华为MA5200G配置实例 (2)

3.安全配置#1.关闭不必要的服务 un ftp server /*关闭5200提供的ftp 服务.这个是默认的，一般今朝配置了以后，这个服务会开着，*/#2.防毒ACL的配置#2.1 创建规则
ru vir01 tcp any eq 593 anyru vir02 tcp any eq 1434 anyru vir03 tcp any eq 4444 anyru vir04 tcp any eq 1013 anyru vir05 tcp any eq 1014 anyru vir06 tcp any eq 113 anyru vir07 tcp any eq 888 anyru vir08 tcp any eq 135 anyru vir09 tcp any eq 136 anyru vir10 tcp any eq 137 anyru vir11 tcp any eq 138 anyru vir12 tcp any eq 139 anyru vir13 tcp any eq 389 anyru vir14 tcp any eq 445 anyru vir15 tcp any eq 1068 anyru vir16 tcp any eq 5554 anyru vir17 tcp any eq 9996 anyru vir18 tcp any eq 2000 anyru vir19 tcp any eq sunrpc anyru vir20 tcp any eq 2049 anyru vir21 tcp any eq 87 anyru vir22 tcp any eq exec anyru vir23 tcp any eq login anyru vir24 tcp any eq cmd anyru vir25 tcp any eq lpd anyru vir26 tcp any eq uucp anyru vir27 udp any eq sunrpc anyru vir28 udp any eq 2049 anyru vir29 udp any eq 2000 anyru vir30 udp any eq 135 anyru vir31 udp any eq 136 anyru vir32 udp any eq netbios-ns anyru vir33 udp any eq netbios-dgm anyru vir34 udp any eq netbios-ssn anyru vir35 ip any any /*这一步不必要*/ #2.2 关联匹配的动作eacl global vir01 denyeacl global vir02 denyeacl global vir03 denyeacl global vir04 denyeacl global vir05 denyeacl global vir06 deny eacl global vir07 denyeacl global vir08 denyeacl global vir09 denyeacl global vir10 denyeacl global vir11 denyeacl global vir12 denyeacl global vir13 denyeacl global vir14 denyeacl global vir15 denyeacl global vir16 denyeacl global vir17 denyeacl global vir18 denyeacl global vir19 denyeacl global vir20 denyeacl global vir21 denyeacl global vir22 denyeacl global vir23 denyeacl global vir24 denyeacl global vir25 denyeacl global vir26 denyeacl global vir27 denyeacl global vir28 denyeacl global vir29 denyeacl global vir30 denyeacl global vir31 denyeacl global vir22 denyeacl global vir33 denyeacl global vir34 deny eacl global vir35 permit /*华为默认就是permit any ，这一步不必，但在配置其它网络设备时注意，一般默认为deny any ，有没发现少了几条？*/ #2.3 应用eacl到所有的接口 access-group eacl global /*应用eacl到所有的接口*/
4.监控功能配置 snmp-agent community read xxxxx /*配置同snmp监控工作站的通信密钥*/ snmp-agent sys-info version all /*配置snmp版本*/ snmp-agent trap enable /*开启trap功能*/附：为能管理5200G下挂的部分接入交换机，在5200G上面配置了管理VLAN，用到的全部命令如下ip pool manage localgateway x.x.x.1 255.255.255.0section 0 x.x.x.2 x.x.x.254excluded-ip-address x.x.x.2 x.x.x.254/*最后一条命令是把这段地址排除掉，因为下面交换机是使用的静态地址，无需自动分配！这是与上面业务配置不同的地方*/
aaaauthentication-scheme manageauthentication-mode none/*配置为不认证，与业务配置不同*/
accounting-scheme manageaccounting-mode none/*配置为不计费，与业务配置不同*/
domain manageauthentication-scheme manageaccounting-scheme manageip-pool manage/*在域间关联认证和计费方案*/
interface Ethernet1/0/0.10undo shutdownuser-vlan 1bas access-type layer2-subscriber default-domain authentication manage authentication-method bind/*创建一个子接口，并且绑定vlan 1，把端口配置成bas接口，关联到管理域，指定BAS的认证方式为bind ，注意，默认是ppp */ #version 5200-2215#sysname **_***_MA5200G#super password level 3 cipher xxxxxx#FTP server enable //建议关掉此服务#rule-map vir01 tcp any equal 135 anyrule-map vir10 tcp any equal 5554 anyrule-map vir02 tcp any equal 136 anyrule-map vir11 tcp any equal 9996 anyrule-map vir20 tcp any equal uucp anyrule-map vir03 tcp any equal 137 anyrule-map vir12 tcp any equal 2000 anyrule-map vir21 udp any equal sunrpc anyrule-map vir30 udp any equal 389 anyrule-map vir04 tcp any equal 138 anyrule-map vir13 tcp any equal sunrpc anyrule-map vir22 udp any equal 2049 anyrule-map vir31 udp any equal 445 anyrule-map vir05 tcp any equal 139 anyrule-map vir14 tcp any equal 2049 any rule-map vir23 udp any equal 2000 anyrule-map vir32 ip any any //这一条可以省略，华为默认有permit any 但是有必要保持这种习惯，在Cisco，juniper，实达，迈普等产品中，默认是denyrule-map vir06 tcp any equal 389 anyrule-map vir15 tcp any equal 87 anyrule-map vir24 udp any equal 135 anyrule-map vir07 tcp any equal 445 anyrule-map vir16 tcp any equal exec anyrule-map vir25 udp any equal 136 anyrule-map vir08 tcp any equal 1068 anyrule-map vir17 tcp any equal login anyrule-map vir09 tcp any equal 4444 anyrule-map vir18 tcp any equal cmd anyrule-map vir27 udp any equal netbios-ns anyrule-map vir19 tcp any equal lpd anyrule-map vir28 udp any equal netbios-dgm anyrule-map vir29 udp any equal netbios-ssn any#eacl global vir01 deny //5200使用了增强的acl(eacl)，赋于vir01的动作是deny，要关联，偶觉得特麻烦，呵呵，万一有个十台八台的，不弄脚本会要输得手发麻呀！eacl global vir02 denyeacl global vir03 denyeacl global vir04 denyeacl global vir05 denyeacl global vir06 deny eacl global vir07 denyeacl global vir08 denyeacl global vir09 denyeacl global vir10 denyeacl global vir11 denyeacl global vir12 denyeacl global vir13 denyeacl global vir14 denyeacl global vir15 denyeacl global vir16 denyeacl global vir17 denyeacl global vir18 denyeacl global vir19 denyeacl global vir20 denyeacl global vir21 denyeacl global vir22 denyeacl global vir23 denyeacl global vir24 denyeacl global vir25 denyeacl global vir28 denyeacl global vir29 denyeacl global vir30 denyeacl global vir31 deny eacl global vir32 permit#access-group eacl global //全局应用，要是一个接口的应用，那就*&^&&%$%$%^##radius-server group radius //*创建一个raidus服务器组，名字叫radius*/radius-server authentication xxx.xxx.xxx.xxx 1812 weight 0 /*指定认证服务器的地址和端口号*/radius-server accounting xxx.xxx.xxx.xxx 1813 weight 0 /*指定统计服务器的地址和端口号*/
radius-server shared-key xxxxxx /*指定共享key*/radius-server type plus11 /*指定服务器类型*/radius-server attribute translate /*启用radius属性解释功能,这步可以省略，*/undo radius-server user-name domain-included /*设置radius服务器的用户名不包含域名*/ 这一步要跟radius 服务器端确认radius-server traffic-unit kbyte /*设置radius服务器流量单位*/#ip pool nms local /*设置一个名字叫nms的地址池*/ gateway 192.168.168.1 255.255.255.0 /*设置地址池的网关*/section 0 192.168.168.2 192.168.168.254 /*设置地址段*/excluded-ip-address 192.168.168.2 192.168.168.254 /*排除地址*/#ip pool pppoe local /*设置一个名字叫pppoe的本地地址池*/gateway 58.20.xxx.xxx 255.255.252.0 /*设置地址池的网关*/section 0 58.20.xxx.x 58.20.xxx.xxx/*设置地址段*/dns-server 210.52.149.2 /*设置DNS服务器的地址*/ dns-server 210.52.207.2 secondary#dot1x-template 1#aaa /*以下是3A认证授权的配置，挺重要的*/authentication-scheme aaa /*配置名为aaa的认证方案*/authentication-mode local /*认证模式为本地*/authentication-scheme adsl /*配置名为adsl的认证方案*/authentication-scheme nms /*配置名为nms的认证方案*/authentication-mode none /*因为这段地址用作网管，并且是静态地址，所以认证模式可以设为none*/authentication-scheme test /*配置一个名为test的认证方案*/authentication-mode local /*认证模式为本地，主要用于测试本地pppoe是否正常*/accounting-scheme adsl /*配置名为adsl的计费方案*/accounting-scheme nms /*配置名为nsm的计费方案*/accounting-mode none /*计费模式为不计费*/accounting-scheme test /*配置名为test的计费方案*/accounting-mode none /*计费模式为不计费*/domain default0 /*华为默认域名*/domain default1 /*华为默认域名*/domain default_admin /*华为默认域名*/authentication-scheme aaa /*认证方案为aaa*/domain xt /*名为xt的管理域,注意，这里我改了*/authentication-scheme adsl /*认证方案为adsl*/ accounting-scheme adsl /*计费方案为adsl*/radius-server group radius /*radius服务器组为radius，注意和上面的对应*/ip-pool pppoe /*指定地址池为pppoe，注意名字和上面的对应*/domain wangguan /*以下是网管域的配置*/authentication-scheme nmsaccounting-scheme nmsip-pool nmsdomain test /*test域的配置*/authentication-scheme testaccounting-scheme testip-pool pppoe#interface Aux0/0/1 /*console口的配置，缺省*/async mode flowlink-protocol pppundo shutdown#interface Virtual-Template1 /*定义虚模板1*/#interface Ethernet0/0/0 /*接口下的配置主要是用来测试，下载配置文件用，这家伙又忘删了，晕*/undo shutdownnegotiation autoip address 192.168.100.1 255.255.255.0 #interface Ethernet1/0/0undo shutdown#interface Ethernet1/0/0.1 /*创建子接口*/pppoe-server bind virtual-template 1 /*绑定到虚模板1*/undo shutdownuser-vlan 100 110 /*指定下挂的用户vlan*/bas /*配置成bas接口，以接入终端用户*/ access-type layer2-subscriber default-domain authentication xt /*配置接口下为二层用户，并指定域名为xt#interface Ethernet1/0/0.2 /*同上 */pppoe-server bind virtual-template 1undo shutdownuser-vlan 200 210bas access-type layer2-subscriber default-domain authentication xiangtan#interface Ethernet1/0/0.3pppoe-server bind virtual-template 1undo shutdownuser-vlan 300 310 bas access-type layer2-subscriber default-domain authentication xiangtan#interface Ethernet1/0/0.10 /*这里用于管理vlan*/undo shutdownuser-vlan 999bas access-type layer2-subscriber default-domain authentication wangguan authentication-method bind#interface Ethernet1/0/1undo shutdown#interface Ethernet1/0/2#interface Ethernet1/0/3 /*此端口用于本地测试*/pppoe-server bind virtual-template 1undo shutdownbas access-type layer2-subscriber default-domain authentication test#interface Ethernet1/0/3.1 pppoe-server bind virtual-template 1shutdownbas access-type layer2-subscriber default-domain authentication test#interface Ethernet1/0/4undo shutdownbas access-type layer2-subscriber default-domain authentication wangguan authentication-method bind#interface Ethernet1/0/4.1shutdownbas access-type layer2-subscriber default-domain authentication wangguan authentication-method bind#interface Ethernet1/0/5pppoe-server bind virtual-template 1undo shutdownnegotiation autobas access-type layer2-subscriber default-domain authentication wangguan#interface Ethernet1/0/6#interface Ethernet1/0/7#interface Ethernet1/0/8#interface Ethernet1/0/9#interface Ethernet1/0/10#interface Ethernet1/0/11#interface Ethernet1/0/12#interface Ethernet1/0/13#interface Ethernet1/0/14shutdown#interface Ethernet1/0/15 shutdown#interface GigabitEthernet2/0/0 /*配置上行接口description TO xxxxxmtu 1514 /*对端mtu为1514，如果本端mtu不匹配置，在启用ospf时会停留在exchang状态，而形成不了邻居*/undo shutdownundo negotiation auto /*关掉自协商，要不然灯都不会亮，呵呵*/#interface GigabitEthernet2/0/0.1 /*创建子接口*/vlan-type dot1q vid 2 /*封装成802.1q ，vid为2mtu 1514undo shutdownip xxx.xxx.xxx.xxx#interface GigabitEthernet2/0/1#interface NULL0#l2tp-group default-lactunnel name Quidway#l2tp-group default-lns tunnel name Quidway#local-aaa-server /*这里就是建一些本地的aaa用户，用于telnet登录user xxx@default_admin password simple ftpuser xxx@default_admin ftp-directory hd:/user xxx password cipher :$1IAC)ZASOQ=^Q`MAF4<1!! href="mailto:xxx@test">xxx@test password simple 123 authentication-type P#ip route-static 0.0.0.0 0.0.0.0 58.20.126.193 /*创建到对端的静态路由*/#snmp-agent /*网管的配置*/snmp-agent local-engineid 800007DB0300E0FC7E716Asnmp-agent community write xxxx /*必须*/snmp-agent sys-info contact HuaWei-800-8302118snmp-agent sys-info location HNCNC-XiangTan-GaoXinKeJiDaSha-2Fsnmp-agent sys-info version all /*指定版本，必须*/snmp-agent trap enable system /*系统的trap消息，配置standard应该够了*/snmp-agent trap enable standard /*一般只配置这一条*/#ssh user xxx@default_admin service-type stelnet /*这是配置本地3a用户自加上去的*/ssh xxx xxx@test service-type xxxxssh user xxx service-type xxxx #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode aaa /*配置telnet为3a认证模式，不配置的话telnet只有输密码的窗口，不会提示用户名*/user privilege level 3 /*配置用户的访问级为3*/set authentication password cipher J+&LKZP9EX’-MUG.\aD]B1!! /*设置认证密码，改成3a之后，这一步就不必了*/#return
关于考试和题库信息可登陆：http://www.pass4side.cn/ 查看！