Базовая настройка коммутаторов и маршрутизаторов huawei
Datacom оборудование Huawei работает на операционной системе VRP — Versatile Routing
Platform, которая в свою очередь основана на
VxWorks
.
Версии VRP
не используются:
VRP 1 (1998-2001)
VRP2 (1999-2001)
VRP3 (2000-2004)
используются по настоящее время:
VRP5 (2000-now)
VRP8 (2009-now)
Доступ на устройства
Доступ через консольный порт осуществляется со следующими настройками (все аналогично cisco, в том числе консольный кабель):
bits per sec 9600
data bits 8
parity none
stop bits 1
flow control none
Basic
вход в режим конфигурирования
system view
вернуться на уровень назад
quit
команда отрицания (аналогично no в cisco)
undo
настройка пароля доступа по консольному порту
user-interface console 0
authentication-mode password
set
authentication password cipher …
настройка пароля доступа через виртуальный терминал
VLAN Principles
создание
vlan batch <ID VLAN>
interface <тип порта> <идентификатор порта>
port link-type access
port
access default vlan …
interface <тип порта> <идентификатор порта>
port link-type trunk
port trunk allow-pass vlan <ID VLAN>
port link-type hybrid
port hybrid untagged vlan …
port hybrid tagged vlan …
port hybrid pvid vlan …
…
создание L3 интерфейса
interface Vlanif <ID VLAN>
ip address <IP-address> <netmask>
Link Aggregation
L2 LAG
interface Eth-trunk 1 — создали LAG группу
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
L3 LAG
interface Eth-trunk 1 — создали LAG группу
// переход интерфейса к L3
undo portswitch
ip address <IP-address> <netmask>
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
LACP(link aggregation control protocol)
system-view
lacp priority … (The smaller the LACP system priority value, the higher the LACP system priority.)
int Eth-trunk 1 — создали LAG группу
mode lacp-static -выбрали режим
lacp preference … (The smaller the LACP interface priority value, the higher the LACP interface priority)
STP
выбор стандарта
stp mode stp
активируется глобально и на интерфейсе
stp enable
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
stp priority 32768
на интерфейсе
stp disable
stp port priority …
display stp brief
display stp instance 0 brief
RSTP
выбор стандарта
stp mode rstp
выключает edge порт при получении bpdu
stp bpdu-protection
на интерфейсе:
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние root-inconsistent — несогласованность корня)
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние loop-inconsistent)
MSTP
stp mode mstp
stp region-configuration
region-name parapampam
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
active region-configuration
display stp region-configuration
Static routing
создаем статический маршрут
ip route-static ipaddress { mask | mask-length } interface-type interface-number [ nexthopaddress ] preference …
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0 nexthopaddress
RIP
basic:
rip 1
version 2 (по умолчанию version 1)
network 10.0.0.0
анонс маршрута по умолчанию через rip
default-route originate
выключаем автоматическую суммаризацию маршрутов
undo summary
суммаризация маршрутов на интерфейсе
int g0/0/0
rip summary-address 172.16.0.0 255.255.0.0.
debug
debugging rip 1,
disp debugging
terminal debugging
undo debugging rip 1 or undo debugging all !!!
RIP Metric
int g0/0/0
устанавливает cost на порту для входящих маршрутов
rip metricin
устанавливает cost на порту для исходящих маршрутов
rip metricout
rip poison-reverse
rip split horizon
Ограничение распространения маршрутной информации
int g0/0/0
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
rip 1
silent int g0/0/0 —
Authentification
int g0/0/0
rip authentification-mode simple ….
int g0/0/1
rip authentification-mode md5 usual ….
display
display rip <process_id> interface <interface> verbose
display rip 1 neighbor
OSPF
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
area 0
network ip address wildcard-mask
меняем расчет метрики
ospf 1
bandwidth-reference 10000
меняем cost, таймеры, dr-priority
int g0/0/0
ospf cost 20
ospf timer hello …
ospf timer dead …
ospf dr-priority …
Authentification OSPF
Simple authentication:
ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].
Выключаем OSPF на порту (restrict OSPF operation)
ospf 1
silent-int g0/0/0
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
ospf 1
default-route-advertise
display
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
VRRP
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейса
GigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
int g0/0/0
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
mkdir <полный путь и имя директории>
Для удаления директории
rmdir <полный путь и имя директории>
Для удаления и переименование файла
delete <полный путь и имя файла>
rename <полный путь и имя файла> <полный путь и имя файла>
Для удаления файла без возможности восстановления
delete /unreserved <полный путь и имя файла>
Для восстановления файла
undelete <имя файла>
Для очистки «корзины»
reset recycle-bin
Удаление файла с конфигурацией
delete <полный путь и имя файла>
Сброс сохранненой конфигурации
reset saved-configuration
Узнать версию софта
display version
display device slot
Работа с ftp
Подключиться по ftp
ftp x.x.x.x
скачать файл
get example.zip
Подключиться по tftp
tftp x.x.x.x get example.zip
Указываем файл startup config
startup system-software example.zip
HDLC
int s2/0/0
link-protocol hdlc
ip address x x x x xx
привязываем адрес loopback
ip unnambered int loopback 0
PPP
Настройка ppp c authentication-mode pap
R1
sysname BRAS
R2
sysname pap_client
Настройка ppp c authentication-mode chap
R1
sysname BRAS
link-protocol ppp
ppp authentication-mode chap
R2
sysname chap_client
int s1/0/0
PPPoE
display pppoe-server session all
sysname BRAS
int dialer 1
display nat server
diplay nat outbound
diplay nat address-group 1
DHCP
interface pool configuration
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
dhcp enable
ip pool pool1
network x.x.x.x mask xx
gateway-list x.x.x.x
lease day x
int g0/0/1
dhcp select global
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
ACL
basic
acl 2000
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter outbound acl 2000
advanced
acl 3000
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter inbound acl 3000
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
acl 2000
rule permit source z.z.z.z wildcard mask
int g0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
создаем схему авторизации
authorization-scheme auth1
схема без сервера: radius…
authorization-mode local
создаем схему аутентификации
authentication-scheme auth2
схема без сервера: radius,diametr…
authentication-mode local
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
создаем пользователя в домене и указываем достпные сервисы и привилегии
local-user user1@huawei password cipher qwerty
local-user user1@huawei service-type telnet
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
user-int con 0
authentication aaa
local-user user1@huawei privilege level 0
display domain name huawei
Сводка команд настройки коммутатора huawei – русские блоги
1. Команды, относящиеся к файлу конфигурации
[Quidway] display current-configuration Показать текущую действующую конфигурацию [Quidway] display saved-configuration Отображает файл конфигурации во флэш-памяти, то есть файл конфигурации, используемый при следующем включении. сбросить сохраненную конфигурацию Удалить старый файл конфигурации перезагрузка Переключить перезагрузку отображать версию Отображать информацию о версии системы2. Базовая конфигурация
[Quidway] супер пароль изменить пароль привилегированного пользователя [Quidway] sysname Имя коммутатора [Quidway] interface ethernet 1/0/1 Откройте вид интерфейса [Quidway] interface vlan 1 Вход в вид интерфейса [Quidway-Vlan-interfacex] IP-адрес 10.1.1.11 255.255.0.0 Настройте IP-адрес VLAN [Quidway] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 Статический маршрут = шлюз3. Конфигурация Telnet
[Quidway] пользовательский интерфейс vty 0 4 Вход в виртуальный терминал [S3026-ui-vty0-4] пароль режима аутентификации Установить режим пароля [S3026-ui-vty0-4] установить пароль режима аутентификации простой xmws123 установить пароль [S3026-ui-vty0-4] уровень прав пользователя 3 уровень пользователя4. Конфигурация порта
[Quidway-Ethernet1 / 0/1] дуплекс {half | full | auto} настраивает рабочий статус порта [Quidway-Ethernet1 / 0/1] speed {10 | 100 | auto} Настроить скорость работы порта. [Quidway-Ethernet1 / 0/1] flow-control Настроить управление потоком порта [Quidway-Ethernet1 / 0/1] mdi {через | авто | нормальный} поворот плоского соединения порта конфигурации [Quidway-Ethernet1 / 0/1] port link-type {trunk | access | hybrid} Установите режим работы порта [Quidway-Ethernet1 / 0/1] отменить выключение активировать порт [Quidway-Ethernet1 / 0/2] выйти Выйти из режима просмотра системы5. Конфигурация агрегирования ссылок.
[DeviceA] ручной режим группы агрегации каналов 1 Создать группу агрегации 1 вручную [Qw_A] interface ethernet 1/0/1 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/1] port link-aggregation group 1 [Qw_A-Ethernet1 / 0/1] interface ethernet 1/0/2 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/2] port link-aggregation group 1 [Qw_A] Туннель типа службы 1 группы агрегации каналов # Создать группу кольцевой проверки службы туннеля на основе группы агрегации вручную. [Qw_A] interface ethernet 1/0/1 Добавьте порт Ethernet Ethernet1 / 0/1 в сервисную группу обратной связи.
[Qw_A-Ethernet1/0/1] undo stp
[Qw_A-Ethernet1/0/1] port link-aggregation group 16. Зеркалирование портов
[Quidway] monitor-port указать порт зеркала [Quidway] port mirror Укажите порт для зеркалирования. [Quidway] порт-зеркало int_list наблюдающий порт int_type int_num Укажите зеркало и будет зеркалироваться7. Конфигурация VLAN.
[Quidway] vlan 4 Создать VLAN [Quidway-vlan4] порт Ethernet 1/0/1 до Ethernet 1/0/4 добавить порт в VLAN① Настроить VLAN на основе доступа
[Quidway-Ethernet1 / 0/2] доступ к порту vlan 4 Текущий порт добавлен в VLAN Примечание. По умолчанию тип канала порта - Тип доступа, и все порты доступа принадлежат и только принадлежат к VLAN1.② Настроить VLAN на основе магистрали
[Quidway-Ethernet 1/0/24] port link-type trunk Установите текущий порт в качестве транкового. [Quidway-Ethernet 1/0/24] port trunk разрешить vlan {ID | All} установить VLAN, разрешенную транком Примечание. По умолчанию все порты разрешают прохождение пакетов VLAN1. [Quidway-Ethernet1 / 0/2] port trunk pvid vlan 34 устанавливает PVID транкового порта③ Настроить VLAN на основе гибридного порта
[Quidway-Ethernet1 / 0/2] порт гибридного типа канала. Настройте тип канала порта как гибридный. [Quidway-Ethernet1 / 0/2] port hybrid vlan vlan-id-list {tagged | untagged} Разрешить указанной VLAN проходить через текущий гибридный порт Примечание. По умолчанию все гибридные порты позволяют проходить только VLAN1. [Quidway-Ethernet1 / 0/2] port hybrid pvid vlan vlan-id Установите VLAN по умолчанию для гибридного порта. Примечание. По умолчанию VLAN гибридного порта по умолчанию - VLAN1.④ Описание VLAN
[Quidway] description string Укажите символ описания VLAN. [Quidway] отменить описание удалить символ описания VLAN [Quidway] display vlan [vlan_id] Просмотр настроек VLAN⑤ Конфигурация частной VLAN
[Qw_A-vlanx] isolate-user-vlan enable установить основной vlan [Qw_A] Isolate-user-vlan secondary - установить дополнительный vlan, включенный в основной vlan. [Quidway-Ethernet1 / 0/2] порт гибридный pvid vlan set vlan pvid [Quidway-Ethernet1 / 0/2] гибридный pvid порта удалить pvid vlan [Quidway-Ethernet1 / 0/2] порт гибридный vlan vlan_id_list без тегов Установить неопознанный vlan Если идентификатор vlan пакета совпадает с PVId, удалите информацию о vlan.По умолчанию PVID = 1. Поэтому установите PVID равным идентификатору VLAN владельца и установите для взаимодействующей VLAN непомеченную.8. Конфигурация STP.
[Quidway] stp {enable | disable} Установить связующее дерево, по умолчанию отключено [Quidway] stp mode rstp Установить режим связующего дерева на rstp [Quidway] stp priority 8192 Установить приоритет переключателя [Quidway] stp root {primary | secondary} задан как корневой или корневой резервный [Quidway-Ethernet0 / 1] stp cost 200 Установить стоимость порта коммутатора. Конфигурация MSTP: # Настройте для доменного имени MST значение info, уровень версии MSTP - 1, отношение сопоставления VLAN таково, что VLAN2 ~ VLAN10 сопоставлены с MSTI 1, а VLAN20 ~ VLAN30 сопоставлены с MSTI 2.
system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration9. Работа с таблицей MAC-адресов.
① Добавить запись в таблицу MAC-адресов в системном представлении
[Quidway] MAC-адрес {статический | динамический | черная дыра} MAC-адрес интерфейса тип интерфейса номер интерфейса vlan идентификатор vlan; добавить запись в таблицу MAC-адресовПри добавлении записей в таблицу MAC-адресов порт, указанный параметром интерфейса в команде, должен принадлежать к VLAN, указанной параметром vlan, в противном случае добавление не будет выполнено.
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
② Добавить запись в таблицу MAC-адресов в представлении порта Ethernet.
[Quidway-Ethernet1/0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-idПри добавлении записи в таблицу MAC-адресов текущий порт должен принадлежать VLAN, указанной параметром vlan в команде, в противном случае добавление завершится неудачно;
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
[Quidway] таймер MAC-адреса {ageing age | no-age} Установите время устаревания записей в таблице MAC-адресов.Примечание: По умолчанию время устаревания записей таблицы MAC-адресов составляет 300 секунд.Если используется параметр no-ageing, это означает, что записи таблицы MAC-адресов не будут устаревать.
③ Конфигурация времени устаревания MAC-адреса действует для всех портов, но функция устаревания адреса работает только с динамическими (изученными или настраиваемыми пользователем) записями MAC-адресов.
[Quidway-Ethernet1 / 0/2] mac-address max-mac-count count Установите максимальное количество MAC-адресов, которые порт может узнать;Примечание. По умолчанию нет ограничений на количество MAC-адресов, полученных портом. И наоборот, если для порта включены функции аутентификации MAC-адреса и безопасности порта, вы не можете настроить максимальное количество MAC-адресов, полученных для порта.
[Quidway-Ethernet1 / 0/2] port-mac start-mac-address Настройте начальное значение MAC-адреса порта Ethernet.По умолчанию порт Ethernet коммутатора E126 / E126A не настроен с MAC-адресом. Поэтому, когда коммутатор отправляет пакеты протокола уровня 2 (например, STP), он будет использовать MAC-адрес отправляющего порта, поскольку он не может получить MAC-адрес отправляющего порта. MAC-адрес, предварительно установленный протоколом, используется в качестве адреса источника для заполнения сообщения для передачи. В реальной сети, поскольку несколько устройств используют один и тот же исходный MAC-адрес для отправки пакетов протокола уровня 2, это приведет к тому, что один и тот же MAC-адрес будет изучен на разных портах определенного устройства, что может привести к ведению таблицы MAC-адресов. влияет.
[Quidway] отображать mac-адрес Отображать информацию таблицы адресов [Quidway] отображение времени устаревания mac-адреса Отображение времени устаревания динамических записей в таблице адресов [Quidway] display port-mac Отображение начального значения MAC-адреса порта Ethernet, настроенного пользователем.10. Конфигурация GVRP.
[Qw_A] gvrp включает глобальный GVRP [Qw_A-Ethernet1 / 0/1] gvrp включает GVRP в Ethernet 1/0/1 [Qw_A-Ethernet1 / 0/1] gvrp registration {fixed | запрещено | normal} Настройте режим регистрации порта GVRP, по умолчанию это нормально. Чтобы [Qw_A] отобразить статистику Garp [interface interface-list] Показать статистику GARP
[Qw_A] отобразить таймер garp [interface interface-list] Показать значение таймера GARP [Qw_A] отобразить статистику GVRP [interface interface-list] Показать статистику GVRP [Qw_A] Показать статус GVRP Показать информацию о глобальном статусе GVRP [Qw_A] отобразить gvrp statusreset garp statistics [interface interface-list] Очистить статистику GARP11. Конфигурация DLDP.
[Qw_A] interface gigabitethernet 1/1/1 [Qw_A-GigabitEthernet1 / 1/1] дуплексный полный Настройте порт для работы в принудительном полнодуплексном режиме [Qw_A-GigabitEthernet1 / 1/1] скорость 1000 Скорость 1000 Мбит / с [Qw_A] dldp enable Включить DLDP глобально. [Qw_A] dldp interval 15 Установите интервал для отправки пакетов DLDP равным 15 секундам.
[Qw_A] dldp work-mode { enhance | normal } Настройте режим работы протокола DLDP как расширенный. По умолчанию это нормально.
[Qw_A] dldp unidirectional-shutdown { auto | manual } Настройте режим работы однонаправленного канала DLDP на автоматический режим. По умолчанию авто Qw_A] display dldp 1 Просмотр статуса DLDP.① Когда оптоволокно перекрестно, два или три порта могут находиться в отключенном состоянии, а остальные порты находятся в неактивном состоянии.
② Когда один конец оптического волокна подключен правильно, а другой конец не подключен:
Если рабочий режим DLDP нормальный, то конечный приемный световой сигнал находится в состоянии объявления, а конечный, не получающий световой сигнал, находится в неактивном состоянии.
Если рабочий режим DLDP является улучшенным, индикатор на конце приема находится в состоянии «Отключено», а конец, не получающий свет, находится в состоянии «Неактивно».
③ Команда dldp reset может сбросить статус DLDP всех портов в глобальном масштабе, а также может повторно зарядить статус DLDP порта под интерфейсом.
12. Конфигурация изоляции порта.
① С помощью функции изоляции портов пользователи могут добавлять порты, которыми необходимо управлять, в группу изоляции, чтобы реализовать изоляцию данных второго и третьего уровня между портами в группе изоляции, что улучшает Для повышения безопасности сети он также предоставляет пользователям гибкое сетевое решение.
[Sysname] interface ethernet1 / 0/2 Добавьте порт Ethernet Ethernet1 / 0/2 в группу изоляции.
[Sysname-Ethernet1/0/2] port isolate [Sysname] отобразить изолированный порт Показать информацию о порте в группе изоляции② После настройки группы изоляции не могут обмениваться данными только пакеты между портами в группе изоляции.Связь между портами в группе изоляции и портами за пределами группы изоляции не будет затронута.
③ Функция изоляции порта не имеет ничего общего с VLAN, к которой принадлежит порт Ethernet.
④ Когда порт в группе агрегации присоединяется к группе изоляции или покидает ее, другие порты в той же группе агрегации на этом устройстве автоматически присоединяются или покидают группу изоляции.
⑤ Для группы портов, которые одновременно входят в группу агрегации и группу изоляции, когда один из портов покидает группу агрегации, другие порты не будут затронуты, то есть другие порты останутся в исходном состоянии. В группе агрегации и исходной группе изоляции.
⑥ Если порты в группе агрегации принадлежат к группе изоляции одновременно, когда группа агрегации удаляется непосредственно в системном представлении, порты в группе агрегации по-прежнему будут в группе изоляции в.
⑦ Когда порт в группе изоляции присоединяется к группе агрегации, все порты в группе агрегации автоматически добавляются в группу изоляции.
13. Конфигурация безопасности порта.
[Switch] port-security enable Включить функцию безопасности порта [Switch] interface Ethernet 1/0/1 Вход в порт Ethernet 1/0/1.
[Switch-Ethernet1/0/1] port-security max-mac-count 80 Установите максимальное количество MAC-адресов, разрешенных для порта, на 80. [Switch-Ethernet1 / 0/1] port-security port-mode autolearn Настроить режим безопасности порта как autolearn.
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 Добавьте MAC-адрес хоста 0001-0002-0003 в качестве MAC-адреса безопасности в VLAN 1
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily Установите срабатывание защиты от вторжений, временно закройте порт [Switch] port-security timer disableport 30 Время закрытия 30 секунд.14. Конфигурация привязки порта
С помощью функции привязки порта сетевой администратор может привязать MAC-адрес и IP-адрес пользователя к указанному порту. После операции привязки коммутатор пересылает только сообщения, отправленные пользователем с указанным MAC-адресом и IP-адресом, полученным из порта, что повышает безопасность системы и улучшает мониторинг сетевой безопасности.
[Qw_A-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1Привяжите MAC-адрес и IP-адрес узла 1 к порту Ethernet1 / 0/1.
Конфигурация привязки на некоторых переключателях отличается
[Qw_A] interface ethernet 1/0/2
[Qw_A-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405 Конфигурация фильтрации портов [Qw_A] interface ethernet1 / 0/1 Настройте функцию фильтрации порта Ethernet1 / 0/1.
[Qw_A-Ethernet1/0/1] ip check source ip-address mac-address [Qw_A] dhcp-snooping Включение функции DHCP Snooping.
[Qw_A] interface ethernet1/0/2 Установите порт Ethernet1 / 0/2, подключенный к DHCP-серверу, как доверенный порт.
[Qw_A-Ethernet1/0/2] dhcp-snooping trust Включите фильтрацию IP-адресов на порте Ethernet1 / 0/1, чтобы клиенты не могли использовать поддельные IP-адреса источника для атаки на сервер.15. Конфигурация BFD
Qw_A, Qw_B и Qw_C доступны друг другу. Настройте статический маршрут на Qw_A для достижения Qw_C и включите функцию обнаружения BFD.
① Настройте статический маршрут на Qw_A, включите функцию обнаружения BFD и реализуйте функцию BFD с помощью эхо-сообщений BFD.
<Qw_A> system-view
[Qw_A] bfd echo-source-ip 123.1.1.1
[Qw_A] interface vlan-interface 10
[Qw_A-vlan-interface10] bfd min-echo-receive-interval 300
[Qw_A-vlan-interface10] bfd detect-multiplier 7
[Qw_A-vlan-interface10] quit
[Qw_A] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet② Включите переключатель отладочной информации функции BFD на Qw_A.
<Qw_A> debugging bfd event
<>Qw_A> debugging bfd scm
<Qw_A> terminal debugging③ На Qw_A вы можете включить переключатель отладочной информации функции BFD, отключить связь между Hub и Qw_B и проверить результат конфигурации. Результат проверки показывает, что
④ Qw_A может быстро определить изменение связи между Qw_A и Qw_B.
16. Конфигурация QinQ
Провайдер A и провайдер B соединены через магистральный порт. Провайдер A принадлежит VLAN 1000 сети оператора связи, а поставщик B принадлежит VLAN 2000 сети оператора связи.
Между поставщиком A и поставщиком B оператор использует оборудование других производителей, а значение TPID равно 0x8200.
Я надеюсь, что после настройки будут выполнены следующие требования:
Пакеты VLAN10 клиента A могут связываться с пакетами VLAN10 клиента B после пересылки сетью VLAN1000 оператора связи; пакеты VLAN20 клиента A могут быть
Пакеты и VLAN20 клиента C пересылаются сетью VLAN2000 оператора связи, а затем обмениваются данными друг с другом.
[ProviderA] interface ethernet 1/0/1 # Настройте порт как гибридный порт и разрешите прохождение пакетов VLAN10, VLAN20, VLAN1000 и VLAN2000 и удалите внешний тег при отправке.
[ProviderA-Ethernet1/0/1] port link-type hybrid
[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000 Инкапсулируйте пакеты из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.
[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000 Инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.
[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20 [ProviderA] interface ethernet 1/0/2 VLAN по умолчанию для порта конфигурации - VLAN1000.
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable Настройте базовую функцию QinQ порта для инкапсуляции пакетов из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.
[ProviderA] interface ethernet 1/0/3 Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.
[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.
[ProviderB] interface ethernet 1/0/1 Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.
[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.
[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2 # Настройте VLAN по умолчанию для порта как VLAN2000.
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable Настройте базовую функцию QinQ порта и инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.