华为S9306配置规范文档格式.docx
- 文档编号:17355143
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:21
- 大小:177.08KB
华为S9306配置规范文档格式.docx
《华为S9306配置规范文档格式.docx》由会员分享,可在线阅读,更多相关《华为S9306配置规范文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
1.1.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
1.1.3.1时区配置
统一设备的时区配置。
配置系统时区为GMT+8,北京时区。
clocktimezoneBeijingadd08:
00:
00#在用户模式下配置
displayclock
无。
1.1.3.2NTP配置
使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。
配置主和备两组NTP服务器。
ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER
ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVER
displayntp-servicestatus
displayntp-servicesession
1.1.4VTY接口配置
1.1.4.1连接数限制
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
配置BRAS路由器并发连接数限制为10个。
user-interfacemaximum-vty10
displayuser-interfacemaximum-vty
无
1.1.4.2空闲时间
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
对VTY登录超时设置进行配置,设置空闲时间为10分钟。
user-interfaceconsole0
idle-timeout100
user-interfaceaux0
user-interfacevty09
dispcurr|buser-interface
华为设备默认超时时间即为10分钟,配置后也不会显示配置。
1.1.4.3访问控制列表
限制Telnet登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
配置Telnet源地址限制,包含省公司地址段和最小化的地市网管中心维护IP网段。
Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条denyanyany语句。
配置规范(参考):
aclnumber2088
rule10permitsource0.0.0.255
rule20permitsource0.0.0.255
rule30permitsource0.0.0.255
rule40permitsource0.0.0.255
rule50permitsource#地市网管地址段
rule99denysourceany
#
user-interfacevty04
authentication-modeaaa#设置VTY口登录用户的验证方式为AAA
acl2088inbound
dispacl2088
1.1.4.4配置范例
#
acl2088inbound
idle-timeout100用户超时断开连接时间设置为10分钟
protocolinboundtelnet登录支持telnet协议
1.1.5AAA配置
1.1.5.1概述
AAA使用Radius统一验证,全省统一大后台。
1.1.5.2AAA配置
配置用户的认证方式
配置用户的计费方式
配置用户认证服务器地址及参数
配置用户计费服务器地址及参数
认证方式采用radius方式
计费方式采用radius方式
认证及计费服务器的地址根据省公司统一安排情况设置
设置Radius密钥时要与省后台相关人员协商确定
认证端口号根据各个地方的实际情况设置
计费端口号根据各个地方的实际情况设置
radius-servertemplatesystemradius方案名称为system
主备radius和源地址在一条命令中
radius-serverauthentication1645sourceloopback0secondary
radius-serveraccounting1645sourceloopback0secondary
radius-servershared-keyaaa8010
undoradius-serveruser-namedomain-included
nas-ip上报radius报文中的源地址,取用上行接口的互联IP
先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-scheme
authentication-schemesystem
authentication-moderadiuslocal
authorization-schemesystem
authorization-modeif-authenticatedlocal
accounting-schemesystem
accounting-mode没有先radius后local,只有如下方式
hwtacacsHWTACACSaccounting
localLocalaccounting
local-hwtacacsLocalHWTACACSaccounting
local-radiusLocalRADIUSaccounting
noneNoaccounting
radiusRADIUSaccounting
domainsystem
aaa视图下
authenticationloginradius-schemesystemlocal配置认证方案为先radius,后local
authorizationloginradius-schemesystemlocal配置授权方案为先radius,后local
accountingloginradius-schemesystemlocal配置计费方案为先radius,后local
undoaccess-limit
stateactive
undoidle-cut
displayauthentication-schemesystem
1.1.5.3本地用户帐号
配置本地用户帐号,作为AAA服务器连接失败时的应急登陆用。
全省网络设备配置相同本地用户帐号admin,设置最高权限,使用省公司统一指定的密码,根据实际情况可保留地市本地管理帐号。
local-useradminpasswordcipheradmin@))*service-typetelnet
displayusernameadmin
保留地市本地帐号。
1.2端口配置规范
1.2.1Loopback地址配置
配置Loopback地址,提供一个永远up的IP地址,用于各种路由协议邻居的建立、远程登录、设备管理等。
城域骨干网交换机配置一个loopback0地址,掩码必须为32位。
Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。
interfaceLoopBack0
ipaddress*.*.*.*
descriptionForManagement
dispinterloopback0
1G
1.1.1
displayiprouting-tableprotocolstatic
静态路由缺省优先级为60。
1.3用户策略配置
1.3.1定义防病毒访问控制列表
定义防病毒ACL,防御病毒攻击。
定义周知及常见的病毒端口。
aclnumber3100病毒端口过滤控制列表
rule0denytcpdestination-porteq3127
rule1denytcpdestination-porteq1025
rule2denytcpdestination-porteq5554
rule3denytcpdestination-porteq9996
rule4denytcpdestination-porteq1068
rule5denytcpdestination-porteq135
rule6denyudpdestination-porteq135
rule7denytcpdestination-porteq137
rule8denyudpdestination-porteqnetbios-ns
rule9denytcpdestination-porteq138
rule10denyudpdestination-porteqnetbios-dgm
rule11denytcpdestination-porteq139
rule12denyudpdestination-porteqnetbios-ssn
rule13denytcpdestination-porteq593
rule14denytcpdestination-porteq4444
rule15denytcpdestination-porteq5800
rule16denytcpdestination-porteq5900
rule17denytcpdestination-porteq8998
rule18denytcpdestination-porteq445
rule19denyudpdestination-porteq445
rule20denyudpdestination-porteq1434
rule21denyudpdestination-porteq1433
rule22denytcpdestination-porteq707
rule23denytcpdestination-porteq136
displaycur
1.3.2QOS策略配置
定义流类型,比如病毒端口过滤、QINGQ流(定义匹配用户VLAN范围)、网管入方向流及网管出方向流。
定义相关的流动作及相关的策略。
流及QOS策略的名称由省公司统一制定。
trafficclassifiervirus-filteroperatorand定义流:
端口病毒过滤
if-matchacl3100定义匹配报文的ACL规则
trafficclassifierqinq1operatorand定义流:
QinQ流
if-matchcustomer-vlan-id2to480定义匹配用户vlan范围
if-matchcvlan-id2
trafficclassifierqinq2operatorand
if-matchcustomer-vlan-id481to960
trafficclassifierqinq3operatorand
if-matchcustomer-vlan-id1001to1480
trafficclassifierqinq4operatorand
if-matchcustomer-vlan-id1481to1960
trafficclassifierqinq5operatorand
if-matchcustomer-vlan-id1921to2000
trafficclassifierqinq6operatorand
if-matchcustomer-vlan-id3001to3100
trafficclassifiernm-hw-inoperatorand定义流:
网管入方向流(单层vlan标签)
if-matchcustomer-vlan-id3991定义匹配用户vlan范围
trafficclassifiernm-zx-inoperatorand
if-matchcustomer-vlan-id3990
trafficclassifiernm-inoperatorand
if-matchcustomer-vlan-id4094
trafficclassifiernm-hw-outoperatorand定义流:
网管出方向流(单层vlan标签)
if-matchservice-vlan-id3991定义网络侧vlan范围
if-matchvlan-id3991
trafficclassifiernm-zx-outoperatorand
if-matchservice-vlan-id3990
trafficclassifiernm-outoperatorand
if-matchservice-vlan-id4094
trafficbehaviorvirus-filter定义流动作:
端口过滤
filterdeny
deny
trafficbehaviorg2/0/1-1定义流动作:
G2/0/1端口第1个QinQ插入标签动作
nesttop-mostvlan-id2001创建外层vlan动作
trafficbehaviorg2/0/1-2
nesttop-mostvlan-id2002
trafficbehaviornm-hw-in
remarkservice-vlan-id3991为流行为配置标记网络侧vlan的动作
remarkvlan-id/clan-id3991
trafficbehaviornm-zx-in
remarkservice-vlan-id3990
trafficbehaviornm-in
remarkservice-vlan-id4094
trafficbehaviornm-hw-out
remarkcustomer-vlan-id3991为流行为配置标记用户侧vlan的动作
remarkvlan-id/clan-id3991
trafficbehaviornm-zx-out
remarkcustomer-vlan-id3990
trafficbehaviornm-out
remarkcustomer-vlan-id4094
qospolicyvirus-filter定义策略:
trafficpolicyvirus-filterqospolicy均使用trafficpolicy替换
classifiervirus-filterbehaviorvirus-filter为流指定动作,把流和动作关联起来
qospolicyg2/0/1定义策略:
QinQ端口入方向,按端口命名
classifiernm-hw-inbehaviornm-hw-in网管使用
classifiernm-zx-inbehaviornm-zx-in网管使用
classifiernm-inbehaviornm-in网管使用
classifierqinq1behaviorg2/0/1-1按端口需要配置
classifierqinq2behaviorg2/0/1-2按端口需要配置
qospolicynm定义策略:
网管出方向
classifiernm-hw-outbehaviornm-hw-out
classifiernm-zx-outbehaviornm-zx-out
classifiernm-outbehaviornm-out
1.3.3用户限速配置
设置用户限速。
采用qospolicy为用户限速。
aclnumber4000
rule0permit
trafficclassifierrateoperatorand定义流:
所有流量
if-matchacl4000
trafficbehaviorrate-1m定义流动作:
入方向限速
carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpass
carcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpass
trafficbehaviorrate-2m
carcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpass
trafficbehaviorrate-5m
carcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpass
trafficbehaviorrate-10m
carcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpass
trafficbehaviorrate-15m
carcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpass
trafficbehaviorrate-20m
carcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpass
trafficbehaviorrate-30m
carcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpass
qospolicyrate-1m定义策略:
trafficpolicyrate-1m
classifierratebehaviorrate-1m
qospolicyrate-2m
classifierratebehaviorrate-2m
qospolicyrate-5m
classifierratebehaviorrate-5m
qospolicyrate-10m
classifierratebehaviorrate-10m
qospolicyrate-15m
classifierratebehaviorrate-15m
qospolicyrate-20m
classifierratebehaviorrate-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 S9306 配置 规范
![提示](https://static.bdocx.com/images/bang_tan.gif)