在域下采用radius認證方案、radius計費方案、shiva的radius模板。[Quidway]aaa 配置認證方案，認證方法為radius。[Quidwayradiusshiva] radiusserver authentication 1812 secondary[Quidwayradiusshiva] radiusserver accounting 1813 secondary 配置Radius服務(wù)器密鑰、重傳次數(shù)。[Quidway] radiusserver template shiva 配置Radius 主認證、計費服務(wù)器和端口。RADIUS認證的設(shè)置RADIUS（Remote access DialIn user service）可以提供遠程用戶的認證機制，為遠程登錄用戶提供統(tǒng)一的認證手段。避免配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。而要采用enable secret命令設(shè)置。最好的密碼處理方法是將其保存在TACACS+或RADIUS認證服務(wù)器上。華為以太網(wǎng)交換機提供強大的遠程登錄安全管理能力，包括：禁止遠程用戶登錄、啟用安全的遠程登錄，設(shè)置連接超時時間、設(shè)置登錄嘗試次數(shù)限制、設(shè)置并發(fā)用戶數(shù)目，設(shè)置根據(jù)源地址的登錄用戶過濾機制。.LOGIN : Hello! Wele use Quidway LAN Switch！If you are not authorited user, please exit!%對CON和AUX端口的安全要求針對Console口和Aux口的安全控制要求，可以為Console口配置增強的登錄口令認證特性，還可以禁用不需要的Aux口使得不能通過Aux端口對設(shè)備進行訪問。[Quidway] header login %Enter TEXT message. End with the character 39。設(shè)置設(shè)備標題文本Header的設(shè)置要求對遠程登錄的Header的設(shè)置要求必須包含非授權(quán)用戶禁止登錄的字樣。對于安全級別比較高的設(shè)備，建議采用AAA方式到RADIUS去認證。對于安全級別一般的設(shè)備，建議認證方式采用本地認證，認證的時候要求對用戶名和密碼都進行認證，配置密碼的時候要采用密文方式。[Quidwayuiconsole0] user privilege level 3[Quidwayuivty0] user privilege level 2 對任何方式的用戶登錄都進行認證建議對于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進行認證。【配置實例】CON口對應(yīng)的優(yōu)先級缺省為3，其它用戶界面的優(yōu)先級缺省為0。管理級：關(guān)系到系統(tǒng)基本運行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。監(jiān)控級：用于系統(tǒng)維護、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。第3章 華為路由器交換機數(shù)據(jù)安全配置 分級設(shè)置用戶口令華為公司的數(shù)據(jù)設(shè)備的登錄口令分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。 定期檢查設(shè)備的風(fēng)扇是否運行正常設(shè)備的風(fēng)扇如果運行不正常，會導(dǎo)致設(shè)備內(nèi)的溫度快速上升，它會使路由器的可靠性大大降低，長期高溫還會影響其壽命，過高的溫度將加速絕緣材料的老化過程，導(dǎo)致設(shè)備器件損壞，建議每天注意觀察設(shè)備風(fēng)扇是否產(chǎn)生告警，同時可以使用相關(guān)命令來查詢風(fēng)扇是否在位。建議定期（每半年或一年一次）檢查接地線是否完好，接地電阻是否正常，接地的標準見各個產(chǎn)品的接地要求，在檢查時，對于設(shè)備的接地，機柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進行全面的檢查。 定期檢查設(shè)備的接地電阻是否正常良好的接地系統(tǒng)是路由器穩(wěn)定可靠運行的基礎(chǔ)，是路由器防雷擊、抗干擾和防靜電的重要保障。我們要求機房的溫濕度情況達到以下標準：溫度 相對濕度長期工作條件 短期工作條件 長期工作條件 短期工作條件15℃～30℃ 0℃～45℃ 40%～65% 10%～90%注意：l 路由器機房內(nèi)工作環(huán)境溫度、濕度的測量點，指在路由器機架前后沒有保護板時測量，；l 短期工作條件指連續(xù)不超過48小時和每年累計不超過15天； 定期檢查機房電源輸入是否完好電源的穩(wěn)定對于設(shè)備穩(wěn)定運行至關(guān)重要，電壓的波動過大，使設(shè)備的部分器件經(jīng)常工作在高電壓或低電壓，導(dǎo)致設(shè)備的壽命下降，器件工作不穩(wěn)定，對于設(shè)備的運行造成較大的影響，建議定期（建議半年或一年一次）檢查機房的電源輸入是否正常，電壓的波動是否在正常范圍內(nèi)，電壓的波動范圍見各個產(chǎn)品的輸入電壓，如果發(fā)現(xiàn)不在正常范圍內(nèi)，及時對電源進行整改。影響設(shè)備的穩(wěn)定運行。第2章 華為路由器交換機物理安全管理 定期檢查機房的溫度和濕度數(shù)據(jù)通信設(shè)備的長期穩(wěn)定運行是需要一個良好的環(huán)境，為保證路由器正常工作和延長使用壽命，機房內(nèi)需維持一定的溫度和濕度。u 支持包過濾防火墻及動態(tài)防火墻ASPF，支持用戶的認證和路由協(xié)議的驗證， 支持標準協(xié)議的IPSEC和IKE，支持ISPKeeper DOS防御系統(tǒng)。u 采用分布式體系結(jié)構(gòu)，主控板冗余設(shè)計，主備倒換實現(xiàn)零丟包率；2+1或1＋1電源熱備份；接口備份、端口捆綁實現(xiàn)了鏈路的高可靠性。Quidway174。u 提供高品質(zhì)、安全和多層次的MPLS VPN解決方案，支持MPLS TE，可以作為高性價比MPLS PE設(shè)備使用。 NetEngine 20 系列高端多業(yè)務(wù)路由器面向運營商、行業(yè)網(wǎng)及企業(yè)網(wǎng)的高性能的第五代多業(yè)務(wù)路由器；采用NP硬件技術(shù)實現(xiàn)，具有卓越的轉(zhuǎn)發(fā)性能；包括NE20NE20NE202三款產(chǎn)品。u 擁有從64k到10G速率接口，支持RPR環(huán)網(wǎng)技術(shù)，提供豐富的協(xié)議功能，能夠應(yīng)對各種復(fù)雜組網(wǎng)，滿足IP城域網(wǎng)、骨干網(wǎng)、運營支撐網(wǎng)的組網(wǎng)需求。 NetEngine 40 系列通用交換路由器 充分繼承了NE80核心路由器的設(shè)計理念和關(guān)鍵技術(shù)，面向大型企業(yè)網(wǎng)、行業(yè)網(wǎng)、IP城域網(wǎng)和IP骨干網(wǎng)的高端網(wǎng)絡(luò)產(chǎn)品，包括NE40－NE40－4和NE40－2三款型號。路由能力強大，支持高達170萬條的大路由表，支持豐富的路由協(xié)議包括RIP、OSPF、ISIS、BGP4和多播路由協(xié)議。u 基于分布式硬件處理，具備高性能的網(wǎng)絡(luò)業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。u 高品質(zhì)QoS能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。 NetEngine 80核心路由器主要應(yīng)用在IP骨干網(wǎng)、IP城域網(wǎng)骨干層以及各種大型IP網(wǎng)絡(luò)的核心位置。當主用主控板發(fā)生故障時，可以切換到備用的主控板，不會發(fā)生包丟失，也不會影響對端路由器。u 關(guān)鍵硬件組件都提供全面冗余，所有組件具備熱插拔功能。u 全面支持MPLS，可以支持L3 MPLS VPN、L2 MPLS VPN、CCC各種業(yè)務(wù)，勝任高性能P應(yīng)用；支持大容量組播線速轉(zhuǎn)發(fā)，能夠與MPLS VPN、QoS等各種特性配合應(yīng)用。中低端路由器：產(chǎn)品型號特性Quidway174。u 支持包過濾防火墻及動態(tài)防火墻ASPF，支持用戶的認證和路由協(xié)議的驗證， 支持標準協(xié)議的IPSEC和IKE，支持ISPKeeper DOS防御系統(tǒng)。u 采用分布式體系結(jié)構(gòu)，主控板冗余設(shè)計，主備倒換實現(xiàn)零丟包率；2+1或1＋1電源熱備份；接口備份、端口捆綁實現(xiàn)了鏈路的高可靠性。Quidway174。u 提供高品質(zhì)、安全和多層次的MPLS VPN解決方案，支持MPLS TE，可以作為高性價比MPLS PE設(shè)備使用。 NetEngine 20 系列高端多業(yè)務(wù)路由器面向運營商、行業(yè)網(wǎng)及企業(yè)網(wǎng)的高性能的第五代多業(yè)務(wù)路由器；采用NP硬件技術(shù)實現(xiàn)，具有卓越的轉(zhuǎn)發(fā)性能；包括NE20NE20NE202三款產(chǎn)品。u 擁有從64k到10G速率接口，支持RPR環(huán)網(wǎng)技術(shù)，提供豐富的協(xié)議功能，能夠應(yīng)對各種復(fù)雜組網(wǎng)，滿足IP城域網(wǎng)、骨干網(wǎng)、運營支撐網(wǎng)的組網(wǎng)需求。 NetEngine 40 系列通用交換路由器 充分繼承了NE80核心路由器的設(shè)計理念和關(guān)鍵技術(shù)，面向大型企業(yè)網(wǎng)、行業(yè)網(wǎng)、IP城域網(wǎng)和IP骨干網(wǎng)的高端網(wǎng)絡(luò)產(chǎn)品，包括NE40－NE40－4和NE40－2三款型號。路由能力強大，支持高達170萬條的大路由表，支持豐富的路由協(xié)議包括RIP、OSPF、ISIS、BGP4和多播路由協(xié)議。u 基于分布式硬件處理，具備高性能的網(wǎng)絡(luò)業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。u 高品質(zhì)QoS能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。 NetEngine 80核心路由器主要應(yīng)用在IP骨干網(wǎng)、IP城域網(wǎng)骨干層以及各種大型IP網(wǎng)絡(luò)的核心位置。當主用主控板發(fā)生故障時，可以切換到備用的主控板，不會發(fā)生包丟失，也不會影響對端路由器。u 關(guān)鍵硬件組件都提供全面冗余，所有組件具備熱插拔功能。u 全面支持MPLS，可以支持L3 MPLS VPN、L2 MPLS VPN、CCC各種業(yè)務(wù)，勝任高性能P應(yīng)用；支持大容量組播線速轉(zhuǎn)發(fā)，能夠與MPLS VPN、QoS等各種特性配合應(yīng)用。華為的路由器主要有以下幾個系列：高端路由器產(chǎn)品型號特性Quidway174。由多個互連的LAN組成的公司或企業(yè)網(wǎng)絡(luò)一側(cè)和外界廣域網(wǎng)相連接的路由器，就是這個企業(yè)網(wǎng)絡(luò)的邊界路由器。中間節(jié)點路由器在網(wǎng)絡(luò)中傳輸時，提供報文的存儲和轉(zhuǎn)發(fā)。在廣域網(wǎng)范圍內(nèi)的路由器按其轉(zhuǎn)發(fā)報文的性能可以分為兩種類型，即中間節(jié)點路由器和邊界路由器。例如，把網(wǎng)絡(luò)地址部分的分配指定成網(wǎng)絡(luò)、子網(wǎng)和區(qū)域的一組節(jié)點，其余的用來指明子網(wǎng)中的特別站。（5）路由器的主要任務(wù)是把通信引導(dǎo)到目的地網(wǎng)絡(luò)，然后到達特定的節(jié)點站地址。 （3）路由器在轉(zhuǎn)發(fā)報文的過程中，為了便于在網(wǎng)絡(luò)間傳送報文，按照預(yù)定的規(guī)則把大的數(shù)據(jù)包分解成適當大小的數(shù)據(jù)包，到達目的地后再把分解