華為S9306配置規(guī)范

學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考TOC\o"1-5"\h\z第3章華為S9603配置標(biāo)準(zhǔn) 1系統(tǒng)基本配置標(biāo)準(zhǔn) 1設(shè)備名稱配置 1Banner配置 1設(shè)備自身時(shí)間及NTP 2時(shí)區(qū)配置 2NTP配置 2VTY接口配置 3連接數(shù)限制 3空閑時(shí)間 3訪問(wèn)控制列表 4配置范例 4AAA配置 5概述 5AAA酉己置 5本地用戶帳號(hào) 7端口配置標(biāo)準(zhǔn) 7Loopback地址配置 7GE端口配置 8GE用做上連接口 8GE端口QINQ配置 9FE端口QINQ配置 9GE、FE端口專線配置 10路由協(xié)議配置標(biāo)準(zhǔn) 10靜態(tài)路由配置 10靜態(tài)路由配置方式 10用戶策略配置 11定義防病毒訪問(wèn)控制列表 11QOS策略配置 12用戶限速配置 13網(wǎng)管配置 14SNMP管理代理配置 14全局開(kāi)啟SNMP進(jìn)程 14ROCommunity值 15RWCommunity值 16SNMP訪問(wèn)控制列表 16故障管理配置 17SNMPTRAP信息內(nèi)容 17SNMPTRAP服務(wù)器地址 17SNMPTRAP消息源地址 18SYSLOG服務(wù)器地址 18SYSLOG信息級(jí)別 18SYSLOG消息源地址 18配置范例〔參考〕 19第1章華為S9603配置標(biāo)準(zhǔn)系統(tǒng)基本配置標(biāo)準(zhǔn)設(shè)備名稱配置配置說(shuō)明：標(biāo)準(zhǔn)設(shè)備命名，唯一性標(biāo)識(shí)城域網(wǎng)中的每臺(tái)設(shè)備，用于對(duì)城域網(wǎng)的每臺(tái)設(shè)備進(jìn)行區(qū)分，方便設(shè)備管理，提高可讀性和可管理性。標(biāo)準(zhǔn)要求：設(shè)備名稱要求符合第二章中“ip城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述標(biāo)準(zhǔn)”中規(guī)定。配置標(biāo)準(zhǔn)：sysnameHS-TJL-DSW-1.M.9306配置驗(yàn)證：配置后立即生效，設(shè)備名稱顯示在配置命令行的左邊。配置注意細(xì)節(jié)：可以根據(jù)需要在.M后添加設(shè)備型號(hào)。Banner酉己置配置說(shuō)明：統(tǒng)一Banner語(yǔ)言，以省網(wǎng)標(biāo)準(zhǔn)為主。標(biāo)準(zhǔn)要求：城域網(wǎng)所有交換機(jī)配置統(tǒng)一的Banner信息，登陸時(shí)提示：WARNING!!!Authorisedaccessonly,allofyourdonewillberecorded!disconnectIMMEDIATELYifyouarenotanauthoriseduser!配置標(biāo)準(zhǔn)：[Quidway]headerlogininformation%WARNING!!!Authorisedaccessonly,allofyourdonewillberecorded!disconnectIMMEDIATELYifyouarenotanauthoriseduser!%配置驗(yàn)證：登陸路由器時(shí)應(yīng)看到banner提示。配置注意細(xì)節(jié)：Banner語(yǔ)言應(yīng)起到提示和警告非授權(quán)訪問(wèn)者的作用，嚴(yán)禁在Banner中出現(xiàn)任何表示歡送的字樣。設(shè)備自身時(shí)間及NTPNTP實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備時(shí)間同步功能，與時(shí)間有關(guān)的應(yīng)用，例如Log信息，基于時(shí)間限制帶寬等，都需要基于正確的時(shí)間。時(shí)區(qū)配置配置說(shuō)明：統(tǒng)一設(shè)備的時(shí)區(qū)配置。標(biāo)準(zhǔn)要求：配置系統(tǒng)時(shí)區(qū)為GMT+8,北京時(shí)區(qū)。配置標(biāo)準(zhǔn)：clocktimezoneBeijingadd08:00:00 #在用戶模式下配置配置驗(yàn)證：displayclock配置注意細(xì)節(jié)：無(wú)。NTP配置配置說(shuō)明：使用NTP同步網(wǎng)絡(luò)上所有設(shè)備的時(shí)間，保證網(wǎng)絡(luò)設(shè)備得到正確的時(shí)間。標(biāo)準(zhǔn)要求：配置主和備兩組NTP服務(wù)器。配置標(biāo)準(zhǔn)：ntp-serviceunicast-server*.*.*.*preference#優(yōu)選其中一臺(tái)出口為NTPSERVERntp-serviceunicast-server*.*.*.* #另一臺(tái)出口為備用NTPSERVER配置驗(yàn)證：displayclockdisplayntp-servicestatusdisplayntp-servicesession 配置注意細(xì)節(jié)：無(wú)。VTY接口配置連接數(shù)限制配置說(shuō)明：對(duì)同時(shí)遠(yuǎn)程登陸到設(shè)備上的session數(shù)進(jìn)行限制，可以防止大量的session連接占用過(guò)多系統(tǒng)資源，同時(shí)便于集中運(yùn)維，保證故障期間的正常處理。標(biāo)準(zhǔn)要求：配置BRAS路由器并發(fā)連接數(shù)限制為10個(gè)。配置標(biāo)準(zhǔn)：user-interfacemaximum-vty10配置驗(yàn)證：displayuser-interfacemaximum-vty配置注意細(xì)節(jié)：無(wú)空閑時(shí)間配置說(shuō)明：設(shè)置了Telnet超時(shí)功能，當(dāng)空閑時(shí)間超過(guò)設(shè)定值后，Telnet線程斷開(kāi)，防止未被授權(quán)的人員在操作員離開(kāi)后進(jìn)行非法操作。標(biāo)準(zhǔn)要求：對(duì)VTY登錄超時(shí)設(shè)置進(jìn)行配置，設(shè)置空閑時(shí)間為10分鐘。配置標(biāo)準(zhǔn)：user-interfaceconsole0idle-timeout100user-interfaceaux0idle-timeout100user-interfacevty09 idle-timeout100配置驗(yàn)證：dispcurr|buser-interface配置注意細(xì)節(jié)：華為設(shè)備默認(rèn)超時(shí)時(shí)間即為10分鐘，配置后也不會(huì)顯示配置。訪問(wèn)控制列表配置說(shuō)明：限制Telnet登錄網(wǎng)絡(luò)的源地址，從而增強(qiáng)設(shè)備的安全性，最大限度防止非法登陸嘗試。標(biāo)準(zhǔn)要求：配置Telnet源地址限制，包含省公司地址段和最小化的地市網(wǎng)管中心維護(hù)IP網(wǎng)段。Telnet訪問(wèn)控制列表?xiàng)l目從10開(kāi)始，條目的間隔步長(zhǎng)為10，在訪問(wèn)控制列表的最后顯示配置一條denyanyany語(yǔ)句。配置標(biāo)準(zhǔn)〔參考〕：aclnumber2088rule10permitsource202.105.80.0.255rule20permitsource202.105.82.0.255rule30permitsource59.37.66.0.255rule40permitsource125.88.116.0.255rule50permitsourceX.X.X.XX.X.X.X#地市網(wǎng)管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#設(shè)置VTY口登錄用戶的驗(yàn)證方式為AAAacl2088inbound 配置驗(yàn)證：dispacl2088dispcurr|buser-interface配置注意細(xì)節(jié)：無(wú)。配置范例aclnumber2088rule10permitsource202.105.80.0.255rule20permitsource202.105.82.0.255rule30permitsource59.37.66.0.255rule40permitsource125.88.116.0.255rule50permitsourceX.X.X.XX.X.X.X #地市網(wǎng)管地址段rule99denysourceany#user-interfacevty04authentication-modeaaa#設(shè)置VTY口登錄用戶的驗(yàn)證方式為AAAacl2088inboundidle-timeout100 用戶超時(shí)斷開(kāi)連接時(shí)間設(shè)置為10分鐘protocolinboundtelnet 登錄支持telnet協(xié)議AAA配置概述AAA使用Radius統(tǒng)一驗(yàn)證，全省統(tǒng)一大后臺(tái)。AAA配置配置說(shuō)明：配置用戶的認(rèn)證方式配置用戶的計(jì)費(fèi)方式配置用戶認(rèn)證服務(wù)器地址及參數(shù)配置用戶計(jì)費(fèi)服務(wù)器地址及參數(shù)標(biāo)準(zhǔn)要求：認(rèn)證方式采用radius方式計(jì)費(fèi)方式采用radius方式認(rèn)證及計(jì)費(fèi)服務(wù)器的地址根據(jù)省公司統(tǒng)一安排情況設(shè)置設(shè)置Radius密鑰時(shí)要與省后臺(tái)相關(guān)人員協(xié)商確定認(rèn)證端口號(hào)根據(jù)各個(gè)地方的實(shí)際情況設(shè)置計(jì)費(fèi)端口號(hào)根據(jù)各個(gè)地方的實(shí)際情況設(shè)置配置標(biāo)準(zhǔn)〔參考〕：

radius方案名稱為radius方案名稱為system主備radius和源地址在一條命令中radius-serverauthentication202.103.28.1381645sourceloopback0secondaryradius-serveraccounting202.103.28.1381645sourceloopback0secondaryradius-servershared-keyaaa8010undoradius-serveruser-namedomain-includednas-ip59.175.247.182上報(bào)radius報(bào)文中的源地址，取用上行接口的互聯(lián)IPnas-ip59.175.247.182先在aaa視圖下配置authentication-scheme、authorization-scheme、accounting-schemeauthentication-schemesystemauthentication-moderadiuslocalauthorization-schemesystemauthorization-modeif-authenticatedlocalaccounting-schemesystemaccounting-mode沒(méi)有先radius后local，只有如下方式hwtacacslocallocal-hwtacacslocal-radiusnoneradiusHWTACACSaccountingLocalaccountingLocalHWTACACSaccountingLocalRADIUSaccountingNoaccountingRADIUSaccountingdomainsystemaaa視圖下domainsystemauthenticationloginradius-schemesystemlocal配置認(rèn)證方案為先accounting-mode沒(méi)有先radius后local，只有如下方式hwtacacslocallocal-hwtacacslocal-radiusnoneradiusHWTACACSaccountingLocalaccountingLocalHWTACACSaccountingLocalRADIUSaccountingNoaccountingRADIUSaccountingdomainsystemaaa視圖下domainsystemauthenticationloginradius-schemesystemlocal配置認(rèn)證方案為先radius，后localauthorizationloginradius-schemesystemlocal配置授權(quán)方案為先radius，后localaccountingloginradius-schemesystemlocal配置計(jì)費(fèi)方案為先radius，后localundoaccess-limitstateactiveundoidle-cut配置驗(yàn)證:displayauthentication-schemesystem配置注意細(xì)節(jié)：無(wú)。本地用戶帳號(hào)配置說(shuō)明：配置本地用戶帳號(hào)，作為AAA服務(wù)器連接失敗時(shí)的應(yīng)急登陸用。標(biāo)準(zhǔn)要求：全省網(wǎng)絡(luò)設(shè)備配置相同本地用戶帳號(hào)admin，設(shè)置最高權(quán)限，使用省公司統(tǒng)一指定的密碼，根據(jù)實(shí)際情況可保留地市本地管理帳號(hào)。配置標(biāo)準(zhǔn)〔參考〕：local-useradminpasswordcipheradmin@))*service-typetelnet配置驗(yàn)證：displayusernameadmin配置注意細(xì)節(jié)：保留地市本地帳號(hào)。端口配置標(biāo)準(zhǔn)Loopback地址配置配置說(shuō)明：配置Loopback地址，提供一個(gè)永遠(yuǎn)up的IP地址，用于各種路由協(xié)議鄰居的建立、遠(yuǎn)程登錄、設(shè)備管理等。標(biāo)準(zhǔn)要求：城域骨干網(wǎng)交換機(jī)配置一個(gè)loopback0地址，掩碼必須為32位。Loopback接口需添加端口描述，端口描述要求符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述標(biāo)準(zhǔn)中規(guī)定。配置標(biāo)準(zhǔn)：interfaceLoopBack0ipaddress*.*.*.*descriptionForManagement配置驗(yàn)證：dispinterloopback0〃查看運(yùn)行情況discurrent-configurationinterfaceLoopBack0〃查看配置情況配置注意細(xì)節(jié)：無(wú)GE端口配置GE用做上連接口配置說(shuō)明：配置GE端口用做上連接口。標(biāo)準(zhǔn)要求：配置GE端口speed設(shè)置為1000M,雙工為自行協(xié)商，并且在端口上定義病毒過(guò)濾策略。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述標(biāo)準(zhǔn)中規(guī)定。并注意端口描述中的對(duì)端端口應(yīng)區(qū)別不同設(shè)備。配置標(biāo)準(zhǔn)：interfaceGigabitEthernet2/0/21portlink-typetrunkundoporttrunkpermitvlan1undoporttrunkallow-passvlan1porttrunkpermitvlan1002001to2005porttrunkallow-passvlan1002001to2005speed1000duplexfulldescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0qosapplypolicyvirus-filterinbound 上行端口應(yīng)用端口過(guò)濾的策略traffic-policyvirus-filterinboundqosapplypolicyvirus-filteroutboundtraffic-policyvirus-filteroutbound配置驗(yàn)證：dispintergi2/0/21〃查看運(yùn)行情況dispcuintergi2/0/21〃查看配置情況配置注意細(xì)節(jié):無(wú)。GE端口QINQ配置配置說(shuō)明：配置GE端口用做下聯(lián)接口，開(kāi)啟QINQ功能。標(biāo)準(zhǔn)要求：配置開(kāi)啟GE端口QINQ功能。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述標(biāo)準(zhǔn)中規(guī)定。并注意端口描述中的對(duì)端端口應(yīng)區(qū)別不同設(shè)備。配置標(biāo)準(zhǔn)：interfaceGigabitEthernet4/0/1portlink-typehybridundoporthybridvlan1 vlan1可以u(píng)ndo掉porthybridvlan3990to39914094taggedporthybridvlan1001to1005untaggedqinqenableqosapplypolicyg4/0/1inboundqosapplypolicynmoutbounddescriptiondT:ZQ-HT-DSW-1.M1G::GI1/0/0配置驗(yàn)證：dispintergi4/0/1 //查看運(yùn)行情況dispcuintergi4/0/1 〃查看配置情況配置注意細(xì)節(jié)：無(wú)。FE端口QINQ配置配置說(shuō)明：配置FE端口做下聯(lián)端口，開(kāi)啟QINQ功能。標(biāo)準(zhǔn)要求：配置開(kāi)啟GE端口QINQ功能。配置接口描述符合第二章中IP城域網(wǎng)網(wǎng)絡(luò)設(shè)備命名及鏈路描述標(biāo)準(zhǔn)中規(guī)定。配置標(biāo)準(zhǔn)：interfaceEthernet3/0/1portlink-typehybridporthybridvlan3990to39914094tagged網(wǎng)管vlanporthybridtaggedvlan3990to39914094porthybridvlan12001to2005untaggedvlan1不能undo掉，其他為QinQ的外層vlanporthybridtaggedvlan12001to2005qinqenableportlink-typedot1q-tunnel端口下使能QinQ功能qosapplypolicye3/0/1inbound應(yīng)用針對(duì)此端口的QinQ策略，入方向traffic-policye3/0/1inbound入方向限速可以使用qoscarqosapplypolicynmoutboundtraffic-policynmoutbound應(yīng)用網(wǎng)管vlan的出方向策略配置驗(yàn)證:displayinterfaceGigabitEthernet3/0/1 〃查看運(yùn)行情況dispcuintergi3/0/1 〃查看配置情況配置注意細(xì)節(jié):無(wú)。GE、FE端口專線配置配置說(shuō)明：配置接入專線用戶的GE、FE端口。標(biāo)準(zhǔn)要求：配置限速策略。配置標(biāo)準(zhǔn)：interfaceGigabitEthernet4/0/2portaccessvlan3501qosapplypolicyrate-1minboundtraffic-policye3/0/1inboundqoslroutboundcir1024cbs102400qoslrcir1024cbs102400outbound入方向限速，應(yīng)用限速策略入方向限速可以使用qoscar出方向限速，直接設(shè)定，cbs=100cir，cir單位Kbps配置驗(yàn)證：displayinterfaceGigabitEthernet4/0/2dispcuinterGigabitEthernet4/0/2〃查看運(yùn)行情況〃查看配置情況配置注意細(xì)節(jié)：無(wú)。路由協(xié)議配置標(biāo)準(zhǔn)靜態(tài)路由配置靜態(tài)路由配置方式配置說(shuō)明：手工配置靜態(tài)路由并設(shè)定相關(guān)參數(shù)。標(biāo)準(zhǔn)要求：無(wú)。配置標(biāo)準(zhǔn)：iproute-static2.2.2.2配置驗(yàn)證：displayiprouting-tableprotocolstatic配置注意細(xì)節(jié)：靜態(tài)路由缺省優(yōu)先級(jí)為60。用戶策略配置定義防病毒訪問(wèn)控制列表配置說(shuō)明：定義防病毒ACL,防御病毒攻擊。標(biāo)準(zhǔn)要求：定義周知及常見(jiàn)的病毒端口。配置標(biāo)準(zhǔn)：aclnumber3100 病毒端口過(guò)濾控制列表rule0denytcpdestination-porteq3127rule1denytcpdestination-porteq1025rule2denytcpdestination-porteq5554rule3denytcpdestination-porteq9996rule4denytcpdestination-porteq1068rule5denytcpdestination-porteq135rule6denyudpdestination-porteq135rule7denytcpdestination-porteq137rule8denyudpdestination-porteqnetbios-nsrule9denytcpdestination-porteq138rule10denyudpdestination-porteqnetbios-dgmrule11denytcpdestination-porteq139rule12denyudpdestination-porteqnetbios-ssnrule13denytcpdestination-porteq593rule14denytcpdestination-porteq4444rule15denytcpdestination-porteq5800rule16denytcpdestination-porteq5900rule17denytcpdestination-porteq8998rule18denytcpdestination-porteq445rule19denyudpdestination-porteq445rule20denyudpdestination-porteq1434rule21denyudpdestination-porteq1433rule22denytcpdestination-porteq707

rule23denytcpdestination-porteq136配置驗(yàn)證:displaycur配置注意細(xì)節(jié)：無(wú)QOS策略配置配置說(shuō)明：定義流類型，比方病毒端口過(guò)濾、QINGQ流〔定義匹配用戶VLAN范圍〕、網(wǎng)管入方向流及網(wǎng)管出方向流。定義相關(guān)的流動(dòng)作及相關(guān)的策略。標(biāo)準(zhǔn)要求：流及QOS策略的名稱由省公司統(tǒng)一制定。配置標(biāo)準(zhǔn)〔參考〕：定義流：端口病毒過(guò)濾

定義匹配報(bào)文的ACL規(guī)則定義流：端口病毒過(guò)濾

定義匹配報(bào)文的ACL規(guī)則定義流：QinQ流定義匹配用戶vlan范圍trafficclassifierqinq1operatorandif-matchcustomer-vlan-id2to480if-matchcvlan-id2trafficclassifierqinq2operatorandif-matchcustomer-vlan-id481to960trafficclassifierqinq3operatorandif-matchcustomer-vlan-id1001to1480trafficclassifierqinq4operatorandif-matchcustomer-vlan-id1481to1960trafficclassifierqinq5operatorandif-matchcustomer-vlan-id1921to2000trafficclassifierqinq6operatorandif-matchcustomer-vlan-id3001to3100#trafficclassifiernm-hw-inoperatorand 定義流：網(wǎng)管入方向流〔單層vlan標(biāo)簽〕if-matchcustomer-vlan-id3991 定義匹配用戶vlan范圍trafficclassifiernm-zx-inoperatorandif-matchcustomer-vlan-id3990trafficclassifiernm-inoperatorandif-matchcustomer-vlan-id4094trafficclassifiernm-hw-outoperatorand定義流：網(wǎng)管出方向流〔單層vlan標(biāo)簽〕if-matchservice-vlan-id3991 定義網(wǎng)絡(luò)側(cè)vlan范圍if-matchvlan-id3991trafficclassifiernm-zx-outoperatorandif-matchservice-vlan-id3990trafficclassifiernm-outoperatorandif-matchservice-vlan-id4094#trafficbehaviorvirus-filter 定義流動(dòng)作：端口過(guò)濾

filterdenydenytrafficbehaviorg2/0/1-1nesttop-mostvlan-id2001trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991filterdenydenytrafficbehaviorg2/0/1-1nesttop-mostvlan-id2001trafficbehaviorg2/0/1-2nesttop-mostvlan-id2002trafficbehaviornm-hw-inremarkservice-vlan-id3991remarkvlan-id/clan-id3991trafficbehaviornm-zx-inremarkservice-vlan-id3990trafficbehaviornm-inremarkservice-vlan-id4094trafficbehaviornm-hw-outremarkcustomer-vlan-id3991remarkvlan-id/clan-id3991trafficbehaviornm-zx-outremarkcustomer-vlan-id3990trafficbehaviornm-outremarkcustomer-vlan-id4094#qospolicyvirus-filtertrafficpolicyvirus-filterclassifiervirus-filterbehaviorvirus-filterqospolicyg2/0/1classifiernm-hw-inbehaviornm-hw-inclassifiernm-zx-inbehaviornm-zx-inclassifiernm-inbehaviornm-inclassifierqinq1behaviorg2/0/1-1classifierqinq2behaviorg2/0/1-2qospolicynm定義流動(dòng)作：G2/0/1端口第1個(gè)QinQ插入標(biāo)簽動(dòng)作

創(chuàng)建外層vlan動(dòng)作為流行為配置標(biāo)記網(wǎng)絡(luò)側(cè)vlan的動(dòng)作為流行為配置標(biāo)記用戶側(cè)vlan的動(dòng)作定義策略：端口過(guò)濾qospolicy均使用trafficpolicy替換為流指定動(dòng)作，把流和動(dòng)作關(guān)聯(lián)起來(lái)定義策略：QinQ端口入方向，按端口命名網(wǎng)管使用網(wǎng)管使用網(wǎng)管使用按端口需要配置按端口需要配置定義策略：網(wǎng)管出方向classifiernm-hw-outbehaviornm-hw-outclassifiernm-zx-outbehaviornm-zx-outclassifiernm-outbehaviornm-out1.4.3用戶限速配置配置說(shuō)明：設(shè)置用戶限速。標(biāo)準(zhǔn)要求：采用qospolicy為用戶限速。配置標(biāo)準(zhǔn)：aclnumber4000rule0permittrafficclassifierrateoperatorand 定義流：所有流量if-matchacl4000trafficbehaviorrate-1m 定義流動(dòng)作：入方向限速carcir1024cbs102400ebs102400pir1024greenpassreddiscardyellowpasscarcir1024pir1024cbs1024000pbs1024000greenpassreddiscardyellowpasstrafficbehaviorrate-2mcarcir2048cbs204800ebs204800pir2048greenpassreddiscardyellowpasstrafficbehaviorrate-5mcarcir5120cbs512000ebs512000pir5120greenpassreddiscardyellowpasstrafficbehaviorrate-10mcarcir10240cbs1024000ebs1024000pir10240greenpassreddiscardyellowpasstrafficbehaviorrate-15mcarcir15360cbs1536000ebs1536000pir15360greenpassreddiscardyellowpasstrafficbehaviorrate-20mcarcir20480cbs2048000ebs2048000pir20480greenpassreddiscardyellowpasstrafficbehaviorrate-30mcarcir30720cbs3072000ebs3072000pir30720greenpassreddiscardyellowpassqospolicyrate-1m 定義策略：入方向限速trafficpolicyrate-1mclassifierratebehaviorrate-1mqospolicyrate-2mclassifierratebehaviorrate-2mqospolicyrate-5mclassifierratebehaviorrate-5mqospolicyrate-10mclassifierratebehaviorrate-10mqospolicyrate-15mclassifierratebehaviorrate-15mqospolicyrate-20mclassifierratebehaviorrate-20mqospolicyrate-30mclassifierratebehaviorrate-30m配置驗(yàn)證:displayscheduler-profileall配置注意細(xì)節(jié)：無(wú)。1.5網(wǎng)管配置SNMP管理代理配置全局開(kāi)啟SNMP進(jìn)程配置說(shuō)明：SNMP的結(jié)構(gòu)分為NMS(NetworkManagementStation〕和Agent兩部分。SNMP就是用來(lái)規(guī)定NMS和Agent之間是如何傳遞管理信息的應(yīng)用層協(xié)議。NMS，是運(yùn)行客戶端程序的工作站，網(wǎng)管站〔NMS〕對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送各種查學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考學(xué)習(xí)文檔僅供參考詢報(bào)文，接收來(lái)自被管理設(shè)備的響應(yīng)報(bào)文及Trap報(bào)文，并將結(jié)果顯示出來(lái)。Agent是駐留在被管理設(shè)備上的一個(gè)進(jìn)程，負(fù)責(zé)接受、處理來(lái)自網(wǎng)管站的Request報(bào)文，根據(jù)報(bào)文類型對(duì)管理變量進(jìn)行Read或Write操作，并生成Response報(bào)文，反送給NMS。另一方面，Agent在設(shè)備發(fā)生冷/熱啟動(dòng)等異常情況時(shí)，也會(huì)主動(dòng)向NMS發(fā)送Trap報(bào)文報(bào)告所發(fā)生的事件。NMS與Agent的關(guān)系如以下圖所示：UDPPort16-標(biāo)準(zhǔn)要求：要求統(tǒng)一配置交換機(jī)作為SNMPAgent,處理NMS發(fā)來(lái)的查詢報(bào)文并返回響應(yīng)報(bào)文。配置標(biāo)準(zhǔn)：snmp-agent #啟動(dòng)SNMPAgent服務(wù)配置驗(yàn)證：displaysnmp-agentsys-info配置注意細(xì)節(jié)：無(wú)。ROCommunity值配置說(shuō)明：SNMP團(tuán)體〔Community〕由一字符串來(lái)命名，稱為團(tuán)體名（CommunityName〕。不同的團(tuán)體可具有只讀（read-only〕或讀寫（read-write〕訪問(wèn)模式。具有只讀權(quán)限的團(tuán)體只能對(duì)設(shè)備信息進(jìn)行查詢，而具有讀寫權(quán)限的團(tuán)體還可以對(duì)設(shè)備進(jìn)行配置。配置community字符串不要過(guò)于簡(jiǎn)單，一般應(yīng)由字母、數(shù)字及特殊字符等組成，用于提高SNMP協(xié)議安全。標(biāo)準(zhǔn)要求：標(biāo)準(zhǔn)、統(tǒng)一配置設(shè)備的SNMPROCOMMNITY由省公司統(tǒng)一指定，根據(jù)需要保留地市COMMUNITY字符串。配置標(biāo)準(zhǔn)〔參考〕：snmp-agentcommunityreadhbnoc-ipnms #設(shè)置團(tuán)體名及訪問(wèn)權(quán)限snmp-agentcommunityread********配置驗(yàn)證：displaysnmp-agentcommunityread配置注意細(xì)節(jié)：無(wú)。RWCommunity值配置說(shuō)明：具有寫權(quán)限的的團(tuán)體可以對(duì)設(shè)備進(jìn)行配置。標(biāo)準(zhǔn)要求：標(biāo)準(zhǔn)、統(tǒng)一配置設(shè)備的SNMPROCOMMNITY由省公司統(tǒng)一指定，根據(jù)需要保留地市COMMUNITY字符串。配置標(biāo)準(zhǔn)〔參考〕：snmp-agentcommunitywritehbnoc-ipnms-rw #設(shè)置團(tuán)體名及訪問(wèn)權(quán)限配置驗(yàn)證：displaysnmp-agentcommunitywrite配置注意細(xì)節(jié)：無(wú)。SNMP訪問(wèn)控制列表配置說(shuō)明：對(duì)SNMP增加ACL訪問(wèn)列表，只允許指定的IP地址能通過(guò)SNMP協(xié)議訪問(wèn)設(shè)備。標(biāo)準(zhǔn)要求：IP地址段由省公司統(tǒng)一制定。配置標(biāo)準(zhǔn)〔參考〕：snmp-agentcommunityreadhbnoc-ipnmsacl2077snmp-agentcommunitywritehbnoc-ipnms-rwacl2077aclnumber2077 #允許以下信任主機(jī)〔地市