中国移动公司--思科路由器安全配置规范SpecificationforCiscoRouterConfigurationUsedinChinaMobile版本号:2.0XXXX-XX-XX发布XXXX-XX-XX实施中国移动通信有限公司网络部中国移动思科路由器安全配置规范目录1范围........................................................................................................................................................................12规范性引用文件....................................................................................................................................................12.1内部引用........................................................................................................................................................12.2外部引用........................................................................................................................................................23术语、定义和缩略语............................................................................................................................................24思科路由器设备安全配置要求............................................................................................................................34.1直接引用《通用规范》的配置要求............................................................................................................34.2账号管理、认证授权..................................................................................................................................114.2.1账户......................................................................................................................................................114.2.2口令.....................................................................................................................................................124.2.3授权.....................................................................................................................................................134.2.4认证.....................................................................................................................................................134.3日志安全要求..............................................................................................................................................144.4IP协议安全要求.........................................................................................................................................174.4.1基本协议安全.....................................................................................................................................174.4.2路由协议安全.....................................................................................................................................234.4.3SNMP协议安全....................................................................................................................................274.4.4MPLS安全............................................................................................................................................294.5其他安全要求..............................................................................................................................................295编制历史..............................................................................................................................................................34中国移动思科路由器安全配置规范前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。本标准起草单位:中国移动通信有限公司网络部、中国移动集团上海公司。本标准解释单位:同提出单位。本标准主要起草人:刘金根、程晓鸣、陈敏时、周智、曹一生。中国移动思科路由器安全配置规范中国移动通信集团公司第1页共33页1范围本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。2规范性引用文件2.1内部引用本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的思科路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况:设备通用安全配置要求编号采纳意见备注安全要求-设备-通用-配置-1增强要求安全要求-设备-思科路由器-配置-1安全要求-设备-通用-配置-2增强功能安全要求-设备-思科路由器-配置-2安全要求-设备-通用-配置-3-可选完全采纳安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5不采纳设备不支持安全要求-设备-通用-配置-6-可选不采纳设备不支持安全要求-设备-通用-配置-7-可选不采纳设备不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12不采纳设备不支持安全要求-设备-通用-配置-13-可选不采纳设备不支持安全要求-设备-通用-配置-24-可选增强要求安全要求-设备-思科路由器-配置-7-可选安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19增强要求安全要求-设备-思科路由器-配置-22安全要求-设备-通用-配置-20-可选不采纳设备不支持安全要求-设备-通用-配置-27增强要求安全要求-设备-思科路由器-配置-23安全要求-设备-通用-配置-28不采纳设备不支持安全要求-设备-通用-配置-29-可选不采纳设备不支持中国移动思科路由器安全配置规范中国移动通信集团公司第2页共33页本规范新增的安全配置要求,如下:安全要求-设备-思科路由器-配置-3安全要求-设备-思科路由器-配置-4-可选安全要求-设备-思科路由器-配置-5-可选安全要求-设备-思科路由器-配置-6-可选安全要求-设备-思科路由器-配置-8-可选安全要求-设备-思科路由器-配置-9安全要求-设备-思科路由器-配置-10-可选安全要求-设备-思科路由器-配置-11安全要求-设备-思科路由器-配置-12-可选安全要求-设备-思科路由器-配置-13安全要求-设备-思科路由器-配置-14-可选安全要求-设备-思科路由器-配置-15安全要求-设备-思科路由器-配置-16安全要求-设备-思科路由器-配置-17安全要求-设备-思科路由器-配置-18-可选安全要求-设备-思科路由器-配置-19安全要求-设备-思科路由器-配置-20安全要求-设备-思科路由器-配置-21-可选安全要求-设备-思科路由器-配置-24本规范还针对直接引用《通用规范》的配置要求,给出了在思科路由器上的具体配置方法和检测方法。2.2外部引用《中国移动通用安全功能和配置规范》3术语、定义和缩略语BGPRouteflapdamping:由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。缩写英文描述中文描述中国移动思科路由器安全配置规范中国移动通信集团公司第3页共33页4思科路由器设备安全配置要求4.1直接引用《通用规范》的配置要求要求编号安全要求-设备-通用-配置-3-可选适用版本CiscoIOSRelease12.0以上要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。操作指南1.参考配