华为S9306配置规范

学习文档仅供参考学习文档仅供参考学习文档仅供参考学习文档仅供参考TOC\o"1-5"\h\z第3章华为S9603配置标准 1系统基本配置标准 1设备名称配置 1Banner配置 1设备自身时间及NTP 2时区配置 2NTP配置 2VTY接口配置 3连接数限制 3空闲时间 3访问控制列表 4配置范例 4AAA配置 5概述 5AAA酉己置 5本地用户帐号 7端口配置标准 7Loopback地址配置 7GE端口配置 8GE用做上连接口 8GE端口QINQ配置 9FE端口QINQ配置 9GE、FE端口专线配置 10路由协议配置标准 10静态路由配置 10静态路由配置方式 10用户策略配置 11定义防病毒访问控制列表 11QOS策略配置 12用户限速配置 13网管配置 14SNMP管理代理配置 14全局开启SNMP进程 14ROCommunity值 15RWCommunity值 16SNMP访问控制列表 16故障管理配置 17SNMPTRAP信息内容 17SNMPTRAP服务器地址 17SNMPTRAP消息源地址 18SYSLOG服务器地址 18SYSLOG信息级别 18SYSLOG消息源地址 18配置范例〔参考〕 19第1章华为S9603配置标准系统基本配置标准设备名称配置配置说明：标准设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。标准要求：设备名称要求符合第二章中“ip城域网网络设备命名及链路描述标准”中规定。配置标准：sysnameHS-TJL-DSW-1.M.9306配置验证：配置后立即生效，设备名称显示在配置命令行的左边。配置注意细节：可以根据需要在.M后添加设备型号。Banner酉己置配置说明：统一Banner语言，以省网标准为主。标准要求：城域网所有交换机配置统一的Banner信息，登陆时提示：WARNING!!!Authorisedaccessonly,allofyourdonewillberecorded!disconnectIMMEDIATELYifyouarenotanauthoriseduser!配置标准：[Quidway]headerlogininformation%WARNING!!!Authorisedaccessonly,allofyourdonewillberecorded!disconnectIMMEDIATELYifyouarenotanauthoriseduser!%配置验证：登陆路由器时应看到banner提示。配置注意细节：Banner语言应起到提示和警告非授权访问者的作用，严禁在Banner中出现任何表示欢送的字样。设备自身时间及NTPNTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。时区配置配置说明：统一设备的时区配置。标准要求：配置系统时区为GMT+8,北京时区。配置标准：clocktimezoneBeijingadd08:00:00 #在用户模式下配置配置验证：displayclock配置注意细节：无。NTP配置配置说明：使用NTP同步网络上所有设备的时间，保证网络设备得到正确的时间。标准要求：配置主和备两组NTP服务器。配置标准：ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVERntp-serviceunicast-server*.*.*.* #另一台出口为备用NTPSERVER配置验证：displayclockdisplayntp-servicestatusdisplayntp-servicesession 配置注意细节：无。VTY接口配置连接数限制配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。标准要求：配置BRAS路由器并发连接数限制为10个。配置标准：user-interfacemaximum-vty10配置验证：displayuser-interfacemaximum-vty配置注意细节：无空闲时间配置说明：设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。标准要求：对VTY登录超时设置进行配置，设置空闲时间为10分钟。配置标准：user-interfaceconsole0idle-timeout100user-interfaceaux0idle-timeout100user-interfacevty09 idle-timeout100配置验证：dispcurr|buser-interface配置注意细节：华为设备默认超时时间即为10分钟，配置后也不会显示配置。访问控制列表配置说明：限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。标准要求：配置Telnet源地址限制，包含省公司地址段和最小化的地市网管中心维护IP网段。Telnet访问控制列表条目从10开始，条目的间隔步长为10，在访问控制列表的最后显示配置一条denyanyany语句。配置标准〔参考〕：aclnumber2088rule10permitsource202.105.80.0.255rule20permitsource202.105.82.0.255rule30permitsource59.37.66.0.255rule40permitsource125.88.116.0.255rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#设置VTY口登录用户的验证方式为AAAacl2088inbound 配置验证：dispacl2088dispcurr|buser-interface配置注意细节：无。配置范例aclnumber2088rule10permitsource202.105.80.0.255rule20permitsource202.105.82.0.255rule30permitsource59.37.66.0.255rule40permitsource125.88.116.0.255rule50permitsourceX.X.X.XX.X.X.X #地市网管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#设置VTY口登录用户的验证方式为AAAacl2088inboundidle-timeout100 用户超时断开连接时间设置为10分钟protocolinboundtelnet 登录支持telnet协议AAA配置概述AAA使用Radius统一验证，全省统一大后台。AAA配置配置说明：配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数标准要求：认证方式采用radius方式计费方式采用radius方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置标准〔参考〕：

radius方案名称为radius方案名称为system主备radius和源地址在一条命令中radius-serverauthentication202.103.28.1381645sourceloopback0secondaryradius-serveraccounting202.103.28.1381645sourceloopback0secondaryradius-servershared-keyaaa8010undoradius-serveruser-namedomain-includednas-ip59.175.247.182上报radius报文中的源地址，取用上行接口的互联IPnas-ip59.175.247.182先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-schemesystemauthentication-moderadiuslocalauthorization-schemesystemauthorization-modeif-authenticatedlocalaccounting-schemesystemaccounting-mode没有先radius后local，只有如下方式hwtacacslocallocal-hwtacacslocal-radiusnoneradiusHWTACACSaccountingLocalaccountingLocalHWTACACSaccountingLocalRADIUSaccountingNoaccountingRADIUSaccountingdomainsystemaaa视图下domainsystemauthenticationloginradius-schemesystemlocal配置认证方案为先accounting-mode没有先radius后local，只有如下方式hwtacacslocallocal-hwtacacslocal-radiusnoneradiusHWTACACSaccountingLocalaccountingLocalHWTACACSaccountingLocalRADIUSaccountingNoaccountingRADIUSaccountingdomainsystemaaa视图下domainsystemauthenticationloginradius-schemesystemlocal配置认证方案为先radius，后localauthorizationloginradius-schemesystemlocal配置授权方案为先radius，后localaccountingloginradius-schemesystemlocal配置计费方案为先radius，后localundoaccess-limitstateactiveundoidle-cut配置验证:displayauthentication-schemesystem配置注意细节：无。本地用户帐号配置说明：配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。标准要求：全省网络设备配置相同本地用户帐号admin，设置最高权限，使用省公司统一指定的密码，根据实际情况可保留地市本地管理帐号。配置标准〔参考〕：local-useradminpasswordcipheradmin@))*service-typetelnet配置验证：displayusernameadmin配置注意细节：保留地市本地帐号。端口配置标准Loopback地址配置配置说明：配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。标准要求：城域骨干网交换机配置一个loopback0地址，掩码必须为32位。Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述标准中规定。配置标准：interfaceLoopBack0ipaddress*.*.*.*descriptionForManagement配置验证：dispinterloopback0〃查看运行情况discurrent-configurationinterfaceLoopBack0〃查看配置情况配置注意细节：无GE端口配置GE用做上连接口配置说明：配置GE端口用做上连接口。标准要求：配置GE端口speed设置为1000M,双工为自行协商，并且在端口上定义病毒过滤策略。配置接口描述符合第二章中IP城域网网络设备命名及链路描述标准中规定。并注意端口描述中的对端端口应区别不同设备。配置标准：interfaceGigabitEthernet2/0/21portlink-typetrunkundoporttrunkpermitvlan1undoporttrunkallow-passvlan1porttrunkpermitvlan1002001to2005porttrunkallow-passvlan1002001to2005speed1000duplexfulldescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0qosapplypolicyvirus-filterinbound 上行端口应用端口过滤的策略traffic-policyvirus-filterinboundqosapplypolicyvirus-filteroutboundtraffic-policyvirus-filteroutbound配置验证：dispintergi2/0/21〃查看运行情况dispcuintergi2/0/21〃查看配置情况配置注意细节:无。GE端口QINQ配置配置说明：配置GE端口用做下联接口，开启QINQ功能。标准要求：配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述标准中规定。并注意端口描述中的对端端口应区别不同设备。配置标准：interfaceGigabitEthernet4/0/1portlink-typehybridundoporthybridvlan1 vlan1可以undo掉porthybridvlan3990to39914094taggedporthybridvlan1001to1005untaggedqinqenableqosapplypolicyg4/0/1inboundqosapplypolicynmoutbounddescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0配置验证：dispintergi4/0/1 //查看运行情况dispcuintergi4/0/1 〃查看配置情况配置注意细节：无。FE端口QINQ配置配置说明：配置FE端口做下联端口，开启QINQ功能。标准要求：配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述标准中规定。配置标准：interfaceEthernet3/0/1portlink-typehybridporthybridvlan3990to39914094tagged网管vlanporthybridtaggedvlan3990to39914094porthybridvlan12001to2005untaggedvlan1不能undo掉，其他为QinQ的外层vlanporthybridtaggedvlan12001to2005qinqenableportlink-typedot1q-tunnel端口下使能QinQ功能qosapplypolicye3/0/1inbound应用针对此端口的QinQ策略，入方向traffic-policye3/0/1inbound入方向限速可以使用qoscarqosapplypolicynmoutboundtraffic-policynmoutbound应用网管vlan的出方向策略配置验证:displayinterfaceGigabitEthernet3/0/1 〃查看运行情况dispcuintergi3/0/1 〃查看配置情况配置注意细节:无。GE、FE端口专线配置配置说明：配置接入专线用户的GE、FE端口。标准要求：配置限速策略。配置标准：interfaceGigabitEthernet4/0/2portaccessvlan3501qosapplypolicyrate-1minboundtraffic-policye3/0/1inboundqoslroutboundcir1024cbs102400qoslrcir1024cbs102400outbound入方向限速，应用限速策略入方向限速可以使用qoscar出方向限速，直接设定，cbs=100cir，cir单位Kbps配置验证：displayinterfaceGigabitEthernet4/0/2dispcuinterGigabitEthernet4/0/2〃查看运行情况〃查看配置情况配置注意细节：无。路由协议配置标准静态路由配置静态路由配置方式配置说明：手工配置静态路由并设定相关参数。标准要求：无。配置标准：iproute-static2.2.2.2配置验证：displayiprouting-tableprotocolstatic配置注意细节：静态路由缺省优先级为60。用户策略配置定义防病毒访问控制列表配置说明：定义防病毒ACL,防御病毒攻击。标准要求：定义周知及常见的病毒端口。配置标准：aclnumber3100 病毒端口过滤控制列表rule0denytcpdestination-porteq3127rule1denytcpdestination-porteq1025rule2denytcpdestination-porteq5554rule3denytcpdestination-porteq9996rule4denytcpdestination-porteq1068rule5denytcpdestination-porteq135rule6denyudpdestination-porteq135rule7denytcpdestination-porteq137rule8denyudpdestination-porteqnetbios-nsrule9denytcpdestination-porteq138rule10denyudpdestination-porteqnetbios-dgmrule11denytcpdestination-porteq139rule12denyudpdestination-porteqnetbios-ssnrule13denytcpdestination-porteq593rule14denytcpdestination-porteq4444rule15denytcpdestination-porteq5800rule16denytcpdestination-porteq5900rule17denytcpdestination-porteq8998rule18denytcpdestination-porteq445rule19denyudpdestination-porteq445rule20denyudpdestination-porteq1434rule21denyudpdestination-porteq1433rule22denytcpdestination-porteq707

rule23denytcpdestination-porteq136配置验证:displaycur配置注意细节：无QOS策略配置配置说明：定义流类型，比方病毒端口过滤、QINGQ流〔定义匹配用户VLAN范围〕、网管入方向流及网管出方向流。定义相关的流动作及相关的策略。标准要求：流及QOS策略的名称由省公司统一制定。配置标准〔参考〕：定义流：端口病毒过滤

定义匹配报文的ACL规则定义流：端口病毒过滤

定义匹配报文的ACL规则定义流：QinQ流定义匹配用户vlan范围trafficclassifierqinq1operatorandif-matchcustomer-vlan-id2to480if-matchcvlan-id2trafficclassifierqinq2operatorandif-matchcustomer-vlan-id481to960trafficclassifierqinq3operatorandif-matchcustomer-vlan-id1001to1480trafficclassifierqinq4operatorandif-matchcustomer-vlan-id1481to1960trafficclassifierqinq5operatorandif-matchcustomer-vlan-id1921to2000trafficclassifierqinq6operatorandif-matchcustomer-vlan-id3001to3100#trafficclassifiernm-hw-inoperatorand 定义流：网管入方向流〔单层vlan标签〕if-matchcustomer-vlan-id3991 定义匹配用户vlan范围trafficclassifiernm-zx-inoperatorandif-matchcustomer-vlan-id3990trafficclassifiernm-inoperatorandif-matchcustomer-vlan-id4094trafficclassifiernm-hw-outoperatorand定义流：网管出方向流〔单层vlan标签〕if-matchservice-vlan-id3991 定义网络侧vlan范围if-matchvlan-id3991trafficclassifiernm-zx-outoperatorandif-matchservice-vlan-id3990trafficclassifiernm-outoperatorandif-matchservice-vlan-id4094#trafficbehaviorvirus-filter 定义流动作：端口过滤

filterdenydenytrafficbehaviorg2/0/1-1nesttop-mostvlan-id2001trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991filterdenydenytrafficbehaviorg2/0/1-1nesttop-mostvlan-id2001trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991remarkvlan-id/clan-id3991trafficbehaviornm-zx-inremarkservice-vlan-id3990trafficbehaviornm-inremarkservice-vlan-id4094trafficbehaviornm-hw-outremarkcustomer-vlan-id3991remarkvlan-id/clan-id3991trafficbehaviornm-zx-outremarkcustomer-vlan-id3990trafficbehaviornm-outremarkcustomer-vlan-id4094#qospolicyvirus-filtertrafficpolicyvirus-filterclassifiervirus-filterbehaviorvirus-filterqospolicyg2/0/1classifiernm-hw-inbehaviornm-hw-inclassifiernm-zx-inbehaviornm-zx-inclassifiernm-inbehaviornm-inclassifierqinq1behaviorg2/0/1-1classifierqinq2behaviorg2/0/1-2qospolicynm定义流动作：G2/0/1端口第1个QinQ插入标签动作

创建外层vlan动作为流行为配置标记网络侧vlan的动作为流行为配置标记用户侧vlan的动作定义策略：端口过滤qospolicy均使用trafficpolicy替换为流指定动作，把流和动作关联起来定义策略：QinQ端口入方向，按端口命名网管使用网管使用网管使用按端口需要配置按端口需要配置定义策略：网管出方向classifiernm-hw-outbehaviornm-hw-outclassifiernm-zx-outbehaviornm-zx-outclassifiernm-outbehaviornm-out1.4.3用户限速配置配置说明：设置用户限速。标准要求：采用qospolicy为用户限速。配置标准：aclnumber4000rule0permittrafficclassifierrateoperatorand 定义流：所有流量if-matchacl4000trafficbehaviorrate-1m 定义流动作：入方向限速carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpasscarcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpasstrafficbehaviorrate-2mcarcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpasstrafficbehaviorrate-5mcarcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpasstrafficbehaviorrate-10mcarcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpasstrafficbehaviorrate-15mcarcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpasstrafficbehaviorrate-20mcarcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpasstrafficbehaviorrate-30mcarcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpassqospolicyrate-1m 定义策略：入方向限速trafficpolicyrate-1mclassifierratebehaviorrate-1mqospolicyrate-2mclassifierratebehaviorrate-2mqospolicyrate-5mclassifierratebehaviorrate-5mqospolicyrate-10mclassifierratebehaviorrate-10mqospolicyrate-15mclassifierratebehaviorrate-15mqospolicyrate-20mclassifierratebehaviorrate-20mqospolicyrate-30mclassifierratebehaviorrate-30m配置验证:displayscheduler-profileall配置注意细节：无。1.5网管配置SNMP管理代理配置全局开启SNMP进程配置说明：SNMP的结构分为NMS(NetworkManagementStation〕和Agent两部分。SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。NMS，是运行客户端程序的工作站，网管站〔NMS〕对网络设备发送各种查学习文档仅供参考学习文档仅供参考学习文档仅供参考学习文档仅供参考学习文档仅供参考学习文档仅供参考询报文，接收来自被管理设备的响应报文及Trap报文，并将结果显示出来。Agent是驻留在被管理设备上的一个进程，负责接受、处理来自网管站的Request报文，根据报文类型对管理变量进行Read或Write操作，并生成Response报文，反送给NMS。另一方面，Agent在设备发生冷/热启动等异常情况时，也会主动向NMS发送Trap报文报告所发生的事件。NMS与Agent的关系如以下图所示：UDPPort16-标准要求：要求统一配置交换机作为SNMPAgent,处理NMS发来的查询报文并返回响应报文。配置标准：snmp-agent #启动SNMPAgent服务配置验证：displaysnmp-agentsys-info配置注意细节：无。ROCommunity值配置说明：SNMP团体〔Community〕由一字符串来命名，称为团体名（CommunityName〕。不同的团体可具有只读（read-only〕或读写（read-write〕访问模式。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。配置community字符串不要过于简单，一般应由字母、数字及特殊字符等组成，用于提高SNMP协议安全。标准要求：标准、统一配置设备的SNMPROCOMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。配置标准〔参考〕：snmp-agentcommunityreadhbnoc-ipnms #设置团体名及访问权限snmp-agentcommunityread********配置验证：displaysnmp-agentcommunityread配置注意细节：无。RWCommunity值配置说明：具有写权限的的团体可以对设备进行配置。标准要求：标准、统一配置设备的SNMPROCOMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。配置标准〔参考〕：snmp-agentcommunitywritehbnoc-ipnms-rw #设置团体名及访问权限配置验证：displaysnmp-agentcommunitywrite配置注意细节：无。SNMP访问控制列表配置说明：对SNMP增加ACL访问列表，只允许指定的IP地址能通过SNMP协议访问设备。标准要求：IP地址段由省公司统一制定。配置标准〔参考〕：snmp-agentcommunityreadhbnoc-ipnmsacl2077snmp-agentcommunitywritehbnoc-ipnms-rwacl2077aclnumber2077 #允许以下信任主机〔地市