华为S9306配置规范

华为S9603配置规范PAGE第1页目录TOC\o"1-4"\h\z\u第3章 华为S9603配置规范 13.1 系统基本配置规范 13.1.1 设备名称配置 13.1.2 Banner配置 13.1.3 设备自身时间及NTP 23.1.3.1 时区配置 23.1.3.2 NTP配置 23.1.4 VTY接口配置 33.1.4.1 连接数限制 33.1.4.2 空闲时间 33.1.4.3 访问控制列表 43.1.4.4 配置范例 43.1.5 AAA配置 53.1.5.1 概述 53.1.5.2 AAA配置 53.1.5.3 本地用户帐号 73.2 端口配置规范 73.2.1 Loopback地址配置 73.2.2 GE端口配置 83.2.2.1 GE用做上连接口 83.2.2.2 GE端口QINQ配置 93.2.2.3 FE端口QINQ配置 93.2.2.4 GE、FE端口专线配置 103.3 路由协议配置规范 103.3.1 静态路由配置 103.3.1.1 静态路由配置方式 103.4 用户策略配置 113.4.1 定义防病毒访问控制列表 113.4.2 QOS策略配置 123.4.3 用户限速配置 133.5 网管配置 143.5.1 SNMP管理代理配置 143.5.1.1 全局开启SNMP进程 143.5.1.2 ROCommunity值 153.5.1.3 RWCommunity值 163.5.1.4 SNMP访问控制列表 163.5.2 故障管理配置 173.5.2.1 SNMPTRAP信息内容 173.5.2.2 SNMPTRAP服务器地址 173.5.2.3 SNMPTRAP消息源地址 183.5.2.4 SYSLOG服务器地址 183.5.2.5 SYSLOG信息级别 183.5.2.6 SYSLOG消息源地址 183.5.2.7 配置范例（参考） 19第1页配置验证：dispcurr|buser-interface配置注意细节：华为设备默认超时时间即为10分钟，配置后也不会显示配置。访问控制列表配置说明：限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。规范要求：配置Telnet源地址限制，包含省公司地址段和最小化的地市网管中心维护IP网段。Telnet访问控制列表条目从10开始，条目的间隔步长为10，在访问控制列表的最后显示配置一条denyanyany语句。配置规范（参考）：aclnumber2088rule10permitsource202.105.80.00.0.0.255rule20permitsource202.105.82.00.0.0.255rule30permitsource59.37.66.00.0.0.255rule40permitsource125.88.116.00.0.0.255rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#设置VTY口登录用户的验证方式为AAAacl2088inbound配置验证：dispacl2088dispcurr|buser-interface配置注意细节：无。配置范例aclnumber2088rule10permitsource202.105.80.00.0.0.255rule20permitsource202.105.82.00.0.0.255rule30permitsource59.37.66.00.0.0.255rule40permitsource125.88.116.00.0.0.255rule50permitsourceX.X.X.XX.X.X.X#地市网管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#设置VTY口登录用户的验证方式为AAAacl2088inboundidle-timeout100用户超时断开连接时间设置为10分钟protocolinboundtelnet登录支持telnet协议AAA配置概述AAA使用Radius统一验证，全省统一大后台。AAA配置配置说明：配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数规范要求：认证方式采用radius方式计费方式采用radius方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置规范（参考）：radius-servertemplatesystemradius方案名称为system主备radius和源地址在一条命令中radius-serverauthentication202.103.28.1381645sourceloopback0secondaryradius-serveraccounting202.103.28.1381645sourceloopback0secondaryradius-servershared-keyaaa8010undoradius-serveruser-namedomain-includednas-ip59.175.247.182上报radius报文中的源地址，取用上行接口的互联IP先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-schemesystemauthentication-moderadiuslocalauthorization-schemesystemauthorization-modeif-authenticatedlocalaccounting-schemesystemaccounting-mode没有先radius后local，只有如下方式hwtacacsHWTACACSaccountinglocalLocalaccountinglocal-hwtacacsLocalHWTACACSaccountinglocal-radiusLocalRADIUSaccountingnoneNoaccountingradiusRADIUSaccountingdomainsystemaaa视图下domainsystemauthenticationloginradius-schemesystemlocal配置认证方案为先radius，后localauthorizationloginradius-schemesystemlocal配置授权方案为先radius，后localaccountingloginradius-schemesystemlocal配置计费方案为先radius，后localundoaccess-limitstateactiveundoidle-cut配置验证：displayauthentication-schemesystem配置注意细节：无。本地用户帐号配置说明：配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。规范要求：全省网络设备配置相同本地用户帐号admin，设置最高权限，使用省公司统一指定的密码，根据实际情况可保留地市本地管理帐号。配置规范（参考）：local-useradminpasswordcipheradmin@))*service-typetelnet配置验证：displayusernameadmin配置注意细节：保留地市本地帐号。端口配置规范Loopback地址配置配置说明：配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。规范要求：城域骨干网交换机配置一个loopback0地址，掩码必须为32位。Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。配置规范：interfaceLoopBack0ipaddress*.*.*.*255.255.255.255descriptionForManagement配置验证：dispinterloopback0//查看运行情况discurrent-configurationinterfaceLoopBack0//查看配置情况配置注意细节：无GE端口配置GE用做上连接口配置说明：配置GE端口用做上连接口。规范要求：配置GE端口speed设置为1000M，双工为自行协商，并且在端口上定义病毒过滤策略。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范：interfaceGigabitEthernet2/0/21portlink-typetrunkundoporttrunkpermitvlan1undoporttrunkallow-passvlan1porttrunkpermitvlan1002001to2005porttrunkallow-passvlan1002001to2005speed1000duplexfulldescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0qosapplypolicyvirus-filterinbound上行端口应用端口过滤的策略traffic-policyvirus-filterinboundqosapplypolicyvirus-filteroutboundtraffic-policyvirus-filteroutbound配置验证：dispintergi2/0/21//查看运行情况dispcuintergi2/0/21//查看配置情况配置注意细节：无。GE端口QINQ配置配置说明：配置GE端口用做下联接口，开启QINQ功能。规范要求：配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。配置规范：interfaceGigabitEthernet4/0/1portlink-typehybridundoporthybridvlan1vlan1可以undo掉porthybridvlan3990to39914094taggedporthybridvlan1001to1005untaggedqinqenableqosapplypolicyg4/0/1inboundqosapplypolicynmoutbounddescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0配置验证：dispintergi4/0/1//查看运行情况dispcuintergi4/0/1//查看配置情况配置注意细节：无。FE端口QINQ配置配置说明：配置FE端口做下联端口，开启QINQ功能。规范要求：配置开启GE端口QINQ功能。配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。配置规范：interfaceEthernet3/0/1portlink-typehybridporthybridvlan3990to39914094tagged网管vlanporthybridtaggedvlan3990to39914094porthybridvlan12001to2005untaggedvlan1不能undo掉，其他为QinQ的外层vlanporthybridtaggedvlan12001to2005qinqenable端口下使能QinQ功能portlink-typedot1q-tunnelqosapplypolicye3/0/1inbound应用针对此端口的QinQ策略，入方向traffic-policye3/0/1inbound入方向限速可以使用qoscarqosapplypolicynmoutbound应用网管vlan的出方向策略traffic-policynmoutbound配置验证：displayinterfaceGigabitEthernet3/0/1//查看运行情况dispcuintergi3/0/1//查看配置情况配置注意细节：无。GE、FE端口专线配置配置说明：配置接入专线用户的GE、FE端口。规范要求：配置限速策略。配置规范：interfaceGigabitEthernet4/0/2portaccessvlan3501qosapplypolicyrate-1minbound入方向限速，应用限速策略traffic-policye3/0/1inbound入方向限速可以使用qoscarqoslroutboundcir1024cbs102400出方向限速，直接设定，cbs=100cir，cir单位Kbpsqoslrcir1024cbs102400outbound配置验证：displayinterfaceGigabitEthernet4/0/2//查看运行情况dispcuinterGigabitEthernet4/0/2//查看配置情况配置注意细节：无。路由协议配置规范静态路由配置静态路由配置方式配置说明：手工配置静态路由并设定相关参数。规范要求：无。配置规范：iproute-static1.1.1.1255.255.255.2552.2.2.2配置验证：displayiprouting-tableprotocolstatic配置注意细节：静态路由缺省优先级为60。用户策略配置定义防病毒访问控制列表配置说明：定义防病毒ACL，防御病毒攻击。规范要求：定义周知及常见的病毒端口。配置规范：aclnumber3100病毒端口过滤控制列表rule0denytcpdestination-porteq3127rule1denytcpdestination-porteq1025rule2denytcpdestination-porteq5554rule3denytcpdestination-porteq9996rule4denytcpdestination-porteq1068rule5denytcpdestination-porteq135rule6denyudpdestination-porteq135rule7denytcpdestination-porteq137rule8denyudpdestination-porteqnetbios-nsrule9denytcpdestination-porteq138rule10denyudpdestination-porteqnetbios-dgmrule11denytcpdestination-porteq139rule12denyudpdestination-porteqnetbios-ssnrule13denytcpdestination-porteq593rule14denytcpdestination-porteq4444rule15denytcpdestination-porteq5800rule16denytcpdestination-porteq5900rule17denytcpdestination-porteq8998rule18denytcpdestination-porteq445rule19denyudpdestination-porteq445rule20denyudpdestination-porteq1434rule21denyudpdestination-porteq1433rule22denytcpdestination-porteq707rule23denytcpdestination-porteq136配置验证：displaycur配置注意细节：无QOS策略配置配置说明：定义流类型，比如病毒端口过滤、QINGQ流（定义匹配用户VLAN范围）、网管入方向流及网管出方向流。定义相关的流动作及相关的策略。规范要求：流及QOS策略的名称由省公司统一制定。配置规范（参考）：trafficclassifiervirus-filteroperatorand定义流：端口病毒过滤if-matchacl3100定义匹配报文的ACL规则trafficclassifierqinq1operatorand定义流：QinQ流if-matchcustomer-vlan-id2to480定义匹配用户vlan范围if-matchcvlan-id2trafficclassifierqinq2operatorandif-matchcustomer-vlan-id481to960trafficclassifierqinq3operatorandif-matchcustomer-vlan-id1001to1480trafficclassifierqinq4operatorandif-matchcustomer-vlan-id1481to1960trafficclassifierqinq5operatorandif-matchcustomer-vlan-id1921to2000trafficclassifierqinq6operatorandif-matchcustomer-vlan-id3001to3100#trafficclassifiernm-hw-inoperatorand定义流：网管入方向流（单层vlan标签）if-matchcustomer-vlan-id3991定义匹配用户vlan范围trafficclassifiernm-zx-inoperatorandif-matchcustomer-vlan-id3990trafficclassifiernm-inoperatorandif-matchcustomer-vlan-id4094trafficclassifiernm-hw-outoperatorand定义流：网管出方向流（单层vlan标签）if-matchservice-vlan-id3991定义网络侧vlan范围if-matchvlan-id3991trafficclassifiernm-zx-outoperatorandif-matchservice-vlan-id3990trafficclassifiernm-outoperatorandif-matchservice-vlan-id4094#trafficbehaviorvirus-filter定义流动作：端口过滤filterdenydenytrafficbehaviorg2/0/1-1定义流动作：G2/0/1端口第1个QinQ插入标签动作nesttop-mostvlan-id2001创建外层vlan动作trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991为流行为配置标记网络侧vlan的动作remarkvlan-id/clan-id3991trafficbehaviornm-zx-inremarkservice-vlan-id3990trafficbehaviornm-inremarkservice-vlan-id4094trafficbehaviornm-hw-outremarkcustomer-vlan-id3991为流行为配置标记用户侧vlan的动作remarkvlan-id/clan-id3991trafficbehaviornm-zx-outremarkcustomer-vlan-id3990trafficbehaviornm-outremarkcustomer-vlan-id4094#qospolicyvirus-filter定义策略：端口过滤trafficpolicyvirus-filterqospolicy均使用trafficpolicy替换classifiervirus-filterbehaviorvirus-filter为流指定动作，把流和动作关联起来qospolicyg2/0/1定义策略：QinQ端口入方向，按端口命名classifiernm-hw-inbehaviornm-hw-in网管使用classifiernm-zx-inbehaviornm-zx-in网管使用classifiernm-inbehaviornm-in网管使用classifierqinq1behaviorg2/0/1-1按端口需要配置classifierqinq2behaviorg2/0/1-2按端口需要配置qospolicynm定义策略：网管出方向classifiernm-hw-outbehaviornm-hw-outclassifiernm-zx-outbehaviornm-zx-outclassifiernm-outbehaviornm-out用户限速配置配置说明：设置用户限速。规范要求：采用qospolicy为用户限速。配置规范：aclnumber4000rule0permittrafficclassifierrateoperatorand定义流：所有流量if-matchacl4000trafficbehaviorrate-1m定义流动作：入方向限速carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpasscarcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpasstrafficbehaviorrate-2mcarcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpasstrafficbehaviorrate-5mcarcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpasstrafficbehaviorrate-10mcarcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpasstrafficbehaviorrate-15mcarcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpasstrafficbehaviorrate-20mcarcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpasstrafficbehaviorrate-30mcarcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpassqospolicyrate-1m定义策略：入方向限速trafficpolicyrate-1mclassifierratebehaviorrate-1mqospolicyrate-2mclassifierratebehaviorrate-2mqospolicyrate-5mclassifierratebehaviorrate-5mqospolicyrate-10mclassifierratebehaviorrate-10mqospolicyrate-15mclassifierratebehaviorrate-15mqospolicyrate-20mclassifierratebehaviorrate-20mqospolicyrate-30mclassifierratebehaviorrate-30m配置验证：displayscheduler-profileall配置注意细节：无。网管配置SNMP管理代理配置全局开启SNMP进程配置说明：SNMP的结构分为NMS（NetworkManagementStation）和Agent两部分。SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。NMS，是运行客户端程序的工作站，网管站（NMS）对网络设备发送各种查询报文，接收来自被管理设备的响应报文及Trap报文，并将结果显示出来。Agent是驻留在被管理设备上的一个进程，负责接受、处理来自网管站的Request报文，根据报文类型对管理变量进行Read或Write操作，并生成Response报文，反送给NMS。另一方面，Agent在设备发生冷/热启动等异常情况时，也会主动向NMS发送Trap报文报告所发生的事件。NMS与Agent的关系如下图所示：规范要求：要求统一配置交换机作为SNMPAgent，处理NMS发来的查询报文并返回响应报文。配置规范：snmp-agent#启动SNMPAgent服务配置验证：displaysnmp-agentsys-info配置注意细节：无。ROCommunity值配置说明：SNMP团体（Community）由一字符串来命名，称为团体名（CommunityName）。不同的团体可具有只读（read-only）或读写（read-write）访问模式。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。配置community字符串不要过于简单，一般应由字母、数字及特殊字符等组成，用于提高SNMP协议安全。规范要求：规范、统一配置设备的SNMPROCOMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。配置规范（参考）：snmp-agentcommunityreadhbnoc-ipnms#设置团体名及访问权限snmp-agentcommunityread********配置验证：displaysnmp-agentcommunityread配置注意细节：无。RWCommunity值配置说明：具有写权限的的团体可以对设备进行配置。规范要求：规范、统一配置设备的SNMPROCOMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。配置规范（参考）：snmp-agentcommunitywritehbnoc-ipnms-rw#设置团体名及访问权限配置验证：displaysnmp-agentcommunitywrite配置注意细节：无。SNMP访问控制列表配置说明：对SNMP增加ACL访问列表，只允许指定的IP地址能通过SNMP协议访问设备。规范要求：IP地址段由省公司统一制定。配置规范（参考）：snmp-agentcommunityreadhbn