настройка huawei quidway s2309tp

it stamp check Новости

Почему?

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Настройка имени хоста

В интерфейсе командной строки имя хоста (имя устройства) заключено в угловые скобки (…) или квадратные скобки ([…]). Имя хоста по умолчанию – Huawei, но это имя следует изменить, чтобы лучше различать несколько устройств.

Настройка системного времени

По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name {add | minus} offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset).

[Huawei-AR-01] clock timezone BJ add 08:00

После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2022 года, выполните следующую команду:

[Huawei-AR-01] clock datetime 18:30:00 2022-03-10

Задание IP-адреса на устройстве

Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address {mask | mask-length} в интерфейсном виде.

Параметры ip-address и mask задают IP-адрес и маску подсети соответственно в десятичной системе счисления, а mask-length задает число последовательных “1”в двоичной системе счисления маски подсети. В следующем примере показано, как установить IP-адрес 10.1.1.100 и маску подсети 255.255.255.0 для интерфейса управления Ethernet 1/0/0:

Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.

4  logging in from the web-basednetwork management system

l         Introduction

l         Setting Up a Web ConfigurationEnvironment

l         Configuring the Login Banner

l         Enabling/Disabling the WEBServer

Configuration procedure

# Enter system view.

Configuring the management ip address of the oap software system

In the OAA system of the device, the accesscontrol engine and the switching engine integrate together and function as onedevice. For the snmp UDP Domain-based network management station (NMS),however, the access control engine and the switching engine are independentSNMP agents.

Physically, two agents are on the same managed object; while logically,they belong to two different systems, and they manage their own MIB objects on theaccess control engine and the switching engine separately. Therefore, when youuse the NMS to manage the access control engine and the switching engine on thesame interface, you must first obtain the management IP addresses of the twoSNMP agents and obtain the link relationship between them, and then you canaccess the two agents. By default, the management IP address of an OAP moduleis not configured.

Before configuringthe management IP address of the OAP software system, you must configure thesame IP address at the engine side where the OAP software system resides;otherwise, the NMS cannot access the OAP software system by using theconfigured management IP address.

Follow these steps to configure themanagement IP address of the OAP software system:

Cоздание интерфейса vlanif для удаленного управления

Создаем виртуальный интерфейс Vlanif 1 и назначаем ему ip адрес. Интерфейс будет использоваться для удаленного доступа на коммутатор.

It_donnet

Блог о сетевых устройствах, тестировании различных устройств. На сайте вы найдете инструкции для настройки различных устройств. А раздел «Путешествие» поможет познакомиться с интересными местами.

источник

Logging in tothe switching engine through oap

You can log in to the access control enginethrough the console port on the device and perform the following configurationson the access control engine. Then, you can log in to the switching engine.

Базовая настройка ip

Присваиваем IP

[Quidway]interface vlanif 1
[Quidway-Vlanif1]ip add 10.2.0.70 255.255.0.0

Проверяем:

[Quidway-Vlanif1]display this
#
interface Vlanif1
ip address 10.2.0.100 255.255.0.0
#
return
[Quidway-Vlanif1]quit

Теперь назначаем коммутатору шлюз по умолчанию:

[Quidway]ip route 0.0.0.0 0.0.0.0 10.2.1.1

Проверяем:

[Quidway]display ip routing-table

Route Flags: R — relay, D — download to fib

——————————————————————————

Routing Tables: Public

Destinations : 5 Routes : 5

Destination/Mask Proto Pre Cost Flags NextHop Interface

0.0.0.0/0 Static 60 0 RD 10.2.1.1 Vlanif1

10.2.0.0/16 Direct 0 0 D 10.2.0.100 Vlanif1

10.2.0.100/32 Direct 0 0 D 127.0.0.1 InLoopBack0

127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0

127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0

Базовая настройка коммутатора huawei quidway печать

Изменено: Чт, 14 Июл, 2022 at 9:58 AM

Сетевое оборудование компании Huawei занимает все более прочные позиции на российском рынке. Тем не менее, у многих системных администраторов еще недостаточно опыта для его качественной настройки. Статья по базовой настройке коммутаторов Huawei Quidway призвана восполнить данный пробел.

В статье мы рассмотрим настройку коммутатора Huawei Quidway S2309TP-SI с версией прошивки V100R005C01SPC100.

К. кряженков, а. степушин.центр сетевого управления и
телекоммуникаций мирэа

В этот раз мы снова вернемся к коммутаторам от компании Huawei и
посмотрим, как настраиваются некоторые необходимые функции и
протоколы. Напомним, модель наших устройств Quidway S3928P-SI, которые
имеют по 24 Ethernet порта 10/100 и 4 слота под sfp-модули.

В этот раз мы постараемся выполнить следующие задачи:

  1. Создание БД VLAN
  2. Протокол обнаружения соседей
  3. Настройка управляющего VLAN
  4. Настройка портов доступа и магистральных
  5. Распространение информации о VLAN на все коммутаторы
  6. Настройка порт-секьюрити
  7. Настройка голосовогоVLAN
  8. Настройка STP

На помощь нам придут мануалы, доступные для просмотра и
скачивания здесь:

Командная строка huawei usg

Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

Еще несколько отличий:

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

у Cisco подобная команда выглядит

Проверяем:

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Команды для настройки vlan

Для создания VLAN используется команда vlan {vlan-id}Например:

huawei> system-view
[huawei] vlan 150
[huawei-vlan150] quit

Для удаления VLAN — undo vlan {vlan-id}

Команды для просмотра информации

display current-configuration — просмотр конфигурации коммутатора. Вывод команды может занимать много строк.

display current-configuration interface ethernet0/0/8 позволяет отобразить текущую конфигурацию для определенного интерфейса, например

SW1-Q2326> display current-configuration interface  Ethernet 0/0/8
#
interface Ethernet0/0/8
 loopback-detect enable
 loopback-detect action shutdown
 stp edged-port enable
 traffic-filter inbound acl 1 rule 10
 traffic-filter inbound acl 2 rule 20
 traffic-filter inbound acl 3 rule 30
 undo ntdp enable
 undo ndp enable
 undo lldp enable
 port-isolate enable group 10
#
return

display interface — просмотр состояния порта

Если в команде не был указан конкретный интерфейс, то команда отобразит информацию обо всех интерфейсах на коммутаторе.

Просмотр информации абонентского интерфейса

SW1-Q2326> display interface Ethernet0/0/2
Ethernet0/0/2 current state : UP
Line protocol current state : UP
Description:HUAWEI, Quidway Series, Ethernet0/0/2 Interface
Switch Port, PVID :   10, TPID : 8100(Hex), 
The Maximum Frame Length is 2044
IP Sending Frames' Format is PKTFMT_ETHNT_2, 
Hardware address is 0025-9e0e-e3c8
Port Mode: COMMON COPPER
Speed :  100,  Loopback: NONE
Duplex: FULL,  Negotiation: ENABLE
Mdi   : AUTO
Last 300 seconds input rate 64200 bits/sec, 46 packets/sec
Last 300 seconds output rate 167936 bits/sec, 60 packets/sec
Input peak rate 6230872 bits/sec, Record time: 2022-05-22 12:09:21
Output peak rate 82646216 bits/sec, Record time: 2022-05-20 22:28:51
Input:  104198 packets, 36893522 bytes
Unicast        :    104192, Multicast          :        0
Broadcast      :         6, Jumbo              :        0
CRC            :         0, Giants             :        0
Jabbers        :         0, Fragments          :        0
Runts          :         0, DropEvents         :        0
Alignments     :         0, Symbols            :        0
Ignoreds       :         0, Frames             :        0
Discard        :         0, Total Error        :        0
Output:  2351712 packets, 1668837078 bytes
Unicast        :   2140589, Multicast          :   166992
Broadcast      :     44131, Jumbo              :        0
Collisions     :         0, Deferreds          :        0
Late Collisions:         0, ExcessiveCollisions:        0
Buffers Purged :         0  Discard        :            0, 
Total Error    :         0
    Input bandwidth utilization threshold : 100.00%
    Output bandwidth utilization threshold: 100.00%
    Input bandwidth utilization  : 0.06%
    Output bandwidth utilization : 0.17%

В домовых сетях для связи между коммутаторами используются гигабитные порты. Просмотр информации UPLINK интерфейса.

SW1-Q2326> display interface GigabitEthernet 0/0/1
GigabitEthernet0/0/1 current state : UP
Line protocol current state : UP
Description:HUAWEI, Quidway Series, GigabitEthernet0/0/1 Interface
Switch Port, PVID :    10, TPID : 8100(Hex), 
The Maximum Frame Length is 2044
IP Sending Frames' Format is PKTFMT_ETHNT_2, 
Hardware address is 4cb1-6c6d-f0e2
Port Mode: COMBO AUTO
Current Work Mode: COPPER
Speed : 1000,  Loopback: NONE
Duplex: FULL,  Negotiation: ENABLE
Mdi   : AUTO
Last 300 seconds input rate 24997688 bits/sec, 2342 packets/sec
Last 300 seconds output rate 1229104 bits/sec, 579 packets/sec
Input peak rate 336254096 bits/sec, Record time: 2022-07-21 03:46:12
Output peak rate 222242920 bits/sec, Record time: 2022-09-18 02:36:47
Input:  10903526547 packets, 14024800132234 bytes
Unicast    :  3191030272, Multicast          :  7711769187
Broadcast  :      727088, Jumbo              :           0
CRC        :           0, Giants             :           0
Jabbers    :           0, Fragments          :           0
Runts      :           0, DropEvents         :           0
Alignments :           0, Symbols            :           0
Ignoreds   :           0, Frames             :           0
Discard    :           0, Total Error        :           0
Output:  2022739656 packets, 1111756329252 bytes
Unicast    :  2022859007, Multicast          :     1743883
Broadcast  :     1136766, Jumbo              :           0
Collisions :           0, Deferreds          :           0
Late Collisions:       0, ExcessiveCollisions:           0
Buffers Purged :       0
Discard    :           0, Total Error        :           0
    Input bandwidth utilization threshold : 100.00%
    Output bandwidth utilization threshold: 100.00%
    Input bandwidth utilization  : 2.50%
    Output bandwidth utilization : 0.12%

display mac-address — просмотр мак-адреса

SW1-Q2326>display mac-address
-------------------------------------------------------
MAC Address    VLAN/VSI     Learned-From        Type
-------------------------------------------------------
1caf-f762-b607 10/-        Eth0/0/2            dynamic
2c39-96a8-60f5 10/-        Eth0/0/24           dynamic
2c39-96a8-60f6 10/-        Eth0/0/24           dynamic
2c39-96d9-6d4e 10/-        GE0/0/2             dynamic
2c39-96d9-6d4f 10/-        GE0/0/2             dynamic
348a-ae19-aa1b 10/-        GE0/0/2             dynamic
348a-ae19-aa1c 10/-        GE0/0/2             dynamic
e894-f6b7-a00d 10/-        Eth0/0/3            dynamic
0025-9ed4-64ca 20/-        GE0/0/1             dynamic
286e-d455-d7b0 20/-        GE0/0/2             dynamic
-------------------------------------------------------
Total items displayed = 10

При указании номера интерфейса команда покажет информацию о мак-адресах на конкретно заданном интерфейсе, например:

	
SW1-Q2326> display mac-address dynamic Ethernet0/0/2
------------------------------------------------------------------
MAC Address    VLAN/VSI            Learned-From           Type
------------------------------------------------------------------
1caf-f762-b607 10/-                   Eth0/0/2            dynamic

------------------------------------------------------------------
Total items displayed = 1

Отбор данных по заданному признаку осуществляется с помощью include. Например, нам необходимо найти порт на коммутаторе, зная только мак-адрес оборудования. В этом случае нам поможет следующая команда:

SW1-Q2326> display mac-address dynamic | include 1caf-f762-b607
MAC address table of slot 0:
------------------------------------------------------------------
MAC Address    VLAN/   PEVLAN CEVLAN   Port      Type  LSP/LSR-ID
               VSI/SI                                              
------------------------------------------------------------------
1caf-f762-b607  10        -    -     Eth0/0/2  dynamic      -

------------------------------------------------------------------
Total matching items on slot 0 displayed = 10

Результат отработки команды показывает, что нужный нам мак-адрес 1caf-f762-b607 находится на 2 порту коммутатора.

display interface description — просмотр описания портов коммутатора.

SW1-Q2326> display interface description
Interface       Description
Ethernet0/0/1   HUAWEI, Quidway Series, Ethernet0/0/1 Interface
Ethernet0/0/2   HUAWEI, Quidway Series, Ethernet0/0/2 Interface
Ethernet0/0/3   HUAWEI, Quidway Series, Ethernet0/0/3 Interface
Ethernet0/0/4   HUAWEI, Quidway Series, Ethernet0/0/4 Interface
Ethernet0/0/5   HUAWEI, Quidway Series, Ethernet0/0/5 Interface
Ethernet0/0/6   HUAWEI, Quidway Series, Ethernet0/0/6 Interface
Ethernet0/0/7   HUAWEI, Quidway Series, Ethernet0/0/7 Interface
Ethernet0/0/8   HUAWEI, Quidway Series, Ethernet0/0/8 Interface
GigabitEthernet0/0/1  HUAWEI, Quidway Series, GigabitEthernet0/0/1                       
NULL0           HUAWEI, Quidway Series, NULL0 Interface
Vlanif10        HUAWEI, Quidway Series, Vlanif998 Interface

Описание (description) можно изменить на свое. Это очень важно и позволяет прописать необходимую служебную информацию, например

Команды для управления интерфейсами

shutdown и undo shutdown — включение/отключение административной блокировки интерфейса.

Команды работают в режиме system

Включение административной блокировки

Линейки huawei usg и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Его краткие характеристики следующие:Интерфейсы: 8GEПитание: AC AdapterFirewall throughput: 2 Gbit/sIPS throughput:  700 Mbit/sIPS AV throughput: 700 Mbit/sConcurrent sessions: 500,000VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Настройка huawei quidway s2309tp

Коммутаторы серии Quidway являются функциональным решением для операторов связи любого уровня. 24 медных порта используются для подключения конечных пользователей, 2 uplink порта дают возможность подключения устройства к вышестоящим коммутаторам “уровня агрегации”.

В случае большой нагрузки позволяют организовать единый канал. Суммарная скорость всех портов коммутатора составляет около 8,8 Гб/c. Размер таблицы мак-адресов — 8000. Этого значения хватает для решения любых сетевых задач. Количество поддерживаемых VLAN составляет 4096.

Настройка nat/pat для выхода локальной сети в интернет

Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security.

В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.

После чего создадим NAT policy для зоны trust для выхода в Интернет, «маскируясь» внешним IP-адресом:

После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.

Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.

Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site,  SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.

Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.

Настройка sftp сервера для доступа к файлам во flash памяти коммутатора

Для безопасного доступа к flash памяти Huawei Quidway по SFTP необходимо настроить доступ по SSH как описано выше и включить SFTP сервер на коммутаторе. В нашем примере, для доступа по SFTP используется учетная запись huawei (совпадает с учетной записью для доступа по SSH).

Настройка vlan для hybrid порта

В режиме конфигурирования интерфейса задем тип — hybrid.

[huawei-GigabitEthernet0/0/1] port link-type hybrid

Добавляем номера тегированных VLAN.

[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan {vlan-id1 vlan-id2 … vlan-idn}

Добавляем номера нетегированных VLAN.

[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan {vlan-id1 vlan-id2 … vlan-idn}

Добавляем PVID для нетегированной VLAN, по умолчанию используется PVID = 1

[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan {vlan-id}

Например:


huawei> system-view
[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type hubrid
[huawei-GigabitEthernet0/0/1] port hybrid tagged vlan 150 200 to 210
[huawei-GigabitEthernet0/0/1] port hybrid untagged vlan 10 20
[huawei-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[huawei-GigabitEthernet0/0/1] quit

Настройка vlan для trunk порта

В режиме конфигурирования интерфейса задем тип — trunk.

[huawei-GigabitEthernet0/0/1] port link-type trunk

Добавляем номера VLAN в trunk через пробел или диапазон.

[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan {vlan-id1 vlan-id2 … vlan-idn}

Например:

huawei> system-view
[huawei] interface GigabitEthernet 0/0/1
[huawei-GigabitEthernet0/0/1] port link-type trunk
[huawei-GigabitEthernet0/0/1] port trunk allow-pass vlan 150 200 to 220
[huawei-GigabitEthernet0/0/1] port trunk pvid vlan 150
[huawei-GigabitEthernet0/0/1] quit

Настройка базовых параметров системы

В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.

1. Настройка системного времени и его синхронизация по NTP.

Для настройки времени локально на коммутаторе можно использовать следующие команды:

clock timezone { add | minus } clock datetime [ utc ] HH:MM:

Пример настройки времени локально

clock timezone MSK add 03:00:00clock datetime 10:10:00 2020-10-08

Для синхронизации времени по NTP с сервером вводим следующую команду:

ntp unicast-server [ version number | authentication-keyid key-id | source-interface interface-type

Пример команды для синхронищации времени по NTP

ntp unicast-server 88.212.196.95commit

2. Для работы с коммутатором порой требуется настроить как минимум один маршрут — маршрут по умолчанию или default route. Для создания маршрутов используется следующая команда:

ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] }

Пример команды для создания маршрутов:

system-viewip route-static 0.0.0.0  0.0.0.0 192.168.0.1commit

3. Настройка режима работы протокола Spanning-Tree.

Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:

stp mode { stp | rstp | mstp | vbst } — в этой команде выбираем нужный нам режим. Режим по умолчанию: MSTP. Он же является рекомендуемым режимом для работы на коммутаторах Huawei. Обратная совместимость с RSTP имеется.

Пример

system-viewstp mode mstpcommit

4. Пример настройки порта коммутатора для подключения конечного устройства.

Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10

[SW] interface 10ge 1/0/3[SW-10GE1/0/3] port link-type access[SW-10GE1/0/3] port default vlan 10[SW-10GE1/0/3] stp edged-port enable[*SW-10GE1/0/3] quit

Обратите внимание на команду “stp edged-port enable” — она позволяет ускорить процесс перехода порта в состояние forwarding. Однако, не стоит использовать эту команду на портах, к которым подключены другие коммутаторы.

Также, может быть полезна команда “stp bpdu-filter enable”.

5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.

Пример

SW] interface eth-trunk 1[

SW-Eth-Trunk1]

port link-type trunkSW-Eth-Trunk1] port trunk allow-pass vlan 10[

SW-Eth-Trunk1]

mode lacp-static

(или можно использовать

lacp-dynamicSW-Eth-Trunk1] quit[

SW]

interface 10ge 1/0/1SW-10GE1/0/1] eth-Trunk 1[

SW-10GE1/0/1]

quitSW] interface 10ge 1/0/2[

SW-10GE1/0/2]

eth-Trunk 1

[*SW-10GE1/0/2]

quit

Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.Проверить состояние агрегированного линка можно командой “display eth-trunk”.

Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки. 

Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.

Настройка даты и времени

Настройка времени и даты на коммутаторе выполняется не в привилегированном режиме. Необходимо указать часовой пояс и, непосредственно, дату и время

Проверка установленных даты и времени производится с помощью команды display clock

Настройка коммутатора huawei quidway s2326 | it knowledge base

Настройки по сути подходят ко всей серии Huawei Quidway S2300, но заметил что некоторые команды могут иметь маленькие отличия в зависимости от версии прошивки. Если что-то не получается прописать, то можно посмотреть варианты команд набрав знак вопроса через пробел после любой команды.
Посмотреть текущую конфигурацию можно командой:

 display current-configuration

Чтобы перейти в режим конфигурации наберем:

system-view

Пропишем имя коммутатору:

sysname имя

Добавим vlan для управления:

vlan 207
description примечание
management-vlan
quit

Добавим vlan для пользователей:

vlan 226
description примечание
quit

Если нужен supervlan, то в любом vlan допишем например:

vlan 10
supervlan
aggregate-vlan
access-vlan номера_вланов

Добавим интерфейс в управляемом vlan:

interface Vlanif 207
ip address 192.168.1.2 255.255.255.0
quit

Добавим маршрут по умолчанию:

ip route 0.0.0.0 0.0.0.0 192.168.1.1

Настроим первый SFP порт для аплинка:

interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 207 266
quit

Если например пользовательский vlan приходит untagged, а управления tagged, то:

interface GigabitEthernet0/0/1
port hybrid pvid vlan 226
port hybrid tagged vlan 207
port hybrid untagged vlan 226

Настроим порты для абонентов, укажем нужные vlan и тип порта, настроим защиту от петель loopback-detect, ограничим широковещательный трафик до 1% (остальные порты аналогично):

interface Ethernet 0/0/1
port link-type access
port default vlan 226
loopback-detect enable
loopback-detect action shutdown
loopback-detect recovery-time 255
broadcast-suppression 1

Активируем функцию защиты от петель:

loopback-detect enable

Добавим администратора:

user-interface vty 0 4
authentication-mode aaa
aaa
aaa
local-user admin privilege level 15
local-user admin password cipher ПАРОЛЬ
local-user admin service-type telnet web http ssh
quit

Укажем NTP сервер для синхронизации времени:

ntp-service unicast-server 192.168.1.1

Настроим SNMP:

snmp-agent
snmp-agent sys-info version v2c
snmp community read КОМЬЮНИТИ

Чтобы принимались простые комьюнити введем команду:

snmp-agent community complexity-check disable

Включим web интерфейс:

http secure-server enable
http server enable
display http server

Когда все настроили выйдем в начальный режим, сохраним конфигурацию и укажем что она загрузочная:

quit
save config.cfg
startup saved-configuration config.cfg

Перезагрузим коммутатор:

reboot

Посмотреть таблицу MAC-адресов можно командой:

display mac-address

https://huaweidevices.ru/

Настройка магистрального порта

В магистральном порту прокидываем два vlan в тэгированном виде. Для этого переводим порт в режим trunk и разрешаем прохождение vlan 1 и 2. При просмотре конфигурации порта командой display configuration interface GigabitEthernet0/0/1, vlan 1 не отображается.

Настройка подключения по консоли

Для подключения к Quidway по консоли используем локальную аутентификацию. Задаем подключившемуся пользователю максимальный приоритет. Устанавливаем время простоя сессии в 30 минут.

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.

Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

  • Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
  • DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
  • Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
  • Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности.  Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях.

В случае применения исходящей политики по отношению к трафику в направлении LOCAL → UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и  места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.

Настройка пользовательских портов

Последовательно настраиваем порты Ethernet0/0/1 — Ethernet0/0/8, которые будут использоваться для предоставления сервиса конечным пользователям. Для примера приведу конфигурацию порта Ethernet0/0/1. Для остальных портов она будет аналогична. Переводим порт в режим access, чтобы метка тэга vlan снималась на порту при отправке их конечному устройству. Добавляем Vlan 2.

После настройки коммутатора Huawei Quidway, не забудьте сохранить конфигурацию при помощи команды save (выполняется в непривилегированном режиме). В противном случае, все выполненные настройки будут потеряны при перезагрузке коммутатора.

Настройка портов

Выставляем каждому порту режим работы (в коммутаторах Huawei есть два режима: access и hybrid, нам нужен режим access).

[Quidway]interface ethernet 0/0/1
[Quidway-Ethernet0/0/1]port link-type acces
[Quidway-Ethernet0/0/1]port default vlan 1
[Quidway-Ethernet0/0/1]quit

………

[Quidway]interface ethernet 0/0/24
[Quidway-Ethernet0/0/24]port link-type acces
[Quidway-Ethernet0/0/24]port default vlan 1
[Quidway-Ethernet0/0/24]quit
[Quidway]interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1]port link-type access
[Quidway-GigabitEthernet0/0/1]port default vlan 1
[Quidway-GigabitEthernet0/0/1]quit

И так далее

Настройка правил аутентификации и авторизации

Настройки аутентификации и авторизации оставляем без изменения:

Настройка с помощью web-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек.  Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

  1. Предварительная настройка коммутаторов с последующим их физическим соединением.

  2. Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

  1. Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

  2. Осуществляем монтаж и кабельное подключение коммутаторов.

  3. Настраиваем базовые параметры стека для master-коммутатора:

    [~HUAWEI] stack

3.1. Настраиваем нужные нам параметры

#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.

Коммутатор с наибольшимприоритетом будет назначен master-коммутатором стека. Значение приоритетапо умолчанию: 100.#stack member { member-id | all } domain — назначить Domain ID для стека.По умолчанию, domain ID не задан.#

Пример: system-view[~HUAWEI] sysname SwitchA[HUAWEI] commit[~SwitchA] stack[~SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit

3.2 Настраиваем интерфейс порта стекирования (пример)

[~SwitchA]

interface stack-port 1/1SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist. 

2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y

[SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

4. Выключаем порты для стекирования на master-коммутаторе (пример)

[~SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB. 

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.

The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return

Перезагружаем SwitchB

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

———————————————————————————

MemberID Role     MAC              Priority   DeviceType         Description

———————————————————————————

1       Master   0004-9f31-d520   150        CE6850-48T4Q-EI 

 2       Standby  0004-9f62-1f40   120        CE6850-48T4Q-EI 

———————————————————————————

indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

и можно также посмотреть на сайте Huawei.

Настройка удаленного управления по ssh

В моей предыдущей статье уже была подробно описана настройка SSH на коммутаторах Huawei Quidway, поэтому в данном пункте я лишь кратко приведу пункты конфигурации.

Нотносительная нумерация

Формат нумерации – тип пользовательского интерфейса номер. Как правило, устройство имеет один консольный порт (некоторые устройства могут иметь больше) и 15 пользовательских интерфейсов VTY (5 пользовательских интерфейсов VTY включены по умолчанию).

Нумерация интерфейса пользователя.

Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.

Обновление по устройства

Текущая версия ПО (по состоянию на март 2022 года) — v500r001c30spc100.

Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Общие настройки huawei quidway

Большинство настроек коммутатора Quidway выполняются в привилегированном режиме. Вход в привилегированный режим выполняется командой system-view, выход — командой quit. При входе в привилегированный режим приглашение командной строки меняется на [system_name]. Непривилегированный режим характеризуется приглашением .

Отключение неиспользуемых сервисов

Мы не планируем организовывать кластер из коммутаторов Quidway, поэтому отключаем кластерные функции и протоколы NDP (Neighbor Discovery Protocol — используется в кластере для сбора информации о подключенных соседях) и NTDP (Network Topology Discovery Protocol — используется для построения топологии в кластере).

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei:  O&m15213      (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.

Первое подключение

Подключение к коммутатору через консольный интерфейс
Подключение к коммутатору через консольный интерфейс

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.

Для первичной настройки без использования ZTP необходимо консольное подключение.

Параметры подключения (вполне стандартные)

Transmission rate: 9600
Data bit (B): 8
Parity bit: None
Stop bit (S): 1
Flow control mode: None

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Задаем пароль для консольного подключения

An initial password is required for the first login via the console.
Continue to set it? [Y/N]:
y
Set a password and keep it safe!
Otherwise you will not be able to login via the console.
Please configure the login password (8-16)
Enter Password:
Confirm Password:

Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:

Подключаемся

Подключаемся к коммутатору с помощью консольного кабеля.

Используем утилиту Putty, настройки:

Проверка подлинности ааа

Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.

Проверка подлинности паролем

Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.

Проверка подлинности пользователя.

Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.

Прошивка

Заливка новой прошивки и включение web интерфейса.

Создание vlan

Создаем на Quidway два vlan и указываем их название. Как уже указывалось выше, в vlan 1 будем осуществлять управление коммутатором, в vlan 2 будет предоставляться сервис.

Топология тестовой сети

Как видно на приведенной схеме, тестовая сеть содержит два vlan.

vlan 1 — выделенная логическая сеть для управления оборудованием. Используемая подсеть 192.168.1.0 / 24. Шлюз 192.168.1.1, коммутатору Quidway присвоен IP адрес 192.168.1.4.

vlan 2 — выделенная логическая сеть для предоставления сервиса конечным пользователям (в нашем случае, «сервисная» подсеть не имеет терминации на Quidway, поэтому используемая в ней адресация не важна).

На коммутаторе Huawei Quidway s2300 используем порт GigabitEthernet0/0/1 как входящий магистральный порт, порты Ethernet0/0/1 — Ethernet0/0/8 используем для подключения конечных пользователей.

Оцените статью
Huawei Devices
Добавить комментарий