Настройка коммутаторов Huawei – Upnet

uphuawei min Новости

Начальная конфигурация коммутатора huawei на примере s5720 — xcat

В данной статье хочу разобрать базовую настройку коммутатора на примере.

Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.

Требования такие:

  1. Подключения к уровню распределения агрегированным интерфейсом LACP
  2. Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
  3. Отдельный VLAN для сети принтеров и МФУ
  4. Подключение WI-FI точек trunk портом c PVID management VLAN
  5. Использование механизма DHCP snooping во всех VLAN

Итак поехали.

переходим в режим конфигурации:

<huawei>system-view

Даем имя коммутатору, например acess switch 01 — «ASW-01»:

[huawei]sysname ASW-01

Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:

[ASW-01]lldp enable

Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:

[ASW-01]dhcp enable
[ASW-01]dhcp snooping enable

Теперь перейдем к VLAN, создаем VLAN для management:

[ASW-01]vlan 100
[ASW-01-vlan100]description Management

включим в этом VLAN DHCP snooping

[ASW-01-vlan100]dhcp snooping enable

выходим из настройки VLAN

[ASW-01-vlan100]quit

Аналогичным образом создаем остальные VLAN, я для примера создаю следующие VLAN:
200 — VoIP
300 — Office
400 — Printer

C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:

[ASW-01]aaa
[ASW-01-aaa]local-user admin password irreversible-cipher pa$$w0RD

назначаем пользователю уровень привилегий (15 самый высокий):

[ASW-01-aaa]local-user admin privilege level 15

включаем доступ по SSH для пользователя:

[ASW-01-aaa]local-user admin service-type telnet terminal ssh

отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):

[ASW-01-aaa]undo local-aaa-user password policy administrator
[ASW-01-aaa]quit

Теперь перейдем к включению SSH на устройстве:

[ASW-01]stelnet server enable
[ASW-01]ssh authentication-type default password

Создаем пару ключей для SSH:

[ASW-01]rsa local-key-pair create

Включаем доступ по SSH на линиях:

[ASW-01]user-interface vty 0 4
[ASW-01-ui-vty0-4]authentication-mode aaa
[ASW-01-ui-vty0-4]protocol inbound ssh
[ASW-01-ui-vty0-4]quit

Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:

[ASW-01]interface Vlanif 100
[ASW-01-Vlanif10]ip address 10.0.0.10 24
[ASW-01-Vlanif10]quit

Настраиваем шлюз по умолчанию:

[ASW-01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1

Перейдем к настройке UpLink интерфейса, как описано в требованиях выше, нам требуется собрать агрегированный интерфейс используя протокол LACP, использовать будем 10Gbit интерфейсы, имеющиеся в коммутаторе Huawei S5720-52X. У Huawei это называется Ether-Trunk, первым делом объявляем Ether-Trunk 1 и «проваливаемся» в его настройку:

[ASW-01]interface Eth-Trunk 1

затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:

[ASW-01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2

указываем протокол LACP:

[ASW-01-Eth-Trunk1]mode lacp

После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :

[ASW-01-Eth-Trunk1]port link-type trunk
[ASW-01-Eth-Trunk1]port trunk allow-pass vlan all
[ASW-01-Eth-Trunk1]dhcp snooping trusted
[ASW-01-Eth-Trunk1]quit

С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.

Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:

[ASW-01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46

Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:

[ASW-01-port-group]port link-type hybrid
[ASW-01-port-group]voice-vlan 200 enable
[ASW-01-port-group]port hybrid tagged vlan 200

В качестве untagged VLAN и PVID указываем тот что используется для ПК:

[ASW-01-port-group]port hybrid pvid vlan 300
[ASW-01-port-group]port hybrid untagged vlan 300

т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)

[ASW-01-port-group]stp edged-port enable

наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:

[ASW-01-port-group]lldp compliance cdp receive
[ASW-01-port-group]description Users
[ASW-01-port-group]quit

Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:

[ASW-01]interface GigabitEthernet 0/0/47
[ASW-01-GigabitEthernet0/0/47]port link-type access
[ASW-01-GigabitEthernet0/0/47]port default vlan 400
[ASW-01-GigabitEthernet0/0/47]description Printer
[ASW-01-GigabitEthernet0/0/47]quit

Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.

[ASW-01]interface GigabitEthernet 0/0/48
[ASW-01-GigabitEthernet0/0/48]port link-type trunk
[ASW-01-GigabitEthernet0/0/48]port trunk pvid vlan 100
[ASW-01-GigabitEthernet0/0/48]port trunk allow-pass vlan all
[ASW-01-GigabitEthernet0/0/48]description WirelessAP
[ASW-01-GigabitEthernet0/0/48]quit

На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl Z и дав команду save:

<ASW-01>save
The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip.
Are you sure to continue?[Y/N]y

PROFIT!

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек.  Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

  1. Предварительная настройка коммутаторов с последующим их физическим соединением.

  2. Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Настройка основных параметров у коммутаторов Huawei CloudEngine (на примере 6865)

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

  1. Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

  2. Осуществляем монтаж и кабельное подключение коммутаторов.

  3. Настраиваем базовые параметры стека для master-коммутатора:

    [~HUAWEI] stack

3.1. Настраиваем нужные нам параметры

#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.

Коммутатор с наибольшимприоритетом будет назначен master-коммутатором стека. Значение приоритетапо умолчанию: 100.#stack member { member-id | all } domain <domain-id>— назначить Domain ID для стека.По умолчанию, domain ID не задан.#

Пример:<HUAWEI> system-view[~HUAWEI] sysname SwitchA[HUAWEI] commit[~SwitchA] stack[~SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit

3.2 Настраиваем интерфейс порта стекирования (пример)

[~SwitchA]

interface stack-port 1/1SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist. 

2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y

[SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

4. Выключаем порты для стекирования на master-коммутаторе (пример)

[~SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB. 

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.

The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return

Перезагружаем SwitchB

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

———————————————————————————

MemberID Role     MAC              Priority   DeviceType         Description

———————————————————————————

1       Master   0004-9f31-d520   150        CE6850-48T4Q-EI 

 2       Standby  0004-9f62-1f40   120        CE6850-48T4Q-EI 

———————————————————————————

indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

и можно также посмотреть на сайте Huawei.

Сводка команд настройки коммутатора huawei – русские блоги

1. Команды, относящиеся к файлу конфигурации

[Quidway] display current-configuration Показать текущую действующую конфигурацию
 [Quidway] display saved-configuration Отображает файл конфигурации во флэш-памяти, то есть файл конфигурации, используемый при следующем включении.
 сбросить сохраненную конфигурацию Удалить старый файл конфигурации
 перезагрузка Переключить перезагрузку
 отображать версию Отображать информацию о версии системы

2. Базовая конфигурация

[Quidway] супер пароль изменить пароль привилегированного пользователя
 [Quidway] sysname Имя коммутатора
 [Quidway] interface ethernet 1/0/1 Откройте вид интерфейса
 [Quidway] interface vlan 1 Вход в вид интерфейса
 [Quidway-Vlan-interfacex] IP-адрес 10.1.1.11 255.255.0.0 Настройте IP-адрес VLAN
 [Quidway] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 Статический маршрут = шлюз

3. Конфигурация Telnet

[Quidway] пользовательский интерфейс vty 0 4 Вход в виртуальный терминал
 [S3026-ui-vty0-4] пароль режима аутентификации Установить режим пароля
 [S3026-ui-vty0-4] установить пароль режима аутентификации простой xmws123 установить пароль
 [S3026-ui-vty0-4] уровень прав пользователя 3 уровень пользователя

4. Конфигурация порта

[Quidway-Ethernet1 / 0/1] дуплекс {half | full | auto} настраивает рабочий статус порта
 [Quidway-Ethernet1 / 0/1] speed {10 | 100 | auto} Настроить скорость работы порта.
 [Quidway-Ethernet1 / 0/1] flow-control Настроить управление потоком порта
 [Quidway-Ethernet1 / 0/1] mdi {через | авто | нормальный} поворот плоского соединения порта конфигурации
 [Quidway-Ethernet1 / 0/1] port link-type {trunk | access | hybrid} Установите режим работы порта
 [Quidway-Ethernet1 / 0/1] отменить выключение активировать порт
 [Quidway-Ethernet1 / 0/2] выйти Выйти из режима просмотра системы

5. Конфигурация агрегирования ссылок.

[DeviceA] ручной режим группы агрегации каналов 1 Создать группу агрегации 1 вручную
 [Qw_A] interface ethernet 1/0/1 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/1] port link-aggregation group 1
 [Qw_A-Ethernet1 / 0/1] interface ethernet 1/0/2 Добавить порт Ethernet Ethernet1 / 0/1 в группу агрегации 1
[Qw_A-Ethernet1/0/2] port link-aggregation group 1
 [Qw_A] Туннель типа службы 1 группы агрегации каналов # Создать группу кольцевой проверки службы туннеля на основе группы агрегации вручную.
 [Qw_A] interface ethernet 1/0/1 Добавьте порт Ethernet Ethernet1 / 0/1 в сервисную группу обратной связи.
[Qw_A-Ethernet1/0/1] undo stp
[Qw_A-Ethernet1/0/1] port link-aggregation group 1

6. Зеркалирование портов

[Quidway] monitor-port указать порт зеркала
 [Quidway] port mirror Укажите порт для зеркалирования.
 [Quidway] порт-зеркало int_list наблюдающий порт int_type int_num Укажите зеркало и будет зеркалироваться

7. Конфигурация VLAN.

[Quidway] vlan 4 Создать VLAN
 [Quidway-vlan4] порт Ethernet 1/0/1 до Ethernet 1/0/4 добавить порт в VLAN

① Настроить VLAN на основе доступа

[Quidway-Ethernet1 / 0/2] доступ к порту vlan 4 Текущий порт добавлен в VLAN
 Примечание. По умолчанию тип канала порта - Тип доступа, и все порты доступа принадлежат и только принадлежат к VLAN1.

② Настроить VLAN на основе магистрали

[Quidway-Ethernet 1/0/24] port link-type trunk Установите текущий порт в качестве транкового.
 [Quidway-Ethernet 1/0/24] port trunk разрешить vlan {ID | All} установить VLAN, разрешенную транком
 Примечание. По умолчанию все порты разрешают прохождение пакетов VLAN1.
 [Quidway-Ethernet1 / 0/2] port trunk pvid vlan 34 устанавливает PVID транкового порта

③ Настроить VLAN на основе гибридного порта

[Quidway-Ethernet1 / 0/2] порт гибридного типа канала. Настройте тип канала порта как гибридный.
 [Quidway-Ethernet1 / 0/2] port hybrid vlan vlan-id-list {tagged | untagged} Разрешить указанной VLAN проходить через текущий гибридный порт
 Примечание. По умолчанию все гибридные порты позволяют проходить только VLAN1.
 [Quidway-Ethernet1 / 0/2] port hybrid pvid vlan vlan-id Установите VLAN по умолчанию для гибридного порта.
 Примечание. По умолчанию VLAN гибридного порта по умолчанию - VLAN1.

④ Описание VLAN

[Quidway] description string Укажите символ описания VLAN.
 [Quidway] отменить описание удалить символ описания VLAN
 [Quidway] display vlan [vlan_id] Просмотр настроек VLAN

⑤ Конфигурация частной VLAN

[Qw_A-vlanx] isolate-user-vlan enable установить основной vlan
 [Qw_A] Isolate-user-vlan secondary - установить дополнительный vlan, включенный в основной vlan.
 [Quidway-Ethernet1 / 0/2] порт гибридный pvid vlan set vlan pvid
 [Quidway-Ethernet1 / 0/2] гибридный pvid порта удалить pvid vlan
 [Quidway-Ethernet1 / 0/2] порт гибридный vlan vlan_id_list без тегов Установить неопознанный vlan
 Если идентификатор vlan пакета совпадает с PVId, удалите информацию о vlan.По умолчанию PVID = 1.
 Поэтому установите PVID равным идентификатору VLAN владельца и установите для взаимодействующей VLAN непомеченную.

8. Конфигурация STP.

[Quidway] stp {enable | disable} Установить связующее дерево, по умолчанию отключено
 [Quidway] stp mode rstp Установить режим связующего дерева на rstp
 [Quidway] stp priority 8192 Установить приоритет переключателя
 [Quidway] stp root {primary | secondary} задан как корневой или корневой резервный
 [Quidway-Ethernet0 / 1] stp cost 200 Установить стоимость порта коммутатора.
 Конфигурация MSTP:
 # Настройте для доменного имени MST значение info, уровень версии MSTP - 1, отношение сопоставления VLAN таково, что VLAN2 ~ VLAN10 сопоставлены с MSTI 1, а VLAN20 ~ VLAN30 сопоставлены с MSTI 2.
system-view
[Sysname] stp region-configuration
[Sysname-mst-region] region-name info
[Sysname-mst-region] instance 1 vlan 2 to 10
[Sysname-mst-region] instance 2 vlan 20 to 30
[Sysname-mst-region] revision-level 1
[Sysname-mst-region] active region-configuration

9. Работа с таблицей MAC-адресов.
① Добавить запись в таблицу MAC-адресов в системном представлении

[Quidway] MAC-адрес {статический | динамический | черная дыра} MAC-адрес интерфейса тип интерфейса номер интерфейса vlan идентификатор vlan; добавить запись в таблицу MAC-адресов

При добавлении записей в таблицу MAC-адресов порт, указанный параметром интерфейса в команде, должен принадлежать к VLAN, указанной параметром vlan, в противном случае добавление не будет выполнено.
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
② Добавить запись в таблицу MAC-адресов в представлении порта Ethernet.

[Quidway-Ethernet1/0/2]mac-address { static | dynamic | blackhole } mac-address vlan vlan-id

При добавлении записи в таблицу MAC-адресов текущий порт должен принадлежать VLAN, указанной параметром vlan в команде, в противном случае добавление завершится неудачно;
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.

[Quidway] таймер MAC-адреса {ageing age | no-age} Установите время устаревания записей в таблице MAC-адресов.

Примечание: По умолчанию время устаревания записей таблицы MAC-адресов составляет 300 секунд.Если используется параметр no-ageing, это означает, что записи таблицы MAC-адресов не будут устаревать.
③ Конфигурация времени устаревания MAC-адреса действует для всех портов, но функция устаревания адреса работает только с динамическими (изученными или настраиваемыми пользователем) записями MAC-адресов.

[Quidway-Ethernet1 / 0/2] mac-address max-mac-count count Установите максимальное количество MAC-адресов, которые порт может узнать;

Примечание. По умолчанию нет ограничений на количество MAC-адресов, полученных портом. И наоборот, если для порта включены функции аутентификации MAC-адреса и безопасности порта, вы не можете настроить максимальное количество MAC-адресов, полученных для порта.

[Quidway-Ethernet1 / 0/2] port-mac start-mac-address Настройте начальное значение MAC-адреса порта Ethernet.

По умолчанию порт Ethernet коммутатора E126 / E126A не настроен с MAC-адресом. Поэтому, когда коммутатор отправляет пакеты протокола уровня 2 (например, STP), он будет использовать MAC-адрес отправляющего порта, поскольку он не может получить MAC-адрес отправляющего порта. MAC-адрес, предварительно установленный протоколом, используется в качестве адреса источника для заполнения сообщения для передачи. В реальной сети, поскольку несколько устройств используют один и тот же исходный MAC-адрес для отправки пакетов протокола уровня 2, это приведет к тому, что один и тот же MAC-адрес будет изучен на разных портах определенного устройства, что может привести к ведению таблицы MAC-адресов. влияет.

[Quidway] отображать mac-адрес Отображать информацию таблицы адресов
 [Quidway] отображение времени устаревания mac-адреса Отображение времени устаревания динамических записей в таблице адресов
 [Quidway] display port-mac Отображение начального значения MAC-адреса порта Ethernet, настроенного пользователем.

10. Конфигурация GVRP.

[Qw_A] gvrp включает глобальный GVRP
 [Qw_A-Ethernet1 / 0/1] gvrp включает GVRP в Ethernet 1/0/1
 [Qw_A-Ethernet1 / 0/1] gvrp registration {fixed | запрещено | normal} Настройте режим регистрации порта GVRP, по умолчанию это нормально. Чтобы
 [Qw_A] отобразить статистику Garp [interface interface-list] Показать статистику GARP
[Qw_A] отобразить таймер garp [interface interface-list] Показать значение таймера GARP
 [Qw_A] отобразить статистику GVRP [interface interface-list] Показать статистику GVRP
 [Qw_A] Показать статус GVRP Показать информацию о глобальном статусе GVRP
 [Qw_A] отобразить gvrp statusreset garp statistics [interface interface-list] Очистить статистику GARP

11. Конфигурация DLDP.

[Qw_A] interface gigabitethernet 1/1/1 
 [Qw_A-GigabitEthernet1 / 1/1] дуплексный полный Настройте порт для работы в принудительном полнодуплексном режиме
 [Qw_A-GigabitEthernet1 / 1/1] скорость 1000 Скорость 1000 Мбит / с
 [Qw_A] dldp enable Включить DLDP глобально.
 [Qw_A] dldp interval 15 Установите интервал для отправки пакетов DLDP равным 15 секундам.
[Qw_A] dldp work-mode { enhance | normal } 
 Настройте режим работы протокола DLDP как расширенный. По умолчанию это нормально.
[Qw_A] dldp unidirectional-shutdown { auto | manual } 
 Настройте режим работы однонаправленного канала DLDP на автоматический режим. По умолчанию авто
 Qw_A] display dldp 1 Просмотр статуса DLDP.

① Когда оптоволокно перекрестно, два или три порта могут находиться в отключенном состоянии, а остальные порты находятся в неактивном состоянии.
② Когда один конец оптического волокна подключен правильно, а другой конец не подключен:
Если рабочий режим DLDP нормальный, то конечный приемный световой сигнал находится в состоянии объявления, а конечный, не получающий световой сигнал, находится в неактивном состоянии.
Если рабочий режим DLDP является улучшенным, индикатор на конце приема находится в состоянии «Отключено», а конец, не получающий свет, находится в состоянии «Неактивно».
③ Команда dldp reset может сбросить статус DLDP всех портов в глобальном масштабе, а также может повторно зарядить статус DLDP порта под интерфейсом.

12. Конфигурация изоляции порта.
① С помощью функции изоляции портов пользователи могут добавлять порты, которыми необходимо управлять, в группу изоляции, чтобы реализовать изоляцию данных второго и третьего уровня между портами в группе изоляции, что улучшает Для повышения безопасности сети он также предоставляет пользователям гибкое сетевое решение.

[Sysname] interface ethernet1 / 0/2 Добавьте порт Ethernet Ethernet1 / 0/2 в группу изоляции.
[Sysname-Ethernet1/0/2] port isolate
 [Sysname] отобразить изолированный порт Показать информацию о порте в группе изоляции

② После настройки группы изоляции не могут обмениваться данными только пакеты между портами в группе изоляции.Связь между портами в группе изоляции и портами за пределами группы изоляции не будет затронута.
③ Функция изоляции порта не имеет ничего общего с VLAN, к которой принадлежит порт Ethernet.
④ Когда порт в группе агрегации присоединяется к группе изоляции или покидает ее, другие порты в той же группе агрегации на этом устройстве автоматически присоединяются или покидают группу изоляции.
⑤ Для группы портов, которые одновременно входят в группу агрегации и группу изоляции, когда один из портов покидает группу агрегации, другие порты не будут затронуты, то есть другие порты останутся в исходном состоянии. В группе агрегации и исходной группе изоляции.
⑥ Если порты в группе агрегации принадлежат к группе изоляции одновременно, когда группа агрегации удаляется непосредственно в системном представлении, порты в группе агрегации по-прежнему будут в группе изоляции в.
⑦ Когда порт в группе изоляции присоединяется к группе агрегации, все порты в группе агрегации автоматически добавляются в группу изоляции.

13. Конфигурация безопасности порта.

[Switch] port-security enable Включить функцию безопасности порта
 [Switch] interface Ethernet 1/0/1 Вход в порт Ethernet 1/0/1.
[Switch-Ethernet1/0/1] port-security max-mac-count 80 
 Установите максимальное количество MAC-адресов, разрешенных для порта, на 80.
 [Switch-Ethernet1 / 0/1] port-security port-mode autolearn Настроить режим безопасности порта как autolearn.
[Switch-Ethernet1/0/1] mac-address security 0001-0002-0003 vlan 1 
 Добавьте MAC-адрес хоста 0001-0002-0003 в качестве MAC-адреса безопасности в VLAN 1
[Switch-Ethernet1/0/1] port-security intrusion-mode disableport-temporarily 
 Установите срабатывание защиты от вторжений, временно закройте порт
 [Switch] port-security timer disableport 30 Время закрытия 30 секунд.

14. Конфигурация привязки порта
С помощью функции привязки порта сетевой администратор может привязать MAC-адрес и IP-адрес пользователя к указанному порту. После операции привязки коммутатор пересылает только сообщения, отправленные пользователем с указанным MAC-адресом и IP-адресом, полученным из порта, что повышает безопасность системы и улучшает мониторинг сетевой безопасности.

[Qw_A-Ethernet1/0/1] am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1

Привяжите MAC-адрес и IP-адрес узла 1 к порту Ethernet1 / 0/1.
Конфигурация привязки на некоторых переключателях отличается

[Qw_A] interface ethernet 1/0/2
[Qw_A-Ethernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
 Конфигурация фильтрации портов
 [Qw_A] interface ethernet1 / 0/1 Настройте функцию фильтрации порта Ethernet1 / 0/1.
[Qw_A-Ethernet1/0/1] ip check source ip-address mac-address
 [Qw_A] dhcp-snooping Включение функции DHCP Snooping.
[Qw_A] interface ethernet1/0/2 
 Установите порт Ethernet1 / 0/2, подключенный к DHCP-серверу, как доверенный порт.
[Qw_A-Ethernet1/0/2] dhcp-snooping trust
 Включите фильтрацию IP-адресов на порте Ethernet1 / 0/1, чтобы клиенты не могли использовать поддельные IP-адреса источника для атаки на сервер.

15. Конфигурация BFD
Qw_A, Qw_B и Qw_C доступны друг другу. Настройте статический маршрут на Qw_A для достижения Qw_C и включите функцию обнаружения BFD.
① Настройте статический маршрут на Qw_A, включите функцию обнаружения BFD и реализуйте функцию BFD с помощью эхо-сообщений BFD.

<Qw_A> system-view
[Qw_A] bfd echo-source-ip 123.1.1.1
[Qw_A] interface vlan-interface 10
[Qw_A-vlan-interface10] bfd min-echo-receive-interval 300
[Qw_A-vlan-interface10] bfd detect-multiplier 7 
[Qw_A-vlan-interface10] quit
[Qw_A] ip route-static 120.1.1.1 24 10.1.1.100 bfd echo-packet

② Включите переключатель отладочной информации функции BFD на Qw_A.

<Qw_A> debugging bfd event
<>Qw_A> debugging bfd scm
<Qw_A> terminal debugging

③ На Qw_A вы можете включить переключатель отладочной информации функции BFD, отключить связь между Hub и Qw_B и проверить результат конфигурации. Результат проверки показывает, что
④ Qw_A может быстро определить изменение связи между Qw_A и Qw_B.

16. Конфигурация QinQ
Провайдер A и провайдер B соединены через магистральный порт. Провайдер A принадлежит VLAN 1000 сети оператора связи, а поставщик B принадлежит VLAN 2000 сети оператора связи.
Между поставщиком A и поставщиком B оператор использует оборудование других производителей, а значение TPID равно 0x8200.
Я надеюсь, что после настройки будут выполнены следующие требования:
Пакеты VLAN10 клиента A могут связываться с пакетами VLAN10 клиента B после пересылки сетью VLAN1000 оператора связи; пакеты VLAN20 клиента A могут быть
Пакеты и VLAN20 клиента C пересылаются сетью VLAN2000 оператора связи, а затем обмениваются данными друг с другом.
[ProviderA] interface ethernet 1/0/1 # Настройте порт как гибридный порт и разрешите прохождение пакетов VLAN10, VLAN20, VLAN1000 и VLAN2000 и удалите внешний тег при отправке.

[ProviderA-Ethernet1/0/1] port link-type hybrid
[ProviderA-Ethernet1/0/1] port hybrid vlan 10 20 1000 2000 untagged
[ProviderA-Ethernet1/0/1] qinq vid 1000 

Инкапсулируйте пакеты из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

[ProviderA-Ethernet1/0/1-vid-1000] raw-vlan-id inbound 10
[ProviderA-Ethernet1/0/1-vid-1000] quit
[ProviderA-Ethernet1/0/1] qinq vid 2000 

Инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

[ProviderA-Ethernet1/0/1-vid-2000] raw-vlan-id inbound 20
 [ProviderA] interface ethernet 1/0/2 VLAN по умолчанию для порта конфигурации - VLAN1000.
[ProviderA-Ethernet1/0/2] port access vlan 1000
[ProviderA-Ethernet1/0/2] qinq enable 

Настройте базовую функцию QinQ порта для инкапсуляции пакетов из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

[ProviderA] interface ethernet 1/0/3 

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

[ProviderA-Ethernet1/0/3] port link-type trunk
[ProviderA-Ethernet1/0/3] port trunk permit vlan 1000 2000
[ProviderA-Ethernet1/0/3] qinq ethernet-type 8200 

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

[ProviderB] interface ethernet 1/0/1 

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

[ProviderB-Ethernet1/0/1] port link-type trunk
[ProviderB-Ethernet1/0/1] port trunk permit vlan 1000 2000
[ProviderB-Ethernet1/0/1] qinq ethernet-type 8200 

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

[ProviderB-Ethernet1/0/1] quit
[ProviderB] interface ethernet 1/0/2 # Настройте VLAN по умолчанию для порта как VLAN2000.
[ProviderB-Ethernet1/0/2] port access vlan 2000
[ProviderB-Ethernet1/0/2] qinq enable 

Настройте базовую функцию QinQ порта и инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Оцените статью
Huawei Devices
Добавить комментарий