江西电信城域网出口路由器(CRS-1) 配置规范
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
Cisco 路由器不支持SNTP协议。
3.1.3 Telnet配置
3.1.3.1 连接数限制 配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置出口路由器Telnet最大连接数限制为5个(7750设置为7)。 配置规范:
RP/0/RP0/CPU0:ios(config)# telnet ipv4 server max-servers 4 RP/0/RP0/CPU0:ios(config)# vty-pool default 0 4 RP/0/RP0/CPU0:ios(config)# line default 3.1.3.2 空闲时间 配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY, Console,AUX登录超时设置进行配置,设置空闲时间为30分钟。 配置规范:
中国电信江西分公司 第8页
江西电信城域网出口路由器(CRS-1) 配置规范
RP/0/RP0/CPU0:ios(config)# line default RP/0/RP0/CPU0:ios(config-line)# session-timeout 30 华为设备默认超时时间即为10分钟,配置后也不会显示配置。 3.1.3.3 TELNET访问控制列表 配置说明:
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet源地址限制,包含省公司4段地址(202.109.128.0/24,202.97.32.0/24,220.177.248.0/24,72.163.226.0/24)和最小化的地市网管中心维护IP网段。
配置规范:
ipv4 access-list SecureTelnet 10 permit ipv4 202.109.128.0 0.0.0.255 any 20 permit ipv4 218.65.118.56 0.0.0.7 any 30 permit ipv4 61.180.119.0 0.0.0.31 any 40 permit ipv4 220.177.248.0 0.0.3.255 any 50 permit ipv4 72.163.226.0 0.0.0.255 any 60 permit ipv4 202.97.32.0 0.0.0.255 any telnet ipv4 server max-servers 4 line default exec-timeout 30 0 access-class SecureTelnet commit 3.1.4 AAA配置 3.1.4.1 AAA服务器IP地址和端口号 配置说明:
配置AAA服务器IP地址,Tacacs+协议支持使用MD5算法来加密交互的Tacacs+报文,通信双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。
规范要求:
根据AAA认证服务器的类型指定采用Tacacs+认证;
中国电信江西分公司
第9页
江西电信城域网出口路由器(CRS-1) 配置规范
指定Tacacs+服务器地址为:117.21.127.10,认证密钥为cisco12416。 3.1.4.2 AAA消息数据包源地址 配置说明:
配置AAA消息数据包源地址。 规范要求:
指定出口路由器AAA消息数据包源地址为Loopback0接口地址。 配置规范:
tacacs-server host 202.97.3.82 port 49 key 7 0978571008110E1E39061E2E38273B ! tacacs-server host 59.43.53.13 port 49 key 7 0978571008110E1E39061E2E38273B ! tacacs-server host 117.21.127.10 port 49 key 7 01100F175804575D751D18 ! tacacs-server key 7 122D1C0E031F150818213E2C203631 tacacs source-interface Loopback0 commit 3.1.4.3 认证模式 配置说明:
AAA的认证组件负责提供识别(认证)用户的方法。可能包括登录访问,以及其他类型的访问。使用AAA认证时,定义了一个和更多的认证方法,供路由器在认证一个用户时使用。
规范要求:
配置认证方式为先本地对用户信息进行认证,后通过Tacacs+服务器。 配置注意细节:
不同厂家AAA认证的顺序差异较大,需要注意。 3.1.4.4 授权模式 配置说明:
用户认证成功完成之后,AAA授权用来限制一个用户能执行什么行为或者一
中国电信江西分公司
第10页
江西电信城域网出口路由器(CRS-1) 配置规范
个用户能访问什么服务。
规范要求:
配置由先本地用户授权,后TACACS服务器授权。
对于CRS-1的本地授权,本地最高权限为root-system组,如果需要有其他的授权可以采取分级模式,参考集团的配置如下:
taskgroup priv2 task read bgp task read ipv4 task read isis
task read interface
task write basic-services task execute basic-services description view_only
taskgroup priv10 task write acl task write bgp task write cdp task write cef task write ppp task write qos task write boot task write diag task write ipv4 task write isis task write snmp task write vlan task write admin task write static task write sysmgr task write system task write logging task write monitor task write netflow task write network task write pkg-mgmt task write interface task write inventory task write route-map task write sonet-sdh task write ip-services task write route-policy task write basic-services task execute bgp task execute admin task execute logging task execute pkg-mgmt task execute sonet-sdh inherit taskgroup priv5 !
usergroup priv2
中国电信江西分公司
第11页
江西电信城域网出口路由器(CRS-1) 配置规范
taskgroup priv2 description view_only ! usergroup priv10 taskgroup priv10 description priv15_without_aaa 3.1.4.5 审计模式 配置说明:
AAA审计功能负责对认证和授权行为事件保持记录。AAA的审计功能保持事件的日志记录。审计功能要求有一台外部AAA安全服务器来存储实际的记帐记录。
规范要求:
配置Tacacs+服务器对登陆设备的用户进行审计记录。 3.1.4.6 本地用户帐号 配置说明:
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。 规范要求:
配置本地用户帐号admin,设置最高权限,使用省公司统一指定的密码。 配置注意细节:
保留一个原有地市网管本地帐号,不作修改。
3.1.5 系统高可靠性配置
配置说明:
配置系统引擎冗余模式。 规范要求:
CRS-1路由器,无须专门配置引擎冗余。 查看验证:
show redundancy [summary] 配置注意细节:
中国电信江西分公司
第12页
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库中国电信城域网核心路由器(CRS-1)配置规范V2(3)在线全文阅读。
相关推荐: