文档名称 文档密级：

ftp server enable ssh server enable

2.1.5 对管理员地址范围进行限定 定义访问控制列表： Acl 2000

rule 5 permit ip source 10.1.1.1 255.255.255.255 rule 10 permit ip source 10.1.1.2 255.255.255.255 rule 15 permit ip source 10.1.1.3 255.255.255.255 进入USER-INTERFACE User-interface vty 0 4 Acl 2000 in

2.1.6 timeout 时间设置 空闲过时设置

User-interface vty 0 4 Idle-timeout 5

当telnet 会话在5 分钟内没有输入时timeout 退出

2.1.7 ACL 配置范例

Acl 2000至2999为基本ACL，只能够定义源地址；3000-3999为扩展ACL，能够依照五元组进行定义

1、配置管理ACL范例： Acl 3000

rule 5 permit ip source 218.29.255.0 0.0.0.255 any //省网管；

rule 10 permit ip source 123.234.255.126 0.0.0.0 destination any //BAS（SE800）网管服务器地址；

rule 15 permit ip source host 221.13.223.140 destination any //RADIUS 服务器地址；

2020-3-1

华为机密，未经许可不得扩散

第9页, 共75页

文档名称 文档密级：

rule 20 permit ip source 218.29.0.128 0.0.0.31 destination any //郑州分公司-1； rule 25 permit ip source 218.29.221.1 0.0.0.127 destination any //郑州分公司-2； rule 30 deny tcp source any destination any eq telnet rule 35 deny tcp source any destination any eq ssh rule 40 deny tcp source any destination any eq ftp rule 45 deny tcp source any destination any eq ftp-data rule 50 deny udp source any destination any eq tftp rule 55 deny udp source any destination any eq snmp rule 60 deny udp source any destination any eq snmptrap rule 65 permit ip any any 进入telnet 用户接口 User-interface vty 0 4 Acl 3000 in

2、配置普通ACL并应用范例

acl number 3001 rule 5 permit ip #

acl number 6000 match-order auto

rule 5 deny tcp destination-port eq 135 rule 10 deny tcp destination-port eq 136 rule 15 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 25 deny tcp destination-port eq 139 rule 30 deny tcp destination-port eq 445 rule 35 deny tcp destination-port eq 4444 rule 40 deny udp destination-port eq 445

rule 45 deny udp destination-port eq netbios-ssn rule 50 deny udp destination-port eq netbios-dgm rule 55 deny udp destination-port eq 135

rule 60 deny udp destination-port eq netbios-ns rule 65 deny tcp destination-port eq 2745 rule 70 deny tcp destination-port eq 3127 rule 75 deny tcp destination-port eq 593 rule 80 deny tcp destination-port eq 6129 rule 85 deny udp destination-port eq 1434

rule 90 deny ip source user-group help destination ip-address any

2020-3-1

华为机密，未经许可不得扩散

第10页, 共75页

文档名称 文档密级：

rule 95 deny ip source user-group iptv destination ip-address any

[ACL6000是一个用户ACL，前面定义了防病毒部分，最后两条定义了HELP以及IPTV里面的用户不能访问任何地址]

#

acl number 6001

rule 5 permit ip source user-group iptv destination ip-address 202.102.249.0 0.0.0.255

rule 10 permit ip source user-group iptv destination ip-address 61.168.222.0 0.0.1.255

rule 15 permit ip source user-group iptv destination ip-address 61.168.224.0 0.0.3.255

rule 20 permit ip source user-group iptv destination ip-address 61.168.228.0 0.0.1.255

rule 25 permit ip source user-group iptv destination ip-address 61.158.216.0 0.0.1.255

rule 30 permit ip source user-group iptv destination ip-address 61.158.218.0 0.0.0.255

rule 35 permit ip source user-group iptv destination ip-address 202.102.224.68 0

rule 40 permit ip source user-group iptv destination ip-address 202.102.227.68 0

[定义了IPTV用户组里的用户可以访问的地址]

#

acl number 6002 match-order auto

rule 5 permit ip source user-group help destination ip-address 218.29.0.252 0 rule 10 permit ip source user-group help destination ip-address 202.102.224.68 0

rule 15 permit ip source user-group help destination ip-address 202.102.227.68 0

[定义了HELP用户组里的用户可以访问的地址]

#

traffic classifier limit operator or if-match acl 6000

traffic classifier action operator or if-match acl 6002 if-match acl 6001

[定义了3个流量分类，分别匹配3个ACL，会和后面的流量动作配置组成策略。这部分与思科设备通过配置ROUTE-MAP定义策略路由很类似] #

traffic behavior limit deny

traffic behavior action

[定义流量动作，后面定义策略的时候与流量分类相关联]

2020-3-1

华为机密，未经许可不得扩散

第11页, 共75页

文档名称 文档密级：

#

traffic policy limit

classifier action behavior action classifier limit behavior limit

[定义流量策略，第一条名为ACTION的分类中匹配到的报文，执行名为ACTION的流量动作中所定义的动作，就是允许，第二条行为类似，但动作是拒绝。需要注意，两条策略的顺序不能反，否则所有流量都会被拒绝]

traffic-policy limit inbound traffic-policy limit outbound

[由于上述策略都是针对用户侧的用户定义的，所以需要在全局下下发]

如果流量策略需要在网络侧端口下发，只需要在相应端口下饮用traffic-policy即可。

2.1.8 用户域基本配置 1、定义用户域

domain dial

authentication-scheme radius

[该域用名称为RADIUS的SCHEME来进行认证]

accounting-scheme radius service-type hsi

[将该域的模式配置成HIS模式，PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组] ip-pool dial

[指定该域使用的地址池] qos profile 2m

[指定该域使用的QOS模板]

2、定义地址池 ip pool dial local

gateway 61.168.104.1 255.255.248.0 section 0 61.168.104.2 61.168.111.254 excluded-ip-address 61.168.104.2 conflict-ip-address 61.168.108.187 dns-server 202.102.224.68

dns-server 202.102.227.68 secondary

[定义地址池，包括网关，可分配地址范围，不能被分配的地址以及DNS等参数，地址池会被后面的域所引用，以给用户分配地址]

一个用户域下可以定义多个地支持，当一个用完时系统可以选择分配另外一个地支持中的地

2020-3-1

华为机密，未经许可不得扩散

第12页, 共75页