Настройка основных параметров у коммутаторов huawei cloudengine (на примере 6865) / хабр – huawei devices
Приветствую!
Заранее извиняюсь за сумбур.
Случилась беда. Лежит весь домен.
Всего 3 контроллера домена. DC1, DC4 в одном сайте, DC3 — в другом.
Началось с того, что основной контроллер (DC1) внезапно и безнадежно канул в лету. После тщетных попыток его восстановить из единственного систем-стэйта, было решено поднять новый по этой инструкции
https://technet.microsoft.com/ru-ru/library/cc785849.aspx
Роли захватывал DC4. Всё прошло отлично до пункта с SYSVOL. NTFRS-репликация на вновь поднятый DC1 почему-то не шла и неудачные попытки ее оживить привели к полной неработоспособности вообще всего домена.
Признаюсь честно, пробовал рецепт из первого комментария отсюда
http://eventid.net/display.asp?eventid=13568&eventno=1743&source=NtFrs&phase=1
Сначала исчезли ошибки и пошли нормальные сообщения, и потом я вернул «Enable Journal Wrap Automatic Restore» в 0 на всех доменах. Возможно после этого всё и началось.
При попытке залогиниться пользователь получает сообщение «The system cannot log you on due to the following error: The specified domain either does not exist or could not be contacted.»
DC4 (основной, на который были переданы все основные роли):
C:Documents and Settingsadmin>netdiag
…………………………………
Computer Name: DC4
DNS Host Name: dc4.concord.com
System info : Microsoft Windows Server 2003 R2 (Build 3790)
Processor : x86 Family 15 Model 6 Stepping 5, GenuineIntel
List of installed hotfixes :
KB2570791
KB2998527
KB3013410
KB957097
KB958644
KB958687
Q147222
Netcard queries test . . . . . . . : Passed
Per interface results:
Adapter : Local Area Connection
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : dc4
IP Address . . . . . . . . : 192.168.0.14
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 192.168.0.1
Primary WINS Server. . . . : 192.168.0.10
Secondary WINS Server. . . : 192.168.0.14
Dns Servers. . . . . . . . : 192.168.0.14
192.168.0.10
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Passed
WINS service test. . . . . : Failed
The test failed. We were unable to query the WINS servers.
Global results:
Domain membership test . . . . . . : Failed
[WARNING] Ths system volume has not been completely replicated to the local
machine. This machine is not working properly as a DC.
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{DCDCBD18-BEB6-425A-A017-B97CFEC98B49}
1 NetBt transport currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS — All the DNS entries for DC are registered on DNS server ‘192.168.0.14
‘ and other DCs also have some of the names registered.
PASS — All the DNS entries for DC are registered on DNS server ‘192.168.0.10
‘ and other DCs also have some of the names registered.
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{DCDCBD18-BEB6-425A-A017-B97CFEC98B49}
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{DCDCBD18-BEB6-425A-A017-B97CFEC98B49}
The browser is bound to 1 NetBt transport.
DC discovery test. . . . . . . . . : Failed
[FATAL] Cannot find DC in domain ‘CONCORD’. [ERROR_NO_SUCH_DOMAIN]
DC list test . . . . . . . . . . . : Failed
‘CONCORD’: Cannot find DC to get DC list from [test skipped].
Trust relationship test. . . . . . : Skipped
Kerberos test. . . . . . . . . . . : Skipped
‘CONCORD’: Cannot find DC to get DC list from [test skipped].
LDAP test. . . . . . . . . . . . . : Failed
Cannot find DC to run LDAP tests on. The error occurred was: The specified d
omain either does not exist or could not be contacted.
[WARNING] Cannot find DC in domain ‘CONCORD’. [ERROR_NO_SUCH_DOMAIN]
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run «netsh ipsec dynamic show /?» for more detailed information
The command completed successfully
C:Documents and Settingsadmin>ntfrsutl ds
NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
FRS DomainControllerName: (null)
Computer Name : DC4
Computer DNS Name : dc4.concord.com
BINDING TO THE DS:
ldap_connect : dc4.concord.com
DsBind : dc4.concord.com
NAMING CONTEXTS:
SitesDn : CN=Sites,cn=configuration,dc=concord,dc=com
ServicesDn : CN=Services,cn=configuration,dc=concord,dc=com
DefaultNcDn: DC=concord,DC=com
ComputersDn: CN=Computers,DC=concord,DC=com
DomainCtlDn: OU=Domain Controllers,DC=concord,DC=com
Fqdn : CN=DC4,OU=Domain Controllers,DC=concord,DC=com
Searching : Fqdn
COMPUTER: DC4
DN : cn=dc4,ou=domain controllers,dc=concord,dc=com
Guid : a7f4fd77-6f6b-491d-8ac256fab14c9a88
UAC : 0x00082000
Server BL : CN=DC4,CN=Servers,CN=Akonit,CN=Sites,CN=Configuration,DC=concord,
DC=com
Settings : cn=ntds settings,cn=dc4,cn=servers,cn=akonit,cn=sites,cn=configur
ation,dc=concord,dc=com
DNS Name : dc4.concord.com
WhenCreated : 2/12/2009 9:20:44 Russia TZ 2 Standard Time Russia TZ 2 Standa
rd Time [-180]
WhenChanged : 10/3/2022 19:32:52 Russia TZ 2 Standard Time Russia TZ 2 Stand
ard Time [-180]
SUBSCRIPTION: NTFRS SUBSCRIPTIONS
DN : cn=ntfrs subscriptions,cn=dc4,ou=domain controllers,dc=concord,dc=c
om
Guid : cfb61ea1-34c8-4979-8ea72df65283a7f3
Working : c:windowsntfrs
Actual Working: c:windowsntfrs
WhenCreated : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2 St
andard Time [-180]
WhenChanged : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2 St
andard Time [-180]
SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn
=dc4,ou=domain controllers,dc=concord,dc=com
Guid : 450298ae-e734-4abf-9e4fc3f47d6baee2
Member Ref: CN=DC4,CN=Domain System Volume (SYSVOL share),CN=File Repli
cation Service,CN=System,DC=concord,DC=com
Root : c:windowssysvoldomain
Stage : c:windowssysvolstagingdomain
WhenCreated : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
WhenChanged : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
Subscriber Member Back Links:
cn=dc4,cn=domain system volume (sysvol share),cn=file replication service,
cn=system,dc=concord,dc=com
SETTINGS: FILE REPLICATION SERVICE
DN : cn=file replication service,cn=system,dc=concord,dc=com
Guid : 2c15400f-6070-44be-90293824d8c1648e
WhenCreated : 11/10/2001 20:28:33 Russia TZ 2 Standard Time Russia TZ 2 Stan
dard Time [-180]
WhenChanged : 2/12/2009 10:14:6 Russia TZ 2 Standard Time Russia TZ 2 Standa
rd Time [-180]
SET: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=file replication service,
cn=system,dc=concord,dc=com
Guid : d2f74eee-9985-48b1-b5d7dcb5b56d77ea
Type : 2
Primary Member: (null)
File Filter : *.tmp, *.bak, ~*
Dir Filter : (null)
FRS Flags : (null)
WhenCreated : 11/10/2001 20:35:47 Russia TZ 2 Standard Time Russia TZ 2 S
tandard Time [-180]
WhenChanged : 2/12/2009 10:15:8 Russia TZ 2 Standard Time Russia TZ 2 Sta
ndard Time [-180]
MEMBER: DC1
DN : cn=dc1,cn=domain system volume (sysvol share),cn=file replicatio
n service,cn=system,dc=concord,dc=com
Guid : 030f326e-540a-4fe5-910893e83caac413
Server Ref : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Akonit,CN=Sites,
CN=Configuration,DC=concord,DC=com
Computer Ref : cn=dc1,ou=domain controllers,dc=concord,dc=com
Cracked Domain : concord.com
Cracked Name : 00000002 CONCORDDC1$
Cracked Domain : concord.com
Cracked Name : fffffff4 S-1-5-21-1304569826-626877892-1847928074-1758
6
Computer’s DNS : dc1.concord.com
WhenCreated : 10/9/2022 22:1:55 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
WhenChanged : 10/9/2022 22:2:32 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
CXTION: 27A9F25E-5F90-4F2D-A9F8-920AFD54D41F
DN : cn=27a9f25e-5f90-4f2d-a9f8-920afd54d41f,cn=ntds settings,cn=d
c1,cn=servers,cn=akonit,cn=sites,cn=configuration,dc=concord,dc=com
Guid : 70be9b5b-18b1-4068-94d30f3d8436e007
Partner Dn : cn=ntds settings,cn=dc4,cn=servers,cn=akonit,cn=sites
,cn=configuration,dc=concord,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 10/9/2022 22:6:54 Russia TZ 2 Standard Time Russia TZ
2 Standard Time [-180]
WhenChanged : 10/9/2022 22:37:32 Russia TZ 2 Standard Time Russia T
Z 2 Standard Time [-180]
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111
MEMBER: DC3
DN : cn=dc3,cn=domain system volume (sysvol share),cn=file replicatio
n service,cn=system,dc=concord,dc=com
Guid : d1330c13-8dfe-41ac-aa99f911e0951e9a
Server Ref : CN=NTDS Settings,CN=DC3,CN=Servers,CN=Farmproekt,CN=Si
tes,CN=Configuration,DC=concord,DC=com
Computer Ref : cn=dc3,ou=domain controllers,dc=concord,dc=com
Cracked Domain : concord.com
Cracked Name : 00000002 CONCORDDC3$
Cracked Domain : concord.com
Cracked Name : fffffff4 S-1-5-21-1304569826-626877892-1847928074-1534
9
Computer’s DNS : dc3.concord.com
WhenCreated : 3/26/2008 12:34:47 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
WhenChanged : 2/12/2009 10:15:58 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
CXTION: F8FDF71C-636F-42FA-BFD3-789EB493614D
DN : cn=f8fdf71c-636f-42fa-bfd3-789eb493614d,cn=ntds settings,cn=d
c3,cn=servers,cn=farmproekt,cn=sites,cn=configuration,dc=concord,dc=com
Guid : cc83954c-ec7e-4ee0-abc31ad9d5b743af
Partner Dn : cn=ntds settings,cn=dc4,cn=servers,cn=akonit,cn=sites
,cn=configuration,dc=concord,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 10/9/2022 1:9:54 Russia TZ 2 Standard Time Russia TZ
2 Standard Time [-180]
WhenChanged : 10/9/2022 21:28:15 Russia TZ 2 Standard Time Russia T
Z 2 Standard Time [-180]
Options : 0x00000005 [AutoGenCxtion OverrideNotifyDefault ]
Schedule
Day 1: ffffffffffffffffffffffff
Day 2: ffffffffffffffffffffffff
Day 3: ffffffffffffffffffffffff
Day 4: ffffffffffffffffffffffff
Day 5: ffffffffffffffffffffffff
Day 6: ffffffffffffffffffffffff
Day 7: ffffffffffffffffffffffff
MEMBER: DC4
DN : cn=dc4,cn=domain system volume (sysvol share),cn=file replicatio
n service,cn=system,dc=concord,dc=com
Guid : db9b3e11-0804-4a55-a37f3aded21aa45a
Server Ref : CN=NTDS Settings,CN=DC4,CN=Servers,CN=Akonit,CN=Sites,
CN=Configuration,DC=concord,DC=com
Computer Ref : cn=dc4,ou=domain controllers,dc=concord,dc=com
Cracked Domain : concord.com
Cracked Name : 00000002 CONCORDDC4$
Cracked Domain : concord.com
Cracked Name : fffffff4 S-1-5-21-1304569826-626877892-1847928074-1580
9
Computer’s DNS : dc4.concord.com
WhenCreated : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
WhenChanged : 2/12/2009 10:20:38 Russia TZ 2 Standard Time Russia TZ 2
Standard Time [-180]
CXTION: B9410A0F-1C4B-4E81-9E23-19A174FD89F8
DN : cn=b9410a0f-1c4b-4e81-9e23-19a174fd89f8,cn=ntds settings,cn=d
c4,cn=servers,cn=akonit,cn=sites,cn=configuration,dc=concord,dc=com
Guid : da19afff-5f7c-4c28-a08298c16bdad88d
Partner Dn : cn=ntds settings,cn=dc3,cn=servers,cn=farmproekt,cn=s
ites,cn=configuration,dc=concord,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 10/9/2022 1:18:38 Russia TZ 2 Standard Time Russia TZ
2 Standard Time [-180]
WhenChanged : 10/9/2022 1:34:20 Russia TZ 2 Standard Time Russia TZ
2 Standard Time [-180]
Options : 0x00000005 [AutoGenCxtion OverrideNotifyDefault ]
Schedule
Day 1: ffffffffffffffffffffffff
Day 2: ffffffffffffffffffffffff
Day 3: ffffffffffffffffffffffff
Day 4: ffffffffffffffffffffffff
Day 5: ffffffffffffffffffffffff
Day 6: ffffffffffffffffffffffff
Day 7: ffffffffffffffffffffffff
CXTION: DD46D695-73A5-4356-A76C-F640558EB472
DN : cn=dd46d695-73a5-4356-a76c-f640558eb472,cn=ntds settings,cn=d
c4,cn=servers,cn=akonit,cn=sites,cn=configuration,dc=concord,dc=com
Guid : 82f15a02-b94e-4e52-849b14d1abf9b88b
Partner Dn : cn=ntds settings,cn=dc1,cn=servers,cn=akonit,cn=sites
,cn=configuration,dc=concord,dc=com
Partner Rdn : NTDS SETTINGS
Enabled : TRUE
WhenCreated : 10/9/2022 22:2:31 Russia TZ 2 Standard Time Russia TZ
2 Standard Time [-180]
WhenChanged : 10/9/2022 22:40:41 Russia TZ 2 Standard Time Russia T
Z 2 Standard Time [-180]
Options : 0x00000001 [AutoGenCxtion ]
Schedule
Day 1: 111111111111111111111111
Day 2: 111111111111111111111111
Day 3: 111111111111111111111111
Day 4: 111111111111111111111111
Day 5: 111111111111111111111111
Day 6: 111111111111111111111111
Day 7: 111111111111111111111111
C:Documents and Settingsadmin>dcdiag /q
[Replications Check,DC4] A recent replication attempt failed:
From DC1 to DC4
Naming Context: CN=Schema,CN=Configuration,DC=concord,DC=com
The replication generated an error (8524):
Win32 Error 8524
The failure occurred at 2022-10-10 00:49:44.
The last success occurred at 2022-10-10 00:14:25.
1 failures have occurred since the last success.
The guid-based DNS name 5d8285c5-071e-4968-8c56-cd91925ba31c._msdcs.
concord.com
is not registered on one or more DNS servers.
[Replications Check,DC4] A recent replication attempt failed:
From DC1 to DC4
Naming Context: CN=Configuration,DC=concord,DC=com
The replication generated an error (8524):
Win32 Error 8524
The failure occurred at 2022-10-10 00:49:47.
The last success occurred at 2022-10-10 00:29:47.
1 failures have occurred since the last success.
The guid-based DNS name 5d8285c5-071e-4968-8c56-cd91925ba31c._msdcs.
concord.com
is not registered on one or more DNS servers.
Unable to connect to the NETLOGON share! (DC4netlogon)
[DC4] An net use or LsaPolicy operation failed with error 1203, Win32 E
rror 1203.
……………………. DC4 failed test NetLogons
Fatal Error:DsGetDcName (DC4) call failed, error 1355
The Locator could not find the server.
……………………. DC4 failed test Advertising
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
……………………. DC4 failed test frsevent
An Error Event occured. EventID: 0xC00038BB
Time Generated: 10/10/2022 00:48:52
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC00110CD
Time Generated: 10/10/2022 00:49:00
Event String: The computer running the WINS server does not
An Error Event occured. EventID: 0x00000411
Time Generated: 10/10/2022 00:49:07
Event String: The DHCP service is not servicing any clients
An Error Event occured. EventID: 0xC0001B6F
Time Generated: 10/10/2022 00:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B70
Time Generated: 10/10/2022 00:50:25
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000423
Time Generated: 10/10/2022 00:55:17
Event String: The DHCP service failed to see a directory server
……………………. DC4 failed test systemlog
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located — All GC’s are down.
Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
A Time Server could not be located.
The server holding the PDC role is down.
Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
5
A Good Time Server could not be located.
Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
A KDC could not be located — All the KDCs are down.
……………………. concord.com failed test FsmoCheck
Ситуация усугубляется еще тем, что еще и Exchange 2022 с самого падения DC1 стоит колом. Очень надеюсь на вашу скорейшую помощь, вплоть до денежного вознаграждения, иначе мне край 🙁
UPD: Проблема решилась следующим образом:
1. Выравнивание SOA DNS-серверов исправлением настроек
2. Восстановление SYSVOL при помощи burflag D4 — на основном и затем D2 — на вторичных.
Всем спасибо за советы!
Отдельное спасибо poor_sysadm !
Базовая настройка коммутаторов и маршрутизаторов huawei
Basic
вход в режим конфигурирования
system view
вернуться на уровень назад
quit
команда отрицания (аналогично no в cisco)
undo
настройка пароля доступа по консольному порту
user-interface console 0
authentication-mode password
set
authentication password cipher …
настройка пароля доступа через виртуальный терминал
VLAN Principles
создание
vlan batch
interface
port link-type access
port
access default vlan …
interface
port link-type trunk
port trunk allow-pass vlan
port link-type hybrid
port hybrid untagged vlan …
port hybrid tagged vlan …
port hybrid pvid vlan …
…
создание L3 интерфейса
interface Vlanif
ip address
Link Aggregation
L2 LAG
interface Eth-trunk 1 — создали LAG группу
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
L3 LAG
interface Eth-trunk 1 — создали LAG группу
// переход интерфейса к L3
undo portswitch
ip address
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
LACP(link aggregation control protocol)
system-view
lacp priority … (The smaller the LACP system priority value, the higher the LACP system priority.)
int Eth-trunk 1 — создали LAG группу
mode lacp-static -выбрали режим
lacp preference … (The smaller the LACP interface priority value, the higher the LACP interface priority)
STP
выбор стандарта
stp mode stp
активируется глобально и на интерфейсе
stp enable
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
stp priority 32768
на интерфейсе
stp disable
stp port priority …
display stp brief
display stp instance 0 brief
RSTP
выбор стандарта
stp mode rstp
выключает edge порт при получении bpdu
stp bpdu-protection
на интерфейсе:
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние root-inconsistent — несогласованность корня)
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние loop-inconsistent)
MSTP
stp mode mstp
stp region-configuration
region-name parapampam
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
active region-configuration
display stp region-configuration
Static routing
создаем статический маршрут
ip route-static ipaddress { mask | mask-length } interface-type interface-number [ nexthopaddress ] preference …
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0 nexthopaddress
RIP
basic:
rip 1
version 2 (по умолчанию version 1)
network 10.0.0.0
анонс маршрута по умолчанию через rip
default-route originate
выключаем автоматическую суммаризацию маршрутов
undo summary
суммаризация маршрутов на интерфейсе
int g0/0/0
rip summary-address 172.16.0.0 255.255.0.0.
debug
debugging rip 1,
disp debugging
terminal debugging
undo debugging rip 1 or undo debugging all !!!
RIP Metric
int g0/0/0
устанавливает cost на порту для входящих маршрутов
rip metricin
устанавливает cost на порту для исходящих маршрутов
rip metricout
rip poison-reverse
rip split horizon
Ограничение распространения маршрутной информации
int g0/0/0
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
rip 1
silent int g0/0/0 —
Authentification
int g0/0/0
rip authentification-mode simple ….
int g0/0/1
rip authentification-mode md5 usual ….
display
display rip interface verbose
display rip 1 neighbor
OSPF
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
area 0
network ip address wildcard-mask
меняем расчет метрики
ospf 1
bandwidth-reference 10000
меняем cost, таймеры, dr-priority
int g0/0/0
ospf cost 20
ospf timer hello …
ospf timer dead …
ospf dr-priority …
Authentification OSPF
Simple authentication:
ospf authentication-mode { simple [ [ plain ] | cipher ] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain | [ cipher ] } ].
Выключаем OSPF на порту (restrict OSPF operation)
ospf 1
silent-int g0/0/0
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
ospf 1
default-route-advertise
display
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
VRRP
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейса
GigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
int g0/0/0
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
mkdir
Для удаления директории
rmdir
Для удаления и переименование файла
delete
rename
Для удаления файла без возможности восстановления
delete /unreserved
Для восстановления файла
undelete
Для очистки «корзины»
reset recycle-bin
Удаление файла с конфигурацией
delete
Сброс сохранненой конфигурации
reset saved-configuration
Узнать версию софта
display version
display device slot
Работа с ftp
Подключиться по ftp
ftp x.x.x.x
скачать файл
get example.zip
Подключиться по tftp
tftp x.x.x.x get example.zip
Указываем файл startup config
startup system-software example.zip
HDLC
int s2/0/0
link-protocol hdlc
ip address x x x x xx
привязываем адрес loopback
ip unnambered int loopback 0
PPP
Настройка ppp c authentication-mode pap
R1
sysname BRAS
R2
sysname pap_client
Настройка ppp c authentication-mode chap
R1
sysname BRAS
link-protocol ppp
ppp authentication-mode chap
R2
sysname chap_client
int s1/0/0
PPPoE
display pppoe-server session all
sysname BRAS
int dialer 1
display nat server
diplay nat outbound
diplay nat address-group 1
DHCP
interface pool configuration
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
dhcp enable
ip pool pool1
network x.x.x.x mask xx
gateway-list x.x.x.x
lease day x
int g0/0/1
dhcp select global
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
ACL
basic
acl 2000
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter outbound acl 2000
advanced
acl 3000
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter inbound acl 3000
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
acl 2000
rule permit source z.z.z.z wildcard mask
int g0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
создаем схему авторизации
authorization-scheme auth1
схема без сервера: radius…
authorization-mode local
создаем схему аутентификации
authentication-scheme auth2
схема без сервера: radius,diametr…
authentication-mode local
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
создаем пользователя в домене и указываем достпные сервисы и привилегии
local-user user1@huawei password cipher qwerty
local-user user1@huawei service-type telnet
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
user-int con 0
authentication aaa
local-user user1@huawei privilege level 0
display domain name huawei
Конфигурация коммутатора huawei – русские блоги
Наиболее полный набор команд конфигурации маршрутизатора Huawei в истории, и вы хорошо разбираетесь в следующих знаниях о конфигурации маршрутизатора Huawei: вам нужно потратить всего несколько минут, чтобы понять конфигурацию коммутатора маршрутизатора Huawei. Переключите команды конфигурации и так далее.
Команды настройки коммутатора маршрутизатора Huawei: компьютерные команды
PCAlogin: root; использовать пользователя root
пароль: linux; пароль – linux
# shutdown-hnow; shutdown
# init0; выключение
#logout; Выход пользователя из системы
#login; Логин пользователя
#ifconfig; Показать IP-адрес
# ifconfigeth0netmask; установить IP-адрес
# ifconfigeht0netmaskdown; отключить IP-адрес
# routeadd0.0.0.0gw; установить шлюз
# routedel0.0.0.0gw; удалить шлюз
#routeadddefaultgw; Установить шлюз
#routedeldefaultgw; удалить шлюз
#route; показать шлюз
#ping; Отправить пакет ECHO
#telnet; удаленный вход
Команды настройки коммутатора маршрутизатора Huawei: команды коммутатора
[Quidway] Discur; отображение текущей конфигурации
[Quidway] displaycurrent-configuration; отображать текущую конфигурацию
[Quidway] displayinterfaces; отображение информации об интерфейсе
[Quidway] displayvlanall; отображение информации о маршруте
[Quidway] отображение версии; отображение информации о версии
Superpassword [Quidway], изменить пароль привилегированного пользователя
[Quidway] sysname; переключение имен
[Quidway] interfaceethernet0 / 1; введите вид интерфейса
[Quidway] interfacevlanx; введите вид интерфейса
[Quidway-Vlan-interfacex] ipaddress10.65.1.1255.255.0.0; настроить IP-адрес VLAN
[Quidway] iproute-static0.0.0.00.0.0.010.65.1.2; статический маршрут = шлюз
[Quidway] Rip; трехслойный обмен поддержки
[Quidway]local-userftp
[Quidway] user-interfacevty04; войдите в виртуальный терминал
[S3026-ui-vty0-4] пароль аутентификации-mode; режим установки пароля
[S3026-ui-vty0-4] setauthentication-modepasswordsimple222; установить пароль
[S3026-ui-vty0-4] userprivilegelevel3; уровень пользователя
[Quidway] interfaceethernet0 / 1; войти в режим порта
[Quidway] inte0 / 1; войти в режим порта
[Quidway-Ethernet0 / 1] duplex {half | full | auto}; настройка рабочего состояния порта
[Quidway-Ethernet0 / 1] скорость {10 | 100 | авто}, настроить скорость работы порта
[Quidway-Ethernet0 / 1] управление потоком, настройка управления потоком портов
[Quidway-Ethernet0 / 1] mdi {через | авто | нормальный}, настроить соединение с плоским портом и повернуть
[Quidway-Ethernet0 / 1] portlink-type {trunk | access | hybrid}, установить режим работы порта
[Quidway-Ethernet0 / 1] portaccessvlan3; текущий порт добавлен в VLAN
[Quidway-Ethernet0 / 2] porttrunkpermitvlan {ID | All}; установить VLAN, разрешенную транком
[Quidway-Ethernet0 / 3] porttrunkpvidvlan3, установить PVID порта транка
[Quidway-Ethernet0 / 1] отменить отключение; активировать порт
Завершение работы [Quidway-Ethernet0 / 1]; отключение порта
[Quidway-Ethernet0 / 1] выход; возврат
[Quidway] vlan3; Создать VLAN
[Quidway-vlan3] portethernet0 / 1; добавить порт в VLAN
[Quidway-vlan3] porte0 / 1; стенография
[Quidway-vlan3] portethernet0 / 1toethernet0 / 4, добавить порт в VLAN
[Quidway-vlan3] porte0 / 1toe0 / 4; стенография
[Quidway] порт монитора; назначенный порт зеркала
[Quidway] portmirror; укажите зеркальный порт
[Quidway] portmirrorint_listobserving-portint_typeint_num; указать зеркало и быть зеркальным
[Quidway] descriptionstring; указать символ описания VLAN
[Quidway] описание; удалить символы описания VLAN
[Quidway] displayvlan [vlan_id]; просмотр настроек VLAN
[Quidway] stp {enable | disable}; установить связующее дерево, по умолчанию отключено
[Quidway] stppriority4096; установить приоритет переключателя
[Quidway] stproot {основной | дополнительный}; установлен как корневая или корневая резервная копия
[Quidway-Ethernet0 / 1] stpcost200; установите стоимость порта коммутатора
[Quidway] link-aggregatione0 / 1toe0 / 4ingress | оба; агрегация портов
[Quidway] undolink-aggregatione0 / 1 | all; начальный порт – номер канала
[SwitchA-vlanx] isolate-user-vlanenable; установить основной vlan
[SwitchA] isolate-user-vlansecondary, установить дополнительный vlan, включенный в основной vlan
[Quidway-Ethernet0 / 2] porthybridpvidvlan, установите pvid для vlan
[Quidway-Ethernet0 / 2] porthybridpvid; удалить pvid из vlan
[Quidway-Ethernet0 / 2] porthybridvlanvlan_id_listuntagged; установить неопознанный vlan
Если vlanid пакета совпадает с PVId, удалите информацию о vlan. PVID по умолчанию = 1.
Так что установите PVID для vlanid, и установите совместимый vlan на untagged.
Команды настройки коммутатора маршрутизатора Huawei: команды маршрутизатора
[Quidway] отображение версии; отображение информации о версии
[Quidway] displaycurrent-configuration; отображать текущую конфигурацию
[Quidway] displayinterfaces; отображение информации об интерфейсе
[Quidway] displayiproute; отображение информации о маршруте
[Quidway] sysnameaabbcc; изменить имя хоста
[Quidway] superpasswrod123456; установить пароль
[Quidway] interfaceserial0; введите интерфейс
[Quidway-serial0] ipaddress; настроить IP-адрес порта
[Quidway-serial0] отменить отключение; активировать порт
[Quidway] link-protocolhdlc; bind hdlc protocol
[Quidway]user-interfacevty04
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-modepasswordsimple222
[Quidway-ui-vty0-4]userprivilegelevel3
[Quidway-ui-vty0-4]quit
[Quidway] debugginghdlcallserial0; показать всю информацию
[Quidway] debugginghdlceventserial0; отладка информации о событии
[Quidway] debugginghdlcpacketserial0; показать информацию о пакете
Команда настройки коммутатора маршрутизатора Huawei: статическая маршрутизация:
[Quidway]iproute-static{interfacenumber|nexthop}[value][reject|blackhole]
Например: [Quidway] iproute-static129.1.0.01610.0.0.2
[Quidway]iproute-static129.1.0.0255.255.0.010.0.0.2
[Quidway]iproute-static129.1.0.016Serial2
[Quidway]iproute-static0.0.0.00.0.0.010.0.0.2
Команда настройки коммутатора маршрутизатора Huawei: динамическая маршрутизация:
[Quidway] rip; установить динамическую маршрутизацию
[Quidway] рипкуер, разрешены работы по настройке
[Quidway] ripinput, установите вход, чтобы позволить
[Quidway] ripoutput, установить разрешение на экспорт
[Quidway-rip] network1.0.0.0; настроить сеть маршрутизации обмена
[Quidway-rip] networkall; устанавливается для обмена со всеми сетями
[Quidway-rip]peerip-address;
Краткое описание [Quidway-rip]; агрегация маршрутов
[Quidway] ripversion1; настроен на работу в версии 1
[Quidway] ripversion2multicast; установить версию 2, режим многоадресной рассылки
[Quidway-Ethernet0] ripsplit-horizon, горизонтальное разделение
[Quidway] routeridA.B.C.D; настроить идентификатор маршрутизатора
[Quidway] ospfenable; запустить протокол OSPF
[Quidway-ospf] import-routedirect; импорт прямого маршрута
[Quidway-Serial0] ospfenablearea; настроить область OSPF
Команда конфигурации коммутатора маршрутизатора Huawei: стандартный формат команды списка доступа выглядит следующим образом:
acl [match-orderconfig | auto]; первый сопоставляется по порядку по умолчанию.
rule[normal|special]{permit|deny}[sourcesource-addrsource-wildcard|any]
Пример: [Quidway] acl10
[Quidway-acl-10]rulenormalpermitsource10.0.0.00.0.0.255
[Quidway-acl-10]rulenormaldenysourceany
Команда настройки коммутатора маршрутизатора Huawei: расширенная команда настройки списка контроля доступа
Настройте расширенный список доступа по протоколу TCP / UDP:
rule{normal|special}{permit|deny}{tcp|udp}source{|any}destination|any}
[operate]
Настройте расширенный список доступа протокола ICMP:
rule{normal|special}{permit|deny}icmpsource{|any]destination{|any]
[icmp-code][logging]
Команды настройки коммутатора маршрутизатора Huawei: значение операторов расширенного списка контроля доступа
equportnumber; равно
больше-номер-порта; больше чем
меньше номера порта; меньше чем
не равный номер порта; не равен
rangeportnumber1portnumber2; range
Коммутатор HuaweiКоманда конфигурации: пример расширенного списка контроля доступа
[Quidway]acl101
[Quidway-acl-101]ruledenysouceanydestinationany
[Quidway-acl-101]rulepermiticmpsourceanydestinationanyicmp-typeecho
[Quidway-acl-101]rulepermiticmpsourceanydestinationanyicmp-typeecho-reply
[Quidway]acl102
[Quidway-acl-102]rulepermitipsource10.0.0.10.0.0.0destination202.0.0.10.0.0.0
[Quidway-acl-102]ruledenyipsourceanydestinationany
[Quidway]acl103
[Quidway-acl-103]rulepermittcpsourceanydestination10.0.0.10.0.0.0destination-portequalftp
[Quidway-acl-103]rulepermittcpsourceanydestination10.0.0.20.0.0.0destination-portequalwww
[Quidway]firewallenable
[Quidway]firewalldefaultpermit|deny
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inbound|outbound
Команды настройки коммутатора маршрутизатора Huawei: примеры конфигурации преобразования адресов
[Quidway]firewallenable
[Quidway]firewalldefaultpermit
[Quidway] acl101; назначенный внутренний хост может ввести e0
[Quidway-acl-101]ruledenyipsourceanydestinationany
[Quidway-acl-101]rulepermitipsource129.38.1.10destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.20destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.30destinationany
[Quidway-acl-101]rulepermitipsource129.38.1.40destinationany
[Quidway-acl-101]quit
[Quidway]inte0
[Quidway-Ethernet0]firewallpacket-filter101inbound
[Quidway] acl102; внешним конкретным хостам и пакетам данных больше 1024 портов разрешено входить в S0
[Quidway-acl-102]ruledenyipsourceanydestinationany
[Quidway-acl-102]rulepermittcpsource202.39.2.30destination202.38.160.10
[Quidway-acl-102]rulepermittcpsourceanydestination202.38.160.10destination-portgreat-than
1024
[Quidway-acl-102]quit
[Quidway]ints0
[Quidway-Serial0] firewallpacket-filter102inbound, пусть 202.38.160.1 будет исходящим IP-адресом маршрутизатора.
[Quidway-Serial0] natoutbound101interface; это Easyip, который изменяет исходный IP-адрес, разрешенный acl101 из этого интерфейса.
Команда настройки коммутатора маршрутизатора Huawei: команда конфигурации преобразования внутреннего адреса сервера (статический nat):
natserverglobal [порт] insideport [протокол]; используйте inside_port, когда global_port не записан
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.2telnettcp
[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.3wwwtcp
Публичный IP: 202.38.160.101 ~ 202.38.160.103. Внешнее посещение (оригинальный пример вопроса)
[Quidway] nataddress-group202.38.160.101202.38.160.103pool1; создать пул адресов
[Quidway]acl1
[Quidway-acl-1] rulepermitsource10.110.10.00.0.0.255; Укажите разрешенную внутреннюю сеть
[Quidway-acl-1]ruledenysourceany
[Quidway-acl-1]intserial0
[Quidway-Serial0] natoutbound1address-grouppool1; вынуть IP из пула адресов на порту s0 для внешнего доступа
[Quidway-Serial0]natserverglobal202.38.160.101inside10.110.10.1ftptcp
[Quidway-Serial0]natserverglobal202.38.160.102inside10.110.10.2wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.1028080inside10.110.10.3wwwtcp
[Quidway-Serial0]natserverglobal202.38.160.103inside10.110.10.4smtpudp
Команда настройки коммутатора маршрутизатора Huawei: настройки PPP: [Quidway-s0] link-protocolppp; протокол по умолчанию
Команда настройки коммутатора маршрутизатора Huawei: проверка PPP:
Основной рецепт: пап | глава
[Quidway] local-userq2password {simple | cipher} привет; Маршрутизатор 1
[Quidway]interfaceserial0
[Quidway-serial0]pppauthentication-mode{pap|chap}
[Quidway-serial0] pppchapuserq1; когда pap, такого предложения нет
Команда конфигурации коммутатора маршрутизации Huawei: pap Тестируемый:
[Quidway] interfaceserial0; маршрутизатор 2
[Quidway-serial0]ppppaplocal-userq2password{simple|cipher}hello
Команда настройки коммутатора маршрутизатора Huawei: глава
[Quidway] interfaceserial0; маршрутизатор 2
[Quidway-serial0] pppchapuserq2; имя собственного маршрутизатора
[Quidway-serial0] local-userq1password {simple | cipher} привет; имя маршрутизатора другой стороны
Frame-relay (Том 2 6-61)
[q1]frswitching
[q1]ints1
[q1-Serial1]ipaddress192.168.34.51255.255.255.0
[q1-Serial1] link-protocolfr; Инкапсулировать протокол Frame Relay
[q1-Serial1]frinterface-typedce
[q1-Serial1]frdlci100
[q1-Serial1]frinarp
[q1-Serial1]frmapip192.168.34.52dlci100
[q2]ints1
[q2-Serial1]ipaddress192.168.34.52255.255.255.0
[q2-Serial1]link-protocolfr
[q2-Serial1]frinterface-typedte
[q2-Serial1]frdlci100
[q2-Serial1]frinarp
[q2-Serial1]frmapip192.168.34.51dlci100
Команда конфигурации коммутатора маршрутизатора Huawei: мониторинг ретрансляции кадров
[q1]displayfrlmi-info[]interfacetypenumber]
[q1]displayfrmap
[q1]displayfrpvc-info[serialinterface-number][dlcidlci-number]
[q1]displayfrdlci-switch
[q1]displayfrinterface
[q1]resetfrinarp-info
[q1]debuggingfrall[interfacetypenumber]
[q1]debuggingfrarp[interfacetypenumber]
[q1]debuggingfrevent[interfacetypenumber]
[q1]debuggingfrlmi[interfacetypenumber]
Команда настройки коммутатора маршрутизатора Huawei: запустить службу ftp:
[Quidway]local-userftppassword{simple|cipher}aaaservice-typeftp
[Quidway]ftpserverenable