数据网华为设备配置手册.docx
《数据网华为设备配置手册.docx》由会员分享,可在线阅读,更多相关《数据网华为设备配置手册.docx(15页珍藏版)》请在冰点文库上搜索。
数据网华为设备配置手册
数据网华为设备配置手册
第一章、CR设备配置部分2
1.中继电路开通2
2. 发布IP地址3
3、 网络安全加固4
第二章、SR设备配置部分4
1、 中继电路开通4
2、 发布IP地址4
3、 网络安全加固5
4、 MPLSVPN业务开通5
5、 普通用户业务开通5
第三章、ASBR设备配置部分6
1、 中继电路开通6
2、 发布IP地址6
3、 网络安全加固7
4、 MPLSVPN业务开通7
第四章、BAS设备配置部分7
1、 中继电路开通7
2、 发布IP地址8
3、 网络安全加固8
4、 MPLSVPN业务开通8
5、 Radius认证的PPP拨号9
6、 地址池10
第一章、CR设备配置部分
1.中继电路开通
命令格式:
interfaceGigabitEthernet1/0/0//本次需要开通的中继端口
descriptiondT:
JL-SNL-SR-1.MAN.NE40E:
(local)GE2/0/3//端口描述,按照此规则进行描述
undoshutdown//开启此物理端口
ipaddressX.X.X.X255.255.255.252//根据IP地址规划进行互联地址配置
isisenableXXX//在该接口下进行路由协议配置
isiscircuit-typep2p//设备路由协议采用的网络类型
isiscircuit-levellevel-2//配置ISIS路由协议所属的区域
isiscost3000level-2//配置ISIS协议的链路花费COST值
isistimerhello3//配置ISIS协议的Hello时间
traffic-policyVIP-outinbound//引用VIP业务策略进行VIP业务分流
mpls//使能MPLS功能
mplsldp//使能MPLSLDP协议
trustupstreamjl-qos//QOS配置进行拥塞管理
qosqueueefcircir-percentage0pirpir-percentage10outbound
qosqueueaf4circir-percentage1pirpir-percentage10outbound
qosqueueaf1circir-percentage20pirpir-percentage30outbound
qosqueueaf3circir-percentage20pirpir-percentage25outbound
#
检查方法:
(1)执行命令displayinterfacebrief,查看以太接口的物理状态、链路协议状态、接收和发送方向的带宽利用率及错误报文数等简要信息。
(2)执行命令displayinterface,查看以太网接口/POS接口的物理状态、自协商方式、MTU、IP地址和掩码、工作速率、工作模式、时钟模式等参数。
(3)使用ping命令,测试以太链路的连通性。
正常情况下,应该能够ping通。
(4)执行命令displayisispeer,查看被调测设备的IS-IS邻居信息是否正确。
2. 发布IP地址
IPv4路由发布命令格式:
bgpx//进入bgp进程
networkx.x.x.xx.x.x.x//通过networ+null方式发布路由聚合后的路由
#
iproute-staticx.x.x.xx.x.x.xNULL0preference255//配置IP地址段黑洞路由
#
ipip-prefixpl_ipv4index20permitx.x.x.xx//在原来路由发布的前缀列表中添加本次发布的地址段
#
aclnumberx//进入安全加固引用的acl列表
rulepermitipsourcex.x.x.xx.x.x.x//配置本次发布路由的ip地址段和反向掩码
备注:
在CR设备上不涉及vpnv4路由发布数据配置。
检查方法:
(1)执行命令displayiproutex.x.x.xx.x.x.x,检查路由表中是存在本次发布的路由。
(2)执行命令displaybgprouting-tablepeerx.x.x.xadvertised-routes,查看本次发布路由是否正确发布给相关的BGP相邻体。
3、 网络安全加固
按照集团公司要求进行设备安全加固,telnet登录方式严格采用ACL控制,配置syslog的相关数据,在接入端口配置安全加固的策略。
第二章、SR设备配置部分
1、 中继电路开通
命令格式:
interfaceGigabitEthernet1/0/0//本次需要开通的中继端口
descriptionuT:
JL-SNL-CR-1.MAN.NE5000E:
(local)GE2/0/3//端口描述,按照此规则进行描述
undoshutdown//开启此物理端口
ipaddressX.X.X.X255.255.255.252//根据IP地址规划进行互联地址配置
isisenableXXX//在该接口下进行路由协议配置
isiscircuit-typep2p//设备路由协议采用的网络类型
isiscircuit-levellevel-2//配置ISIS路由协议所属的区域
isiscost3000level-2//配置ISIS协议的链路花费COST值
isistimerhello3//配置ISIS协议的Hello时间
traffic-policyVIP-outinbound//引用VIP业务策略进行VIP业务分流
mpls//使能MPLS功能
mplsldp//使能MPLSLDP协议
trustupstreamjl-qos//QOS配置进行拥塞管理
qosqueueefcircir-percentage0pirpir-percentage10outbound
qosqueueaf4circir-percentage1pirpir-percentage10outbound
qosqueueaf1circir-percentage20pirpir-percentage30outbound
qosqueueaf3circir-percentage20pirpir-percentage25outbound
检查方法:
(1)执行命令displayinterfacebrief,查看以太接口的物理状态、链路协议状态、接收和发送方向的带宽利用率及错误报文数等简要信息。
(2)执行命令displayinterface,查看以太网接口/POS接口的物理状态、自协商方式、MTU、IP地址和掩码、工作速率、工作模式、时钟模式等参数。
(3)使用ping命令,测试以太链路的连通性。
正常情况下,应该能够ping通。
(4)执行命令displayisispeer,查看被调测设备的IS-IS邻居信息是否正确。
2、 发布IP地址
不涉及此操作,目前吉林省电信各地市公司IPV4路由发布均采用“import-direct”+“import-static”方式;如果在城域网中目前没有发布该地址段,则通过局数据工单申请省公司在CR上进行路由发布。
VPNV4路由则采用在相应的VPN实例下采用“import-direct”+“import-static”方式;如果在城域网中目前没有发布该地址段,则通过局数据工单申请省公司在ASBR上进行路由发布。
3、 网络安全加固
按照集团公司要求进行设备安全加固,telnet登录方式严格采用ACL控制,配置syslog的相关数据,在接入端口配置安全加固的策略。
4、 MPLSVPN业务开通
命令格式:
ipvpn-instancexxxx
route-distinguisherxx:
xx
vpn-targetxx:
xxexport-extcommunity
vpn-targetxx:
xximport-extcommunity
#
interfaceGigabitEthernetX/X/X.xx//配置业务的子接口,索引号建议采用vlan号
descriptionTojianshedasha-Management-Vlan//对业务进行详细描述
control-vidxxqinq-termination//采用单层vlan终结方式,子接口索引号一致
qinqterminationpe-vidxxce-vidxx//配置需要终结的外层vlan号和内层vlan号
ipbindvpn-instancexxxx//绑定相应的VPN实例
ipaddressx.x.x.xx.x.x.x//配置ip地址数据
arpbroadcastenable//启用接口下的arp广播功能
#
检查方法:
(1)、执行命令displayinterfaceGigabitEthernetX/X/X.xx,检查本次数据配置端口是否UP,且有流量;
(2)执行命令ping-vpn-instancexxxxx.x.x.x测试,检查用户是否可以ping通;
(3)、执行命令dislayarpinterfaceGigabitEthernetX/X/X.xx,检查是否用户ARP表项;
5、 普通用户业务开通
命令格式:
(1)、采用单层vlan终结:
interfaceGigabitEthernetX/X/X.xx//配置业务的子接口,索引号建议采用vlan号
descriptionToDongFangWangLuo-AnDaDaSha-management-IAD//对业务进行详细描述
control-vidxxdot1q-termination//采用单层vlan终结方式,子接口索引号一致
dot1qterminationvidxx//配置需要终结的vlan号
ipaddressx.x.x.xx.x.x.x//配置ip地址数据
arpbroadcastenable//启用接口下的arp广播功能
#
(2)、采用双层vlan终结:
interfaceGigabitEthernetX/X/X.xx//配置业务的子接口,索引号建议采用vlan号
descriptionTojianshedasha-Management-Vlan//对业务进行详细描述
control-vidxxqinq-termination//采用单层vlan终结方式,子接口索引号一致
qinqterminationpe-vidxxce-vidxx//配置需要终结的外层vlan号和内层vlan号
ipaddressx.x.x.xx.x.x.x//配置ip地址数据
arpbroadcastenable//启用接口下的arp广播功能
#
检查方法:
(1)、执行命令displayinterfaceGigabitEthernetX/X/X.xx,检查本次数据配置端口是否UP,且有流量;
(2)执行命令pingx.x.x.x测试,检查用户是否可以ping通;
(3)、执行命令dislayarpinterfaceGigabitEthernetX/X/X.xx,检查是否用户ARP表项;
第三章、ASBR设备配置部分
1、 中继电路开通
命令格式:
interfaceGigabitEthernet1/0/0//本次需要开通的中继端口
descriptionuT:
JL-SNL-CR-1.MAN.NE5000E:
(local)GE2/0/3//端口描述,按照此规则进行描述
undoshutdown//开启此物理端口
ipaddressX.X.X.X255.255.255.252//根据IP地址规划进行互联地址配置
isisenableXXX//在该接口下进行路由协议配置
isiscircuit-typep2p//设备路由协议采用的网络类型
isiscircuit-levellevel-2//配置ISIS路由协议所属的区域
isiscost3000level-2//配置ISIS协议的链路花费COST值
isistimerhello3//配置ISIS协议的Hello时间
traffic-policyVIP-outinbound//引用VIP业务策略进行VIP业务分流
mpls//使能MPLS功能
mplsldp//使能MPLSLDP协议
trustupstreamjl-qos//QOS配置进行拥塞管理
qosqueueefcircir-percentage0pirpir-percentage10outbound
qosqueueaf4circir-percentage1pirpir-percentage10outbound
qosqueueaf1circir-percentage20pirpir-percentage30outbound
qosqueueaf3circir-percentage20pirpir-percentage25outbound
检查方法:
(1)执行命令displayinterfacebrief,查看以太接口的物理状态、链路协议状态、接收和发送方向的带宽利用率及错误报文数等简要信息。
(2)执行命令displayinterface,查看以太网接口/POS接口的物理状态、自协商方式、MTU、IP地址和掩码、工作速率、工作模式、时钟模式等参数。
(3)使用ping命令,测试以太链路的连通性。
正常情况下,应该能够ping通。
(4)执行命令displayisispeer,查看被调测设备的IS-IS邻居信息是否正确。
2、 发布IP地址
VPNV4路由发布命令格式:
bgpx//进入bgp进程
ipv4-familyvpn-instanceXXXX//进行相应的vpn实例
networkx.x.x.xx.x.x.x//通过networ+null方式发布路由聚合后的路由
#
iproute-staticvpn-instanceXXXXx.x.x.xx.x.x.xNULL0preference255//配置IP地址段黑洞路由
#
ipip-prefixxxxxindexxpermitx.x.x.xx//在原来路由发布的前缀列表中添加本次发布的地址段
#
备注:
在ASBR设备上不涉及IPV4路由发布数据配置。
检查方法:
(1)执行命令displayiproutevpn-instanceXXXXx.x.x.xx.x.x.x,检查路由表中是存在本次发布的路由。
(2)进行业务接入进行上网业务测试,看是否可以正常上网。
3、 网络安全加固
按照集团公司要求进行设备安全加固,telnet登录方式严格采用ACL控制,配置syslog的相关数据,在接入端口配置安全加固的策略。
4、 MPLSVPN业务开通
(1)、跨域VPN业务:
需要创建相应的VPN实例,ASBR和CN2PE侧创建BGPVPNV4邻居并且进行路由发布;
(2)、本地VPN业务:
不涉及ASBR数据操作。
第四章、BAS设备配置部分
1、 中继电路开通
配置命令格式:
interfaceGigabitEthernet1/0/0//本次需要开通的中继端口
descriptionuT:
JL-SNL-CR-1.MAN.NE5000E:
(local)GE2/0/3//端口描述,按照此规则进行描述
undoshutdown//开启此物理端口
ipaddressX.X.X.X255.255.255.252//根据IP地址规划进行互联地址配置
isisenableXXX//在该接口下进行路由协议配置
isiscircuit-typep2p//设备路由协议采用的网络类型
isiscircuit-levellevel-2//配置ISIS路由协议所属的区域
isiscost3000level-2//配置ISIS协议的链路花费COST值
isistimerhello3//配置ISIS协议的Hello时间
traffic-policyVIP-outinbound//引用VIP业务策略进行VIP业务分流
mpls//使能MPLS功能
mplsldp//使能MPLSLDP协议
trustupstreamjl-qos//QOS配置进行拥塞管理
qosqueueefcircir-percentage0pirpir-percentage10outbound
qosqueueaf4circir-percentage1pirpir-percentage10outbound
qosqueueaf1circir-percentage20pirpir-percentage30outbound
qosqueueaf3circir-percentage20pirpir-percentage25outbound
检查方法:
(1)执行命令displayinterfacebrief,查看以太接口的物理状态、链路协议状态、接收和发送方向的带宽利用率及错误报文数等简要信息。
(2)执行命令displayinterface,查看以太网接口/POS接口的物理状态、自协商方式、MTU、IP地址和掩码、工作速率、工作模式、时钟模式等参数。
(3)使用ping命令,测试以太链路的连通性。
正常情况下,应该能够ping通。
(4)执行命令displayisispeer,查看被调测设备的IS-IS邻居信息是否正确。
2、 发布IP地址
不涉及此操作,目前吉林省电信各地市公司IPV4路由发布均采用“import-direct”+“import-static”方式;如果在城域网中目前没有发布该地址段,则通过局数据工单申请省公司在CR上进行路由发布。
VPNV4路由则采用在相应的VPN实例下采用“import-direct”+“import-static”方式;如果在城域网中目前没有发布该地址段,则通过局数据工单申请省公司在ASBR上进行路由发布。
3、 网络安全加固
按照集团公司要求进行设备安全加固,telnet登录方式严格采用ACL控制,配置syslog的相关数据,在接入端口配置安全加固的策略。
4、 MPLSVPN业务开通
命令格式:
ipvpn-instancexxxx
route-distinguisherxx:
xx
vpn-targetxx:
xxexport-extcommunity
vpn-targetxx:
xximport-extcommunity
#
interfaceGigabitEthernetX/X/X.xx//配置业务的子接口,索引号建议采用vlan号
descriptionTojianshedasha-Management-Vlan//对业务进行详细描述
control-vidxxqinq-termination//采用单层vlan终结方式,子接口索引号一致
qinqterminationpe-vidxxce-vidxx//配置需要终结的外层vlan号和内层vlan号
ipbindvpn-instancexxxx//绑定相应的VPN实例
ipaddressx.x.x.xx.x.x.x//配置ip地址数据
arpbroadcastenable//启用接口下的arp广播功能
#
检查方法:
(1)、执行命令displayinterfaceGigabitEthernetX/X/X.xx,检查本次数据配置端口是否UP,且有流量;
(2)执行命令ping-vpn-instancexxxxx.x.x.x测试,检查用户是否可以ping通;
(3)、执行命令dislayarpinterfaceGigabitEthernetX/X/X.xx,检查是否用户ARP表项;
5、 Radius认证的PPP拨号
命令格式:
radius-servergroupxx
radius-serverauthenticationx.x.x.x1645weight0
radius-serverauthenticationx.x.x.x1645weight0
radius-serveraccountingx.x.x.x1646weight0
radius-serveraccountingx.x.x.x1646weight0
radius-servershared-keyxxxx//配置radius使用的密钥,要和radius服务器侧保持一致
radius-serverretransmit5timeout10//配置RADIUS报文重传参数。
radius-serverclass-as-car//配置使用Class属性携带CAR值
radius-serversourceinterfaceLoopBack0//配置设备的LOOPBACK0为NAS源地址
undoradius-serveruser-namedomain-included//配置RADIUS报文用户名格式为不带域名
radius-servertraffic-unitkbyte//设置流量单位为Kbyte
#
aaa
authentication-schemeradius
authentication-moderadius
accounting-schemeradius
accounting-moderadius
domainxxx
authentication-schemeradius
accounting-schemeradius
radius-servergroupxx
ip-poolxx
#
InterfaceGigabitEthernetX/X/X.x
pppoe-serverbindVirtual-Template1
user-vlan1001to2000qinq3000
bas
access-typelayer2-subscriberdefault-domainauthe
升级会员 