4、中国移动IMS CE局规范（华为）V1.0

QB-W-xx-xxxx

negotiation auto //同厂家打开GE光口自协商功能

interface GigabitEthernet<端口编号> //CE连接SBC使用GE光口，进入端口视图 description TO-[对端设备]-端口-端口带宽 //配置端口描述，见《CE命名规范》 eth-trunk <端口编号> //把端口划分到Eth-Trunk端口 negotiation auto //同厂家打开GE光口自协商功能

4.7.3 静态路由配置

配置说明：此部分请参考4.6.2和4.6.3部分。

4.8 IMS CE-AS业务区配置模版

配置说明：AS业务一般信令通过防火墙汇聚后接入到CE，媒体通过交换机汇聚后接入CE。 CE上采用三层接口与防火墙和交换机对接。

CE1上连接信令汇聚FW的接口，绑定到IMS信令VPN。并配置1条到AS信令业务的静态路由，下一跳为FW1对接接口地址；在OSPF实例中，引入该静态路由。

AS媒体业务与此类似。 各省组网有差异，此部分内容仅供参考，各省根据实际情况部署。

配置规范：

4.8.1接口配置

interface GigabitEthernet<端口编号> //针对GE光端口，进入端口配置视图 description TO-[对端设备]-端口-端口带宽 //配置端口描述，见《CE命名规范》 ip binding vpn-instance xxxx //绑定VPN

29

QB-W-xx-xxxx

ip address <掩码> //配置端口业务IP地址，见IP地址表

4.8.2静态路由配置

ip route-static vpn-instance <掩码> <下一跳> //配置到AS业务地址段的静态路由，下一跳指向FW或交换机对接接口地址。 注意：ip-prefix中要包含此静态路由。

5

5.1 未使用端口

配置说明：关闭所有未使用接口。 配置规范：

网管与安全配置

interface GigabitEthernet3/0/0 //进入端口视图，包括GE、FE、POS等 shudown //关闭所有未使用端口

5.2 SYSLOG配置

配置说明：配置SYSLOG（假设CE采取直接连接网管DCN方式进行网管）。 配置规范： info-center enable

info-center loghost source <源接口> //CE连接DCN接口，具体地址根据当地组网确定 info-center loghost //设置接收SYSLOG服务器地址，根据实际情况确定 info-center loghost < IP地址2> //设置接收SYSLOG服务器地址，根据实际情况确定 info-center logbuffer size 1024

5.3 SNMP配置

配置说明：配置SNMP ACL以及SNMP信息。

30

QB-W-xx-xxxx

配置规范：

acl number 2000 //配置SNMP ACL rule 5 permit source 0.0.0.0 //网管服务器地址1 rule 10 permit source 0.0.0.0 //网管服务器地址2 rule 500 deny //Deny其它访问 snmp-agent

snmp-agent community read <密码> acl 2000 //设置READ密码，各省自行定义 snmp-agent sys-info location <设备安装局址> snmp-agent sys-info version all

snmp-agent target-host trap address udp-domain params securityname <密码> //设置trap目的主机地址以及TRAP密码

snmp-agent target-host trap address udp-domain params securityname <密码> //设置trap目的主机地址以及TRAP密码 snmp-agent trap enable //使能trap信息，配置之后该行命令不显示。

snmp-agent trap source <源接口> //CE连接DCN接口，具体地址根据当地组网确定

5.4 安全设置

配置说明：配置用在连接DCN端口的访问安全策略。 配置规范： acl number 3000

rule 5 permit udp source 0 destination-port eq snmp //允许网管地址连CE snmp端口 rule 10 permit udp source 0 destination-port eq snmp //允许网管地址连CE snmp端口 rule 15 permit tcp source 0 destination-port eq telnet //允许telnet CE的地址 rule 20 permit tcp source 0 destination-port eq telnet //允许堡垒主机telnet CE rule 25 permit icmp source 0 //允许网管地址PING rule 30 permit icmp source 0 //允许网管地址PING rule 35 permit icmp source 0 //允许网管地址PING

rule 40 permit icmp source 0 //允许登陆CE的主机地址PING rule 45 permit udp source 0 source-port eq snmptrap //允许到网管地址的snmptrap rule 50 permit udp source 0 source-port eq syslog //允许到网管地址的syslog

31

QB-W-xx-xxxx

rule 55 permit udp source 0 source-port eq snmptrap //允许到网管地址的snmptrap rule 60 permit udp source 0 source-port eq syslog //允许到网管地址的syslog rule 500 deny ip #

traffic classifier in operator or //定义traffic classifier if-match acl 3000 #

traffic behavior permit_in //定义traffic behavior permit #

traffic policy in //定义traffic policy classifier in behavior permit_in

5.5 CE连接网管DCN接口

配置说明：配置连接DCN端口、并应用安全策略；配置静态路由 配置规范：

interface <端口编号> //CE与网管DCN互连接口 traffic-policy in inbound //应用traffic policy到接口上 description TO-[对端设备]-端口-端口带宽 //配置端口描述，见《CE命名规范》 ip address <掩码> //配置端口IP地址，根据当地DCN情况配置 ip route-static 255.255.255.255 //配置指向网管侧的/32静态路由 ip route-static 255.255.255.255 //配置指向网管侧的/32静态路由 ip route-static 255.255.255.255 //配置指向网管侧的/32静态路由 ip route-static 255.255.255.255 //配置指向网管侧的/32静态路由

5.6 配置本地帐号

配置说明：配置本地帐号 配置规范： aaa

32

QB-W-xx-xxxx

local-user [用户名缩写][手机号] password cipher 认证密码 //用户名：[用户名缩写][手机号] local-user[用户名缩写][手机号]service-type telnet //配置登陆方式t local-user [用户名缩写][手机号] level 3 //配置用户级别

5.7 配置远程访问

配置说明：配置远程登陆限制以及远程访问参数 配置规范：

acl number 2007 //配置远程登陆ACL rule 5 permit source 0.0.0.0 //允许IP地址1登陆 rule 10 permit source 0.0.0.0 //允许IP地址2登陆 rule 15 permit source 0.0.0.0 //允许IP地址3登陆

rule 20 permit source 0.0.0.0 //允许CE-AR互连地址段登陆 rule 25 permit source 0.0.0.0 //允许CE-AR互连地址段登陆 rule 500 deny //Deny其它访问 user-interface vty 0 4 //进入VTY视图。

acl 2007 in //限制远程访问。 authentication-mode aaa //配置VTY登陆认证方式为AAA idle-timeout 15 0 //配置VTY空闲时间为15分钟 protocol inbound all //配置VTY登陆协议为SSH或Telnet

33