华为配置规范样本Word下载.docx
- 文档编号:16817842
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:24
- 大小:52.43KB
华为配置规范样本Word下载.docx
《华为配置规范样本Word下载.docx》由会员分享,可在线阅读,更多相关《华为配置规范样本Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
1.1.3设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间关于应用,例如Log信息,基于时间限制带宽等,都需要基于对的时间。
1.1.3.1时区配备
统一设备时区配备。
配备系统时区为GMT+8,北京时区。
clocktimezoneBeijingadd08:
00:
00#在顾客模式下配备
displayclock
无。
1.1.3.2NTP配备
使用NTP同步网络上所有设备时间,保证网络设备得到对的时间。
配备主和备两组NTP服务器。
ntp-serviceunicast-server*.*.*.*preference#优选其中一台出口为NTPSERVER
ntp-serviceunicast-server*.*.*.*#另一台出口为备用NTPSERVER
displayntp-servicestatus
displayntp-servicesession
1.1.4VTY接口配备
1.1.4.1连接数限制
对同步远程登陆到设备上session数进行限制,可以防止大量session连接占用过多系统资源,同步便于集中运维,保证故障期间正常解决。
配备BRAS路由器并发连接数限制为10个。
user-interfacemaximum-vty10
displayuser-interfacemaximum-vty
无
1.1.4.2空闲时间
设立了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权人员在操作员离开后进行非法操作。
对VTY登录超时设立进行配备,设立空闲时间为10分钟。
user-interfaceconsole0
idle-timeout100
user-interfaceaux0
user-interfacevty09
dispcurr|buser-interface
华为设备默认超时时间即为10分钟,配备后也不会显示配备。
1.1.4.3访问控制列表
限制Telnet登录网络源地址,从而增强设备安全性,最大限度防止非法登陆尝试。
配备Telnet源地址限制,包括省公司地址段和最小化地市网管中心维护IP网段。
Telnet访问控制列表条目从10开始,条目间隔步长为10,在访问控制列表最后显示配备一条denyanyany语句。
配备规范(参照):
aclnumber2088
rule10permitsource202.105.80.00.0.0.255
rule20permitsource202.105.82.00.0.0.255
rule30permitsource59.37.66.00.0.0.255
rule40permitsource125.88.116.00.0.0.255
rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段
rule99denysourceany
#
user-interfacevty04
authentication-modeaaa#设立VTY口登录顾客验证方式为AAA
acl2088inbound
dispacl2088
1.1.4.4配备范例
#
acl2088inbound
idle-timeout100顾客超时断开连接时间设立为10分钟
protocolinboundtelnet登录支持telnet合同
1.1.5AAA配备
1.1.5.1概述
AAA使用Radius统一验证,全省统一大后台。
1.1.5.2AAA配备
配备顾客认证方式
配备顾客计费方式
配备顾客认证服务器地址及参数
配备顾客计费服务器地址及参数
认证方式采用radius方式
计费方式采用radius方式
认证及计费服务器地址依照省公司统一安排状况设立
设立Radius密钥时要与省后台有关人员协商拟定
认证端标语依照各个地方实际状况设立
计费端标语依照各个地方实际状况设立
radius-servertemplatesystemradius方案名称为system
主备radius和源地址在一条命令中
radius-serverauthentication202.103.28.1381645sourceloopback0secondary
radius-serveraccounting202.103.28.1381645sourceloopback0secondary
radius-servershared-keyaaa8010
undoradius-serveruser-namedomain-included
nas-ip59.175.247.182上报radius报文中源地址,取用上行接口互联IP
先在aaa视图下配备authentication-scheme、authorization-scheme、accounting-scheme
authentication-schemesystem
authentication-moderadiuslocal
authorization-schemesystem
authorization-modeif-authenticatedlocal
accounting-schemesystem
accounting-mode没有先radius后local,只有如下方式
hwtacacsHWTACACSaccounting
localLocalaccounting
local-hwtacacsLocalHWTACACSaccounting
local-radiusLocalRADIUSaccounting
noneNoaccounting
radiusRADIUSaccounting
domainsystem
aaa视图下
authenticationloginradius-schemesystemlocal配备认证方案为先radius,后local
authorizationloginradius-schemesystemlocal配备授权方案为先radius,后local
accountingloginradius-schemesystemlocal配备计费方案为先radius,后local
undoaccess-limit
stateactive
undoidle-cut
displayauthentication-schemesystem
1.1.5.3本地顾客帐号
配备本地顾客帐号,作为AAA服务器连接失败时应急登陆用。
全省网络设备配备相似本地顾客帐号admin,设立最高权限,使用省公司统一指定密码,依照实际状况可保存地市本地管理帐号。
local-useradminpasswordcipheradmin@))*service-typetelnet
displayusernameadmin
保存地市本地帐号。
1.2端口配备规范
1.2.1Loopback地址配备
配备Loopback地址,提供一种永远upIP地址,用于各种路由合同邻居建立、远程登录、设备管理等。
城域骨干网互换机配备一种loopback0地址,掩码必要为32位。
Loopback接口需添加端口描述,端口描述规定符合第二章中IP城域网网络设备命名及链路描述规范中规定。
interfaceLoopBack0
ipaddress*.*.*.*255.255.255.255
descriptionForManagement
dispinterloopback0//查看运营状况
discurrent-configurationinterfaceLoopBack0//查看配备状况
1.2.2GE端口配备
1.2.2.1GE用做上连接口
配备GE端口用做上连接口。
配备GE端口speed设立为1000M,双工为自行协商,并且在端口上定义病毒过滤方略。
配备接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中对端端口应区别不同设备。
interfaceGigabitEthernet2/0/21
portlink-typetrunk
undoporttrunkpermitvlan1
undoporttrunkallow-passvlan1
porttrunkpermitvlan100to
porttrunkallow-passvlan100to
speed1000
duplexfull
descriptiondT:
ZQ-HT-DSW-1.M1G:
:
GI1/0/0
qosapplypolicyvirus-filterinbound上行端口应用端口过滤方略
traffic-policyvirus-filterinbound
qosapplypolicyvirus-filteroutbound
traffic-policyvirus-filteroutbound
dispintergi2/0/21//查看运营状况
dispcuintergi2/0/21//查看配备状况
1.2.2.2GE端口QINQ配备
配备GE端口用做下联接口,启动QINQ功能。
配备启动GE端口QINQ功能。
interfaceGigabitEthernet4/0/1
portlink-typehybrid
undoporthybridvlan1vlan1可以undo掉
porthybridvlan3990to39914094tagged
porthybridvlan1001to1005untagged
qinqenable
qosapplypolicyg4/0/1inbound
qosapplypolicynmoutbound
dispintergi4/0/1//查看运营状况
dispcuintergi4/0/1//查看配备状况
1.2.2.3FE端口QINQ配备
配备FE端口做下联端口,启动QINQ功能。
interfaceEthernet3/0/1
porthybridvlan3990to39914094tagged网管vlan
porthybridtaggedvlan3990to39914094
porthybridvlan1tountaggedvlan1不能undo掉,其她为QinQ外层vlan
porthybridtaggedvlan1to
qinqenable端口下使能QinQ功能
portlink-typedot1q-tunnel
qosapplypolicye3/0/1inbound应用针对此端口QinQ方略,入方向
traffic-policye3/0/1inbound入方向限速可以使用qoscar
qosapplypolicynmoutbound应用网管vlan出方向方略
traffic-policynmoutbound
displayinterfaceGigabitEthernet3/0/1//查看运营状况
dispcuintergi3/0/1//查看配备状况
1.2.2.4GE、FE端口专线配备
配备接入专线顾客GE、FE端口。
配备限速方略。
interfaceGigabitEthernet4/0/2
portaccessvlan3501
qosapplypolicyrate-1minbound入方向限速,应用限速方略
qoslroutboundcir1024cbs102400出方向限速,直接设定,cbs=100cir,cir单位Kbps
qoslrcir1024cbs102400outbound
displayinterfaceGigabitEthernet4/0/2//查看运营状况
dispcuinterGigabitEthernet4/0/2//查看配备状况
1.3路由合同配备规范
1.3.1静态路由配备
1.3.1.1静态路由配备方式
手工配备静态路由并设定有关参数。
iproute-static1.1.1.1255.255.255.2552.2.2.2
displayiprouting-tableprotocolstatic
静态路由缺省优先级为60。
1.4顾客方略配备
1.4.1定义防病毒访问控制列表
定义防病毒ACL,防御病毒袭击。
定义周知及常用病毒端口。
aclnumber3100病毒端口过滤控制列表
rule0denytcpdestination-porteq3127
rule1denytcpdestination-porteq1025
rule2denytcpdestination-porteq5554
rule3denytcpdestination-porteq9996
rule4denytcpdestination-porteq1068
rule5denytcpdestination-porteq135
rule6denyudpdestination-porteq135
rule7denytcpdestination-porteq137
rule8denyudpdestination-porteqnetbios-ns
rule9denytcpdestination-porteq138
rule10denyudpdestination-porteqnetbios-dgm
rule11denytcpdestination-porteq139
rule12denyudpdestination-porteqnetbios-ssn
rule13denytcpdestination-porteq593
rule14denytcpdestination-porteq4444
rule15denytcpdestination-porteq5800
rule16denytcpdestination-porteq5900
rule17denytcpdestination-porteq8998
rule18denytcpdestination-porteq445
rule19denyudpdestination-porteq445
rule20denyudpdestination-porteq1434
rule21denyudpdestination-porteq1433
rule22denytcpdestination-porteq707
rule23denytcpdestination-porteq136
displaycur
1.4.2QOS方略配备
定义流类型,例如病毒端口过滤、QINGQ流(定义匹配顾客VLAN范畴)、网管入方向流及网管出方向流。
定义有关流动作及有关方略。
流及QOS方略名称由省公司统一制定。
trafficclassifiervirus-filteroperatorand定义流:
端口病毒过滤
if-matchacl3100定义匹配报文ACL规则
trafficclassifierqinq1operatorand定义流:
QinQ流
if-matchcustomer-vlan-id2to480定义匹配顾客vlan范畴
if-matchcvlan-id2
trafficclassifierqinq2operatorand
if-matchcustomer-vlan-id481to960
trafficclassifierqinq3operatorand
if-matchcustomer-vlan-id1001to1480
trafficclassifierqinq4operatorand
if-matchcustomer-vlan-id1481to1960
trafficclassifierqinq5operatorand
if-matchcustomer-vlan-id1921to
trafficclassifierqinq6operatorand
if-matchcustomer-vlan-id3001to3100
trafficclassifiernm-hw-inoperatorand定义流:
网管入方向流(单层vlan标签)
if-matchcustomer-vlan-id3991定义匹配顾客vlan范畴
trafficclassifiernm-zx-inoperatorand
if-matchcustomer-vlan-id3990
trafficclassifiernm-inoperatorand
if-matchcustomer-vlan-id4094
trafficclassifiernm-hw-outoperatorand定义流:
网管出方向流(单层vlan标签)
if-matchservice-vlan-id3991定义网络侧vlan范畴
if-matchvlan-id3991
trafficclassifiernm-zx-outoperatorand
if-matchservice-vlan-id3990
trafficclassifiernm-outoperatorand
if-ma
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 配置 规范 样本