華為S9306配置規(guī)范_第1頁
華為S9306配置規(guī)范_第2頁
華為S9306配置規(guī)范_第3頁
華為S9306配置規(guī)范_第4頁
華為S9306配置規(guī)范_第5頁
已閱讀5頁,還剩17頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

華為S9603配置規(guī)范PAGE第1頁目錄TOC\o"1-4"\h\z\u第3章 華為S9603配置規(guī)范 13.1 系統(tǒng)基本配置規(guī)范 13.1.1 設(shè)備名稱配置 13.1.2 Banner配置 13.1.3 設(shè)備自身時間及NTP 23.1.3.1 時區(qū)配置 23.1.3.2 NTP配置 23.1.4 VTY接口配置 33.1.4.1 連接數(shù)限制 33.1.4.2 空閑時間 33.1.4.3 訪問控制列表 43.1.4.4 配置范例 43.1.5 AAA配置 53.1.5.1 概述 53.1.5.2 AAA配置 53.1.5.3 本地用戶帳號 73.2 端口配置規(guī)范 73.2.1 Loopback地址配置 73.2.2 GE端口配置 83.2.2.1 GE用做上連接口 83.2.2.2 GE端口QINQ配置 93.2.2.3 FE端口QINQ配置 93.2.2.4 GE、FE端口專線配置 103.3 路由協(xié)議配置規(guī)范 103.3.1 靜態(tài)路由配置 103.3.1.1 靜態(tài)路由配置方式 103.4 用戶策略配置 113.4.1 定義防病毒訪問控制列表 113.4.2 QOS策略配置 123.4.3 用戶限速配置 133.5 網(wǎng)管配置 143.5.1 SNMP管理代理配置 143.5.1.1 全局開啟SNMP進程 143.5.1.2 ROCommunity值 153.5.1.3 RWCommunity值 163.5.1.4 SNMP訪問控制列表 163.5.2 故障管理配置 173.5.2.1 SNMPTRAP信息內(nèi)容 173.5.2.2 SNMPTRAP服務(wù)器地址 173.5.2.3 SNMPTRAP消息源地址 183.5.2.4 SYSLOG服務(wù)器地址 183.5.2.5 SYSLOG信息級別 183.5.2.6 SYSLOG消息源地址 183.5.2.7 配置范例(參考) 19第1頁配置驗證:dispcurr|buser-interface配置注意細節(jié):華為設(shè)備默認超時時間即為10分鐘,配置后也不會顯示配置。訪問控制列表配置說明:限制Telnet登錄網(wǎng)絡(luò)的源地址,從而增強設(shè)備的安全性,最大限度防止非法登陸嘗試。規(guī)范要求:配置Telnet源地址限制,包含省公司地址段和最小化的地市網(wǎng)管中心維護IP網(wǎng)段。Telnet訪問控制列表條目從10開始,條目的間隔步長為10,在訪問控制列表的最后顯示配置一條denyanyany語句。配置規(guī)范(參考):aclnumber2088rule10permitsource202.105.80.00.0.0.255rule20permitsource202.105.82.00.0.0.255rule30permitsource59.37.66.00.0.0.255rule40permitsource125.88.116.00.0.0.255rule50permitsourceX.X.X.XX.X.X.X#地市網(wǎng)管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#設(shè)置VTY口登錄用戶的驗證方式為AAAacl2088inbound配置驗證:dispacl2088dispcurr|buser-interface配置注意細節(jié):無。配置范例aclnumber2088rule10permitsource202.105.80.00.0.0.255rule20permitsource202.105.82.00.0.0.255rule30permitsource59.37.66.00.0.0.255rule40permitsource125.88.116.00.0.0.255rule50permitsourceX.X.X.XX.X.X.X#地市網(wǎng)管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#設(shè)置VTY口登錄用戶的驗證方式為AAAacl2088inboundidle-timeout100用戶超時斷開連接時間設(shè)置為10分鐘protocolinboundtelnet登錄支持telnet協(xié)議AAA配置概述AAA使用Radius統(tǒng)一驗證,全省統(tǒng)一大后臺。AAA配置配置說明:配置用戶的認證方式配置用戶的計費方式配置用戶認證服務(wù)器地址及參數(shù)配置用戶計費服務(wù)器地址及參數(shù)規(guī)范要求:認證方式采用radius方式計費方式采用radius方式認證及計費服務(wù)器的地址根據(jù)省公司統(tǒng)一安排情況設(shè)置設(shè)置Radius密鑰時要與省后臺相關(guān)人員協(xié)商確定認證端口號根據(jù)各個地方的實際情況設(shè)置計費端口號根據(jù)各個地方的實際情況設(shè)置配置規(guī)范(參考):radius-servertemplatesystemradius方案名稱為system主備radius和源地址在一條命令中radius-serverauthentication202.103.28.1381645sourceloopback0secondaryradius-serveraccounting202.103.28.1381645sourceloopback0secondaryradius-servershared-keyaaa8010undoradius-serveruser-namedomain-includednas-ip59.175.247.182上報radius報文中的源地址,取用上行接口的互聯(lián)IP先在aaa視圖下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-schemesystemauthentication-moderadiuslocalauthorization-schemesystemauthorization-modeif-authenticatedlocalaccounting-schemesystemaccounting-mode沒有先radius后local,只有如下方式hwtacacsHWTACACSaccountinglocalLocalaccountinglocal-hwtacacsLocalHWTACACSaccountinglocal-radiusLocalRADIUSaccountingnoneNoaccountingradiusRADIUSaccountingdomainsystemaaa視圖下domainsystemauthenticationloginradius-schemesystemlocal配置認證方案為先radius,后localauthorizationloginradius-schemesystemlocal配置授權(quán)方案為先radius,后localaccountingloginradius-schemesystemlocal配置計費方案為先radius,后localundoaccess-limitstateactiveundoidle-cut配置驗證:displayauthentication-schemesystem配置注意細節(jié):無。本地用戶帳號配置說明:配置本地用戶帳號,作為AAA服務(wù)器連接失敗時的應(yīng)急登陸用。規(guī)范要求:全省網(wǎng)絡(luò)設(shè)備配置相同本地用戶帳號admin,設(shè)置最高權(quán)限,使用省公司統(tǒng)一指定的密碼,根據(jù)實際情況可保留地市本地管理帳號。配置規(guī)范(參考):local-useradminpasswordcipheradmin@))*service-typetelnet配置驗證:displayusernameadmin配置注意細節(jié):保留地市本地帳號。端口配置規(guī)范Loopback地址配置配置說明:配置Loopback地址,提供一個永遠up的IP地址,用于各種路由協(xié)議鄰居的建立、遠程登錄、設(shè)備管理等。規(guī)范要求:城域骨干網(wǎng)交換機配置一個loopback0地址,掩碼必須為32位。Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述規(guī)范中規(guī)定。配置規(guī)范:interfaceLoopBack0ipaddress*.*.*.*255.255.255.255descriptionForManagement配置驗證:dispinterloopback0//查看運行情況discurrent-configurationinterfaceLoopBack0//查看配置情況配置注意細節(jié):無GE端口配置GE用做上連接口配置說明:配置GE端口用做上連接口。規(guī)范要求:配置GE端口speed設(shè)置為1000M,雙工為自行協(xié)商,并且在端口上定義病毒過濾策略。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述規(guī)范中規(guī)定。并注意端口描述中的對端端口應(yīng)區(qū)別不同設(shè)備。配置規(guī)范:interfaceGigabitEthernet2/0/21portlink-typetrunkundoporttrunkpermitvlan1undoporttrunkallow-passvlan1porttrunkpermitvlan1002001to2005porttrunkallow-passvlan1002001to2005speed1000duplexfulldescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0qosapplypolicyvirus-filterinbound上行端口應(yīng)用端口過濾的策略traffic-policyvirus-filterinboundqosapplypolicyvirus-filteroutboundtraffic-policyvirus-filteroutbound配置驗證:dispintergi2/0/21//查看運行情況dispcuintergi2/0/21//查看配置情況配置注意細節(jié):無。GE端口QINQ配置配置說明:配置GE端口用做下聯(lián)接口,開啟QINQ功能。規(guī)范要求:配置開啟GE端口QINQ功能。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述規(guī)范中規(guī)定。并注意端口描述中的對端端口應(yīng)區(qū)別不同設(shè)備。配置規(guī)范:interfaceGigabitEthernet4/0/1portlink-typehybridundoporthybridvlan1vlan1可以undo掉porthybridvlan3990to39914094taggedporthybridvlan1001to1005untaggedqinqenableqosapplypolicyg4/0/1inboundqosapplypolicynmoutbounddescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0配置驗證:dispintergi4/0/1//查看運行情況dispcuintergi4/0/1//查看配置情況配置注意細節(jié):無。FE端口QINQ配置配置說明:配置FE端口做下聯(lián)端口,開啟QINQ功能。規(guī)范要求:配置開啟GE端口QINQ功能。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述規(guī)范中規(guī)定。配置規(guī)范:interfaceEthernet3/0/1portlink-typehybridporthybridvlan3990to39914094tagged網(wǎng)管vlanporthybridtaggedvlan3990to39914094porthybridvlan12001to2005untaggedvlan1不能undo掉,其他為QinQ的外層vlanporthybridtaggedvlan12001to2005qinqenable端口下使能QinQ功能portlink-typedot1q-tunnelqosapplypolicye3/0/1inbound應(yīng)用針對此端口的QinQ策略,入方向traffic-policye3/0/1inbound入方向限速可以使用qoscarqosapplypolicynmoutbound應(yīng)用網(wǎng)管vlan的出方向策略traffic-policynmoutbound配置驗證:displayinterfaceGigabitEthernet3/0/1//查看運行情況dispcuintergi3/0/1//查看配置情況配置注意細節(jié):無。GE、FE端口專線配置配置說明:配置接入專線用戶的GE、FE端口。規(guī)范要求:配置限速策略。配置規(guī)范:interfaceGigabitEthernet4/0/2portaccessvlan3501qosapplypolicyrate-1minbound入方向限速,應(yīng)用限速策略traffic-policye3/0/1inbound入方向限速可以使用qoscarqoslroutboundcir1024cbs102400出方向限速,直接設(shè)定,cbs=100cir,cir單位Kbpsqoslrcir1024cbs102400outbound配置驗證:displayinterfaceGigabitEthernet4/0/2//查看運行情況dispcuinterGigabitEthernet4/0/2//查看配置情況配置注意細節(jié):無。路由協(xié)議配置規(guī)范靜態(tài)路由配置靜態(tài)路由配置方式配置說明:手工配置靜態(tài)路由并設(shè)定相關(guān)參數(shù)。規(guī)范要求:無。配置規(guī)范:iproute-static1.1.1.1255.255.255.2552.2.2.2配置驗證:displayiprouting-tableprotocolstatic配置注意細節(jié):靜態(tài)路由缺省優(yōu)先級為60。用戶策略配置定義防病毒訪問控制列表配置說明:定義防病毒ACL,防御病毒攻擊。規(guī)范要求:定義周知及常見的病毒端口。配置規(guī)范:aclnumber3100病毒端口過濾控制列表rule0denytcpdestination-porteq3127rule1denytcpdestination-porteq1025rule2denytcpdestination-porteq5554rule3denytcpdestination-porteq9996rule4denytcpdestination-porteq1068rule5denytcpdestination-porteq135rule6denyudpdestination-porteq135rule7denytcpdestination-porteq137rule8denyudpdestination-porteqnetbios-nsrule9denytcpdestination-porteq138rule10denyudpdestination-porteqnetbios-dgmrule11denytcpdestination-porteq139rule12denyudpdestination-porteqnetbios-ssnrule13denytcpdestination-porteq593rule14denytcpdestination-porteq4444rule15denytcpdestination-porteq5800rule16denytcpdestination-porteq5900rule17denytcpdestination-porteq8998rule18denytcpdestination-porteq445rule19denyudpdestination-porteq445rule20denyudpdestination-porteq1434rule21denyudpdestination-porteq1433rule22denytcpdestination-porteq707rule23denytcpdestination-porteq136配置驗證:displaycur配置注意細節(jié):無QOS策略配置配置說明:定義流類型,比如病毒端口過濾、QINGQ流(定義匹配用戶VLAN范圍)、網(wǎng)管入方向流及網(wǎng)管出方向流。定義相關(guān)的流動作及相關(guān)的策略。規(guī)范要求:流及QOS策略的名稱由省公司統(tǒng)一制定。配置規(guī)范(參考):trafficclassifiervirus-filteroperatorand定義流:端口病毒過濾if-matchacl3100定義匹配報文的ACL規(guī)則trafficclassifierqinq1operatorand定義流:QinQ流if-matchcustomer-vlan-id2to480定義匹配用戶vlan范圍if-matchcvlan-id2trafficclassifierqinq2operatorandif-matchcustomer-vlan-id481to960trafficclassifierqinq3operatorandif-matchcustomer-vlan-id1001to1480trafficclassifierqinq4operatorandif-matchcustomer-vlan-id1481to1960trafficclassifierqinq5operatorandif-matchcustomer-vlan-id1921to2000trafficclassifierqinq6operatorandif-matchcustomer-vlan-id3001to3100#trafficclassifiernm-hw-inoperatorand定義流:網(wǎng)管入方向流(單層vlan標簽)if-matchcustomer-vlan-id3991定義匹配用戶vlan范圍trafficclassifiernm-zx-inoperatorandif-matchcustomer-vlan-id3990trafficclassifiernm-inoperatorandif-matchcustomer-vlan-id4094trafficclassifiernm-hw-outoperatorand定義流:網(wǎng)管出方向流(單層vlan標簽)if-matchservice-vlan-id3991定義網(wǎng)絡(luò)側(cè)vlan范圍if-matchvlan-id3991trafficclassifiernm-zx-outoperatorandif-matchservice-vlan-id3990trafficclassifiernm-outoperatorandif-matchservice-vlan-id4094#trafficbehaviorvirus-filter定義流動作:端口過濾filterdenydenytrafficbehaviorg2/0/1-1定義流動作:G2/0/1端口第1個QinQ插入標簽動作nesttop-mostvlan-id2001創(chuàng)建外層vlan動作trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991為流行為配置標記網(wǎng)絡(luò)側(cè)vlan的動作remarkvlan-id/clan-id3991trafficbehaviornm-zx-inremarkservice-vlan-id3990trafficbehaviornm-inremarkservice-vlan-id4094trafficbehaviornm-hw-outremarkcustomer-vlan-id3991為流行為配置標記用戶側(cè)vlan的動作remarkvlan-id/clan-id3991trafficbehaviornm-zx-outremarkcustomer-vlan-id3990trafficbehaviornm-outremarkcustomer-vlan-id4094#qospolicyvirus-filter定義策略:端口過濾trafficpolicyvirus-filterqospolicy均使用trafficpolicy替換classifiervirus-filterbehaviorvirus-filter為流指定動作,把流和動作關(guān)聯(lián)起來qospolicyg2/0/1定義策略:QinQ端口入方向,按端口命名classifiernm-hw-inbehaviornm-hw-in網(wǎng)管使用classifiernm-zx-inbehaviornm-zx-in網(wǎng)管使用classifiernm-inbehaviornm-in網(wǎng)管使用classifierqinq1behaviorg2/0/1-1按端口需要配置classifierqinq2behaviorg2/0/1-2按端口需要配置qospolicynm定義策略:網(wǎng)管出方向classifiernm-hw-outbehaviornm-hw-outclassifiernm-zx-outbehaviornm-zx-outclassifiernm-outbehaviornm-out用戶限速配置配置說明:設(shè)置用戶限速。規(guī)范要求:采用qospolicy為用戶限速。配置規(guī)范:aclnumber4000rule0permittrafficclassifierrateoperatorand定義流:所有流量if-matchacl4000trafficbehaviorrate-1m定義流動作:入方向限速carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpasscarcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpasstrafficbehaviorrate-2mcarcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpasstrafficbehaviorrate-5mcarcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpasstrafficbehaviorrate-10mcarcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpasstrafficbehaviorrate-15mcarcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpasstrafficbehaviorrate-20mcarcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpasstrafficbehaviorrate-30mcarcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpassqospolicyrate-1m定義策略:入方向限速trafficpolicyrate-1mclassifierratebehaviorrate-1mqospolicyrate-2mclassifierratebehaviorrate-2mqospolicyrate-5mclassifierratebehaviorrate-5mqospolicyrate-10mclassifierratebehaviorrate-10mqospolicyrate-15mclassifierratebehaviorrate-15mqospolicyrate-20mclassifierratebehaviorrate-20mqospolicyrate-30mclassifierratebehaviorrate-30m配置驗證:displayscheduler-profileall配置注意細節(jié):無。網(wǎng)管配置SNMP管理代理配置全局開啟SNMP進程配置說明:SNMP的結(jié)構(gòu)分為NMS(NetworkManagementStation)和Agent兩部分。SNMP就是用來規(guī)定NMS和Agent之間是如何傳遞管理信息的應(yīng)用層協(xié)議。NMS,是運行客戶端程序的工作站,網(wǎng)管站(NMS)對網(wǎng)絡(luò)設(shè)備發(fā)送各種查詢報文,接收來自被管理設(shè)備的響應(yīng)報文及Trap報文,并將結(jié)果顯示出來。Agent是駐留在被管理設(shè)備上的一個進程,負責(zé)接受、處理來自網(wǎng)管站的Request報文,根據(jù)報文類型對管理變量進行Read或Write操作,并生成Response報文,反送給NMS。另一方面,Agent在設(shè)備發(fā)生冷/熱啟動等異常情況時,也會主動向NMS發(fā)送Trap報文報告所發(fā)生的事件。NMS與Agent的關(guān)系如下圖所示:規(guī)范要求:要求統(tǒng)一配置交換機作為SNMPAgent,處理NMS發(fā)來的查詢報文并返回響應(yīng)報文。配置規(guī)范:snmp-agent#啟動SNMPAgent服務(wù)配置驗證:displaysnmp-agentsys-info配置注意細節(jié):無。ROCommunity值配置說明:SNMP團體(Community)由一字符串來命名,稱為團體名(CommunityName)。不同的團體可具有只讀(read-only)或讀寫(read-write)訪問模式。具有只讀權(quán)限的團體只能對設(shè)備信息進行查詢,而具有讀寫權(quán)限的團體還可以對設(shè)備進行配置。配置community字符串不要過于簡單,一般應(yīng)由字母、數(shù)字及特殊字符等組成,用于提高SNMP協(xié)議安全。規(guī)范要求:規(guī)范、統(tǒng)一配置設(shè)備的SNMPROCOMMNITY由省公司統(tǒng)一指定,根據(jù)需要保留地市COMMUNITY字符串。配置規(guī)范(參考):snmp-agentcommunityreadhbnoc-ipnms#設(shè)置團體名及訪問權(quán)限snmp-agentcommunityread********配置驗證:displaysnmp-agentcommunityread配置注意細節(jié):無。RWCommunity值配置說明:具有寫權(quán)限的的團體可以對設(shè)備進行配置。規(guī)范要求:規(guī)范、統(tǒng)一配置設(shè)備的SNMPROCOMMNITY由省公司統(tǒng)一指定,根據(jù)需要保留地市COMMUNITY字符串。配置規(guī)范(參考):snmp-agentcommunitywritehbnoc-ipnms-rw#設(shè)置團體名及訪問權(quán)限配置驗證:displaysnmp-agentcommunitywrite配置注意細節(jié):無。SNMP訪問控制列表配置說明:對SNMP增加ACL訪問列表,只允許指定的IP地址能通過SNMP協(xié)議訪問設(shè)備。規(guī)范要求:IP地址段由省公司統(tǒng)一制定。配置規(guī)范(參考):snmp-agentcommunityreadhbn

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論