【正文】 設(shè)置log信息需集中保存到 log server上，可以配置多個(gè) log server； Syslog觸發(fā)級(jí)別設(shè)置根據(jù)不同設(shè)備實(shí)際情況調(diào)整，需包含如下信息：（端口UP DOWN 、BGP\OSPF\MPLS 鄰居updown、設(shè)備重啟、板卡狀態(tài)改變）【配置示例】:開啟信息中心?！九渲檬纠?Quidway systemview 進(jìn)入系統(tǒng)視圖[Quidway]localaaaserveruser 本地賬號(hào) password cipher 本地密碼authenticationtype T level 1 [Quidway] userinterface vty 0 4acl ACL number inboundauthenticationmode aaaidletimeout 10 0 SYSLOG【配置描述】:配置SYSLOG日志參數(shù)【規(guī)范要求】：全省BRAS、SR配置syslog地址為：。 空閑時(shí)間設(shè)置對(duì)VTY、CONSOLE、AUX登陸超時(shí)設(shè)置進(jìn)行配置，設(shè)置空閑時(shí)間為10分鐘。【配置示例】:Quidway systemview 進(jìn)入系統(tǒng)視圖[Quidway] acl number 2000 設(shè)定允許訪問地址段rule 5 permit source rule 10 permit source rule 15 permit source 本地允許地址段[Quidway] snmpagent acl 2000[Quidway]snmpagent munity read 字符串 [Quidway] snmpagent sysinfo version V2C [Quidway]ifindex constant //開啟接口索引 用戶【配置描述】:配置管理用戶【規(guī)范要求】： 用戶授權(quán)配置配置用戶授權(quán)，對(duì)不同用戶授予不同權(quán)限，實(shí)現(xiàn)分級(jí)分權(quán)管理。讀、寫屬性要求采用非缺省團(tuán)體名字符串并滿足一定的強(qiáng)度要求（建議采用字母、數(shù)字和特殊字符的組合，長(zhǎng)度不少于6位）； SNMP訪問 采取SNMP訪問的限制措施，僅允許授權(quán)網(wǎng)段訪問路由器的SNMP 服務(wù)； SNMP TRAP開啟SNMP TRAP，TRAP信息傳送網(wǎng)管服務(wù)器。配置本地認(rèn)證一個(gè)超級(jí)帳號(hào)供應(yīng)急使用。配置認(rèn)證策略為先本地后Tacacs。 sourceinterface使用loopback地址【配置示例】:客戶端：ntpservice sourceinterface LoopBack0ntpservice unicastserver ntpservice access peer acl 2000 文件管理【配置描述】：配置設(shè)備的系統(tǒng)文件和配置文件；【規(guī)范要求】： 設(shè)備的系統(tǒng)文件和配置文件存放路徑及格式應(yīng)符合設(shè)備規(guī)范要求 主備板的系統(tǒng)文件和配置文件保持一致【配置示例】:通過命令查看：Dirdis startup通過startup savedconfigurationStartup systemsoftware設(shè)置。范圍從001999。 SE800n 序號(hào)：3個(gè)數(shù)字。 HUAWEI8850252。252。 例一：中原路機(jī)房縮寫為：ZYL252。對(duì)于同城n個(gè)機(jī)房縮寫相同，則按諧音或近音改變其中n1個(gè)機(jī)房的縮寫，以實(shí)現(xiàn)同城機(jī)房名縮寫的唯一性。n 所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述：≤10個(gè)字母。原則取用其城市名稱前兩個(gè)漢字拼音首字母，個(gè)別城市名長(zhǎng)于兩個(gè)拼音字母的按照實(shí)際情況編寫，但最長(zhǎng)不應(yīng)超過四個(gè)字母。 城域網(wǎng)匯聚層：MC252。 省網(wǎng)接入層（地市核心層）：PA252。252。 內(nèi)部資料 注意保密城域網(wǎng)設(shè)備配置規(guī)范— 華為ME60中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司河南省分公司二零一六年目 錄1. 基本配置 3 設(shè)備名稱 3 系統(tǒng)時(shí)間配置 4 NTP配置 4 文件管理 5 Banner配置 52．網(wǎng)管配置 6 登陸AAA 6 SNMP 7 用戶 8 SYSLOG 8 TELNET 93．端口配置規(guī)范 10 端口命名格式描述 10 loopback 11 GE/TG 11 端口捆綁 12 POS 124. 路由配置 13 靜態(tài)路由配置 13 OSPF配置 13 BGP配置 14 MPLS配置 17 BFD配置 185．安全配置 20 ACL 20 23 引擎防護(hù) 236. 業(yè)務(wù)實(shí)現(xiàn) 23 PPPOE業(yè)務(wù) 23 專線業(yè)務(wù) 25 VPDN業(yè)務(wù) 27 WLAN業(yè)務(wù) 29 MPLS VPN 業(yè)務(wù) 34 VPLS業(yè)務(wù) 35 NAT444業(yè)務(wù) 37 預(yù)欠費(fèi)提醒和欠費(fèi)提醒業(yè)務(wù) 38 HGU業(yè)務(wù) 41 IPTV業(yè)務(wù) 431. 基本配置 設(shè)備名稱【配置描述】: 配置設(shè)備名稱【規(guī)范要求】: 格式：網(wǎng)絡(luò)層次描述市名縮寫所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述設(shè)備型號(hào)序號(hào)字段名稱網(wǎng)絡(luò)層次描述市名縮寫所轄區(qū)/縣名、節(jié)點(diǎn)及機(jī)房描述設(shè)備型號(hào)序號(hào)字段類型英文字符符號(hào)（連接符）英文字符符號(hào)（連接符）英文字符符號(hào)（連接符）字母/數(shù)字序列符號(hào)（連接符）數(shù)字長(zhǎng)度=2=1≤3=1≤10=1≤10=1=3選項(xiàng)必選必選必選必選必選必選必選必選必選說明：n 原則上字母全部大寫，兩端和中間沒有任何空格，采用定長(zhǎng)命名。n 網(wǎng)絡(luò)層次描述：2個(gè)字母。 省網(wǎng)核心層：PB252。 城域網(wǎng)業(yè)務(wù)控制層（BRAS和SR設(shè)備）：MS252。 城域網(wǎng)接入層：MAn 市名縮寫：2至3個(gè)字母。地市名稱縮寫為：鄭州（ZZ），洛陽（LY）、南陽（NY）、安陽（AY）、焦作（JZ）、新鄉(xiāng)（XX）、三門峽（SMX）、濟(jì)源（JY）、開封（KF），商丘（SQ）、駐馬店（ZMD）、漯和（LH）、鶴璧（HB）、平頂山（PDS）、信陽（XY）、周口（ZK）、濮陽（PY）、許昌（XC）。原則取用機(jī)房名稱漢字拼音首字母，個(gè)別機(jī)房名長(zhǎng)于兩個(gè)拼音字母的按照實(shí)際情況編寫，但最長(zhǎng)不應(yīng)超過10個(gè)字母或數(shù)字。252。 例二：新密縣老局機(jī)房縮寫為：XMLJn 設(shè)備型號(hào)：參照廠商設(shè)備命名。 CISCO12416252。 ZTE10600252。用來標(biāo)識(shí)同一個(gè)節(jié)點(diǎn)的機(jī)同型號(hào)設(shè)備的序號(hào)。【配置示例】:[ME60]sysname MSXXYMKME60001 系統(tǒng)時(shí)間配置【配置描述】：配置系統(tǒng)時(shí)區(qū)及系統(tǒng)時(shí)間；【規(guī)范要求】： 系統(tǒng)時(shí)間要求采用標(biāo)準(zhǔn)北京時(shí)間【配置示例】:Quidwayclock datetime HH:MM:SS YYYY/MM/DD配置NTP server 后時(shí)鐘顯示不正確,原配置為：clock timezone GMT minus 08:00:00更正為：clock timezone GMT add 08:00:00 NTP配置【配置描述】：配置NTP服務(wù)器；【規(guī)范要求】： 為了冗余可靠，可以配置2個(gè)ntp服務(wù)器，建議配置密碼認(rèn)證，省內(nèi)城域網(wǎng)BRAS和SR設(shè)備配置NTP服務(wù)器地址：。 Banner配置【配置描述】:設(shè)備Banner配置【規(guī)范要求】： 所有設(shè)備配置統(tǒng)一的Banner信息，登陸時(shí)提示：WARNING!!! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user! 【配置示例】:header login information WARNING!!! Authorised access only, all of your done will be recorded! Disconnect IMMEDIATELY if you are not an authorised user!2．網(wǎng)管配置 登陸AAA【配置描述】:配置管理用戶登錄AAA認(rèn)證【規(guī)范要求】： 配置登陸AAA的tacacs+協(xié)議 AAA Server采用tacacs協(xié)議，用戶登錄認(rèn)證采用集中認(rèn)證方式?！九渲檬纠?hwtacacsserver template hac hwtacacsserver authentication hwtacacsserver authentication secondary hwtacacsserver authorization hwtacacsserver authorization secondary hwtacacsserver accounting hwtacacsserver accounting secondary hwtacacsserver sourceip hwtacacsserver sharedkey EJ*FUhY94hZ*8+!A undo hwtacacsserver username domainincluded[Quidway ]aaaauthenticationscheme hac authenticationmode local hwtacacs authenticationsuper super hwtacacs accountingscheme hac accountingmode hwtacacs accounting startfail online domain default_admin authenticationscheme hac accountingscheme hac adminuserpriority 3 hwtacacsserver hac Tacacs賬號(hào)對(duì)不同用戶授予不同權(quán)限，實(shí)現(xiàn)分級(jí)分權(quán)管理，至少分為二級(jí)分權(quán)管理（查看、配置）。【配置示例】: [ Quidway ]localaaaserveruser 本地賬號(hào) password cipher 本地密碼authenticationtype T level 3 T 表示telnet SNMP【配置描述】:配置SNMP參數(shù)【規(guī)范要求】： snmp讀/寫共同體不能采用默認(rèn)的public和private，并且Snmp字符串除特殊情況不可以設(shè)置為寫屬性。 Snmp的源地址Snmp的源地址必須為loopback地址 SNMP 版本 Snmp版本要求設(shè)置為V2/V2c，如有特殊的需要可進(jìn)行相應(yīng)修改，盡量避免V1版本的出現(xiàn)。 用戶密碼配置密碼采用系統(tǒng)全局配置的USERNAME和PASSWORD，密碼字符串要求應(yīng)由字母、數(shù)字和特殊字符等組成，且不能低于6位。 賬號(hào)管理根據(jù)相關(guān)規(guī)程定期更新用戶名、密碼，刪除無關(guān)賬號(hào)。設(shè)備必須配置日志功能，記錄所有中高風(fēng)險(xiǎn)（minor、marjor）的事件，其中必須記錄用戶登錄事件，并對(duì)高風(fēng)險(xiǎn)的事件產(chǎn)生告警。Quidway systemview[Quidway] infocenter enable配置通道允許輸出日志信息的模塊和嚴(yán)重級(jí)別。[Quidway] infocenter loghost source LoopBack0配置日志信息輸出到指定的日志主機(jī)[Quidway] infocenter loghost facility local3 localtime TELNET【配置描述】:配置TELNET遠(yuǎn)程登錄參數(shù)【規(guī)范要求】： TELNET登陸限制根據(jù)實(shí)際情況只允許授權(quán)網(wǎng)段對(duì)設(shè)備VTY遠(yuǎn)程訪問。登陸限制需要配合ACL使用 【配置示例】:Quidway systemview 進(jìn)入系統(tǒng)視圖[Quidway] acl number 2007rule 0 permit source rule 1 permit source rule 3 permit source rule 4 permit source 本地授權(quán)地址段 [Quidway] userinterface vty 0 4acl 2007 inboundauthenticationmode aaaidletimeout 10 03．端口配置規(guī)范 端口命名格式描述【配置描述】: 所有已使用端口根據(jù)用途均要正確配置端口描述【規(guī)范要求】： 端口命名格式： To_對(duì)端設(shè)備名稱（端口號(hào)）：電路類型：電路條目：電路代號(hào)　To_對(duì)端設(shè)備名稱（）：電路類型：電路條目：電路代號(hào)符號(hào)字符字符字符字符字符字符字符字符字符字符長(zhǎng)度=2=1≤32≤10（括號(hào)內(nèi)為端口號(hào)）=1≤7=1≤3=1≤15選項(xiàng)必選必選必選必選必選必選必選必選必選必選說明：1) 原則上字母全部大寫（除了“To”）,標(biāo)點(diǎn)符號(hào)為英文標(biāo)點(diǎn)2) To的后面為對(duì)端設(shè)備名稱和互聯(lián)端口號(hào)