华为S9306配置规范.docx

1、华为S9306配置规范华为S9306配置规范华为S9603配置规范1.1系统基本配置规范1.1.1设备名称配置配置说明：规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。规范要求：设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。配置规范：sysname 配置验证：配置后立即生效，设备名称显示在配置命令行的左边。配置注意细节：可以根据需要在.M后添加设备型号。1.1.2Banner配置配置说明：统一Banner语言，以省网标准为主。规范要求：城域网所有交换机配置统一的Banner信息，登陆时提示：WARNING

2、 Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! 配置规范：Quidway header login information %WARNING! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!%配置验证：登陆路由器时应看到ban

3、ner提示。配置注意细节：Banner语言应起到提示和警告非授权访问者的作用，严禁在Banner中出现任何表示欢迎的字样。1.1.3设备自身时间及NTPNTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。 1.1.3.1时区配置配置说明：统一设备的时区配置。规范要求：配置系统时区为GMT+8，北京时区。配置规范：clock timezone Beijing add 08:00:00 #在用户模式下配置配置验证：display clock配置注意细节：无。1.1.3.2NTP配置配置说明：使用NTP同步网络上所有设备的时间，保证网络设备得到

4、正确的时间。规范要求：配置主和备两组NTP服务器。配置规范：ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVERntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER配置验证：display clockdisplay ntp-service statusdisplay ntp-service session配置注意细节：无。1.1.4VTY接口配置1.1.4.1连接数限制配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接

5、占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。规范要求：配置BRAS路由器并发连接数限制为10个。配置规范：user-interface maximum-vty 10配置验证：display user-interface maximum-vty配置注意细节：无1.1.4.2空闲时间配置说明：设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。规范要求：对VTY登录超时设置进行配置，设置空闲时间为10分钟。配置规范：user-interface console 0idle-timeout 10 0user-inte

6、rface aux 0idle-timeout 10 0user-interface vty 0 9idle-timeout 10 0配置验证：disp curr | b user-interface配置注意细节：华为设备默认超时时间即为10分钟，配置后也不会显示配置。1.1.4.3访问控制列表配置说明：限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。规范要求：配置Telnet源地址限制，包含省公司地址段和最小化的地市网管中心维护IP网段。Telnet访问控制列表条目从10开始，条目的间隔步长为10，在访问控制列表的最后显示配置一条deny any any语句

7、。配置规范（参考）：acl number 2088 rule 10 permit source 0.0.0.255 rule 20 permit source 0.0.0.255 rule 30 permit source 0.0.0.255 rule 40 permit source 0.0.0.255 rule 50 permit source #地市网管地址段 rule 99 deny source any#user-interface vty 0 4 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound配置验证：di

8、sp acl 2088disp curr | b user-interface配置注意细节：无。1.1.4.4配置范例acl number 2088 rule 10 permit source 0.0.0.255 rule 20 permit source 0.0.0.255 rule 30 permit source 0.0.0.255 rule 40 permit source 0.0.0.255 rule 50 permit source #地市网管地址段 rule 99 deny source any# user-interface vty 0 4 authentication-mod

9、e aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound idle-timeout 10 0 用户超时断开连接时间设置为10分钟protocol inbound telnet 登录支持telnet协议1.1.5AAA配置1.1.5.1概述AAA使用Radius统一验证，全省统一大后台。1.1.5.2AAA配置配置说明：配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数规范要求：认证方式采用radius 方式计费方式采用radius 方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius 密钥时要与省后台相关人

10、员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置规范（参考）：radius-server template system radius方案名称为system主备radius和源地址在一条命令中 radius-server authentication 1645 source loopback 0 secondaryradius-server accounting 1645 source loopback 0 secondary radius-server shared-key aaa8010 undo radius-server user-name dom

11、ain-included nas-ip 上报radius报文中的源地址，取用上行接口的互联IP先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-scheme systemauthentication-mode radius localauthorization-scheme systemauthorization-mode if-authenticated localaccounting-scheme systemaccounting-mode 没有先radius后local

12、，只有如下方式 hwtacacs HWTACACS accounting local Local accounting local-hwtacacs Local HWTACACS accounting local-radius Local RADIUS accounting none No accounting radius RADIUS accounting domain systemaaa视图下domain system authentication login radius-scheme system local 配置认证方案为先radius，后local authorization l

13、ogin radius-scheme system local 配置授权方案为先radius，后local accounting login radius-scheme system local 配置计费方案为先radius，后local undo access-limit state activeundo idle-cut配置验证：display authentication-scheme system配置注意细节：无。1.1.5.3本地用户帐号配置说明：配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。规范要求：全省网络设备配置相同本地用户帐号admin，设置最高权限，使用省公司统

14、一指定的密码，根据实际情况可保留地市本地管理帐号。配置规范（参考）：local-user admin password cipher admin)* service-type telnet配置验证：display user name admin配置注意细节：保留地市本地帐号。1.2端口配置规范1.2.1Loopback地址配置配置说明：配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。规范要求：城域骨干网交换机配置一个loopback 0地址，掩码必须为32位。Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命

15、名及链路描述规范中规定。配置规范：interface LoopBack0 ip address *.*.*.* description For Management配置验证：disp inter loopback 0 1G1G1.1.1 配置验证：display ip routing-table protocol static配置注意细节：静态路由缺省优先级为60。1.3用户策略配置1.3.1定义防病毒访问控制列表配置说明：定义防病毒ACL，防御病毒攻击。规范要求：定义周知及常见的病毒端口。配置规范：acl number 3100 病毒端口过滤控制列表 rule 0 deny tcp dest

16、ination-port eq 3127 rule 1 deny tcp destination-port eq 1025 rule 2 deny tcp destination-port eq 5554 rule 3 deny tcp destination-port eq 9996 rule 4 deny tcp destination-port eq 1068 rule 5 deny tcp destination-port eq 135 rule 6 deny udp destination-port eq 135 rule 7 deny tcp destination-port eq

17、 137 rule 8 deny udp destination-port eq netbios-ns rule 9 deny tcp destination-port eq 138 rule 10 deny udp destination-port eq netbios-dgm rule 11 deny tcp destination-port eq 139 rule 12 deny udp destination-port eq netbios-ssn rule 13 deny tcp destination-port eq 593 rule 14 deny tcp destination

18、-port eq 4444 rule 15 deny tcp destination-port eq 5800 rule 16 deny tcp destination-port eq 5900 rule 17 deny tcp destination-port eq 8998 rule 18 deny tcp destination-port eq 445 rule 19 deny udp destination-port eq 445 rule 20 deny udp destination-port eq 1434 rule 21 deny udp destination-port eq

19、 1433 rule 22 deny tcp destination-port eq 707 rule 23 deny tcp destination-port eq 136配置验证：display cur配置注意细节：无1.3.2QOS策略配置配置说明：定义流类型，比如病毒端口过滤、QINGQ流（定义匹配用户VLAN范围）、网管入方向流及网管出方向流。定义相关的流动作及相关的策略。规范要求：流及QOS策略的名称由省公司统一制定。配置规范（参考）：traffic classifier virus-filter operator and 定义流：端口病毒过滤 if-match acl 3100

20、定义匹配报文的ACL规则traffic classifier qinq1 operator and 定义流：QinQ流 if-match customer-vlan-id 2 to 480 定义匹配用户vlan范围 if-match cvlan-id 2 traffic classifier qinq2 operator andif-match customer-vlan-id 481 to 960traffic classifier qinq3 operator andif-match customer-vlan-id 1001 to 1480traffic classifier qinq4

21、 operator andif-match customer-vlan-id 1481 to 1960traffic classifier qinq5 operator andif-match customer-vlan-id 1921 to 2000traffic classifier qinq6 operator andif-match customer-vlan-id 3001 to 3100#traffic classifier nm-hw-in operator and 定义流：网管入方向流（单层vlan标签） if-match customer-vlan-id 3991 定义匹配用

22、户vlan范围traffic classifier nm-zx-in operator and if-match customer-vlan-id 3990traffic classifier nm-in operator and if-match customer-vlan-id 4094traffic classifier nm-hw-out operator and 定义流：网管出方向流（单层vlan标签） if-match service-vlan-id 3991 定义网络侧vlan范围 if-match vlan-id 3991traffic classifier nm-zx-out

23、 operator and if-match service-vlan-id 3990traffic classifier nm-out operator and if-match service-vlan-id 4094#traffic behavior virus-filter 定义流动作：端口过滤 filter deny denytraffic behavior g2/0/1-1 定义流动作：G2/0/1端口第1个QinQ插入标签动作 nest top-most vlan-id 2001 创建外层vlan动作traffic behavior g2/0/1-2nest top-most v

24、lan-id 2002traffic behavior nm-hw-in remark service-vlan-id 3991 为流行为配置标记网络侧vlan的动作 remark vlan-id/clan-id 3991 traffic behavior nm-zx-in remark service-vlan-id 3990traffic behavior nm-in remark service-vlan-id 4094traffic behavior nm-hw-out remark customer-vlan-id 3991 为流行为配置标记用户侧vlan的动作remark vlan

25、-id/clan-id 3991traffic behavior nm-zx-out remark customer-vlan-id 3990traffic behavior nm-out remark customer-vlan-id 4094#qos policy virus-filter 定义策略：端口过滤traffic policy virus-filter qos policy均使用traffic policy替换 classifier virus-filter behavior virus-filter 为流指定动作，把流和动作关联起来qos policy g2/0/1 定义策略：

26、QinQ端口入方向，按端口命名classifier nm-hw-in behavior nm-hw-in 网管使用 classifier nm-zx-in behavior nm-zx-in 网管使用classifier nm-in behavior nm-in 网管使用 classifier qinq1 behavior g2/0/1-1 按端口需要配置classifier qinq2 behavior g2/0/1-2 按端口需要配置qos policy nm 定义策略：网管出方向 classifier nm-hw-out behavior nm-hw-out classifier nm-

27、zx-out behavior nm-zx-out classifier nm-out behavior nm-out1.3.3用户限速配置配置说明：设置用户限速。规范要求：采用qos policy为用户限速。配置规范：acl number 4000 rule 0 permittraffic classifier rate operator and 定义流：所有流量 if-match acl 4000traffic behavior rate-1m 定义流动作：入方向限速 car cir 1024 cbs 102400 ebs 102400 pir 1024 green pass red di

28、scard yellow pass car cir 1024 pir 1024 cbs 1024000 pbs 1024000 green pass red discard yellow passtraffic behavior rate-2m car cir 2048 cbs 204800 ebs 204800 pir 2048 green pass red discard yellow passtraffic behavior rate-5m car cir 5120 cbs 512000 ebs 512000 pir 5120 green pass red discard yellow

29、passtraffic behavior rate-10m car cir 10240 cbs 1024000 ebs 1024000 pir 10240 green pass red discard yellow passtraffic behavior rate-15m car cir 15360 cbs 1536000 ebs 1536000 pir 15360 green pass red discard yellow passtraffic behavior rate-20m car cir 20480 cbs 2048000 ebs 2048000 pir 20480 green

30、pass red discard yellow passtraffic behavior rate-30m car cir 30720 cbs 3072000 ebs 3072000 pir 30720 green pass red discard yellow passqos policy rate-1m 定义策略：入方向限速traffic policy rate-1m classifier rate behavior rate-1mqos policy rate-2m classifier rate behavior rate-2mqos policy rate-5m classifier rate behavior rate-5mqos policy rate-10m classifier rate behavior rate-10mqos policy rate-15m classifier rate behavior rate-15mqos policy rate-20m classifier rate behavior rate-