华为S9306配置规范标准

上传人:cn****1 文档编号:511232252 上传时间:2024-01-28 格式:DOC 页数:22 大小:244.50KB
返回 下载 相关 举报
华为S9306配置规范标准_第1页
第1页 / 共22页
华为S9306配置规范标准_第2页
第2页 / 共22页
华为S9306配置规范标准_第3页
第3页 / 共22页
华为S9306配置规范标准_第4页
第4页 / 共22页
华为S9306配置规范标准_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《华为S9306配置规范标准》由会员分享,可在线阅读,更多相关《华为S9306配置规范标准(22页珍藏版)》请在金锄头文库上搜索。

1、 .目 录第3章华为S9603配置规范63.1系统基本配置规范63.1.1设备名称配置63.1.2Banner配置63.1.3设备自身时间及NTP73.1.3.1时区配置73.1.3.2NTP配置73.1.4VTY接口配置83.1.4.1连接数限制83.1.4.2空闲时间83.1.4.3访问控制列表93.1.4.4配置范例93.1.5AAA配置103.1.5.1概述103.1.5.2AAA配置103.1.5.3本地用户帐号123.2端口配置规范123.2.1Loopback地址配置123.2.2GE端口配置133.2.2.1GE用做上连接口133.2.2.2GE端口QINQ配置143.2.2.

2、3FE端口QINQ配置143.2.2.4GE、FE端口专线配置153.3路由协议配置规范153.3.1静态路由配置153.3.1.1静态路由配置方式153.4用户策略配置163.4.1定义防病毒访问控制列表163.4.2QOS策略配置173.4.3用户限速配置183.5网管配置193.5.1SNMP管理代理配置193.5.1.1全局开启SNMP进程193.5.1.2RO Community值203.5.1.3RW Community值213.5.1.4SNMP访问控制列表213.5.2故障管理配置223.5.2.1SNMP TRAP信息内容223.5.2.2SNMP TRAP 服务器地址223

3、.5.2.3SNMP TRAP消息源地址233.5.2.4SYSLOG服务器地址233.5.2.5SYSLOG信息级别233.5.2.6SYSLOG消息源地址233.5.2.7配置范例(参考)24 .页脚. 第1章 华为S9603配置规范1.1 系统基本配置规范1.1.1 设备名称配置配置说明:规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。规范要求:设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。配置规范:sysname HS-TJL-DSW-1.M.9306配置验证:配置后立即生效,设备名称显示在配置命

4、令行的左边。配置注意细节:可以根据需要在.M后添加设备型号。1.1.2 Banner配置配置说明:统一Banner语言,以省网标准为主。规范要求:城域网所有交换机配置统一的Banner信息,登陆时提示:WARNING! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user! 配置规范:Quidway header login information %WARNING! Authorised access only, a

5、ll of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!%配置验证:登陆路由器时应看到banner提示。配置注意细节:Banner语言应起到提示和警告非授权访问者的作用,严禁在Banner中出现任何表示欢迎的字样。1.1.3 设备自身时间及NTPNTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。 1.1.3.1 时区配置配置说明:统一设备的时区配置。规范要求:配置系统时区为GMT+8,北京时区。配置规范:cloc

6、k timezone Beijing add 08:00:00 #在用户模式下配置配置验证:display clock配置注意细节:无。1.1.3.2 NTP配置配置说明:使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。规范要求:配置主和备两组NTP服务器。配置规范:ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVERntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER配置验证:display clockdisplay ntp-service

7、statusdisplay ntp-service session配置注意细节:无。1.1.4 VTY接口配置1.1.4.1 连接数限制配置说明:对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。规范要求:配置BRAS路由器并发连接数限制为10个。配置规范:user-interface maximum-vty 10配置验证:display user-interface maximum-vty配置注意细节:无1.1.4.2 空闲时间配置说明:设置了Telnet超时功能,当空闲时间超过设定值后,Telnet

8、线程断开,防止未被授权的人员在操作员离开后进行非法操作。规范要求:对VTY登录超时设置进行配置,设置空闲时间为10分钟。配置规范:user-interface console 0idle-timeout 10 0user-interface aux 0idle-timeout 10 0user-interface vty 0 9idle-timeout 10 0配置验证:disp curr | b user-interface配置注意细节:华为设备默认超时时间即为10分钟,配置后也不会显示配置。1.1.4.3 访问控制列表配置说明:限制Telnet登录网络的源地址,从而增强设备的安全性,最大限

9、度防止非法登陆尝试。规范要求:配置Telnet源地址限制,包含省公司地址段和最小化的地市网管中心维护IP网段。Telnet访问控制列表条目从10开始,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny any any语句。配置规范(参考):acl number 2088 rule 10 permit source 202.105.80.0 0.0.0.255 rule 20 permit source 202.105.82.0 0.0.0.255 rule 30 permit source 59.37.66.0 0.0.0.255 rule 40 permit source 125

10、.88.116.0 0.0.0.255 rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any#user-interface vty 0 4 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound配置验证:disp acl 2088disp curr | b user-interface配置注意细节:无。1.1.4.4 配置范例acl number 2088 rule 10 permit source 202.105.80.0 0.0.0.2

11、55 rule 20 permit source 202.105.82.0 0.0.0.255 rule 30 permit source 59.37.66.0 0.0.0.255 rule 40 permit source 125.88.116.0 0.0.0.255 rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段 rule 99 deny source any# user-interface vty 0 4 authentication-mode aaa #设置VTY口登录用户的验证方式为AAA acl 2088 inbound idle-ti

12、meout 10 0 用户超时断开连接时间设置为10分钟protocol inbound telnet 登录支持telnet协议1.1.5 AAA配置1.1.5.1 概述AAA使用Radius统一验证,全省统一大后台。1.1.5.2 AAA配置配置说明:配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数规范要求:认证方式采用radius 方式计费方式采用radius 方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius 密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置规范(参考

13、):radius-server template system radius方案名称为system主备radius和源地址在一条命令中 radius-server authentication 202.103.28.138 1645 source loopback 0 secondaryradius-server accounting 202.103.28.138 1645 source loopback 0 secondary radius-server shared-key aaa8010 undo radius-server user-name domain-included nas-i

14、p 59.175.247.182 上报radius报文中的源地址,取用上行接口的互联IP先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-scheme systemauthentication-mode radius localauthorization-scheme systemauthorization-mode if-authenticated localaccounting-scheme systemaccounting-mode 没有先radius后local,只有如下方式 hwtacacs HWTACACS accounting local Local accounting

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号