华为配置规范样本.docx
《华为配置规范样本.docx》由会员分享,可在线阅读,更多相关《华为配置规范样本.docx(24页珍藏版)》请在冰豆网上搜索。
华为配置规范样本
华为S9603配备规范
1.1系统基本配备规范
1.1.1设备名称配备
配备阐明:
规范设备命名,唯一性标记城域网中每台设备,用于对城域网每台设备进行区别,以便设备管理,提高可读性和可管理性。
规范规定:
设备名称规定符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配备规范:
sysnameHS-TJL-DSW-1.M.9306
配备验证:
配备后及时生效,设备名称显示在配备命令行左边。
配备注意细节:
可以依照需要在.M后添加设备型号。
1.1.2Banner配备
配备阐明:
统一Banner语言,以省网原则为主。
规范规定:
城域网所有互换机配备统一Banner信息,登陆时提示:
WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
disconnectIMMEDIATELYifyouarenotanauthoriseduser!
配备规范:
[Quidway]headerlogininformation%
WARNING!
!
!
Authorisedaccessonly,allofyourdonewillberecorded!
disconnectIMMEDIATELYifyouarenotanauthoriseduser!
%
配备验证:
登陆路由器时应看到banner提示。
配备注意细节:
Banner语言应起到提示和警告非授权访问者作用,禁止在Banner中浮现任何表达欢迎字样。
1.1.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间关于应用,例如Log信息,基于时间限制带宽等,都需要基于对的时间。
1.1.3.1时区配备
配备阐明:
统一设备时区配备。
规范规定:
配备系统时区为GMT+8,北京时区。
配备规范:
clocktimezoneBeijingadd08:
00:
00#在顾客模式下配备
配备验证:
displayclock
配备注意细节:
无。
1.1.3.2NTP配备
配备阐明:
使用NTP同步网络上所有设备时间,保证网络设备得到对的时间。
规范规定:
配备主和备两组NTP服务器。
配备规范:
ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER
ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVER
配备验证:
displayclock
displayntp-servicestatus
displayntp-servicesession
配备注意细节:
无。
1.1.4VTY接口配备
1.1.4.1连接数限制
配备阐明:
对同步远程登陆到设备上session数进行限制,可以防止大量session连接占用过多系统资源,同步便于集中运维,保证故障期间正常解决。
规范规定:
配备BRAS路由器并发连接数限制为10个。
配备规范:
user-interfacemaximum-vty10
配备验证:
displayuser-interfacemaximum-vty
配备注意细节:
无
1.1.4.2空闲时间
配备阐明:
设立了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权人员在操作员离开后进行非法操作。
规范规定:
对VTY登录超时设立进行配备,设立空闲时间为10分钟。
配备规范:
user-interfaceconsole0
idle-timeout100
user-interfaceaux0
idle-timeout100
user-interfacevty09
idle-timeout100
配备验证:
dispcurr|buser-interface
配备注意细节:
华为设备默认超时时间即为10分钟,配备后也不会显示配备。
1.1.4.3访问控制列表
配备阐明:
限制Telnet登录网络源地址,从而增强设备安全性,最大限度防止非法登陆尝试。
规范规定:
配备Telnet源地址限制,包括省公司地址段和最小化地市网管中心维护IP网段。
Telnet访问控制列表条目从10开始,条目间隔步长为10,在访问控制列表最后显示配备一条denyanyany语句。
配备规范(参照):
aclnumber2088
rule10permitsource202.105.80.00.0.0.255
rule20permitsource202.105.82.00.0.0.255
rule30permitsource59.37.66.00.0.0.255
rule40permitsource125.88.116.00.0.0.255
rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段
rule99denysourceany
#
user-interfacevty04
authentication-modeaaa#设立VTY口登录顾客验证方式为AAA
acl2088inbound
配备验证:
dispacl2088
dispcurr|buser-interface
配备注意细节:
无。
1.1.4.4配备范例
aclnumber2088
rule10permitsource202.105.80.00.0.0.255
rule20permitsource202.105.82.00.0.0.255
rule30permitsource59.37.66.00.0.0.255
rule40permitsource125.88.116.00.0.0.255
rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段
rule99denysourceany
#
user-interfacevty04
authentication-modeaaa#设立VTY口登录顾客验证方式为AAA
acl2088inbound
idle-timeout100顾客超时断开连接时间设立为10分钟
protocolinboundtelnet登录支持telnet合同
1.1.5AAA配备
1.1.5.1概述
AAA使用Radius统一验证,全省统一大后台。
1.1.5.2AAA配备
配备阐明:
配备顾客认证方式
配备顾客计费方式
配备顾客认证服务器地址及参数
配备顾客计费服务器地址及参数
规范规定:
认证方式采用radius方式
计费方式采用radius方式
认证及计费服务器地址依照省公司统一安排状况设立
设立Radius密钥时要与省后台有关人员协商拟定
认证端标语依照各个地方实际状况设立
计费端标语依照各个地方实际状况设立
配备规范(参照):
radius-servertemplatesystemradius方案名称为system
主备radius和源地址在一条命令中
radius-serverauthentication202.103.28.1381645sourceloopback0secondary
radius-serveraccounting202.103.28.1381645sourceloopback0secondary
radius-servershared-keyaaa8010
undoradius-serveruser-namedomain-included
nas-ip59.175.247.182上报radius报文中源地址,取用上行接口互联IP
先在aaa视图下配备authentication-scheme、authorization-scheme、accounting-scheme
authentication-schemesystem
authentication-moderadiuslocal
authorization-schemesystem
authorization-modeif-authenticatedlocal
accounting-schemesystem
accounting-mode没有先radius后local,只有如下方式
hwtacacsHWTACACSaccounting
localLocalaccounting
local-hwtacacsLocalHWTACACSaccounting
local-radiusLocalRADIUSaccounting
noneNoaccounting
radiusRADIUSaccounting
domainsystem
aaa视图下
domainsystem
authenticationloginradius-schemesystemlocal配备认证方案为先radius,后local
authorizationloginradius-schemesystemlocal配备授权方案为先radius,后local
accountingloginradius-schemesystemlocal配备计费方案为先radius,后local
undoaccess-limit
stateactive
undoidle-cut
配备验证:
displayauthentication-schemesystem
配备注意细节:
无。
1.1.5.3本地顾客帐号
配备阐明:
配备本地顾客帐号,作为AAA服务器连接失败时应急登陆用。
规范规定:
全省网络设备配备相似本地顾客帐号admin,设立最高权限,使用省公司统一指定密码,依照实际状况可保存地市本地管理帐号。
配备规范(参照):
local-useradminpasswordcipheradmin@))*service-typetelnet
配备验证:
displayusernameadmin
配备注意细节:
保存地市本地帐号。
1.2端口配备规范
1.2.1Loopback地址配备
配备阐明:
配备Loopback地址,提供一种永远upIP地址,用于各种路由合同邻居建立、远程登录、设备管理等。
规范规定:
城域骨干网互换机配备一种loopback0地址,掩码必要为32位。
Loopback接口需添加端口描述,端口描述规定符合第二章中IP城域网网络设备命名及链路描述规范中规定。
配备规范:
interfaceLoopBack0
ipaddress*.*.*.*255.255.255.255
descriptionForManagement
配备验证:
dispinterloopback0//查看运营状况
discurrent-configurationinterfaceLoopBack0//查看配备状况
配备注意细节:
无
1.2.2GE端口配备
1.2.2.1GE用做上连接口
配备阐明:
配备GE端口用做上连接口。
规范规定:
配备GE端口speed设立为1000M,双工为自行协商,并且在端口上定义病毒过滤方略。
配备接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中对端端口应区别不同设备。
配备规范:
interfaceGigabitEthernet2/0/21
portlink-typetrunk
undoporttrunkpermitvlan1
undoporttrunkallow-passvlan1
porttrunkpermitvlan100to
porttrunkallow-passvlan100to
speed1000
duplexfull
descriptiondT:
ZQ-HT-DSW-1.M1G:
:
GI1/0/0
qosapplypolicyvirus-filterinbound上行端口应用端口过滤方略
traffic-policyvirus-filterinbound
qosapplypolicyvirus-filteroutbound
traffic-policyvirus-filteroutbound
配备验证:
dispintergi2/0/21//查看运营状况
dispcuintergi2/0/21//查看配备状况
配备注意细节:
无。
1.2.2.2GE端口QINQ配备
配备阐明:
配备GE端口用做下联接口,启动QINQ功能。
规范规定:
配备启动GE端口QINQ功能。
配备接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中对端端口应区别不同设备。
配备规范:
interfaceGigabitEthernet4/0/1
portlink-typehybrid
undoporthybridvlan1vlan1可以undo掉
porthybridvlan3990to39914094tagged
porthybridvlan1001to1005untagged
qinqenable
qosapplypolicyg4/0/1inbound
qosapplypolicynmoutbound
descriptiondT:
ZQ-HT-DSW-1.M1G:
:
GI1/0/0
配备验证:
dispintergi4/0/1//查看运营状况
dispcuintergi4/0/1//查看配备状况
配备注意细节:
无。
1.2.2.3FE端口QINQ配备
配备阐明:
配备FE端口做下联端口,启动QINQ功能。
规范规定:
配备启动GE端口QINQ功能。
配备接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
配备规范:
interfaceEthernet3/0/1
portlink-typehybrid
porthybridvlan3990to39914094tagged网管vlan
porthybridtaggedvlan3990to39914094
porthybridvlan1tountaggedvlan1不能undo掉,其她为QinQ外层vlan
porthybridtaggedvlan1to
qinqenable端口下使能QinQ功能
portlink-typedot1q-tunnel
qosapplypolicye3/0/1inbound应用针对此端口QinQ方略,入方向
traffic-policye3/0/1inbound入方向限速可以使用qoscar
qosapplypolicynmoutbound应用网管vlan出方向方略
traffic-policynmoutbound
配备验证:
displayinterfaceGigabitEthernet3/0/1//查看运营状况
dispcuintergi3/0/1//查看配备状况
配备注意细节:
无。
1.2.2.4GE、FE端口专线配备
配备阐明:
配备接入专线顾客GE、FE端口。
规范规定:
配备限速方略。
配备规范:
interfaceGigabitEthernet4/0/2
portaccessvlan3501
qosapplypolicyrate-1minbound入方向限速,应用限速方略
traffic-policye3/0/1inbound入方向限速可以使用qoscar
qoslroutboundcir1024cbs102400出方向限速,直接设定,cbs=100cir,cir单位Kbps
qoslrcir1024cbs102400outbound
配备验证:
displayinterfaceGigabitEthernet4/0/2//查看运营状况
dispcuinterGigabitEthernet4/0/2//查看配备状况
配备注意细节:
无。
1.3路由合同配备规范
1.3.1静态路由配备
1.3.1.1静态路由配备方式
配备阐明:
手工配备静态路由并设定有关参数。
规范规定:
无。
配备规范:
iproute-static1.1.1.1255.255.255.2552.2.2.2
配备验证:
displayiprouting-tableprotocolstatic
配备注意细节:
静态路由缺省优先级为60。
1.4顾客方略配备
1.4.1定义防病毒访问控制列表
配备阐明:
定义防病毒ACL,防御病毒袭击。
规范规定:
定义周知及常用病毒端口。
配备规范:
aclnumber3100病毒端口过滤控制列表
rule0denytcpdestination-porteq3127
rule1denytcpdestination-porteq1025
rule2denytcpdestination-porteq5554
rule3denytcpdestination-porteq9996
rule4denytcpdestination-porteq1068
rule5denytcpdestination-porteq135
rule6denyudpdestination-porteq135
rule7denytcpdestination-porteq137
rule8denyudpdestination-porteqnetbios-ns
rule9denytcpdestination-porteq138
rule10denyudpdestination-porteqnetbios-dgm
rule11denytcpdestination-porteq139
rule12denyudpdestination-porteqnetbios-ssn
rule13denytcpdestination-porteq593
rule14denytcpdestination-porteq4444
rule15denytcpdestination-porteq5800
rule16denytcpdestination-porteq5900
rule17denytcpdestination-porteq8998
rule18denytcpdestination-porteq445
rule19denyudpdestination-porteq445
rule20denyudpdestination-porteq1434
rule21denyudpdestination-porteq1433
rule22denytcpdestination-porteq707
rule23denytcpdestination-porteq136
配备验证:
displaycur
配备注意细节:
无
1.4.2QOS方略配备
配备阐明:
定义流类型,例如病毒端口过滤、QINGQ流(定义匹配顾客VLAN范畴)、网管入方向流及网管出方向流。
定义有关流动作及有关方略。
规范规定:
流及QOS方略名称由省公司统一制定。
配备规范(参照):
trafficclassifiervirus-filteroperatorand定义流:
端口病毒过滤
if-matchacl3100定义匹配报文ACL规则
trafficclassifierqinq1operatorand定义流:
QinQ流
if-matchcustomer-vlan-id2to480定义匹配顾客vlan范畴
if-matchcvlan-id2
trafficclassifierqinq2operatorand
if-matchcustomer-vlan-id481to960
trafficclassifierqinq3operatorand
if-matchcustomer-vlan-id1001to1480
trafficclassifierqinq4operatorand
if-matchcustomer-vlan-id1481to1960
trafficclassifierqinq5operatorand
if-matchcustomer-vlan-id1921to
trafficclassifierqinq6operatorand
if-matchcustomer-vlan-id3001to3100
#
trafficclassifiernm-hw-inoperatorand定义流:
网管入方向流(单层vlan标签)
if-matchcustomer-vlan-id3991定义匹配顾客vlan范畴
trafficclassifiernm-zx-inoperatorand
if-matchcustomer-vlan-id3990
trafficclassifiernm-inoperatorand
if-matchcustomer-vlan-id4094
trafficclassifiernm-hw-outoperatorand定义流:
网管出方向流(单层vlan标签)
if-matchservice-vlan-id3991定义网络侧vlan范畴
if-matchvlan-id3991
trafficclassifiernm-zx-outoperatorand
if-matchservice-vlan-id3990
trafficclassifiernm-outoperatorand
if-ma
升级会员 