2024年9月6日发(作者:圭令怡)
第1章 目 录
第3章
3.1
华为S9603配置规范 ......................................................................... 错误!未定义书签。
系统基本配置规范 ................................................................................ 错误!未定义书签。
3.1.1
3.1.2
3.1.3
设备名称配置
..................................................................................
错误
!
未定义书签。
Banner配置
.....................................................................................
错误
!
未定义书签。
设备自身时间及NTP
......................................................................
错误
!
未定义书签。
时区配置 .............................................. 错误!未定义书签。
NTP配置 .............................................. 错误!未定义书签。
3.1.3.1
3.1.3.2
3.1.4
VTY接口配置
..................................................................................
错误
!
未定义书签。
连接数限制............................................. 错误!未定义书签。
空闲时间 .............................................. 错误!未定义书签。
访问控制列表 ........................................... 错误!未定义书签。
配置范例 .............................................. 错误!未定义书签。
3.1.4.1
3.1.4.2
3.1.4.3
3.1.4.4
3.1.5
AAA配置
..........................................................................................
错误
!
未定义书签。
概述 .................................................. 错误!未定义书签。
AAA配置 .............................................. 错误!未定义书签。
本地用户帐号 ........................................... 错误!未定义书签。
3.1.5.1
3.1.5.2
3.1.5.3
3.2
端口配置规范 ........................................................................................ 错误!未定义书签。
3.2.1
3.2.2
Loopback地址配置
.........................................................................
错误
!
未定义书签。
GE端口配置
....................................................................................
错误
!
未定义书签。
GE用做上连接口 ........................................ 错误!未定义书签。
GE端口QINQ配置 ...................................... 错误!未定义书签。
FE端口QINQ配置 ...................................... 错误!未定义书签。
GE、FE端口专线配置.................................... 错误!未定义书签。
3.2.2.1
3.2.2.2
3.2.2.3
3.2.2.4
3.3
路由协议配置规范 ................................................................................ 错误!未定义书签。
3.3.1
静态路由配置
..................................................................................
错误
!
未定义书签。
3.3.1.1
静态路由配置方式 ....................................... 错误!未定义书签。
3.4
用户策略配置 ........................................................................................ 错误!未定义书签。
3.4.1
3.4.2
3.4.3
3.5
定义防病毒访问控制列表
..............................................................
错误
!
未定义书签。
QOS策略配置
.................................................................................
错误
!
未定义书签。
用户限速配置
..................................................................................
错误
!
未定义书签。
网管配置 ................................................................................................ 错误!未定义书签。
3.5.1
SNMP管理代理配置
.......................................................................
错误
!
未定义书签。
全局启动SNMP进程..................................... 错误!未定义书签。
RO Community值 ....................................... 错误!未定义书签。
RW Community值 ...................................... 错误!未定义书签。
SNMP访问控制列表 ..................................... 错误!未定义书签。
3.5.1.1
3.5.1.2
3.5.1.3
3.5.1.4
3.5.2
故障管理配置
..................................................................................
错误
!
未定义书签。
SNMP TRAP信息内容 .................................... 错误!未定义书签。
SNMP TRAP 服务器地址 ................................. 错误!未定义书签。
SNMP TRAP消息源地址 .................................. 错误!未定义书签。
SYSLOG服务器地址 ..................................... 错误!未定义书签。
SYSLOG信息级别 ....................................... 错误!未定义书签。
SYSLOG消息源地址 ..................................... 错误!未定义书签。
配置范例(参考) ....................................... 错误!未定义书签。
3.5.2.1
3.5.2.2
3.5.2.3
3.5.2.4
3.5.2.5
3.5.2.6
3.5.2.7
第2章 华为S9603配置规范
2.1 系统基本配置规范
2.1.1 设备名称配置
配置说明:
规范设备命名, 唯一性标记城域网中的每台设备, 用于对城域网的每台设备
进行区分, 方便设备管理, 提高可读性和可管理性。
规范规定:
设备名称规定符合第二章中“IP城域网网络设备命名及链路描述规范”中
规定。
配置规范:
sysname HS-TJL-DSW-1.M.9306
配置验证:
配置后立即生效, 设备名称显示在配置命令行的左边。
配置注意细节:
可以根据需要在.M后添加设备型号。
2.1.2 Banner配置
配置说明:
统一Banner语言, 以省网标准为主。
规范规定:
城域网所有互换机配置统一的Banner信息, 登陆时提醒:
WARNING Authorised access only, all of your done will be recorded!
disconnect IMMEDIATELY if you are not an authorised user!
配置规范:
[Quidway] header login information %
WARNING Authorised access only, all of your done will be recorded! disconnect
IMMEDIATELY if you are not an authorised user!%
配置验证:
登陆路由器时应看到banner提醒。
配置注意细节:
2.1.3 Banner语言应起到提醒和警告非授权访问者的作用,
严禁在Banner中出现任何表达欢迎的字样。
2.1.4 设备自身时间及NTP
2.1.4.1 NTP实现网络设备时间同步功能, 与时间有关的应用, 例如Log
信息, 基于时间限制带宽等, 都需要基于对的的时间。
2.1.4.2 时区配置
配置说明:
统一设备的时区配置。
规范规定:
配置系统时区为GMT+8, 北京时区。
配置规范:
clock timezone Beijing add 08:00:00 #在用户模式下配置
配置验证:
display clock
配置注意细节:
无。
2.1.4.3 NTP配置
配置说明:
使用NTP同步网络上所有设备的时间, 保证网络设备得到对的的时间。
规范规定:
配置主和备两组NTP服务器。
配置规范:
ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVER
ntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER
配置验证:
display clock
display ntp-service status
display ntp-service session
配置注意细节:
无。
2.1.5 VTY接口配置
2.1.5.1 连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制, 可以防止大量的session
连接占用过多系统资源, 同时便于集中运维, 保证故障期间的正常解决。
规范规定:
配置BRAS路由器并发连接数限制为10个。
配置规范:
user-interface maximum-vty 10
配置验证:
display user-interface maximum-vty
配置注意细节:
无
2.1.5.2 空闲时间
配置说明:
设立了Telnet超时功能, 当空闲时间超过设定值后, Telnet线程断开, 防止
未被授权的人员在操作员离开后进行非法操作。
规范规定:
对VTY登录超时设立进行配置, 设立空闲时间为10分钟。
配置规范:
user-interface console 0
idle-timeout 10 0
user-interface aux 0
idle-timeout 10 0
user-interface vty 0 9
idle-timeout 10 0
配置验证:
disp curr | b user-interface
配置注意细节:
2.1.5.3 华为设备默认超时时间即为10分钟, 配置后也不会显示配置。
2.1.5.4 访问控制列表
配置说明:
限制Telnet登录网络的源地址, 从而增强设备的安全性, 最大限度防止非法
登陆尝试。
规范规定:
配置Telnet源地址限制, 包含省公司地址段和最小化的地市网管中心维护
IP网段。
Telnet访问控制列表条目从10开始, 条目的间隔步长为10, 在访问控
制列表的最后显示配置一条deny any any语句。
配置规范(参考):
acl number 2088
rule 10 permit source 202.105.80.0 0.0.0.255
rule 20 permit source 202.105.82.0 0.0.0.255
rule 30 permit source 59.37.66.0 0.0.0.255
rule 40 permit source 125.88.116.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface vty 0 4
authentication-mode aaa #设立VTY口登录用户的验证方式为AAA
acl 2088 inbound
配置验证:
disp acl 2088
disp curr | b user-interface
配置注意细节:
无。
2.1.5.5 配置范例
acl number 2088
rule 10 permit source 202.105.80.0 0.0.0.255
rule 20 permit source 202.105.82.0 0.0.0.255
rule 30 permit source 59.37.66.0 0.0.0.255
rule 40 permit source 125.88.116.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface vty 0 4
authentication-mode aaa #设立VTY口登录用户的验证方式为AAA
acl 2088 inbound
idle-timeout 10 0 用户超时断开连接时间设立为10分钟
protocol inbound telnet 登录支持telnet协议
2.1.6 AAA配置
2.1.6.1 概述
2.1.6.2 AAA使用Radius统一验证, 全省统一大后台。
2.1.6.3 AAA配置
配置说明:
配置用户的认证方式
配置用户的计费方式
配置用户认证服务器地址及参数
配置用户计费服务器地址及参数
规范规定:
认证方式采用radius 方式
计费方式采用radius 方式
认证及计费服务器的地址根据省公司统一安排情况设立
设立Radius 密钥时要与省后台相关人员协商拟定
认证端标语根据各个地方的实际情况设立
计费端标语根据各个地方的实际情况设立
配置规范(参考):
radius-server template system radius方案名称为system
主备radius和源地址在一条命令中
radius-server authentication 202.103.28.138 1645 source loopback 0 secondary
radius-server accounting 202.103.28.138 1645 source loopback 0 secondary
radius-server shared-key aaa8010
undo radius-server user-name domain-included
nas-ip 59.175.247.182 上报radius报文中的源地址, 取用上行接口的互联IP
先在aaa视图下配置authentication-scheme、authorization-scheme、
accounting-scheme
authentication-scheme system
authentication-mode radius local
authorization-scheme system
authorization-mode if-authenticated local
accounting-scheme system
accounting-mode 没有先radius后local, 只有如下方式
hwtacacs HWTACACS accounting
local Local accounting
local-hwtacacs Local HWTACACS accounting
local-radius Local RADIUS accounting
none No accounting
radius RADIUS accounting
domain system
aaa视图下
domain system
authentication login radius-scheme system local 配置认证方案为先radius, 后
local
authorization login radius-scheme system local 配置授权方案为先radius, 后
local
accounting login radius-scheme system local 配置计费方案为先radius, 后
local
undo access-limit
state active
undo idle-cut
配置验证:
display authentication-scheme system
配置注意细节:
无。
2.1.6.4 本地用户帐号
配置说明:
配置本地用户帐号, 作为AAA服务器连接失败时的应急登陆用。
规范规定:
全省网络设备配置相同本地用户帐号admin, 设立最高权限, 使用省
公司统一指定的密码, 根据实际情况可保存地市本地管理帐号。
配置规范(参考):
local-user admin password cipher admin@))* service-type telnet
配置验证:
display user name admin
配置注意细节:
保存地市本地帐号。
2.2 端口配置规范
2.2.1 Loopback地址配置
配置说明:
配置Loopback地址, 提供一个永远up的IP地址, 用于各种路由协议邻居
的建立、远程登录、设备管理等。
规范规定:
城域骨干网互换机配置一个loopback 0地址, 掩码必须为32位。
Loopback接口需添加端口描述, 端口描述规定符合第二章中IP城域网
网络设备命名及链路描述规范中规定。
配置规范:
interface LoopBack0
ip address *.*.*.* 255.255.255.255
description For Management
配置验证:
disp inter loopback 0 //查看运营情况
dis current-configuration interface LoopBack 0 //查看配置情况
配置注意细节:
无
2.2.2 GE端口配置
2.2.2.1 GE用做上连接口
配置说明:
配置GE端口用做上连接口。
规范规定:
配置GE端口speed 设立为1000M, 双工为自行协商, 并且在端口上定义病
毒过滤策略。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet2/0/21
port link-type trunk
undo port trunk permit vlan 1
undo port trunk allow-pass vlan 1
port trunk permit vlan 100 2023 to 2023
port trunk allow-pass vlan 100 2023 to 2023
speed 1000
duplex full
description dT:ZQ-HT-DSW-1.M 1G::GI1/0/0
qos apply policy virus-filter inbound 上行端口应用端口过滤的策略
traffic-policy virus-filter inbound
qos apply policy virus-filter outbound
traffic-policy virus-filter outbound
配置验证:
disp inter gi2/0/21 //查看运营情况
disp cu inter gi2/0/21 //查看配置情况
配置注意细节:
无。
2.2.2.2 GE端口QINQ配置
配置说明:
配置GE端口用做下联接口, 启动QINQ功能。
规范规定:
配置启动GE端口QINQ功能。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet4/0/1
port link-type hybrid
undo port hybrid vlan 1 vlan 1可以undo掉
port hybrid vlan 3990 to 3991 4094 tagged
port hybrid vlan 1001 to 1005 untagged
qinq enable
qos apply policy g4/0/1 inbound
qos apply policy nm outbound
description dT:ZQ-HT-DSW-1.M 1G::GI1/0/0
配置验证:
disp inter gi4/0/1 //查看运营情况
disp cu inter gi4/0/1 //查看配置情况
配置注意细节:
无。
2.2.2.3 FE端口QINQ配置
配置说明:
配置FE端口做下联端口, 启动QINQ功能。
规范规定:
配置启动GE端口QINQ功能。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
配置规范:
interface Ethernet3/0/1
port link-type hybrid
port hybrid vlan 3990 to 3991 4094 tagged 网管vlan
port hybrid tagged vlan 3990 to 3991 4094
port hybrid vlan 1 2023 to 2023 untagged vlan 1不能undo掉, 其他为
QinQ的外层vlan
port hybrid tagged vlan 1 2023 to 2023
qinq enable 端口下使能QinQ功能
port link-type dot1q-tunnel
qos apply policy e3/0/1 inbound 应用针对此端口的QinQ策略, 入
方向
traffic-policy e3/0/1 inbound 入方向限速可以使用qos car
qos apply policy nm outbound 应用网管vlan的出方向策略
traffic-policy nm outbound
配置验证:
display interface GigabitEthernet3/0/1 //查看运营情况
disp cu inter gi3/0/1 //查看配置情况
配置注意细节:
无。
2.2.2.4 GE、FE端口专线配置
配置说明:
配置接入专线用户的GE、FE端口。
规范规定:
配置限速策略。
配置规范:
interface GigabitEthernet4/0/2
port access vlan 3501
qos apply policy rate-1m inbound 入方向限速, 应用限速策略
traffic-policy e3/0/1 inbound 入方向限速可以使用qos car
qos lr outbound cir 1024 cbs 102400 出方向限速, 直接设定, cbs=100cir,
cir单位Kbps
qos lr cir 1024 cbs 102400 outbound
配置验证:
display interface GigabitEthernet4/0/2 //查看运营情况
disp cu inter GigabitEthernet4/0/2 //查看配置情况
配置注意细节:
无。
2.3 路由协议配置规范
2.3.1 静态路由配置
2.3.1.1 静态路由配置方式
配置说明:
手工配置静态路由并设定相关参数。
规范规定:
无。
配置规范:
ip route-static 1.1.1.1 255.255.255.255 2.2.2.2
配置验证:
display ip routing-table protocol static
配置注意细节:
静态路由缺省优先级为60。
2.4 用户策略配置
2.4.1 定义防病毒访问控制列表
配置说明:
定义防病毒ACL, 防御病毒袭击。
规范规定:
定义周知及常见的病毒端口。
配置规范:
acl number 3100 病毒端口过滤控制列表
rule 0 deny tcp destination-port eq 3127
rule 1 deny tcp destination-port eq 1025
rule 2 deny tcp destination-port eq 5554
rule 3 deny tcp destination-port eq 9996
rule 4 deny tcp destination-port eq 1068
rule 5 deny tcp destination-port eq 135
rule 6 deny udp destination-port eq 135
rule 7 deny tcp destination-port eq 137
rule 8 deny udp destination-port eq netbios-ns
rule 9 deny tcp destination-port eq 138
rule 10 deny udp destination-port eq netbios-dgm
rule 11 deny tcp destination-port eq 139
rule 12 deny udp destination-port eq netbios-ssn
rule 13 deny tcp destination-port eq 593
rule 14 deny tcp destination-port eq 4444
rule 15 deny tcp destination-port eq 5800
rule 16 deny tcp destination-port eq 5900
rule 17 deny tcp destination-port eq 8998
rule 18 deny tcp destination-port eq 445
rule 19 deny udp destination-port eq 445
rule 20 deny udp destination-port eq 1434
rule 21 deny udp destination-port eq 1433
rule 22 deny tcp destination-port eq 707
rule 23 deny tcp destination-port eq 136
配置验证:
display cur
配置注意细节:
无
2.4.2 QOS策略配置
配置说明:
定义流类型, 比如病毒端口过滤、QINGQ流(定义匹配用户VLAN范围)、
网管入方向流及网管出方向流。定义相关的流动作及相关的策略。
规范规定:
流及QOS策略的名称由省公司统一制定。
配置规范(参考):
traffic classifier virus-filter operator and 定义流: 端口病毒过滤
if-match acl 3100 定义匹配报文的ACL规则
traffic classifier qinq1 operator and 定义流: QinQ流
if-match customer-vlan-id 2 to 480 定义匹配用户vlan范围
if-match cvlan-id 2
traffic classifier qinq2 operator and
if-match customer-vlan-id 481 to 960
traffic classifier qinq3 operator and
if-match customer-vlan-id 1001 to 1480
traffic classifier qinq4 operator and
if-match customer-vlan-id 1481 to 1960
traffic classifier qinq5 operator and
if-match customer-vlan-id 1921 to 2023
traffic classifier qinq6 operator and
if-match customer-vlan-id 3001 to 3100
#
traffic classifier nm-hw-in operator and 定义流: 网管入方向流(单层vlan标签)
if-match customer-vlan-id 3991 定义匹配用户vlan范围
traffic classifier nm-zx-in operator and
if-match customer-vlan-id 3990
traffic classifier nm-in operator and
if-match customer-vlan-id 4094
traffic classifier nm-hw-out operator and 定义流: 网管出方向流(单层vlan标签)
if-match service-vlan-id 3991 定义网络侧vlan范围
if-match vlan-id 3991
traffic classifier nm-zx-out operator and
if-match service-vlan-id 3990
traffic classifier nm-out operator and
if-match service-vlan-id 4094
#
traffic behavior virus-filter 定义流动作: 端口过滤
filter deny
deny
traffic behavior g2/0/1-1 定义流动作: G2/0/1端口第1个QinQ插入标签动
作
nest top-most vlan-id 2023 创建外层vlan动作
traffic behavior g2/0/1-2
nest top-most vlan-id 2023
traffic behavior nm-hw-in
remark service-vlan-id 3991 为流行为配置标记网络侧vlan的动作
remark vlan-id/clan-id 3991
traffic behavior nm-zx-in
remark service-vlan-id 3990
traffic behavior nm-in
remark service-vlan-id 4094
traffic behavior nm-hw-out
remark customer-vlan-id 3991 为流行为配置标记用户侧vlan的动作
remark vlan-id/clan-id 3991
traffic behavior nm-zx-out
remark customer-vlan-id 3990
traffic behavior nm-out
remark customer-vlan-id 4094
#
qos policy virus-filter 定义策略: 端口过滤
traffic policy virus-filter qos policy均使用traffic policy替换
classifier virus-filter behavior virus-filter 为流指定动作, 把流和动作关联起来
qos policy g2/0/1 定义策略:QinQ端口入方向, 按端口命名
classifier nm-hw-in behavior nm-hw-in 网管使用
classifier nm-zx-in behavior nm-zx-in 网管使用
classifier nm-in behavior nm-in 网管使用
classifier qinq1 behavior g2/0/1-1 按端口需要配置
classifier qinq2 behavior g2/0/1-2 按端口需要配置
qos policy nm 定义策略: 网管出方向
classifier nm-hw-out behavior nm-hw-out
classifier nm-zx-out behavior nm-zx-out
classifier nm-out behavior nm-out
2.4.3 用户限速配置
配置说明:
设立用户限速。
规范规定:
采用qos policy为用户限速。
配置规范:
acl number 4000
rule 0 permit
traffic classifier rate operator and 定义流: 所有流量
if-match acl 4000
traffic behavior rate-1m 定义流动作: 入方向限速
car cir 1024 cbs 102400 ebs 102400 pir 1024 green pass red discard yellow pass
car cir 1024 pir 1024 cbs 1024000 pbs 1024000 green pass red discard yellow
pass
traffic behavior rate-2m
car cir 2048 cbs 204800 ebs 204800 pir 2048 green pass red discard yellow pass
traffic behavior rate-5m
car cir 5120 cbs 512023 ebs 512023 pir 5120 green pass red discard yellow pass
traffic behavior rate-10m
car cir 10240 cbs 1024000 ebs 1024000 pir 10240 green pass red discard yellow
pass
traffic behavior rate-15m
car cir 15360 cbs 1536000 ebs 1536000 pir 15360 green pass red discard yellow
pass
traffic behavior rate-20m
car cir 20480 cbs 2048000 ebs 2048000 pir 20480 green pass red discard yellow
pass
traffic behavior rate-30m
car cir 30720 cbs 3072023 ebs 3072023 pir 30720 green pass red discard yellow
pass
qos policy rate-1m 定义策略: 入方向限速
traffic policy rate-1m
classifier rate behavior rate-1m
qos policy rate-2m
classifier rate behavior rate-2m
qos policy rate-5m
classifier rate behavior rate-5m
qos policy rate-10m
classifier rate behavior rate-10m
qos policy rate-15m
classifier rate behavior rate-15m
qos policy rate-20m
classifier rate behavior rate-20m
qos policy rate-30m
classifier rate behavior rate-30m
配置验证:
display scheduler-profile all
配置注意细节:
无。
2.5 网管配置
2.5.1 SNMP管理代理配置
2.5.1.1 全局启动SNMP进程
配置说明:
SNMP的结构分为NMS(Network Management Station)和Agent两部分。
SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。
NMS, 是运营客户端程序的工作站, 网管站(NMS)对网络设备发送各种查
询报文, 接受来自被管理设备的响应报文及Trap报文, 并将结果显示出来。
Agent是驻留在被管理设备上的一个进程, 负责接受、解决来自网管站的
Request报文, 根据报文类型对管理变量进行Read或Write操作, 并生成
Response报文, 反送给NMS。另一方面, Agent在设备发生冷/热启动等异常情
况时, 也会积极向NMS发送Trap报文报告所发生的事件。
NMS与Agent的关系如下图所示:
规范规定:
规定统一配置互换机作为SNMP Agent, 解决NMS发来的查询报文并返
回响应报文。
配置规范:
snmp-agent #启动SNMP Agent服务
配置验证:
display snmp-agent sys-info
配置注意细节:
无。
2.5.1.2 RO Community值
配置说明:
SNMP团队(Community)由一字符串来命名, 称为团队名(Community
Name)。
不同的团队可具有只读(read-only)或读写(read-write)访问模式。具有
只读权限的团队只能对设备信息进行查询, 而具有读写权限的团队还可以对设
备进行配置。
配置community字符串不要过于简朴, 一般应由字母、数字及特殊字符等
组成, 用于提高SNMP协议安全。
规范规定:
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定, 根据
需要保存地市COMMUNITY字符串。
配置规范(参考):
snmp-agent community read hbnoc-ipnms #设立团队名及访问权限
snmp-agent community read ********
配置验证:
display snmp-agent community read
配置注意细节:
无。
2.5.1.3 RW Community值
配置说明:
具有写权限的的团队可以对设备进行配置。
规范规定:
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定, 根据
需要保存地市COMMUNITY字符串。
配置规范(参考):
snmp-agent community write hbnoc-ipnms-rw #设立团队名及访问权限
配置验证:
display snmp-agent community write
配置注意细节:
无。
2.5.1.4 SNMP访问控制列表
配置说明:
对SNMP增长ACL访问列表, 只允许指定的IP地址能通过SNMP协议访问
设备。
规范规定:
IP地址段由省公司统一制定。
配置规范(参考):
snmp-agent community read hbnoc-ipnms acl 2077
snmp-agent community write hbnoc-ipnms-rw acl 2077
acl number 2077 #允许下列信任主机(地市及省公司NMS)访问SNMP-AGENT
rule 10 permit source 218.15.240.0 0.0.0.31
rule 20 permit source 59.37.66.0 0.0.0.255
rule 30 permit source 202.105.82.0 0.0.0.255
rule 99 deny
配置验证:
display snmp-agent community
dis cu | i snmp-agent community
配置注意细节:
无
2.5.2 故障管理配置
2.5.2.1 SNMP TRAP信息内容
配置说明:
Trap是被管理设备积极向NMS发送的不经请求的信息, 用于报告一些紧急
的重要事件。假如需要路由器积极发送这些信息, 就必须配置Trap功能。
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状
况信息。
规范规定:
2.5.2.2 对于SNMP Trap, 要启动端口的状态变化, 协议状态变化, 设
备配置发生变化等告警信息。
2.5.2.3 SNMP TRAP 服务器地址
配置说明:
通过指定SNMP TRAP服务器地址, 将TRAP信息发送到制定服务器。
规范规定:
2.5.2.4 在需要启动SNMP TRAP功能时, 统一配置省公司制定的
SNMP TRAP服务器地址及端口。
2.5.2.5 SNMP TRAP消息源地址
配置说明:
通过配置设备SNMP TRAP消息源, 可以快速定位SNMP TRAP源。
规范规定:
统一配置SNMP TRAP消息源地址为设备LOOPBACK0接口。
2.5.2.6 SYSLOG服务器地址
配置说明:
配置SYSLOG服务器地址, 发送日记到制定服务器
规范规定:
统一配置省公司指定的IP地址。
2.5.2.7 SYSLOG信息级别
配置说明:
设立信息级别level, 严禁信息级别大于所设立的severity的信息输出。信息
中心按信息的严重等级或紧急限度划分为八个级别, 如下表所示, 越紧急其信息
级别越小, emergencies表达的等级为0, debugging为7。
规范规定:
对于level5(warnings)及其以上级别的log信息发往syslog。
2.5.2.8 SYSLOG消息源地址
配置说明:
从一台路由器发出的日记消息, 默认的源地址是发送该日记消息的接口的
IP地址, 但用户可以通过配置命令改变这个源地址。对不同的路由器设立不同的
源地址, 就可以通过源地址判断日记消息是从哪台路由器发出的, 从而便于对收
到的日记消息检索。
规范规定:
规定统一SYSLOG消息源地址为设备的LOOPBACK0地址。
2.5.2.9 配置范例(参考)
snmp-agent trap enable ospf
snmp-agent trap enable configuration
snmp-agent trap enable system
snmp-agent target-host trap address udp-domain 202.105.80.97 params
securityname 1 v2c
snmp-agent trap source LoopBack0 #指定发送Trap的源接口
info-center loghost 59.37.66.135
info-center source default channel 2 log level warning
info-center loghost source LoopBack0 #设立发送信息的源地址
<结束>
本文来源于网络
2024年9月6日发(作者:圭令怡)
第1章 目 录
第3章
3.1
华为S9603配置规范 ......................................................................... 错误!未定义书签。
系统基本配置规范 ................................................................................ 错误!未定义书签。
3.1.1
3.1.2
3.1.3
设备名称配置
..................................................................................
错误
!
未定义书签。
Banner配置
.....................................................................................
错误
!
未定义书签。
设备自身时间及NTP
......................................................................
错误
!
未定义书签。
时区配置 .............................................. 错误!未定义书签。
NTP配置 .............................................. 错误!未定义书签。
3.1.3.1
3.1.3.2
3.1.4
VTY接口配置
..................................................................................
错误
!
未定义书签。
连接数限制............................................. 错误!未定义书签。
空闲时间 .............................................. 错误!未定义书签。
访问控制列表 ........................................... 错误!未定义书签。
配置范例 .............................................. 错误!未定义书签。
3.1.4.1
3.1.4.2
3.1.4.3
3.1.4.4
3.1.5
AAA配置
..........................................................................................
错误
!
未定义书签。
概述 .................................................. 错误!未定义书签。
AAA配置 .............................................. 错误!未定义书签。
本地用户帐号 ........................................... 错误!未定义书签。
3.1.5.1
3.1.5.2
3.1.5.3
3.2
端口配置规范 ........................................................................................ 错误!未定义书签。
3.2.1
3.2.2
Loopback地址配置
.........................................................................
错误
!
未定义书签。
GE端口配置
....................................................................................
错误
!
未定义书签。
GE用做上连接口 ........................................ 错误!未定义书签。
GE端口QINQ配置 ...................................... 错误!未定义书签。
FE端口QINQ配置 ...................................... 错误!未定义书签。
GE、FE端口专线配置.................................... 错误!未定义书签。
3.2.2.1
3.2.2.2
3.2.2.3
3.2.2.4
3.3
路由协议配置规范 ................................................................................ 错误!未定义书签。
3.3.1
静态路由配置
..................................................................................
错误
!
未定义书签。
3.3.1.1
静态路由配置方式 ....................................... 错误!未定义书签。
3.4
用户策略配置 ........................................................................................ 错误!未定义书签。
3.4.1
3.4.2
3.4.3
3.5
定义防病毒访问控制列表
..............................................................
错误
!
未定义书签。
QOS策略配置
.................................................................................
错误
!
未定义书签。
用户限速配置
..................................................................................
错误
!
未定义书签。
网管配置 ................................................................................................ 错误!未定义书签。
3.5.1
SNMP管理代理配置
.......................................................................
错误
!
未定义书签。
全局启动SNMP进程..................................... 错误!未定义书签。
RO Community值 ....................................... 错误!未定义书签。
RW Community值 ...................................... 错误!未定义书签。
SNMP访问控制列表 ..................................... 错误!未定义书签。
3.5.1.1
3.5.1.2
3.5.1.3
3.5.1.4
3.5.2
故障管理配置
..................................................................................
错误
!
未定义书签。
SNMP TRAP信息内容 .................................... 错误!未定义书签。
SNMP TRAP 服务器地址 ................................. 错误!未定义书签。
SNMP TRAP消息源地址 .................................. 错误!未定义书签。
SYSLOG服务器地址 ..................................... 错误!未定义书签。
SYSLOG信息级别 ....................................... 错误!未定义书签。
SYSLOG消息源地址 ..................................... 错误!未定义书签。
配置范例(参考) ....................................... 错误!未定义书签。
3.5.2.1
3.5.2.2
3.5.2.3
3.5.2.4
3.5.2.5
3.5.2.6
3.5.2.7
第2章 华为S9603配置规范
2.1 系统基本配置规范
2.1.1 设备名称配置
配置说明:
规范设备命名, 唯一性标记城域网中的每台设备, 用于对城域网的每台设备
进行区分, 方便设备管理, 提高可读性和可管理性。
规范规定:
设备名称规定符合第二章中“IP城域网网络设备命名及链路描述规范”中
规定。
配置规范:
sysname HS-TJL-DSW-1.M.9306
配置验证:
配置后立即生效, 设备名称显示在配置命令行的左边。
配置注意细节:
可以根据需要在.M后添加设备型号。
2.1.2 Banner配置
配置说明:
统一Banner语言, 以省网标准为主。
规范规定:
城域网所有互换机配置统一的Banner信息, 登陆时提醒:
WARNING Authorised access only, all of your done will be recorded!
disconnect IMMEDIATELY if you are not an authorised user!
配置规范:
[Quidway] header login information %
WARNING Authorised access only, all of your done will be recorded! disconnect
IMMEDIATELY if you are not an authorised user!%
配置验证:
登陆路由器时应看到banner提醒。
配置注意细节:
2.1.3 Banner语言应起到提醒和警告非授权访问者的作用,
严禁在Banner中出现任何表达欢迎的字样。
2.1.4 设备自身时间及NTP
2.1.4.1 NTP实现网络设备时间同步功能, 与时间有关的应用, 例如Log
信息, 基于时间限制带宽等, 都需要基于对的的时间。
2.1.4.2 时区配置
配置说明:
统一设备的时区配置。
规范规定:
配置系统时区为GMT+8, 北京时区。
配置规范:
clock timezone Beijing add 08:00:00 #在用户模式下配置
配置验证:
display clock
配置注意细节:
无。
2.1.4.3 NTP配置
配置说明:
使用NTP同步网络上所有设备的时间, 保证网络设备得到对的的时间。
规范规定:
配置主和备两组NTP服务器。
配置规范:
ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVER
ntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER
配置验证:
display clock
display ntp-service status
display ntp-service session
配置注意细节:
无。
2.1.5 VTY接口配置
2.1.5.1 连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制, 可以防止大量的session
连接占用过多系统资源, 同时便于集中运维, 保证故障期间的正常解决。
规范规定:
配置BRAS路由器并发连接数限制为10个。
配置规范:
user-interface maximum-vty 10
配置验证:
display user-interface maximum-vty
配置注意细节:
无
2.1.5.2 空闲时间
配置说明:
设立了Telnet超时功能, 当空闲时间超过设定值后, Telnet线程断开, 防止
未被授权的人员在操作员离开后进行非法操作。
规范规定:
对VTY登录超时设立进行配置, 设立空闲时间为10分钟。
配置规范:
user-interface console 0
idle-timeout 10 0
user-interface aux 0
idle-timeout 10 0
user-interface vty 0 9
idle-timeout 10 0
配置验证:
disp curr | b user-interface
配置注意细节:
2.1.5.3 华为设备默认超时时间即为10分钟, 配置后也不会显示配置。
2.1.5.4 访问控制列表
配置说明:
限制Telnet登录网络的源地址, 从而增强设备的安全性, 最大限度防止非法
登陆尝试。
规范规定:
配置Telnet源地址限制, 包含省公司地址段和最小化的地市网管中心维护
IP网段。
Telnet访问控制列表条目从10开始, 条目的间隔步长为10, 在访问控
制列表的最后显示配置一条deny any any语句。
配置规范(参考):
acl number 2088
rule 10 permit source 202.105.80.0 0.0.0.255
rule 20 permit source 202.105.82.0 0.0.0.255
rule 30 permit source 59.37.66.0 0.0.0.255
rule 40 permit source 125.88.116.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface vty 0 4
authentication-mode aaa #设立VTY口登录用户的验证方式为AAA
acl 2088 inbound
配置验证:
disp acl 2088
disp curr | b user-interface
配置注意细节:
无。
2.1.5.5 配置范例
acl number 2088
rule 10 permit source 202.105.80.0 0.0.0.255
rule 20 permit source 202.105.82.0 0.0.0.255
rule 30 permit source 59.37.66.0 0.0.0.255
rule 40 permit source 125.88.116.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface vty 0 4
authentication-mode aaa #设立VTY口登录用户的验证方式为AAA
acl 2088 inbound
idle-timeout 10 0 用户超时断开连接时间设立为10分钟
protocol inbound telnet 登录支持telnet协议
2.1.6 AAA配置
2.1.6.1 概述
2.1.6.2 AAA使用Radius统一验证, 全省统一大后台。
2.1.6.3 AAA配置
配置说明:
配置用户的认证方式
配置用户的计费方式
配置用户认证服务器地址及参数
配置用户计费服务器地址及参数
规范规定:
认证方式采用radius 方式
计费方式采用radius 方式
认证及计费服务器的地址根据省公司统一安排情况设立
设立Radius 密钥时要与省后台相关人员协商拟定
认证端标语根据各个地方的实际情况设立
计费端标语根据各个地方的实际情况设立
配置规范(参考):
radius-server template system radius方案名称为system
主备radius和源地址在一条命令中
radius-server authentication 202.103.28.138 1645 source loopback 0 secondary
radius-server accounting 202.103.28.138 1645 source loopback 0 secondary
radius-server shared-key aaa8010
undo radius-server user-name domain-included
nas-ip 59.175.247.182 上报radius报文中的源地址, 取用上行接口的互联IP
先在aaa视图下配置authentication-scheme、authorization-scheme、
accounting-scheme
authentication-scheme system
authentication-mode radius local
authorization-scheme system
authorization-mode if-authenticated local
accounting-scheme system
accounting-mode 没有先radius后local, 只有如下方式
hwtacacs HWTACACS accounting
local Local accounting
local-hwtacacs Local HWTACACS accounting
local-radius Local RADIUS accounting
none No accounting
radius RADIUS accounting
domain system
aaa视图下
domain system
authentication login radius-scheme system local 配置认证方案为先radius, 后
local
authorization login radius-scheme system local 配置授权方案为先radius, 后
local
accounting login radius-scheme system local 配置计费方案为先radius, 后
local
undo access-limit
state active
undo idle-cut
配置验证:
display authentication-scheme system
配置注意细节:
无。
2.1.6.4 本地用户帐号
配置说明:
配置本地用户帐号, 作为AAA服务器连接失败时的应急登陆用。
规范规定:
全省网络设备配置相同本地用户帐号admin, 设立最高权限, 使用省
公司统一指定的密码, 根据实际情况可保存地市本地管理帐号。
配置规范(参考):
local-user admin password cipher admin@))* service-type telnet
配置验证:
display user name admin
配置注意细节:
保存地市本地帐号。
2.2 端口配置规范
2.2.1 Loopback地址配置
配置说明:
配置Loopback地址, 提供一个永远up的IP地址, 用于各种路由协议邻居
的建立、远程登录、设备管理等。
规范规定:
城域骨干网互换机配置一个loopback 0地址, 掩码必须为32位。
Loopback接口需添加端口描述, 端口描述规定符合第二章中IP城域网
网络设备命名及链路描述规范中规定。
配置规范:
interface LoopBack0
ip address *.*.*.* 255.255.255.255
description For Management
配置验证:
disp inter loopback 0 //查看运营情况
dis current-configuration interface LoopBack 0 //查看配置情况
配置注意细节:
无
2.2.2 GE端口配置
2.2.2.1 GE用做上连接口
配置说明:
配置GE端口用做上连接口。
规范规定:
配置GE端口speed 设立为1000M, 双工为自行协商, 并且在端口上定义病
毒过滤策略。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet2/0/21
port link-type trunk
undo port trunk permit vlan 1
undo port trunk allow-pass vlan 1
port trunk permit vlan 100 2023 to 2023
port trunk allow-pass vlan 100 2023 to 2023
speed 1000
duplex full
description dT:ZQ-HT-DSW-1.M 1G::GI1/0/0
qos apply policy virus-filter inbound 上行端口应用端口过滤的策略
traffic-policy virus-filter inbound
qos apply policy virus-filter outbound
traffic-policy virus-filter outbound
配置验证:
disp inter gi2/0/21 //查看运营情况
disp cu inter gi2/0/21 //查看配置情况
配置注意细节:
无。
2.2.2.2 GE端口QINQ配置
配置说明:
配置GE端口用做下联接口, 启动QINQ功能。
规范规定:
配置启动GE端口QINQ功能。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
并注意端口描述中的对端端口应区别不同设备。
配置规范:
interface GigabitEthernet4/0/1
port link-type hybrid
undo port hybrid vlan 1 vlan 1可以undo掉
port hybrid vlan 3990 to 3991 4094 tagged
port hybrid vlan 1001 to 1005 untagged
qinq enable
qos apply policy g4/0/1 inbound
qos apply policy nm outbound
description dT:ZQ-HT-DSW-1.M 1G::GI1/0/0
配置验证:
disp inter gi4/0/1 //查看运营情况
disp cu inter gi4/0/1 //查看配置情况
配置注意细节:
无。
2.2.2.3 FE端口QINQ配置
配置说明:
配置FE端口做下联端口, 启动QINQ功能。
规范规定:
配置启动GE端口QINQ功能。
配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。
配置规范:
interface Ethernet3/0/1
port link-type hybrid
port hybrid vlan 3990 to 3991 4094 tagged 网管vlan
port hybrid tagged vlan 3990 to 3991 4094
port hybrid vlan 1 2023 to 2023 untagged vlan 1不能undo掉, 其他为
QinQ的外层vlan
port hybrid tagged vlan 1 2023 to 2023
qinq enable 端口下使能QinQ功能
port link-type dot1q-tunnel
qos apply policy e3/0/1 inbound 应用针对此端口的QinQ策略, 入
方向
traffic-policy e3/0/1 inbound 入方向限速可以使用qos car
qos apply policy nm outbound 应用网管vlan的出方向策略
traffic-policy nm outbound
配置验证:
display interface GigabitEthernet3/0/1 //查看运营情况
disp cu inter gi3/0/1 //查看配置情况
配置注意细节:
无。
2.2.2.4 GE、FE端口专线配置
配置说明:
配置接入专线用户的GE、FE端口。
规范规定:
配置限速策略。
配置规范:
interface GigabitEthernet4/0/2
port access vlan 3501
qos apply policy rate-1m inbound 入方向限速, 应用限速策略
traffic-policy e3/0/1 inbound 入方向限速可以使用qos car
qos lr outbound cir 1024 cbs 102400 出方向限速, 直接设定, cbs=100cir,
cir单位Kbps
qos lr cir 1024 cbs 102400 outbound
配置验证:
display interface GigabitEthernet4/0/2 //查看运营情况
disp cu inter GigabitEthernet4/0/2 //查看配置情况
配置注意细节:
无。
2.3 路由协议配置规范
2.3.1 静态路由配置
2.3.1.1 静态路由配置方式
配置说明:
手工配置静态路由并设定相关参数。
规范规定:
无。
配置规范:
ip route-static 1.1.1.1 255.255.255.255 2.2.2.2
配置验证:
display ip routing-table protocol static
配置注意细节:
静态路由缺省优先级为60。
2.4 用户策略配置
2.4.1 定义防病毒访问控制列表
配置说明:
定义防病毒ACL, 防御病毒袭击。
规范规定:
定义周知及常见的病毒端口。
配置规范:
acl number 3100 病毒端口过滤控制列表
rule 0 deny tcp destination-port eq 3127
rule 1 deny tcp destination-port eq 1025
rule 2 deny tcp destination-port eq 5554
rule 3 deny tcp destination-port eq 9996
rule 4 deny tcp destination-port eq 1068
rule 5 deny tcp destination-port eq 135
rule 6 deny udp destination-port eq 135
rule 7 deny tcp destination-port eq 137
rule 8 deny udp destination-port eq netbios-ns
rule 9 deny tcp destination-port eq 138
rule 10 deny udp destination-port eq netbios-dgm
rule 11 deny tcp destination-port eq 139
rule 12 deny udp destination-port eq netbios-ssn
rule 13 deny tcp destination-port eq 593
rule 14 deny tcp destination-port eq 4444
rule 15 deny tcp destination-port eq 5800
rule 16 deny tcp destination-port eq 5900
rule 17 deny tcp destination-port eq 8998
rule 18 deny tcp destination-port eq 445
rule 19 deny udp destination-port eq 445
rule 20 deny udp destination-port eq 1434
rule 21 deny udp destination-port eq 1433
rule 22 deny tcp destination-port eq 707
rule 23 deny tcp destination-port eq 136
配置验证:
display cur
配置注意细节:
无
2.4.2 QOS策略配置
配置说明:
定义流类型, 比如病毒端口过滤、QINGQ流(定义匹配用户VLAN范围)、
网管入方向流及网管出方向流。定义相关的流动作及相关的策略。
规范规定:
流及QOS策略的名称由省公司统一制定。
配置规范(参考):
traffic classifier virus-filter operator and 定义流: 端口病毒过滤
if-match acl 3100 定义匹配报文的ACL规则
traffic classifier qinq1 operator and 定义流: QinQ流
if-match customer-vlan-id 2 to 480 定义匹配用户vlan范围
if-match cvlan-id 2
traffic classifier qinq2 operator and
if-match customer-vlan-id 481 to 960
traffic classifier qinq3 operator and
if-match customer-vlan-id 1001 to 1480
traffic classifier qinq4 operator and
if-match customer-vlan-id 1481 to 1960
traffic classifier qinq5 operator and
if-match customer-vlan-id 1921 to 2023
traffic classifier qinq6 operator and
if-match customer-vlan-id 3001 to 3100
#
traffic classifier nm-hw-in operator and 定义流: 网管入方向流(单层vlan标签)
if-match customer-vlan-id 3991 定义匹配用户vlan范围
traffic classifier nm-zx-in operator and
if-match customer-vlan-id 3990
traffic classifier nm-in operator and
if-match customer-vlan-id 4094
traffic classifier nm-hw-out operator and 定义流: 网管出方向流(单层vlan标签)
if-match service-vlan-id 3991 定义网络侧vlan范围
if-match vlan-id 3991
traffic classifier nm-zx-out operator and
if-match service-vlan-id 3990
traffic classifier nm-out operator and
if-match service-vlan-id 4094
#
traffic behavior virus-filter 定义流动作: 端口过滤
filter deny
deny
traffic behavior g2/0/1-1 定义流动作: G2/0/1端口第1个QinQ插入标签动
作
nest top-most vlan-id 2023 创建外层vlan动作
traffic behavior g2/0/1-2
nest top-most vlan-id 2023
traffic behavior nm-hw-in
remark service-vlan-id 3991 为流行为配置标记网络侧vlan的动作
remark vlan-id/clan-id 3991
traffic behavior nm-zx-in
remark service-vlan-id 3990
traffic behavior nm-in
remark service-vlan-id 4094
traffic behavior nm-hw-out
remark customer-vlan-id 3991 为流行为配置标记用户侧vlan的动作
remark vlan-id/clan-id 3991
traffic behavior nm-zx-out
remark customer-vlan-id 3990
traffic behavior nm-out
remark customer-vlan-id 4094
#
qos policy virus-filter 定义策略: 端口过滤
traffic policy virus-filter qos policy均使用traffic policy替换
classifier virus-filter behavior virus-filter 为流指定动作, 把流和动作关联起来
qos policy g2/0/1 定义策略:QinQ端口入方向, 按端口命名
classifier nm-hw-in behavior nm-hw-in 网管使用
classifier nm-zx-in behavior nm-zx-in 网管使用
classifier nm-in behavior nm-in 网管使用
classifier qinq1 behavior g2/0/1-1 按端口需要配置
classifier qinq2 behavior g2/0/1-2 按端口需要配置
qos policy nm 定义策略: 网管出方向
classifier nm-hw-out behavior nm-hw-out
classifier nm-zx-out behavior nm-zx-out
classifier nm-out behavior nm-out
2.4.3 用户限速配置
配置说明:
设立用户限速。
规范规定:
采用qos policy为用户限速。
配置规范:
acl number 4000
rule 0 permit
traffic classifier rate operator and 定义流: 所有流量
if-match acl 4000
traffic behavior rate-1m 定义流动作: 入方向限速
car cir 1024 cbs 102400 ebs 102400 pir 1024 green pass red discard yellow pass
car cir 1024 pir 1024 cbs 1024000 pbs 1024000 green pass red discard yellow
pass
traffic behavior rate-2m
car cir 2048 cbs 204800 ebs 204800 pir 2048 green pass red discard yellow pass
traffic behavior rate-5m
car cir 5120 cbs 512023 ebs 512023 pir 5120 green pass red discard yellow pass
traffic behavior rate-10m
car cir 10240 cbs 1024000 ebs 1024000 pir 10240 green pass red discard yellow
pass
traffic behavior rate-15m
car cir 15360 cbs 1536000 ebs 1536000 pir 15360 green pass red discard yellow
pass
traffic behavior rate-20m
car cir 20480 cbs 2048000 ebs 2048000 pir 20480 green pass red discard yellow
pass
traffic behavior rate-30m
car cir 30720 cbs 3072023 ebs 3072023 pir 30720 green pass red discard yellow
pass
qos policy rate-1m 定义策略: 入方向限速
traffic policy rate-1m
classifier rate behavior rate-1m
qos policy rate-2m
classifier rate behavior rate-2m
qos policy rate-5m
classifier rate behavior rate-5m
qos policy rate-10m
classifier rate behavior rate-10m
qos policy rate-15m
classifier rate behavior rate-15m
qos policy rate-20m
classifier rate behavior rate-20m
qos policy rate-30m
classifier rate behavior rate-30m
配置验证:
display scheduler-profile all
配置注意细节:
无。
2.5 网管配置
2.5.1 SNMP管理代理配置
2.5.1.1 全局启动SNMP进程
配置说明:
SNMP的结构分为NMS(Network Management Station)和Agent两部分。
SNMP就是用来规定NMS和Agent之间是如何传递管理信息的应用层协议。
NMS, 是运营客户端程序的工作站, 网管站(NMS)对网络设备发送各种查
询报文, 接受来自被管理设备的响应报文及Trap报文, 并将结果显示出来。
Agent是驻留在被管理设备上的一个进程, 负责接受、解决来自网管站的
Request报文, 根据报文类型对管理变量进行Read或Write操作, 并生成
Response报文, 反送给NMS。另一方面, Agent在设备发生冷/热启动等异常情
况时, 也会积极向NMS发送Trap报文报告所发生的事件。
NMS与Agent的关系如下图所示:
规范规定:
规定统一配置互换机作为SNMP Agent, 解决NMS发来的查询报文并返
回响应报文。
配置规范:
snmp-agent #启动SNMP Agent服务
配置验证:
display snmp-agent sys-info
配置注意细节:
无。
2.5.1.2 RO Community值
配置说明:
SNMP团队(Community)由一字符串来命名, 称为团队名(Community
Name)。
不同的团队可具有只读(read-only)或读写(read-write)访问模式。具有
只读权限的团队只能对设备信息进行查询, 而具有读写权限的团队还可以对设
备进行配置。
配置community字符串不要过于简朴, 一般应由字母、数字及特殊字符等
组成, 用于提高SNMP协议安全。
规范规定:
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定, 根据
需要保存地市COMMUNITY字符串。
配置规范(参考):
snmp-agent community read hbnoc-ipnms #设立团队名及访问权限
snmp-agent community read ********
配置验证:
display snmp-agent community read
配置注意细节:
无。
2.5.1.3 RW Community值
配置说明:
具有写权限的的团队可以对设备进行配置。
规范规定:
规范、统一配置设备的SNMP RO COMMNITY由省公司统一指定, 根据
需要保存地市COMMUNITY字符串。
配置规范(参考):
snmp-agent community write hbnoc-ipnms-rw #设立团队名及访问权限
配置验证:
display snmp-agent community write
配置注意细节:
无。
2.5.1.4 SNMP访问控制列表
配置说明:
对SNMP增长ACL访问列表, 只允许指定的IP地址能通过SNMP协议访问
设备。
规范规定:
IP地址段由省公司统一制定。
配置规范(参考):
snmp-agent community read hbnoc-ipnms acl 2077
snmp-agent community write hbnoc-ipnms-rw acl 2077
acl number 2077 #允许下列信任主机(地市及省公司NMS)访问SNMP-AGENT
rule 10 permit source 218.15.240.0 0.0.0.31
rule 20 permit source 59.37.66.0 0.0.0.255
rule 30 permit source 202.105.82.0 0.0.0.255
rule 99 deny
配置验证:
display snmp-agent community
dis cu | i snmp-agent community
配置注意细节:
无
2.5.2 故障管理配置
2.5.2.1 SNMP TRAP信息内容
配置说明:
Trap是被管理设备积极向NMS发送的不经请求的信息, 用于报告一些紧急
的重要事件。假如需要路由器积极发送这些信息, 就必须配置Trap功能。
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状
况信息。
规范规定:
2.5.2.2 对于SNMP Trap, 要启动端口的状态变化, 协议状态变化, 设
备配置发生变化等告警信息。
2.5.2.3 SNMP TRAP 服务器地址
配置说明:
通过指定SNMP TRAP服务器地址, 将TRAP信息发送到制定服务器。
规范规定:
2.5.2.4 在需要启动SNMP TRAP功能时, 统一配置省公司制定的
SNMP TRAP服务器地址及端口。
2.5.2.5 SNMP TRAP消息源地址
配置说明:
通过配置设备SNMP TRAP消息源, 可以快速定位SNMP TRAP源。
规范规定:
统一配置SNMP TRAP消息源地址为设备LOOPBACK0接口。
2.5.2.6 SYSLOG服务器地址
配置说明:
配置SYSLOG服务器地址, 发送日记到制定服务器
规范规定:
统一配置省公司指定的IP地址。
2.5.2.7 SYSLOG信息级别
配置说明:
设立信息级别level, 严禁信息级别大于所设立的severity的信息输出。信息
中心按信息的严重等级或紧急限度划分为八个级别, 如下表所示, 越紧急其信息
级别越小, emergencies表达的等级为0, debugging为7。
规范规定:
对于level5(warnings)及其以上级别的log信息发往syslog。
2.5.2.8 SYSLOG消息源地址
配置说明:
从一台路由器发出的日记消息, 默认的源地址是发送该日记消息的接口的
IP地址, 但用户可以通过配置命令改变这个源地址。对不同的路由器设立不同的
源地址, 就可以通过源地址判断日记消息是从哪台路由器发出的, 从而便于对收
到的日记消息检索。
规范规定:
规定统一SYSLOG消息源地址为设备的LOOPBACK0地址。
2.5.2.9 配置范例(参考)
snmp-agent trap enable ospf
snmp-agent trap enable configuration
snmp-agent trap enable system
snmp-agent target-host trap address udp-domain 202.105.80.97 params
securityname 1 v2c
snmp-agent trap source LoopBack0 #指定发送Trap的源接口
info-center loghost 59.37.66.135
info-center source default channel 2 log level warning
info-center loghost source LoopBack0 #设立发送信息的源地址
<结束>
本文来源于网络