收藏
下载资源下载资源 加入VIP,免费下载

华为S9306配置规范.docx

上传人:b****5 文档编号:4429758 上传时间:2022-12-01 格式:DOCX 页数:21 大小:177.08KB
下载 相关 举报
华为S9306配置规范.docx_第1页
第1页 / 共21页
华为S9306配置规范.docx_第2页
第2页 / 共21页
华为S9306配置规范.docx_第3页
第3页 / 共21页
华为S9306配置规范.docx_第4页
第4页 / 共21页
华为S9306配置规范.docx_第5页
第5页 / 共21页
点击查看更多>>
下载资源
资源描述

华为S9306配置规范.docx

《华为S9306配置规范.docx》由会员分享,可在线阅读,更多相关《华为S9306配置规范.docx(21页珍藏版)》请在冰豆网上搜索。

华为S9306配置规范.docx

华为S9306配置规范

 

华为S9306配置规范

华为S9603配置规范

1.1系统基本配置规范

1.1.1设备名称配置

配置说明:

规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。

规范要求:

设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范:

sysname

配置验证:

配置后立即生效,设备名称显示在配置命令行的左边。

配置注意细节:

可以根据需要在.M后添加设备型号。

1.1.2Banner配置

配置说明:

统一Banner语言,以省网标准为主。

规范要求:

城域网所有交换机配置统一的Banner信息,登陆时提示:

WARNINGAuthorisedaccessonly,allofyourdonewillberecorded!

disconnectIMMEDIATELYifyouarenotanauthoriseduser!

配置规范:

[Quidway]headerlogininformation%

WARNING!

!

!

Authorisedaccessonly,allofyourdonewillberecorded!

disconnectIMMEDIATELYifyouarenotanauthoriseduser!

%

配置验证:

登陆路由器时应看到banner提示。

配置注意细节:

Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。

1.1.3设备自身时间及NTP

NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。

1.1.3.1时区配置

配置说明:

统一设备的时区配置。

规范要求:

配置系统时区为GMT+8,北京时区。

配置规范:

clocktimezoneBeijingadd08:

00:

00#在用户模式下配置

配置验证:

displayclock

配置注意细节:

无。

1.1.3.2NTP配置

配置说明:

使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。

规范要求:

配置主和备两组NTP服务器。

配置规范:

ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER

ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVER

配置验证:

displayclock

displayntp-servicestatus

displayntp-servicesession

配置注意细节:

无。

1.1.4VTY接口配置

1.1.4.1连接数限制

配置说明:

对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。

规范要求:

配置BRAS路由器并发连接数限制为10个。

配置规范:

user-interfacemaximum-vty10

配置验证:

displayuser-interfacemaximum-vty

配置注意细节:

1.1.4.2空闲时间

配置说明:

设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。

规范要求:

对VTY登录超时设置进行配置,设置空闲时间为10分钟。

配置规范:

user-interfaceconsole0

idle-timeout100

user-interfaceaux0

idle-timeout100

user-interfacevty09

idle-timeout100

配置验证:

dispcurr|buser-interface

配置注意细节:

华为设备默认超时时间即为10分钟,配置后也不会显示配置。

1.1.4.3访问控制列表

配置说明:

限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。

规范要求:

配置Telnet源地址限制,包含省公司地址段和最小化的地市网管中心维护IP网段。

Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条denyanyany语句。

配置规范(参考):

aclnumber2088

rule10permitsource0.0.0.255

rule20permitsource0.0.0.255

rule30permitsource0.0.0.255

rule40permitsource0.0.0.255

rule50permitsource#地市网管地址段

rule99denysourceany

#

user-interfacevty04

authentication-modeaaa#设置VTY口登录用户的验证方式为AAA

acl2088inbound

配置验证:

dispacl2088

dispcurr|buser-interface

配置注意细节:

无。

1.1.4.4配置范例

aclnumber2088

rule10permitsource0.0.0.255

rule20permitsource0.0.0.255

rule30permitsource0.0.0.255

rule40permitsource0.0.0.255

rule50permitsource#地市网管地址段

rule99denysourceany

#

user-interfacevty04

authentication-modeaaa#设置VTY口登录用户的验证方式为AAA

acl2088inbound

idle-timeout100用户超时断开连接时间设置为10分钟

protocolinboundtelnet登录支持telnet协议

1.1.5AAA配置

1.1.5.1概述

AAA使用Radius统一验证,全省统一大后台。

1.1.5.2AAA配置

配置说明:

配置用户的认证方式

配置用户的计费方式

配置用户认证服务器地址及参数

配置用户计费服务器地址及参数

规范要求:

认证方式采用radius方式

计费方式采用radius方式

认证及计费服务器的地址根据省公司统一安排情况设置

设置Radius密钥时要与省后台相关人员协商确定

认证端口号根据各个地方的实际情况设置

计费端口号根据各个地方的实际情况设置

配置规范(参考):

radius-servertemplatesystemradius方案名称为system

主备radius和源地址在一条命令中

radius-serverauthentication1645sourceloopback0secondary

radius-serveraccounting1645sourceloopback0secondary

radius-servershared-keyaaa8010

undoradius-serveruser-namedomain-included

nas-ip上报radius报文中的源地址,取用上行接口的互联IP

先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-scheme

authentication-schemesystem

authentication-moderadiuslocal

authorization-schemesystem

authorization-modeif-authenticatedlocal

accounting-schemesystem

accounting-mode没有先radius后local,只有如下方式

hwtacacsHWTACACSaccounting

localLocalaccounting

local-hwtacacsLocalHWTACACSaccounting

local-radiusLocalRADIUSaccounting

noneNoaccounting

radiusRADIUSaccounting

domainsystem

aaa视图下

domainsystem

authenticationloginradius-schemesystemlocal配置认证方案为先radius,后local

authorizationloginradius-schemesystemlocal配置授权方案为先radius,后local

accountingloginradius-schemesystemlocal配置计费方案为先radius,后local

undoaccess-limit

stateactive

undoidle-cut

配置验证:

displayauthentication-schemesystem

配置注意细节:

无。

1.1.5.3本地用户帐号

配置说明:

配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。

规范要求:

全省网络设备配置相同本地用户帐号admin,设置最高权限,使用省公司统一指定的密码,根据实际情况可保留地市本地管理帐号。

配置规范(参考):

local-useradminpasswordcipheradmin@))*service-typetelnet

配置验证:

displayusernameadmin

配置注意细节:

保留地市本地帐号。

1.2端口配置规范

1.2.1Loopback地址配置

配置说明:

配置Loopback地址,提供一个永远up的IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。

规范要求:

城域骨干网交换机配置一个loopback0地址,掩码必须为32位。

Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。

配置规范:

interfaceLoopBack0

ipaddress*.*.*.*

descriptionForManagement

配置验证:

dispinterloopback0

1G

1G

1.1.1

配置验证:

displayiprouting-tableprotocolstatic

配置注意细节:

静态路由缺省优先级为60。

1.3用户策略配置

1.3.1定义防病毒访问控制列表

配置说明:

定义防病毒ACL,防御病毒攻击。

规范要求:

定义周知及常见的病毒端口。

配置规范:

aclnumber3100病毒端口过滤控制列表

rule0denytcpdestination-porteq3127

rule1denytcpdestination-porteq1025

rule2denytcpdestination-porteq5554

rule3denytcpdestination-porteq9996

rule4denytcpdestination-porteq1068

rule5denytcpdestination-porteq135

rule6denyudpdestination-porteq135

rule7denytcpdestination-porteq137

rule8denyudpdestination-porteqnetbios-ns

rule9denytcpdestination-porteq138

rule10denyudpdestination-porteqnetbios-dgm

rule11denytcpdestination-porteq139

rule12denyudpdestination-porteqnetbios-ssn

rule13denytcpdestination-porteq593

rule14denytcpdestination-porteq4444

rule15denytcpdestination-porteq5800

rule16denytcpdestination-porteq5900

rule17denytcpdestination-porteq8998

rule18denytcpdestination-porteq445

rule19denyudpdestination-porteq445

rule20denyudpdestination-porteq1434

rule21denyudpdestination-porteq1433

rule22denytcpdestination-porteq707

rule23denytcpdestination-porteq136

配置验证:

displaycur

配置注意细节:

1.3.2QOS策略配置

配置说明:

定义流类型,比如病毒端口过滤、QINGQ流(定义匹配用户VLAN范围)、网管入方向流及网管出方向流。

定义相关的流动作及相关的策略。

规范要求:

流及QOS策略的名称由省公司统一制定。

配置规范(参考):

trafficclassifiervirus-filteroperatorand定义流:

端口病毒过滤

if-matchacl3100定义匹配报文的ACL规则

trafficclassifierqinq1operatorand定义流:

QinQ流

if-matchcustomer-vlan-id2to480定义匹配用户vlan范围

if-matchcvlan-id2

trafficclassifierqinq2operatorand

if-matchcustomer-vlan-id481to960

trafficclassifierqinq3operatorand

if-matchcustomer-vlan-id1001to1480

trafficclassifierqinq4operatorand

if-matchcustomer-vlan-id1481to1960

trafficclassifierqinq5operatorand

if-matchcustomer-vlan-id1921to2000

trafficclassifierqinq6operatorand

if-matchcustomer-vlan-id3001to3100

#

trafficclassifiernm-hw-inoperatorand定义流:

网管入方向流(单层vlan标签)

if-matchcustomer-vlan-id3991定义匹配用户vlan范围

trafficclassifiernm-zx-inoperatorand

if-matchcustomer-vlan-id3990

trafficclassifiernm-inoperatorand

if-matchcustomer-vlan-id4094

trafficclassifiernm-hw-outoperatorand定义流:

网管出方向流(单层vlan标签)

if-matchservice-vlan-id3991定义网络侧vlan范围

if-matchvlan-id3991

trafficclassifiernm-zx-outoperatorand

if-matchservice-vlan-id3990

trafficclassifiernm-outoperatorand

if-matchservice-vlan-id4094

#

trafficbehaviorvirus-filter定义流动作:

端口过滤

filterdeny

deny

trafficbehaviorg2/0/1-1定义流动作:

G2/0/1端口第1个QinQ插入标签动作

nesttop-mostvlan-id2001创建外层vlan动作

trafficbehaviorg2/0/1-2

nesttop-mostvlan-id2002

trafficbehaviornm-hw-in

remarkservice-vlan-id3991为流行为配置标记网络侧vlan的动作

remarkvlan-id/clan-id3991

trafficbehaviornm-zx-in

remarkservice-vlan-id3990

trafficbehaviornm-in

remarkservice-vlan-id4094

trafficbehaviornm-hw-out

remarkcustomer-vlan-id3991为流行为配置标记用户侧vlan的动作

remarkvlan-id/clan-id3991

trafficbehaviornm-zx-out

remarkcustomer-vlan-id3990

trafficbehaviornm-out

remarkcustomer-vlan-id4094

#

qospolicyvirus-filter定义策略:

端口过滤

trafficpolicyvirus-filterqospolicy均使用trafficpolicy替换

classifiervirus-filterbehaviorvirus-filter为流指定动作,把流和动作关联起来

qospolicyg2/0/1定义策略:

QinQ端口入方向,按端口命名

classifiernm-hw-inbehaviornm-hw-in网管使用

classifiernm-zx-inbehaviornm-zx-in网管使用

classifiernm-inbehaviornm-in网管使用

classifierqinq1behaviorg2/0/1-1按端口需要配置

classifierqinq2behaviorg2/0/1-2按端口需要配置

qospolicynm定义策略:

网管出方向

classifiernm-hw-outbehaviornm-hw-out

classifiernm-zx-outbehaviornm-zx-out

classifiernm-outbehaviornm-out

1.3.3用户限速配置

配置说明:

设置用户限速。

规范要求:

采用qospolicy为用户限速。

配置规范:

aclnumber4000

rule0permit

trafficclassifierrateoperatorand定义流:

所有流量

if-matchacl4000

trafficbehaviorrate-1m定义流动作:

入方向限速

carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpass

carcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpass

trafficbehaviorrate-2m

carcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpass

trafficbehaviorrate-5m

carcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpass

trafficbehaviorrate-10m

carcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpass

trafficbehaviorrate-15m

carcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpass

trafficbehaviorrate-20m

carcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpass

trafficbehaviorrate-30m

carcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpass

qospolicyrate-1m定义策略:

入方向限速

trafficpolicyrate-1m

classifierratebehaviorrate-1m

qospolicyrate-2m

classifierratebehaviorrate-2m

qospolicyrate-5m

classifierratebehaviorrate-5m

qospolicyrate-10m

classifierratebehaviorrate-10m

qospolicyrate-15m

classifierratebehaviorrate-15m

qospolicyrate-20m

classifierratebehaviorrate-

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高中教育 > 数学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1