欢迎来到天天文库
浏览记录
ID:14322094
大小:232.50 KB
页数:7页
时间:2018-07-27
《ngn核心网配置指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
NGN核心网配置指南内部公开产品名称Productname密级ConfidentialitylevelS3528G/Eudenom500/NE40/NE80/NE40E/NE80E内部公开产品版本ProductversionTotal27pages共7页V1.0NGN核心网配置指南Preparedby拟制李迪Date日期yyyy-mm-ddReviewedby评审人Date日期yyyy-mm-ddApprovedby批准Date日期yyyy-mm-ddAuthorizedby签发Date日期yyyy-mm-ddHuaweiTechnologiesCo.,Ltd.华为技术有限公司Allrightsreserved版权所有侵权必究2021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开Revisionrecord修订记录Date日期RevisionVersion修订版本ChangeDescription修改描述Author作者2006.09.301.0initial初稿完成李迪2021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开1软交换接入由于目前现网网络应用最多的就是标准组网模式,而且专网模式就是由标准组网模式演变过来的,因此本文重点介绍标准组网的配置方式,依旧沿用标准组网连接方式。1.1交换机配置在交换机三层VLAN视图下配置VRRP协议,将下行端口划入该VLAN,在互联接口trunk该VLAN,并监控上行端口。interfaceVlan-interface1000descriptionTsx-s3-s-bjbj-1->Sx3000_single_portipaddress10.10.0.28255.255.255.224vrrpvrid1virtual-ip10.10.0.30vrrpvrid1priority150vrrpvrid1timeadvertise1vrrpvrid1preempt-modetimerdelay0vrrpvrid1trackGigabitEthernet1/1reduced601.2防火墙配置防火墙的配置规范是从NGN核心网向外发送的报文全部放行,而从NGN核心网外部访问内部的报文按照NGN设备IP地址和信令协议端口号进行过滤。2021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开aclnumber3201\配置应用在可信和不可信区域间的规则descriptioninter_trust_untrust_inrule1permitospf\允许OSPF报文通过//允许其它SX3000到本SX3000的SIP-T连接//A局大区内部的SX3000之间rule2permitudpsource10.10.5.10source-portrange50605188destination10.10.0.10destination-portrange50605188rule3permitudpsource10.10.5.10source-portrange50605188destination10.10.0.20destination-portrange50605188rule4permitudpsource10.10.5.20source-portrange50605188destination10.10.0.10destination-portrange50605188rule5permitudpsource10.10.5.20source-portrange50605188destination10.10.0.20destination-portrange50605188//A局与B局SX3000之间的SIP-T连接rule6permitudpsource10.11.5.10source-portrange50605188destination10.10.0.10destination-portrange50605188rule7permitudpsource10.11.5.10source-portrange50605188destination10.10.0.20destination-portrange50605188rule8permitudpsource10.11.5.20source-portrange50605188destination10.10.0.10destination-portrange50605188rule9permitudpsource10.11.5.20source-portrange50605188destination10.10.0.20destination-portrange50605188//允许本大区的UMG同本SX3000的H.248连接rule54permitudpsource10.17.0.10source-portrange29442945destination10.10.0.10destination-portrange294429452021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开rule55permitudpsource10.17.0.10source-portrange29442945destination10.10.0.20destination-portrange29442945//允许允许本大区另外一个机房的SG同本SX3000的M3UA(SCTP)连接,132协议号就是SCTPrule68permit132source10.10.5.110destination10.10.0.10rule69permit132source10.10.5.110destination10.10.0.20//允许本大区另外一个机房的SX3000同本大区SG的M3UA(SCTP)连接,132协议号就是SCTPrule70permit132source10.10.5.10destination10.10.0.110rule71permit132source10.10.5.20destination10.10.0.110//允许本大区另外一个机房的SX3000同本大区的MRS的MGCP连接rule72permitudpsource10.10.5.10source-porteq2727destination10.10.0.210destination-porteq2427rule73permitudpsource10.10.5.20source-porteq2727destination10.10.0.210destination-porteq2427//允许网管网段对下面连接的S35-A和S35-B的Telnetrule74permittcpsource10.50.0.00.0.255.255destination10.50.128.30destination-porteqtelnetrule75permittcpsource10.50.0.00.0.255.255destination10.50.129.30destination-porteqtelnet//允许网管服务器对下面连接的S35-A和S35-B的snmp访问rule76permitudpsource10.50.51.10destination10.50.128.30destination-porteqsnmprule77permitudpsource10.50.51.10destination10.50.129.30destination-porteqsnmpaclnumber3301\配置应用在不可信域和本地域之间的规则descriptioninter_local_untrust_inrule0permiticmp\允许不可信域对本机地址的ICMPrule1permittcpsource10.50.0.00.0.255.255destination-porteqtelnet\允许网管网段对本机地址的telnetaclnumber3401\配置应用在可信域和本地域之间的规则descriptioninter_local_trust_inrule0permiticmp\允许可信域对本机地址的icmprule1permittcpsource10.50.0.00.0.255.255destination-porteqtelnet\允许网管网段对本机地址的telnet,在此的作用主要是能让S35-A和S35-BTelnet本防火墙\缺省从本地域到可信域可信域的所有出报文都允许firewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutbound\缺省从本地域到不可信域可信域的所有出报文都允许firewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutbound\缺省从可信域到不可信域的所有出报文都允许firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound#2021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开\防火墙工作在混合模式firewallmodecomposite\打开所有防攻击功能,可用firewalldefendall命令配置firewalldefendip-spoofingenablefirewalldefendlandenablefirewalldefendsmurfenablefirewalldefendfraggleenablefirewalldefendwinnukeenablefirewalldefendsyn-floodenablefirewalldefendudp-floodenablefirewalldefendicmp-floodenablefirewalldefendicmp-redirectenablefirewalldefendicmp-unreachableenablefirewalldefendip-sweepenablefirewalldefendport-scanenablefirewalldefendsource-routeenablefirewalldefendroute-recordenablefirewalldefendtracertenablefirewalldefendtime-stampenablefirewalldefendping-of-deathenablefirewalldefendteardropenablefirewalldefendtcp-flagenablefirewalldefendip-fragmentenablefirewalldefendlarge-icmpenable#firewallstatisticsystemenablefirewallzonetrust//连接下行设备的接口加入可信域setpriority85addinterfaceGigabitEthernet1/0/0#firewallzoneuntrust//连接上行设备的口加入不可信域setpriority5addinterfaceGigabitEthernet2/0/0#firewallzonedmzsetpriority50#firewallinterzonelocaltrust//应用本地域和可信域之间的规则packet-filter3401inbound#firewallinterzonelocaluntrust//应用本地域和不可信域之间的规则packet-filter3301inbound2021-6-24华为机密,未经许可不得扩散第7页,共7页 NGN核心网配置指南内部公开#firewallinterzonetrustuntrust//应用可信域和不可信域之间的规则packet-filter3201inbound路由器配置同常见的路由器配置相似,具体配置接口和路由策略根据需求而定,在此不再赘述。2021-6-24华为机密,未经许可不得扩散第7页,共7页
此文档下载收益归作者所有
举报原因
联系方式
详细说明
内容无法转码请点击此处