城域网BRAS配置纲目
适用的设备版本:ME60 VRP5.5 V100R006C05SPC600
MA2500G VRP5.3 V300R003C02SPC100
1. 系统基本配置
1.1 设备名称配置
? 配置内容:配置设备名称
? 规范要求:设备名称要求符合配置有关命名规范; ? 配置示例:
? sysname shdong_yt_ME60_XX
1.2 系统时间配置
? 配置内容:配置系统时间;
? 规范要求:系统时间要求采用标准北京时间; ? 配置示例:
? clock datetimeHH:MM:SS YYYY/MM/DD,设置UTC标准时间。
? clock timezone time-zone-name { add | minus } offset,设置所在的时区。
1.3 NTP配置
? 配置内容:
? 配置NTP工作模式 ? 配置主备NTP服务器 ? 配置NTP身份验证功能 ? 配置NTP验证密钥 ? 配置NTP源接口 ? 设置NTP主时钟
? 允许/禁用接收NTP消息 ? 使用访问控制,控制NTP ? 规范要求:
? 城域网BRAS的NTP SERVER指向专用NTP服务器 ? 配置示例
? 在ME60A配置NTP主时钟并启动验证功能
# 在ME60A上指定使用自己的本地时钟作为参考时钟,层数为2。
[ME60A] ntp-service refclock-master 2
? # 在ME60A上使能NTP验证功能、配置验证密钥并声明该密钥可信。
[ME60A] ntp-service authentication enable
[ME60A] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[ME60A] ntp-service reliable authentication-keyid 42 ? 注意服务器端与客户端必须配置相同的验证密钥。
在ME60B指定NTP服务器并启动验证功能
# 在ME60B上使能NTP验证功能、配置验证密钥并声明该密钥可信。
[ME60B] ntp-service authentication enable
[ME60B] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[ME60B] ntp-service reliable authentication-keyid 42 ? # ME60B指定ME60A为NTP服务器,并使用已配置的验证密钥。
[ME60B] ntp-service unicast-server 2.2.2.2 authentication-keyid 42 在ME60C指定NTP服务器
# ME60C指定ME60B作为自己的NTP服务器。
[ME60C] ntp-service authentication enable
[ME60C] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[ME60C] ntp-service reliable authentication-keyid 42
[ME60C] ntp-service unicast-server 10.0.0.1 authentication-keyid 42 ? 在ME60D指定NTP服务器
# ME60D指定ME60B作为自己的NTP服务器。
[ME60D] ntp-service authentication enable
[ME60D] ntp-service authentication-keyid 42 authentication-mode md5 Hello
[ME60D] ntp-service reliable authentication-keyid 42
[ME60D] ntp-service unicast-server 10.0.0.1 authentication-keyid 42
1.4 网管系统配置
? 配置内容:
? 启动关闭SNMP代理 ? 配置SNMP版本 ? 配置读写团体名 ? 配置SNMP组
? 允许/禁止发送TRAP报文 ? 设置TRAP目标主机地址 ? 配置源接口 ? 规范要求:
? 要求符合相关维护规范 ? 配置示例
? # 配置SNMP的读团体名。
[ME60A] snmp-agent community read public ? # 配置SNMP的写团体名。
[ME60A] snmp-agent community write private
1.5 信息中心配置
? 配置内容:
? 启动关闭信息中心
? 配置信息通道的输出内容 ? 配置信息通道的输出方向 ? 配置日志缓存区大小
? 配置向日志服务器输出日志
? 配置向日志主机发送日志信息的源地址 ? 设置时间戳
? 设置输出信息的显示终端 ? 显示和调试Debug ? 规范要求:
? 要求符合相关维护规范 ? 配置示例
? # 开启信息中心。
[Quidway] info-center enable
? # 配置通道允许输出日志信息的模块和严重级别。
[Quidway] info-center source fib channel loghost log level warnings [Quidway] info-center source ip channel loghost log level warnings [Quidway] info-center source ppp channel channel6 log level notifications
[Quidway] info-center source aaa channel channel6 log level notifications
? 配置发送日志信息的源接口
[Quidway] info-center loghost source POS1/0/0 ? 配置日志信息输出到指定的日志主机
# 指定Server1作为日志服务器、Server3作为备份日志服务器,接收模块为FIB和IP的日志信息,输出语言为英文,使用设备为Local2。 [Quidway] info-center loghost 10.1.1.1 facility local2 language english [Quidway] info-center loghost 10.1.1.2 facility local2 language english # 指定Server2作为日志服务器、Server4作为备份日志服务器,接收模块为PPP和AAA的日志信息,输出语言为英文,使用设备为Local4。 [Quidway] info-center loghost 10.2.1.1 facility local4 language english [Quidway] info-center loghost 10.2.1.2 facility local4 language english ? 配置日志服务器
ME60会产生大量的日志信息,而ME60本身的存储空间相对有限,就需要配置日志服务器实现对设备日志的收集。
日志服务器可以是安装UNIX或LINUX操作系统的主机,也可以是安装第三方日志软件的主机。
在安装UNIX或LINUX的操作系统的主机中,可以通过在系统中启用Syslog后,通过Syslog机制在主机中记录设备的日志信息,实现日志信息的收集功能。 以安装LINUX系统主机为例,进行配置举例:
建立日志文件,在/var/log目录中通过使用touch loghost.info命令,来建立记录ME60信息的loghost.info文件。
编辑配置文件,编辑etc/syslog.conf内容为:loghost.info /var/log/loghost.log,表示主机名称为loghost,把信息等级为info的日志记录到系统下的/var/log/loghost.log中。
配置etc/sysconfig/syslog文件,将syslogd_options=\修改为:syslogd_option=\–m o\,使系统可以记录远端设备的日志。
启动Syslog服务,使用命令service syslog restart来启动Syslog服务。
2. 配置操作用户
2.1配置操作用户
? 配置内容: ? 配置AAA
? 配置增加/删除用户 ? 配置用户认证属性 ? 设置用户访问级别 ? 配置源接口 ? 规范要求:
? 根据相关规范配置 ? 配置示例
? system-view,进入系统视图。
? local-aaa-server,进入本地AAA视图
? user username block,设置操作用户为阻塞态
? undo user username block,设置操作用户为激活态
? user username authentication-type type-mask,设置操作用户类型 ? undo user username authentication-type,恢复操作用户类型的缺省值 ? user username level level,设置操作用户级别
? undo user username level,恢复操作用户级别的缺省值
? user username password { cipher | simple } password,设置操作用户密码
2.2 配置用户接口
? 配置内容:
? 配置Console接口 ? 配置Aux接口 ? 配置Vty接口 ? 配置用户超时断开 ? 配置用户访问限制 ? 配置示例
?
? [Quidway] user-interface vty 0
? [Quidway-ui-vty0] user privilege level 2
? [Quidway-ui-vty0] authentication-mode password
? [Quidway-ui-vty0] set authentication password simple huawei ? [Quidway-ui-vty0] idle-timeout 30
2.3 配置TELNET
? 配置内容:
? 限制TELNET登陆的IP地址; ? 配置TELNETsession的过期时间; ? 规范要求:
? TELNET密码采用系统全局配置的USERNAME和PASSWORD,密码字符串不要过于
简单,一般应由字母、数字及特殊字符等组成,且不能低于6位; ? 根据实际情况只允许指定的IP地址能TELNET到设备上; ? 每个TELNETsession的时效一般设定在10分钟左右; ? 配置示例
? ME60A已经与ME60B连接,能够相互ping通。用户通过Telnet方式从ME60A上
Telnet到ME60B。 ? # 在ME60A上配置
[ME60A] interface gigabitethernet1/0/0 [ME60A-GigabitEthernet1/0/0] undo shutdown
[ME60A-GigabitEthernet1/0/0] ip address 1.1.1.1 24 ? # 在ME60B上配置
[ME60B] interface gigabitethernet1/0/0 [ME60B-GigabitEthernet1/0/0] undo shutdown
[ME60B-GigabitEthernet1/0/0] ip address 1.1.1.2 24 ? # 配置ME60B的Telnet验证方式和密码
[ME60B] user-interface vty 0 4
[ME60B-ui-vty0-4] authentication-mode password
[ME60B-ui-vty0-4] set authentication password simple 123456
2.4 配置SSH
? 配置内容:
? 配置用户接口支持协议 ? 配置RSA
? 配置SSH用户 ? 配置SSH客户端 ? 配置SSH服务器 ? 配置SSH连接