目录第3章华为S9603配置规范 (1)3.1系统基本配置规范 (1)3.1.1设备名称配置 (1)3.1.2Banner配置 (1)3.1.3设备自身时间及NTP (2)3.1.3.1时区配置 (2)3.1.3.2NTP配置 (2)3.1.4VTY接口配置 (3)3.1.4.1连接数限制 (3)3.1.4.2空闲时间 (3)3.1.4.3访问控制列表 (4)3.1.4.4配置范例 (4)3.1.5AAA配置 (5)3.1.5.1概述 (5)3.1.5.2AAA配置 (5)3.1.5.3本地用户帐号 (7)3.2端口配置规范 (7)3.2.1Loopback地址配置 (7)3.2.2GE端口配置 (8)3.2.2.1GE用做上连接口 (8)3.2.2.2GE端口QINQ配置 (9)3.2.2.3FE端口QINQ配置 (9)3.2.2.4GE、FE端口专线配置 (10)3.3路由协议配置规范 (10)3.3.1静态路由配置 (10)3.3.1.1静态路由配置方式 (10)3.4用户策略配置 (11)3.4.1定义防病毒访问控制列表 (11)3.4.2QOS策略配置 (12)3.4.3用户限速配置 (13)3.5网管配置 (14)3.5.1SNMP管理代理配置 (14)3.5.1.1全局开启SNMP进程 (14)3.5.1.2RO Community值 (15)3.5.1.3RW Community值 (16)3.5.1.4SNMP访问控制列表 (16)3.5.2故障管理配置 (17)3.5.2.1SNMP TRAP信息内容 (17)3.5.2.2SNMP TRAP 服务器地址 (17)3.5.2.3SNMP TRAP消息源地址 (18)3.5.2.4SYSLOG服务器地址 (18)3.5.2.5SYSLOG信息级别 (18)3.5.2.6SYSLOG消息源地址 (18)3.5.2.7配置范例（参考） (19)第1章华为S9603配置规范1.1 系统基本配置规范1.1.1设备名称配置配置说明：规范设备命名，唯一性标识城域网中的每台设备，用于对城域网的每台设备进行区分，方便设备管理，提高可读性和可管理性。

规范要求：设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。

配置规范：配置后立即生效，设备名称显示在配置命令行的左边。

配置注意细节：可以根据需要在.M后添加设备型号。

1.1.2Banner配置配置说明：统一Banner语言，以省网标准为主。

规范要求：城域网所有交换机配置统一的Banner信息，登陆时提示：WARNING!!! Authorised access only, all of your done will be recorded! disconnect IMMEDIATELY if you are not an authorised user!配置规范：配置验证：登陆路由器时应看到banner提示。

配置注意细节：Banner语言应起到提示和警告非授权访问者的作用，严禁在Banner中出现任何表示欢迎的字样。

1.1.3设备自身时间及NTPNTP实现网络设备时间同步功能，与时间有关的应用，例如Log信息，基于时间限制带宽等，都需要基于正确的时间。

1.1.3.1 时区配置配置说明：统一设备的时区配置。

规范要求：配置系统时区为GMT+8，北京时区。

配置规范：无。

1.1.3.2 NTP配置配置说明：使用NTP同步网络上所有设备的时间，保证网络设备得到正确的时间。

规范要求：配置主和备两组NTP服务器。

配置规范：配置验证：配置注意细节：无。

1.1.4VTY接口配置1.1.4.1 连接数限制配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session 连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

规范要求：配置BRAS路由器并发连接数限制为10个。

配置规范：无1.1.4.2 空闲时间配置说明：设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。

规范要求：对VTY登录超时设置进行配置，设置空闲时间为10分钟。

配置规范：华为设备默认超时时间即为10分钟，配置后也不会显示配置。

1.1.4.3 访问控制列表配置说明：限制Telnet登录网络的源地址，从而增强设备的安全性，最大限度防止非法登陆尝试。

规范要求：配置Telnet源地址限制，包含省公司地址段和最小化的地市网管中心维护IP网段。

Telnet访问控制列表条目从10开始，条目的间隔步长为10，在访问控制列表的最后显示配置一条deny any any语句。

配置规范（参考）：无。

1.1.4.4 配置范例1.1.5AAA配置1.1.5.1 概述AAA使用Radius统一验证，全省统一大后台。

1.1.5.2 AAA配置配置说明：配置用户的认证方式配置用户的计费方式配置用户认证服务器地址及参数配置用户计费服务器地址及参数规范要求：认证方式采用radius 方式计费方式采用radius 方式认证及计费服务器的地址根据省公司统一安排情况设置设置Radius 密钥时要与省后台相关人员协商确定认证端口号根据各个地方的实际情况设置计费端口号根据各个地方的实际情况设置配置规范（参考）：radius-server template system radius方案名称为system主备radius和源地址在一条命令中radius-server authentication 202.103.28.138 1645 source loopback 0 secondary radius-server accounting 202.103.28.138 1645 source loopback 0 secondary radius-server shared-key aaa8010undo radius-server user-name domain-includednas-ip 59.175.247.182 上报radius报文中的源地址，取用上行接口的互联IP先在aaa视图下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-scheme systemauthentication-mode radius localauthorization-scheme systemauthorization-mode if-authenticated localaccounting-scheme systemaccounting-mode 没有先radius后local，只有如下方式hwtacacs HWTACACS accountinglocal Local accountinglocal-hwtacacs Local HWTACACS accountinglocal-radius Local RADIUS accountingnone No accountingradius RADIUS accountingdomain systemaaa视图下domain systemauthentication login radius-scheme system local 配置认证方案为先radius，后localauthorization login radius-scheme system local 配置授权方案为先radius，后localaccounting login radius-scheme system local 配置计费方案为先radius，后localundo access-limitstate activeundo idle-cut配置验证：配置注意细节：无。

1.1.5.3 本地用户帐号配置说明：配置本地用户帐号，作为AAA服务器连接失败时的应急登陆用。

规范要求：全省网络设备配置相同本地用户帐号admin，设置最高权限，使用省公司统一指定的密码，根据实际情况可保留地市本地管理帐号。

配置规范（参考）：保留地市本地帐号。

1.2 端口配置规范1.2.1Loopback地址配置配置说明：配置Loopback地址，提供一个永远up的IP地址，用于各种路由协议邻居的建立、远程登录、设备管理等。

规范要求：城域骨干网交换机配置一个loopback 0地址，掩码必须为32位。

Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域网网络设备命名及链路描述规范中规定。

配置规范：配置验证：无1.2.2GE端口配置1.2.2.1 GE用做上连接口配置说明：配置GE端口用做上连接口。

规范要求：配置GE端口speed 设置为1000M，双工为自行协商，并且在端口上定义病毒过滤策略。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

并注意端口描述中的对端端口应区别不同设备。

配置规范：无。

1.2.2.2 GE端口QINQ配置配置说明：配置GE端口用做下联接口，开启QINQ功能。

规范要求：配置开启GE端口QINQ功能。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

并注意端口描述中的对端端口应区别不同设备。

配置规范：无。

1.2.2.3 FE端口QINQ配置配置说明：配置FE端口做下联端口，开启QINQ功能。

规范要求：配置开启GE端口QINQ功能。

配置接口描述符合第二章中IP城域网网络设备命名及链路描述规范中规定。

配置规范：无。

1.2.2.4 GE、FE端口专线配置配置说明：配置接入专线用户的GE、FE端口。

规范要求：配置限速策略。

配置规范：无。

1.3 路由协议配置规范1.3.1静态路由配置1.3.1.1 静态路由配置方式配置说明：手工配置静态路由并设定相关参数。

规范要求：无。

配置规范：静态路由缺省优先级为60。

1.4 用户策略配置1.4.1定义防病毒访问控制列表配置说明：定义防病毒ACL，防御病毒攻击。

规范要求：定义周知及常见的病毒端口。

配置规范：acl number 3100 病毒端口过滤控制列表rule 0 deny tcp destination-port eq 3127rule 1 deny tcp destination-port eq 1025rule 2 deny tcp destination-port eq 5554rule 3 deny tcp destination-port eq 9996rule 4 deny tcp destination-port eq 1068rule 5 deny tcp destination-port eq 135rule 6 deny udp destination-port eq 135rule 7 deny tcp destination-port eq 137rule 8 deny udp destination-port eq netbios-nsrule 9 deny tcp destination-port eq 138rule 10 deny udp destination-port eq netbios-dgm rule 11 deny tcp destination-port eq 139rule 12 deny udp destination-port eq netbios-ssnrule 13 deny tcp destination-port eq 593rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5800rule 16 deny tcp destination-port eq 5900rule 17 deny tcp destination-port eq 8998rule 18 deny tcp destination-port eq 445rule 19 deny udp destination-port eq 445rule 20 deny udp destination-port eq 1434rule 21 deny udp destination-port eq 1433rule 22 deny tcp destination-port eq 707无1.4.2QOS策略配置配置说明：定义流类型，比如病毒端口过滤、QINGQ流（定义匹配用户VLAN范围）、网管入方向流及网管出方向流。