华为MA5200G配置实例
1. 基础配置:
sys
/*进入系统视图*/
sysname xxx_xxx_5200G
/*更改5200G的系统显示名称*/
super password level 3 cipher xxxxxx /*设置超级用户密码*/ user-interface vty 0 4
/*进入虚拟终端接口配置模式*/ auth aaa
/*这里我使用的是aaa的认证模式,可选用none 也就是不认证,和passowrd 密码认证这三种,推荐选择aaa 和 password */
/*set auth pass cipher xxxxx 如果你选择的是password认证方式,则要设置一个密码*/
/*user privilege level 3 设置telnet登录级别为3级,*/ /*这两步只要选用password时需要使用*/ local-aaa-server
/*进行本地3a服务器视图*/
user maple password cipher xxxxxxx level 3
/*设置你的登录用户名和密码,并设置级别为3级,免得从普通视图进入系统视图时需要再输一次密码,但这样似乎不太安全,呵呵*/
2.PPPoEoVLAN的配置
配置流程如下:
配置虚模板接口--配置认证方案--配置计费方案--配置RADIUS--配置地址池--配置域--配置子接口并为子接口指定虚模板子接口绑定vlan--配置bas接口--配置上行接口和以太口--配置默认路由
#1.配置虚模板接口
interface virtual-template 1 /*创建虚模板接口1*/
/*虚模板接口1的默认验证方式为auto,包含pap和chap,所以无需额外配置验证方式*/
#2.配置认证方案 aaa
/*进入aaa视图*/
authentication-scheme maple /*创建认证方案maple */
/*在华为5200G中,默认认证模式就是radius,所以无需额外配置认证模式;配置认证
1 / 14
模式的命令是authen radius*/ #3.配置计费方案 aaa
/*进入AAA视图*/
accounting-scheme maple /*创建计费方案为maple */
/*在这里无需设置计费模式,默认就是radius;设置计费模式的命令是 accounting-mode radius */ #4.配置radius服务器
radius-server group maple /*创建radius服务器组maple*/
radius-server authentication x.x.x.x 1812
/*配置radius认证服务器的地址及端口号,记得把地址改一下,至于端口号,RFC推荐使用1812,我司radius服务器使用的端口号也是1812*/ radius-server accounting x.x.x.x 1813 /*配置radius计费服务器的地址及端口号 */ radius-server type plus 11
/*配置radius服务器协议版本,比较新点的服务器potal型是使用plus 11,后面是数字11,默认是使用标准的radius服务器*/ radius-server shared-key xxx
/*配置radius服务器通信密钥xxx */ #5.配置地址池
ip pool maple local
/*配置名为maple的本地地址池*/ gateway 1.1.1.1 255.255.255.0 /*配置地址池的网关*/
section 0 1.1.1.2 1.1.2.254
/*配置地址段0的地址为1.1.1.2 -- 1.1.2.254 dns-server 210.53.31.2 /*配置DNS服务器地址*/
dns-server 210.52.149.2 secondary /*配置DNS服务器第二地址*/ #6.配置域 aaa
/*进入AAA视图*/ domain maple /*创建maple域*/
authentication-scheme maple
/*配置域的认证方案为maple,注意和上面配置的认证方案对应*/ accounting-scheme maple
/*配置域的计费方案为maple,注意和上面的计费方案对应*/ radius-server group maple
/*指定域的radius服务器为maple,注意和上面的服务器组对应*/ ip-pool maple
2 / 14
/*指定域的地址池为maple,注意和上面的地址池对应*/ #7.为子接口指定虚模板 interface ethernet 1/0/2 /*进入以太网接口视图*/ un sh
/*这个是默认配置,不过最好养成这种习惯,因为在有些设备上,默认接口是shutdown的*/
int ethernet 1/0/2.1 /*创建1/0/2.1子接口*/
pppoe-server bind virtral-template 1 /*绑定虚模板1*/ user-vlan 101-111
/*绑定vlan101到111*/ #8.配置BAS接口 bas
/*注意,这里是在子接口视图下输的bas命令,其实这第八步和第七步应该是不间断的*/
access-type layer2-subscriber default-domain authentication maple /*设置BAS接口下的用户为二层用户,默认认证域为maple*/
/*默认情况下,bas接口下的用户使用的认证方法是pppoe ,所以这里不作额外配置*/
#9.配置上行接口和以太口
interface GigabitEthernet2/0/0.1
/*创建子接口,至于为什么,一下子说不清楚,华为至今也无法给出合理的解释,而今朝的解释是子接口下无配置封装类型*/ vlan-type dot1q vid 2
/*在创建子接口号,可能出现的情况就是根本看不到vlan-type这条命令!!!,到时自己手动输入就行了,不会报错,过后用?号查看就可以看到这条命令,这里的vlan id 是根据原ESR50配置修改的.*/ mtu 1514
/*因为我对端SR7750是配置的1514,所以这里也改了,以防MTU不匹配引起数据包丢失,还有就是在配置OSPF的时候,如果MTU不匹配,会出现停留在exchange状态的情况。这里根据需要自己改,配置成默认的1500似乎也没什么大的影响.*/ ip address xxx.xxx.xxx.xxx 255.255.255.252 un sh
/*启用接口*/ #9.1 配置以太口
interface Ethernet1/0/0.3 /*创建一个子接口*/
pppoe-server bind virtual-template 1 /*绑定到虚模板1*/ undo shutdown
/*启用接口,这是默认配置*/ user-vlan 300 310
3 / 14
/*关联vlan号*/ bas
/*配置成bas接口*/
access-type layer2-subscriber default-domain authentication maple /*配置接口下接入的用户类型为二层用户,并关联到maple域认证*/ #10.配置静态路由
ip route-static 0.0.0.0 0.0.0.0 x.x.x.x /*配置到对端的默认路由*/
3.安全配置
#1.关闭不必要的服务 un ftp server
/*关闭5200提供的ftp 服务.这个是默认的,一般今朝配置了以后,这个服务会开着,*/
#2.防毒ACL的配置 #2.1 创建规则
ru vir01 tcp any eq 593 any ru vir02 tcp any eq 1434 any ru vir03 tcp any eq 4444 any ru vir04 tcp any eq 1013 any ru vir05 tcp any eq 1014 any ru vir06 tcp any eq 113 any ru vir07 tcp any eq 888 any ru vir08 tcp any eq 135 any ru vir09 tcp any eq 136 any ru vir10 tcp any eq 137 any ru vir11 tcp any eq 138 any ru vir12 tcp any eq 139 any ru vir13 tcp any eq 389 any ru vir14 tcp any eq 445 any ru vir15 tcp any eq 1068 any ru vir16 tcp any eq 5554 any ru vir17 tcp any eq 9996 any ru vir18 tcp any eq 2000 any ru vir19 tcp any eq sunrpc any ru vir20 tcp any eq 2049 any ru vir21 tcp any eq 87 any ru vir22 tcp any eq exec any ru vir23 tcp any eq login any ru vir24 tcp any eq cmd any ru vir25 tcp any eq lpd any ru vir26 tcp any eq uucp any ru vir27 udp any eq sunrpc any
4 / 14
ru vir28 udp any eq 2049 any ru vir29 udp any eq 2000 any ru vir30 udp any eq 135 any ru vir31 udp any eq 136 any
ru vir32 udp any eq netbios-ns any ru vir33 udp any eq netbios-dgm any ru vir34 udp any eq netbios-ssn any ru vir35 ip any any /*这一步不必要*/ #2.2 关联匹配的动作 eacl global vir01 deny eacl global vir02 deny eacl global vir03 deny eacl global vir04 deny eacl global vir05 deny
eacl global vir06 deny eacl global vir07 deny eacl global vir08 deny eacl global vir09 deny eacl global vir10 deny eacl global vir11 deny eacl global vir12 deny eacl global vir13 deny eacl global vir14 deny eacl global vir15 deny eacl global vir16 deny eacl global vir17 deny eacl global vir18 deny eacl global vir19 deny eacl global vir20 deny eacl global vir21 deny eacl global vir22 deny eacl global vir23 deny eacl global vir24 deny eacl global vir25 deny eacl global vir26 deny eacl global vir27 deny eacl global vir28 deny eacl global vir29 deny eacl global vir30 deny eacl global vir31 deny eacl global vir22 deny eacl global vir33 deny
eacl global vir34 deny eacl global vir35 permit
5 / 14
华为MAG配置实例
