ImageVerifierCode 换一换
格式:DOCX , 页数:24 ,大小:51.71KB ,
资源ID:7640148      下载积分:3 金币
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换



验证码:   换一换
三方登录: 微信登录   QQ登录  


1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(华为S9306配置规范标准.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!


1、华为S9306配置规范标准华为S9603配置规范1.1 系统基本配置规范1.1.1 设备名称配置配置说明:规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。规范要求:设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。配置规范:sysname HS-TJL-DSW-1.M.9306配置验证:配置后立即生效,设备名称显示在配置命令行的左边。配置注意细节:可以根据需要在.M后添加设备型号。1.1.2 Banner配置配置说明:统一Banner语言,以省网标准为主。规范要求:城域网所有交换机配置统一的Banner信息,

2、登陆时提示:WARNING! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! 配置规范:Quidway header login information %WARNING! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!%配置验

3、证:登陆路由器时应看到banner提示。配置注意细节:Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。1.1.3 设备自身时间及NTPNTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。 时区配置配置说明:统一设备的时区配置。规范要求:配置系统时区为GMT+8,北京时区。配置规范:clock timezone Beijing add 08:00:00 #在用户模式下配置配置验证:display clock配置注意细节:无。 NTP配置配置说明:使用NTP同步网络

4、上所有设备的时间,保证网络设备得到正确的时间。规范要求:配置主和备两组NTP服务器。配置规范:ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVERntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER配置验证:display clockdisplay ntp-service statusdisplay ntp-service session配置注意细节:无。1.1.4 VTY接口配置1.1.4.1 连接数限制配置说明:对同时远程登陆到设备上的session数进行

5、限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。规范要求:配置BRAS路由器并发连接数限制为10个。配置规范:user-interface maximum-vty 10配置验证:display user-interface maximum-vty配置注意细节:无1.1.4.2 空闲时间配置说明:设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。规范要求:对VTY登录超时设置进行配置,设置空闲时间为10分钟。配置规范:user-interface console 0idle-t

6、imeout 10 0user-interface aux 0idle-timeout 10 0user-interface vty 0 9idle-timeout 10 0配置验证:disp curr | b user-interface配置注意细节:华为设备默认超时时间即为10分钟,配置后也不会显示配置。 访问控制列表配置说明:限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。规范要求:配置Telnet源地址限制,包含省公司地址段和最小化的地市网管中心维护IP网段。Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最

7、后显示配置一条deny any any语句。配置规范(参考):acl number 2088 rule 10 permit source rule 20 permit source rule 30 permit source rule 40 permit source rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any#user

8、-interface vty 0 4 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound配置验证:disp acl 2088disp curr | b user-interface配置注意细节:无。 配置范例acl number 2088 rule 10 permit source rule 20 permit source rule 30 permit source rule

9、 40 permit source rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any# user-interface vty 0 4 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound idle-timeout 10 0 用户超时断开连接时间设置为10分钟protocol inbound telnet 登录支持telnet协议1.1.5 AAA配置1.1.5.1 概述AAA使用Radiu

10、s统一验证,全省统一大后台。 AAA配置配置说明:配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数规范要求:认证方式采用radius 方式计费方式采用radius 方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius 密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置规范(参考):radius-server template system radius方案名称为system主备radius和源地址在一条命令中 radius-server authenticatio

11、n 1645 source loopback 0 secondaryradius-server accounting 1645 source loopback 0 secondary radius-server shared-key aaa8010 undo radius-server user-name domain-included nas-ip 上报radius报文中的源地址,取用上行接口的互联IP先在aaa视图下配置authentication-scheme、authorization-schem

12、e、accounting-schemeauthentication-scheme systemauthentication-mode radius localauthorization-scheme systemauthorization-mode if-authenticated localaccounting-scheme systemaccounting-mode 没有先radius后local,只有如下方式 hwtacacs HWTACACS accounting local Local accounting local-hwtacacs Local HWTACACS accounti

13、ng local-radius Local RADIUS accounting none No accounting radius RADIUS accounting domain systemaaa视图下domain system authentication login radius-scheme system local 配置认证方案为先radius,后local authorization login radius-scheme system local 配置授权方案为先radius,后local accounting login radius-scheme system local

14、配置计费方案为先radius,后local undo access-limit state activeundo idle-cut配置验证:display authentication-scheme system配置注意细节:无。 本地用户帐号配置说明:配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。规范要求:全省网络设备配置相同本地用户帐号admin,设置最高权限,使用省公司统一指定的密码,根据实际情况可保留地市本地管理帐号。配置规范(参考):local-user admin password cipher admin)* service-type telnet配置验

15、证:display user name admin配置注意细节:保留地市本地帐号。1.2 端口配置规范1.2.1 Loopback地址配置配置说明:配置Loopback地址,提供一个永远up的IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。规范要求:城域骨干网交换机配置一个loopback 0地址,掩码必须为32位。Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。配置规范:interface LoopBack0 ip address *.*.*.* description For Managem

16、ent配置验证:disp inter loopback 0 /查看运行情况dis current-configuration interface LoopBack 0 /查看配置情况配置注意细节:无1.2.2 GE端口配置1.2.2.1 GE用做上连接口配置说明:配置GE端口用做上连接口。规范要求:配置GE端口speed 设置为1000M,双工为自行协商,并且在端口上定义病毒过滤策略。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范:interface GigabitEthernet2/0/21 port link-type

17、 trunk undo port trunk permit vlan 1undo port trunk allow-pass vlan 1 port trunk permit vlan 100 2001 to 2005 port trunk allow-pass vlan 100 2001 to 2005speed 1000 duplex full description dT:ZQ-HT-DSW-1.M 1G:GI1/0/0 qos apply policy virus-filter inbound 上行端口应用端口过滤的策略 traffic-policy virus-filter inbo

18、und qos apply policy virus-filter outbound traffic-policy virus-filter outbound配置验证:disp inter gi2/0/21 /查看运行情况disp cu inter gi2/0/21 /查看配置情况配置注意细节:无。 GE端口QINQ配置配置说明:配置GE端口用做下联接口,开启QINQ功能。规范要求:配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范:interface GigabitEthernet

19、4/0/1 port link-type hybrid undo port hybrid vlan 1 vlan 1可以undo掉 port hybrid vlan 3990 to 3991 4094 tagged port hybrid vlan 1001 to 1005 untagged qinq enable qos apply policy g4/0/1 inbound qos apply policy nm outbound description dT:ZQ-HT-DSW-1.M 1G:GI1/0/0配置验证:disp inter gi4/0/1 /查看运行情况disp cu in

20、ter gi4/0/1 /查看配置情况配置注意细节:无。 FE端口QINQ配置配置说明:配置FE端口做下联端口,开启QINQ功能。规范要求:配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。配置规范:interface Ethernet3/0/1 port link-type hybrid port hybrid vlan 3990 to 3991 4094 tagged 网管vlan port hybrid tagged vlan 3990 to 3991 4094 port hybrid vlan 1 2001 to 2005

21、untagged vlan 1不能undo掉,其他为QinQ的外层vlan port hybrid tagged vlan 1 2001 to 2005qinq enable 端口下使能QinQ功能 port link-type dot1q-tunnelqos apply policy e3/0/1 inbound 应用针对此端口的QinQ策略,入方向traffic-policy e3/0/1 inbound 入方向限速可以使用qos car qos apply policy nm outbound 应用网管vlan的出方向策略traffic-policy nm outbound配置验证:di

22、splay interface GigabitEthernet3/0/1 /查看运行情况disp cu inter gi3/0/1 /查看配置情况配置注意细节:无。 GE、FE端口专线配置配置说明:配置接入专线用户的GE、FE端口。规范要求:配置限速策略。配置规范:interface GigabitEthernet4/0/2 port access vlan 3501 qos apply policy rate-1m inbound 入方向限速,应用限速策略traffic-policy e3/0/1 inbound 入方向限速可以使用qos carqos lr outbound

23、cir 1024 cbs 102400 出方向限速,直接设定,cbs=100cir,cir单位Kbps qos lr cir 1024 cbs 102400 outbound配置验证:display interface GigabitEthernet4/0/2 /查看运行情况disp cu inter GigabitEthernet4/0/2 /查看配置情况配置注意细节:无。1.3 路由协议配置规范1.3.1 静态路由配置1.3.1.1 静态路由配置方式配置说明:手工配置静态路由并设定相关参数。规范要求:无。配置规范:ip route-static

24、5 配置验证:display ip routing-table protocol static配置注意细节:静态路由缺省优先级为60。1.4 用户策略配置1.4.1 定义防病毒访问控制列表配置说明:定义防病毒ACL,防御病毒攻击。规范要求:定义周知及常见的病毒端口。配置规范:acl number 3100 病毒端口过滤控制列表 rule 0 deny tcp destination-port eq 3127 rule 1 deny tcp destination-port eq 1025 rule 2 deny tcp destination-port eq 5554 rule

25、 3 deny tcp destination-port eq 9996 rule 4 deny tcp destination-port eq 1068 rule 5 deny tcp destination-port eq 135 rule 6 deny udp destination-port eq 135 rule 7 deny tcp destination-port eq 137 rule 8 deny udp destination-port eq netbios-ns rule 9 deny tcp destination-port eq 138 rule 10 deny ud

26、p destination-port eq netbios-dgm rule 11 deny tcp destination-port eq 139 rule 12 deny udp destination-port eq netbios-ssn rule 13 deny tcp destination-port eq 593 rule 14 deny tcp destination-port eq 4444 rule 15 deny tcp destination-port eq 5800 rule 16 deny tcp destination-port eq 5900 rule 17 d

27、eny tcp destination-port eq 8998 rule 18 deny tcp destination-port eq 445 rule 19 deny udp destination-port eq 445 rule 20 deny udp destination-port eq 1434 rule 21 deny udp destination-port eq 1433 rule 22 deny tcp destination-port eq 707 rule 23 deny tcp destination-port eq 136配置验证:display cur配置注意

28、细节:无1.4.2 QOS策略配置配置说明:定义流类型,比如病毒端口过滤、QINGQ流(定义匹配用户VLAN范围)、网管入方向流及网管出方向流。定义相关的流动作及相关的策略。规范要求:流及QOS策略的名称由省公司统一制定。配置规范(参考):traffic classifier virus-filter operator and 定义流:端口病毒过滤 if-match acl 3100 定义匹配报文的ACL规则traffic classifier qinq1 operator and 定义流:QinQ流 if-match customer-vlan-id 2 to 480 定义匹配用户vlan范

29、围 if-match cvlan-id 2 traffic classifier qinq2 operator andif-match customer-vlan-id 481 to 960traffic classifier qinq3 operator andif-match customer-vlan-id 1001 to 1480traffic classifier qinq4 operator andif-match customer-vlan-id 1481 to 1960traffic classifier qinq5 operator andif-match customer-

30、vlan-id 1921 to 2000traffic classifier qinq6 operator andif-match customer-vlan-id 3001 to 3100#traffic classifier nm-hw-in operator and 定义流:网管入方向流(单层vlan标签) if-match customer-vlan-id 3991 定义匹配用户vlan范围traffic classifier nm-zx-in operator and if-match customer-vlan-id 3990traffic classifier nm-in operator and if-match customer-vlan-id 4094traffic classifier nm-hw-out operator and 定义流:网管出方向流(单层vlan标签) if-match service-vlan-id 3991 定义网络侧vlan范围 if-match vlan-id 3991traffic cla

copyright@ 2008-2022 冰豆网网站版权所有
