华为MAG配置实例

/*华为默认就是permit any ，这一步不需要，但在配置其它网络设备时注意，一般默认为deny any ，有没发现少了几条？*/ #2.3 应用eacl到接口 access-group eacl global /*应用eacl到所有的接口*/

4.监控功能配置

snmp-agent community read xxxxx /*配置同snmp监控工作站的通信密钥*/ snmp-agent sys-info version all /*配置snmp版本*/

snmp-agent trap enable /*开启trap功能*/

附：为能管理5200G下挂的部分接入交换机，在5200G上面配置了管理VLAN，用到的全部命令如下

ip pool manage local

gateway x.x.x.1 255.255.255.0 section 0 x.x.x.2 x.x.x.254

excluded-ip-address x.x.x.2 x.x.x.254

/*最后一条命令是把这段地址排除掉，因为下面交换机是使用的静态地址，无需自动分配！这是与上面业务配置不同的地方*/ aaa

authentication-scheme manage authentication-mode none

/*配置为不认证，与业务配置不同*/

accounting-scheme manage accounting-mode none

/*配置为不计费，与业务配置不同*/

domain manage

authentication-scheme manage accounting-scheme manage ip-pool manage

/*在域间关联认证和计费方案*/

interface Ethernet1/0/0.10 undo shutdown user-vlan 1 bas

access-type layer2-subscriber default-domain authentication manage authentication-method bind

/*创建一个子接口，并且绑定vlan 1，把端口配置成bas接口，关联到管理域，指定BAS

6 / 14

的认证方式为bind ，注意，默认是ppp */ #

version 5200-2215 #

sysname **_***_MA5200G #

super password level 3 cipher xxxxxx #

FTP server enable //默认开启，建议关掉此服务 #

rule-map vir01 tcp any equal 135 any rule-map vir10 tcp any equal 5554 any rule-map vir02 tcp any equal 136 any rule-map vir11 tcp any equal 9996 any rule-map vir20 tcp any equal uucp any rule-map vir03 tcp any equal 137 any rule-map vir12 tcp any equal 2000 any rule-map vir21 udp any equal sunrpc any rule-map vir30 udp any equal 389 any rule-map vir04 tcp any equal 138 any rule-map vir13 tcp any equal sunrpc any rule-map vir22 udp any equal 2049 any rule-map vir31 udp any equal 445 any rule-map vir05 tcp any equal 139 any

rule-map vir14 tcp any equal 2049 any rule-map vir23 udp any equal 2000 any

rule-map vir32 ip any any 文档来自于网络搜索 //这一条可以省略，华为默认有permit any 但是有必要保持这种习惯，在Cisco，juniper，实达，迈普等产品中，默认是deny

rule-map vir06 tcp any equal 389 any rule-map vir15 tcp any equal 87 any rule-map vir24 udp any equal 135 any rule-map vir07 tcp any equal 445 any rule-map vir16 tcp any equal exec any rule-map vir25 udp any equal 136 any rule-map vir08 tcp any equal 1068 any rule-map vir17 tcp any equal login any rule-map vir09 tcp any equal 4444 any rule-map vir18 tcp any equal cmd any

rule-map vir27 udp any equal netbios-ns any rule-map vir19 tcp any equal lpd any

rule-map vir28 udp any equal netbios-dgm any

7 / 14

rule-map vir29 udp any equal netbios-ssn any # eacl global vir01 deny 文档来自于网络搜索 //5200使用了增强的acl(eacl)，赋于vir01的动作是deny，要关联，偶觉得特麻烦，呵呵，万一有个十台八台的，不弄脚本会要输得手发麻呀！ eacl global vir02 deny eacl global vir03 deny eacl global vir04 deny eacl global vir05 deny

eacl global vir06 deny eacl global vir07 deny eacl global vir08 deny eacl global vir09 deny eacl global vir10 deny eacl global vir11 deny eacl global vir12 deny eacl global vir13 deny eacl global vir14 deny eacl global vir15 deny eacl global vir16 deny eacl global vir17 deny eacl global vir18 deny eacl global vir19 deny eacl global vir20 deny eacl global vir21 deny eacl global vir22 deny eacl global vir23 deny eacl global vir24 deny eacl global vir25 deny eacl global vir28 deny eacl global vir29 deny eacl global vir30 deny

eacl global vir31 deny eacl global vir32 permit #

access-group eacl global //全局应用 # #

radius-server group radius //*创建一个raidus服务器组，名字叫radius*/

radius-server authentication xxx.xxx.xxx.xxx 1812 weight 0 /*指定认证服务器的地址和端口号*/

radius-server accounting xxx.xxx.xxx.xxx 1813 weight 0 /*指定统计服务器的地址和端口号*/

radius-server shared-key xxxxxx /*指定共享key*/

8 / 14

radius-server type plus11 /*指定服务器类型*/

radius-server attribute translate /*启用radius属性解释功能,这步可以省略，*/ undo radius-server user-name domain-included /*设置radius服务器的用户名不包含域名*/ 这一步要跟radius 服务器端确认

radius-server traffic-unit kbyte /*设置radius服务器流量单位*/ #

ip pool nms local /*设置一个名字叫nms的地址池*/

gateway 192.168.168.1 255.255.255.0 /*设置地址池的网关*/ section 0 192.168.168.2 192.168.168.254 /*设置地址段*/

excluded-ip-address 192.168.168.2 192.168.168.254 /*排除地址*/ #

ip pool pppoe local /*设置一个名字叫pppoe的本地地址池*/ gateway 58.20.xxx.xxx 255.255.252.0 /*设置地址池的网关*/ section 0 58.20.xxx.x 58.20.xxx.xxx/*设置地址段*/ dns-server 210.52.149.2 /*设置DNS服务器的地址*/

dns-server 210.52.207.2 secondary #

dot1x-template 1 #文档来自于网络搜索

aaa /*以下是3A认证授权的配置，挺重要的*/ authentication-scheme aaa /*配置名为aaa的认证方案*/ authentication-mode local /*认证模式为本地*/

authentication-scheme adsl /*配置名为adsl的认证方案*/ authentication-scheme nms /*配置名为nms的认证方案*/ authentication-mode none /*因为这段地址用作网管，并且是静态地址，所以认证模式可以设为none*/

authentication-scheme test /*配置一个名为test的认证方案*/ authentication-mode local /*认证模式为本地，主要用于测试本地pppoe是否正常*/ accounting-scheme adsl /*配置名为adsl的计费方案*/ accounting-scheme nms /*配置名为nsm的计费方案*/ accounting-mode none /*计费模式为不计费*/

accounting-scheme test /*配置名为test的计费方案*/ accounting-mode none /*计费模式为不计费*/ domain default0 /*华为默认域名*/ domain default1 /*华为默认域名*/ domain default_admin /*华为默认域名*/

authentication-scheme aaa /*认证方案为aaa*/

domain xt /*名为xt的管理域,注意，这里我改了*/文档9 / 14

来自于网络搜索

authentication-scheme adsl /*认证方案为adsl*/ accounting-scheme adsl /*计费方案为adsl*/

radius-server group radius /*radius服务器组为radius，注意和上面的对应*/

ip-pool pppoe /*指定地址池为pppoe，注意名字和上面的对应*/

domain wangguan /*以下是网管域的配置*/ authentication-scheme nms accounting-scheme nms ip-pool nms

domain test /*test域的配置*/ authentication-scheme test accounting-scheme test ip-pool pppoe #

interface Aux0/0/1 /*console口的配置，缺省*/ async mode flow link-protocol ppp undo shutdown #

interface Virtual-Template1 /*定义虚模板1*/ #

interface Ethernet0/0/0 文档来自于网络搜索 /*接口下的配置主要是用来测试，下载配置文件用，这家伙又忘删了，晕*/ undo shutdown negotiation auto

ip address 192.168.100.1 255.255.255.0 #

interface Ethernet1/0/0 undo shutdown #

interface Ethernet1/0/0.1 /*创建子接口*/

pppoe-server bind virtual-template 1 /*绑定到虚模板1*/ undo shutdown

user-vlan 100 110 /*指定下挂的用户vlan*/ bas /*配置成bas接口，以接入终端用户*/

access-type layer2-subscriber default-domain authentication xt 文档来自于网络搜索 /*配置接口下为二层用户，并指定域名为xt #

interface Ethernet1/0/0.2 /*同上 */ pppoe-server bind virtual-template 1

10 / 14