2022年华为S9306配置规范.docx

《2022年华为S9306配置规范.docx》由会员分享，可在线阅读，更多相关《2022年华为S9306配置规范.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品学习资源目 录第 3 章华为 S9603配置标准1系统基本配置标准1设备名称配置 .1Banner 配置.1设备自身时间及 NTP2时区配置 .2NTP 配置 .2VTY 接口配置 .3连接数限制 .3闲暇时间 .3拜访掌握列表 . .4配置范例 .4AAA 配置 .5概述 .5AAA 配置 .5本地用户帐号 . .7端口配置标准 .7Loopback 地址配置7GE端口配置8GE 用做上连接口 . .8GE 端口 QINQ 配置 .9FE 端口 QINQ 配置 .9GE、FE 端口专线配置10路由协议配置标准10静态路由配置10静态路由配置方式10用户策略配置11定义防病毒拜访掌握列表1

2、1QOS 策略配置12用户限速配置13网管配置 .14SNMP治理代理配置14全局开启 SNMP 进程14RO Community值15RW Community值16欢迎下载精品学习资源SNMP 拜访掌握列表16故障治理配置17SNMP TRAP 信息内容17SNMP TRAP 服务器地址17SNMP TRAP 消息源地址18SYSLOG 服务器地址18SYSLOG 信息级别18SYSLOG 消息源地址18配置范例参考19欢迎下载精品学习资源第1 章 华为 S9603配置标准1.1 系统基本配置标准1.1.1 设备名称配置配置说明：标准设备命名， 唯独性标识城域网中的每台设备， 用于对城域网的

3、每台设备进行区分，便利设备治理，提高可读性和可治理性；标准要求：设备名称要求符合其次章中“ IP 城域网网络设备命名及链路描述标准”中规定；配置标准：sysname HS-TJL-DSW-1.M.9306配置验证：配置后立刻生效，设备名称显示在配置命令行的左边；配置留意细节：可以依据需要在 .M 后添加设备型号；1.1.2 Banner配置配置说明：统一 Banner 语言，以省网标准为主；标准要求：城域网全部交换机配置统一的 Banner 信息，登陆时提示：WARNING. Authorised access only, all of your done will be recorded.

4、disconnect IMMEDIATELY if you are not an authorised user.配置标准：Quidway header login information %WARNING. Authorised access only, all of your done will be recorded. disconnect IMMEDIATELY if you are not an authorised user.%配置验证：欢迎下载精品学习资源登陆路由器时应看到 banner 提示；配置留意细节：Banner 语言应起到提示和警告非授权拜访者的作用， 严禁在 Bann

5、er 中显现任何表示欢送的字样；1.1.3 设备自身时间及NTPNTP 实现网络设备时间同步功能，与时间有关的应用，例如Log 信息，基于时间限制带宽等，都需要基于正确的时间；1.1.3.1 时区配置配置说明：统一设备的时区配置；标准要求：配置系统时区为 GMT+8 ，北京时区；配置标准：clock timezone Beijing add 08:00:00# 在用户模式下配置配置验证：display clock配置留意细节：无；1.1.3.2NTP 配置配置说明：使用 NTP 同步网络上全部设备的时间，保证网络设备得到正确的时间；标准要求：配置主和备两组 NTP 服务器；配置标准：ntp-s

6、ervice unicast-serverntp-service unicast-server*.*.*.*.*.*.*preference# 优选其中一台出口为NTP SERVER# 另一台出口为备用NTP SERVER配置验证：欢迎下载精品学习资源display clockdisplay ntp-service status display ntp-service session配置留意细节：无；1.1.4 VTY 接口配置1.1.4.1 连接数限制配置说明：对同时远程登陆到设备上的 session 数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期

7、间的正常处理；标准要求：配置 BRAS路由器并发连接数限制为 10 个；配置标准：user-interface maximum-vty 10配置验证：display user-interface maximum-vty配置留意细节： 无1.1.4.2 闲暇时间配置说明：设置了 Telnet 超时功能， 当闲暇时间超过设定值后， Telnet 线程断开， 防止未被授权的人员在操作员离开后进行非法操作；标准要求：对 VTY登录超时设置进行配置，设置闲暇时间为10 分钟；配置标准：user-interface console 0idle-timeout 10 0user-interface aux

8、0idle-timeout 10 0user-interface vty 0 9欢迎下载精品学习资源idle-timeout 10 0配置验证：disp curr | b user-interface配置留意细节：华为设备默认超时时间即为 10 分钟，配置后也不会显示配置；1.1.4.3 拜访掌握列表配置说明：限制 Telnet 登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试；标准要求：配置 Telnet 源地址限制，包含省公司地址段和最小化的地市网管中心保护IP 网段；Telnet 拜访掌握列表条目从 10 开头，条目的间隔步长为 10 ，在拜访掌握列表的最终显示配置一条

9、deny any any 语句；配置标准参考：acl number 2088rule 10 permit source 202.105.80.0 .255rule 20 permit source 202.105.82.0 .255rule 30 permit source 59.37.66.0 .255rule 40 permit source 125.88.116.0 .255rule 50 permit sourceX.X.X.X X.X.X.X# 地市网管地址段rule 99 deny source any#user-interface vty 0 4authentication-mo

10、de aaa# 设置 VTY口登录用户的验证方式为AAA acl 2088 inbound配置验证：disp acl 2088disp curr | b user-interface配置留意细节： 无；1.1.4.4 配置范例欢迎下载精品学习资源acl number 2088rule 10 permit source 202.105.80.0 .255rule 20 permit source 202.105.82.0 .255rule 30 permit source 59.37.66.0 .255rule 40 permit source 125.88.116.0 .255 rule 50

11、 permit sourceX.X.X.X X.X.X.X rule 99 deny source any#user-interface vty 0 4# 地市网管地址段authentication-mode aaa acl 2088 inboundidle-timeout 10 0protocol inbound telnet# 设置 VTY口登录用户的验证方式为AAA用户超时断开连接时间设置为登录支持 telnet 协议10 分钟1.1.5 AAA 配置1.1.5.1 概述AAA 使用 Radius 统一验证，全省统一大后台；1.1.5.2 AAA 配置配置说明：配置用户的认证方式配置用户

12、的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数标准要求：认证方式采纳 radius 方式计费方式采纳 radius 方式认证及计费服务器的地址依据省公司统一支配情形设置设置 Radius 密钥时要与省后台相关人员协商确定认证端口号依据各个地方的实际情形设置计费端口号依据各个地方的实际情形设置配置标准参考：欢迎下载精品学习资源radius-server template systemradius 方案名称为 system主备 radius 和源地址在一条命令中radius-server authentication 202.103.28.138 1645 source loo

13、pback 0 secondaryradius-server accounting 202.103.28.138 1645 source loopback 0 secondary radius-server shared-key aaa8010undo radius-server user-name domain-includednas-ip 59.175.247.182上报 radius 报文中的源地址， 取用上行接口的互联IP先在 aaa 视图下配置 authentication-scheme、authorization-scheme、accounting-scheme authentic

14、ation-scheme system authentication-mode radius local authorization-scheme systemauthorization-mode if-authenticated local accounting-scheme systemaccounting-mode没有先 radius 后 local ，只有如下方式hwtacacsHWTACACS accountinglocalLocal accountinglocal-hwtacacsLocal HWTACACS accounting local-radiusLocal RADIUS

15、accounting noneNo accountingradiusRADIUS accounting domain systemaaa 视图下domain systemauthentication login radius-scheme system local配置认证方案为先radius ，后localauthorization login radius-scheme system local配置授权方案为先radius ，后localaccounting login radius-scheme system local配置计费方案为先radius ，后localundo access-l

16、imit state activeundo idle-cut配置验证：display authentication-schemesystem欢迎下载精品学习资源配置留意细节： 无；1.1.5.3 本地用户帐号配置说明：配置本地用户帐号，作为 AAA 服务器连接失败时的应急登陆用；标准要求：全省网络设备配置相同本地用户帐号admin ，设置最高权限， 使用省公司统一指定的密码，依据实际情形可保留地市本地治理帐号；配置标准参考：local-useradmin password cipheradmin*service-typetelnet配置验证：display user nameadmin配置留意

17、细节： 保留地市本地帐号；1.2 端口配置标准1.2.1 Loopback地址配置配置说明：配置 Loopback 地址，供应一个永久 up 的 IP 地址，用于各种路由协议邻居的建立、远程登录、设备治理等；标准要求：城域骨干网交换机配置一个 loopback 0 地址，掩码必需为 32 位；Loopback 接口需添加端口描述， 端口描述要求符合其次章中 IP 城域网网络设备命名及链路描述标准中规定；配置标准：interface LoopBack0 ip address*.*.*.*descriptionFor Management欢迎下载精品学习资源配置验证：disp inter loop

18、back 0/ 查看运行情形dis current-configuration interface LoopBack 0/ 查看配置情形配置留意细节： 无1.2.2 GE 端口配置1.2.2.1 GE 用做上连接口配置说明：配置 GE端口用做上连接口；标准要求：配置 GE 端口 speed设置为 1000M ，双工为自行协商， 并且在端口上定义病毒过滤策略；配置接口描述符合其次章中 IP 城域网网络设备命名及链路描述标准中规定；并留意端口描述中的对端端口应区分不同设备；配置标准：interface GigabitEthernet2/0/21 port link-type trunkundo p

19、ort trunk permit vlan 1undo port trunk allow-pass vlan 1port trunk permit vlan 100 2001 to 2005port trunk allow-pass vlan 100 2001 to 2005speed 1000 duplex fulldescriptiondT:ZQ-HT-DSW-1.M 1G:GI1/0/0qos apply policyvirus-filterinbound上行端口应用端口过滤的策略traffic-policy virus-filter inboundqos apply policy vi

20、rus-filter outbound traffic-policy virus-filter outbound配置验证：disp inter gi2/0/21/ 查看运行情形disp cu inter gi2/0/21/ 查看配置情形配置留意细节： 无；欢迎下载精品学习资源1.2.2.2 GE 端口 QINQ配置配置说明：配置 GE端口用做下联接口，开启 QINQ 功能；标准要求：配置开启 GE 端口 QINQ 功能；配置接口描述符合其次章中 IP 城域网网络设备命名及链路描述标准中规定；并留意端口描述中的对端端口应区分不同设备；配置标准：interface GigabitEthernet4

21、/0/1 port link-type hybridundo port hybrid vlan 1vlan 1 可以 undo 掉port hybrid vlan 3990 to 3991 4094 tagged port hybrid vlan 1001 to 1005 untagged qinq enableqos apply policyg4/0/1inbound qos apply policynmoutbounddescriptiondT:ZQ-HT-DSW-1.M 1G:GI1/0/0配置验证：disp inter gi4/0/1/ 查看运行情形disp cu inter gi4/

22、0/1/ 查看配置情形配置留意细节： 无；1.2.2.3 FE 端口 QINQ配置配置说明：配置 FE 端口做下联端口，开启 QINQ 功能；标准要求：配置开启 GE 端口 QINQ 功能；配置接口描述符合其次章中 IP 城域网网络设备命名及链路描述标准中规定；配置标准：interface Ethernet3/0/1 port link-type hybridport hybrid vlan 3990 to 3991 4094 tagged网管 vlanport hybrid tagged vlan3990 to 3991 4094port hybrid vlan 1 2001 to 2005

23、 untaggedvlan 1 不能 undo 掉，其他为 QinQ的外层 vlanport hybrid tagged vlan 1 2001 to 2005qinq enable端口下使能 QinQ 功能port link-type dot1q-tunnel欢迎下载精品学习资源qos apply policye3/0/1inboundQinQ 策略，入traffic-policy e3/0/1 inbound应用针对此端口的方向入方向限速可以使用qos carqos apply policynmoutbound应用网管 vlan 的出方向策略traffic-policy nm outbou

24、nd配置验证：display interface GigabitEthernet3/0/1 disp cu inter gi3/0/1配置留意细节：/ 查看运行情形/ 查看配置情形无；1.2.2.4GE、FE 端口专线配置配置说明：配置接入专线用户的 GE、FE 端口；标准要求：配置限速策略；配置标准：interface GigabitEthernet4/0/2 portaccessvlan3501qos apply policyrate-1minbound traffic-policy e3/0/1 inboundqos lr outbound cir 1024 cbs 102400入方向限

25、速，应用限速策略入方向限速可以使用qos car出方向限速， 直接设定， cbs=100cir ，cir 单位 Kbpsqos lr cir 1024 cbs 102400 outbound配置验证：display interface GigabitEthernet4/0/2disp cu inter GigabitEthernet4/0/2/ 查看运行情形/ 查看配置情形配置留意细节： 无；1.3 路由协议配置标准1.3.1 静态路由配置1.3.1.1 静态路由配置方式配置说明：手工配置静态路由并设定相关参数；欢迎下载精品学习资源标准要求： 无；配置标准：ip route-static2.2

26、.2.2配置验证：display ip routing-table protocol static配置留意细节：静态路由缺省优先级为60 ；1.4 用户策略配置1.4.1 定义防病毒拜访掌握列表配置说明：定义防病毒 ACL，防备病毒攻击；标准要求：定义周知及常见的病毒端口；配置标准：acl number 3100病毒端口过滤掌握列表rule 0 deny tcp destination-port eq 3127 rule 1 deny tcp destination-port eq 1025 rule 2 deny tcp destination-port eq 5554 rule 3 den

27、y tcp destination-port eq 9996 rule 4 deny tcp destination-port eq 1068 rule 5 deny tcp destination-port eq 135 rule 6 deny udp destination-port eq 135 rule 7 deny tcp destination-port eq 137rule 8 deny udp destination-port eq netbios-nsrule 9 deny tcp destination-port eq 138rule 10 deny udp destina

28、tion-port eq netbios-dgm rule 11 deny tcp destination-port eq 139rule 12 deny udp destination-port eq netbios-ssn rule 13 deny tcp destination-port eq 593rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5800 rule 16 deny tcp destination-port eq 5900 rule 17 deny tcp dest

29、ination-port eq 8998 rule 18 deny tcp destination-port eq 445 rule 19 deny udp destination-port eq 445 rule 20 deny udp destination-port eq 1434 rule 21 deny udp destination-port eq 1433 rule 22 deny tcp destination-port eq 707欢迎下载精品学习资源rule 23 deny tcp destination-port eq 136配置验证：display cur配置留意细节：

30、 无1.4.2 QOS 策略配置配置说明：定义流类型，比方病毒端口过滤、 QINGQ 流定义匹配用户 VLAN范畴、网管入方向流及网管出方向流；定义相关的流淌作及相关的策略；标准要求：流及 QOS 策略的名称由省公司统一制定；配置标准参考：traffic classifier virus-filter operator and定义流：端口病毒过滤if-match acl 3100定义匹配报文的 ACL规章traffic classifierqinq1operator and定义流： QinQ 流if-match customer-vlan-id 2 to 480定义匹配用户 vlan 范畴if

31、-match cvlan-id 2traffic classifierqinq2operator and if-match customer-vlan-id 481 to 960 traffic classifierqinq3operator and if-match customer-vlan-id 1001 to 1480 traffic classifierqinq4operator and if-match customer-vlan-id 1481 to 1960 traffic classifierqinq5operator and if-match customer-vlan-i

32、d 1921 to 2000 traffic classifierqinq6operator and if-match customer-vlan-id 3001 to 3100#traffic classifier nm-hw-in operator and定义流： 网管入方向流 单层 vlan 标签if-match customer-vlan-id 3991定义匹配用户 vlan 范畴traffic classifier nm-zx-in operator and if-match customer-vlan-id 3990traffic classifier nm-in operator

33、 and if-match customer-vlan-id 4094traffic classifier nm-hw-out operator and定义流：网管出方向流单层vlan 标签if-match service-vlan-id 3991定义网络侧 vlan 范畴if-match vlan-id 3991traffic classifier nm-zx-out operator and if-match service-vlan-id 3990traffic classifier nm-out operator and if-match service-vlan-id 4094#tr

34、affic behavior virus-filter定义流淌作：端口过滤欢迎下载精品学习资源filter deny denytraffic behaviorg2/0/1-1定义流淌作： G2/0/1 端口第 1个QinQ 插入标签动作nest top-most vlan-id 2001创建外层 vlan 动作traffic behaviorg2/0/1-2nest top-most vlan-id 2002 traffic behavior nm-hw-inremark service-vlan-id 3991为流行为配置标记网络侧vlan 的动作remark vlan-id/clan-id

35、 3991 traffic behavior nm-zx-in remark service-vlan-id 3990traffic behavior nm-inremark service-vlan-id 4094 traffic behavior nm-hw-outremark customer-vlan-id 3991为流行为配置标记用户侧vlan 的动作remark vlan-id/clan-id 3991 traffic behavior nm-zx-outremark customer-vlan-id 3990 traffic behavior nm-outremark custo

36、mer-vlan-id 4094#qos policy virus-filter定义策略：端口过滤traffic policy virus-filterqos policy 均使用 traffic policy替换classifier virus-filter behavior virus-filter为流指定动作，把流和动作关联起来qos policyg2/0/1定义策略： QinQ 端口入方向，按端口命名classifier nm-hw-in behavior nm-hw-in网管使用classifier nm-zx-in behavior nm-zx-in网管使用classifier n

37、m-in behavior nm-in网管使用classifier qinq1 behavior g2/0/1-1按端口需要配置classifier qinq2 behavior g2/0/1-2按端口需要配置qos policynm定义策略：网管出方向classifier nm-hw-out behavior nm-hw-out classifier nm-zx-out behavior nm-zx-outclassifier nm-out behavior nm-out1.4.3 用户限速配置配置说明： 设置用户限速；标准要求：采纳 qos policy 为用户限速；配置标准：acl nu

38、mber 4000rule 0 permittraffic classifierrateoperator and定义流：全部流量if-match acl 4000traffic behavior rate-1m定义流淌作：入方向限速car cir 1024 cbs 102400 ebs 102400 pir 1024 green pass red discard yellow pass car cir 1024 pir 1024 cbs 1024000 pbs 1024000 green pass red discard yellowpass欢迎下载精品学习资源traffic behavior

39、 rate-2mcar cir 2048 cbs 204800 ebs 204800 pir 2048 green pass red discard yellow pass traffic behavior rate-5mcar cir 5120 cbs 512000 ebs 512000 pir 5120 green pass red discard yellow passtraffic behavior rate-10mcar cir 10240 cbs 1024000 ebs 1024000 pir 10240 green pass red discard yellow passtraf

40、fic behavior rate-15mcar cir 15360 cbs 1536000 ebs 1536000 pir 15360 green pass red discard yellow passtraffic behavior rate-20mcar cir 20480 cbs 2048000 ebs 2048000 pir 20480 green pass red discard yellow passtraffic behavior rate-30mcar cir 30720 cbs 3072000 ebs 3072000 pir 30720 green pass red di

41、scard yellow passqos policy rate-1m定义策略：入方向限速traffic policy rate-1mclassifier rate behavior rate-1m qos policy rate-2mclassifier rate behavior rate-2m qos policy rate-5mclassifier rate behavior rate-5m qos policy rate-10mclassifier rate behavior rate-10m qos policy rate-15mclassifier rate behavior rate-15m qos policy rate-20mclassifier rate beha