资源描述
江西电信BRAS
(华为ME60/MA5200G)
设备配置规范
中国电信江西分公司
2010年11月
目 录
第1章 概述 1
1.1 术语和缩写语表 1
1.2 网络结构说明 3
第2章 IP城域网网络设备命名及链路描述规范 4
2.1 设备命名规范 4
2.1.1 适用范围 4
2.1.2 设备命名规范格式 4
2.2 端口描述规范 5
2.2.1 环回接口描述 5
2.2.2 网络端口描述规范 6
2.2.2.1 适用范围 6
2.2.2.2 端口描述包含下面几部分 6
2.2.3 用户端口 6
2.2.4 关于华为BRAS 上连端口的描述 7
2.2.5 空闲端口描述 7
第3章 华为ME60配置规范 8
3.1 系统基本配置规范 8
3.1.1 设备名称配置 8
3.1.2 系统高可靠性配置 8
3.1.3 设备自身时间及NTP 9
3.1.3.1 时区配置 9
3.1.3.2 NTP配置 9
3.1.3.3 NTP协议加密 10
3.1.3.4 SNTP进程关闭 10
3.1.3.5 配置范例 11
3.1.4 VTY接口配置 11
3.1.4.1 连接数限制 11
3.1.4.2 空闲时间 11
3.1.4.3 访问控制列表 12
3.1.4.4 Console认证配置 13
3.1.4.5 配置范例 13
3.1.5 AAA配置 14
3.1.5.1 概述 14
3.1.5.2 管理AAA配置 14
3.1.5.3 用户AAA配置 16
3.1.5.4 本地用户帐号 18
3.1.5.5 配置范例 19
3.1.6 典型垃圾流量过滤策略 21
3.2 端口配置规范 22
3.2.1 Loopback地址配置 22
3.2.2 GE端口配置 23
3.2.2.1 GE用做上连接口 23
3.2.2.2 GE用做下联接口 23
3.2.2.3 GE拨号下联子接口(dot1Q) 24
3.2.2.4 GE拨号下联子接口(QinQ) 24
3.2.2.5 GE专线下联子接口 25
3.2.2.6 接口uRPF 26
3.2.2.7 hold-time配置 26
3.2.2.8 配置范例 27
3.3 Multi-VR(context)配置 28
3.3.1 VR(context)规划 28
3.3.2 VR(context)接口绑定 28
3.3.3 VR(context)间路由处理 29
3.3.4 Domain配置 29
3.4 路由协议配置规范 31
3.4.1 路由优先级/管理距离 31
3.4.2 静态路由配置 32
3.4.2.1 静态路由配置方式 32
3.4.2.2 黑洞路由配置方式 32
3.4.2.3 浮动静态路由配置方式 33
3.4.3 OSPF配置 33
3.4.3.1 概述 33
3.4.3.2 OSPF进程名 33
3.4.3.3 OSPF ROUTER-ID 34
3.4.3.4 OSPF 时间参数 34
3.4.3.5 OSPF 接口宣告 35
3.4.3.6 OSPF reference-bandwidth 35
3.4.3.7 OSPF负载均衡条目 36
3.4.3.8 OSPF重分布路由 37
3.4.3.9 OSPF AREA规划 37
3.4.3.10 OSPF路由协议优先级 38
3.4.3.11 OSPF log邻居变化信息 38
3.4.3.12 OSPF邻居链路加密 39
3.4.3.13 OSPF链路COST值调整 39
3.4.3.14 配置范例 39
3.4.4 ISIS配置 40
3.4.4.1 概述 40
3.4.4.2 ISIS进程名 40
3.4.4.3 ISIS NET ID 41
3.4.4.4 ISIS路由类型及Metric类型 41
3.4.4.5 路由协议优先级 42
3.4.4.6 ISIS log邻居变化信息 42
3.4.4.7 ISIS 邻居链路加密 43
3.4.4.8 ISIS负载均衡条目及其他 43
3.4.4.9 ISIS接口宣告 44
3.4.4.10 配置范例 44
3.4.5 BGP配置 45
3.4.5.1 概述 45
3.4.5.2 自治系统 45
3.4.5.3 BGP路由引入策略 46
3.4.5.4 BGP router-id配置 46
3.4.5.5 BGP log邻居变化信息 46
3.4.5.6 关闭BGP同步和自动汇总 47
3.4.5.7 BGP邻居MD5加密 47
3.4.5.8 BGP时间参数 47
3.4.5.9 BGP Peer group命名 48
3.4.5.10 BGP community 属性规划 48
3.4.5.11 BRAS BGP 路由策略 49
3.4.5.12 配置范例 50
3.5 用户策略配置 51
3.5.1 IP Pool配置 51
3.5.2 DNS配置 51
3.5.3 用户限速配置 52
3.5.4 页面推送配置 53
3.5.5 配置范例 53
3.6 MPLS VPN配置规范 54
3.6.1 MPLS配置 54
3.6.1.1 全局开启MPLS功能 54
3.6.1.2 LDP router-id 54
3.6.1.3 LDP协议加密 55
3.6.1.4 LDP标签发布和管理 56
3.6.1.5 LDP标签过滤 57
3.6.1.6 LDP协议时间参数 57
3.6.2 MP-BGP配置 58
3.6.2.1 概述 58
3.6.2.2 MP-BGP 部署策略 58
3.6.2.3 BGP router-id配置 59
3.6.2.4 BGP log邻居变化信息 60
3.6.2.5 关闭BGP同步和自动汇总 60
3.6.2.6 BGP时间参数 60
3.6.2.7 BGP Peer group命名 61
3.6.2.8 BGP邻居MD5加密 61
3.7 网管配置 62
3.7.1 SNMP管理代理配置 62
3.7.1.1 全局开启SNMP进程 62
3.7.1.2 SNMP版本 63
3.7.1.3 RO Community值 63
3.7.1.4 RW Community值 64
3.7.1.5 SNMP访问控制列表 64
3.7.1.6 Ifindex索引一致性 65
3.7.1.7 配置范例 66
3.7.2 故障管理配置 66
3.7.2.1 SNMP TRAP信息内容 66
3.7.2.2 SNMP TRAP 服务器地址 67
3.7.2.3 SNMP TRAP消息源地址 67
3.7.2.4 SYSLOG服务器地址 67
3.7.2.5 SYSLOG信息级别 67
3.7.2.6 SYSLOG消息源地址 68
3.7.2.7 配置范例 68
3.7.3 关闭不需要的服务 68
3.8 H-QoS配置规范 69
3.9 业务配置实例 69
3.9.1 拨号业务配置实例 69
3.9.2 专线业务配置实例 70
3.9.3 @10000业务配置实例 72
3.9.4 IPTV业务配置实例(参考) 73
3.9.5 Wlan无线共享和C+W业务配置规范 75
3.9.6 VPN业务配置实例 83
3.9.6.1 VPDN业务配置实例(参考) 83
3.9.6.2 MPLS VPN业务配置实例(参考) 85
3.10. 安全加固配置 87
3.10.1. 关闭IP直接广播 87
3.10.2. 拉圾过虑(上行口出入方向ACL) 88
3.10.3. 私网流量过滤 89
3.10.4. Syslog安全 89
3.10.5. NTP部署 90
3.10.6. 关闭控制层面未用服务 90
3.10.7. telnet 防护 90
3.10.8. 关闭未使用的服务 90
3.10.9. 密码加密 91
3.10.10. SNMP 安全 91
第1章 概述
为保证城域网的运行质量,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对城域网BRAS网络设备的网络配置予以规范化。
本课题涉及的对象就是城域网网络设备配置的相关规范标准,目的是为城域网维护人员提供实用维护工具。考虑到城域网网络设备维护分工明确,配置规范按分册进行编写,本篇只针对城域网核心层路由器设备制定相关配置规范。
本文主要内容安排如下:
1. 介绍城域网优化目标网络结构以及路由器在城域网中的功能定位;
2. 从网络配置方面阐述配置说明以及规范要求,并给出主流路由器型号设备的配置示例。针对路由器设备,网络配置主要包括系统基本配置、端口配置、安全配置、网管配置等。
3. 提出文档维护和执行的管理要求。
1.1 术语和缩写语表
本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
AAA
Autentication Authorization and Accounting 认证、授权与计费
ACL
Access Control List 访问控制列表
AS
Autonomous System 自治系统
BGP
Boarder Gateway Protocol 边界网关协议
CAR
Committed Access Rate 承诺访问速率
CE
Customer Edge 客户边缘设备
D
Core Router 核心路由器
DDoS
Distributed Deny of Service 分布式拒绝服务攻击
DiffServ
Differentiated Services 差分服务
DSCP
Differentiated Service Code Point 差分服务代码点
FRR
Fast Re-route 快速重路由
GE
Gigabyte Ethernet 千兆以太网
GR
Graceful Restart 平滑重启动
HA
High Availability 高可用性
HDLC
High Data Link Control 高级数据链路控制
H-QOS
Hierarchical Quality of Servie
IP
Internet Protocol 互联网协议
ISIS
Inter System to Inter System 中间系统到中间系统
LDP
Label Distribution Protocol 标记分发协议
LSP
Label Switching Path 标记转发路径
LSR
Label Switch Router 标记交换路由器
MP-BGP
Multi-protocol Boarder Gate Protocol 多协议边界网关协议
MIB
Management Information Base 管理信息库
MPLS
Multiple Protocol Label Switching 多协议标签交换
NSF
Non stop Fowarding 不间断转发
NSR
Non stop Routing 不间断路由
NTP
Network Time Protocol
OAM
Operation Administration and Maintenance 操作维护管理
OSPF
Open Shortest Path First
PE
Provider Edge 运营商边缘设备
POS
Packet over SDH SDH封装数据包
PPP
Point to Point Protocol 点到点协议
QoS
Quality of Service 服务质量
RR
Route Reflector 路由反射器
RSVP
Resource Reservation Protocol 资源预留协议
SDH
SymMetric Digital Hierarchy 同步数字序列
SNMP
Simple Network Management Protocol 简单网络管理协议
SR
Service Router 业务路由器
TCP
Transfer Control Protocol 传输控制协议
TE
Traffic Engineering 流量工程
UDP
User Data Protocol 用户数据报协议
uRPF
Reverse Path Fowarding 反向路径转发
VPLS
Virtual Private LAN Service 虚拟专用局域网业务
VPN
Virtual Private Network虚拟专用网
VRF
Virtual Routing and Forwarding 虚拟路由转发实例
VRRP
Virtual Routing Redundancy Protocol 虚拟路由冗余协议
上行流量
用户发出的流量
下行流量
用户收到的流量
……
……
1.2 网络结构说明
经过城域网改造扩容后,目标网络结构如下图所示。IP 城域网包括城域骨干网和宽带接入网,其中城域骨干网是业务接入控制点(包括BRAS 和SR)及控制点以上的城域网核心路由器组成的三层路由网络,划分为核心层和业务接入控制层两层。业务接入控制层承接宽带接入网和城域骨干网,负责实现集中的业务提供和控制,BRAS 和SR 作为业务接入控制层组成部分,是IP 城域网实现“用户可识别、业务可区分、质量可控制、网络可管理”的转型目标的重要环节。
第2章 IP城域网网络设备命名及链路描述规范
2.1 设备命名规范
2.1.1 适用范围
本部分规定的IP城域网设备命名规范,适用于IP城域网内以下设备:
Ø 出口核心路由器
Ø 普通核心路由器
Ø BRAS
Ø SR
Ø 汇聚交换机
Ø 园区交换机
Ø 楼道交换机
Ø DSLAM
2.1.2 设备命名规范格式
城市缩写
-
节点缩写
-
设备属性
-
设备编号
.
网络(业务)类型
.
自定义字段
符号
字符
字符
字符
字符
字符
字符
数字
字符
字母
字母
字母
字符数
<8
1
<8
1
固定
1
1
1
1
1
≤5
选项
必选
必选
必选
必选
必选
必选
必选
必选
必选
可选
可选
Ø 字母大小各市需要采用统一标准,全部大写。
Ø 两端、中间不带任何空格。
Ø 城市标识,取城市名称拼音的首字母大写,郊市区节点标识前统一增加郊市区名称拼音的首字母:如
九江:JJ
南昌:NC
吉安:JA
赣州:GZ
抚州:FZ
Ø 设备属性标识,规定如下
出口路由器:D
核心路由器:GSR
BRAS:BAS
业务路由器:SR
Ø 设备序号,取阿拉伯数字,从1开始。同节点的相同属性的设备间以设备序号区别。
Ø 网络类型:Mnet(城域网)
I(IDC )
N(NGN)
Ø 自定义字段,可以加入网络子类型及设备型号等内容。
例子:
示例1:城域网出口路由器,南昌孺子路,第一台核心路由器,命名为
r1-c-ncrzl-1.Mnet
注:设备名称后的字段可以根据实际需要,允许地市增加设备型号,但是要求尽量简洁。增加设备型号后,完整的设备命名格式为“设备名称”+“.”+“设备类型简写”,如GZ_NM_S6506R_01。
地市设备命名务必在国信朗讯等相关资源系统中一一对应,方便查询和识别。
2.2 端口描述规范
2.2.1 环回接口描述
To
空格
功能描述
符号
字符
字符
字符串
字符数
3
1
≤30
选项
必选
必选
必选
说明:
To:固定字符串。
功能描述:描述该loopback端口特殊功能,为有意义的英文字符串。如:Management、Multicast、VPN、Global Routing、BGP Load balance等。
interface Loopback0
DesDiption To LOOPBACK
ip address 202.97.36.86 255.255.255.255
2.2.2 网络端口描述规范
2.2.2.1 适用范围
本部分适用于城域网设备的互连接口描述
2.2.2.2 端口描述包含下面几部分
对端设备名称
设备类型描述
空格
链路带宽
::
对端端口名称
符号
字符
字符
字符
字符
字符
字符
字符数
≤20
≤10
1
≤5
2
≤20
选项
必选
可选
必选
必选
必选
必选
上表中“::”后“对端端口名称”要根据对端不同设备类型进行区分规范,具体区别如下表:
Juniper-TX
阿朗
Redback
Juniper-ERX
华为
Cisco
POS(10G/40G)
so-*/*/*
so-*/*/*
so-*/*/*
POS*/*/*
POS*/*/*
POS*/*/*
以太(GE/10GE)
ge-*/*/*
ge-*/*/*
ge-*/*/*
GI*/*/*
GI*/*/*
GI*/*/*
示例:
description To JX-NC-ECL-D-3.163 10G(S-64N0001IP)
2.2.3 用户端口
对于连接用户的接口或子接口,最前面为添加本地专线号,如果是长途VPN电路,需要添加本地接入电路号(比如赣州CTVPN52127A)。另外,建议添加用户名称等如下信息。
格式: 专线号 To用户标识
本地专线号或者接入电路号
空格
To
空格
用户标识
空格
分配带宽
符号
字符
字符
字符
字符
字符
字符
字符
字符数
根据实际情况
1
2
1
≤20
1
≤5
选项
必选
必选
必选
必选
必选
必选
必选
2.2.4 关于华为BRAS 上连端口的描述
Ø 将二层接口的描述按照网络端口描述规范执行
Ø 将三层接口名称描述,后面添加子接口号
ge2/0/0.300
Ø 将三层子接口描述和相应的二层接口描述一致。
例子:上行GE二层描述:
Inter Gigebitethernet 1/1
desDiption TO:GZ-SN-GSR-1.M.GSR12816 1G::GI1/1/4"
三层子接口描述:与三层子接口对应的ip地址端口配置:
interface ge-1/1.190
desDiption TO:GZ-SN-GSR-1.M.GSR12816 1G::GI1/1/4
ip address 202.104.165.30/30
2.2.5 空闲端口描述
规范要求设备上的所有端口均需要配置描述,对于设备上空闲未用的端口统一描述内容为no-use,便于网管监控。
示例:
某城域网XX节点SE800空闲GE端口2/8描述:
port ethernet 2/8
desDiption no-use
第3章 华为ME60配置规范
3.1 系统基本配置规范
3.1.1 设备名称配置
配置说明:
规范设备命名,唯一性标识城域网中的每台设备,用于对城域网的每台设备进行区分,方便设备管理,提高可读性和可管理性。
规范要求:
设备名称要求符合第二章中“IP城域网网络设备命名及链路描述规范”中规定。
配置规范:
Sysname GZ-SN-BRAS-ME60-01
配置验证:
配置后立即生效,设备名称显示在配置命令行的左边。
3.1.2 系统高可靠性配置
配置说明:
配置系统引擎冗余模式。
规范要求:
打开自动切换,要求采用最优切换方式
配置规范:
华为ME60两块引擎之间的备份机制是系统自动的,在Master引擎故障的情况下,Slave会立刻自动将自己切换为Master引擎,无需命令配置。
配置验证:
display device #显示2块MPU为1个为Master状态,一个为Slave状态
display switchover state #显示备份状态,当状态为“Info:HA FSM State, Realtime and routine backup.”时即表示可以进行主备切换,当状态为主备引擎正在同步时,切换可能会有问题
配置注意细节:
无。
3.1.3 设备自身时间及NTP
NTP实现网络设备时间同步功能,与时间有关的应用,例如Log信息,基于时间限制带宽等,都需要基于正确的时间。
3.1.3.1 时区配置
配置说明:
统一设备的时区配置。
规范要求:
配置系统时区为GMT+8,北京时区。
配置规范:
对于Version 5.30 版本配置如下:
clock timezone Beijing add 08:00:00 #在用户模式下配置
对于Version 5.50 版本配置如下:
clock timezone Beijing minus 08:00:00 #在用户模式下配置
配置验证:
display clock
配置注意细节:
无。
3.1.3.2 NTP配置
配置说明:
使用NTP同步网络上所有设备的时间,保证网络设备得到正确的时间。
规范要求:
配置主和备两组NTP服务器。
城域网NTP配置为两级结构,出口路由器配置与省网NTP SERVER 202.97.32.156/157同步时钟,出口以下设备则配置向出口路由器进行时钟同步。
配置现网设备NTP协议版本为V3。
指定本地发出NTP消息的接口。
配置规范:
ntp-service source-interface LoopBack0
ntp-service unicast-server 202.97.32.156 preference #优选其中一台出口为NTP SERVER
ntp-service unicast-server 202.97.32.157 #另一台出口为备用NTP SERVER
配置验证:
display clock
display ntp-service status
display ntp-service session
配置注意细节:
地市出口直接用202.97.32.156/157,出口以下设备以出口为服务器为NTP server。
ME60默认NTP协议版本号为V3,不需特别配置版本信息。
3.1.3.3 NTP协议加密
配置说明:
配置NTP协议加密,防止伪造NTP源引起设备时间错误。
规范要求:
现阶段NTP协议均不使用使用加密。
配置规范(参考):
ntp-service authentication enable
ntp-service authentication-keyid 11 authentication-mode md5 “xxx” #key
ntp-service reliable authentication-keyid 11
配置验证:
display clock
display ntp-service status
display ntp-service session
配置注意细节:
无。
3.1.3.4 SNTP进程关闭
配置说明:
SNTP是NTP协议的的一个改写本,相比NTP协议实现更简单,但精确度要低,不能同时与多个Server同步时间。关闭SNTP协议,可防止基于SNTP漏洞的攻击。
规范要求:
出口路由器配置使用NTP协议同步时间,而不是使用SNTP协议。已配置了使用SNTP协议同步时间的,应更改SNTP协议为NTP协议。
配置规范:
ME60不支持SNTP协议,不需要关闭SNTP协议。
3.1.3.5 配置范例
clock timezone Beijing add 08:00:00 #时区设置(用户视图)
ntp-service unicast-server *.*.*.* preference #优选其中一台出口为NTP SERVER
ntp-service unicast-server *.*.*.* #另一台出口为备用NTP SERVER ntp-service source-interface loopback 0 #NTP消息源地址
3.1.4 VTY接口配置
3.1.4.1 连接数限制
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
规范要求:
配置GSR路由器并发连接数限制为10
配置规范:
user-interface maximum-vty 10
配置验证:
display user-interface maximum-vty
配置注意细节:
无
3.1.4.2 空闲时间
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
规范要求:
对VTY, Console登录超时设置进行配置,设置空闲时间为10分钟。
配置规范:
user-interface console 0
idle-timeout 10 0
user-interface vty 0 4
idle-timeout 10 0
配置验证:
disp curr | b user-interface
配置注意细节:
华为设备默认超时时间即为10分钟,配置后也不会显示配置。
3.1.4.3 访问控制列表
配置说明:
限制Telnet/SSH登录网络的源地址,从而增强设备的安全性,最大限度防止非法登陆尝试。
规范要求:
配置Telnet/SSH源地址限制,包含省公司3个地址段(202.109.128.0 /24,202.97.32.0/19,202.97.30.0 /24)和IP综合网管及前置机网段:117.21.127.0/24。
Telnet/SSH访问控制列表条目从10,条目的间隔步长为10,在访问控制列表的最后显示配置一条deny any any语句。
配置规范:
acl number 2001
rule 10 permit source 202.109.128.0 0.0.0.255
rule 20 permit source 202.97.32.0 0.0.31.255
rule 30 permit source 202.97.30.0 0.0.0.255
rule 40 permit source 117.21.127.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface vty 0 9
authentication-mode aaa #设置VTY口登录用户的验证方式为AAA
protocol inbound all #允许SSH协议登陆
acl 2001 inbound
stelnet server enable #打开SSH功能
ssh authentication-type default password #通过AAA认证
rsa local-key-pair Deate #生成RSA密钥
配置验证:
disp acl 2001
disp curr | beg user-interface
配置注意细节:
华为设备Telnet ACL统一使用编号2001。
3.1.4.4 Console认证配置
配置说明:
设置console认证密码,从而增强设备的安全性,防止非法登陆,同时关闭AUX端口。
规范要求:
配置console采用本地密码认证方式,密码采用NOC专用密码,关闭AUX端口。
配置规范:
user-interface con 0
authentication-mode password #设置Console口登录用户的验证方式为password
set authentication password cipher *********
int aux0/0/1 #关闭AUX口
shutdown
配置验证:
disp curr | b user-interface
配置注意细节:
无
3.1.4.5 配置范例
acl number 2001
rule 10 permit source 202.109.128.0 0.0.0.255
rule 20 permit source 202.97.32.0 0.0.31.255
rule 30 permit source 202.97.30.0 0.0.0.255
rule 40 permit source 117.21.127.0 0.0.0.255
rule 50 permit source X.X.X.X X.X.X.X #地市网管地址段
rule 99 deny source any
#
user-interface maximum-vty 10 #连接数限制
user-interface con 0
authentication-mode password #设置Console口登录用户的验证方式为password
set authentication password cipher ********
user-interface vty 0 9
authentication-mode aaa #设置VTY口登录用户的验证方式为AAA
acl 2001 inbound
int aux0/0/1 #关闭AUX口
shutdown
3.1.5 AAA配置
3.1.5.1 概述
BRAS统一验证配置分成管理AAA配置和用户AAA配置,二种配置使用不同的统一验证方法。
管理AAA使用Tacacs+统一验证,
用户AAA使用Radius统一验证,全省统一大后台。
3.1.5.2 管理AAA配置
配置说明:
配置管理AAA的认证方式
配置管理AAA的授权方式
配置管理AAA的计费方式
配置管理AAA认证服务器地址及参数
配置管理AAA授权服务器地址及参数
配置管理AAA计费服务器地址及参数
配置Tacacs+协议加密key。
配置Tacacs+ update 源地址
规范要求:
管理AAA采用tacacs+统一验证方式
设置统一的tacacs+服务器地址为:主用117.21.127.10,备用(待定)。
设置tacacs+密钥为:cisco12416
配置认证方式为先本地对用户信息进行认证,后通过Tacacs+服务器。
配置授权方式为先TAC授权,后本地授权,配置后设备本地帐号将不可用。
配置计费方式为不计费。
Tacacs+ update 源地址设置建议采用路由器的loopback0地址。
配置规范:
#配置HWTACACS服务器模板tacacs,源地址为设备LOOPBACK0地址,密钥为cisco12416,用户名格式中不包括域名。
hwtacacs-server template tacacs
hwtacacs-server authentication 117.21.127.10
hwtacacs-server authentication X.X.X.X secondary
hwtacacs-server authorization 117.21.127.10
hwtacacs-server authorization X.X.X.X secondary
hwtacacs-server accounting 117.21.127.10
hwtacacs-server accounting X.X.X.X secondary
hwtacacs-server source-ip X.X.X.X
hwtacacs-server shared-key cisco12416
undo hwtacacs-server user-name domain-included
aaa #进入AAA视图
#配置认证方案tacacs,认证模式为先本地认证,后HWTACACS认证。
authentication-scheme tacacs
authentication-mode local-hwtacacs
#配置计费方案tacacs,计费模式为不计费。
accounting-scheme tacacs
accounting-mode none
#配置授权方案tacacs,由于采用先hwtacacs后local的方式只有hwtacacs失效的情况下本地账号才能登陆,所以暂时考虑用none模式,避免3A异常本地账号也无法登陆。
authorization-scheme tacacs
authorization-mode none
#配置缺省的管理员域default_admin,域的认证方案、计费方案、授权方案名称都为tacacs,域的用户可以作为管理员登录BRAS,管理员级别为3。
domain default_admin
authentication-scheme tacacs
accounting-scheme tacacs
adminuser-priority 3
hwtacacs-servertacacs
authorization-scheme tacacs
配置验证:
display authentication-scheme tacacs
display accounting-scheme tacacsc
display authorization-scheme tacacs
display hwtacacs-server template tacacsc
display domain name default_admin
dis current-configuration | inc tacacs
配置注意细节:
华为BRAS备选授权方式为authorization-mode none,即用户认证后直接授权通过。此时AAA和本地帐号同时生效,但无法通过AAA为用户授权,用户认证通过后即具备最高管理员权限。
3.1.5.3 用户AAA配置
配置说明:
配置用户的认证方式
配置用户的计费方式
配置用户认证服务器地址及参数
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
