Chinaunix首页 | 论坛 | 博客

北京CCNA IT认证博客

首页 |  博文目录 |  关于我

红果果

  • 博客访问: 209417
  • 博文数量: 317
  • 博客积分: 2010
  • 博客等级: 大尉
  • 技术积分: 2775
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-30 12:25
文章分类

全部博文(317)

文章存档

2010年(56)

2009年(38)

2008年(223)

我的朋友
最近访客
推荐博文
华为MA5200G配置实例 (2)

分类:

2008-08-30 17:14:28

3.安全配置
#1.关闭不必要的服务
 un ftp server
 /*关闭5200提供的ftp 服务.这个是默认的,一般今朝配置了以后,这个服务会开着,*/
#2.防毒ACL的配置
#2.1 创建规则ru vir01 tcp any eq 593 any
ru vir02 tcp any eq 1434 any
ru vir03 tcp any eq 4444 any
ru vir04 tcp any eq 1013 any
ru vir05 tcp any eq 1014 any
ru vir06 tcp any eq 113 any
ru vir07 tcp any eq 888 any
ru vir08 tcp any eq 135 any
ru vir09 tcp any eq 136 any
ru vir10 tcp any eq 137 any
ru vir11 tcp any eq 138 any
ru vir12 tcp any eq 139 any
ru vir13 tcp any eq 389 any
ru vir14 tcp any eq 445 any
ru vir15 tcp any eq 1068 any
ru vir16 tcp any eq 5554 any
ru vir17 tcp any eq 9996 any
ru vir18 tcp any eq 2000 any
ru vir19 tcp any eq sunrpc any
ru vir20 tcp any eq 2049 any
ru vir21 tcp any eq 87 any
ru vir22 tcp any eq exec any
ru vir23 tcp any eq login any
ru vir24 tcp any eq cmd any
ru vir25 tcp any eq lpd any
ru vir26 tcp any eq uucp any
ru vir27 udp any eq sunrpc any
ru vir28 udp any eq 2049 any
ru vir29 udp any eq 2000 any
ru vir30 udp any eq 135 any
ru vir31 udp any eq 136 any
ru vir32 udp any eq netbios-ns any
ru vir33 udp any eq netbios-dgm any
ru vir34 udp any eq netbios-ssn any
ru vir35 ip any any  /*这一步不必要*/
 #2.2 关联匹配的动作
eacl global vir01 deny
eacl global vir02 deny
eacl global vir03 deny
eacl global vir04 deny
eacl global vir05 deny
eacl global vir06 deny                  
eacl global vir07 deny
eacl global vir08 deny
eacl global vir09 deny
eacl global vir10 deny
eacl global vir11 deny
eacl global vir12 deny
eacl global vir13 deny
eacl global vir14 deny
eacl global vir15 deny
eacl global vir16 deny
eacl global vir17 deny
eacl global vir18 deny
eacl global vir19 deny
eacl global vir20 deny
eacl global vir21 deny
eacl global vir22 deny
eacl global vir23 deny
eacl global vir24 deny
eacl global vir25 deny
eacl global vir26 deny
eacl global vir27 deny
eacl global vir28 deny
eacl global vir29 deny
eacl global vir30 deny
eacl global vir31 deny
eacl global vir22 deny
eacl global vir33 deny
eacl global vir34 deny                   
eacl global vir35 permit  /*华为默认就是permit any ,这一步不必,但在配置其它网络设备时注意,一般默认为deny any ,有没发现少了几条?*/
 #2.3 应用eacl到所有的接口
 access-group eacl global
 /*应用eacl到所有的接口*/

4.监控功能配置
 snmp-agent community read  xxxxx
 /*配置同snmp监控工作站的通信密钥*/
 snmp-agent sys-info version all
  /*配置snmp版本*/
 snmp-agent trap enable
 /*开启trap功能*/
附:为能管理5200G下挂的部分接入交换机,在5200G上面配置了管理VLAN,用到的全部命令如下
ip pool manage local
gateway x.x.x.1 255.255.255.0
section 0 x.x.x.2 x.x.x.254
excluded-ip-address  x.x.x.2  x.x.x.254
/*最后一条命令是把这段地址排除掉,因为下面交换机是使用的静态地址,无需自动分配!这是与上面业务配置不同的地方*/

aaa
authentication-scheme  manage
authentication-mode none
/*配置为不认证,与业务配置不同*/

accounting-scheme  manage
accounting-mode none
/*配置为不计费,与业务配置不同*/

domain  manage
authentication-scheme   manage
accounting-scheme   manage
ip-pool   manage
/*在域间关联认证和计费方案*/

interface Ethernet1/0/0.10
undo shutdown
user-vlan 1
bas
 access-type layer2-subscriber  default-domain  authentication manage
 authentication-method  bind
/*创建一个子接口,并且绑定vlan 1,把端口配置成bas接口,关联到管理域,指定BAS的认证方式为bind ,注意,默认是ppp */ 
#
version 5200-2215
#
sysname **_***_MA5200G
#
super password level 3 cipher xxxxxx
#
FTP server enable //建议关掉此服务
#
rule-map vir01 tcp any equal 135 any
rule-map vir10 tcp any equal 5554 any
rule-map vir02 tcp any equal 136 any
rule-map vir11 tcp any equal 9996 any
rule-map vir20 tcp any equal uucp any
rule-map vir03 tcp any equal 137 any
rule-map vir12 tcp any equal 2000 any
rule-map vir21 udp any equal sunrpc any
rule-map vir30 udp any equal 389 any
rule-map vir04 tcp any equal 138 any
rule-map vir13 tcp any equal sunrpc any
rule-map vir22 udp any equal 2049 any
rule-map vir31 udp any equal 445 any
rule-map vir05 tcp any equal 139 any
rule-map vir14 tcp any equal 2049 any   
rule-map vir23 udp any equal 2000 any
rule-map vir32 ip any any            //这一条可以省略,华为默认有permit any 但是有必要保持这种习惯,在Cisco,juniper,实达,迈普等产品中,默认是deny
rule-map vir06 tcp any equal 389 any
rule-map vir15 tcp any equal 87 any
rule-map vir24 udp any equal 135 any
rule-map vir07 tcp any equal 445 any
rule-map vir16 tcp any equal exec any
rule-map vir25 udp any equal 136 any
rule-map vir08 tcp any equal 1068 any
rule-map vir17 tcp any equal login any
rule-map vir09 tcp any equal 4444 any
rule-map vir18 tcp any equal cmd any
rule-map vir27 udp any equal netbios-ns any
rule-map vir19 tcp any equal lpd any
rule-map vir28 udp any equal netbios-dgm any
rule-map vir29 udp any equal netbios-ssn any
#
eacl global vir01 deny  //5200使用了增强的acl(eacl),赋于vir01的动作是deny,要关联,偶觉得特麻烦,呵呵,万一有个十台八台的,不弄脚本会要输得手发麻呀!
eacl global vir02 deny
eacl global vir03 deny
eacl global vir04 deny
eacl global vir05 deny
eacl global vir06 deny                  
eacl global vir07 deny
eacl global vir08 deny
eacl global vir09 deny
eacl global vir10 deny
eacl global vir11 deny
eacl global vir12 deny
eacl global vir13 deny
eacl global vir14 deny
eacl global vir15 deny
eacl global vir16 deny
eacl global vir17 deny
eacl global vir18 deny
eacl global vir19 deny
eacl global vir20 deny
eacl global vir21 deny
eacl global vir22 deny
eacl global vir23 deny
eacl global vir24 deny
eacl global vir25 deny
eacl global vir28 deny
eacl global vir29 deny
eacl global vir30 deny
eacl global vir31 deny                  
eacl global vir32 permit
#
access-group eacl global  //全局应用,要是一个接口的应用,那就*&^&&%$%$%^
#
#
radius-server group radius  //*创建一个raidus服务器组,名字叫radius*/
radius-server authentication xxx.xxx.xxx.xxx 1812 weight 0 /*指定认证服务器的地址和端口号*/
radius-server accounting xxx.xxx.xxx.xxx 1813 weight 0 /*指定统计服务器的地址和端口号*/

radius-server shared-key xxxxxx  /*指定共享key*/
radius-server type plus11       /*指定服务器类型*/
radius-server attribute translate /*启用radius属性解释功能,这步可以省略,*/
undo radius-server user-name domain-included /*设置radius服务器的用户名不包含域名*/ 这一步要跟radius 服务器端确认
radius-server traffic-unit kbyte /*设置radius服务器流量单位*/
#
ip pool nms local /*设置一个名字叫nms的地址池*/ 
gateway 192.168.168.1 255.255.255.0  /*设置地址池的网关*/
section 0 192.168.168.2 192.168.168.254 /*设置地址段*/
excluded-ip-address  192.168.168.2  192.168.168.254 /*排除地址*/
#
ip pool pppoe local  /*设置一个名字叫pppoe的本地地址池*/
gateway 58.20.xxx.xxx 255.255.252.0  /*设置地址池的网关*/
section 0 58.20.xxx.x 58.20.xxx.xxx/*设置地址段*/
dns-server  210.52.149.2    /*设置DNS服务器的地址*/            
dns-server  210.52.207.2 secondary
#
dot1x-template 1
#
aaa            /*以下是3A认证授权的配置,挺重要的*/
authentication-scheme  aaa  /*配置名为aaa的认证方案*/
authentication-mode local  /*认证模式为本地*/
authentication-scheme  adsl /*配置名为adsl的认证方案*/
authentication-scheme  nms /*配置名为nms的认证方案*/
authentication-mode none  /*因为这段地址用作网管,并且是静态地址,所以认证模式可以设为none*/
authentication-scheme  test  /*配置一个名为test的认证方案*/
authentication-mode local   /*认证模式为本地,主要用于测试本地pppoe是否正常*/
accounting-scheme  adsl  /*配置名为adsl的计费方案*/
accounting-scheme  nms   /*配置名为nsm的计费方案*/
accounting-mode none   /*计费模式为不计费*/
accounting-scheme  test  /*配置名为test的计费方案*/
accounting-mode none   /*计费模式为不计费*/
domain  default0      /*华为默认域名*/
domain  default1      /*华为默认域名*/
domain  default_admin  /*华为默认域名*/
authentication-scheme   aaa  /*认证方案为aaa*/
domain  xt              /*名为xt的管理域,注意,这里我改了*/
authentication-scheme   adsl    /*认证方案为adsl*/        
accounting-scheme   adsl        /*计费方案为adsl*/
radius-server group  radius     /*radius服务器组为radius,注意和上面的对应*/
ip-pool   pppoe                /*指定地址池为pppoe,注意名字和上面的对应*/
domain  wangguan        /*以下是网管域的配置*/
authentication-scheme   nms
accounting-scheme   nms
ip-pool   nms
domain  test       /*test域的配置*/
authentication-scheme   test
accounting-scheme   test
ip-pool   pppoe
#
interface Aux0/0/1  /*console口的配置,缺省*/
async mode flow
link-protocol ppp
undo shutdown
#
interface Virtual-Template1   /*定义虚模板1*/
#
interface Ethernet0/0/0  /*接口下的配置主要是用来测试,下载配置文件用,这家伙又忘删了,晕*/
undo shutdown
negotiation auto
ip address 192.168.100.1 255.255.255.0  
#
interface Ethernet1/0/0
undo shutdown
#
interface Ethernet1/0/0.1   /*创建子接口*/
pppoe-server bind virtual-template  1   /*绑定到虚模板1*/
undo shutdown
user-vlan 100 110  /*指定下挂的用户vlan*/
bas  /*配置成bas接口,以接入终端用户*/
 access-type layer2-subscriber  default-domain  authentication xt /*配置接口下为二层用户,并指定域名为xt
#
interface Ethernet1/0/0.2  /*同上 */
pppoe-server bind virtual-template  1
undo shutdown
user-vlan 200 210
bas
 access-type layer2-subscriber  default-domain  authentication xiangtan
#
interface Ethernet1/0/0.3
pppoe-server bind virtual-template  1
undo shutdown
user-vlan 300 310                       
bas
 access-type layer2-subscriber  default-domain  authentication xiangtan
#
interface Ethernet1/0/0.10 /*这里用于管理vlan*/
undo shutdown
user-vlan 999
bas
 access-type layer2-subscriber  default-domain  authentication wangguan
 authentication-method  bind
#
interface Ethernet1/0/1
undo shutdown
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3  /*此端口用于本地测试*/
pppoe-server bind virtual-template  1
undo shutdown
bas
 access-type layer2-subscriber  default-domain  authentication test
#
interface Ethernet1/0/3.1                
pppoe-server bind virtual-template  1
shutdown
bas
 access-type layer2-subscriber  default-domain  authentication test
#
interface Ethernet1/0/4
undo shutdown
bas
 access-type layer2-subscriber  default-domain  authentication wangguan
 authentication-method  bind
#
interface Ethernet1/0/4.1
shutdown
bas
 access-type layer2-subscriber  default-domain  authentication wangguan
 authentication-method  bind
#
interface Ethernet1/0/5
pppoe-server bind virtual-template  1
undo shutdown
negotiation auto
bas                                     
 access-type layer2-subscriber  default-domain  authentication wangguan
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
shutdown
#
interface Ethernet1/0/15                 
shutdown
#
interface GigabitEthernet2/0/0 /*配置上行接口
description TO xxxxx
mtu 1514    /*对端mtu为1514,如果本端mtu不匹配置,在启用ospf时会停留在exchang状态,而形成不了邻居*/
undo shutdown
undo negotiation auto /*关掉自协商,要不然灯都不会亮,呵呵*/
#
interface GigabitEthernet2/0/0.1  /*创建子接口*/
vlan-type dot1q vid 2  /*封装成802.1q ,vid为2
mtu 1514
undo shutdown
ip xxx.xxx.xxx.xxx
#
interface GigabitEthernet2/0/1
#
interface NULL0
#
l2tp-group default-lac
tunnel name Quidway
#
l2tp-group default-lns                   
tunnel name Quidway
#
local-aaa-server   /*这里就是建一些本地的aaa用户,用于telnet登录
user password simple ftp
user ftp-directory hd:/
user xxx password cipher :$1IAC)ZASOQ=^Q`MAF4<1!! level 3
user password simple 123 authentication-type P
#
ip route-static 0.0.0.0 0.0.0.0 58.20.126.193  /*创建到对端的静态路由*/
#
snmp-agent   /*网管的配置*/
snmp-agent local-engineid 800007DB0300E0FC7E716A
snmp-agent community write  xxxx  /*必须*/
snmp-agent sys-info contact HuaWei-800-8302118
snmp-agent sys-info location HNCNC-XiangTan-GaoXinKeJiDaSha-2F
snmp-agent sys-info version all /*指定版本,必须*/
snmp-agent trap enable system  /*系统的trap消息,配置standard应该够了*/
snmp-agent trap enable standard  /*一般只配置这一条*/
#
ssh user service-type stelnet /*这是配置本地3a用户自加上去的*/
ssh xxx service-type xxxx
ssh user xxx service-type xxxx     
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode aaa  /*配置telnet为3a认证模式,不配置的话telnet只有输密码的窗口,不会提示用户名*/
user privilege level 3 /*配置用户的访问级为3*/
set authentication password cipher J+&LKZP9EX’-MUG.\aD]B1!! /*设置认证密码,改成3a之后,这一步就不必了*/
#
return

专业网站为你无风险代理CISCO,微软等IT认证。

阅读(922) | 评论(0) | 转发(0) |
0

上一篇:华为MA5200G配置实例 (2)

下一篇:华为H3C基本命令解释说明

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6