- Базовые команды huawei s5600, s5300, s5700 и другие полезности для начинающих
- Основные ат команды и команды для модемов huawei
- Коммутатор huawei. начальная настройка.
- At команды для модемов huawei
- Базовая настройка коммутаторов и маршрутизаторов huawei
- Как быстро настроить несколько коммутаторов huawei quidway s2300
- Командный и пользовательский уровни
- Коммутатор huawei s5731-s48p4x купить в москве, цена на s5731-s48p4x в нетворктелеком
- Настроить статическую маршрутизацию
- Настройка модема huawei с использованием hyperterminal
- Настройка стекирования (istack)
- Опыт второй. безопасность
- Опыт первый. vlan
- Опыт четвертый. замена сертификата устройства на действительный
- Получение помощи
- Узнайте больше о Huawei
Базовые команды huawei s5600, s5300, s5700 и другие полезности для начинающих
В моём примере файл конфигурации совпал с текущей конфигурацией и мне сразу предложили перезагрузить, но если файл был изменён и не совпал вам предложат сохранить текущую конфигурацию в файл, на что вы должны ответить отказом, после чего согласиться на перезагрузку.
Собственно это не всё — это лишь команды доступные в этом режиме, теперь в ходим в режим
https://www.youtube.com/watch?v=5IfyvJa92TU
Стоит отметить, что команда «dis th»(display this) выполненная на порту 0/0/1 выдаёт ту же информацию, что и «dis cur int gig 0/0/1» выполненная в любом режиме и на любом порту, что удобно для копирования конфигурации. Тут приведены команды относящиеся к порту, точно так же можно посмотреть помощь по командам в сложных функциях вроде ACL, AAA, STP.
Если появятся вопросы могу рассказать и о других интересных функциях работы коммутатора в примерах с рабочей сети.
Примеры конфигов Huawei s5600 и s5300(s5700) с MAK-авторизациейОба коммутатора являются аналогами по производительности и функционалу, разница лишь в дате выпуска.
Свитчи Huawei (s5700) и iStackЗдравствуйте, уважаемые. Если не в ту ветку обращаюсь, простите — более близкой по теме не увидел.
DHCP Relay на huawei s5700Подскажите пожалуйста возможен ли такой финт: Вся сеть 172.30.0.0/16 Хочу за счёт Relay в один.
Traffic-inspect на HUAWEI S5700Здравствуйте. Ни кто не знает, есть ли в S5700 возможность инспектировать трафик? (аналог.
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.
Huawei s5300 некорректно работает AAA в версии прошивки v200
У меня коммутаторы доступа huawei серий s5600, s5300. Причём s5300 с разными прошивками в связи с.
Huawei S5700-28C-SI редактирование aclКоллеги, добрый день. Есть коммутатор S5700-28C-SI, в правиле прописан общий принтер с адресом.
Основные ат команды и команды для модемов huawei
На практике очень часто применяются следующие команды, которые являются информационными, управляющими или командами конфигурации:
- ATI — команда выводит полную информацию о модеме.
- AT^CFUN=1 — очень полезная для практики команда, которая позволяет применять настройки и перегружать модем без его отключения от компьютера. После того как устройство будет перезагружено, произойдет его инициализация и перерегистрация в сети. Остальные параметры этой команды следующие:
- 0 — режим экономного энергопотребления или режим ожидания;
- 1 — режим онлайн;
- 4 — режим офлайн;
- 6 — сброс устройства;
- 7 — выключить радио модуль.
Для того, чтобы получить информацию о всех доступных операторов нужно ввести команду AT COPS?. На экран будет выведена информация в следующем формате:
- Режим работы модема для выбора оператора: 0 — автоматический, 1 — ручной, 4 — автоматически, если вручную соединиться не получилось.
- Формат оператора может быть выведен в длинном или коротком режиме, или же в режиме номера оператора сети.
- Информация о доступности сети: 0 — неопознанная сеть, 1 — доступная сеть, 2 — текущая или подключенная сеть, 3 — сеть недоступна или заблокирована.
Это далеко не полная информация об АТ командах модемов и вариантов их использования, более подробно можно ознакомиться почитав спецификацию или обратившись конкретно к производителю модема, чтобы быть уверенным какие команды и с какими параметрами используется в модеме.
Коммутатор huawei. начальная настройка.
Давайте рассмотрим конкретный пример. Допустим, у нас в руках оказался коммутатор
Huawei S5720-52X-PWR-SI-AC
(140-150 тыс. рублей на момент написания статьи), который мы хотим настроить в качестве железки уровня доступа в крупный офис. Какие нам будут поставлены задачи?
1.
Будем подключаться к уровню распределения с помощью агрегированного интерфейса
LACP
;
2.
На access-портах юзаем
voice VLAN
, чтобы подключать компьютеры и телефонии одним портом;
3.
Выведем в отдельный
VLAN
сетевые принтеры и прочие МФУ;
4.
Wi-Fi точки подключим транком с
PVID management VLAN
;
5.
Во избежание проблем запустим во всех
VLAN DHCP snooping
.
Переходим в режим конфигурирования:
<code><huawei>system-view</code>
Дадим коммутатору название, чтобы потом не путаться, типа
access-sw01
:
<code>[huawei]sysname access-sw01</code>
Теперь нужно уяснить, что у нас будет использоваться
voice VLAN
, наши телефоны будут получать информацию по протоколу LLDP либо CDP, поэтому позднее включим совместимость с этим проприетарным цисковским протоколом. А пока глобально включим LLDP.
<code>[access-sw01]lldp enable</code>
Сразу включим DHCP Snooping, а перед этим непосредственно DHCP:
<code>[access-sw01]dhcp enable [access-sw01]dhcp snooping enable</code>
Создадим VLAN управления, пусть это будет 100:
<code>[access-sw01]vlan 100 [access-sw01-vlan100]description Management</code>
И включим в нем DHCP Snooping:
<code>[access-sw01-vlan100]dhcp snooping enable</code>
Теперь выйдем из дерева настройки VLAN.
<code>[access-sw01-vlan100]quit</code>
Таким же макаром настроим другие вланы. 200 для VoIP, 300 офисным компьютерам и 400 на принтеры. Хорошо, с VLAN мы разобрались, что дальше? Нужно организовать доступ на коммутатор пользователю, например,
admin
с пароллем
p@sSw0D
.
<code>[access-sw01]aaa [access-sw01-aaa]local-user admin password irreversible-cipher p@sSw0D</code>
Сразу назначим уровень доступа, тут всё по аналогии с циской:
<code>[access-sw01-aaa]local-user admin privilege level 15</code>
И настраиваем удаленный доступ для нашего юзера:
<code>[access-sw01-aaa]local-user admin service-type telnet terminal ssh</code>
Уберем опцию запроса смены пароля (она через определенное время выводит предложение сменить пароль):
<code>[access-sw01-aaa]undo local-aaa-user password policy administrator [access-sw01-aaa]quit</code>
Теперь включим SSH на устройстве:
<code>[access-sw01]stelnet server enable [access-sw01]ssh authentication-type default password</code>
И сразу создадим SSH-ключи:
<code>[access-sw01]rsa local-key-pair create</code>
Активируем SSH-доступ на линиях:
<code>[access-sw01]user-interface vty 0 4 [access-sw01-ui-vty0-4]authentication-mode aaa [access-sw01-ui-vty0-4]protocol inbound ssh [access-sw01-ui-vty0-4]quit</code>
Настроим интерфейс управления коммутатором. Мы с вами решили, что это будет VLAN 100, осталось назначить ему IP:
<code>[access-sw01]interface Vlanif 100 [access-sw01-Vlanif100]ip address 10.0.0.10 24 [access-sw01-Vlanif100]quit</code>
И настроим шлюз по-умолчанию:
<code>[access-sw01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1</code>
Теперь приступим к настройке аплинка. Как мы помним, нужно поднять агрегированный интерфейс по протоколу LACP. Для них мы используем 10GBit-ные интерфейсы, которые имеются на этом свиче. У Huawei это зовется
Ether-Trunk
, поехали настраивать:
<code>[access-sw01]interface Eth-Trunk 1</code>
Теперь скажем, какие порты будут входить в агрегированный интерфейс, нам достаточно парочки:
<code>[access-sw01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2</code>
Установим протокол его работы:
<code>[access-sw01-Eth-Trunk1]mode lacp</code>
Интерфейс настроен, теперь сконфигурируем его в соответствии с поставленной задачей. Он смотрит в ядро, стало быть будет транком со всеми имеющимися вланами и доверенностью для DHCP Snooping:
<code>[access-sw01-Eth-Trunk1]port link-type trunk [access-sw01-Eth-Trunk1]port trunk allow-pass vlan all [access-sw01-Eth-Trunk1]dhcp snooping trusted [access-sw01-Eth-Trunk1]quit</code>
Аплинк настроен, поехали по пользовательским портам. Порты 1-46 будут для юзеров, поэтому на них настроим voice и acces VLAN.
<code>[access-sw01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46</code>
Эта настройка отличается от варианта Cisco. Мы переводим порт в
hybrid
, после чего назначаем voice VLAN и его же кидаем туда как tagged.
<code>[access-sw01-port-group]port link-type hybrid [access-sw01-port-group]voice-vlan 200 enable [access-sw01-port-group]port hybrid tagged vlan 200</code>
Нетегированный влан пилим туда же и указываем соответствующий pvid.
<code>[access-sw01-port-group]port hybrid pvid vlan 300 [access-sw01-port-group]port hybrid untagged vlan 300</code>
Порт у нас сугубо клиентский, поэтому вырубим STP
<code>[access-sw01-port-group]stp edged-port enable</code>
Включим совместимость CDP на случай ипользования CIsco-телефонии. В описании анонсов будет отображаться
Users
:
<code>[access-sw01-port-group]lldp compliance cdp receive [access-sw01-port-group]description Users [access-sw01-port-group]quit</code>
Порт 47 настроим для принтеров, просто нужный влан аксессом:
<code>[access-sw01]interface GigabitEthernet 0/0/47 [access-sw01-GigabitEthernet0/0/47]port link-type access [access-sw01-GigabitEthernet0/0/47]port default vlan 400 [access-sw01-GigabitEthernet0/0/47]description Printer [access-sw01-GigabitEthernet0/0/47]quit</code>
Порт 48 настроим для точки Wi-Fi, и на ней будет висеть несколько SSID, настраивать будем транком. Точкой надо управлять, поэтому туда надо добавить Managment VLAN:
<code>[access-sw01]interface GigabitEthernet 0/0/48 [access-sw01-GigabitEthernet0/0/48]port link-type trunk [access-sw01-GigabitEthernet0/0/48]port trunk pvid vlan 100 [access-sw01-GigabitEthernet0/0/48]port trunk allow-pass vlan all [access-sw01-GigabitEthernet0/0/48]description WirelessAP [access-sw01-GigabitEthernet0/0/48]quit</code>
В целом первичная настройка закончена. Выходим из режима
system view
клавишами
Ctrl Z
и сохраняемся:
<code><access-sw01>save The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip. Are you sure to continue?[Y/N]y</code>
И пара полезных команд:
>/] display current-configuration показывает текущий конфиг устройства
>/] display interface brief выводит список интерфейсов и их статус
>/] display elabel информация о железе, серийники, хардварные версии компонентов и т.п.
скачать dle 12.0
At команды для модемов huawei
AT команды
(набор команд Hayes) — набор команд, разработанных в 1977 году компанией Hayes для собственной разработки, модема «Smartmodem 300 baud». Набор команд состоит из серий коротких текстовых строк, которые объединяют вместе, чтобы сформировать полные команды операций, таких как набор номера, начала соединения или изменения параметров подключения.
Для того, чтобы модем распознал at команды, они должны быть записаны в специфической форме. Каждая команда всегда начинается буквами AT или at (от англ. ATtention, за что и получили своё название), дополненных одной или больше командой и завершаемой в конце нажатием клавиши Enter . Команды воспринимаются модемом только тогда, когда он находится в «командном режиме» или offline.
AT-команды
обычно отправляются модему посредством коммуникационного программного обеспечения, но также могут быть введены пользователем вручную, с компьютерной клавиатуры. Смотрим
как и чем вводить АТ команды в модем
. At команды huawei представлены на нашем сайте ниже. Huawei at команды (huawei at commands) очень нужные и полездные вещи для расшаривания вашего устройства.
Рассмотрим наиболее часто используемые at команды при работе с модемом huawei
ATI — вывод информации о модеме
AT CFUN=1 – перезагрузка модема, очень полезная команда не требует «передергивать» модем. После перезагрузки модем перерегистрируется в сети оператора.
AT CGMI — информация о производителе модема (Recieve: huawei)
AT CGMR — информация о версии прошивки (Recieve: 11.608.12.04.21)
AT CIMI — информация об IMSI номер SIM карты (Recieve: 250015800471114)
AT CGSN — информация о IMEI модема (Recieve: 353142033840706)
AT^HWVER — информация о версии железа модема (Recieve: ^HWVER:»CD6ATCPU»)
AT CSQ — посмотреть уровень радиосигнала
AT^CMDL — получить список всех комманд
AT CGMM или AT GMM — запросить название модели
AT COPS — информация о текущем операторе (Recieve: COPS: (1,»MTS-RUS»,»MTS»,»25001″,0),(2,»MTS-RUS»,»MTS»,»25001″,2),,(0,1,2,3,4),(0,1,2))
AT^U2DIAG? — текущий режим.
AT^GETPORTMODE – список всех устройств в модеме
AT^VERSION? — информация о версии прошивки модема
AT CLAC в ответе будет список поддерживаемых команд
Включение голосовых функций модема:
AT^CVOICE=? – проверка состояния голосовых функций модема (0 — значит включено)
AT^CVOICE=0 – включение голосовых функций модема
Включение / отключение режимов 2G и 3G:
AT^SYSCFG=13,1,3fffffff,0,0 – режим только 2G
AT^SYSCFG=2,1,3fffffff,0,0 – режим предпочтительно 2G
AT^SYSCFG=14,2,3fffffff,0,1 – режим только 3G
AT^SYSCFG=2,2,3fffffff,0,1 – режим предпочтительно 3G
AT^SYSCFG=2,2,3fffff ff,0,2 – режим включение 2G и 3G
Включение / отключение режимов WCDMA, HSDPA, HSPA , HSPA:
AT^HSDPA=1 – режим HSDPA включен
AT^HSDPA=0 – режим HSDPA выключен
AT^HSUPA=1 – режим HSUPA включен
AT^HSUPA=0 – режим HSUPA выключен
AT^HSPA=0 – режим WCDMA
AT^HSPA=1 – режим HSDPA
AT^HSPA=2 – режим HSPA
AT^HSPA=3 – режим HSPA
AT^SYSCFG=13,1,3FFFFFFF,2,4 – режим только GPRS/EDGE
AT^SYSCFG=14,2,3FFFFFFF,2,4 – режим только 3G/WCDMA
AT^SYSCFG=2,1,3FFFFFFF,2,4 – режим предпочтительно GPRS/EDGE
AT^SYSCFG=2,2,3FFFFFFF,2,4 – режим предпочтительно 3G/WCDMA
Команды необходимые для разблокировки модема (разлочка модема)
AT^CARDLOCK=»NCK Code» – ввод кода снятия блокировки (8-значное число)
AT^CARDUNLOCK=»MD5 NCK Code» – сброс попыток ввода кода NCK кода разблокировки до 10 раз
AT^CARDLOCK? – проверка состояния блокировки модема и количества попыток ввода кода разблокировки:
(ответ модема: CARDLOCK: A,B,0 , если A=2 модем разблокирован, A=1 модем заблокирован – SimLock, если A=3 здесь два варианта либо вы израсходовали все 10 попыток ввести код, либо у вас в модеме кастомизированная прошивка, B – количество оставшихся попыток ввода кода разблокировки (по умолчанию 10 раз))
Изменение режима модема
AT^U2DIAG=Команда — для изменения режим модема (Модем,CD ROM, Флешка, PC UI, NDIS, Смарткарта).
AT команды для Huawei E171 с прошивкой v21.156.00.00.143, E352, E353, E367, E398 и др.
AT^SETPORT=»A1,A2,1,2,3,7,A1,A2″ (Установить конфигурацию по умолчанию)
AT^SETPORT=»A1,A2,1,2,3,7″ (девайс в режиме «модем сетевая карта»)
AT^SETPORT=»A1,A2;1,2,3,A2″ (девайс в режиме «модем Card Reader»)
AT^SETPORT=»A1,A2;1,2,3″ (девайс в режиме «только модем»)
AT^SETPORT=»A1,2,7″ (девайс в режиме «сетевая карта CD-ROM»)
AT^SETPORT=»A1,A2,2,7″ (девайс в режиме «сетевая карта») — для Windows 7
AT^SETPORT=»A1;1,2″ (девайс в режиме «модем пользовательский интерфейс»)
AT^SETPORT? (Текущая конфигурация модема)
AT^GETPORTMODE (Отображение текущего активного режима)
AT^SETPORT=»A1,A2,1,2,3,7,A1,A2,4,5,6,A,B,D,E» (Сброс настроек по умолчанию)
Настройки режимов сети по умолчанию для Huawei E352
at^hspa?
^HSPA: 2
AT^SETPORT?
A1,A2;1,2,3,7,A1,A2
AT^SYSCFG?
^SYSCFG:2,2,3FFFFFFF,1,2
Настройки режимов сети по умолчанию для Huawei E352b (21.158.23.00.209)
AT^SETPORT?
A1,A2;1,16,3,2,A1,A2
AT команды для Huawei E1750
АТ команды переключения режимов huawei E1750
AT^U2DIAG=0 (девайс в режиме только модем)
AT^U2DIAG=1 (девайс в режиме модем CD-ROM)
AT^U2DIAG=6 (девайс в режиме только сетевая карта)
AT^U2DIAG=268 для E1750 (девайс в режиме модем CD-ROM Card Reader)
AT^U2DIAG=276 для E1750 (девайс в режиме сетевой карты CD-ROM Card Reader)
AT^U2DIAG=256 (девайс в режиме модем Card Reader, можно использовать как обычную флешку,
отказавшись от установки драйверов модема)
АТ команды переключения режимов сети huawei E1750
AT^SYSCFG=14,2,3fffffff,1,2 (Только 3G)
AT^SYSCFG=13,1,3fffffff,1,2 (Только GSM)
AT^SYSCFG=2,2,3fffffff,1,2 (Приоритет 3G)
AT команды переключения режимов сети для модема Huawei E1820 (E182E)
AT^SYSCFG=13,2,3fffffff,1,2 — только GSM
AT^SYSCFG=2,1,3fffffff,1,2 — преимущественно GSM
AT^SYSCFG=14,2,3fffffff,1,2 — только WCDMA
AT^SYSCFG=2,2,3fffffff,1,2 — преимущественно WCDMA
AT команды для Huawei E3131
AT^SETPORT=»A1,A2;1,16,3,2,A1,A2″ — (Установить конфигурацию по умолчанию)
AT^SETPORT=»A1,A2;1,2,3,16,A1,A2″ — (режим для работы модема с Android 4.0 (иногда работает))
AT^SETPORT=»A1,A2;1,16,3,2″ — (девайс в режиме «модем сетевая карта»)
AT^SETPORT=»A1,A2;1,3,2,A2″ — (девайс в режиме «модем Card Reader»)
AT^SETPORT=»A1,A2;1,3,2″ — (девайс в режиме «только модем»)
AT^SETPORT=»FF;1,2″ (девайс в режиме «модем пользовательский интерфейс»)
AT^SETPORT=»A1,A2;2,16″ — (девайс в режиме «сетевая карта»)
AT^SETPORT=»A1,A2;2,16,A1″ — (девайс в режиме «сетевая карта CD-ROM»)
AT команды для Huawei E3131 Hilink
http://192.168.1.1/html/switchProjectMode.html
AT^U2DIAG=0 Перевод модема из режима Hilink в режим com портов
AT^U2DIAG=119 Возврат в исходный режим
AT команды для Huawei E303 HiLink
http://192.168.1.1/html/switchProjectMode.html
AT^U2DIAG=374 Перевод модема из режима Hilink в режим com портов
AT^U2DIAG=375 Возврат в исходный режим
AT команды для Huawei E3272
AT^SETPORT=»A1,A2;62,61,76,A1,A2″ — Установка по умолчанию для МТС 824F.
AT^SETPORT=»A1,A2;10,12,16,A1,A2″ — Установка по умолчанию для Мегафон М100-4.
AT команды для Huawei E3372
AT^SETPORT=»A1,A2;A1,A2″ — Установка по умолчанию для МТС 827F.
AT^SYSCFG=»2,2,3FFFFFFF,1,2″ — Установка по умолчанию для МТС 827F.
AT команды для Huawei E3276
AT^SETPORT=»A1;10,12,13,14,16,A1,A2″ — Включает все COM порты.
AT^SETPORT=»A1,A2;12,16,A1,A2″ — Установка по умолчанию.
AT^SETPORT=”A1;10,12” — режим только модем
AT^SYSCFGEX? — значение по умолчанию
^SYSCFGEX:»00″,3FFFFFFF,1,2,800C5
AT^SYSCFGEX=?
^SYSCFGEX: («00″,»01″,»02″,»03″),((2000000400380,»GSM900/GSM1800/WCDMA900/WCDMA2100″),(2a80000,»GSM850/GSM1900/AWS/WCDMA1900″),(3fffffff,»All bands»)),(0-2),(0-4),((800c5,»LTE_B1/LTE_B3/LTE_B7/LTE_B8/LTE_B20″),(7fffffffffffffff,»All bands»))
AT^FHVER — показывает информацию о версии прошивки и версии железа (^FHVER:»E3276s-210 21.260.05.00.143,CH2E3276SM Ver.B»)
AT команды для Huawei E3531
AT^SETPORT=»A1,A2;1,16,3,2,A1,A2″ — Установка по умолчанию для МТС 423S.
AT^FHVER — — показывает информацию о версии прошивки и версии железа (^FHVER:»E3531s-1EA 21.318.15.00.143,CH1E3531SM Ver.A»)
AT команды для преключения режимов в модемах huawei с LTE (E392, E398)
Если для USB-модема вы хотите включить режим только LTE, отключив все остальные, необходимо воспользоваться AT командой:
AT^SYSCFGEX=»03″,3fffffff,2,4,7fffffffffffffff,,
В указанной команде первое значение расшифровывается так:
00 — Автоматический режим, установлен по умолчанию (приоритеты в порядке очереди: 4G > 3G > 2G)
01 — GSM GPRS(2G)
02 — WCDMA(3G)
03[/b] — LTE(4G)
[b]99 — Оставить текущие настройки без изменений.
Вы можете также выбрать порядок их приоритета, в порядке убывания, например:
AT^SYSCFGEX=»0302″,3fffffff,2,4,7fffffffffffffff,,
В этом случае модем будет пытаться подключиться сначала к сети LTE и потом к сети 3G, кроме работы в сетях 2G.
или такой вариант:
AT^SYSCFGEX=»030201″,3fffffff,2,4,7fffffffffffffff,,
это равносильно
AT^SYSCFGEX=»00″,3fffffff,2,4,7fffffffffffffff,,
Соответственно автоматический режим, установлен по умолчанию (приоритеты в порядке очереди: 4G > 3G > 2G)
§
служит для управления некоторыми функциями модема. Команды можно вводить специальными программами, это намного проще чем встроенным в Windows XP hyperterminal. Для этого можно использовать программы:
My Huawei Terminal
или
DC-Unlocker.
Перед использованием данных программ нужно закрыть все другие программы которые могут использовать модем. Для модемов Huawei нужно подключаться на COM порт «
3G PC UI Interface
«, для модемов
ZTE MF
на
COM порт
«
ZTE Proprietary USB Modem
«. Как пользоваться смотрим картинки, всё достаточно просто. Если команд несколько, сначала вводим одну — жмём
Enter
, потом следующую и опять жмём
Enter.
DC-Unlocker
DC-Unlocker client первая в Мире программа которая начала специализироваться на разблокировке беспроводных 2G3G4G модемов форм-фактора USBPCMCIA. Со временем модельный ряд начал расширятся мобильными телефонами, смартфонами, WiFi роутерами .
AT^CARDLOCK=»NCK Code» – ввод кода снятия блокировки (8-значное число). NCK Code — это код разблокировки. Пример команды AT^CARDLOCK=»12345678″
СкачатьВерсия программы 1.00.1336
Новые версииздесь
Терминал
Терминал — программа терминала для прямой работы с беспроводными модемами Huawei, а также (ограниченно) с любыми другими модемами.
Скачать: Терминал
My Huawei Terminal (Хуавей модем терминал)
Huawei Terminal — программа терминала для прямой работы с беспроводными модемами Huawei, а также (ограниченно) с любыми другими модемами.
Скачать: My Huawei Terminal
PuTTY
Скачать: PuTTY
MMD X Mini Mobile Data
Так же в этой программе можно посмотреть другие параметры модема.
Скачать: MMD X Mini Mobile Data
Ввод NCK кода разблокировки если модем не запрашивает.
Скачиваем программу Huawei Modem Tool v3.3, вставляем модем БЕЗ СИМ карты — если запуститься программа модема то закрываем, запускаем huawei modem tool и ждём пока определиться модем, вводим код разблокировки и нажимаем Send Unlock code. После этого модем разблокируется.
Смотрим картинку там всё подробно нарисовано.
Скачать: Huawei Modem Tool v3.3
Внимание: После ввода команды, во всех трёх программах должен быть ответ ОК. Это значит что команда была принята.
Huawei data card unlocker v1.1
Программа предназначена для разблокировки модемов Huawei E220, E62X, E630, E870, E169G, E27X, E618, E630
Скачать: Huawei data card unlocker v1.1
Список доступных at команды модема Huawei и ZTE MF смотрим здесь: AT команды для модемов Huawei и для ZTE MF
Базовая настройка коммутаторов и маршрутизаторов huawei
Basic
вход в режим конфигурирования
system view
вернуться на уровень назад
quit
команда отрицания (аналогично no в cisco)
undo
настройка пароля доступа по консольному порту
user-interface console 0
authentication-mode password
set
authentication password cipher …
настройка пароля доступа через виртуальный терминал
VLAN Principles
создание
vlan batch
interface
port link-type access
port
access default vlan …
interface
port link-type trunk
port trunk allow-pass vlan
port link-type hybrid
port hybrid untagged vlan …
port hybrid tagged vlan …
port hybrid pvid vlan …
…
создание L3 интерфейса
interface Vlanif
ip address
Link Aggregation
L2 LAG
interface Eth-trunk 1 — создали LAG группу
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
L3 LAG
interface Eth-trunk 1 — создали LAG группу
// переход интерфейса к L3
undo portswitch
ip address
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
LACP(link aggregation control protocol)
system-view
lacp priority … (The smaller the LACP system priority value, the higher the LACP system priority.)
int Eth-trunk 1 — создали LAG группу
mode lacp-static -выбрали режим
lacp preference … (The smaller the LACP interface priority value, the higher the LACP interface priority)
STP
выбор стандарта
stp mode stp
активируется глобально и на интерфейсе
stp enable
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
stp priority 32768
на интерфейсе
stp disable
stp port priority …
display stp brief
display stp instance 0 brief
RSTP
выбор стандарта
stp mode rstp
выключает edge порт при получении bpdu
stp bpdu-protection
на интерфейсе:
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние root-inconsistent — несогласованность корня)
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние loop-inconsistent)
MSTP
stp mode mstp
stp region-configuration
region-name parapampam
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
active region-configuration
display stp region-configuration
Static routing
создаем статический маршрут
ip route-static ipaddress { mask | mask-length } interface-type interface-number [ nexthopaddress ] preference …
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0 nexthopaddress
RIP
basic:
rip 1
version 2 (по умолчанию version 1)
network 10.0.0.0
анонс маршрута по умолчанию через rip
default-route originate
выключаем автоматическую суммаризацию маршрутов
undo summary
суммаризация маршрутов на интерфейсе
int g0/0/0
rip summary-address 172.16.0.0 255.255.0.0.
debug
debugging rip 1,
disp debugging
terminal debugging
undo debugging rip 1 or undo debugging all !!!
RIP Metric
int g0/0/0
устанавливает cost на порту для входящих маршрутов
rip metricin
устанавливает cost на порту для исходящих маршрутов
rip metricout
rip poison-reverse
rip split horizon
Ограничение распространения маршрутной информации
int g0/0/0
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
rip 1
silent int g0/0/0 —
Authentification
int g0/0/0
rip authentification-mode simple ….
int g0/0/1
rip authentification-mode md5 usual ….
display
display rip interface verbose
display rip 1 neighbor
OSPF
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
area 0
network ip address wildcard-mask
меняем расчет метрики
ospf 1
bandwidth-reference 10000
меняем cost, таймеры, dr-priority
int g0/0/0
ospf cost 20
ospf timer hello …
ospf timer dead …
ospf dr-priority …
Authentification OSPF
Simple authentication:
ospf authentication-mode { simple [ [ plain ] | cipher ] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain | [ cipher ] } ].
Выключаем OSPF на порту (restrict OSPF operation)
ospf 1
silent-int g0/0/0
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
ospf 1
default-route-advertise
display
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
VRRP
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейса
GigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
int g0/0/0
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
mkdir
Для удаления директории
rmdir
Для удаления и переименование файла
delete
rename
Для удаления файла без возможности восстановления
delete /unreserved
Для восстановления файла
undelete
Для очистки «корзины»
reset recycle-bin
Удаление файла с конфигурацией
delete
Сброс сохранненой конфигурации
reset saved-configuration
Узнать версию софта
display version
display device slot
Работа с ftp
Подключиться по ftp
ftp x.x.x.x
скачать файл
get example.zip
Подключиться по tftp
tftp x.x.x.x get example.zip
Указываем файл startup config
startup system-software example.zip
HDLC
int s2/0/0
link-protocol hdlc
ip address x x x x xx
привязываем адрес loopback
ip unnambered int loopback 0
PPP
Настройка ppp c authentication-mode pap
R1
sysname BRAS
R2
sysname pap_client
Настройка ppp c authentication-mode chap
R1
sysname BRAS
link-protocol ppp
ppp authentication-mode chap
R2
sysname chap_client
int s1/0/0
PPPoE
display pppoe-server session all
sysname BRAS
int dialer 1
display nat server
diplay nat outbound
diplay nat address-group 1
DHCP
interface pool configuration
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
dhcp enable
ip pool pool1
network x.x.x.x mask xx
gateway-list x.x.x.x
lease day x
int g0/0/1
dhcp select global
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
ACL
basic
acl 2000
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter outbound acl 2000
advanced
acl 3000
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter inbound acl 3000
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
acl 2000
rule permit source z.z.z.z wildcard mask
int g0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
создаем схему авторизации
authorization-scheme auth1
схема без сервера: radius…
authorization-mode local
создаем схему аутентификации
authentication-scheme auth2
схема без сервера: radius,diametr…
authentication-mode local
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
создаем пользователя в домене и указываем достпные сервисы и привилегии
local-user user1@huawei password cipher qwerty
local-user user1@huawei service-type telnet
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
user-int con 0
authentication aaa
local-user user1@huawei privilege level 0
display domain name huawei
Как быстро настроить несколько коммутаторов huawei quidway s2300
Первым делом настроим один коммутатор, например по этой статье: Настройка коммутатора Huawei Quidway S2326TP-EI Настраивать нужно как можно детальнее, так как если что-то будет упущено, то придется донастраивать каждый коммутатор.
Файл конфигурации будем копировать на все коммутаторы, заранее перед каждым копированием изменив в нем IP-адрес. Скопируем конфиг первого настроенного коммутатора на TFTP сервер командой:
И изменим в нем IP-адрес для следующего коммутатора.
Подключимся через консоль к следующему коммутатору и назначим ему IP-адрес чтобы можно было загрузить новую прошивку и файл конфигурации с tftp сервера (можно также загрузить прошивку и конфиг через консоль как указано в этой статье: Инструкция по прошивке Huawei Quidway S2300 через BOOTROM MENU)
Как указано выше у меня влан 207 используется для управления и приходит тегом на 25 порт. Чтобы не выполнять вручную каждую команду, их можно скопировать все сразу в буфер обмен и вставить в консоль, после чего они поочередно выполнятся. После как все прописали и файлы загрузились просто вытащим и вставим шнур питания из коммутатора чтобы он перегрузился, командой не перезагружаю дабы коммутатор не стер или не заменил файл конфигурации (что как заметил бывает).
Все, коммутатор запустится с новой прошивкой и нашим загруженным файлом конфигурации. Все остальные коммутаторы настраиваются аналогично. Имя старого файла прошивки можно посмотреть и удалить командами:
источник
Командный и пользовательский уровни
Команды VRP классифицируются в зависимости от выполняемой ими функции: команды уровня 0 (уровень посещения) проверяют сетевое подключение, команды уровня 1 (уровень мониторинга) отображают состояние сети и базовую информацию об устройстве, команды уровня 2 (уровень конфигурации) настраивают службы для устройства, и команды уровня 3 (уровень управления) управляют определенными функциями устройства, такими как загрузка или выгрузка файлов конфигурации.
Чтобы ограничить, какие команды может запускать пользователь, пользователям назначаются разные уровни пользователя. Всего доступно 16 пользовательских уровней, от уровня 0 до уровня 15. Уровень 0 является наиболее ограничительным, причем разрешающая способность увеличивается для каждого последующего уровня.
По умолчанию уровни с 4 по 15 совпадают с уровнями 3, поэтому пользователи, которым назначены эти уровни, имеют одинаковые разрешения и могут выполнять все команды VRP. Однако пользовательские уровни могут быть настроены, если требуется более тонкая детализация управления.
Например, вы можете повысить до уровня 15 уровень пользователя определенных команд, чтобы эти команды могли выполнять только пользователи, назначенные этому уровню. Однако изменение назначений по умолчанию может усложнить задачи по эксплуатации и обслуживанию и ослабить безопасность устройства. В таблице 1 приведено сопоставление по умолчанию между уровнями пользователя и команды.
Таблица 1. Сопоставление уровней
Пользовательский уровень | Командный уровень | Описание |
Команды для диагностики сети (такие как ping и tracert) и удаленный вход (например, telnet) | ||
1 | 0,1 | Команды для обслуживания системы, такие как display. Конкретные команды display, такие display current-configuration и display saved-configuration, являются командами уровня управления (требуются пользователи уровня 3). |
2 | 0,1,2 | Команды для настройки сервиса, такие как команды маршрутизации |
3-15 | 0,1,2,3 | Команды для управления основными операциями системы, такими как файловые системы, загрузка по FTP, управление пользователями, настройка уровня команд и диагностика неисправностей |
Коммутатор huawei s5731-s48p4x купить в москве, цена на s5731-s48p4x в нетворктелеком
Коммутатор Huawei S5731-S48P4X (48*10/100/1000BASE-T ports,4*10GE SFP ports,PoE ,without power module)
Характеристика | Значение |
Модель продукта | S5731-S48P4X |
Скорость передачи | 105 млн пакетов/с |
Коммутационная емкость | 672 Гбит/с |
Фиксированные порты | 48 Ethernet-портов 10/100/1000Base-T, 4 порта SFP 10 Гбит/с |
PoE | Поддерживается |
Функции MAC | 32 тыс. записей MAC-адресов |
Функции VLAN | 4 094 VLAN |
Технология Super Virtual Fabric (SVF) | Клиент SVF с возможностью автоматической настройки и запуска в работу. |
VXLAN | Поддержка шлюзов VXLAN уровня 2 и 3. |
Функциональная совместимость | VBST (совместим с PVST/PVST /RPVST) |
Товар сертифицирован.
Наши специалисты могут осуществить настройку купленного у нас оборудования!
Оплата заказов
Вы можете купить Huawei S5731-S48P4X за наличный и безналичный расчет. Цена не изменяется в зависимости от формы оплаты. Цена на сайте указана с НДС.
Доставка заказов
Доставка по Москве и в пределах 5 км от МКАД производится БЕСПЛАТНО.
Доставка по Московской области, в Санкт-Петербург, в регионы России, в Казахстан, Беларусь осуществляется по тарифам транспортных компаний.
Настроить статическую маршрутизацию
Как и в предыдущем случае, схема топологии выглядит следующим образом:
Цель: позволить CE6800 пинговать 8.0.10.2 на CE6850
На CE12800 настройте IP-адрес интерфейса GE 1/0/1 на 8.0.10.1/24.
На CE6850 настройте GE 1/0/0 IP интерфейса 8.0.10.2/24.
После подключения к сети попробуйте выполнить эхо-запрос 8.0.10.2 на CE6850 с CE6800, но эхо-запрос не работает;
Проверьте таблицу маршрутизации CE6800, нет маршрута к 8.0.10.0/24
Добавьте статический маршрут в 8.0.10.0/24 на CE6800, адрес следующего перехода должен быть 10.0.12.2 на CE12800
[*CE6800]ip route-static 8.0.10.0 24 10.0.12.2
Затем попробуйте выполнить эхо-запрос 8.0.10.2 на CE6850 с CE6800, но пинг по-прежнему не выполняется.
Причина в том, что CE6850 не имеет маршрута к сетевому сегменту 10.0.12.0/24, что приводит к тому, что пакет данных ping «идет и не возвращается»;
Добавьте статический маршрут к 10.0.12.0/24 на CE6850, адрес следующего перехода должен быть 8.0.10.1 на CE12800
[~CE6850]ip route-static 10.0.12.0 24 8.0.10.1
После отправки и сохранения CE6800 может пинговать 8.0.10.2 на CE6850;
Проверьте таблицы маршрутизации CE6800, CE12800 и CE6850, как показано на рисунке ниже соответственно.
Обратите внимание, что поле Proto бывает двух типов: прямое и статическое.
Все маршруты CE12800 подключены напрямую, а в поле Pre установлено значение 0.
CE6800 и CE6850 имеют два статических маршрута, поле Pre – 60,
Pre представляет приоритет маршрутизации, чем меньше, тем лучше, маршрут будет сопоставлен первым;
Приоритет протокола по умолчанию для маршрутизаторов Huawei следующий.
Остальные соглашенияПротокол динамической маршрутизации,включают:
OSPF (протокол первого открытого кратчайшего пути)
RIP (протокол информации о маршрутизации)
IS-IS (протокол от промежуточной системы к промежуточной системе)
BGP (протокол пограничного шлюза)
Настройка модема huawei с использованием hyperterminal
AT команды для модема huawei основаны на общих стандартах и отличаются только в зависимости от модели модема. Т.е. в некоторых модемах могут присутствовать команды, которые недоступны в других. Настройка модема необходима в некоторых случаях, например, при использовании совместно с маршрутизаторами, когда происходит конфликт работы оборудования друг с другом, или для разблокировки модема, купленного у оператора и работающего только с его сим-картами.
При подключении модема к компьютеру модем определяется как три устройства: собственно сам модем, привод компакт-дисков (виртуальный), и карта памяти (не для всех модемов). Для более комфортной работы можно отключить эмуляцию CD-Rom и Flash-карты. Пошаговая инструкция как это сделать:
- Запускаем программу «Гипертерминал».
- Программой при запуске будет предложено ввести новое имя соединения и иконку. Вводится любое удобное имя.
- Если автоматически не будет предложено создание нового соединения, то делается это через меню «Файл».
- Следующий шаг — это выбор параметров подключения: номер порта и скорость работы порта.
- После подключения терминала к устройству включаем работу только в режиме модема командой:
- AT^U2DIAG=0 для модемов Huawei серий Е1550 и Е1750;
- AT^SETPORT=»A1;1,2″ для модемов серии E367, E352, E392, E353 и E171;
- AT^SETPORT=»A1;1,2,3″ для модемов E369, E3131;
- Для того, чтобы прошла перезагрузка модема без необходимости его отсоединения от компьютера выполняем команду AT^CFUN=1.
Теперь устройство будет работать только в режиме модема, что избавит от многих проблем совместного использования с маршрутизаторами.
Очень часто появляется необходимость «отвязать» модем от работы только с конкретным оператором или разблокировать его. Для этого также существует прямая возможность выполняя AT команды модема. Команды для разблокировки следующие:
- AT^CARDUNLOCK=»nck md5 hash» для сброса попыток подключения на 10;
- AT^CARDLOCK=» код nck» для снятия блокировки оператора. Этот код можно просчитать с помощью специального калькулятора на основе IMEI;
Команда AT^CARDLOCK? проверяет статус блокировки. В ответ на запрос этой командой модем выдаст информацию в формате CARDLOCK: A,B,0, где А — это статус блокировки в бинарном формате (1 — есть блокировка, 0 — блокировка отсутствует), В — количество оставшихся попыток для разблокировки (для нового модема такое количество попыток составляет 10).
Настройка стекирования (istack)
После получения доступа к коммутаторам, при необходимости можно настроить стек. Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.
Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.
Есть два варианта настройки, которые немного отличаются в последовательности шагов:
Предварительная настройка коммутаторов с последующим их физическим соединением.
Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.
Последовательность действий для этих вариантов выглядит следующим образом:
Последовательность действий для двух вариантов стекирования коммутаторов
Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:
Планируем работы с учётом вероятного простоя. Составляем последовательность действий.
Осуществляем монтаж и кабельное подключение коммутаторов.
Настраиваем базовые параметры стека для master-коммутатора:
[~HUAWEI] stack
3.1. Настраиваем нужные нам параметры
#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.
Коммутатор с наибольшимприоритетом будет назначен master-коммутатором стека. Значение приоритетапо умолчанию: 100.#stack member { member-id | all } domain — назначить Domain ID для стека.По умолчанию, domain ID не задан.#
Пример: system-view[~HUAWEI] sysname SwitchA[HUAWEI] commit[~SwitchA] stack[~SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit
3.2 Настраиваем интерфейс порта стекирования (пример)
[~SwitchA]
interface stack-port 1/1SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: After the configuration is complete,
1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist.
2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y
[SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return
Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:
4. Выключаем порты для стекирования на master-коммутаторе (пример)
[~SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit
5. Настраиваем второй коммутатор в стэке по аналогии с первым:
Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.
Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.
[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.
The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return
Перезагружаем SwitchB
6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.
[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return
7. Проверяем работу стека командой “display stack”
Пример вывода команды после правильной настройки
———————————————————————————
MemberID Role MAC Priority DeviceType Description
———————————————————————————
1 Master 0004-9f31-d520 150 CE6850-48T4Q-EI
2 Standby 0004-9f62-1f40 120 CE6850-48T4Q-EI
———————————————————————————
indicates the device where the activated management interface resides.
8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.
и можно также посмотреть на сайте Huawei.
Опыт второй. безопасность
В качестве защиты от наиболее распространённых типов угроз мы настроили DHCP snooping, IP Source Guard, ARP security — все вместе это позволяет избежать некоторых типов атак, наиболее распространённых в офисной сети, в том числе и непреднамеренных.
Не секрет, что для администраторов становится головной болью появление в сети нелегального DHCP-сервера. DHCP snooping как раз таки призван решить эту проблему, т.к. раздача адресов в этом случае возможна только из доверенного порта, на остальных же она заблокирована.
На базе DHCP snooping работают функуции IP Source Guard и ARP security, защищающие от подделки IP и MAC адресов. Здесь суть в том, что работа возможна только с адресом полученным по DHCP, а связка «порт—IP—MAC» создается и проверяется автоматически.
Данная настройка убережет нас, если кто-то захочет использовать чужие IP-MAC, или организовать атаку типа MITM-атаку («Man-in-the-Middle»).
Третий тип возможных угроз — это атаки на STP. Здесь в качестве защиты на пользовательских портах включена фильтрация BPDU (то есть никакие STP-фреймы не отправляются пользователю и не принимаются от него).
Кроме того, ведёртся контроль появления посторонних BPDU stp bpdu-protection, что возможно при подключении другого коммутатора или атаки на stp root.
Активированная опция «stp edge-port enable» исключает порт из расчёта STP, уменьшая время сходимости и нагрузку на коммутатор.
Комбинация stp bpdu-protection и stp edge-port enable, аналогична Cisco spanning-tree portfast.
Собственно, примеры конфигурации:
Опыт первый. vlan
Созданы VLAN для офисной сети и для телефонов. Настроены «транки» и пользовательские порты. Включен LLDP.
Для работы Voice VLAN порты настраиваются в режиме «hybrid». IP-телефоны Yealink имеют возможность получения настроек по LLDP, чем мы успешно и воспользовались.
После конфигурирования пользовательский трафик остался в офисной сети, а голосовой переместился в Voice VLAN. При этом дополнительной настройки телефонов и рабочих мест не потребовалось, что очень удобно при миграции.
Включение LLDP позволяет выделять PoE в соответствии с требованиями подключенного устройства и экономно расходует бюджет мощности коммутатора.
Вопросов при настройке маршрутизации не возникло — всё работает. Базовые настройки маршрутизации:
router id 192.168.30.4#ospf 1area 0.0.0.0network 10.0.50.0 0.0.0.255#interface Vlanif50mtu 9198ospf timer hello 1ospf timer dead 3
Аутентификация peer не проверялась. В целях ускорения сходимости были настроены нестандартные тайминги (так называемый «LAN-based design»). В качестве «neighbor» успешно использована ASA5512 — работает.
Не обошлось и без нюансов: несмотря на то, что серия SI поддерживает динамический роутинг, он возможен только между интерфейсами Vlan (Vlanif). Т.е. порт нельзя перевести в режим L3 и назначить ему IP-адрес. Это возможно только для серий EI, HI.
Опыт четвертый. замена сертификата устройства на действительный
«До кучи» мы решили заменить заводской, самовыписанный сертификат на действительный ( благо есть свой валидный сертификат для подписи).
Импорт сертификата возможен только из CLI.
Столкнулись с тем, что ключи и сертификат должны быть отдельно, несмотря на то, что формат «pfx» позволяет экспортировать закрытый ключ в составе сертификата.
Более того, если вы пытаетесь импортировать цепочку из сертификатов, то первым обязательно должен быть записан сертификат устройства, а потом все остальные (например, промежуточные CA).
При стандартном экспорте в pem, сначала в файле идут сертификаты CA и только в конце сертификат устройства.
Для работы импорта, файлы сертификата на устройстве необходимо поместить в папку security на flash. Эта папка по умолчанию отсутствует её нужно создавать.
Представляем вашему вниманию пошаговый алгоритм:
1. Сгенерировать сертификат на внешнем CA.2. Экспортировать отдельно сертификат или цепочку и закрытый ключ.3. Если это цепочка — открыть файл сертификата блокнотом и перенести последний блок (сертификат устройства) в начало файла, сохранить.4.
На коммутаторе создать папку mkdir flash:/security5.Поместить в папку файл сертификата и ключ tftp 192.168.0.1 chain-servercert.pem /security/chain-servercert.pemПосле этого, согласно инструкции, создать политику и выполнить импорт.
Получение помощи
Запоминание тысяч командных строк VRP может показаться сложной задачей. Знак вопроса (?) облегчает задачу. Вы можете ввести? в любой момент, чтобы получить онлайн помощь. Помощь классифицируется как полная или частичная.
Полная справка, например, отображает список команд, доступных в текущем режиме. Ввод знака ? в пользовательском режиме отобразит следующее.
Из списка вы можете выбрать, какая команда вам нужна. Например, ключевое слово display описывается как Display information. Это ключевое слово содержится в более чем одной команде, поэтому введите любую букву, чтобы выйти из справки, введите display и пробел, а затем введите знак?. В результате отобразится следующая информация.
Из этого списка вы можете определить, какое ключевое слово связать с display. Например, при запуске команды display current-configuration отображаются текущие конфигурации устройства.
Частичная помощь идеально подходит для тех случаев, когда вы уже знаете часть командной строки. Например, если вы знаете dis для display и для с current- configuration, но не можете запомнить полную командную строку, используйте частичную справку. Ввод dis и ? показывает следующее.
Единственное ключевое слово, которое соответствует dis — это display. Чтобы определить вторую часть командной строки, введите dis, пробел, c и ?.
Несколько ключевых слов начинаются с c; однако легко определить, что необходимая командная строка display current-configuration.