IP网络设备配置规范书-BRAS分册（201004修订征求意见）(3)

`

snmp-server enable traps haRedundancy snmp-server enable traps routeTable snmp-server

3、中兴设备

standard acl 1000 //配置ACL访问列表 rule 1 permit 202.103.194.99 0.0.0.0 rule 2 permit 202.103.194.100 0.0.0.0 rule 3 permit 202.103.194.101 0.0.0.0 snmp-server access-list 1000 //配置允许访问的网段范围 snmp-server community public view AllView ro //配置读团体串 snmp-server community private view AllView rw //配置写团体串 snmp-server host 202.103.194.99 trap version 2c private udp-port 162 //设置接收Trap消息的目的地 snmp-server enable trap //开启trap snmp-server enable trap xxx //可以针对具体功能开trap(bgp ospf rmon snmp stalarm vpn) logging trap-enable notifications //配置允许告警信息上送trap 2.3 SYSLOG配置

■ 配置内容：

1、配置 log信息显示的时间； 2、配置 log信息触发的级别； 3、配置 log server； ■ 规范要求：

1、设备必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警；

2、log信息采用北京时间来显示； 3、指定日志主机的IP地址；

4、log信息需集中保存到 log server（202.103.194.99）上，可以配置多个 log server； 5、IP POOL利用率超过85％，应输出告警信息；

6、Syslog触发级别根据不同设备实际情况调整，需包含如下信息：（端口UP DOWN 、BGP\\OSPF\\MPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down）； ■ 配置示例： 1、华为设备 info-center loghost source LoopBack0 info-center timestamp trap date //trap时间为系统时间 info-center loghost 202.103.194.99 //目标主机,可多个 info-center logbuffer size 1024 //设置logbuffer大小 info-center source default channel 2 log level warning //设置warning级别的通过通道2输出 2、Juniper设备

`

service timestamps log datetime show-timezone localtime log fields timestamp instance no-calling-task log destination console severity WARNING log destination nv-file severity CRITICAL log destination nv-file severity emergency log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 6 severity info log destination syslog 202.103.194.99 facility 5 severity notice log destination syslog 202.103.194.99 facility 3 severity error log destination syslog 202.103.194.99 source loopback 0 3、中兴设备 syslog-server host 202.103.194.99 fport 514 lport 514 alarmlog level notifications cmdlog debugmsg //配置log server，最多可配5个 syslog-server facility local0 //默认local0，可以配置 syslog-server host x.x.x.x //配置发送log的host 2.4 登录AAA

■ 配置内容：

配置设备登陆到AAA服务器； ■ 规范要求：

1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器（202.103.194.99）。 2、AAA Server采用tacas协议；

3、对于只支持Radius协议的设备，采用Radius协议进行管理。 4、配置本地认证一个超级帐号供应急使用； ■ 配置示例： 1、华为设备 hwtacacs-server template ht //配置tacacs服务器模板 hwtacacs-server authentication 202.103.194.99 49 //配置认证服务器和端口 hwtacacs-server authentication X.X.X.X XXX secondary hwtacacs-server authorization 202.103.194.99 49 //配置授权服务器和端口 hwtacacs-server authorization X.X.X.X XXX secondary hwtacacs-server accounting 202.103.194.99 49 //配置计费服务器和端口 hwtacacs-server accounting X.X.X.X XXX secondary hwtacacs-server shared-key Nocteam //配置服务器密钥 hwtacacs-server source-ip x.x.x.x //配置上送报文携带的源地址，一般是LOOBAPCK地址

undo hwtacacs-server user-name domain-included //设置上送帐号不携带域名 # `

aaa

authentication-scheme l-h //配置认证模板1-h

authentication-mode local-hwtacacs //配置认证策略为先本地后tacacs

或authentication-mode hwtacacs-local //MA5200G只支持先TACACS后本地 authentication-super hwtacacs super #

authorization-scheme hwtacacs //配置授权方案模板

authorization-mode local hwtacacs if-authenticated //配置授权策略为先本地后tacacs 或 authorization-mode hwtacacs local if-authenticated //MA5200G只支持先TACACS后

本地

#

accounting-scheme hwtacacs //配置计费模板 accounting-mode hwtacacs

accounting realtime 3 //配置计费间格 #

aaa视图下

domain default_admin //配置默认认证域 authentication-scheme l-h //分别使用相应的模板 authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server ht #

super password level 3 cipher );W\本地super帐号

2、Juniper设备 aaa new-model aaa authentication login \ //配置认证方式tacacs+ aaa authorization exec \ privilege exec level 1 test privilege exec level 1 telnet //帐号权限类型 line vty 0 4 //telnet使用3a tacacs认证 login authentication \authorization exec \ tacacs-server source-address 222.217.167.11 tacacs-server host 202.103.194.99 key bras primary tacacs-server host X.X.X.X key bras 3、中兴设备

tacacs enable tacacs-server host 202.103.194.99 //配置认证tacacs+ server地址 `

aaa group-server tacacs+ zte //配置aaa 列表 server 202.103.194.99 //配置aaa服务器地址和tacacs server配置一样 aaa authentication enable default group zte local //配置enable方式，默认为tacacs服务器，如果认证不通过，则使用本地认证 aaa authentication login default group zte local //配置enable方式，默认为tacacs服务器，如果认证不通过，则使用本地认证 username zte password zte privilege 15 …… 此处隐藏：3968字，全部文档内容请下载后查看。喜欢就下载吧 ……