Почему?
😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.
Настройка имени хоста
В интерфейсе командной строки имя хоста (имя устройства) заключено в угловые скобки (…) или квадратные скобки ([…]). Имя хоста по умолчанию – Huawei, но это имя следует изменить, чтобы лучше различать несколько устройств.
Настройка системного времени
По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name {add | minus} offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset).
[Huawei-AR-01] clock timezone BJ add 08:00
После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2022 года, выполните следующую команду:
[Huawei-AR-01] clock datetime 18:30:00 2022-03-10
Задание IP-адреса на устройстве
Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address {mask | mask-length} в интерфейсном виде.
Параметры ip-address и mask задают IP-адрес и маску подсети соответственно в десятичной системе счисления, а mask-length задает число последовательных “1”в двоичной системе счисления маски подсети. В следующем примере показано, как установить IP-адрес 10.1.1.100 и маску подсети 255.255.255.0 для интерфейса управления Ethernet 1/0/0:
Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.
4 logging in from the web-basednetwork management system
l Introduction
l Setting Up a Web ConfigurationEnvironment
l Configuring the Login Banner
l Enabling/Disabling the WEBServer
Configuration procedure
# Enter system view.
Configuring the management ip address of the oap software system
In the OAA system of the device, the accesscontrol engine and the switching engine integrate together and function as onedevice. For the snmp UDP Domain-based network management station (NMS),however, the access control engine and the switching engine are independentSNMP agents.
Physically, two agents are on the same managed object; while logically,they belong to two different systems, and they manage their own MIB objects on theaccess control engine and the switching engine separately. Therefore, when youuse the NMS to manage the access control engine and the switching engine on thesame interface, you must first obtain the management IP addresses of the twoSNMP agents and obtain the link relationship between them, and then you canaccess the two agents. By default, the management IP address of an OAP moduleis not configured.
Before configuringthe management IP address of the OAP software system, you must configure thesame IP address at the engine side where the OAP software system resides;otherwise, the NMS cannot access the OAP software system by using theconfigured management IP address.
Follow these steps to configure themanagement IP address of the OAP software system:
Cоздание интерфейса vlanif для удаленного управления
Создаем виртуальный интерфейс Vlanif 1 и назначаем ему ip адрес. Интерфейс будет использоваться для удаленного доступа на коммутатор.
It_donnet
Блог о сетевых устройствах, тестировании различных устройств. На сайте вы найдете инструкции для настройки различных устройств. А раздел «Путешествие» поможет познакомиться с интересными местами.
источник
Logging in tothe switching engine through oap
You can log in to the access control enginethrough the console port on the device and perform the following configurationson the access control engine. Then, you can log in to the switching engine.
Базовая настройка ip
Присваиваем IP
[Quidway]interface vlanif 1 [Quidway-Vlanif1]ip add 10.2.0.70 255.255.0.0
Проверяем:
[Quidway-Vlanif1]display this # interface Vlanif1 ip address 10.2.0.100 255.255.0.0 # return [Quidway-Vlanif1]quit
Теперь назначаем коммутатору шлюз по умолчанию:
[Quidway]ip route 0.0.0.0 0.0.0.0 10.2.1.1
Проверяем:
[Quidway]display ip routing-table
Route Flags: R — relay, D — download to fib
——————————————————————————
Routing Tables: Public
Destinations : 5 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 10.2.1.1 Vlanif1
10.2.0.0/16 Direct 0 0 D 10.2.0.100 Vlanif1
10.2.0.100/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
Базовая настройка коммутатора huawei quidway печать
Изменено: Чт, 14 Июл, 2022 at 9:58 AM
Сетевое оборудование компании Huawei занимает все более прочные позиции на российском рынке. Тем не менее, у многих системных администраторов еще недостаточно опыта для его качественной настройки. Статья по базовой настройке коммутаторов Huawei Quidway призвана восполнить данный пробел.
В статье мы рассмотрим настройку коммутатора Huawei Quidway S2309TP-SI с версией прошивки V100R005C01SPC100.
К. кряженков, а. степушин.центр сетевого управления и
телекоммуникаций мирэа
В этот раз мы снова вернемся к коммутаторам от компании Huawei и
посмотрим, как настраиваются некоторые необходимые функции и
протоколы. Напомним, модель наших устройств Quidway S3928P-SI, которые
имеют по 24 Ethernet порта 10/100 и 4 слота под sfp-модули.
В этот раз мы постараемся выполнить следующие задачи:
- Создание БД VLAN
- Протокол обнаружения соседей
- Настройка управляющего VLAN
- Настройка портов доступа и магистральных
- Распространение информации о VLAN на все коммутаторы
- Настройка порт-секьюрити
- Настройка голосовогоVLAN
- Настройка STP
На помощь нам придут мануалы, доступные для просмотра и
скачивания здесь:
Командная строка huawei usg
Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:
В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:
Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.
Еще несколько отличий:
Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:
Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.
В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой
у Cisco подобная команда выглядит
Проверяем:
В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.
Команды для настройки vlan
Для создания VLAN используется команда vlan {vlan-id}Например:
huawei> system-view [huawei] vlan 150 [huawei-vlan150] quit
Для удаления VLAN — undo vlan {vlan-id}
Команды для просмотра информации
display current-configuration — просмотр конфигурации коммутатора. Вывод команды может занимать много строк.
display current-configuration interface ethernet0/0/8 позволяет отобразить текущую конфигурацию для определенного интерфейса, например
SW1-Q2326> display current-configuration interface Ethernet 0/0/8 # interface Ethernet0/0/8 loopback-detect enable loopback-detect action shutdown stp edged-port enable traffic-filter inbound acl 1 rule 10 traffic-filter inbound acl 2 rule 20 traffic-filter inbound acl 3 rule 30 undo ntdp enable undo ndp enable undo lldp enable port-isolate enable group 10 # return
display interface — просмотр состояния порта
Если в команде не был указан конкретный интерфейс, то команда отобразит информацию обо всех интерфейсах на коммутаторе.
Просмотр информации абонентского интерфейса
SW1-Q2326> display interface Ethernet0/0/2 Ethernet0/0/2 current state : UP Line protocol current state : UP Description:HUAWEI, Quidway Series, Ethernet0/0/2 Interface Switch Port, PVID : 10, TPID : 8100(Hex), The Maximum Frame Length is 2044 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0025-9e0e-e3c8 Port Mode: COMMON COPPER Speed : 100, Loopback: NONE Duplex: FULL, Negotiation: ENABLE Mdi : AUTO Last 300 seconds input rate 64200 bits/sec, 46 packets/sec Last 300 seconds output rate 167936 bits/sec, 60 packets/sec Input peak rate 6230872 bits/sec, Record time: 2022-05-22 12:09:21 Output peak rate 82646216 bits/sec, Record time: 2022-05-20 22:28:51 Input: 104198 packets, 36893522 bytes Unicast : 104192, Multicast : 0 Broadcast : 6, Jumbo : 0 CRC : 0, Giants : 0 Jabbers : 0, Fragments : 0 Runts : 0, DropEvents : 0 Alignments : 0, Symbols : 0 Ignoreds : 0, Frames : 0 Discard : 0, Total Error : 0 Output: 2351712 packets, 1668837078 bytes Unicast : 2140589, Multicast : 166992 Broadcast : 44131, Jumbo : 0 Collisions : 0, Deferreds : 0 Late Collisions: 0, ExcessiveCollisions: 0 Buffers Purged : 0 Discard : 0, Total Error : 0 Input bandwidth utilization threshold : 100.00% Output bandwidth utilization threshold: 100.00% Input bandwidth utilization : 0.06% Output bandwidth utilization : 0.17%
В домовых сетях для связи между коммутаторами используются гигабитные порты. Просмотр информации UPLINK интерфейса.
SW1-Q2326> display interface GigabitEthernet 0/0/1 GigabitEthernet0/0/1 current state : UP Line protocol current state : UP Description:HUAWEI, Quidway Series, GigabitEthernet0/0/1 Interface Switch Port, PVID : 10, TPID : 8100(Hex), The Maximum Frame Length is 2044 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 4cb1-6c6d-f0e2 Port Mode: COMBO AUTO Current Work Mode: COPPER Speed : 1000, Loopback: NONE Duplex: FULL, Negotiation: ENABLE Mdi : AUTO Last 300 seconds input rate 24997688 bits/sec, 2342 packets/sec Last 300 seconds output rate 1229104 bits/sec, 579 packets/sec Input peak rate 336254096 bits/sec, Record time: 2022-07-21 03:46:12 Output peak rate 222242920 bits/sec, Record time: 2022-09-18 02:36:47 Input: 10903526547 packets, 14024800132234 bytes Unicast : 3191030272, Multicast : 7711769187 Broadcast : 727088, Jumbo : 0 CRC : 0, Giants : 0 Jabbers : 0, Fragments : 0 Runts : 0, DropEvents : 0 Alignments : 0, Symbols : 0 Ignoreds : 0, Frames : 0 Discard : 0, Total Error : 0 Output: 2022739656 packets, 1111756329252 bytes Unicast : 2022859007, Multicast : 1743883 Broadcast : 1136766, Jumbo : 0 Collisions : 0, Deferreds : 0 Late Collisions: 0, ExcessiveCollisions: 0 Buffers Purged : 0 Discard : 0, Total Error : 0 Input bandwidth utilization threshold : 100.00% Output bandwidth utilization threshold: 100.00% Input bandwidth utilization : 2.50% Output bandwidth utilization : 0.12%
display mac-address — просмотр мак-адреса
SW1-Q2326>display mac-address ------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------- 1caf-f762-b607 10/- Eth0/0/2 dynamic 2c39-96a8-60f5 10/- Eth0/0/24 dynamic 2c39-96a8-60f6 10/- Eth0/0/24 dynamic 2c39-96d9-6d4e 10/- GE0/0/2 dynamic 2c39-96d9-6d4f 10/- GE0/0/2 dynamic 348a-ae19-aa1b 10/- GE0/0/2 dynamic 348a-ae19-aa1c 10/- GE0/0/2 dynamic e894-f6b7-a00d 10/- Eth0/0/3 dynamic 0025-9ed4-64ca 20/- GE0/0/1 dynamic 286e-d455-d7b0 20/- GE0/0/2 dynamic ------------------------------------------------------- Total items displayed = 10
При указании номера интерфейса команда покажет информацию о мак-адресах на конкретно заданном интерфейсе, например:
SW1-Q2326> display mac-address dynamic Ethernet0/0/2 ------------------------------------------------------------------ MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------ 1caf-f762-b607 10/- Eth0/0/2 dynamic ------------------------------------------------------------------ Total items displayed = 1
Отбор данных по заданному признаку осуществляется с помощью include. Например, нам необходимо найти порт на коммутаторе, зная только мак-адрес оборудования. В этом случае нам поможет следующая команда:
SW1-Q2326> display mac-address dynamic | include 1caf-f762-b607 MAC address table of slot 0: ------------------------------------------------------------------ MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI ------------------------------------------------------------------ 1caf-f762-b607 10 - - Eth0/0/2 dynamic - ------------------------------------------------------------------ Total matching items on slot 0 displayed = 10
Результат отработки команды показывает, что нужный нам мак-адрес 1caf-f762-b607 находится на 2 порту коммутатора.
display interface description — просмотр описания портов коммутатора.
SW1-Q2326> display interface description Interface Description Ethernet0/0/1 HUAWEI, Quidway Series, Ethernet0/0/1 Interface Ethernet0/0/2 HUAWEI, Quidway Series, Ethernet0/0/2 Interface Ethernet0/0/3 HUAWEI, Quidway Series, Ethernet0/0/3 Interface Ethernet0/0/4 HUAWEI, Quidway Series, Ethernet0/0/4 Interface Ethernet0/0/5 HUAWEI, Quidway Series, Ethernet0/0/5 Interface Ethernet0/0/6 HUAWEI, Quidway Series, Ethernet0/0/6 Interface Ethernet0/0/7 HUAWEI, Quidway Series, Ethernet0/0/7 Interface Ethernet0/0/8 HUAWEI, Quidway Series, Ethernet0/0/8 Interface GigabitEthernet0/0/1 HUAWEI, Quidway Series, GigabitEthernet0/0/1 NULL0 HUAWEI, Quidway Series, NULL0 Interface Vlanif10 HUAWEI, Quidway Series, Vlanif998 Interface
Описание (description) можно изменить на свое. Это очень важно и позволяет прописать необходимую служебную информацию, например
Команды для управления интерфейсами
shutdown и undo shutdown — включение/отключение административной блокировки интерфейса.
Команды работают в режиме system
Включение административной блокировки
Линейки huawei usg и краткие характеристики
Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).
Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.
Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:
Его краткие характеристики следующие:Интерфейсы: 8GEПитание: AC AdapterFirewall throughput: 2 Gbit/sIPS throughput: 700 Mbit/sIPS AV throughput: 700 Mbit/sConcurrent sessions: 500,000VPN Throughput (IPSec): 400Mbit/s
Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.
Настройка huawei quidway s2309tp
Коммутаторы серии Quidway являются функциональным решением для операторов связи любого уровня. 24 медных порта используются для подключения конечных пользователей, 2 uplink порта дают возможность подключения устройства к вышестоящим коммутаторам “уровня агрегации”.
В случае большой нагрузки позволяют организовать единый канал. Суммарная скорость всех портов коммутатора составляет около 8,8 Гб/c. Размер таблицы мак-адресов — 8000. Этого значения хватает для решения любых сетевых задач. Количество поддерживаемых VLAN составляет 4096.
Настройка nat/pat для выхода локальной сети в интернет
Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security.
В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.
После чего создадим NAT policy для зоны trust для выхода в Интернет, «маскируясь» внешним IP-адресом:
После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.
Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.
Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site, SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.
Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.
Настройка sftp сервера для доступа к файлам во flash памяти коммутатора
Для безопасного доступа к flash памяти Huawei Quidway по SFTP необходимо настроить доступ по SSH как описано выше и включить SFTP сервер на коммутаторе. В нашем примере, для доступа по SFTP используется учетная запись huawei (совпадает с учетной записью для доступа по SSH).
Настройка vlan для hybrid порта
В режиме конфигурирования интерфейса задем тип — hybrid.
[huawei-GigabitEthernet0/0/1] port link-type hybrid
Добавляем номера тегированных VLAN.
[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan {vlan-id1 vlan-id2 … vlan-idn}
Добавляем номера нетегированных VLAN.
[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan {vlan-id1 vlan-id2 … vlan-idn}
Добавляем PVID для нетегированной VLAN, по умолчанию используется PVID = 1
[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan {vlan-id}
Например:
huawei> system-view [huawei] interface GigabitEthernet 0/0/1 [huawei-GigabitEthernet0/0/1] port link-type hubrid [huawei-GigabitEthernet0/0/1] port hybrid tagged vlan 150 200 to 210 [huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20 [huawei-GigabitEthernet0/0/1] port hybrid pvid vlan 10 [huawei-GigabitEthernet0/0/1] quit
Настройка vlan для trunk порта
В режиме конфигурирования интерфейса задем тип — trunk.
[huawei-GigabitEthernet0/0/1] port link-type trunk
Добавляем номера VLAN в trunk через пробел или диапазон.
[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan {vlan-id1 vlan-id2 … vlan-idn}
Например:
huawei> system-view [huawei] interface GigabitEthernet 0/0/1 [huawei-GigabitEthernet0/0/1] port link-type trunk [huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 150 200 to 220 [huawei-GigabitEthernet0/0/1] port trunk pvid vlan 150 [huawei-GigabitEthernet0/0/1] quit
Настройка базовых параметров системы
В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.
1. Настройка системного времени и его синхронизация по NTP.
Для настройки времени локально на коммутаторе можно использовать следующие команды:
clock timezone { add | minus } clock datetime [ utc ] HH:MM:
Пример настройки времени локально
clock timezone MSK add 03:00:00clock datetime 10:10:00 2020-10-08
Для синхронизации времени по NTP с сервером вводим следующую команду:
ntp unicast-server [ version number | authentication-keyid key-id | source-interface interface-type
Пример команды для синхронищации времени по NTP
ntp unicast-server 88.212.196.95commit
2. Для работы с коммутатором порой требуется настроить как минимум один маршрут — маршрут по умолчанию или default route. Для создания маршрутов используется следующая команда:
ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] }
Пример команды для создания маршрутов:
system-viewip route-static 0.0.0.0 0.0.0.0 192.168.0.1commit
3. Настройка режима работы протокола Spanning-Tree.
Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:
stp mode { stp | rstp | mstp | vbst } — в этой команде выбираем нужный нам режим. Режим по умолчанию: MSTP. Он же является рекомендуемым режимом для работы на коммутаторах Huawei. Обратная совместимость с RSTP имеется.
Пример
system-viewstp mode mstpcommit
4. Пример настройки порта коммутатора для подключения конечного устройства.
Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10
[SW] interface 10ge 1/0/3[SW-10GE1/0/3] port link-type access[SW-10GE1/0/3] port default vlan 10[SW-10GE1/0/3] stp edged-port enable[*SW-10GE1/0/3] quit
Обратите внимание на команду “stp edged-port enable” — она позволяет ускорить процесс перехода порта в состояние forwarding. Однако, не стоит использовать эту команду на портах, к которым подключены другие коммутаторы.
Также, может быть полезна команда “stp bpdu-filter enable”.
5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.
Пример
SW] interface eth-trunk 1[
SW-Eth-Trunk1]
port link-type trunkSW-Eth-Trunk1] port trunk allow-pass vlan 10[
SW-Eth-Trunk1]
mode lacp-static
(или можно использовать
lacp-dynamicSW-Eth-Trunk1] quit[
SW]
interface 10ge 1/0/1SW-10GE1/0/1] eth-Trunk 1[
SW-10GE1/0/1]
quitSW] interface 10ge 1/0/2[
SW-10GE1/0/2]
eth-Trunk 1
[*SW-10GE1/0/2]
quit
Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.Проверить состояние агрегированного линка можно командой “display eth-trunk”.
Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки.
Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.
Настройка даты и времени
Настройка времени и даты на коммутаторе выполняется не в привилегированном режиме. Необходимо указать часовой пояс и, непосредственно, дату и время
Проверка установленных даты и времени производится с помощью команды display clock
Настройка коммутатора huawei quidway s2326 | it knowledge base
Настройки по сути подходят ко всей серии Huawei Quidway S2300, но заметил что некоторые команды могут иметь маленькие отличия в зависимости от версии прошивки. Если что-то не получается прописать, то можно посмотреть варианты команд набрав знак вопроса через пробел после любой команды.
Посмотреть текущую конфигурацию можно командой:
display current-configuration
Чтобы перейти в режим конфигурации наберем:
system-view
Пропишем имя коммутатору:
sysname имя
Добавим vlan для управления:
vlan 207 description примечание management-vlan quit
Добавим vlan для пользователей:
vlan 226 description примечание quit
Если нужен supervlan, то в любом vlan допишем например:
vlan 10 supervlan aggregate-vlan access-vlan номера_вланов
Добавим интерфейс в управляемом vlan:
interface Vlanif 207 ip address 192.168.1.2 255.255.255.0 quit
Добавим маршрут по умолчанию:
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Настроим первый SFP порт для аплинка:
interface GigabitEthernet 0/0/1 port link-type trunk port trunk allow-pass vlan 207 266 quit
Если например пользовательский vlan приходит untagged, а управления tagged, то:
interface GigabitEthernet0/0/1 port hybrid pvid vlan 226 port hybrid tagged vlan 207 port hybrid untagged vlan 226
Настроим порты для абонентов, укажем нужные vlan и тип порта, настроим защиту от петель loopback-detect, ограничим широковещательный трафик до 1% (остальные порты аналогично):
interface Ethernet 0/0/1 port link-type access port default vlan 226 loopback-detect enable loopback-detect action shutdown loopback-detect recovery-time 255 broadcast-suppression 1
Активируем функцию защиты от петель:
loopback-detect enable
Добавим администратора:
user-interface vty 0 4 authentication-mode aaa aaa aaa local-user admin privilege level 15 local-user admin password cipher ПАРОЛЬ local-user admin service-type telnet web http ssh quit
Укажем NTP сервер для синхронизации времени:
ntp-service unicast-server 192.168.1.1
Настроим SNMP:
snmp-agent snmp-agent sys-info version v2c snmp community read КОМЬЮНИТИ
Чтобы принимались простые комьюнити введем команду:
snmp-agent community complexity-check disable
Включим web интерфейс:
http secure-server enable http server enable display http server
Когда все настроили выйдем в начальный режим, сохраним конфигурацию и укажем что она загрузочная:
quit save config.cfg startup saved-configuration config.cfg
Перезагрузим коммутатор:
reboot
Посмотреть таблицу MAC-адресов можно командой:
display mac-address
https://huaweidevices.ru/
Настройка магистрального порта
В магистральном порту прокидываем два vlan в тэгированном виде. Для этого переводим порт в режим trunk и разрешаем прохождение vlan 1 и 2. При просмотре конфигурации порта командой display configuration interface GigabitEthernet0/0/1, vlan 1 не отображается.
Настройка подключения по консоли
Для подключения к Quidway по консоли используем локальную аутентификацию. Задаем подключившемуся пользователю максимальный приоритет. Устанавливаем время простоя сессии в 30 минут.
Настройка политик безопасности и обновления сигнатур
Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.
Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:
- Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
- DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
- Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
- Local (100). Зона самого устройства USG, включая его интерфейсы.
Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.
Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности. Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.
Направление трафика определяется по направлению первого пакета.
Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:
Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях.
В случае применения исходящей политики по отношению к трафику в направлении LOCAL → UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.
Настройка пользовательских портов
Последовательно настраиваем порты Ethernet0/0/1 — Ethernet0/0/8, которые будут использоваться для предоставления сервиса конечным пользователям. Для примера приведу конфигурацию порта Ethernet0/0/1. Для остальных портов она будет аналогична. Переводим порт в режим access, чтобы метка тэга vlan снималась на порту при отправке их конечному устройству. Добавляем Vlan 2.
После настройки коммутатора Huawei Quidway, не забудьте сохранить конфигурацию при помощи команды save (выполняется в непривилегированном режиме). В противном случае, все выполненные настройки будут потеряны при перезагрузке коммутатора.
Настройка портов
Выставляем каждому порту режим работы (в коммутаторах Huawei есть два режима: access и hybrid, нам нужен режим access).
[Quidway]interface ethernet 0/0/1 [Quidway-Ethernet0/0/1]port link-type acces [Quidway-Ethernet0/0/1]port default vlan 1 [Quidway-Ethernet0/0/1]quit ……… [Quidway]interface ethernet 0/0/24 [Quidway-Ethernet0/0/24]port link-type acces [Quidway-Ethernet0/0/24]port default vlan 1 [Quidway-Ethernet0/0/24]quit [Quidway]interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1]port link-type access [Quidway-GigabitEthernet0/0/1]port default vlan 1 [Quidway-GigabitEthernet0/0/1]quit
И так далее
Настройка правил аутентификации и авторизации
Настройки аутентификации и авторизации оставляем без изменения:
Настройка с помощью web-интерфейса
Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.
По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.
Настройка стекирования (istack)
После получения доступа к коммутаторам, при необходимости можно настроить стек. Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.
Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.
Есть два варианта настройки, которые немного отличаются в последовательности шагов:
Предварительная настройка коммутаторов с последующим их физическим соединением.
Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.
Последовательность действий для этих вариантов выглядит следующим образом:
Последовательность действий для двух вариантов стекирования коммутаторов
Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:
Планируем работы с учётом вероятного простоя. Составляем последовательность действий.
Осуществляем монтаж и кабельное подключение коммутаторов.
Настраиваем базовые параметры стека для master-коммутатора:
[~HUAWEI] stack
3.1. Настраиваем нужные нам параметры
#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.
Коммутатор с наибольшимприоритетом будет назначен master-коммутатором стека. Значение приоритетапо умолчанию: 100.#stack member { member-id | all } domain — назначить Domain ID для стека.По умолчанию, domain ID не задан.#
Пример: system-view[~HUAWEI] sysname SwitchA[HUAWEI] commit[~SwitchA] stack[~SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit
3.2 Настраиваем интерфейс порта стекирования (пример)
[~SwitchA]
interface stack-port 1/1SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: After the configuration is complete,
1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist.
2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y
[SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return
Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:
4. Выключаем порты для стекирования на master-коммутаторе (пример)
[~SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit
5. Настраиваем второй коммутатор в стэке по аналогии с первым:
Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.
Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.
[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.
The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return
Перезагружаем SwitchB
6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.
[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return
7. Проверяем работу стека командой “display stack”
Пример вывода команды после правильной настройки
———————————————————————————
MemberID Role MAC Priority DeviceType Description
———————————————————————————
1 Master 0004-9f31-d520 150 CE6850-48T4Q-EI
2 Standby 0004-9f62-1f40 120 CE6850-48T4Q-EI
———————————————————————————
indicates the device where the activated management interface resides.
8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.
и можно также посмотреть на сайте Huawei.
Настройка удаленного управления по ssh
В моей предыдущей статье уже была подробно описана настройка SSH на коммутаторах Huawei Quidway, поэтому в данном пункте я лишь кратко приведу пункты конфигурации.
Нотносительная нумерация
Формат нумерации – тип пользовательского интерфейса номер. Как правило, устройство имеет один консольный порт (некоторые устройства могут иметь больше) и 15 пользовательских интерфейсов VTY (5 пользовательских интерфейсов VTY включены по умолчанию).
Нумерация интерфейса пользователя.
Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.
Обновление по устройства
Текущая версия ПО (по состоянию на март 2022 года) — v500r001c30spc100.
Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.
Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.
Общие настройки huawei quidway
Большинство настроек коммутатора Quidway выполняются в привилегированном режиме. Вход в привилегированный режим выполняется командой system-view, выход — командой quit. При входе в привилегированный режим приглашение командной строки меняется на [system_name]. Непривилегированный режим характеризуется приглашением .
Отключение неиспользуемых сервисов
Мы не планируем организовывать кластер из коммутаторов Quidway, поэтому отключаем кластерные функции и протоколы NDP (Neighbor Discovery Protocol — используется в кластере для сбора информации о подключенных соседях) и NTDP (Network Topology Discovery Protocol — используется для построения топологии в кластере).
Первое включение устройства
Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:
В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.
Для того, чтобы зайти BootRom menu, нужно нажать Ctrl B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei: O&m15213 (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:
Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.
Первое подключение
По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.
Для первичной настройки без использования ZTP необходимо консольное подключение.
Параметры подключения (вполне стандартные)
Transmission rate: 9600
Data bit (B): 8
Parity bit: None
Stop bit (S): 1
Flow control mode: None
После подключения Вы увидите просьбу задать пароль для консольного подключения.
Задаем пароль для консольного подключения
An initial password is required for the first login via the console.
Continue to set it? [Y/N]: y
Set a password and keep it safe!
Otherwise you will not be able to login via the console.
Please configure the login password (8-16)
Enter Password:
Confirm Password:
Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:
Подключаемся
Подключаемся к коммутатору с помощью консольного кабеля.
Используем утилиту Putty, настройки:
Проверка подлинности ааа
Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.
Проверка подлинности паролем
Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.
Проверка подлинности пользователя.
Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.
Прошивка
Заливка новой прошивки и включение web интерфейса.
Создание vlan
Создаем на Quidway два vlan и указываем их название. Как уже указывалось выше, в vlan 1 будем осуществлять управление коммутатором, в vlan 2 будет предоставляться сервис.
Топология тестовой сети
Как видно на приведенной схеме, тестовая сеть содержит два vlan.
vlan 1 — выделенная логическая сеть для управления оборудованием. Используемая подсеть 192.168.1.0 / 24. Шлюз 192.168.1.1, коммутатору Quidway присвоен IP адрес 192.168.1.4.
vlan 2 — выделенная логическая сеть для предоставления сервиса конечным пользователям (в нашем случае, «сервисная» подсеть не имеет терминации на Quidway, поэтому используемая в ней адресация не важна).
На коммутаторе Huawei Quidway s2300 используем порт GigabitEthernet0/0/1 как входящий магистральный порт, порты Ethernet0/0/1 — Ethernet0/0/8 используем для подключения конечных пользователей.