Huawei switch router Console/Telnet/STelnet configuration – Programmer Sought

Почему?

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Начальная конфигурация коммутатора huawei на примере s5720 — xcat

<huawei>system-view

[huawei]sysname ASW-01

[ASW-01]lldp enable

[ASW-01]dhcp enable
[ASW-01]dhcp snooping enable

[ASW-01]vlan 100
[ASW-01-vlan100]description Management

[ASW-01-vlan100]dhcp snooping enable

[ASW-01-vlan100]quit

[ASW-01]aaa
[ASW-01-aaa]local-user admin password irreversible-cipher pa$$w0RD

[ASW-01-aaa]local-user admin privilege level 15

[ASW-01-aaa]local-user admin service-type telnet terminal ssh

[ASW-01-aaa]undo local-aaa-user password policy administrator
[ASW-01-aaa]quit

[ASW-01]stelnet server enable
[ASW-01]ssh authentication-type default password

[ASW-01]rsa local-key-pair create

[ASW-01]user-interface vty 0 4
[ASW-01-ui-vty0-4]authentication-mode aaa
[ASW-01-ui-vty0-4]protocol inbound ssh
[ASW-01-ui-vty0-4]quit

[ASW-01]interface Vlanif 100
[ASW-01-Vlanif10]ip address 10.0.0.10 24
[ASW-01-Vlanif10]quit

[ASW-01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1

[ASW-01]interface Eth-Trunk 1

[ASW-01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2

[ASW-01-Eth-Trunk1]mode lacp

[ASW-01-Eth-Trunk1]port link-type trunk
[ASW-01-Eth-Trunk1]port trunk allow-pass vlan all
[ASW-01-Eth-Trunk1]dhcp snooping trusted
[ASW-01-Eth-Trunk1]quit

[ASW-01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46

[ASW-01-port-group]port link-type hybrid
[ASW-01-port-group]voice-vlan 200 enable
[ASW-01-port-group]port hybrid tagged vlan 200

[ASW-01-port-group]port hybrid pvid vlan 300
[ASW-01-port-group]port hybrid untagged vlan 300

[ASW-01-port-group]stp edged-port enable

[ASW-01-port-group]lldp compliance cdp receive
[ASW-01-port-group]description Users
[ASW-01-port-group]quit

[ASW-01]interface GigabitEthernet 0/0/47
[ASW-01-GigabitEthernet0/0/47]port link-type access
[ASW-01-GigabitEthernet0/0/47]port default vlan 400
[ASW-01-GigabitEthernet0/0/47]description Printer
[ASW-01-GigabitEthernet0/0/47]quit

[ASW-01]interface GigabitEthernet 0/0/48
[ASW-01-GigabitEthernet0/0/48]port link-type trunk
[ASW-01-GigabitEthernet0/0/48]port trunk pvid vlan 100
[ASW-01-GigabitEthernet0/0/48]port trunk allow-pass vlan all
[ASW-01-GigabitEthernet0/0/48]description WirelessAP
[ASW-01-GigabitEthernet0/0/48]quit

<ASW-01>save
The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip.
Are you sure to continue?[Y/N]y

Настройка имени хоста

В интерфейсе командной строки имя хоста (имя устройства) заключено в угловые скобки (…) или квадратные скобки ([…]). Имя хоста по умолчанию – Huawei, но это имя следует изменить, чтобы лучше различать несколько устройств.

Настройка системного времени

По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name {add | minus} offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset).

[Huawei-AR-01] clock timezone BJ add 08:00

После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2022 года, выполните следующую команду:

[Huawei-AR-01] clock datetime 18:30:00 2022-03-10

Задание IP-адреса на устройстве

Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address {mask | mask-length} в интерфейсном виде.

Параметры ip-address и mask задают IP-адрес и маску подсети соответственно в десятичной системе счисления, а mask-length задает число последовательных “1”в двоичной системе счисления маски подсети. В следующем примере показано, как установить IP-адрес 10.1.1.100 и маску подсети 255.255.255.0 для интерфейса управления Ethernet 1/0/0:

Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.

Configure not to verify password

[Huawei-ui-vty0-4]authentication-mode none

Configure passwd authentication mode

[Huawei-ui-vty0-4]authentication-mode password #Configure the authentication mode to password
[Huawei-ui-vty0-4]set authentication password cipher Huawei12#$ #Configure authentication password: Huawei12#$

Configure telnet remote login management port

Remote management port can be physical port or logical port

Configure the stelnet remote login management port.

The configuration of the management port is the same as that of the root Telnet service and is not repeated.

Management terminal login

ssh [email protected]

Description:

Set logical port

[Huawei] vlan 10
...
[Huawei] interface vlanif 10
[Huawei-vlanif10] ip address 192.168.10.1 24
[Huawei-vlanif10] quit

DescriptionThe control terminal can be connected to the vlanif10 port of the switch. In particular, when the console is directly connected to the device, the device port connected to the console must be associated with the corresponding VLAN.

[Huawei] interface gigabitethernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan 10
[Huawei-GigabitEthernet0/0/1] quit

Set the physical management port

[Huawei] interface MEth 0/0/1
[Huawei-MEth0/0/1] ip address 192.168.1.250 24
[Huawei-MEth0/0/1] quit

Базовая настройка коммутаторов и маршрутизаторов huawei

К. кряженков, а. степушин.центр сетевого управления и
телекоммуникаций мирэа

Итак, благодаря О.Матвеевой и П. Ланчикову в нашем распоряжении
появились 4 устройства Huawei Technologies – 2
коммутатора Quidway
S3928P-SI и 2 маршрутизатора Quidway
AR28-31. 

Коммутаторы имеют на борту 24 интерфейса FastEthernet и 4 SFP
модуля. Маршрутизаторы модульные, с двумя интегрированными
FastEthernet портами.

Первое, что было сделано после распаковки устройств, это,
конечно же, подключение электропитания и запуск коммутаторов и
маршрутизаторов. Коммутаторы не имеют кнопки включения
электропитания, на маршрутизаторах такая кнопка есть. Устройства
включились достаточно тихо, вентиляторы не создают дискомфортного
шума.

Первым кабелем, который попался под руку, был Cisco
rollover кабель. Его то мы и воткнули в консольный порт коммутатора.
Для доступа к устройству использовали программу эмуляции терминала putty
со следующими настройками:

Bits per second:

9600

Data bits:

8

Stop bits:

1

Parity:

None

Flow control:

None

TermType:

VT100

Стало интересно, насколько проста в настройке и обслуживании данная
ОС, поэтому решили сравнить настройки устройств Huawei с настройкой
устройств Cisco. Для этих целей были выбраны коммутатор Cisco
Catalyst 3550 и маршрутизатор Cisco
2801.

Сравнение начали с приглашения command prompt. Здесь особых различий
нет, название устройства по умолчанию и идентификация режима, где в
данный момент находимся, то есть режим обычного пользователя. Разве
что на устройствах Huawei название обрамлено с двух
сторон символами < >, а устройства Cisco
имеют символ > в конце имени устройства. На
настройку оборудования и ориентирование в режимах эти отличия особо
не влияют, дело привычки.

Стандартом де-факто в любой ОС современных телекоммуникационных
устройств является помощь по командам, их написаниям и аргументам. И
устройства Huawei, и устройства Cisco
используют для этого одинаковый механизм.

Любимая многими клавиша Tab допишет за вас команду, если вы не знаете
ее правильного написания. На устройствах Huawei
будьте внимательны, нажимая на эту клавишу на клавиатуре. Если
существует несколько вариантов команд, начальные символы которой вы
набрали в CLI, то будет выведена первая по порядку команда.

Повторное
нажатие на клавишу Tab выведет следующую и т.п. То есть, в CLI Huawei
нет необходимости удлинять название команды, чтобы получилось
однозначное совпадение, как в устройствах Cisco.
Достаточно нажать на клавишу Tab столько раз, сколько необходимо для
вывода нужной вам команды.

https://www.youtube.com/watch?v=Bd6c72-ZdX4

Все тот же знак ? поможет вам на устройствах Huawei
определить и аргументы команды. Просто ставим его через пробел, как и
на устройствах Cisco и получаем вывод тех
аргументов, которые доступны.

Ошиблись в написании аргументов команды? Не беда! В CLI Huawei
есть механизм, похожий на механизм Cisco, который
покажет подстрочным символом ^ позицию, где допущена
ошибка и выведет системное сообщение о том, что команда не
распознана:

Что примечательно, если набрали команду неправильно, то устройство Huawei
не пытается интерпретировать эту последовательность символов как имя
хоста и, как следствие, к DNS серверу не обращается. На устройствах
Cisco, если не отключено обращение к DNS серверу (команда no ip
domain-lookup) или не настроен DNS сервер, то придется нажимать
комбинацию клавиш Ctr Shift 6, иначе будете ждать какое-то время,
пока устройство не поймет, что сервера DNS нет. Хотя, нам приходилось
слышать и другое мнение на этот счет.

Теперь о первоначальной настройке коммутаторов и маршрутизаторов Huawei
и Cisco, которая включает:

• Задание имени устройства;
• Создание предупреждающего многострочного баннера;
• Создание ступенчатой системы паролей (доступ, переключение
  между режимами и аутентификация при удаленном соединении с CLI
  устройства);
• Настройка интерфейсов устройств для удаленного управления;
• Дополнительные команды тюнинга при необходимости.

Настройку начали с маршрутизатора и коммутатора Huawei.
Параллельно настраиваем Cisco маршрутизатор и
коммутатор. В CLI Huawei ставим знак ? и читаем
описание команд. Ага, команда system-view это то, что нужно для
перехода в режим настройки.

Приглашение поменяло форму. На маршрутизаторе Huawei
имя устройства стало в обрамление квадратных скобок, а на
маршрутизаторе Cisco место символа >
заняла «решётка» – #, да еще и добавилось в скобках
пояснение, в каком режиме теперь находимся.

Меняем стандартные названия на «говорящие». Для этого, используя
встроенный help маршрутизатора Huawei, определяем,
какая команда понадобится. Пролистав несколько экранных выводов,
удалось обнаружить необходимую команду. Кстати, выводы экранов можно
пролистывать и постранично (клавиша «пробел»), и построчно (клавиша
«ввод»), как в маршрутизаторах Cisco.

Теперь нужно настроить баннер. Предупреждающий баннер, содержащий
несколько строк и выводимый перед приглашением пройти аутентификацию.
Для устройства Huawei придется открыть документацию.
В файле 3116A024-VRP3.4
Operation Manual01-Getting
Started Operation.pdf  была обнаружена команда для создания
баннера motd.

*Для коммутатора Huawei нет команды header motd,
поэтому был создан баннер типа shell.

Как и для устройств Cisco, так и для устройств Huawei,
для создания многострочного баннера нужно использовать символ начала
и символ конца. Для этих целей был выбран символ ^.

Теперь настраиваем сетевые интерфейсы. По умолчанию на
маршрутизаторах и коммутаторах Huawei они находятся в активном
состоянии. Интерфейсы маршрутизатора Cisco нужно
дополнительно активировать. Как и в устройствах Cisco,
в устройствах Huawei чтобы начать настраивать
интерфейсы нужно набрать команду interface. Знак ?
выдает различия в именовании интерфейсов.

На оборудование Huawei,
интерфейсы 10 и 100Мбит/с Ethernet имеют название Ethernet, на
устройствах Cisco, интерфейс который работает на
скорости только 10Мбит/с будет называться Ethernet, а 100Мбит/с –
FastEthernet.

Нумерация интерфейсов у обоих производителей в чем-то
идентична (номер устройства в кластере/слот/номер интерфейса или
слот/подслот/номер интерфейса или слот/номер интерфейса). На
маршрутизаторах обоих производителей будем использовать интерфейс с
наименьшим идентификатором:

Теперь необходимо присвоить IP адрес на этих интерфейсах. Забегая
вперед, отметим, что, на устройствах Huawei можно
использовать битовую маску, что сокращает время на ввод адреса.
Адресное пространство выбрано в соответствии с RFC1918.

Здесь необходимо заметить, что приглашение CLI
Huawei после перехода в режим настройки интерфейса изменилось.
Теперь оно показывает, в режиме настройки какого модуля мы сейчас
находимся.

К коммутаторам Cisco и Huawei
подключили рабочие станции под управлением Windows XP. По умолчанию
порты коммутаторов обоих производителей находятся в VLAN 1. На
рабочих станциях были введены сетевые настройки, где шлюзом по
умолчанию выступали интерфейсы маршрутизаторов Cisco
и Huawei, соответственно. Используя команду ping,
была проверена сетевая связанность.

Теперь самое время настроить пароли и активировать сервис telnet.
Пароли нужно выставить на доступ к консоли, на доступ по telnet и на
переход из режима пользователя в режим с большими возможностями (для
устройств Huawei – в режим настроек, для устройств
Cisco – в привилегированный режим).

Настройка интерфейсов коммутатора

1) Войти в режим конфигурирования интерфейса:

[R1] interface Vlanif 1

2) Назначить IP-адрес хxх.хxх.хxх.хxх интерфейсу:

[R1-Vlanif1] ip address xxx.xxx.xxx.xxx yy

где хxх.хxх.хxх.хxх – ip адрес, yy – префикс маски подсети.

3) Выйти из режима конфигурирования интерфейса:

[SW1-Vlanif1] quit 

4) Назначить шлюз по умолчанию:

[Huawei] ip route-static zzz.zzz.zzz.zzz

где zzz.zzz.zzz.zzz – ip адрес шлюза

5) Выйти из конфигурационного режима:

[SW1] quit

6) Сохранить текущую конфигурацию:

[SW1] save

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек.  Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека – кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

1. Предварительная настройка коммутаторов с последующим их физическим соединением.

2. Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

1. Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

2. Осуществляем монтаж и кабельное подключение коммутаторов.

3. Настраиваем базовые параметры стека для master-коммутатора:

   [~HUAWEI] stack

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB. 

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

[~SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.

The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[~SwitchB-Stack-Port1/1] return

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

[~SwitchA] interface stack-port 1/1[~SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[~SwitchA-Stack-Port1/1] return

7. Проверяем работу стека командой “display stack”

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

Подробную информация про iStack и пример настройки iStack можно также посмотреть на сайте Huawei.

Настройка транкового порта (trunk port) коммутатора

«Trunk port» или «Магистральный порт» — это канал типа «точка-точка» между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора.

Войти в режим конфигурирования интерфейса:

[SW1] interface Ethernet0/0/0

1) Перевести порт в состояние trunk:

[SW1-Ethernet0/0/0] port link-type trunk

2) Выйти из режима конфигурирования интерфейса:

[SW1- Ethernet0/0/0] quit

3) Сохранить текущую конфигурацию:

[SW1] save

Необходимое оборудование и программное обеспечение

Для выполнения первичной настройки сетевого активного оборудования необходимо иметь в наличии следующее оборудование и программного обеспечение:

1) ноутбук c «COM- портом» для подключения к оборудованию СПД;

Примечание: на современных персональных компьютерах и ноутбуках «COM- порт» часто отсутствует. В этом случае потребуется переходник «USB – COM (RS 232)».

2) консольные интерфейсные кабели, в зависимости от типа настраиваемого оборудования

2) консольные интерфейсные кабели, в зависимости от типа настраиваемого оборудования

Нотносительная нумерация

Формат нумерации – тип пользовательского интерфейса номер. Как правило, устройство имеет один консольный порт (некоторые устройства могут иметь больше) и 15 пользовательских интерфейсов VTY (5 пользовательских интерфейсов VTY включены по умолчанию).

Нумерация интерфейса пользователя.

Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.

Первое подключение

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.

Для первичной настройки без использования ZTP необходимо консольное подключение.

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:

Подключение ноутбука к оборудованию

Подключить рабочий ноутбук с помощью консольного интерфейсного кабеля к разъему «console» оборудования На разных типах оборудования интерфейс для подключения консольного кабеля может называться по-разному, возможные варианты – «console», «con», «monitor» и т.п.

Проверка подлинности ааа

Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.

Проверка подлинности паролем

Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.

Проверка подлинности пользователя.

Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.

Сброс настроек коммутатора huawei в заводские без доступа к системе

1) Подключить рабочий ноутбук к коммутатору и запустить телекоммуникационное программное обеспечение согласно.

2) Подать питание на коммутатор. Дождавшись строки «Press Ctrl B to break auto startup» при загрузке коммутатора, нажать на клавиатуре сочетание клавиш «Ctrl B» (дается на это не более 3 секунд, после чего продолжается загрузка устройства).