江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
radius-server dead-count 40 dead-time 3 #radius报文重传和中断时延
aaa #进入AAA视图
#配置RADIUS服务器组nc.jx,配置radius-server ip,缺省情况下,若配置多个ip,ME60工作在主备模式,若配置server的权重weight,可以实现负载分担,认证/计费服务器的端口号,缺省值为1812和1813。
radius-server group nc.jx #该radius-server组只能被domain nc.jx调用
radius-server authentication 61.180.1.21 1812 weight 50 #两台server使用相同权重,负载均衡
radius-server authentication 61.180.1.21 1812 weight 50 radius-server accounting 61.180.1.21 1813 weight 50 radius-server accounting 61.180.1.21 1813 weight 50 radius-server shared-key *********
radius-server retransmit 2 timeout 3 #指定远程radius服务器报文重传时间 radius-server class-as-car #配置报文中携带CAR值
radius-server traffic-unit byte #设置RADIUS服务器使用千字节做为流量单位 radius-server algorithm loading-share #radius-server使用负载均衡算法
undo radius-server user-name domain-included #用户名格式中不包括域名。该命令不再使用,如现网有该配置,须删除,因为在每个子接口已经使用默认域可以让用户不带域名拨号认证。
分类radius-server组,建立多个radius-server组,实现不同业务类型domain调用不同的radius-server组.避免修改radius-server组属性时出现错误修改。
#配置认证方案radius,缺省情况下,认证方案的认证模式为RADIUS认证。 authentication-scheme radius
#配置计费方案radius,缺省情况下,计费方法为RADIUS计费,设置实施计费间隔为120分钟。
accounting-scheme radius
accounting interim interval 120
accounting start-fail online #用户计费中断后依然在线
#配置nc.jx域,域的认证方案、计费方案名称都为radius,域使用的RADIUS服务器组为nc.jx。 domain nc.jx
authentication-scheme radius accounting-scheme radius radius-server group nc.jx
l2tp-group 6 #设置域使用的L2TP组的组名
l2tp-user radius-force #设置L2TP用户由RADIUS通道类型属性决定
ip-pool ip-pool1 #设置域的IP地址池,每个域最多可以设置128个地址池 ip-pool ******
IP-Warning-Threshold 90 #设置域的IP地址使用告警阈值 return
system-view
l2tp enable #启用L2TP功能,缺省情况下,L2TP功能被禁止。 l2tp-group 6 #配置上面domain调用的l2tp-group 6 undo tunnel authentication #取消L2TP隧道验证功能
tunnel name ZQ-GN-BAS-1 #指定隧道本端的名称,缺省情况下,系统的本端名称为设备名称。 start l2tp ip 1.1.1.1
tunnel source LoopBack0 #配置LAC端向LNS发起隧道建立请求时使用的隧道
中盈优创资讯科技有限公司
第20页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
源接口,只能是LoopBack接口。 quit 3、本地用户帐号: local-aaa-server #进入本地AAA服务器视图 user noc189 password cipher ******** level 3 idle-cut authentication-type A 3.1.6 典型垃圾流量过滤策略
配置说明:
在全局下配置inbound方向的控制策略,过滤用户发起的病毒端口流量。 规范要求:
定义ACL 6300作为病毒端口过滤列表,过滤的端口包括如下: udp 1434 //sql worm 病毒端口 udp 1433 //sql worm 病毒端口 udp 1027-1028 //灰鸽子木马端口 udp 135-139 //禁止netbios 端口 udp netbios-ss //禁止netbios 端口 udp 445 //禁止netbios 端口 tcp 4444 //冲击波病毒端口 tcp 445 //传送冲击波病毒端口
tcp 5554 //冲击波病毒端口,在感染“震荡波”病毒后会通过5554 端口向其他感染的计算机传送蠕虫病毒
配置规范:
acl number 6300 desDiption acl for Virus Protection from Internet rule 100 permit udp destination-port eq 1434 rule 110 permit udp destination-port eq 1433 rule 120 permit udp destination-port eq 1027 rule 130 permit udp destination-port eq 1028 rule 140 permit udp destination-port eq 135 rule 150 permit udp destination-port eq 136 rule 160 permit udp destination-port eq 137 rule 170 permit udp destination-port eq 138 rule 180 permit udp destination-port eq 139 rule 190 permit udp destination-port eq 445 中盈优创资讯科技有限公司
第21页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
rule 200 permit tcp destination-port eq 4444 rule 210 permit tcp destination-port eq 445 rule 220 permit tcp destination-port eq 5554 quit traffic classifier deny-virus operator or #定义流 if-match acl 6300 quit traffic policy deny-tcp #定义封堵策略 classifier deny-virus behavior op_deny quit traffic-policy deny-tcp outbound #全局应用 配置验证: display acl 6300 配置注意细节: 无。
3.2 端口配置规范
3.2.1 Loopback地址配置
配置说明:
配置两个Loopback地址,各提供一个永远up的IP地址,其中一个用于各种路由协议邻居的建立、远程登录、设备管理等。同时,BGP和MP-BGP路由器上的loopback地址,用作该路由器发布的BGP或MP-BGP路由的下一跳地址。另一个loopback地址用于标记BGP community属性。
规范要求:
城域骨干网SR路由器配置一个loopback 0地址及loopback 23地址,掩码必须为32位。
Loopback接口需添加端口描述,端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。
配置规范:
[Quidway]Int loopback0 [Quidway-LoopBack0]Ip address *.*.*.* 255.255.255.255 [Quidway-LoopBack0]desDiption For Management [Quidway]Int loopback23 [Quidway-LoopBack0]Ip address *.*.*.* 255.255.255.255 中盈优创资讯科技有限公司
第22页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
[Quidway-LoopBack0]desDiption For BGP-Community 配置验证: disp inter loopback 0 //查看运行情况 disp inter loopback 23 dis current-configuration interface LoopBack 0 //查看配置情况 dis current-configuration interface LoopBack23 //查看配置情况 配置注意细节: 无
3.2.2 GE端口配置
3.2.2.1 GE用做上连接口 配置说明:
配置GE端口用做上连接口。 规范要求:
配置GE端口MTU 设置为1548,关闭GE端口自行协商。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet1/0/0 undo negotiation auto mtu 1548 desDiption NC_RZL_S6503R_01 1G::GI3/0/7 ip address 202.104.209.226 255.255.255.252 配置验证: disp inter gi1/0/0 //查看运行情况 disp cu inter gi1/0/0 //查看配置情况 配置注意细节: 无。
3.2.2.2 GE用做下联接口 配置说明:
配置GE端口用做下联接口,即纯二层封装接口。 规范要求:
配置关闭GE端口自行协商。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
中盈优创资讯科技有限公司
第23页
江苏电信城域网BRAS(华为ME60/MA5200G) 配置规范
并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet1/0/1 undo negotiation auto desDiption NC_RZL_S6503R_01 1G::GI3/0/1 配置验证: disp inter gi1/0/0 //查看运行情况 disp cu inter gi1/0/0 //查看配置情况 配置注意细节: 无。
3.2.2.3 GE拨号下联子接口(dot1Q) 配置说明:
配置GE拨号下联子接口,封装为dot1Q。 规范要求:
配置子端口封装为pppoe 配置规范:
interface GigabitEthernet1/0/2.734 pppoe-server bind Virtual-Template 1 desDiption NC_RZL_S6503R_01 1G::GI3/0/7 user-vlan 734 #用户接入VLAN号 bas access-type layer2-subsDiber default-domain authentication nc.jx #配置二层拨号缺省论证域为nc.jx 配置验证: display interface GigabitEthernet1/0/2.734 //查看运行情况 disp cu inter gi1/0/2.734 //查看配置情况 配置注意细节: 注:SE800每个VLAN的缺省拨入数量为1,ME60缺省情况下不作限制。 3.2.2.4 GE拨号下联子接口(QinQ) 配置说明:
配置GE拨号下联子接口,封装为QinQ。 规范要求:
配置子端口封装为QiniQ 配置规范:
中盈优创资讯科技有限公司
第24页