Базовая настройка коммутаторов и маршрутизаторов huawei
Basic
вход в режим конфигурирования
system view
вернуться на уровень назад
quit
команда отрицания (аналогично no в cisco)
undo
настройка пароля доступа по консольному порту
user-interface console 0
authentication-mode password
set
authentication password cipher …
настройка пароля доступа через виртуальный терминал
VLAN Principles
создание
vlan batch
interface
port link-type access
port
access default vlan …
interface
port link-type trunk
port trunk allow-pass vlan
port link-type hybrid
port hybrid untagged vlan …
port hybrid tagged vlan …
port hybrid pvid vlan …
…
создание L3 интерфейса
interface Vlanif
ip address
Link Aggregation
L2 LAG
interface Eth-trunk 1 — создали LAG группу
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
L3 LAG
interface Eth-trunk 1 — создали LAG группу
// переход интерфейса к L3
undo portswitch
ip address
interface
eth-trunk 1 -забиндили интерфейс
interface
eth-trunk 1 -забиндили интерфейс
LACP(link aggregation control protocol)
system-view
lacp priority … (The smaller the LACP system priority value, the higher the LACP system priority.)
int Eth-trunk 1 — создали LAG группу
mode lacp-static -выбрали режим
lacp preference … (The smaller the LACP interface priority value, the higher the LACP interface priority)
STP
выбор стандарта
stp mode stp
активируется глобально и на интерфейсе
stp enable
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
stp priority 32768
на интерфейсе
stp disable
stp port priority …
display stp brief
display stp instance 0 brief
RSTP
выбор стандарта
stp mode rstp
выключает edge порт при получении bpdu
stp bpdu-protection
на интерфейсе:
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние root-inconsistent — несогласованность корня)
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние loop-inconsistent)
MSTP
stp mode mstp
stp region-configuration
region-name parapampam
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
active region-configuration
display stp region-configuration
Static routing
создаем статический маршрут
ip route-static ipaddress { mask | mask-length } interface-type interface-number [ nexthopaddress ] preference …
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0 nexthopaddress
RIP
basic:
rip 1
version 2 (по умолчанию version 1)
network 10.0.0.0
анонс маршрута по умолчанию через rip
default-route originate
выключаем автоматическую суммаризацию маршрутов
undo summary
суммаризация маршрутов на интерфейсе
int g0/0/0
rip summary-address 172.16.0.0 255.255.0.0.
debug
debugging rip 1,
disp debugging
terminal debugging
undo debugging rip 1 or undo debugging all !!!
RIP Metric
int g0/0/0
устанавливает cost на порту для входящих маршрутов
rip metricin
устанавливает cost на порту для исходящих маршрутов
rip metricout
rip poison-reverse
rip split horizon
Ограничение распространения маршрутной информации
int g0/0/0
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
rip 1
silent int g0/0/0 —
Authentification
int g0/0/0
rip authentification-mode simple ….
int g0/0/1
rip authentification-mode md5 usual ….
display
display rip interface verbose
display rip 1 neighbor
OSPF
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
area 0
network ip address wildcard-mask
меняем расчет метрики
ospf 1
bandwidth-reference 10000
меняем cost, таймеры, dr-priority
int g0/0/0
ospf cost 20
ospf timer hello …
ospf timer dead …
ospf dr-priority …
Authentification OSPF
Simple authentication:
ospf authentication-mode { simple [ [ plain ] | cipher ] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain | [ cipher ] } ].
Выключаем OSPF на порту (restrict OSPF operation)
ospf 1
silent-int g0/0/0
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
ospf 1
default-route-advertise
display
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
VRRP
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейса
GigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
int g0/0/0
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
mkdir
Для удаления директории
rmdir
Для удаления и переименование файла
delete
rename
Для удаления файла без возможности восстановления
delete /unreserved
Для восстановления файла
undelete
Для очистки «корзины»
reset recycle-bin
Удаление файла с конфигурацией
delete
Сброс сохранненой конфигурации
reset saved-configuration
Узнать версию софта
display version
display device slot
Работа с ftp
Подключиться по ftp
ftp x.x.x.x
скачать файл
get example.zip
Подключиться по tftp
tftp x.x.x.x get example.zip
Указываем файл startup config
startup system-software example.zip
HDLC
int s2/0/0
link-protocol hdlc
ip address x x x x xx
привязываем адрес loopback
ip unnambered int loopback 0
PPP
Настройка ppp c authentication-mode pap
R1
sysname BRAS
R2
sysname pap_client
Настройка ppp c authentication-mode chap
R1
sysname BRAS
link-protocol ppp
ppp authentication-mode chap
R2
sysname chap_client
int s1/0/0
PPPoE
display pppoe-server session all
sysname BRAS
int dialer 1
display nat server
diplay nat outbound
diplay nat address-group 1
DHCP
interface pool configuration
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
dhcp enable
ip pool pool1
network x.x.x.x mask xx
gateway-list x.x.x.x
lease day x
int g0/0/1
dhcp select global
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
ACL
basic
acl 2000
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter outbound acl 2000
advanced
acl 3000
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter inbound acl 3000
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
acl 2000
rule permit source z.z.z.z wildcard mask
int g0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
создаем схему авторизации
authorization-scheme auth1
схема без сервера: radius…
authorization-mode local
создаем схему аутентификации
authentication-scheme auth2
схема без сервера: radius,diametr…
authentication-mode local
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
создаем пользователя в домене и указываем достпные сервисы и привилегии
local-user user1@huawei password cipher qwerty
local-user user1@huawei service-type telnet
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
user-int con 0
authentication aaa
local-user user1@huawei privilege level 0
display domain name huawei
Команды для просмотра информации
display current-configuration — просмотр конфигурации коммутатора. Вывод команды может занимать много строк.
display current-configuration interface ethernet0/0/8 позволяет отобразить текущую конфигурацию для определенного интерфейса, например
SW1-Q2326> display current-configuration interface Ethernet 0/0/8 # interface Ethernet0/0/8 loopback-detect enable loopback-detect action shutdown stp edged-port enable traffic-filter inbound acl 1 rule 10 traffic-filter inbound acl 2 rule 20 traffic-filter inbound acl 3 rule 30 undo ntdp enable undo ndp enable undo lldp enable port-isolate enable group 10 # return
display interface — просмотр состояния порта
Если в команде не был указан конкретный интерфейс, то команда отобразит информацию обо всех интерфейсах на коммутаторе.
Просмотр информации абонентского интерфейса
SW1-Q2326> display interface Ethernet0/0/2 Ethernet0/0/2 current state : UP Line protocol current state : UP Description:HUAWEI, Quidway Series, Ethernet0/0/2 Interface Switch Port, PVID : 10, TPID : 8100(Hex), The Maximum Frame Length is 2044 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0025-9e0e-e3c8 Port Mode: COMMON COPPER Speed : 100, Loopback: NONE Duplex: FULL, Negotiation: ENABLE Mdi : AUTO Last 300 seconds input rate 64200 bits/sec, 46 packets/sec Last 300 seconds output rate 167936 bits/sec, 60 packets/sec Input peak rate 6230872 bits/sec, Record time: 2021-05-22 12:09:21 Output peak rate 82646216 bits/sec, Record time: 2021-05-20 22:28:51 Input: 104198 packets, 36893522 bytes Unicast : 104192, Multicast : 0 Broadcast : 6, Jumbo : 0 CRC : 0, Giants : 0 Jabbers : 0, Fragments : 0 Runts : 0, DropEvents : 0 Alignments : 0, Symbols : 0 Ignoreds : 0, Frames : 0 Discard : 0, Total Error : 0 Output: 2351712 packets, 1668837078 bytes Unicast : 2140589, Multicast : 166992 Broadcast : 44131, Jumbo : 0 Collisions : 0, Deferreds : 0 Late Collisions: 0, ExcessiveCollisions: 0 Buffers Purged : 0 Discard : 0, Total Error : 0 Input bandwidth utilization threshold : 100.00% Output bandwidth utilization threshold: 100.00% Input bandwidth utilization : 0.06% Output bandwidth utilization : 0.17%
В домовых сетях для связи между коммутаторами используются гигабитные порты. Просмотр информации UPLINK интерфейса.
SW1-Q2326> display interface GigabitEthernet 0/0/1 GigabitEthernet0/0/1 current state : UP Line protocol current state : UP Description:HUAWEI, Quidway Series, GigabitEthernet0/0/1 Interface Switch Port, PVID : 10, TPID : 8100(Hex), The Maximum Frame Length is 2044 IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 4cb1-6c6d-f0e2 Port Mode: COMBO AUTO Current Work Mode: COPPER Speed : 1000, Loopback: NONE Duplex: FULL, Negotiation: ENABLE Mdi : AUTO Last 300 seconds input rate 24997688 bits/sec, 2342 packets/sec Last 300 seconds output rate 1229104 bits/sec, 579 packets/sec Input peak rate 336254096 bits/sec, Record time: 2021-07-21 03:46:12 Output peak rate 222242920 bits/sec, Record time: 2021-09-18 02:36:47 Input: 10903526547 packets, 14024800132234 bytes Unicast : 3191030272, Multicast : 7711769187 Broadcast : 727088, Jumbo : 0 CRC : 0, Giants : 0 Jabbers : 0, Fragments : 0 Runts : 0, DropEvents : 0 Alignments : 0, Symbols : 0 Ignoreds : 0, Frames : 0 Discard : 0, Total Error : 0 Output: 2021739656 packets, 1111756329252 bytes Unicast : 2021859007, Multicast : 1743883 Broadcast : 1136766, Jumbo : 0 Collisions : 0, Deferreds : 0 Late Collisions: 0, ExcessiveCollisions: 0 Buffers Purged : 0 Discard : 0, Total Error : 0 Input bandwidth utilization threshold : 100.00% Output bandwidth utilization threshold: 100.00% Input bandwidth utilization : 2.50% Output bandwidth utilization : 0.12%
display mac-address — просмотр мак-адреса
SW1-Q2326>display mac-address ------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------- 1caf-f762-b607 10/- Eth0/0/2 dynamic 2c39-96a8-60f5 10/- Eth0/0/24 dynamic 2c39-96a8-60f6 10/- Eth0/0/24 dynamic 2c39-96d9-6d4e 10/- GE0/0/2 dynamic 2c39-96d9-6d4f 10/- GE0/0/2 dynamic 348a-ae19-aa1b 10/- GE0/0/2 dynamic 348a-ae19-aa1c 10/- GE0/0/2 dynamic e894-f6b7-a00d 10/- Eth0/0/3 dynamic 0025-9ed4-64ca 20/- GE0/0/1 dynamic 286e-d455-d7b0 20/- GE0/0/2 dynamic ------------------------------------------------------- Total items displayed = 10
При указании номера интерфейса команда покажет информацию о мак-адресах на конкретно заданном интерфейсе, например:
SW1-Q2326> display mac-address dynamic Ethernet0/0/2 ------------------------------------------------------------------ MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------ 1caf-f762-b607 10/- Eth0/0/2 dynamic ------------------------------------------------------------------ Total items displayed = 1
Отбор данных по заданному признаку осуществляется с помощью include. Например, нам необходимо найти порт на коммутаторе, зная только мак-адрес оборудования. В этом случае нам поможет следующая команда:
SW1-Q2326> display mac-address dynamic | include 1caf-f762-b607 MAC address table of slot 0: ------------------------------------------------------------------ MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID VSI/SI ------------------------------------------------------------------ 1caf-f762-b607 10 - - Eth0/0/2 dynamic - ------------------------------------------------------------------ Total matching items on slot 0 displayed = 10
Результат отработки команды показывает, что нужный нам мак-адрес 1caf-f762-b607 находится на 2 порту коммутатора.
display interface description — просмотр описания портов коммутатора.
SW1-Q2326> display interface description Interface Description Ethernet0/0/1 HUAWEI, Quidway Series, Ethernet0/0/1 Interface Ethernet0/0/2 HUAWEI, Quidway Series, Ethernet0/0/2 Interface Ethernet0/0/3 HUAWEI, Quidway Series, Ethernet0/0/3 Interface Ethernet0/0/4 HUAWEI, Quidway Series, Ethernet0/0/4 Interface Ethernet0/0/5 HUAWEI, Quidway Series, Ethernet0/0/5 Interface Ethernet0/0/6 HUAWEI, Quidway Series, Ethernet0/0/6 Interface Ethernet0/0/7 HUAWEI, Quidway Series, Ethernet0/0/7 Interface Ethernet0/0/8 HUAWEI, Quidway Series, Ethernet0/0/8 Interface GigabitEthernet0/0/1 HUAWEI, Quidway Series, GigabitEthernet0/0/1 NULL0 HUAWEI, Quidway Series, NULL0 Interface Vlanif10 HUAWEI, Quidway Series, Vlanif998 Interface
https://www.youtube.com/watch?v=_lWFT6fqxmI
Описание (description) можно изменить на свое. Это очень важно и позволяет прописать необходимую служебную информацию, например
Обновляем мастер коммутатор
Последовательность действий целом такая же.
Процедура коротко.
<sw21>startup system-software flash:/CE6810LI-V200R005C10SPC800.cc <sw21>startup patch flash:/CE6810LI-V200R005SPH008.PAT all <sw21>dis startup <sw21>reboot
Все, на этом обновление закончено.
Обновляем слейв коммутатор
У коммутаторов ce6810LI только одна загрузочная область.
<sw21>dis startup slot ? <1> The available slot <sw21>dis startup slot 1 MainBoard: Configured startup system software: flash:/CE6810LI-V200R005C10SPC800.cc Startup system software: flash:/CE6810LI-V200R005C10SPC800.cc Next startup system software: flash:/CE6810LI-V200R005C10SPC800.cc Startup saved-configuration file: flash:/vrpcfg.zip Next startup saved-configuration file: flash:/vrpcfg.zip Startup paf file: default Next startup paf file: default Startup patch package: flash:/CE6810LI-V200R005SPH008.PAT Next startup patch package: flash:/CE6810LI-V200R005SPH008.PAT <sw21>
Поэтому смысл обновления заключается в том, что бы указать коммутатору с какой версии софта и с каким патчем ему нужно грузиться (из единственной загрузочной обласли) в следующий раз и перезагрузить коммутатор.
Когда обновится слейв коммутатор, MLAG-пара продолжит нормально работать.
Единственное, что коммутатор будет в выводе “dis dfs-group 1 m-lag” явным образом сообщать о том, что версии софта на нодах разные.
Информации о том, сколько коммутаторы могут проработать в таком состоянии не нашел, но лучше не затягивать.
Mellanox в таком состоянии будет работать в течении часа, а потом положит MLAG порты.
Так же, в версии софта V200R005, увеличилось дефолтное значение MLAG таймера “up-delay” – c 120 до 240 секунд.
Т.е. после того как коммутатор загрузится, MLAG порты еще 4 минуты будут в дауне.
Процедура коротко.
<sw22>startup system-software flash:/CE6810LI-V200R005C10SPC800.cc <sw22>startup patch flash:/CE6810LI-V200R005SPH008.PAT all <sw22>dis startup <sw22>reboot
Патчим текущую версию софта
Процедура коротко.
Выполняем на обоих коммутаторах.
Ниже показан способ подключения к серверу из документации, но мне больше нравится из предыдущего пункта, когда говорим принимать ключ.
<sw22>system-view [~sw22]ssh client first-time enable [*sw22]commit [~sw22]sftp 10.x.x.x -vpn-instance VRF-DAD-1 sftp-client>cd /opt/soft/huawei sftp-client>get CE6810LI-V200R002SPH022.PAT sftp-client>bye [~sw22]quit <sw22>patch load flash:/CE6810LI-V200R002SPH022.PAT all run <sw22>dis patch-information
После применения патчка на первом коммутаторе состояние MLAG (dis dfs-group 1 m-lag) никак не поменялось, все продолжило работать.
Для порядку можно перегрузить коммутаторы.