`
interface Eth-Trunk1
mode lacp-static //如果下行二层设备支持LACP协议,建议启用。选点没有配置此条命令,默认是manual模式
mac-address 286e-d4ee-a712 //在bas需要创建多各捆绑口的前提下需要设置捆绑口的MAC地址,由于华为bas设备如果不手工设置MAC会出现所有捆绑口都是同一个MAC地址,所以在创建第二个捆绑口时可以将MAC设置为eth-trunk 1的MAC加1,例如eth-trunk 1的MAC地址是0018-8240-2988,eth-trunk 2的MAC地址可以设置为0018-8240-2989,eth-trunk 1可以不设置MAC使用默认MAC。
description dT:CZ-LZ-MJ-DSW-1.MAN.S8505(Local):LA-GROUP 2 //描述eth-trunk
nas logic-port eth-Trunk 1/1/0 //当前ME60已经支持跨版捆绑,如果配置了跨版捆绑的ETH-TRUNK接口,需要配置此命令,防止用户的精绑数据跳变, 端口号规则可以ETH-TURNK X/1/0,X代表ETH-TRUNK 接口号。
interface GigabitEthernet1/0/2 //将相应端口加入trunk description dT:LZ-MJ-DSW-1.MAN.S8508(local)GE2/1/13 undo shutdown eth-trunk 1
interface GigabitEthernet1/0/3 //将相应端口加入trunk description dT:LZ-MJ-DSW-1.MAN.S8508(local)GE2/1/1 undo shutdown eth-trunk 1
第2节 网管配置
2.1 远程登录SSH配置
■ 配置内容:
1、配置SSH 登录的密码; 2、限制SSH 登录的IP地址; 3、配置SSH Session的过期时间;
4、SSH用户的认证方式为password方式; 5、关闭设备登录提示;
6、Console端口登录需设置本地口令; 7、Aux端口登录需设置本地口令; ■ 规范要求:
1、SSH 密码字符串不能过于简单,一般应由字母、数字及特殊字符等组成,且不能低于8位;
2、根据实际情况只允许授权网段(确认分公司网管地址、NOC网管地址段202.103.194.99-101、中转机202.103.208.162)对设备VTY远程访问,VTY进程范围0到15;
3、控制连接超时时间,每个Console/SSH Session的超时限制设定为15分钟;
`
4、关闭设备登录提示;
5、Console端口登录需设置本地口令; ■ 配置示例:
1、SSH配置: 说明:
SSH用户主要有password、RSA、password-rsa、all这4种认证方式:
如果SSH用户的认证方式为password、password-rsa时,必须配置同名的local-user用户; 如果SSH用户的认证方式为RSA、password-rsa、all,服务器端应保存SSH客户端的RSA公钥。
# 配置VTY用户界面。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] protocol inbound ssh //设置只允许ssh协议接入 # 新建用户名为Client001的SSH用户,且认证方式为password。 [Quidway-ui-vty0-4]idle-timeout 15 0 [Quidway] stelnet server enable [Quidway] ssh user client001
[Quidway] ssh user client001 authentication-type password [Quidway] ssh user huawei service-type all
# 为SSH用户Client001配置密码为huawei。 [Quidway] local-aaa-server
[Quidway-local-aaa-server] user client001 password cipher huawei authentication-type S
2、关闭设备登录提示
暂时不支持关闭banner提示
3、Console端口登录需设置本地口令
user-interface con 0 //设置con口密码
authentication-mode password set authentication password cipher huawei idle-timeout 15 0
user-interface aux 0 //设置aux口密码
authentication-mode password set authentication password cipher huawei idle-timeout 15 0
2.2 SNMP配置
■ 配置内容:
1、配置网管工作站,配置内容包括:工作站IP地址、GET/SET团体名等; 2、激活网管工作站; 3、配置TRAP; ■ 规范要求:
1、采取SNMP 访问的限制措施,仅允许授权网段(ip综合网管202.103.194.99-101)访问
`
路由器的SNMP 服务;
2、要求采用V2 版本且读/写共同体不能采用默认的public和private,命名共同体需按一定复杂度;
3、开启SNMP TRAP,设置触发条件:端口UP DOWN 、BGP\\OSPF\\MPLS 协议状态改变、 设备重启、板卡状态改变);Radius服务器down; ■ 配置示例:
acl number 2001 //SNMP用户访问列表 rule 10 permit source 202.103.208.179 0 rule 15 permit source 202.103.224.122 0 rule 20 permit source 202.103.199.154 0 rule 25 permit source 202.103.208.170 0 rule 30 permit source 202.103.197.142 0
acl number 2010 //SNMP用户访问列表 rule 0 permit source 202.103.194.99 0 rule 4 permit source 10.111.41.0 0.0.0.255 rule 5 permit source 202.103.194.101 0 rule 10 permit source 222.216.107.204 0
snmp-agent
snmp-agent community write 5200fhw acl 2001 //设置写权限共同体及网段范围,仅在网管需要对设备MIB库写入的情况下,才进行配置,否则关闭
snmp-agent community read hw5200f acl 2001 //设置读团体及网段范围 snmp-agent community read Zyyc%telyk acl 2010 //设置读团体及网段范围 snmp-agent sys-info version 2 //设置版本号为2
snmp-agent target-host trap address udp-domain 202.103.199.154 params securityname N2000Server //设置接收Trap消息的目的地
snmp-agent target-host trap address udp-domain 202.103.224.74 params securityname inet v2c //设置接收Trap消息的目的地
snmp-agent target-host trap address udp-domain 202.103.197.142 params securityname kingon //设置接收Trap消息的目的地
snmp-agent trap enable mflp //针对具体功能开trap
snmp-agent trap source LoopBack0 //以LOOPBACK0为接口发送TRAP snmp-agent trap enable //开启trap
2.3 SYSLOG配置
■ 配置内容:
1、配置 log信息显示的时间; 2、配置 log信息触发的级别; 3、配置 log server; ■ 规范要求:
1、设备必须配置日志功能,记录所有中高风险的事件,其中必须记录用户登录事件,并对高风险的事件产生告警;
`
2、log信息采用北京时间来显示; 3、指定日志主机的IP地址;
4、log信息需集中保存到 log server(202.103.194.99)上,可以配置多个 log server; 5、IP POOL利用率超过85%,应输出告警信息;
6、Syslog触发级别根据不同设备实际情况调整,需包含如下信息:(端口UP DOWN 、BGP\\OSPF\\MPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down); 7、指出设备满足第6条规范要求需配置的最低级别,并按此级别配置。 ■ 配置示例: info-center source default channel 2 trap level warning //设备上送syslog日志的最低级别是warning。 info-center loghost source LoopBack0 //上送日志使用的源地址为loopback 0地址。 info-center loghost 202.103.194.99 //全区统一SYSLOG服务器配置 info-center loghost 202.103.197.142 facility local6 info-center loghost 202.103.208.170 facility local6 info-center logbuffer size 1024 //设置logbuffer大小,1024条 info-center monitor channel 0 注:满足第6条要求,设备需配置的最低级别是warning。 2.4 登录AAA
■ 配置内容:
配置设备登陆到AAA服务器; ■ 规范要求:
1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器(202.103.194.99)。 2、AAA Server采用tacas协议;
3、对于只支持Radius协议的设备,采用Radius协议进行管理。 4、配置认证策略为先本地后Tacacs;
5、日常维护使用Tacacs账号;配置本地认证一个超级帐号供应急使用;
■ 配置示例: hwtacacs-server template 3a-tacacs //配置tacacs服务器模板 hwtacacs-server authentication 202.103.194.99 //配置认证服务器 hwtacacs-server authorization 202.103.194.99 //配置授权服务器 hwtacacs-server accounting 202.103.194.99 //配置计费服务器 hwtacacs-server source-ip 222.217.167.38 //配置交互使用的源地址 hwtacacs-server shared-key Nocteam //配置服务器密钥 undo hwtacacs-server user-name domain-included //设置上送帐号不携带域名 aaa authentication-scheme 3a-tacacs authentication-mode local hwtacacs //认证模式为先本地后hwtacacs服务器认证 authorization-scheme 3a-tacacs authorization-mode hwtacacs local //授权模式是先hwtacacs 后local授权 `
domain default_admin #设备登陆认证TACACS+的认证域配置 authentication-scheme 3a-tacacs //引用认证模板 authorization-scheme 3a-tacacs //引用授权模板 accounting-scheme none //引用计费模板 hwtacacs-server 3a-tacacs //指定hwtacacs-server模板 super password level 3 cipher xxxxx //本地super帐号 第3节 路由配置
3.1 路由优先级/管理距离
■ 配置说明:
对路由优先级/管理距离的定义是帮助为了设备在接收到相同路由条目时候进行选路,在路由条目相同的情况下,优先级低的路由将被选择。 ■ 规范要求:
路由优先级别的设定按照下面规范。
普通静态 1 汇总静态 5 EBGP 20 OSPF 110 ISIS 115 External OSPF 150 黑洞路由1 170 黑洞路由2 210 IBGP 200 浮动静态 210 注:1.目前现网无汇总静态路由,无需配置。
2.黑洞路由分两类:用于配合BGP路由发布的Null0黑洞路由优先级为210;其它用于 防攻击,或者封堵特定IP地址的黑洞路由,优先级为170。
3.2 静态路由配置
■ 配置内容: 配置静态路由; ■ 规范要求:
1、配置静态路由需要同时配置下一跳IP地址以及接口; 2、静态路由优先级统一为1; ■ 配置示例: ip route-static 218.65.138.130 255.255.255.255 218.65.138.197 ip route-static 218.65.138.130 255.255.255.255 218.65.138.157 ip route-static default-preference 1 //优先级统一为1 3.3 黑洞路由配置
■ 配置内容: 配置黑洞路由; ■ 规范要求:
1、在BRAS上添加IP地址池的时候,需在设备本地配置相应的IP段的黑洞路由,防止路