Конфигурация карты маршрута Huawei & Computer Knowledge Base

Ip route static huawei что это

Продукты, решения и услуги для организаций

Пример настройки статических маршрутов для реализации соединений на базе маршрутов между публичными и частными сетями

В настоящем разделе описывается конфигурирование статических маршрутов для реализации соединений на базе маршрутов между публичными и частными сетями.

Поддерживаемые продукты и версии

• CE12800, CE6800 и CE5800 по версии V100R001C00 или более поздней версии
• CE7800 по версии V100R003C00 или более поздней версии
• CE8800 по версии V100R006C00

Требования к сети

В сети на Figure 2-34 PE1 — устройство в IP-сети, Server напрямую подключен к PE1, PE2 подключен к vpna через SwitchA, а vpna соединена с PE1 через PE2. Заказчику нужно, чтобы публичная и частная сети взаимодействовали по маршрутам, а SwitchA имел доступ к Server. В этой сети в рамках теста коммутатор используется для замены Server.

План конфигурации

План конфигурации выглядит следующим образом:

Настройте сети VLAN и интерфейсы на PE1 и SwitchA.

Настройте объект VPN на PE2 и свяжите объект VPN с SwitchA.

Настройте статические маршруты на Server, PE1 и SwitchA для реализации соединений в публичной сети.

Настройте статические маршруты на PE2 для реализации соединений между публичной и частной сетями.

Procedure

Настройте статические маршруты на Server, PE1 и SwitchA.

В данном примере конфигурация сетей VLAN и интерфейсов на Server не приводится.

Проверка конфигурации

# Проверьте маршрутную информацию о vpna на PE2. Отчет о выполнении команды показывает, что статический маршрут к сегменту публичной сети импортирован в маршрутную информацию vpna.

# Проверьте таблицу маршрутизации IP на PE2. Отчет о выполнении команды показывает, что статический маршрут к сегменту частной сети импортирован в таблицу маршрутов публичной IP-сети.

# Выполните команду ping для проверки сетевых соединений от SwitchA к Server.

Настройка сетевого оборудования компании HUAWEI (коммутация, статическая маршрутизация)

HUAWEI – одна из крупнейших китайских компаний в сфере телекоммуникаций. Основана в 1988 году.

Глобальные команды, режимы работы, cходства и различия с CLI CISCO.

Оборудование HUAWEI, построенное на базе операционной системы VRP, имеет cisco-like интерфейс командной строки. Принципы остаются теми же самыми, меняется только синтаксис. В CLI оборудования HUAWEI существуют 2 режима командного интерфейса:

Основные команды

• save – запись текущих настроек в энергонезависимую память устройства;
• display current-configuration – вывод текущего файла конфигурации
• display current-configuration configuration XXXX – вывод настроек секции XXXX.
• display this – вывод конфигурации текущей секции;
• quit – выход из текущей секции в родительскую.

Настройка vlan интерфейсов, режимы работы физических портов коммутатора

Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.

Vlan создан. Так же командой description можно задать описание или название vlan. В отличие от Cisco имя не является обязательным атрибутом при создании vlan.

Для передачи созданых vlan в пределах локальной сети используется протокол GVRP. Включается он командой gvrp в режиме system-view.

Так же gvrp должен быть разрешён на интерфейсе:

Совместимости с Cisco VTP (vlan transfer protocol) нет и быть не может.

Создание vlan интерфейса.

Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk. Режим trunk Настройка порта:

В отличие от коммутаторов Cisco, по-умолчанию, все vlan запрещены и их необходимо принудительно разрешить командой port trunk allow-pass vlan. Нетэггированный native vlan на порту включается командой:

Настройка eth-trunk

Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI. Для включения STP на коммутаторе необходимо в режиме system-view ввести команду

По умолчанию, приоритет коммутатора HUAWEI, так же как и коммутатора Cisco равен 32768. Просмотр информации о текущем состоянии портов:

Видно, что один из портов заблокирован, т. к. приоритет коммутатора Cisco оказался больше. Просмотр глобальной информации об STP:

Посмотрим, что порт разблокировался:

Общая информация об STP:

Статические маршруты прописываются точно так же, как на оборудовании Cisco:

Просмотр таблицы маршрутизации:

На этом всё. Если уважаемое сообщество заинтересуется материалом, планирую продолжить освещать настройку оборудования HUAWEI. В следующей статье рассмотрим настройку динамической маршрутизации.

Справочник команд базовой конфигурации коммутатора Huawei

Справочник команд базовой конфигурации коммутатора Huawei

Базовая конфигурация

После авторизации на устройстве, сразу войдите в пользовательский режим, можно выполнить только несколько команд для просмотра конфигурации;

Режим локальной конфигурации

Введите quit, чтобы вернуться в предыдущий режим конфигурации, введите commit, чтобы отправить существующую конфигурацию, и введите save в пользовательском режиме, чтобы сохранить конфигурацию;

Просмотр информации об устройстве

Версия программного обеспечения: Версия 8.130 (S6800 V800R013C00SPC560B560)

Модель устройства: HUAWEI S6800

Продолжительность спектакля: 0 дней, 0 часов, 15 минут.

Просмотр и изменение системного времени

Изменить имя устройства

Если фиксации нет, нужно один раз выйти из режима просмотра системы и сохранить;

Настроить информацию об описании устройства

Добавьте описание устройства входа, например: Только администратор может настраивать оборудование.

Виден после выхода из режима просмотра

Настройте метод аутентификации входа в консоль и период ожидания

Вход в консоль: Вход в консоль по умолчанию не имеет пароля, любой проходитПоследовательная линияНепосредственно подключен к интерфейсу консоли устройства, может напрямую изменять конфигурацию, администратор может настроить пароль консоли, для входа не требуется имя пользователя, используйте консоль для первой настройки;

Войдите в режим настройки консоли

Режим аутентификации консоли — пароль

Установите время ожидания на 20 минут.

Используйте quit, чтобы вернуться в режим просмотра, и используйте display, чтобы проверить результат конфигурации после сохранения.Искученный код — это зашифрованный пароль;

Конфигурация Telnet

Войдите в режим конфигурации VTY, 0 4 означает разрешение 5 одновременных подключений Telnet

Укажите метод аутентификации как пароль, и появится сообщение с запросом аутентификации aaa, временно игнорируйте его.

Настройте telnet на использование аутентификации по шифрованному тексту, пароль Gauss_234

Настройте уровень пользователя 3, по умолчанию — уровень 1

После выхода и сохранения используйте отображение, чтобы просмотреть конфигурацию.

Описание уровня пользователя

УРОВЕНЬ 0 (уровень доступа): вы можете выполнять команды для сетевой диагностики и других функций. Включая ping, tracert, telnet и другие команды, результаты выполнения команд на этом уровне не могут быть сохранены в файле конфигурации. УРОВЕНЬ 1 (уровень мониторинга): он может выполнять команды для обслуживания системы, диагностики бизнес-сбоев и других функций. Включая отладочные, терминальные и другие команды, результаты выполнения команд на этом уровне не могут быть сохранены в файле конфигурации. УРОВЕНЬ 2 (системный уровень): может выполнять команды для настройки бизнеса, в основном включая маршрутизацию и другие команды сетевого уровня, используемые для предоставления пользователям сетевых услуг. УРОВЕНЬ 3 (уровень управления): самый высокий уровень, на котором могут выполняться все команды: команды, относящиеся к базовой работе системы, и функции модуля поддержки системы. Эти команды обеспечивают поддержку бизнеса. Включая файловую систему, FTP, TFTP, загрузку XModem, команды управления пользователями, команды настройки уровня и т. Д.

Примечание. Некоторые модели оборудования имеют более подробные уровни пользователя 0–15. Уровень 15 соответствует полномочиям УРОВНЯ 3. Конфигурация должна основываться на определенных условиях.

Настроить аутентификацию входа aaa

Аутентификация (аутентификация), авторизация (авторизация), сокращение (учет), является механизмом управления сетевой безопасностью; Аутентификация — это локальная аутентификация / авторизация, авторизация и учет обслуживаются удаленным радиусом (система удаленной аутентификации по набору номера) или сервер hwtacacs (Система контроля доступа к терминалам Huawei) выполняет аутентификацию / авторизацию;

После выхода из режима конфигурации VTY войдите в режим конфигурации aaa

Настройте пароль локального пользователя huawei как зашифрованный текст Gauss_234

Настройте тип службы пользователя huawei на telnet

Настройте уровень прав пользователя huawei 15 (эмулятор не поддерживает эту конфигурацию, только уровни пользователей 0-3)

После завершения настройки проверьте результаты. Режим аутентификации aaa не имеет особых требований, используется режим по умолчанию.

telnet запросит имя пользователя и пароль при входе в систему

Настроить супер-пароль устройства

Когда полномочия пользователя низкие (например, при входе в систему через Telnet, уровень полномочий может быть определен как 0 или 1), в это время

Вы можете использовать суперкоманду для повышения привилегий. Чтобы избежать вреда от незаконного повышения привилегий, его следует настроить

Супер пароль защищает.

Установите супер-пароль для CE6800, пароль хранится в простом (открытый текст) режиме (эмулятор не поддерживает)

Сохранить и просмотреть конфигурацию

Сохраните всю информацию о конфигурации, отправьте и сохраните

Просмотреть все сохраненные конфигурации

Просмотреть все текущие конфигурации

Настроить IP интерфейса

Схема топологии выглядит следующим образом:

Просмотрите конфигурацию после сохранения:

Настройте адрес GE 1/0/0 как 10.0.12.1 24

Остальная часть конфигурации такая же, как у CE6800, проверьте результаты конфигурации следующим образом

Отправьте эхо-запрос однорангового узла CE12800 от CE6800 для проверки возможности подключения

Настроить статическую маршрутизацию

Как и в предыдущем случае, схема топологии выглядит следующим образом:

Цель: позволить CE6800 пинговать 8.0.10.2 на CE6850

На CE6850 настройте GE 1/0/0 IP интерфейса 8.0.10.2/24.

После подключения к сети попробуйте выполнить эхо-запрос 8.0.10.2 на CE6850 с CE6800, но эхо-запрос не работает;

Проверьте таблицу маршрутизации CE6800, нет маршрута к 8.0.10.0/24

Добавьте статический маршрут в 8.0.10.0/24 на CE6800, адрес следующего перехода должен быть 10.0.12.2 на CE12800

Затем попробуйте выполнить эхо-запрос 8.0.10.2 на CE6850 с CE6800, но пинг по-прежнему не выполняется.

Причина в том, что CE6850 не имеет маршрута к сетевому сегменту 10.0.12.0/24, что приводит к тому, что пакет данных ping «идет и не возвращается»;

Добавьте статический маршрут к 10.0.12.0/24 на CE6850, адрес следующего перехода должен быть 8.0.10.1 на CE12800

После отправки и сохранения CE6800 может пинговать 8.0.10.2 на CE6850;

Проверьте таблицы маршрутизации CE6800, CE12800 и CE6850, как показано на рисунке ниже соответственно.

Обратите внимание, что поле Proto бывает двух типов: прямое и статическое.

Все маршруты CE12800 подключены напрямую, а в поле Pre установлено значение 0.

CE6800 и CE6850 имеют два статических маршрута, поле Pre — 60,

Pre представляет приоритет маршрутизации, чем меньше, тем лучше, маршрут будет сопоставлен первым;

Приоритет протокола по умолчанию для маршрутизаторов Huawei следующий.

Остальные соглашенияПротокол динамической маршрутизации,включают:

OSPF (протокол первого открытого кратчайшего пути)

RIP (протокол информации о маршрутизации)

IS-IS (протокол от промежуточной системы к промежуточной системе)

BGP (протокол пограничного шлюза)

Настроить маршрут по умолчанию

В этой топологии маршруты по умолчанию настроены на CE6800 и CE6850, и они также могут пинговать друг друга. Пример конфигурации следующий:

Посмотреть таблицу маршрутизации отдельно:

Используя маршрут по умолчанию, устройства на обоих концах топологии также могут пинговать друг друга;

Протокол LACP

LACP, основанный на стандарте IEEE802.3ax. LACP (Link Aggregation Control Protocol, Link Aggregation Control Protocol) — это протокол для динамического объединения каналов. Протокол LACP использует LACPDU (Link Aggregation Control Protocol Data Unit, Link Aggregation Control Protocol Data Unit).Блок данных протокола) И противоположный конецИнтерактивная информация。

Статическая агрегация LACP настраивается пользователем вручную, и системе не разрешено автоматически добавлять или удалять порты в группе агрегации. Группа агрегации должна содержать хотя бы один порт. Когда в группе агрегации только один порт, этот порт можно удалить из группы агрегации только путем удаления группы агрегации. Протокол LACP порта статической агрегации включен. Когда статическая группа агрегации удаляется, ее порты-члены будут формировать одну или несколько динамических агрегаций LACP и поддерживать LACP включенным. Пользователям запрещено закрывать протокол LACP статического порта агрегации.

Динамическое агрегирование LACP — это агрегирование, которое система автоматически создает или удаляет. Добавление и удаление портов в группе динамического агрегирования выполняется протоколом автоматически. Только порты с одинаковой скоростью и дуплексными свойствами, подключенные к одному устройству и с одинаковой базовой конфигурацией, могут быть динамически агрегированы. Даже если есть только один порт, можно создать динамическое агрегирование.Агрегация портов. При динамической агрегации протокол LACP порта включен.

Пример конфигурации агрегации портов

GE1 / 0/1 — GE1 / 0/3 CE6850 напрямую подключены к GE1 / 0/1 — GE1 / 0/3 CE12808 на противоположном конце, и три канала используются как агрегация каналов (канал);

Конфигурация CE6850 выглядит следующим образом:

Конфигурация CE12808 такая же, как у CE6850;

Huawei Static Routing

Static Route is a manual simple route configuration. In Huawei Routers, Static Routing is similar to the other platforms like Cisco Static Routing, Nokia Static Routing etc.

The concept is simple:

• Write “ip static route”
• Add “the Destination IP and Subnet Mask”
• Add “the Gateway”

You can download this configuration on Huawei eNSP Labs Page.

Huawei Static Route Configuration Example

Here, we will show Huawei Static Route Configuration on the below topology.

As you can see, we have two routers and two different networks that the other end router do not know. So, with Static Route Configuration, we will show “how to reach that far network” to each router. We will configure firstly Router 1 and then Router 2.

On Router 1, we will do one of the below Huawei Static Routing Configurations. These three configuration is same. It is up to your configuration behaviour.

4 logging in from the web-based network management system

l          Setting Up a Web Configuration Environment

l          Configuring the Login Banner

l          Enabling/Disabling the WEB Server

# Enter system view.

Configuring the management ip address of the oap software system

In the OAA system of the device, the access control engine and the switching engine integrate together and function as one device. For the snmp UDP Domain-based network management station (NMS), however, the access control engine and the switching engine are independent SNMP agents.

Physically, two agents are on the same managed object; while logically, they belong to two different systems, and they manage their own MIB objects on the access control engine and the switching engine separately. Therefore, when you use the NMS to manage the access control engine and the switching engine on the same interface, you must first obtain the management IP addresses of the two SNMP agents and obtain the link relationship between them, and then you can access the two agents. By default, the management IP address of an OAP module is not configured.

Before configuring the management IP address of the OAP software system, you must configure the same IP address at the engine side where the OAP software system resides; otherwise, the NMS cannot access the OAP software system by using the configured management IP address.

Logging in to the switching engine through oap

Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

Еще несколько отличий:

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

у Cisco подобная команда выглядит

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Линейки huawei usg и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Его краткие характеристики следующие:Интерфейсы: 8GEПитание: AC AdapterFirewall throughput: 2 Gbit/sIPS throughput:  700 Mbit/sIPS AV throughput: 700 Mbit/sConcurrent sessions: 500,000VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Настройка nat/pat для выхода локальной сети в интернет

Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security.

В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.

После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.

Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.

Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site,  SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.

Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.

Настройка базовых параметров системы

В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.

1. Настройка системного времени и его синхронизация по NTP.

Для настройки времени локально на коммутаторе можно использовать следующие команды:

Пример настройки времени локально

clock timezone MSK add 03:00:00clock datetime 10:10:00 2020-10-08

Для синхронизации времени по NTP с сервером вводим следующую команду:

Пример команды для синхронищации времени по NTP

ntp unicast-server 88.212.196.95commit

2. Для работы с коммутатором порой требуется настроить как минимум один маршрут — маршрут по умолчанию или default route. Для создания маршрутов используется следующая команда:

Пример команды для создания маршрутов:

system-viewip route-static 0.0.0.0  0.0.0.0 192.168.0.1commit

3. Настройка режима работы протокола Spanning-Tree.

Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:

system-viewstp mode mstpcommit

4. Пример настройки порта коммутатора для подключения конечного устройства.

Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10

Обратите внимание на команду “stp edged-port enable” — она позволяет ускорить процесс перехода порта в состояние forwarding. Однако, не стоит использовать эту команду на портах, к которым подключены другие коммутаторы.

Также, может быть полезна команда “stp bpdu-filter enable”.

5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.

(или можно использовать

Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.Проверить состояние агрегированного линка можно командой “display eth-trunk”.

Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки.

Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.

Пример настройки адреса для интерфейса VLAN 1:

Предварительно можно явно создать Vlan и назначить ему имя, например:

Есть маленький лайфхак в плане именования — писать имена логических структур заглавными буквами (ACL, Route-map, иногда имена VLAN), чтобы было легче находить их в конфигурационном файле. Можете взять “на вооружение” 😉

Итак, у нас есть VLAN, теперь “приземляем” его на какой-нибудь порт. Для описанного в примере варианта делать это не обязательно, т.к. все порты коммутатора по умолчанию находятся в VLAN 1. Если хотим настроить порт в другой VLAN, пользуемся соответствующими командами:

Настройка порта в режиме access:

Настройка порта в режиме trunk:

interface 25GE 1/0/20

port link-type trunk

port trunk pvid vlan 10указываем native VLAN (фреймы в этом VLAN не будут иметь тег в заголовке)

port trunk allow-pass vlan 1 to 20разрешаем только VLAN с тегом от 1 до 20 (для примера)

С настройкой интерфейсов разобрались. Перейдём к конфигурации SSH.Приведем только необходимый набор команд:

Назначаем имя коммутатору

Настраиваем интерфейст VTY

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.

Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

• DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
• Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
• Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности.  Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях.

Настройка с помощью web-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек.  Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

• Предварительная настройка коммутаторов с последующим их физическим соединением.
• Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

• Планируем работы с учётом вероятного простоя. Составляем последовательность действий.
• Осуществляем монтаж и кабельное подключение коммутаторов.
• Настраиваем базовые параметры стека для master-коммутатора:

3.1. Настраиваем нужные нам параметры

#stack member 1 renumber X — где X — новый ID коммутатора в стэке. По умолчанию, ID = 1и для master-коммутатора можно оставить ID по умолчанию. #stack member 1 priority 150 — указываем приоритет.

3.2 Настраиваем интерфейс порта стекирования (пример)

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist.

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

4. Выключаем порты для стекирования на master-коммутаторе (пример)

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

MemberID Role     MAC              Priority   DeviceType         Description

1       Master   0004-9f31-d520   150        CE6850-48T4Q-EI

2       Standby  0004-9f62-1f40   120        CE6850-48T4Q-EI

indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

и можно также посмотреть на сайте Huawei.

Обновление по устройства

Текущая версия ПО (по состоянию на март 2022 года) — v500r001c30spc100.

Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei:  O&m15213      (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.

Подключение к коммутатору через консольный интерфейс

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.

Для первичной настройки без использования ZTP необходимо консольное подключение.

Параметры подключения (вполне стандартные)

Transmission rate: 9600Data bit (B): 8Parity bit: NoneStop bit (S): 1Flow control mode: None

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Задаем пароль для консольного подключения