radius-server shared-key maple
/*配置radius服务器通信密钥,我这里写了maple,记得自己改!!!*/
#5.配置地址池
ip pool maple local
/*配置名为maple的本地地址池*/
gateway 1.1.1.1 255.255.255.0
/*配置地址池的网关,这里不要填错了。。。。。*/
section 0 1.1.1.2 1.1.2.254
/*配置地址段0的地址为1.1.1.2 --1.1.2.254
dns-server 210.53.31.2
/*配置DNS服务器地址*/
dns-server 210.52.149.2 secondary
/*配置从DNS服务器地址*/
#6.配置域
aaa
/*进入AAA视图*/
domain maple
/*创建maple域*/
authentication-scheme maple
/*配置域的认证方案为maple,注意和上面配置的认证方案对应*/
accounting-scheme maple
/*配置域的计费方案为maple,注意和上面的计费方案对应*/
radius-server group maple
/*指定域的radius服务器为maple,注意和上面的服务器组对应*/
ip-pool maple
/*指定域的地址池为maple,注意和上面的地址池对应*/
#7.为子接口指定虚模板
interface ethernet 1/0/2
/*进入以太网接口视图*/
un sh
/*这个是默认配置,不过最好养成这种习惯,因为在有些设备上,默认接口是shutdown的*/
int ethernet 1/0/2.1
/*创建1/0/2.1子接口*/
pppoe-server bind virtral-template 1
/*绑定虚模板1*/
user-vlan 101-111
/*绑定vlan101到111*/
#8.配置BAS接口
bas
/*注意,这里是在子接口视图下输的bas命令,其实这第8步和第七步应该是不间断的*/
access-type layer2-subscriber default-domain authentication maple
/*设置BAS接口下的用户为二层用户,默认认证域为maple*/
/*默认情况下,bas接口下的用户使用的认证方法是pppoe,所以这里不作额外配置*/
#9.配置上行接口和以太口
interface GigabitEthernet2/0/0.1
/*创建子接口,至于为什么,一下子说不清楚,HUAWEI至今也无法给出合理的说明,而今朝的说明是子接口下无配置封装类型*&&^^&%&%%^$#$%#%@##@!@@#^&^& */
vlan-type dot1q vid 2
/*在创建子接口号,可能出现的情况就是根本看不到vlan-type这条命令!!!,到时自己手动输入就行了,不会报错,过后用?号查看就可以看到这条命令,想想HUAWEI也够BT的,呵呵,这里的vlan id 是根据原ESR50配置修改的.*/
mtu 1514
/*因为我对端7750是配置的1514,所以这里也改了,以防MTU不匹配引起数据包丢失,还有就是在配置OSPF的时候,如果MTU不匹配,会出现停留在exchange状态的情况。这里根据需要自己改,配置成默认的1500似乎也没什么大的影响.*/
ip address xxx.xxx.xxx.xxx 255.255.255.252
/*地球人都知道的东西,用不着再说明了*/
un sh
/*启用接口*/
#9.1 配置以太口
interface Ethernet1/0/0.3
/*创建一个子接口*/
pppoe-server bind virtual-template 1
/*绑定到虚模板1*/
undo shutdown
/*启用接口,这是默认配置*/
user-vlan 300 310
/*关联vlan号*/
bas
/*配置成bas接口*/
access-type layer2-subscriber default-domain authenticationmaple
/*配置接口下接入的用户类型为二层用户,并关联到maple域认证*/
#10.配置静态路由
ip route-static 0.0.0.0 0.0.0.0x.x.x.x
/*配置到对端的默认路由*/
3.安全配置
#1.关闭不必要的服务
un ftp server
/*关闭5200提供的ftp 服务.这个是默认的,一般今朝配置了以后,这个服务会开着,*/
#2.防毒ACL的配置
#2.1 创建规则
ru vir01 tcp any eq 593 any
ru vir02 tcp any eq 1434 any
ru vir03 tcp any eq 4444 any
ru vir04 tcp any eq 1013 any
ru vir05 tcp any eq 1014 any
ru vir06 tcp any eq 113 any
ru vir07 tcp any eq 888 any
ru vir08 tcp any eq 135 any
ru vir09 tcp any eq 136 any
ru vir10 tcp any eq 137 any
ru vir11 tcp any eq 138 any
ru vir12 tcp any eq 139 any
ru vir13 tcp any eq 389 any
ru vir14 tcp any eq 445 any
ru vir15 tcp any eq 1068 any
ru vir16 tcp any eq 5554 any
ru vir17 tcp any eq 9996 any
ru vir18 tcp any eq 2000 any
ru vir19 tcp any eq sunrpc any
ru vir20 tcp any eq 2049 any
ru vir21 tcp any eq 87 any
ru vir22 tcp any eq exec any
ru vir23 tcp any eq login any
ru vir24 tcp any eq cmd any
ru vir25 tcp any eq lpd any
ru vir26 tcp any eq uucp any
ru vir27 udp any eq sunrpc any
ru vir28 udp any eq 2049 any
ru vir29 udp any eq 2000 any
ru vir30 udp any eq 135 any
ru vir31 udp any eq 136 any
ru vir32 udp any eq netbios-ns any
ru vir33 udp any eq netbios-dgm any
ru vir34 udp any eq netbios-ssn any
ru vir35 ip any any /*这一步不必要*/
#2.2 关联匹配的动作
eacl global vir01 deny
eacl global vir02 deny
eacl global vir03 deny
eacl global vir04 deny
eacl global vir05 deny
eacl global vir06deny
eacl global vir07 deny
eacl global vir08 deny
eacl global vir09 deny
eacl global vir10 deny
eacl global vir11 deny
eacl global vir12 deny
eacl global vir13 deny
eacl global vir14 deny
eacl global vir15 deny
eacl global vir16 deny
eacl global vir17 deny
eacl global vir18 deny
eacl global vir19 deny
eacl global vir20 deny
eacl global vir21 deny
eacl global vir22 deny
eacl global vir23 deny
eacl global vir24 deny
eacl global vir25 deny
eacl global vir26 deny
eacl global vir27 deny
eacl global vir28 deny
eacl global vir29 deny
eacl global vir30 deny
eacl global vir31 deny
eacl global vir22 deny
eacl global vir33 deny
eacl global vir34deny
eacl global vir35 permit /*HUAWEI默认就是permit any ,这一步不必,但在配置其它网络设备时注意,一般默认为deny any ,有没发现少了几条?*/
#2.3 应用eacl到所有的接口
access-group eacl global
/*应用eacl到所有的接口*/
4.监控功能配置
snmp-agent community read xxxxx
/*配置同snmp监控工作站的通信密钥*/
snmp-agent sys-info version all
/*配置snmp版本*/
snmp-agent trap enable
/*开启trap功能*/
附:为能管理5200G下挂的部分接入交换机,在5200G上面配置了管理VLAN,用到的全部命令如下
ip pool manage local
gateway x.x.x.1 255.255.255.0
section 0 x.x.x.2 x.x.x.254
excluded-ip-address x.x.x.2 x.x.x.254
/*最后一条命令是把这段地址排除掉,因为下面交换机是使用的静态地址,无需自动分配!这是与上面业务配置不同的地方*/
aaa
authentication-scheme manage
authentication-mode none
/*配置为不认证,与业务配置不同*/
accounting-scheme manage
accounting-mode none
/*配置为不计费,与业务配置不同*/
domain manage
authentication-scheme manage
accounting-scheme manage
ip-pool manage
/*在域间关联认证和计费方案*/
interface Ethernet1/0/0.10
undo shutdown
user-vlan 1
bas
access-type layer2-subscriber default-domain authenticationmanage
authentication-method bind
/*创建一个子接口,并且绑定vlan 1,把端口配置成bas接口,关联到管理域,指定BAS的认证方式为bind ,注意,默认是ppp */
#
version 5200-2215
#
sysname **_***_MA5200G
#
super password level 3 cipher xxxxxx
#
FTP server enable //建议关掉此服务
#
rule-map vir01 tcp any equal 135 any
rule-map vir10 tcp any equal 5554 any
rule-map vir02 tcp any equal 136 any
rule-map vir11 tcp any equal 9996 any
rule-map vir20 tcp any equal uucp any
rule-map vir03 tcp any equal 137 any
rule-map vir12 tcp any equal 2000 any
rule-map vir21 udp any equal sunrpc any
rule-map vir30 udp any equal 389 any
rule-map vir04 tcp any equal 138 any
rule-map vir13 tcp any equal sunrpc any
rule-map vir22 udp any equal 2049 any
rule-map vir31 udp any equal 445 any
rule-map vir05 tcp any equal 139 any
rule-map vir14 tcp any equal 2049 any
rule-map vir23 udp any equal 2000 any
rule-map vir32 ip anyany //这一条可以省略,HUAWEI默认有permit any 但是有必要保持这种习惯,在Cisco,juniper,实达,迈普等产品中,默认是deny
rule-map vir06 tcp any equal 389 any
rule-map vir15 tcp any equal 87 any
rule-map vir24 udp any equal 135 any
rule-map vir07 tcp any equal 445 any
rule-map vir16 tcp any equal exec any
rule-map vir25 udp any equal 136 any
rule-map vir08 tcp any equal 1068 any
rule-map vir17 tcp any equal login any
rule-map vir09 tcp any equal 4444 any
rule-map vir18 tcp any equal cmd any
rule-map vir27 udp any equal netbios-ns any
rule-map vir19 tcp any equal lpd any
rule-map vir28 udp any equal netbios-dgm any
rule-map vir29 udp any equal netbios-ssn any
#
eacl global vir01 deny //5200使用了增强的acl(eacl),赋于vir01的动作是deny,要关联,偶觉得特麻烦,呵呵,万一有个十台八台的,不弄脚本会要输得手发麻呀!
eacl global vir02 deny
eacl global vir03 deny
eacl global vir04 deny
eacl global vir05 deny
eacl global vir06deny
eacl global vir07 deny
eacl global vir08 deny
eacl global vir09 deny
eacl global vir10 deny
eacl global vir11 deny
eacl global vir12 deny
eacl global vir13 deny
eacl global vir14 deny
eacl global vir15 deny
eacl global vir16 deny
eacl global vir17 deny
eacl global vir18 deny
eacl global vir19 deny
eacl global vir20 deny
eacl global vir21 deny
eacl global vir22 deny
eacl global vir23 deny
eacl global vir24 deny
eacl global vir25 deny
eacl global vir28 deny
eacl global vir29 deny
eacl global vir30 deny
eacl global vir31deny
eacl global vir32 permit
#
access-group eacl global //全局应用,要是一个接口的应用,那就*&^&&%$%$%^
#
#
radius-server group radius //*创建一个raidus服务器组,名字叫radius*/
radius-server authentication xxx.xxx.xxx.xxx 1812 weight 0 /*指定认证服务器的地址和端口号*/
radius-server accounting xxx.xxx.xxx.xxx 1813 weight 0 /*指定统计服务器的地址和端口号*/
radius-server shared-keyxxxxxx /*指定共享key*/
radius-server type plus11 /*指定服务器类型*/
radius-server attribute translate /*启用radius属性说明功能,这步可以省略,*/
undo radius-server user-name domain-included /*设置radius服务器的用户名不包含域名*/ 这一步要跟radius 服务器端确认
radius-server traffic-unit kbyte /*设置radius服务器流量单位*/
#
ip pool nms local /*设置一个名字叫nms的地址池*/
gateway 192.168.168.1 255.255.255.0 /*设置地址池的网关*/
section 0 192.168.168.2 192.168.168.254 /*设置地址段*/
excluded-ip-address 192.168.168.2 192.168.168.254 /*排除地址*/
#
ip pool pppoe local /*设置一个名字叫pppoe的本地地址池*/
gateway 58.20.xxx.xxx 255.255.252.0 /*设置地址池的网关*/
section 0 58.20.xxx.x 58.20.xxx.xxx/*设置地址段*/
dns-server 210.52.149.2 /*设置DNS服务器的地址*/
dns-server 210.52.207.2 secondary
#
dot1x-template 1
#
aaa /*以下是3A认证授权的配置,挺重要的*/
authentication-scheme aaa /*配置名为aaa的认证方案*/
authentication-mode local /*认证模式为本地*/
authentication-scheme adsl /*配置名为adsl的认证方案*/
authentication-scheme nms /*配置名为nms的认证方案*/
authentication-mode none /*因为这段地址用作网管,并且是静态地址,所以认证模式可以设为none*/
authentication-scheme test /*配置一个名为test的认证方案*/
authentication-mode local /*认证模式为本地,主要用于测试本地pppoe是否正常*/
accounting-scheme adsl /*配置名为adsl的计费方案*/
accounting-scheme nms /*配置名为nsm的计费方案*/
accounting-mode none /*计费模式为不计费*/
accounting-scheme test /*配置名为test的计费方案*/
accounting-mode none /*计费模式为不计费*/
domain default0 /*HUAWEI默认域名*/
domain default1 /*HUAWEI默认域名*/
domain default_admin /*HUAWEI默认域名*/
authentication-scheme aaa /*认证方案为aaa*/
domain xt /*名为xt的管理域,注意,这里我改了*/
authentication-scheme adsl /*认证方案为adsl*/
accounting-scheme adsl /*计费方案为adsl*/
radius-server group radius /*radius服务器组为radius,注意和上面的对应*/
ip-pool pppoe /*指定地址池为pppoe,注意名字和上面的对应*/
domain wangguan /*以下是网管域的配置*/
authentication-scheme nms
accounting-scheme nms
ip-pool nms
domain test /*test域的配置*/
authentication-scheme test
accounting-scheme test
ip-pool pppoe
#
interface Aux0/0/1 /*console口的配置,缺省*/
async mode flow
link-protocol ppp
undo shutdown
#
interface Virtual-Template1 /*定义虚模板1*/
#
interface Ethernet0/0/0 /*接口下的配置主要是用来测试,下载配置文件用,这家伙又忘删了,晕*/
undo shutdown
negotiation auto
ip address 192.168.100.1 255.255.255.0
#
interface Ethernet1/0/0
undo shutdown
#
interface Ethernet1/0/0.1 /*创建子接口*/
pppoe-server bind virtual-template 1 /*绑定到虚模板1*/
undo shutdown
user-vlan 100 110 /*指定下挂的用户vlan*/
bas /*配置成bas接口,以接入终端用户*/
access-type layer2-subscriber default-domain authenticationxt /*配置接口下为二层用户,并指定域名为xt
#
interface Ethernet1/0/0.2 /*同上 */
pppoe-server bind virtual-template 1
undo shutdown
user-vlan 200 210
bas
access-type layer2-subscriber default-domain authenticationxiangtan
#
interface Ethernet1/0/0.3
pppoe-server bind virtual-template 1
undo shutdown
user-vlan 300 310
bas
access-type layer2-subscriber default-domain authenticationxiangtan
#
interface Ethernet1/0/0.10 /*这里用于管理vlan*/
undo shutdown
user-vlan 999
bas
access-type layer2-subscriber default-domain authenticationwangguan
authentication-method bind
#
interface Ethernet1/0/1
undo shutdown
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3 /*此端口用于本地测试*/
pppoe-server bind virtual-template 1
undo shutdown
bas
access-type layer2-subscriber default-domain authenticationtest
#
interfaceEthernet1/0/3.1
pppoe-server bind virtual-template 1
shutdown
bas
access-type layer2-subscriber default-domain authenticationtest
#
interface Ethernet1/0/4
undo shutdown
bas
access-type layer2-subscriber default-domain authenticationwangguan
authentication-method bind
#
interface Ethernet1/0/4.1
shutdown
bas
access-type layer2-subscriber default-domain authenticationwangguan
authentication-method bind
#
interface Ethernet1/0/5
pppoe-server bind virtual-template 1
undo shutdown
negotiation auto
bas
access-type layer2-subscriber default-domain authenticationwangguan
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
shutdown
#
interfaceEthernet1/0/15
shutdown
#
interface GigabitEthernet2/0/0 /*配置上行接口
description TO xxxxx
mtu 1514 /*对端mtu为1514,如果本端mtu不匹配置,在启用ospf时会停留在exchang状态,而形成不了邻居*/
undo shutdown
undo negotiation auto /*关掉自协商,要不然灯都不会亮,呵呵*/
#
interface GigabitEthernet2/0/0.1 /*创建子接口*/
vlan-type dot1q vid 2 /*封装成802.1q ,vid为2
mtu 1514
undo shutdown
ip xxx.xxx.xxx.xxx
#
interface GigabitEthernet2/0/1
#
interface NULL0
#
l2tp-group default-lac
tunnel name Quidway
#
l2tp-groupdefault-lns
tunnel name Quidway
#
local-aaa-server /*这里就是建一些本地的aaa用户,用于telnet登录
user [email=xxx@default_admin]xxx@default_admin[/email] password simpleftp
user [email=xxx@default_admin]xxx@default_admin[/email] ftp-directoryhd:/
user xxx password cipher 1IAC)ZASOQ=^Q`MAF4<1!! level 3
user [email=xxx@test]xxx@test[/email] password simple 123 authentication-typeP
#
ip route-static 0.0.0.0 0.0.0.0 58.20.126.193 /*创建到对端的静态路由*/
#
snmp-agent /*网管的配置*/
snmp-agent local-engineid 800007DB0300E0FC7E716A
snmp-agent community write xxxx /*必须*/
snmp-agent sys-info contact HuaWei-800-8302118
snmp-agent sys-info location HNCNC-XiangTan-GaoXinKeJiDaSha-2F
snmp-agent sys-info version all /*指定版本,必须*/
snmp-agent trap enable system /*系统的trap消息,配置standard应该够了*/
snmp-agent trap enable standard /*一般只配置这一条*/
#
ssh user [email=xxx@default_admin]xxx@default_admin[/email] service-typestelnet /*这是配置本地3a用户自加上去的*/
ssh xxx [email=xxx@test]xxx@test[/email] service-type xxxx
ssh user xxx service-type xxxx
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode aaa /*配置telnet为3a认证模式,不配置的话telnet只有输密码的窗口,不会提示用户名*/
user privilege level 3 /*配置用户的访问级为3*/
set authentication password cipher J+&LKZP9EX'-MUG.\aD]B1!! /*设置认证密码,改成3a之后,这一步就不必了*/
#
return
【使用命令】
z
VLAN 端口视图下,用 access-type interface设置端口VLAN 的接入类型为非管理
VLAN;
z
VLAN 端口视图下,用 access-type layer2-subscriber 设置端口VLAN 的接入类型
为二层个人用户;
z
VLAN 端口视图下,用 access-type layer3-subscriber 设置端口VLAN 的接入类型
为三层个人用户;
z
VLAN 端口视图下,用 access-type pppoe-leased-line 设置端口VLAN 的接入类型
为 PPPoE 专线;
z
VLAN 端口视图下,用 access-type proxy-leased-line设置端口VLAN 的接入类型
为 Proxy专线;
z
VLAN 端口视图下,用 access-type relay-leased-line设置端口VLAN 的接入类型
为透传专线;
z
VLAN 端口视图下,用 access-type system-reserved设置端口VLAN 的接入类型为
系统保留类型;
z
VLAN 端口视图下,用 access-type vlan-leased-line 设置端口VLAN 的接入类型为
VLAN 专线;
z
VLAN 端口视图下,用 undo access-type 取消端口VLAN 的接入用户类型。
【注意事项】
对于已经被 Trunk 端口包含的以太网端口,不能配置其端口 VLAN 接入类型,而只能
配置相应的 Trunk 端口的端口 VLAN,如果要配置以太网端口 VLAN,则必须首先从
Trunk 端口中退出后才能配置。
MA5200F 支撑的接入类型包括非管理 VLAN、二层个人用户、三层个人用户、PPPoE
专线、Proxy专线、VLAN专线、VLAN透传专线、系统保留类型。实际配置接入类型
时要考虑不同的业务应用及组网,各接入类型对应的主要的业务应用包括:
z
接入类型为非管理 VLAN 时,可作为网络侧接口,用于将用户的数据转发到骨干
网;
z
接入类型为二层个人用户时,可用于接入 PPPoE、802.1x 接入认证以及 WLAN 等
个人业务;
z
接入类型为三层个人用户时,主要应用于校园网业务组网中;
z
接入类型为PPPoE 专线、VLAN 专线时,主要应用于企业网及智能化楼宇等业务
组网中;
z
接入类型为Proxy专线时,主要应用于网吧、酒店等需要简便、快速接入网络的
场合;
z
接入类型为VLAN 透传专线时,主要应用于安全要求高的业务,比如政务网、企
业网等;
z
接入类型为系统保留类型时,主要应用于需要启用 HGMP 协议的场合,比如用
MA5200F 进行网络管理。