华为S9306配置规范

目录
第3章华为S9603配置规范 (1)
3.1系统基本配置规范 (1)
3.1.1设备名称配置 (1)
3.1.2Banner配置 (1)
3.1.3设备自身时间及NTP (2)
3.1.3.1时区配置 (2)
3.1.3.2NTP配置 (2)
3.1.4VTY接口配置 (3)
3.1.4.1连接数限制 (3)
3.1.4.2空闲时间 (3)
3.1.4.3访问控制列表 (4)
3.1.4.4配置范例 (4)
3.1.5AAA配置 (5)
3.1.5.1概述 (5)
3.1.5.2AAA配置 (5)
3.1.5.3本地用户帐号 (7)
3.2端口配置规范 (7)
3.2.1Loopback地址配置 (7)
3.2.2GE端口配置 (8)
3.2.2.1GE用做上连接口 (8)
3.2.2.2GE端口QINQ配置 (9)
3.2.2.3FE端口QINQ配置 (9)
3.2.2.4GE、FE端口专线配置 (10)
3.3路由协议配置规范 (10)
3.3.1静态路由配置 (10)
3.3.1.1静态路由配置方式 (10)
3.4用户策略配置 (11)
3.4.1定义防病毒访问控制列表 (11)
3.4.2QOS策略配置 (12)
3.4.3用户限速配置 (13)
3.5网管配置 (14)
3.5.1SNMP管理代理配置 (14)
3.5.1.1全局开启SNMP进程 (14)
3.5.1.2RO Community值 (15)
3.5.1.3RW Community值 (16)
3.5.1.4SNMP访问控制列表 (16)
3.5.2故障管理配置 (17)
3.5.2.1SNMP TRAP信息内容 (17)
3.5.2.2SNMP TRAP 服务器地址 (17)
3.5.2.3SNMP TRAP消息源地址 (18)
3.5.2.4SYSLOG服务器地址 (18)
3.5.2.5SYSLOG信息级别 (18)
3.5.2.6SYSLOG消息源地址 (18)
3.5.2.7配置范例（参考） (19)
第1章华为S9603配置规范
1.1 系统基本配置规范
1.1.1设备名称配置
配置说明：
规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。

规范要求：
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范：
配置后立即生效，设备名称显示在配置命令行的左边。

配置注意细节：
可以根据需要在.M后添加设备型号。

1.1.2Banner配置
配置说明：
统一Banner语言，以省网标准为主。

规范要求：
城域网所有交换机配置统一的Banner信息，登陆时提示：
WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!
配置规范：
配置验证：
登陆路由器时应看到banner提示。

配置注意细节：
Banner语言应起到提示和警告非授权访问者的作用，严禁在Banner中出现任何表示欢迎的字样。

1.1.3设备自身时间及NTP
NTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。

1.1.3.1 时区配置
配置说明：
统一设备的时区配置。

规范要求：
配置系统时区为GMT+8，北京时区。

配置规范：
无。

1.1.3.2 NTP配置
配置说明：
使用NTP同步网络上所有设备的时间，保证网络设备得到正确的时间。

规范要求：
配置主和备两组NTP服务器。

配置规范：
配置验证：
配置注意细节：
无。

1.1.4VTY接口配置
1.1.4.1 连接数限制
配置说明：
对同时远程登陆到设备上的session数进行限制，可以防止大量的session 连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

规范要求：
配置BRAS路由器并发连接数限制为10个。

配置规范：
无
1.1.4.2 空闲时间
配置说明：
设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。

规范要求：
对VTY登录超时设置进行配置，设置空闲时间为10分钟。

配置规范：
华为设备默认超时时间即为10分钟，配置后也不会显示配置。

1.1.4.3 访问控制列表
配置说明：
限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。

规范要求：
配置Telnet源地址限制，包含省公司地址段和最小化的地市网管中心维护IP网段。

Telnet访问控制列表条目从10开始，条目的间隔步长为10，在访问控制列表的最后显示配置一条deny any any语句。

配置规范（参考）：
无。

1.1.4.4 配置范例
1.1.5AAA配置
1.1.5.1 概述
AAA使用Radius统一验证，全省统一大后台。

1.1.5.2 AAA配置
配置说明：
配置用户的认证方式
配置用户的计费方式
配置用户认证服务器地址及参数
配置用户计费服务器地址及参数
规范要求：
认证方式采用radius 方式
计费方式采用radius 方式
认证及计费服务器的地址根据省公司统一安排情况设置设置Radius 密钥时要与省后台相关人员协商确定
认证端口号根据各个地方的实际情况设置
计费端口号根据各个地方的实际情况设置
配置规范（参考）：
radius-server template system radius方案名称为system
主备radius和源地址在一条命令中
radius-server authentication 202.103.28.138 1645 source loopback 0 secondary radius-server accounting 202.103.28.138 1645 source loopback 0 secondary radius-server shared-key aaa8010
undo radius-server user-name domain-included
nas-ip 59.175.247.182 上报radius报文中的源地址，取用上行接口的互联IP
先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-scheme
authentication-scheme system
authentication-mode radius local
authorization-scheme system
authorization-mode if-authenticated local
accounting-scheme system
accounting-mode 没有先radius后local，只有如下方式
hwtacacs HWTACACS accounting
local Local accounting
local-hwtacacs Local HWTACACS accounting
local-radius Local RADIUS accounting
none No accounting
radius RADIUS accounting
domain system
aaa视图下
domain system
authentication login radius-scheme system local 配置认证方案为先radius，后local
authorization login radius-scheme system local 配置授权方案为先radius，后local
accounting login radius-scheme system local 配置计费方案为先radius，后local
undo access-limit
state active
undo idle-cut
配置验证：
配置注意细节：
无。

1.1.5.3 本地用户帐号
配置说明：
配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。

规范要求：
全省网络设备配置相同本地用户帐号admin，设置最高权限，使用省公司统一指定的密码，根据实际情况可保留地市本地管理帐号。

配置规范（参考）：
保留地市本地帐号。

1.2 端口配置规范
1.2.1Loopback地址配置
配置说明：
配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。

规范要求：
城域骨干网交换机配置一个loopback 0地址，掩码必须为32位。

Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。

配置规范：
配置验证：
无
1.2.2GE端口配置
1.2.2.1 GE用做上连接口
配置说明：
配置GE端口用做上连接口。

规范要求：
配置GE端口speed 设置为1000M，双工为自行协商，并且在端口上定义病毒过滤策略。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

并注意端口描述中的对端端口应区别不同设备。

配置规范：
无。

1.2.2.2 GE端口QINQ配置
配置说明：
配置GE端口用做下联接口，开启QINQ功能。

规范要求：
配置开启GE端口QINQ功能。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

并注意端口描述中的对端端口应区别不同设备。

配置规范：
无。

1.2.2.3 FE端口QINQ配置
配置说明：
配置FE端口做下联端口，开启QINQ功能。

规范要求：
配置开启GE端口QINQ功能。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

配置规范：
无。

1.2.2.4 GE、FE端口专线配置
配置说明：
配置接入专线用户的GE、FE端口。

规范要求：
配置限速策略。

配置规范：
无。

1.3 路由协议配置规范
1.3.1静态路由配置
1.3.1.1 静态路由配置方式
配置说明：
手工配置静态路由并设定相关参数。

规范要求：
无。

配置规范：
静态路由缺省优先级为60。

1.4 用户策略配置
1.4.1定义防病毒访问控制列表
配置说明：
定义防病毒ACL，防御病毒攻击。

规范要求：
定义周知及常见的病毒端口。

配置规范：
acl number 3100 病毒端口过滤控制列表rule 0 deny tcp destination-port eq 3127
rule 1 deny tcp destination-port eq 1025
rule 2 deny tcp destination-port eq 5554
rule 3 deny tcp destination-port eq 9996
rule 4 deny tcp destination-port eq 1068
rule 5 deny tcp destination-port eq 135
rule 6 deny udp destination-port eq 135
rule 7 deny tcp destination-port eq 137
rule 8 deny udp destination-port eq netbios-ns
rule 9 deny tcp destination-port eq 138
rule 10 deny udp destination-port eq netbios-dgm rule 11 deny tcp destination-port eq 139
rule 12 deny udp destination-port eq netbios-ssn
rule 13 deny tcp destination-port eq 593
rule 14 deny tcp destination-port eq 4444
rule 15 deny tcp destination-port eq 5800
rule 16 deny tcp destination-port eq 5900
rule 17 deny tcp destination-port eq 8998
rule 18 deny tcp destination-port eq 445
rule 19 deny udp destination-port eq 445
rule 20 deny udp destination-port eq 1434
rule 21 deny udp destination-port eq 1433
rule 22 deny tcp destination-port eq 707
无
1.4.2QOS策略配置
配置说明：
定义流类型，比如病毒端口过滤、QINGQ流（定义匹配用户VLAN范围）、网管入方向流及网管出方向流。

定义相关的流动作及相关的策略。

规范要求：
流及QOS策略的名称由省公司统一制定。

配置规范（参考）：
traffic classifier virus-filter operator and 定义流：端口病毒过滤
if-match acl 3100 定义匹配报文的ACL规则
traffic classifier qinq1 operator and 定义流：QinQ流
if-match customer-vlan-id 2 to 480 定义匹配用户vlan范围
if-match cvlan-id 2
traffic classifier qinq2 operator and
if-match customer-vlan-id 481 to 960
traffic classifier qinq3 operator and
if-match customer-vlan-id 1001 to 1480
traffic classifier qinq4 operator and
if-match customer-vlan-id 1481 to 1960
traffic classifier qinq5 operator and
if-match customer-vlan-id 1921 to 2000
traffic classifier qinq6 operator and
if-match customer-vlan-id 3001 to 3100
#
traffic classifier nm-hw-in operator and 定义流：网管入方向流（单层vlan标签）
if-match customer-vlan-id 3991 定义匹配用户vlan范围
traffic classifier nm-zx-in operator and
if-match customer-vlan-id 3990
traffic classifier nm-in operator and
if-match customer-vlan-id 4094
traffic classifier nm-hw-out operator and 定义流：网管出方向流（单层vlan标签）
if-match service-vlan-id 3991 定义网络侧vlan范围
if-match vlan-id 3991
traffic classifier nm-zx-out operator and
if-match service-vlan-id 3990
traffic classifier nm-out operator and
if-match service-vlan-id 4094
#
traffic behavior virus-filter 定义流动作：端口过滤
filter deny
deny
traffic behavior g2/0/1-1 定义流动作：G2/0/1端口第1个QinQ插入标签动作nest top-most vlan-id 2001 创建外层vlan动作
traffic behavior g2/0/1-2
nest top-most vlan-id 2002
traffic behavior nm-hw-in
remark service-vlan-id 3991 为流行为配置标记网络侧vlan的动作remark vlan-id/clan-id 3991
traffic behavior nm-zx-in
remark service-vlan-id 3990
traffic behavior nm-in
remark service-vlan-id 4094
traffic behavior nm-hw-out
remark customer-vlan-id 3991 为流行为配置标记用户侧vlan的动作remark vlan-id/clan-id 3991
traffic behavior nm-zx-out
remark customer-vlan-id 3990
traffic behavior nm-out
remark customer-vlan-id 4094
#
qos policy virus-filter 定义策略：端口过滤
traffic policy virus-filter qos policy均使用traffic policy替换classifier virus-filter behavior virus-filter 为流指定动作，把流和动作关联起来qos policy g2/0/1 定义策略：QinQ端口入方向，按端口命名classifier nm-hw-in behavior nm-hw-in 网管使用
classifier nm-zx-in behavior nm-zx-in 网管使用
classifier nm-in behavior nm-in 网管使用
classifier qinq1 behavior g2/0/1-1 按端口需要配置
classifier qinq2 behavior g2/0/1-2 按端口需要配置
qos policy nm 定义策略：网管出方向
classifier nm-hw-out behavior nm-hw-out
classifier nm-zx-out behavior nm-zx-out
classifier nm-out behavior nm-out
1.4.3用户限速配置
配置说明：
设置用户限速。

规范要求：
采用qos policy为用户限速。

配置规范：
traffic behavior rate-2m
car cir 2048 cbs 204800 ebs 204800 pir 2048 green pass red discard yellow pass
traffic behavior rate-5m
car cir 5120 cbs 512000 ebs 512000 pir 5120 green pass red discard yellow pass
traffic behavior rate-10m
car cir 10240 cbs 1024000 ebs 1024000 pir 10240 green pass red discard yellow
pass
traffic behavior rate-15m
car cir 15360 cbs 1536000 ebs 1536000 pir 15360 green pass red discard yellow
pass
traffic behavior rate-20m
car cir 20480 cbs 2048000 ebs 2048000 pir 20480 green pass red discard yellow
pass
traffic behavior rate-30m
car cir 30720 cbs 3072000 ebs 3072000 pir 30720 green pass red discard yellow
pass
qos policy rate-1m 定义策略：入方向限速
traffic policy rate-1m
classifier rate behavior rate-1m
qos policy rate-2m
classifier rate behavior rate-2m
qos policy rate-5m
classifier rate behavior rate-5m
qos policy rate-10m
classifier rate behavior rate-10m
qos policy rate-15m
classifier rate behavior rate-15m
qos policy rate-20m
classifier rate behavior rate-20m
qos policy rate-30m
classifier rate behavior rate-30m
配置验证：
无。

1.5 网管配置
1.5.1SNMP管理代理配置
1.5.1.1 全局开启SNMP进程
配置说明：
SNMP的结构分为NMS（Network Management Station）和Agent两部分。

SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。

NMS，是运行客户端程序的工作站，网管站（NMS）对网络设备发送各种查
询报文，接收来自被管理设备的响应报文及Trap报文，并将结果显示出来。

Agent是驻留在被管理设备上的一个进程，负责接受、处理来自网管站的Request报文，根据报文类型对管理变量进行Read或Write操作，并生成Response报文，反送给NMS。

另一方面，Agent在设备发生冷/热启动等异常情况时，也会主动向NMS发送Trap报文报告所发生的事件。

NMS与Agent的关系如下图所示：
规范要求：
要求统一配置交换机作为SNMP Agent，处理NMS发来的查询报文并返回响应报文。

配置规范：
snmp-agent #启动SNMP Agent服务
display snmp-agent sys-info
无。

1.5.1.2 RO Community值
配置说明：
SNMP团体（Community）由一字符串来命名，称为团体名（Community Name）。

不同的团体可具有只读（read-only）或读写（read-write）访问模式。

具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备
进行配置。

配置community字符串不要过于简单，一般应由字母、数字及特殊字符等组成，用于提高SNMP协议安全。

规范要求：
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。

配置规范（参考）：
无。

1.5.1.3 RW Community值
配置说明：
具有写权限的的团体可以对设备进行配置。

规范要求：
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定，根据需要保留地市COMMUNITY字符串。

配置规范（参考）：
无。

1.5.1.4 SNMP访问控制列表
配置说明：
对SNMP增加ACL访问列表，只允许指定的IP地址能通过SNMP协议访问
设备。

规范要求：
IP地址段由省公司统一制定。

配置规范（参考）：
无
1.5.2故障管理配置
1.5.
2.1 SNMP TRAP信息内容
配置说明：
Trap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件。

如果需要路由器主动发送这些信息，就必须配置Trap功能。

TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。

规范要求：
对于SNMP Trap，要开启端口的状态变化，协议状态变化，设备配置发生变化等告警信息。

1.5.
2.2 SNMP TRAP 服务器地址
配置说明：
通过指定SNMP TRAP服务器地址，将TRAP信息发送到制定服务器。

规范要求：
在需要开启SNMP TRAP功能时，统一配置省公司制定的SNMP TRAP服务
器地址及端口。

1.5.
2.3 SNMP TRAP消息源地址
配置说明：
通过配置设备SNMP TRAP消息源，可以快速定位SNMP TRAP源。

规范要求：
统一配置SNMP TRAP消息源地址为设备LOOPBACK0接口。

1.5.
2.4 SYSLOG服务器地址
配置说明：
配置SYSLOG服务器地址，发送日志到制定服务器
规范要求：
统一配置省公司指定的IP地址。

1.5.
2.5 SYSLOG信息级别
配置说明：
设置信息级别level，禁止信息级别大于所设置的severity的信息输出。

信息中心按信息的严重等级或紧急程度划分为八个级别，如下表所示，越紧急其信息级别越小，emergencies表示的等级为0，debugging为7。

规范要求：
对于level5（warnings）及其以上级别的log信息发往syslog。

1.5.
2.6 SYSLOG消息源地址
.
. 配置说明：
从一台路由器发出的日志消息，默认的源地址是发送该日志消息的接口的IP
地址，但用户可以通过配置命令改变这个源地址。

对不同的路由器设置不同的源地址，就可以通过源地址判断日志消息是从哪台路由器发出的，从而便于对收到的日志消息检索。

规范要求：
要求统一SYSLOG消息源地址为设备的LOOPBACK0地址。

1.5.
2.7 配置范例（参考）
<结束>
本文来源于网络。