内容发布更新时间 : 2024/5/4 0:00:06星期一 下面是文章的全部内容请认真阅读。
gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68
dns-server 202.102.227.68 secondary
6、配置域
domain dial
authentication-scheme radius
[该域用名称为RADIUS的SCHEME来进行认证]
accounting-scheme radius service-type hsi
[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial
[指定该域使用的地址池] qos profile 2m
[指定该域使用的QOS模板]
7 为接口指定虚模板接口
interface GigabitEthernet1/0/9.600 pppoe-server bind Virtual-Template 1
8、子接口绑定VLAN
interface GigabitEthernet1/0/9.600 user-vlan 256 1000 QinQ 802
9 配置BAS 接口
interface GigabitEthernet1/0/9.600 bas
access-type layer2-subscriber default-domain authentication dial
2.7 用户认证域选择
1、对于上送用户名带域名的情况,设备将其送入相应的域进行认证。 2、用户VLAN绑定端口认证
access-type layer2-subscriber default-domain authentication dial 对于没有携带域名的用户名,在端口下绑定了相应VLAN,送入该端口下缺省的域进行认证,上述命令中设置缺省域是DIAL域。
2.8 反向路由检测
URPF(Unicast Reverse Path Forwarding)是单播逆向路径转发的简称,其主要功能是防止基于源地址欺骗的网络攻击行为。
之所以称为“逆向”,是针对正常的路由查找而言的。一般情况下,路由器接收到报文,获取报文的目的地址,针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配。如果不匹配,认为源地址是伪装的,丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。源地址欺骗攻击模型如下。
在RouterA(客户网络)所连接的主机上伪造源地址为2.1.1.1的报文,向RouterB发起请求,RouterB回应请求时将向真正的“2.1.1.1”发送报文。这种报文对RouterB和RouterC都造成了攻击。 ME60所支持的URPF
ME60支持对某接口下的所有IP报文通过如下两种方式进行URPF检查:
? 松散检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果存在,则URPF检查通过。
? 严格检查:对于进入该接口的IP报文,ME60检查转发表中是否存在到IP报文源地址的表项。如果不存在,则URPF检查不通过。如果存在,则继续检查该表项的出接口是否为IP报文进入的接口。如果两个接口一致,则URPF检查通过。
ME60还支持对符合某类特征的报文进行URPF检查。此类URPF检查通过基于类的QoS的来实现。配置实现过程如下:
1. 在ME60上创建并配置traffic classifier,设置QoS流分类,用于识别符合某类特征的报文。
2. 在ME60上创建并配置traffic behavior,设置QoS动作为URPF检查。具体请参见“8.2.3 (可选)配置对某类报文进行URPF检查”。
3. 在ME60上创建流量策略traffic policy,设置对某类报文进行URPF检查。
4. 在接口上或者某业务策略中应用该流量策略。也可全局应用该流量策略,此时对所有符合条件的报文进行URPF检查
URPF配置范例
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令interface interface-type interface-number,进入接口视图。 步骤 3 执行命令ip urpf { loose | strict },使能接口URPF功能。
由于ME60拥有2条上行连路,我们建议使用LOOSE方式。 2.9 DHCP RELAY配置
ME60 支持DHCP server 和relay,可以根据需要进行配置,但是因为DHCP 无法进行认证,所以通常把ME60 设置成Relay,由专用的DHCP server 来进行分配地址并通过后台来实现认证。
目前全省机顶盒用户通过DHCP 方式来获取IP 地址,对类型机顶盒用户,也可延用原DHCP relay方式。ME60 作为DHCP relay 来中继机顶盒用户与DHCP 服务器之间的DHCP 连接,
实现机顶盒用户的动态地址分配。
以下是配置范例
步骤 1 配置DHCP服务器 # 配置DHCP服务器组。
[Quidway] dhcp-server group group1
[Quidway-dhcp-server-group-group1] dhcp-server 40.40.40.2 [Quidway-dhcp-server-group-group1] quit # 配置DHCP全局参数。
[Quidway] dhcp invalid-server-detecting 60 [Quidway] dhcp check-server-pkt strict
步骤 2 配置远端地址池
[Quidway] ip pool isp2_pool remote
[Quidway-ip-pool-isp2_pool] gateway 30.30.30.1 255.255.255.0 [Quidway-ip-pool-isp2_pool] dhcp-server group group1 [Quidway-ip-pool-isp2_pool] quit
步骤 3 配置isp2域
[Quidway] aaa
[Quidway–aaa] domain isp2
[Quidway-aaa-domain-isp2] ip-pool isp2_pool 2.10 IP综合网管设备配置要求
2.10.1访问控制列表设置(用于限制远程登录和SNMP采集的访问地址) 地址段范围:
IP网管段:61.163.204.0-61.163.207.255 本地网管段:指本市管理设备时的网管地址段
省网管地址段:218.29.255.0/24
汇地址段:202.111.142.0-202.111.142.63 218.29.0.224-218.29.0.255 全网的互连设备地址段:61.168.254.0/23
我们在配置设备的时候,需要把上述地址段做成ACL,然后应用在VTY接口下。本地市网管地址段请向地市公司索取。
在初期调试的时候,我们可以先不加这些访问控制,以便于远程登录进行设备调试。
2.10.2 TELNET用户名和密码
首先设置本机用户及密码,以用来远程登录设备。
2.10.3 SNMP配置
这是网管系统对网络设备进行管理的主要方式,设备配置信息的获取、设备性能数据的采集、设备端口流量获取都是基于snmp来进行的。因此需要在每台可管理的网络设备中配置只读community,字符串要求8位及以上数字、字母、符号的混编组合。对SNMP的访问源要严格按照第一条进行限制。 配置示例(假IP地址)
[Quidway]snmp-agent community read snmp_ro_password acl 2100 [Quidway]snmp-agent community write snmp_rw_password acl 2100 [Quidway]snmp-agent sys-info version all
[Quidway]snmp-agent target-host trap address udp-domain 211.142.189.39 params
securityname snmp_ro_password
[Quidway]snmp-agent trap enable standard
[Quidway]snmp-agent trap source LoopBack0 [Quidway] acl number 2100
[Quidway -acl-basic-2100]description This acl is used in SNMP [Quidway -acl-basic-2100]rule 10 permit source 211.142.189.39 0
2.10.4 SYSLOG配置
本期项目我们的设备需要向省公司SYSLOG传送log信息,具体规定如下:
配置网络设备发送syslog到网管服务器 汇聚层设备syslog目标:61.163.204.13
Zan/ban/Dslam设备syslog目标:61.163.204.14 级别:warning及其以上 源端口为:Loopback0