中国移动华为路由器交换机安全配置手册教学提纲.doc

《中国移动华为路由器交换机安全配置手册教学提纲.doc》由会员分享，可在线阅读，更多相关《中国移动华为路由器交换机安全配置手册教学提纲.doc（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Good is good, but better carries it.精益求精，善益求善。中国移动华为路由器交换机安全配置手册-密级：文档编号：项目代号：中国移动华为路由器交换机安全配置手册Version1.1中国移动通信有限公司二零零四年十二月-拟制:审核:批准:会签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目录目录v第1章概述1-11.1交换机1-11.2路由器1-5第2章华为路由器交换机物理安全管理2-11

2、2.1定期检查机房的温度和湿度2-112.2定期检查机房电源输入是否完好2-122.3定期检查设备的接地电阻是否正常2-122.4定期检查设备的相关线缆是否完好2-132.5定期检查设备的风扇是否运行正常2-13第3章华为路由器交换机数据安全配置3-133.1分级设置用户口令3-133.2对任何方式的用户登录都进行认证3-143.3对于网络上已知的病毒所使用的端口进行过滤3-173.4关闭危险的服务3-193.5在使用SNMP协议时候的安全建议3-203.6关闭不使用的物理端口3-203.7保持系统日志的打开3-203.8注意检查设备的系统时间是否准确3-213.9路由协议采用加密认证3-21

3、3.10在设备上开启URPF功能3-253.11防攻击的措施3-263.12攻击防范配置3-283.12.1使能IP欺骗攻击防范功能3-293.12.2使能Land攻击防范功能3-303.12.3使能Smurf攻击防范功能3-303.12.4使能Fraggle攻击防范功能3-313.12.5使能WinNuke攻击防范功能3-313.12.6配置SYNFlood攻击防范功能3-323.12.7配置ICMPFlood攻击防范功能3-343.12.8配置UDPFlood攻击防范功能3-363.12.9使能ICMP重定向报文攻击防范功能3-373.12.10使能ICMP不可达报文攻击防范功能3-383

4、.12.11配置地址扫描攻击防范功能3-393.12.12配置端口扫描攻击防范功能3-403.12.13使能带源站路由选项IP报文攻击防范功能3-413.12.14使能带路由记录选项IP报文攻击防范功能3-413.12.15使能带时间戳记录选项IP报文攻击防范功能3-423.12.16使能Tracert报文攻击防范功能3-433.12.17使能TCP报文标志合法性检测功能3-433.12.18使能PingofDeath攻击防范功能3-443.12.19使能TearDrop攻击防范功能3-453.12.20使能IP分片报文攻击防范功能3-453.12.21配置超大ICMP报文攻击防范功能3-46

5、3.13端口镜像功能3-47第4章华为路由器交换机安全管理制度4-474.1登录口令的强壮性4-474.2登录口令的定期更换4-484.3不同的人员掌握不同等级的登录口令4-484.4对于设备的硬件、软件、数据配置操作进行登记备案4-494.5对于每一次的网络异常进行登记备案4-494.6在设备外保存设备当前运行的版本、数据配置、日志信息4-494.7机房的安全管理建议：4-50概述交换机交换机是构建网络平台的“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作

6、组交换机等。一般来讲，企业级交换机都是机架式，部门级交换机可以是机架式（插槽数较少），也可以是固定配置式，而工作组级交换机为固定配置式（功能较为简单）。众所周知，传统的交换机工作在OSI参考模型的第二层数据链路层上，主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式；网络拓扑结构包括数据链路层的说明，定义了设备的物理连接方式，如星型拓扑结构或总线拓扑结构等；错误校验向发生传输错误的上层协议告警；数据帧序列重新整理并传输除序列以外的帧；流控可以延缓数据的传输能力，以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流

7、而崩溃。目前很多交换机还具备VLAN、链路汇聚、MPLS等功能。华为的交换机主要有以下几个系列：产品型号特性QuidwayS8016多业务核心路由交换机面向IP城域网的网络骨干、交换核心、汇聚中心建设，基于硬件的二到七层和MPLS线速转发技术。l 支持MPLS以及基于MPLS的二、三层VPN业务，支持丰富的组播协议，支持WEBSWITCH（硬件支持）、NAT（硬件支持），支持DHCPRelay并内置DHCPServer功能；支持VLAN聚合、VLANTrunk、支持GVRP、支持VLAN嵌套、丰富的路由协议和完善的路由策略等丰富的二三层功能；l 支持完善的DiffServ/QoS保障，实现了简

8、单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能，可同时承载数据、语音和视频业务的综合网络；所有QoS功能采用硬件实现，对性能没有影响；l 采用全分布式体系结构设计，实现数据逐包转发，区别于传统的流cache转发方式，能够有效防范各种“宏病毒”冲击；不论是路由处理系统本身，还是分布式的线路接口板、内容线路板和NAT板都提供包安全过滤/ACL的机制，防止非法侵入和恶意报文攻击。QuidwayS8500系列核心路由交换机新一代高性能万兆核心路由交换机产品，可广泛应用于IP城域网核心汇聚。l 采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高

9、速报文交换，从而大大提升了路由交换机的转发性能和扩充能力；l 可提供高达1.8T背板带宽、720Gbps交换容量、432Mpps转发能力；并可提供高密度接口板，支持线速转发；l 每块业务板均提供128K最长匹配路由转发表，支持策略路由和路由负载分担；l 支持线速的MPLS分布式转发，可以提供更好的VPN业务和透明的LAN服务，更可以通过MPLSTE来提供流量工程功能。QuidwayS6500系列高端交换机面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的三层交换机，作为城域网汇聚层交换机。l S6503整机支持3个高速业务插槽且主控板可直接提供4个GE接口；S6506/S65

10、06R整机支持6个高速业务板插槽，提供平滑的投资和业务扩展能力；l 最大支持64K路由表项，基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能；l 支持专利的弹性资源调配系统技术，实现系统背板、交换引擎带宽、性能的最优分布；l 基于新一代ASIC技术的Salience系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。QuidwayS5500系列千兆智能三层交换机面向IP城域网的汇聚层和大型企业或园区网的汇聚层的盒式高密度可堆叠三层交换机。l 具有64Gbps背板带宽，32Gbps交换容量，24Mpps转发能力，最大支持

11、32K路由表项，基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能；l 支持高性能SFP光接口，支持GE电口、单/多模光口模块的混合配置，支持模块热插拔；并可提供堆叠接口模块，可以和系列交换机堆叠，能够提供更灵活的组网模式；l 提供以64Kbit/s为步长的流控粒度，可以对不同业务进行更细致的管理，支持丰富的流分类，丰富的Qos策略是构建高质量“三网合一”网络的基础。QuidwayS3500系列安全智能三层交换机为充分满足安全IP交换和高QOS保证的需求而推出的智能型以太网交换机；l 32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供4个GE，有效解决了在单台设

12、备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资；l 基于最长匹配的路由策略，系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全；支持802.1x和WebPortal认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络；l 不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。l 支持基于源MAC地址、目的MAC地址、源IP地址、

13、目的IP地址、端口、协议的L2L7复杂流分类。QuidwayS5000系列千兆二层交换机为企业网高速互连和千兆到桌面应用而设计的智能型可网管交换机，可以提供多路千兆光口，解决高端设备的GE端口紧张的问题。l 不仅支持协议所规定的用户端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性，并具有用户管理能力；l 支持基于802.1ptags优先级控制，支持8个优先级队列；支持L2L7层的流分类，在流分类的基础上可以进行ACL和QOS方面的多种操作，如带宽限制、优先级修改、过滤、端口镜像、重定向等多种操作；l 支持HGMP功能：简化配置管理

14、任务：通过一个命令交换机实现对多个成员交换机的管理；提供拓扑发现和显示功能，有助于监视和调试网络。QuidwayS3000系列智能二层交换机采用高性能的ASIC，采用灵活的模块化结构，提供二到七层的智能的流分类和完善的服务质量（QoS），实现完备的业务控制和用户管理能力，可作为关注业务管理控制和网络安全保障能力的企业网和城域网的接入层交换机。l 12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制；l 支持802.1x认证，在用户接入网络时完成必要的

15、身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。l 提供了三种各具特色的队列调度算法，严格优先级（Strict-PriorityQueue，简称PQ）、加权轮循（WeightedRoundRobin，简称WRR）调度算法和DelayboundedWRR调度算法；l 提供良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。QuidwayS2000系列边缘接入交换机为要求具备高性能且易于安装的网络环境而度身定做的可网管的交换机。l 支持4KMAC地址；支持MAC地址表锁定及静态设置，实

16、现对MAC的控制过滤；l 支持HGMP，实现群组管理；l 独特的isolate-user-vlan技术，既可以隔离用户，又可以节省VLAN资源；l 多样的终端用户控制手段，支持MAC+PORT的捆绑，支持防止双网卡代理上网，有效地防止非法用户的产生；l 用户侧传输距离200米，方便布线。QuidwayS2000B系列边缘接入交换机为要求具备高性能且易于安装的网络环境而设计的可网管的楼道级/桌面级二层线速以太网交换产品，具备在户外环境下正常工作的能力。l 支持基于端口的VLAN，支持isolate-user-vlan；l 支持HGMP，实现群组管理；支持HGMPClient，实现受控组播；l 支

17、持HGMP的级连方式，如一台S2026B不直接与管理设备相连，而是通过级连的其他交换机与管理设备相连，同样能够实现远程管理维护功能；l 为楼道工作环境量身定做：机身小巧，便于楼道安装；端口密度低，节省运营商投资；散热采用低噪音风扇，静音设计；指示灯设计在机箱顶板上，便于壁挂维护；用户侧10M端口传输距离200米，方便布线。路由器路由器是一种典型的网络层设备。它是两个局域网之间接帧传输数据，在OSIRM之中被称之为中介系统，完成网络层中继或第三层中继的任务。路由器负责在两个局域网的网络层间接帧传输数据，转发帧时需要改变帧中的地址。一、 原理与作用二、 路由器（Router）是用于连接多个逻辑上分

18、开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。一般说来，异种网络互联与多

19、个子网互联都应采用路由器来完成。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据路径表（RoutingTable），供路由选择；时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。1静态路径表由系统管理员事先设置好固定的路径表称之为静态（static）路径表，一般是在系统安装时就根据网络的配置情况预先设定

20、的，它不会随未来网络结构的改变而改变。2动态路径表动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议（RoutingProtocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。二、路由器的功能（1）在网络间截获发送到远地网段的报文，起转发的作用。（2）选择最合理的路由，引导通信。为了实现这一功能，路由器要按照某种路由通信协议，查找路由表，路由表中列出整个互联网络中包含的各个节点，以及节点间的路径情况和与它们相联系的传输费用。如果到特定的节点有一条以上路径，则基于预先确定的准则选择最优（最经济）的路径。由于各种网

21、络段和其相互连接情况可能发生变化，因此路由情况的信息需要及时更新，这是由所使用的路由信息协议规定的定时更新或者按变化情况更新来完成。网络中的每个路由器按照这一规则动态地更新它所保持的路由表，以便保持有效的路由信息。（3）路由器在转发报文的过程中，为了便于在网络间传送报文，按照预定的规则把大的数据包分解成适当大小的数据包，到达目的地后再把分解的数据包包装成原有形式。（4）多协议的路由器可以连接使用不同通信协议的网络段，作为不同通信协议网络段通信连接的平台。（5）路由器的主要任务是把通信引导到目的地网络，然后到达特定的节点站地址。后一个功能是通过网络地址分解完成的。例如，把网络地址部分的分配指定成

22、网络、子网和区域的一组节点，其余的用来指明子网中的特别站。分层寻址允许路由器对有很多个节点站的网络存储寻址信息。在广域网范围内的路由器按其转发报文的性能可以分为两种类型，即中间节点路由器和边界路由器。尽管在不断改进的各种路由协议中，对这两类路由器所使用的名称可能有很大的差别，但所发挥的作用却是一样的。中间节点路由器在网络中传输时，提供报文的存储和转发。同时根据当前的路由表所保持的路由信息情况，选择最好的路径传送报文。由多个互连的LAN组成的公司或企业网络一侧和外界广域网相连接的路由器，就是这个企业网络的边界路由器。它从外部广域网收集向本企业网络寻址的信息，转发到企业网络中有关的网络段；另一方面

23、集中企业网络中各个LAN段向外部广域网发送的报文，对相关的报文确定最好的传输路径。华为的路由器主要有以下几个系列：高端路由器产品型号特性QuidwayNetEngine5000系列核心路由器面向IP网国家骨干网络节点、各省的网络出口节点以及各网络之间互联中心节点的核心路由器产品。u 全面支持MPLS，可以支持L3MPLSVPN、L2MPLSVPN、CCC各种业务，胜任高性能P应用；支持大容量组播线速转发，能够与MPLSVPN、QoS等各种特性配合应用。u 采用高性能的组件，可以在所有接口上为IP/MPLS业务提供线速转发性能；整机交换容量400Gbps/1.28T，无阻塞交换；整机转发性能50

24、0Mpps/1600Mpps。u 关键硬件组件都提供全面冗余，所有组件具备热插拔功能。提高运营商级的不间断路由转发功能，保证业务不会中断。当主用主控板发生故障时，可以切换到备用的主控板，不会发生包丢失，也不会影响对端路由器。QuidwayNetEngine80核心路由器主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力。u 高品质QoS能力，是网络业务的重要技术基础。NE80实现智能业务感知，提供先进的队

25、列调度算法、SARED拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。u 基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLSVPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强大，支持高达170万条的大路由表，支持丰富的路由协议包括RIP、OSPF、IS-IS、BGP4和多播路由协议。QuidwayNetEngine40系列通用交换路由器充分继承了NE80核心路由器的设计理念和关键技术，面向大型企业网、行业网、IP城域网和

26、IP骨干网的高端网络产品，包括NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，基于分布式硬件处理，具备高性能的业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLSVPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 拥有从64k到10G速率接口，支持RPR环网技术，提供丰富的协议功能，能够应对各种复杂组网，满足IP城域网、骨干网、运营支撑网的组网需求。u 各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换u 支持丰富的L2/L3以太网交换特性QuidwayN

27、etEngine20系列高端多业务路由器面向运营商、行业网及企业网的高性能的第五代多业务路由器；采用NP硬件技术实现，具有卓越的转发性能；包括NE20-8、NE20-4、NE20-2三款产品。u 采用了业界高性能网络处理器技术实现高速接口包文的集中转发，有机地结合了软件的灵活性和硬件的高性能，提供线速转发性能。u 提供高品质、安全和多层次的MPLSVPN解决方案，支持MPLSTE，可以作为高性价比MPLSPE设备使用。u 支持多种方式VPN（L2TP、GRE、MPLSVPN等），具备丰富的NAT功能，提供以太网/VLAN、PPP/MP、PPPoE、FrameRelay、HDLC、ATM、X.2

28、5、HDLC和LAPB等丰富的互联功能，支持备份中心，并提供对语音、组播等业务的支持。QuidwayNetEngine16E/08E/05系列高端路由器面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和安全特性，适用于运营商、政府、教育、金融、电力、企业的内部网和业务网，包括NE16E、NE08E、NE05三款产品。u 采用分布式体系结构，主控板冗余设计，主备倒换实现零丢包率；2+1或11电源热备份；接口备份、端口捆绑实现了链路的高可靠性。u 支持分布式NAT，具备策略和安全管理功能，能够防止恶意用户对NAT连接的攻击，提供完善的安全日志

29、。u 支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证，支持标准协议的IPSEC和IKE，支持ISPKeeperDOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、MPLSVPN等VPN业务，提供隧道融合与VPN互通，提供安全和多层次的MPLSVPN解决方案。中低端路由器：产品型号特性QuidwayNetEngine5000系列核心路由器面向IP网国家骨干网络节点、各省的网络出口节点以及各网络之间互联中心节点的核心路由器产品。u 全面支持MPLS，可以支持L3MPLSVPN、L2MPLSVPN、CCC各种业务，胜任高性能P应用；支持大容量组播线速转发，能够与MP

30、LSVPN、QoS等各种特性配合应用。u 采用高性能的组件，可以在所有接口上为IP/MPLS业务提供线速转发性能；整机交换容量400Gbps/1.28T，无阻塞交换；整机转发性能500Mpps/1600Mpps。u 关键硬件组件都提供全面冗余，所有组件具备热插拔功能。提高运营商级的不间断路由转发功能，保证业务不会中断。当主用主控板发生故障时，可以切换到备用的主控板，不会发生包丢失，也不会影响对端路由器。QuidwayNetEngine80核心路由器主要应用在IP骨干网、IP城域网骨干层以及各种大型IP网络的核心位置。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，充分继承了第四代全分

31、布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，又具备快速良好的业务升级和扩展能力。u 高品质QoS能力，是网络业务的重要技术基础。NE80实现智能业务感知，提供先进的队列调度算法、SARED拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。u 基于分布式硬件处理，具备高性能的网络业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLSVPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 支持IPv4/IPv6、MPLS分布式转发。路由能力强大，支持高达170万条的大路由表，支持丰富的路由协议包括RIP、OS

32、PF、IS-IS、BGP4和多播路由协议。QuidwayNetEngine40系列通用交换路由器充分继承了NE80核心路由器的设计理念和关键技术，面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品，包括NE408、NE404和NE402三款型号。u 作为分布式第五代路由器采用了业界高性能网络处理器技术，基于分布式硬件处理，具备高性能的业务能力，胜任高性能P/PE应用，提供高品质、安全和多层次的MPLSVPN解决方案；提供高性能组播能力；提供千兆线速NAT等各种业务。u 拥有从64k到10G速率接口，支持RPR环网技术，提供丰富的协议功能，能够应对各种复杂组网，满足IP城域网、骨干网、

33、运营支撑网的组网需求。u 各关键部件包括路由处理系统、交换网系统、时钟系统、电源、管理总线全部为冗余热备份，实现基于状态的热切换u 支持丰富的L2/L3以太网交换特性QuidwayNetEngine20系列高端多业务路由器面向运营商、行业网及企业网的高性能的第五代多业务路由器；采用NP硬件技术实现，具有卓越的转发性能；包括NE20-8、NE20-4、NE20-2三款产品。u 采用了业界高性能网络处理器技术实现高速接口包文的集中转发，有机地结合了软件的灵活性和硬件的高性能，提供线速转发性能。u 提供高品质、安全和多层次的MPLSVPN解决方案，支持MPLSTE，可以作为高性价比MPLSPE设备使

34、用。u 支持多种方式VPN（L2TP、GRE、MPLSVPN等），具备丰富的NAT功能，提供以太网/VLAN、PPP/MP、PPPoE、FrameRelay、HDLC、ATM、X.25、HDLC和LAPB等丰富的互联功能，支持备份中心，并提供对语音、组播等业务的支持。QuidwayNetEngine16E/08E/05系列高端路由器面向电信级运营网络和企业级核心网络，有强大的专线接入及VPN业务能力，提供丰富的业务功能，具备完善QOS和安全特性，适用于运营商、政府、教育、金融、电力、企业的内部网和业务网，包括NE16E、NE08E、NE05三款产品。u 采用分布式体系结构，主控板冗余设计，主备

35、倒换实现零丢包率；2+1或11电源热备份；接口备份、端口捆绑实现了链路的高可靠性。u 支持分布式NAT，具备策略和安全管理功能，能够防止恶意用户对NAT连接的攻击，提供完善的安全日志。u 支持包过滤防火墙及动态防火墙ASPF，支持用户的认证和路由协议的验证，支持标准协议的IPSEC和IKE，支持ISPKeeperDOS防御系统。u 支持L2TP、GRE、IPSEC、EOIP、MPLSVPN等VPN业务，提供隧道融合与VPN互通，提供安全和多层次的MPLSVPN解决方案。华为路由器交换机物理安全管理定期检查机房的温度和湿度数据通信设备的长期稳定运行是需要一个良好的环境，为保证路由器正常工作和延长

36、使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害路由器上的CMOS电路；温度过高则危害更大，它会使路由器的可靠性大大降低，长期高温还会影响其寿命，过高的温度将加速绝缘材料的老化过程。影响设备的稳定运行。所以建议每天检查机房内的温度和湿度，如果发现机房空调损坏，要及时的修理，减少设备在不良环境下的工作时间。我们要求机房的温湿度情况达到以下标准：温度相对湿度长期工作条件短期工作条件长期工作条件短期工作条件15300

37、4540%65%10%90%注意：l路由器机房内工作环境温度、湿度的测量点，指在路由器机架前后没有保护板时测量，距地板以上1.5m和距路由器架前方0.4m处测量的数值；l短期工作条件指连续不超过48小时和每年累计不超过15天；定期检查机房电源输入是否完好电源的稳定对于设备稳定运行至关重要，电压的波动过大，使设备的部分器件经常工作在高电压或低电压，导致设备的寿命下降，器件工作不稳定，对于设备的运行造成较大的影响，建议定期（建议半年或一年一次）检查机房的电源输入是否正常，电压的波动是否在正常范围内，电压的波动范围见各个产品的输入电压，如果发现不在正常范围内，及时对电源进行整改。建议定期检查UPS等

38、备用电源是否能够正常工作，功率能否满足设备需要，由于这些备用电源长期不用，所以发生故障后不易被维护人员及时察觉，同时机房设备逐渐的增加，可能导致UPS等备用电源输出的功率不能满足机房设备的需求，这些备用电源的完好与否，功率是否满足需要需要进行定期的检查，保证在主用的输入电源中断后，设备仍然能够正常工作。定期检查设备的接地电阻是否正常良好的接地系统是路由器稳定可靠运行的基础，是路由器防雷击、抗干扰和防静电的重要保障。用户必须为路由器提供良好的接地系统，接地电阻如果不正常，会对设备的防雷、抗干扰，防静电造成很大影响，对于各个器件都会产生不良影响，甚至损坏重要器件。建议定期（每半年或一年一次）检查接

39、地线是否完好，接地电阻是否正常，接地的标准见各个产品的接地要求，在检查时，对于设备的接地，机柜的接地，地线的腐蚀情况，地排的腐蚀情况都要进行全面的检查。定期检查设备的相关线缆是否完好建议定期（每12月检查一次）检查设备的电源线、尾纤、接地线缆是否完好，有没有被腐蚀，有没有被鼠咬，以保证业务不会因为线缆的损坏而受到影响。定期检查设备的风扇是否运行正常设备的风扇如果运行不正常，会导致设备内的温度快速上升，它会使路由器的可靠性大大降低，长期高温还会影响其寿命，过高的温度将加速绝缘材料的老化过程，导致设备器件损坏，建议每天注意观察设备风扇是否产生告警，同时可以使用相关命令来查询风扇是否在位。如果风扇框

40、上的防尘网上积累了过多的灰尘，或者风扇运转不顺畅，都会影响风扇的通风排热效果，建议每月检查一次设备风扇运转是否良好，是否有隐患，风扇框上的防尘网是否积累了过多灰尘。华为路由器交换机数据安全配置分级设置用户口令华为公司的数据设备的登录口令分为4级：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置

41、文件保存的操作。配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。【配置实例】CON口对应的优先级缺省为3，其它用户界面的优先级缺省为0。#例如，设置CON口的优先级为3，从VTY0的优先级为2。Quidway-ui-console0userprivi

42、legelevel3Quidway-ui-vty0userprivilegelevel2对任何方式的用户登录都进行认证建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。在默认的情况下，对于华为的设备，CONSOLE口是不进行认证，在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备，建议采用AAA方式到RADIUS去认证。本部实施的是加强设备访问和提供服务的安全性管理。设置设备标题文本Head

43、er的设置要求对远程登录的Header的设置要求必须包含非授权用户禁止登录的字样。【配置实例】#配置会话建立标题。Quidwayheaderlogin%EnterTEXTmessage.Endwiththecharacter%.LOGIN:Hello!WelcomeuseQuidwayLANSwitch！Ifyouarenotauthoriteduser,pleaseexit!%对CON和AUX端口的安全要求针对Console口和Aux口的安全控制要求，可以为Console口配置增强的登录口令认证特性，还可以禁用不需要的Aux口使得不能通过Aux端口对设备进行访问。远程登录安全要求华为全线以太

44、网交换机设备提供远程管理能力，用户可以通过远程登录的方式对设备进行管理。华为以太网交换机提供强大的远程登录安全管理能力，包括：禁止远程用户登录、启用安全的远程登录，设置连接超时时间、设置登录尝试次数限制、设置并发用户数目，设置根据源地址的登录用户过滤机制。密码管理密码是网络设备用来防止非授权访问的主要手段，是设备安全的重要部分。最好的密码处理方法是将其保存在TACACS+或RADIUS认证服务器上。对于特权模式，应该采用enablesecret命令设置强壮的密码，而不要采用enablepassword设置密码，enablesecret命令用于设定具有管理员权限的口令，而enablepasswo

45、rd采用的加密算法比较弱。而要采用enablesecret命令设置。并且要启用Servicepassword-encryption，这条命令用于对存储在配置文件中的所有口令和类似数据（如CHAP）进行加密。避免配置文件被不怀好意者看见，从而获得这些数据的明文。同时，不要以为加密了就可以放心了，最好的方法就是选择一个长的口令字（大于8个字符），避免配置文件被外界得到。RADIUS认证的设置RADIUS（RemoteaccessDial-Inuserservice）可以提供远程用户的认证机制，为远程登录用户提供统一的认证手段。【配置实例】#配置Radius服务器模板。Quidwayradius-s

46、ervertemplateshiva#配置Radius主认证、计费服务器和端口。Quidway-radius-shivaradius-serverauthentication129.7.66.661812Quidway-radius-shivaradius-serveraccounting129.7.66.661813#配置Radius备认证、计费服务器和端口。Quidway-radius-shivaradius-serverauthentication129.7.66.671812secondaryQuidway-radius-shivaradius-serveraccounting129.7.66.671813secondary#配置Radius服务器密钥、重传次数。Quidway-radius-shivaradius-servershared-keythis-is-my-secretQuidway-radius-shivaradius-serverretransmit2#进入AAA视图。Quidwayaaa#配置认证方案，认证方法为radius。Quidwayaaaauthentication-schemeradiusQuidway-aaa-authen-radiusauthentication-moderadius#配置计费方案，计费方法为radius。Quidwa