一、路由配置
ip route-static 0.0.0.0 0.0.0.0 222.168.135.249 preference 60
为设备添加指定路由,默认优先级为60
二、网管配置
snmp-agent
指定SNMP配置信息
snmp-agent local-engineid 000007DB7F00000179AE
设置本地SNMP实体的引擎IDtreatment
例:acl number 2999
rule 5 permit source 222.168.55.27 0
rule 10 permit source 222.168.107.18 0
snmp-agent community read ping2 acl 2999(配置次命令前需要配置相对的ACL)
Undo snmp-agent community write 100wxs9dj
全网删除该团体名。
the flavor of lifesnmp-agent sys-info location JiLinShi-ChangYiQu-DaLin-XQ
大学英语四级真题下载指定用于SNMP的地理位置
snmp-agent sys-info version v2c
指定支持SNMP的协议版本为v2c
undo snmp-agent sys-info version v3
取消V3 为SNMP协议版本
snmp-agent target-host trap address udp-domain 222.168.107.6 params curityname ping2 v2c
指定用于SNMP消息产生的传输地址(N2000)网管
snmp-agent target-host trap address udp-domain 222.168.55.20 params curityname ping2
指定用于SNMP消息产生的传输地址(ITE)网管
snmp-agent trap enable
指定SNMP 开启陷阱/通知命令组
snmp-agent trap source Vlan-interface管理Vlan
三、网络安全
园区汇聚交换机
1>防病毒配置
2>删除多余账号
3>关闭Ftp功能
4>全局下开启NDP;NTDP,BPDU,cluster。
5>上行端口关闭ndp、ntdp,
6>删除下行端口报文限制
7>不带业务的下行端口要清除配置然后shutdown 。
因全网除S2000C系列交换机外都已做完端口限速,所以全网删除下行端口报文限速。
7>全局下开启环路检测
loopback-detection enable
全局下关闭环路控制
端口下关闭环路控制
undo loopback-detection control enable
8>登陆配置
新建acl number 2000(基本的ACL 2000-2999)
rule 0 permit source 222.168.107.18 0外语教育机构
rule 5 permit source 222.168.124.54 0
ur-interface aux 0
authentication-mode aaa
设置本地登陆验证
ur-interface vty 0 4
acl 2000 inbound
登陆时使用基本的ACL规则(只允许以上2个IP段位的地址登录)
authentication-mode aaa
protocol inbound telnet
登陆方式为telnet
idle-timeout 3 0
指定用户登陆超时时间
9>删除冗余数据
四、时间配置
ntp-rvice unicast-rver 北大街/邮政/枢纽楼MA5200G(ME60)地址source-interface Vlan-interface 管理Vlan
与其时间同步
五、访问控制配置
设备病毒访问控制列表核对后较完整的ACl
acl number 3000
rule 1 deny udp source any destination any destination-port eq tftp
rule 2 deny udp source any destination any destination-port eq 135
rule 3 deny tcp source any destination any destination-port eq 135
rule 4 deny udp source any destination any destination-port eq netbios-ns
rule 5 deny udp source any destination any destination-port eq
netbios-dgm
rule 6 deny udp source any destination any destination-port eq
netbios-ssn
rule 7 deny tcp source any destination any destination-port eq 139
rule 8 deny udp source any destination any destination-port eq 445
研究生英语rule 9 deny tcp source any destination any destination-port eq 445
rule 10 deny tcp source any destination any destination-port eq 455
rule 11 deny udp source any destination any destination-port eq 455
rule 12 deny udp source any destination any destination-port eq 593
rule 13 deny tcp source any destination any destination-port eq 593
rule 14 deny tcp source any destination any destination-port eq 1022
rule 15 deny tcp source any destination any destination-port eq 1023
rule 16 deny tcp source any destination any destination-port eq 1025
总会计师
rule 17 deny tcp source any destination any destination-port eq 1068
rule 18 deny tcp source any destination any destination-port eq 1433
rule 20 deny tcp source any destination any destination-port eq 1871
rule 21 deny tcp source any destination any destination-port eq 2745
rule 22 deny tcp source any destination any destination-port eq 3127 rule 23 deny tcp source any destination any destination-port eq 3208 rule 24 deny tcp source any destination any destination-port eq 4331 rule 25 deny tcp source any destination any destination-port eq 4334 rule 26 deny udp sour
ce any destination any destination-port eq 4334 rule 27 deny tcp source any destination any destination-port eq 4444 rule 28 deny tcp source any destination any destination-port eq 4510 rule 29 deny tcp source any destination any destination-port eq 4557 rule 30 deny tcp source any destination any destination-port eq 5554 rule 31 deny tcp source any destination any destination-port eq 5800 rule 32 deny tcp source any destination any destination-port eq 5900 rule 33 deny tcp source any destination any destination-port eq 6129 rule 34 deny tcp source any destination any destination-port eq 6667 rule 35 deny tcp source any destination any destination-port eq 9995 rule 36 deny tcp source any destination any destination-port eq 9996 rule 37 deny tcp source any destination any destination-port eq 10080
全网删除ACL 3000内端口号为1434
ACL number 3000 视图下删除 rule XX(符合1434端口号的规则号)
六、网络管理配置
interface Vlan-interface管理Vlan
ip address X.X.X.X X.X.X.X
配置登陆地址
七、VLAN配置
1.非QInQ
than
VLAN X
创建vlan 范围vlan 1~4094
Vlan使用依据资源管理分配
简介 英文
2.QinQ
vlan disable 后IAD Vlan 不用单独创建
八、端口配置
1. 园区汇聚设备QinQ 单链路上行
全局下禁用vlan 功能vlan disable
全局下开启访问管理am enable
设置端口属性为TRUNK
3328交换机端口不用配置port link-type trunk 可以直接配置port trunk命令
删除端口VLAN ID
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 管理Vlan
设置端口允许通过的pvid
port trunk pvid vlan 4094
上行端口关闭NDP ,BPDU,NTDP 协议,下行端口开启NDP ,BPDU,NTDP 协议undo loopback-detection control enable
上行端口关闭环路控制
description To JL-JL-XX-JF-S3552F/EA-1.MAN EX/X/X 速率
上行端口描述
2>下行端口
进入下行端口
interface Ethernet0/0/2
端口描述
description To XX-XQ-X#-HW-S2024C-E1/1 速率
九、设备及VLAN 命名
设备命名大写简拼省-市-地区-交换机型号-序号
JL-JL-YZ-S3026E/FS-01.MAN
十、端口、VLAN描述
端口描述:description To JL-JL-YZ-S3026E/FS-01.MAN E0/2 100M
描述设备间连接的端口信息
description To Baofeng-natbar 100M
描述下接客户的端口信息
VLAN描述:VLAN description BanGongWang
描述VLAN使用的信息
十一、集群
1.集群名称采用机房名称缩写。
例如人才机房S3026E/FS-3 build RC
2.集群地址段与设备编号相同。
例如人才机房S3026E/FS-3 ip-pool 192.168.3.1 255.255.255.0
3.集群成员编号排列按照楼道交换机所占用园区交换机的端口号排列
如楼道交换机占用园区汇聚交换机的E0/10
序列号英文则集群排列编号为10
命令add-member 10 mac-address 交换机Mac地址
如楼道交换机占用园区汇聚交换机的E2/1
则集群排列编号为19
命令add-member 19 mac-address 交换机Mac地址
4. 集群成员交换机如果为级联交换机,该设备集群编号应从25起并向后延续。十二、下行端口应用防病毒列表
traffic classifier FangBingDu
if-match acl 3000
英汉互译字典
traffic behavior FangBingDu
deny
traffic policy FangBingDu
classifier FangBingDu behavior FangBingDu
配置FangBingDu 的策略、行为和类型。
在下行端口入方向应用FangBingDu
traffic-policy FangBingDu inbound
