Настройка основных параметров у коммутаторов Huawei CloudEngine (на примере 6865) | ProHoster – Huawei Devices

it stamp check Новости

4  logging in from the web-basednetwork management system

l         Introduction

l         Setting Up a Web ConfigurationEnvironment

l         Configuring the Login Banner

l         Enabling/Disabling the WEBServer

Configuration procedure

# Enter system view.

Configure aaa login authentication.

Aaa certification

Authentication (authentication), authorization (accounting), accounting (accounting) short name, is a management mechanism of network security; Authentication is local authentication / authorization, authorization and accounting is served by a distant radius (remote dialing authentication system) or Hwtacacs (Huawei Terminal Access Control System) server completes authentication/authorization;

Enter vty configuration mode

Configure cipher text login authentication

Enter vty configuration mode, 0 4 indicates that 5 concurrent telnet connections are allowed.

Configure dad

Dual-Active Detection (DAD) to prevent the case that stack cables fail, the stack splits into multiple stacks and causing problem. DAD is not mandatory to configure but it is highly recommend to configure it.

To configure DAD, run the following commands

# cd /etc/cron.d
] interface 10GE1/0/1
    des OKMDRSW-STR01_10GE2/0/1-DAD
    dual-active detect mode direct
] interface 10GE2/0/1
   des OKMDRSW-STR01_10GE1/0/1-DAD
   dual-active detect mode direct

Then, we can verify DAD configuration with the following commands.

] display dual-active
Stack domainID: 20
Dual-active status: Normal
Dual-active detect mode: Direct
Dual-active detect configuration of MEth: Disable
Dual-active direct detect interfaces configured:
 10GE1/0/1        up  (Physical)  up  (Protocol)  20   (PeerDomain)
 10GE2/0/1        up  (Physical)  up  (Protocol)  20   (PeerDomain)
Dual-active relay detect interfaces configured:
 --
Excluded ports(configurable):
 --
Excluded ports(can not be configured):
 100GE1/0/5
 100GE1/0/6
 100GE2/0/5
 100GE2/0/6

Configure default route

In the topology view, the default routes are configured on the CE6800 and CE6850. You can also ping each other. The configuration examples are as follows:

CE6800 configuration:

[~CE6800]ip route-static 0.0.0.0 0.0.0.0 10.0.12.2

CE6850 configuration:

[~HUAWEI]ip route-static 0.0.0.0 0.0.0.0 8.0.10.1

View the routing table separately:

Configure device super password

Super password

Configure interface ip

The topology is as follows:

CE6800 configuration

[*CE6800]undo portswitch batch GE 1/0/0 GE 1/0/0 enables Layer 3 forwarding

[*CE6800]interface GE 1/0/0 Enter interface configuration mode

[*CE6800-GE1/0/0]ip address 10.0.12.1 24 Configuring IP and netmask

[*CE6800-GE1/0/0]description this port connect to CE12800 GE 1/0/0 Add port description (optional)

[*CE6800-GE1/0/0]undo shutdown Activate the interface

[*CE6800-GE1/0/0]quit Exit interface configuration mode

[*CE6800]commit submit configuration

View the configuration after saving:

CE12800 configuration

Configure the GE 1/0/0 address as 10.0.12.1 24

The rest of the configuration is the same as that of the CE6800. Check the configuration as follows.

Ping the peer CE12800 from the CE6800 to test connectivity.

Configuring static routes

Connected to a case, the topology is as follows:

Goal: Let CE6800 ping the 8.0.10.2 on CE6850

On the CE12800, set the IP address of GE 1/0/1 to 8.0.1.1/24.

On the CE6850, set the IP address of GE 1/0/0 to 8.0.10.2/24.

After the network is connected, try to ping 8.0.10.2 on CE6850 from CE6800. The result is that the ping fails.

Check the CE6800 routing table. There is no route to 8.0.10.0/24.

Add a static route to 8.0.10.0/24 on the CE6800. The next hop address should be 10.0.12.2 on the CE12800.

[*CE6800]ip route-static 8.0.10.0 24 10.0.12.2

Try to ping 8.0.10.2 on CE6850 from CE6800. The result is still pinging.

The reason is that the CE6850 does not have a route to the 10.0.12.0/24 network segment, causing the ping packet to “have no return”;

Add a static route to 10.0.12.0/24 on the CE6850. The next hop address should be 8.0.10.1 on the CE12800.

[~CE6850]ip route-static 10.0.12.0 24 8.0.10.1

After the file is saved, the CE6800 can ping the 8.0.10.2 on the CE6850.

Check the routing tables of CE6800, CE12800, and CE6850, as shown in the following figure.

Notice the Proto field, there are two types: Direct Direct and Static Static.

The CE12800 routes are directly connected, and the Pre field is 0.

The CE6800 and CE6850 have two static routes. The Pre field is 60.

Pre indicates the route priority. The smaller the better, the better the route will be matched.

Huawei router default protocol priority is as follows:

The rest of the agreement isDynamic routing protocol,include:

OSPF (Open Shortest Path First Protocol)

RIP (Routing Information Protocol)

IS-IS (Intermediate System to Intermediate System Protocol)

BGP (Border Gateway Protocol)

Console guide: базовая настройка коммутаторов и маршрутизаторов huawei – huawei devices

at commands
AT команды

(набор команд Hayes) — набор команд, разработанных в 1977 году компанией Hayes для собственной разработки, модема «Smartmodem 300 baud». Набор команд состоит из серий коротких текстовых строк, которые объединяют вместе, чтобы сформировать полные команды операций, таких как набор номера, начала соединения или изменения параметров подключения.

Для того, чтобы модем распознал at команды, они должны быть записаны в специфической форме. Каждая команда всегда начинается буквами AT или at (от англ. ATtention, за что и получили своё название), дополненных одной или больше командой и завершаемой в конце нажатием клавиши Enter . Команды воспринимаются модемом только тогда, когда он находится в «командном режиме» или offline.

AT-команды

обычно отправляются модему посредством коммуникационного программного обеспечения, но также могут быть введены пользователем вручную, с компьютерной клавиатуры. Смотрим

как и чем вводить АТ команды в модем

. At команды huawei представлены на нашем сайте ниже. Huawei at команды (huawei at commands) очень нужные и полездные вещи для расшаривания вашего устройства.

Рассмотрим наиболее часто используемые at команды при работе с модемом huawei
ATI — вывод информации о модеме
AT CFUN=1 – перезагрузка модема, очень полезная команда не требует «передергивать» модем. После перезагрузки модем перерегистрируется в сети оператора.
AT CGMI — информация о производителе модема (Recieve: huawei)
AT CGMR — информация о версии прошивки (Recieve: 11.608.12.04.21)
AT CIMI — информация об IMSI номер SIM карты (Recieve: 250015800471114)
AT CGSN — информация о IMEI модема (Recieve: 353142033840706)
AT^HWVER — информация о версии железа модема (Recieve: ^HWVER:»CD6ATCPU»)
AT CSQ — посмотреть уровень радиосигнала
AT^CMDL — получить список всех комманд
AT CGMM или AT GMM — запросить название модели
AT COPS — информация о текущем операторе (Recieve: COPS: (1,»MTS-RUS»,»MTS»,»25001″,0),(2,»MTS-RUS»,»MTS»,»25001″,2),,(0,1,2,3,4),(0,1,2))
AT^U2DIAG? — текущий режим.
AT^GETPORTMODE – список всех устройств в модеме
AT^VERSION? — информация о версии прошивки модема
AT CLAC в ответе будет список поддерживаемых команд

Включение голосовых функций модема:
AT^CVOICE=? – проверка состояния голосовых функций модема (0 — значит включено)
AT^CVOICE=0 – включение голосовых функций модема

Включение / отключение режимов 2G и 3G:
AT^SYSCFG=13,1,3fffffff,0,0 – режим только 2G
AT^SYSCFG=2,1,3fffffff,0,0 – режим предпочтительно 2G
AT^SYSCFG=14,2,3fffffff,0,1 – режим только 3G
AT^SYSCFG=2,2,3fffffff,0,1 – режим предпочтительно 3G
AT^SYSCFG=2,2,3fffff ff,0,2 – режим включение 2G и 3G

Включение / отключение режимов WCDMA, HSDPA, HSPA , HSPA:
AT^HSDPA=1 – режим HSDPA включен
AT^HSDPA=0 – режим HSDPA выключен
AT^HSUPA=1 – режим HSUPA включен
AT^HSUPA=0 – режим HSUPA выключен
AT^HSPA=0 – режим WCDMA
AT^HSPA=1 – режим HSDPA
AT^HSPA=2 – режим HSPA
AT^HSPA=3 – режим HSPA
AT^SYSCFG=13,1,3FFFFFFF,2,4 – режим только GPRS/EDGE
AT^SYSCFG=14,2,3FFFFFFF,2,4 – режим только 3G/WCDMA
AT^SYSCFG=2,1,3FFFFFFF,2,4 – режим предпочтительно GPRS/EDGE
AT^SYSCFG=2,2,3FFFFFFF,2,4 – режим предпочтительно 3G/WCDMA

Команды необходимые для разблокировки модема (разлочка модема)
AT^CARDLOCK=»NCK Code» – ввод кода снятия блокировки (8-значное число)
AT^CARDUNLOCK=»MD5 NCK Code» – сброс попыток ввода кода NCK кода разблокировки до 10 раз
AT^CARDLOCK? – проверка состояния блокировки модема и количества попыток ввода кода разблокировки:
(ответ модема: CARDLOCK: A,B,0 , если A=2 модем разблокирован, A=1 модем заблокирован – SimLock, если A=3 здесь два варианта либо вы израсходовали все 10 попыток ввести код, либо у вас в модеме кастомизированная прошивка, B – количество оставшихся попыток ввода кода разблокировки (по умолчанию 10 раз))

Изменение режима модема
AT^U2DIAG=Команда — для изменения режим модема (Модем,CD ROM, Флешка, PC UI, NDIS, Смарткарта).

AT команды для Huawei E171 с прошивкой v21.156.00.00.143, E352, E353, E367, E398 и др.
AT^SETPORT=»A1,A2,1,2,3,7,A1,A2″ (Установить конфигурацию по умолчанию)
AT^SETPORT=»A1,A2,1,2,3,7″ (девайс в режиме «модем сетевая карта»)
AT^SETPORT=»A1,A2;1,2,3,A2″ (девайс в режиме «модем Card Reader»)
AT^SETPORT=»A1,A2;1,2,3″ (девайс в режиме «только модем»)
AT^SETPORT=»A1,2,7″ (девайс в режиме «сетевая карта CD-ROM»)
AT^SETPORT=»A1,A2,2,7″ (девайс в режиме «сетевая карта») — для Windows 7
AT^SETPORT=»A1;1,2″ (девайс в режиме «модем пользовательский интерфейс»)
AT^SETPORT? (Текущая конфигурация модема)
AT^GETPORTMODE (Отображение текущего активного режима)
AT^SETPORT=»A1,A2,1,2,3,7,A1,A2,4,5,6,A,B,D,E» (Сброс настроек по умолчанию)

Настройки режимов сети по умолчанию для Huawei E352
at^hspa?
^HSPA: 2
AT^SETPORT?
A1,A2;1,2,3,7,A1,A2
AT^SYSCFG?
^SYSCFG:2,2,3FFFFFFF,1,2

Настройки режимов сети по умолчанию для Huawei E352b (21.158.23.00.209)
AT^SETPORT?
A1,A2;1,16,3,2,A1,A2

AT команды для Huawei E1750
АТ команды переключения режимов huawei E1750
AT^U2DIAG=0 (девайс в режиме только модем)
AT^U2DIAG=1 (девайс в режиме модем CD-ROM)
AT^U2DIAG=6 (девайс в режиме только сетевая карта)
AT^U2DIAG=268 для E1750 (девайс в режиме модем CD-ROM Card Reader)
AT^U2DIAG=276 для E1750 (девайс в режиме сетевой карты CD-ROM Card Reader)
AT^U2DIAG=256 (девайс в режиме модем Card Reader, можно использовать как обычную флешку,
отказавшись от установки драйверов модема)
АТ команды переключения режимов сети huawei E1750
AT^SYSCFG=14,2,3fffffff,1,2 (Только 3G)
AT^SYSCFG=13,1,3fffffff,1,2 (Только GSM)
AT^SYSCFG=2,2,3fffffff,1,2 (Приоритет 3G)

AT команды переключения режимов сети для модема Huawei E1820 (E182E)
AT^SYSCFG=13,2,3fffffff,1,2 — только GSM
AT^SYSCFG=2,1,3fffffff,1,2 — преимущественно GSM
AT^SYSCFG=14,2,3fffffff,1,2 — только WCDMA
AT^SYSCFG=2,2,3fffffff,1,2 — преимущественно WCDMA

AT команды для Huawei E3131
AT^SETPORT=»A1,A2;1,16,3,2,A1,A2″ — (Установить конфигурацию по умолчанию)
AT^SETPORT=»A1,A2;1,2,3,16,A1,A2″ — (режим для работы модема с Android 4.0 (иногда работает))
AT^SETPORT=»A1,A2;1,16,3,2″ — (девайс в режиме «модем сетевая карта»)
AT^SETPORT=»A1,A2;1,3,2,A2″ — (девайс в режиме «модем Card Reader»)
AT^SETPORT=»A1,A2;1,3,2″ — (девайс в режиме «только модем»)
AT^SETPORT=»FF;1,2″ (девайс в режиме «модем пользовательский интерфейс»)
AT^SETPORT=»A1,A2;2,16″ — (девайс в режиме «сетевая карта»)
AT^SETPORT=»A1,A2;2,16,A1″ — (девайс в режиме «сетевая карта CD-ROM»)

AT команды для Huawei E3131 Hilink
http://192.168.1.1/html/switchProjectMode.html
AT^U2DIAG=0 Перевод модема из режима Hilink в режим com портов
AT^U2DIAG=119 Возврат в исходный режим

AT команды для Huawei E303 HiLink
http://192.168.1.1/html/switchProjectMode.html
AT^U2DIAG=374 Перевод модема из режима Hilink в режим com портов
AT^U2DIAG=375 Возврат в исходный режим

AT команды для Huawei E3272
AT^SETPORT=»A1,A2;62,61,76,A1,A2″ — Установка по умолчанию для МТС 824F.
AT^SETPORT=»A1,A2;10,12,16,A1,A2″ — Установка по умолчанию для Мегафон М100-4.

AT команды для Huawei E3372
AT^SETPORT=»A1,A2;A1,A2″ — Установка по умолчанию для МТС 827F.
AT^SYSCFG=»2,2,3FFFFFFF,1,2″ — Установка по умолчанию для МТС 827F.

AT команды для Huawei E3276
AT^SETPORT=»A1;10,12,13,14,16,A1,A2″ — Включает все COM порты.
AT^SETPORT=»A1,A2;12,16,A1,A2″ — Установка по умолчанию.
AT^SETPORT=”A1;10,12” — режим только модем
AT^SYSCFGEX? — значение по умолчанию
^SYSCFGEX:»00″,3FFFFFFF,1,2,800C5
AT^SYSCFGEX=?
^SYSCFGEX: («00″,»01″,»02″,»03″),((2000000400380,»GSM900/GSM1800/WCDMA900/WCDMA2100″),(2a80000,»GSM850/GSM1900/AWS/WCDMA1900″),(3fffffff,»All bands»)),(0-2),(0-4),((800c5,»LTE_B1/LTE_B3/LTE_B7/LTE_B8/LTE_B20″),(7fffffffffffffff,»All bands»))
AT^FHVER — показывает информацию о версии прошивки и версии железа (^FHVER:»E3276s-210 21.260.05.00.143,CH2E3276SM Ver.B»)

AT команды для Huawei E3531
AT^SETPORT=»A1,A2;1,16,3,2,A1,A2″ — Установка по умолчанию для МТС 423S.
AT^FHVER — — показывает информацию о версии прошивки и версии железа (^FHVER:»E3531s-1EA 21.318.15.00.143,CH1E3531SM Ver.A»)

AT команды для преключения режимов в модемах huawei с LTE (E392, E398)
Если для USB-модема вы хотите включить режим только LTE, отключив все остальные, необходимо воспользоваться AT командой:
AT^SYSCFGEX=»03″,3fffffff,2,4,7fffffffffffffff,,
В указанной команде первое значение расшифровывается так:
00 — Автоматический режим, установлен по умолчанию (приоритеты в порядке очереди: 4G > 3G > 2G)
01 — GSM GPRS(2G)
02 — WCDMA(3G)
03[/b] — LTE(4G)
[b]99
— Оставить текущие настройки без изменений.

Вы можете также выбрать порядок их приоритета, в порядке убывания, например:
AT^SYSCFGEX=»0302″,3fffffff,2,4,7fffffffffffffff,,
В этом случае модем будет пытаться подключиться сначала к сети LTE и потом к сети 3G, кроме работы в сетях 2G.
или такой вариант:
AT^SYSCFGEX=»030201″,3fffffff,2,4,7fffffffffffffff,,
это равносильно
AT^SYSCFGEX=»00″,3fffffff,2,4,7fffffffffffffff,,
Соответственно автоматический режим, установлен по умолчанию (приоритеты в порядке очереди: 4G > 3G > 2G)

Lacp agreement

LACP, Link Aggregation Control Protocol (LACP) based on the IEEE802.3ax standard is a protocol for dynamic link aggregation. The LACP protocol is controlled by Link Aggregation Control Protocol Data Unit (LACPDU).Protocol data unit) and the opposite endInteractive information。

Modify device name

[~HUAWEI]sysname CE6800

If there is no commit, you need to exit the system view mode and save it.

 Configure device description information

Overview

In Huawei switch series CE6800 we can configure Intelligent stack (iStack) technology combines multiple switches into a single virtual switch.iStack technology provides high network reliability and scalability because each member of switches in a stack work in redundancy mode and easily increase the number its member.

Physical connection planning

Since our case now all member switches are located near one another, ring topology is recommended, because this topology has higher reliability and link utilization. The following is the table of physical connection planning. We will use following service ports to be the stack ports

CE6800
Stack Ring Connection
Master Slave
Stack-Port 1/1Stack-Port 2/2
100GE1/0/5100GE2/0/5
Stack-Port 1/2Stack-Port 2/1
100GE1/0/6100GE2/0/6
DAD
10GE1/0/110GE2/0/1

We will use port 100GE1/0/5 and 100GE1/0/6 to be working as iStack ports on Master switch and the same ports on Slave switch but after join Stack port in Slave switch will change name to 100GE2/0/5 and 100GE2/0/6.

Also, we will configure Dual-Active Detection (DAD) to prevent the case that stack cables fail, the stack splits into multiple stacks and causing problem.

Port aggregation configuration example

The topology is as follows:

On the CE6850, GE 1/0/1 and GE 1/0/3 are directly connected to GE 1/0/1 to GE 1/0/3 of the peer CE12808. The three links are connected to each other.

The CE6850 is configured as follows:

[~CE6850] interface Eth-Trunk 1 enters the Eth-Trunk sub-configuration mode.

[*CE6850-Eth-Trunk1]mode lacp-dynamic Select lacp dynamic mode

[*CE6850-Eth-Trunk1]lacp max active-linknumber 1                                          

[*CE6850-Eth-Trunk1]least active-linknumber 1                                              

[*CE6850-Eth-Trunk1]trunkport GE 1/0/0

[*CE6850-Eth-Trunk1]trunkport GE 1/0/1

[*CE6850-Eth-Trunk1]trunkport GE 1/0/2 Add three ports to Eth-Trunk 1

[*CE6850-Eth-Trunk1]commit commit configuration

The CE12808 configuration is the same as that of the CE6850.

View Eth-Trunk 1 Configuration

The three connections of the two ends of the device form a link aggregation. The logical interface is Eth-Trunk 1

Save and view configuration

Save all configuration information, save it first and save it

[~CE6800]commit

View all saved configurations

[*CE6800]display saved-configuration

View all current configurations

[*CE6800]display current-configuration

View device information

The key information is:

Software version: Version 8.130 (S6800 V800R013C00SPC560B560)

Equipment model: HUAWEI S6800

Running time: 0 day, 0 hour, 15 minutes

Глобальные команды, режимы работы, cходства и различия с cli cisco.

Оборудование HUAWEI, построенное на базе операционной системы VRP, имеет cisco-like интерфейс командной строки. Принципы остаются теми же самыми, меняется только синтаксис.

В CLI оборудования HUAWEI существуют 2 режима командного интерфейса:

Командная строка huawei usg

Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

Еще несколько отличий:

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

у Cisco подобная команда выглядит

Проверяем:

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Линейки huawei usg и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Его краткие характеристики следующие:Интерфейсы: 8GEПитание: AC AdapterFirewall throughput: 2 Gbit/sIPS throughput:  700 Mbit/sIPS AV throughput: 700 Mbit/sConcurrent sessions: 500,000VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Настройка stp

Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI.

Для включения STP на коммутаторе необходимо в режиме system-view ввести команду

Настройка базовых параметров системы

В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.

1. Настройка системного времени и его синхронизация по NTP.

Для настройки времени локально на коммутаторе можно использовать следующие команды:

clock timezone { add | minus } clock datetime [ utc ] HH:MM:

Пример настройки времени локально

clock timezone MSK add 03:00:00clock datetime 10:10:00 2020-10-08

Для синхронизации времени по NTP с сервером вводим следующую команду:

ntp unicast-server [ version number | authentication-keyid key-id | source-interface interface-type

Пример команды для синхронищации времени по NTP

ntp unicast-server 88.212.196.95commit

2. Для работы с коммутатором порой требуется настроить как минимум один маршрут — маршрут по умолчанию или default route. Для создания маршрутов используется следующая команда:

ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] }

Пример команды для создания маршрутов:

system-viewip route-static 0.0.0.0  0.0.0.0 192.168.0.1commit

3. Настройка режима работы протокола Spanning-Tree.

Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:

stp mode { stp | rstp | mstp | vbst } — в этой команде выбираем нужный нам режим. Режим по умолчанию: MSTP. Он же является рекомендуемым режимом для работы на коммутаторах Huawei. Обратная совместимость с RSTP имеется.

Пример

system-viewstp mode mstpcommit

4. Пример настройки порта коммутатора для подключения конечного устройства.

Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10

[SW] interface 10ge 1/0/3[SW-10GE1/0/3] port link-type access[SW-10GE1/0/3] port default vlan 10[SW-10GE1/0/3] stp edged-port enable[*SW-10GE1/0/3] quit

Обратите внимание на команду “stp edged-port enable” — она позволяет ускорить процесс перехода порта в состояние forwarding. Однако, не стоит использовать эту команду на портах, к которым подключены другие коммутаторы.

Также, может быть полезна команда “stp bpdu-filter enable”.

5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.

Пример

SW] interface eth-trunk 1[

SW-Eth-Trunk1]

port link-type trunkSW-Eth-Trunk1] port trunk allow-pass vlan 10[

SW-Eth-Trunk1]

mode lacp-static

(или можно использовать

lacp-dynamicSW-Eth-Trunk1] quit[

SW]

interface 10ge 1/0/1SW-10GE1/0/1] eth-Trunk 1[

SW-10GE1/0/1]

quitSW] interface 10ge 1/0/2[

SW-10GE1/0/2]

eth-Trunk 1

[*SW-10GE1/0/2]

quit

Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.Проверить состояние агрегированного линка можно командой “display eth-trunk”.

Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки. 

Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.

Настройка доступа

Выше мы работали через консольное подключение. Теперь к нашему коммутатору (стеку) нужно как-то подключаться по сети. Для этого ему нужен интерфейс (один или несколько ) с IP-адресом. Обычно для коммутатора адрес назначается на интерфейс в VLAN сети управления или на выделенный порт управления. Но тут, конечно же, всё зависит от топологии подключения и функционального назначения коммутатора.

Пример настройки адреса для интерфейса VLAN 1:

[~HUAWEI] interface vlan 1[~HUAWEI-Vlanif1] ip address 10.10.10.1 255.255.255.0[~HUAWEI-Vlanif1] commit

Предварительно можно явно создать Vlan и назначить ему имя, например:

[~Switch] vlan 1[*Switch-vlan1] name TEST_VLAN (имя VLAN — необязательный элемент)

Есть маленький лайфхак в плане именования — писать имена логических структур заглавными буквами (ACL, Route-map, иногда имена VLAN), чтобы было легче находить их в конфигурационном файле. Можете взять “на вооружение” 😉

Итак, у нас есть VLAN, теперь “приземляем” его на какой-нибудь порт. Для описанного в примере варианта делать это не обязательно, т.к. все порты коммутатора по умолчанию находятся в VLAN 1. Если хотим настроить порт в другой VLAN, пользуемся соответствующими командами:

Настройка порта в режиме access:

[~Switch] interface 25GE 1/0/20[~Switch-25GE1/0/20] port link-type access[~Switch-25GE1/0/20] port access vlan 10[~Switch-25GE1/0/20] commit

Настройка порта в режиме trunk:

[~Switch]

interface 25GE 1/0/20

[~Switch-25GE1/0/20]

port link-type trunk

[~Switch-25GE1/0/20]

port trunk pvid vlan 10указываем native VLAN (фреймы в этом VLAN не будут иметь тег в заголовке)

[~Switch-25GE1/0/20]

port trunk allow-pass vlan 1 to 20разрешаем только VLAN с тегом от 1 до 20 (для примера)

[~Switch-25GE1/0/20]

commit

С настройкой интерфейсов разобрались. Перейдём к конфигурации SSH.Приведем только необходимый набор команд:

Назначаем имя коммутатору

Генерируем ключи

[~SSH Server] rsa local-key-pair create //Generate the local RSA host and server key pairs.The key name will be: SSH Server_HostThe range of public key size is (512 ~ 2048).NOTE: Key pair generation will take a short while.

Настраиваем интерфейст VTY

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.

Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

  • Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
  • DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
  • Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
  • Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности.  Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях.

В случае применения исходящей политики по отношению к трафику в направлении LOCAL → UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и  места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.

Настройка с помощью web-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек.  Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

  1. Предварительная настройка коммутаторов с последующим их физическим соединением.

  2. Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

  1. Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

  2. Осуществляем монтаж и кабельное подключение коммутаторов.

  3. Настраиваем базовые параметры стека для master-коммутатора:

    [~HUAWEI] stack

3.1. Настраиваем нужные нам параметры

#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.

Коммутатор с наибольшимприоритетом будет назначен master-коммутатором стека. Значение приоритетапо умолчанию: 100.#stack member { member-id | all } domain — назначить Domain ID для стека.По умолчанию, domain ID не задан.#

Пример: system-view[~HUAWEI] sysname SwitchA[HUAWEI] commit[~SwitchA] stack[~SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit

3.2 Настраиваем интерфейс порта стекирования (пример)

[~SwitchA]

interface stack-port 1/1SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist. 

2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y

[SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

4. Выключаем порты для стекирования на master-коммутаторе (пример)

[~SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB. 

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.

The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return

Перезагружаем SwitchB

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

———————————————————————————

MemberID Role     MAC              Priority   DeviceType         Description

———————————————————————————

1       Master   0004-9f31-d520   150        CE6850-48T4Q-EI 

 2       Standby  0004-9f62-1f40   120        CE6850-48T4Q-EI 

———————————————————————————

indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

и можно также посмотреть на сайте Huawei.

Обновление по устройства

Текущая версия ПО (по состоянию на март 2022 года) — v500r001c30spc100.

Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei:  O&m15213      (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.

Первое подключение

Подключение к коммутатору через консольный интерфейс
Подключение к коммутатору через консольный интерфейс

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.

Для первичной настройки без использования ZTP необходимо консольное подключение.

Параметры подключения (вполне стандартные)

Transmission rate: 9600
Data bit (B): 8
Parity bit: None
Stop bit (S): 1
Flow control mode: None

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Задаем пароль для консольного подключения

An initial password is required for the first login via the console.
Continue to set it? [Y/N]:
y
Set a password and keep it safe!
Otherwise you will not be able to login via the console.
Please configure the login password (8-16)
Enter Password:
Confirm Password:

Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:

Режимы работы портов

Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk.

Режим trunk

Настройка порта:

Создание vlan

Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.

Статическая маршрутизация

Статические маршруты прописываются точно так же, как на оборудовании Cisco:

Conclusion

That’s all about Configuring Stack of two Huawei CE6800 Switches from Tech Space KH. Hopefully, you can find this guide informative. If you have any questions or suggestions you can always leave your comments below. I will try all of my best to review and reply them.

Оцените статью
Huawei Devices
Добавить комментарий