Коммутатор huawei настройка tacacs

Обновлено: 17.05.2024

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Начальная конфигурация коммутатора huawei на примере s5720 — xcat

В данной статье хочу разобрать базовую настройку коммутатора на примере.

Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.

1. Подключения к уровню распределения агрегированным интерфейсом LACP
2. Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
3. Отдельный VLAN для сети принтеров и МФУ
4. Подключение WI-FI точек trunk портом c PVID management VLAN
5. Использование механизма DHCP snooping во всех VLAN

переходим в режим конфигурации:

Даем имя коммутатору, например acess switch 01 — «ASW-01»:

Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:

Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:

Теперь перейдем к VLAN, создаем VLAN для management:

включим в этом VLAN DHCP snooping

выходим из настройки VLAN

Аналогичным образом создаем остальные VLAN, я для примера создаю следующие VLAN:
200 — VoIP
300 — Office
400 — Printer

C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD :

назначаем пользователю уровень привилегий (15 самый высокий):

включаем доступ по SSH для пользователя:

отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):

Теперь перейдем к включению SSH на устройстве:

Создаем пару ключей для SSH:

Включаем доступ по SSH на линиях:

Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:

Настраиваем шлюз по умолчанию:

Перейдем к настройке UpLink интерфейса, как описано в требованиях выше, нам требуется собрать агрегированный интерфейс используя протокол LACP, использовать будем 10Gbit интерфейсы, имеющиеся в коммутаторе Huawei S5720-52X. У Huawei это называется Ether-Trunk, первым делом объявляем Ether-Trunk 1 и «проваливаемся» в его настройку:

затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:

указываем протокол LACP:

После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :

С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.

Больше про Хуавей: Как изменить размер значков на Хуавей? - Информация о гаджетах и программах

Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:

Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:

В качестве untagged VLAN и PVID указываем тот что используется для ПК:

т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)

наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:

Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:

Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.

На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl Z и дав команду save:

Настройка имени хоста

Настройка системного времени

По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset).

После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2021 года, выполните следующую команду:

Задание IP-адреса на устройстве

Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address в интерфейсном виде.

Больше про Хуавей: Как Клеить Защитное Стекло На Хонор 9 Лайт

Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.

Настройка стекирования (istack)

После получения доступа к коммутаторам, при необходимости можно настроить стек. Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека — кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

Предварительная настройка коммутаторов с последующим их физическим соединением.

Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

Осуществляем монтаж и кабельное подключение коммутаторов.

Настраиваем базовые параметры стека для master-коммутатора:

3.1. Настраиваем нужные нам параметры

HUAWEI] sysname SwitchA[HUAWEI] commit[

SwitchA-stack] stack member 1 priority 150[SwitchA-stack] stack member 1 domain 10[SwitchA-stack] quit[SwitchA] commit

3.2 Настраиваем интерфейс порта стекирования (пример)

interface stack-port 1/1 SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with theport crc-statistics trigger error-down command if the configuration does not exist.

2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

4. Выключаем порты для стекирования на master-коммутаторе (пример)

SwitchA] interface stack-port 1/1[*SwitchA-Stack-Port1/1] shutdown[*SwitchA-Stack-Port1/1] commit

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

SwitchB] interface stack-port 1/1[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4Warning: After the configuration is complete,1.

The interface(s) (10GE1/0/1-1/0/4) will be converted to stackmode and be configured with the port crc-statistics trigger error-down command if the configuration doesnot exist.2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on theinterfaces.Continue? [Y/N]: y[*SwitchB-Stack-Port1/1] commit[

Больше про Хуавей: Как сбросить телефон Хуавей до заводских настроек - инструкция Тарифкин.ру

Перезагружаем SwitchB

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

SwitchA] interface stack-port 1/1[

SwitchA-Stack-Port1/1] undo shutdown[*SwitchA-Stack-Port1/1] commit[

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

MemberID Role MAC Priority DeviceType Description

1 Master 0004-9f31-d520 150 CE6850-48T4Q-EI

2 Standby 0004-9f62-1f40 120 CE6850-48T4Q-EI

indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

и можно также посмотреть на сайте Huawei.

Нотносительная нумерация

Нумерация интерфейса пользователя.

Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.

Первое подключение

Подключение к коммутатору через консольный интерфейс

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP .

Для первичной настройки без использования ZTP необходимо консольное подключение.

Параметры подключения (вполне стандартные)

Transmission rate: 9600Data bit (B): 8Parity bit: NoneStop bit (S): 1Flow control mode: None

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Задаем пароль для консольного подключения

Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:

Пример смены пароля

Проверка подлинности ааа

Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.

Проверка подлинности паролем

Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.

Проверка подлинности пользователя.

Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.

Подключение к консоли коммутатора

Т.к. в моем ультрабуке нет ни Ethernet порта, ни тем более COM порта я использовал свой адаптер QinHeng Electronics HL-340 USB-Serial adapter (Device 005: ID 1a86:7523). Радует он меня тем, что при подключении по USB сразу даёт вирутуальный COM-порт и не требует никаких драйверов ни под Windows, ни под Linux.

Для подключения использую gtkterm

Configuration -> Port:
Port: /dev/ttyUSB0
Baud rate: 9600
Parity: none
Bits: 8
Stop bits: 1
Flow control: none

После первого подключения возника проблема с тем, что оооочен сильно тормозила консоль. Потом выяснилось, что всемы виной консольный COM -> RJ45 кабель. Заменили его на Cisco-вский, и всё завелось.

Настройка hostname и IP адреса

Для смены hostname воспользуйтесь командой:

<Quidway>system-view
[Quidway]interface vlanif1
[Quidway-vlanif1]ip address 172.20.0.47 21
[Quidway-vlanif1]quit

Новый адрес применяется сразу, и в отличии от CISCO здесь не надо перезагружать интерфейс.

Настройка SNMP

У коммутаторов Huawei есть две особенности, о которых надо помнить, настраивая snmp. Во первых, если у вас включен snmp v3, то snmp v2c работать не будет. Во-вторых для snmp v2c при настройке на коммутаторе в консоле имя community надо указывать в кавычках, и в мониторилке (например Dude) оно тоже должно быть указано в кавычках (использовал двойные кавычки).

[Quidway]acl number 2100
[Quidway-acl-basic-2100]rule 1 permit source 172.20.0.33 0.0.0.0 // for one ip

Опционально можно добавить контактные данные в snmp.

[Quidway]snmp-agent sys-info contact X Division
[Quidway]snmp-agent sys-info location Kremlin

Настройка ssh

Генерим ключи, добавляем юзера, даём юзеру доступ к сервисам ssh(stelnet)+telnet.

[Quidway] rsa local-key-pair create
[Quidway]aaa
[Quidway-aaa]local-user admin password cipher YOURPASSWORD
[Quidway-aaa]local-user admin privelege level 3
[Quidway-aaa]local-user admin service-type ssh telnet
[Quidway-aaa]quit
[Quidway]stelnet server enable
[Quidway]ssh user admin authentication-type password
[Quidway]ssh user admin service-type stelnet
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa
[Quidway-ui-vty0-4]protocol inbound ssh

Поднимаем веб-интерфейс

Файл с веб-интерфейсом (скрипты, js, css и т.д.) должен лежать в виде архива на устройстве. Просмотреть, что там лежит можно командой dir.

В моем случае у коммутатора было два вида интерфейса: classic (а-ля привет 90-е) и easyOperation (более-менее юзабельный). Можете сами визуально сравнить их.

Это classic интерфейс

А вот это EasyOperation

Почувствуйте разницу 🙂 Хотя лучш все равно в консоле.

Таблица аналогов CISCO-вских команд у HUAWEI

CISCO	HUAWEI
ping	ping
traceroute	tracert
show	display
show interfaces	display interface
Show ip route	display routing-table
Show ip interface	Display ip interface
Show version	Display version
Show ip bgp	Display bgp routing-table
Show clock	Display clock
Show port	Display port-mapping
Show flash	dir flash: (on user view mode)
Show logging	Display logbuffer
Show snmp	Display snmp-agent statistics
Show frame-relay pvc	Display fr pvc-info
Show users	Display users
Show terminal length	screen-length disable
undo screen-length disable
enable	Super
disable	Super 0 (number is privilege level from 0 to 3, where 3 is default and equivalent to “enable” on Cisco)
Conf t	System-view
exit	quit
end	return
Show policy-map interface	Display qos policy interface
send	send (on user view mode)
write terminal (sh run)	display current-configuration
Sh startup	Display saved-configuration
[no equivalent: shows the files used for startup]	Display startup
Write erase	Reset saved-configuration
Write mem (or wr or copy run start)	save
clear counters	reset (on user view mode)
Reset counters interface
?	?
telnet	telnet
Enable secret (conf mode)	Super pass cipher (system mode)
Term mon	term debu
clock	clock
no	undo
debug / no debug	debugging / undo debugging
copy running-config	Save safely
terminal monitor	terminal monitor
terminal length	screen-length disable
undo screen-length disable
terminal no monitor	undo terminal monitor
clear counters	reset counters interface
clear interface	reset counters interface
clear crypto	ipsec sa
ike sa
clear access-list counters	reset acl counter all
reload	reboot
shutdown	shutdown
boot	boot bootrom
Aaa	hwtacacs scheme
terminal no monitor	undo terminal monitor
tacacs-server	hwtacacs scheme (in conf command)
snmp-server	tftp-server (in conf command)
router bgp	bgp
Router rip	rip
ip tacacs	hwtacacs nas-ip (this command doesn’t exist . )
mtu	Mtu (this command doesn’t exist . )
clear ip cef	reset ip fast-forwarding
clear ip route *	reset ip routing-table statistics protocol all
Clear ip bgp	Reset bgp all
Show tech	display diagnostic-information
Sh ip nat translation	Display nat session
Show Controller	display controller (but not relevant for non-modular chassis)
show dsl int atm 0	display dsl status interface Atm 2/0
sho atm pvc	Display atm pvc-info
debug pvc nego	Debug atm all (very dangerous – might crash router)
sho crypto isakmp sa	Display ike sa
sho crypto isakmp key	Display ike peer
sho crypto isakmp police	Display ike proposal

Ссылки

Спасибо!

Если вам помогла статья, или вы хотите поддержать мои исследования и блог - вот лучший способ сделать это:

Андрей Токарчук :

Как вариант просканировать сеть и по ARP таблице посмотреть по MAC адресам. В начале MAC адреса идёт префикс вендора.

HWTACACS is a protocol that serves as an enhancement to TACACS (RFC 1492).

HWTACACS is used to perform authentication, authorization, and accounting for users accessing the Internet through Point-to-Point Protocol (PPP) or Virtual Private Dial-up Network (VPDN) and management users.

Both HWTACACS and RADIUS protocols can implement authentication, authorization, and accounting. They are similar in that they both have the following characteristics:

• Client/Server model
• Share key used for encrypting user information
• Good flexibility and extensibility

HWTACACS is more reliable in transmission and encryption than RADIUS, and is more suitable for security control. Table 1-1 lists the differences between HWTACACS and RADIUS.

Uses TCP, which is more reliable.

Uses UDP, which is more efficient.

Encrypts the entire packet, except the standard HWTACACS header.

Encrypts only the password field in the packet.

Authentication and authorization

Separates authentication from authorization so that they can be implemented on different security servers.

Combines authentication and authorization.

Command line authorization

Supported. The command line use is restricted by both the command level and AAA. When a user enters a command, the command is executed only after being authorized by the HWTACACS server.

Not supported. The commands that a user can use depend on their user level. A user can only use the commands of the same level as or lower level than their user level.

HWTACACS Packets

Unlike RADIUS packets, which all use the same format, HWTACACS packets (including HWTACACS Authentication Packet Format, HWTACACS Authorization Packet Format, and HWTACACS Accounting Packet Format) use different formats. Despite this, HWTACACS packets all share the same HWTACACS Packet Header.

HWTACACS Packet Header

The length of the HWTACACS packet header is 12 bytes, as shown in Figure 1-1.

Major version of the HWTACACS protocol. The current version is 0xc.

Minor version of the HWTACACS protocol. The current version is 0x0.

HWTACACS protocol packet type, including authentication (0x01), authorization (0x02), and accounting (0x03).

Packet sequence number in a session, ranging from 1 to 254.

Encryption flag on the packet body. This field contains 8 bits, of which only the first bit has a valid value. The value 0 indicates that the packet body is encrypted, and the value 1 indicates that the packet body is not encrypted.

Session ID, which is the unique identifier of a session.

Length of the HWTACACS packet body, excluding the packet header.

HWTACACS Authentication Packet Format

There are three types of HWTACACS authentication packets:

• Authentication Start: When an authentication starts, the client sends this packet carrying the authentication type, user name, and authentication data to the server.
• Authentication Continue: When receiving the Authentication Reply packet from the server, the client returns this packet if the authentication process has not ended.
• Authentication Reply: When the server receives the Authentication Start or Authentication Continue packet from the client, the server sends this packet to the client to notify the client of the current authentication status.

HWTACACS Authentication Start packets.

Figure 1-2 HWTACACS Authentication Start packet format
Table 1-3 Fields in HWTACACS Authentication Start packet

Authentication action. Only the login authentication (0x01) action is supported.

User privilege level.

Authentication type, including:

Type of the service requesting authentication, which varies depending on the user type:

• PPP users: PPP(0x03)
• Administrators: LOGIN(0x01)
• Other users: NONE(0x00)

Length of the user name entered by a login user.

Length of the port field.

rem_addr field length.

Authentication data length.

Name of the user requesting authentication. The maximum length is 129.

Name of the user interface requesting authentication. The maximum length is 47.

• For management users, this field indicates the user terminal interface, such as console0 and vty1. For example, the authen_type of Telnet users is ASCII, service is LOGIN, and port is vtyx.
• For other users, this field indicates the user access interface.

IP address of the login user.

Authentication data. Different data is encapsulated depending on the values of action and authen_type. For example, when PAP authentication is used, the value of this field is PAP plain-text password.

HWTACACS Authentication Continue packets.

Figure 1-3 HWTACACS Authentication Continue packet format
Table 1-4 Fields in HWTACACS Authentication Continue packet

Length of the character string entered by a login user.

Authentication data length.

Authentication continue flag.

• 0: The authentication continues.
• 1: The authentication has ended.

Character string entered by the login user. This field carries the user login password to respond to the server_msg field in the Authentication Reply packet.

Authentication data. Different data is encapsulated depending on the values of action and authen_type. For example, when PAP authentication is used, the value of this field is PAP plain-text password.

HWTACACS Authentication Reply packets.

Figure 1-4 HWTACACS Authentication Reply packet format
Table 1-5 Fields in HWTACACS Authentication Reply packet

Authentication status, including:

• PASS (0x01): Authentication is successful.
• FAIL (0x02): Authentication fails.
• GETDATA (0x03): Request user information.
• GETUSER (0x04): Request user name.
• GETPASS (0x05): Request password.
• RESTART (0x06): Request reauthentication.
• ERROR (0x07): The authentication packets received by the server have errors.
• FOLLOW (0x21): The server requests reauthentication.

Indicates whether the client displays the password entered by user in plain text. The value 1 indicates that the password is not displayed in plain text.

Length of the server_msg field.

Authentication data length.

Optional field. This field is sent by the server to the user to provide additional information.

Authentication data, providing information to client.

HWTACACS Authorization Packet Format

There are two types of HWTACACS authorization packets:

• Authorization Request: HWTACACS separates authentication from authorization. Therefore, a user can be authenticated by HWTACACS, and authorized using another protocol. If a user is authorized by HWTACACS, the client sends an Authorization Request packet carrying authorization information to the server.
• Authorization Response: After receiving the Authorization Request packet, the server sends this packet carrying the authorization result to the client.

HWTACACS Authorization Request packets.

Figure 1-5 HWTACACS Authorization Request packet format
Table 1-6 Fields in HWTACACS Authorization Request packet

Authentication method, including:

• No authentication method configured (0x00)
• None authentication (0x01)
• Local authentication (0x05)
• HWTACACS authentication (0x06)
• RADIUS authentication (0x10)

Type of the service requesting authentication, which varies depending on the user type:

• PPP users: PPP(0x03)
• Administrators: LOGIN(0x01)
• Other users: NONE(0x00)

Number of attributes carried in the Authorization Request packet.

Attribute of the Authorization Request packet.

HWTACACS Authentication Reply packets.

Figure 1-6 HWTACACS Authorization Response packet format
Table 1-7 Fields in HWTACACS Authorization Response packet

Authorization status, including:

• Authorization is successful (0x01)
• The attributes in Authorization Request packets are modified by the TACACS server (0x02)
• Authorization fails (0x10)
• An error occurs on the authorization server (0x11)
• An authorization server is respecified (0x21)

Number of attributes carried in the Authorization Response packet.

Authorization attribute delivered by the HWTACACS authorization server.

HWTACACS Accounting Packet Format

There are two types of HWTACACS accounting packets:

• Accounting Request: Contains authorization information.
• Accounting Response: After receiving and recording an Accounting Request packet, the server returns this packet.

HWTACACS Accounting Request packets.

Figure 1-7 HWTACACS Accounting Request packet format
Table 1-8 Fields in HWTACACS Accounting Request packet

• Start accounting (0x02)
• Stop accounting (0x04)
• Interim accounting (0x08)

Type of the service requesting authentication, which varies depending on the user type:

• PPP users: PPP(0x03)
• Administrators: LOGIN(0x01)
• Other users: NONE(0x00)

Number of attributes carried in the Accounting Request packet.

Attribute of the Accounting Request packet.

HWTACACS Accounting Response packets.

Figure 1-8 HWTACACS Accounting Response packet format
Table 1-9 Fields in HWTACACS Accounting Response packet

Length of the server_msg field.

Length of the data field.

• Accounting is successful (0x01)
• Accounting fails (0x02)
• No response (0x03)
• The server requests reaccounting (0x21)

Information sent by the accounting server to the client.

Information sent by the accounting server to the administrator.

HWTACACS Authentication, Authorization, and Accounting Process

This section describes how HWTACACS performs authentication, authorization, and accounting for Telnet users. Figure 1-9 shows the message exchange process.

The following describes the HWTACACS message exchange process shown in Figure 1-9:

1. A Telnet user sends a request packet.
2. After receiving the request packet, the HWTACACS client sends an Authentication Start packet to the HWTACACS server.
3. The HWTACACS server sends an Authentication Response packet to request the user name.
4. After receiving the Authentication Response packet, the HWTACACS client sends a packet to query the user name.
5. The user enters the user name.
6. The HWTACACS client sends an Authentication Continue packet containing the user name to the HWTACACS server.
7. The HWTACACS server sends an Authentication Response packet to request the password.
8. After receiving the Authentication Response packet, the HWTACACS client queries the password.
9. The user enters the password.
10. The HWTACACS client sends an Authentication Continue packet containing the password to the HWTACACS server.
11. The HWTACACS server sends an Authentication Response packet, indicating that the user has been authenticated.
12. The HWTACACS client sends an Authorization Request packet to the HWTACACS server.
13. The HWTACACS server sends an Authorization Response packet, indicating that the user has been authorized.
14. The HWTACACS client receives the Authorization Response packet and displays the login page.
15. The HWTACACS client sends an Accounting Request (start) packet to the HWTACACS server.
16. The HWTACACS server sends an Accounting Response packet.
17. The user requests to go offline.
18. The HWTACACS client sends an Accounting Request (stop) packet to the HWTACACS server.
19. The HWTACACS server sends an Accounting Response packet.

HWTACACS and TACACS+ protocols of other vendors can implement authentication, authorization, and accounting. HWTACACS is compatible with other TACACS+ protocols because their authentication procedures and implementations are the same.

HWTACACS Attributes

In the HWTACACS authorization or accounting packets, the argN field carries the information exchanged between a server and a client in the form of HWTACACS. This section describes the HWTACACS attributes in detail.

Overview of HWTACACS Attributes

Table 1-10 describes the HWTACACS attributes supported by the device. The device can only parse the attributes included in the table.

Authorization ACL ID.

User IP address.

Commands the system automatically execute after a user logs in.

Traffic received by the device. K, M, and G represent KByte, MByte, and GByte. No unit is displayed if byte is used.

Traffic sent by the device. K, M, and G represent KByte, MByte, and GByte. No unit is displayed if byte is used.

Information sent from the authentication server and to be displayed to a user, such as a mobile number.

Commands executed by the system shell. The maximum length is 251 characters. The complete command is encapsulated when the command is recorded and the first keyword is encapsulated when the command is authorized.

Parameter in the command line to be authorized. The cmd-arg=<cr> is added at the end of the command line.

Reason for disconnection. Only accounting stop packets carry this attribute. The reasons for disconnection include:

• A user requests to go offline (1)
• Data forwarding is interrupted (2)
• Service is interrupted (3)
• Idle timeout (4)
• Session timeout (5)
• The administrator requests to go offline (7)
• The NAS is faulty (9)
• The NAS requests to go offline (10)
• The port is suspended (12)
• User information is incorrect (17)
• A host requests to go offline (18)

Extended reason for disconnection. Only accounting stop packets carry this attribute. The extended reasons for disconnection include:

• Unknown reason (1022)
• The EXEC terminal tears down the connection (1020)
• An online Telnet user forcibly disconnects this user (1022)
• The user cannot be switched to the SLIP/PPP client due to no remote IP address (1023)
• PPP PAP authentication fails (1042)
• PPP receives a Terminate packet from the remote end (1045)
• The upper-layer device requests the device to tear down the PPP connection (1046)
• PPP handshake fails (1063)
• Session times out (1100)

Downstream average rate, in bit/s.

Downstream peak rate, in bit/s.

IP address of the primary DNS server.

Online duration, in seconds.

Initial directory of an FTP user.

Tunnel password. The value is a string of 1 to 248 characters. If the value contains more than 248 characters, only the first 248 characters are valid.

Idle session timeout period. If a user does not perform any operation within this period, the system disconnects the user.

Interval for sending L2TP Hello packets. The device does not support this attribute.

The attribute value pair (AVP) of L2TP. The device does not support this attribute.

If no session exists within this period, the L2TP tunnel is torn down. The device does not support this attribute.

L2TP group number. Other L2TP attributes take effect only if this attribute is delivered. Otherwise, other L2TP attributes are ignored.

TOS of L2TP. The device does not support this attribute.

Indicates whether the L2TP tunnel is authenticated:

• 0: not authenticated
• 1: authenticated

UPD packet checksum.

No authentication is required for callback.

Indicates whether the device automatically disconnects a user. This attribute is valid only after the autocmd attribute is configured. It decides whether to disconnect a user who has executed the autocmd command. The value can be true or false:

• true: does not disconnect the user
• false: disconnects the user

Number of packets received by the device.

Number of packets sent by the device.

Protocol type. It belongs to service type, and is only valid for PPP and connection services. The device supports four protocol types: pad, telnet, ip, and vpdn. The protocol used depends on the service type:

• When the service type is connection, the protocol type can be pad or telnet.
• When the service type is ppp, the protocol type can be ip or vpdn.
• For other service types, this attribute is not used.

Task ID. The task IDs recorded when a task starts and ends must be the same.

Local time zone.

Local user name of the tunnel. The value is a string of 1 to 29 characters. If the value contains more than 29 characters, only the first 29 characters are valid.

Tunnel type. The device only supports the L2TP tunnel. The value of tunnel-type is 3.

Service type, which can be accounting or authorization.

Local IP address of the tunnel.

Upstream average rate, in bit/s.

Upstream peak rate, in bit/s.

HWTACACS Attributes Available in Packets

There are two types of HWTACACS authorization packets: Authorization Request packets and Authorization Response packets. However, HWTACACS authorization packets can also be classified into EXEC authorization packets, command line authorization packets, and access user authorization packets, depending on the usage scenario. Different authorization packets carry different attributes. For details, see Table 1-11. The following describes the use of HWTACACS authorization packets for different usage scenarios:

• EXEC authorization packets: Used by the HWTACACS server to control rights of the management users logging in through Telnet, console port, SSH, and FTP.
• Command line authorization packets: Used by the device to authorize each command line executed by the user. Only authorized command lines can be executed.
• Access user authorization packets: Used by the HWTACACS server to control the rights of NAC users such as 802.1X and Portal users.

Just as with HWTACACS authorization packets, there are two types of HWTACACS accounting packets: Accounting Request packets and Accounting Response packets. HWTACACS accounting packets can also be classified into network accounting packets, connection accounting packets, EXEC accounting packets, system accounting packets, and command accounting packets, depending on the connection type. Different accounting packets carry different attributes. For details, see Table 1-12. The following describes the use of HWTACACS accounting packets for different connection types:

Мы уже длительное время используем оборудование Huawei в продуктиве публичного облака. Недавно мы добавили в эксплуатацию модель CloudEngine 6865 и при добавлении новых устройств, появилась идея поделиться неким чек-листом или сборником базовых настроек с примерами.

В сети есть множество аналогичных инструкций для пользователей оборудования Cisco. Однако, для Huawei таких статей мало и иногда приходится искать информацию в документации или собрать из нескольких статей. Надеемся, будет полезно, поехали!

В статье опишем следующие пункты:

Первое подключение

Подключение к коммутатору через консольный интерфейс

По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.

Для первичной настройки без использования ZTP необходимо консольное подключение.

Параметры подключения (вполне стандартные)

Transmission rate: 9600
Data bit (B): 8
Parity bit: None
Stop bit (S): 1
Flow control mode: None

После подключения Вы увидите просьбу задать пароль для консольного подключения.

Задаем пароль для консольного подключения

Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:

Пример смены пароля

HUAWEI] user-interface console 0
[

HUAWEI-ui-console0] authentication-mode password
[

HUAWEI-ui-console0] set authentication password cipher <пароль>
[*HUAWEI-ui-console0] commit

Настройка стекирования (iStack)

После получения доступа к коммутаторам, при необходимости можно настроить стек. Для объединения нескольких коммутаторов в одно логическое устройство в Huawei CE используется технология iStack. Топология стека - кольцо, т.е. на каждом коммутаторе рекомендуется использовать минимум 2 порта. Количество портов зависит от желаемой скорости взаимодействия коммутаторов в стеке.

Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.

Есть два варианта настройки, которые немного отличаются в последовательности шагов:

Предварительная настройка коммутаторов с последующим их физическим соединением.

Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.

Последовательность действий для этих вариантов выглядит следующим образом:

Последовательность действий для двух вариантов стекирования коммутаторов

Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:

Планируем работы с учётом вероятного простоя. Составляем последовательность действий.

Осуществляем монтаж и кабельное подключение коммутаторов.

Настраиваем базовые параметры стека для master-коммутатора:

Пример:
<HUAWEI> system-view
[

HUAWEI] sysname SwitchA
[HUAWEI] commit
[

SwitchA-stack] stack member 1 priority 150
[SwitchA-stack] stack member 1 domain 10
[SwitchA-stack] quit
[SwitchA] commit

3.2 Настраиваем интерфейс порта стекирования (пример)

SwitchA] interface stack-port 1/1

[SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4

Warning: After the configuration is complete,

1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with the
port crc-statistics trigger error-down command if the configuration does not exist.

2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y

[SwitchA-Stack-Port1/1] commit
[

SwitchA-Stack-Port1/1] return

Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:

<SwitchA> save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
<SwitchA> reboot
Warning: The system will reboot. Continue? [Y/N]: y

4. Выключаем порты для стекирования на master-коммутаторе (пример)

SwitchA] interface stack-port 1/1
[*SwitchA-Stack-Port1/1] shutdown
[*SwitchA-Stack-Port1/1] commit

5. Настраиваем второй коммутатор в стэке по аналогии с первым:

HUAWEI] sysname SwitchB
[*HUAWEI] commit
[

SwitchB-stack] stack member 1 priority 120
[*SwitchB-stack] stack member 1 domain 10
[*SwitchB-stack] stack member 1 renumber 2 inherit-config
Warning: The stack configuration of member ID 1 will be inherited to member ID 2
after the device resets. Continue? [Y/N]: y
[*SwitchB-stack] quit
[*SwitchB] commit

Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.

Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.

SwitchB] interface stack-port 1/1
[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: After the configuration is complete,
1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack
mode and be configured with the port crc-statistics trigger error-down command if the configuration does
not exist.
2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the
interfaces.
Continue? [Y/N]: y
[*SwitchB-Stack-Port1/1] commit
[

SwitchB-Stack-Port1/1] return

<SwitchB> save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
<SwitchB> reboot
Warning: The system will reboot. Continue? [Y/N]: y

6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.

SwitchA] interface stack-port 1/1
[

SwitchA-Stack-Port1/1] undo shutdown
[*SwitchA-Stack-Port1/1] commit
[

SwitchA-Stack-Port1/1] return

7. Проверяем работу стека командой “display stack”

Пример вывода команды после правильной настройки

<SwitchA> display stack

MemberID Role MAC Priority DeviceType Description

+1 Master 0004-9f31-d520 150 CE6850-48T4Q-EI

2 Standby 0004-9f62-1f40 120 CE6850-48T4Q-EI

+ indicates the device where the activated management interface resides.

8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.

Настройка доступа

Выше мы работали через консольное подключение. Теперь к нашему коммутатору (стеку) нужно как-то подключаться по сети. Для этого ему нужен интерфейс (один или несколько ) с IP-адресом. Обычно для коммутатора адрес назначается на интерфейс в VLAN сети управления или на выделенный порт управления. Но тут, конечно же, всё зависит от топологии подключения и функционального назначения коммутатора.

Пример настройки адреса для интерфейса VLAN 1:

HUAWEI] interface vlan 1
[

HUAWEI-Vlanif1] ip address 10.10.10.1 255.255.255.0
[

HUAWEI-Vlanif1] commit

Предварительно можно явно создать Vlan и назначить ему имя, например:

Switch] vlan 1
[*Switch-vlan1] name TEST_VLAN (имя VLAN - необязательный элемент)

Есть маленький лайфхак в плане именования — писать имена логических структур заглавными буквами (ACL, Route-map, иногда имена VLAN), чтобы было легче находить их в конфигурационном файле. Можете взять “на вооружение” ;)

Итак, у нас есть VLAN, теперь “приземляем” его на какой-нибудь порт. Для описанного в примере варианта делать это не обязательно, т.к. все порты коммутатора по умолчанию находятся в VLAN 1. Если хотим настроить порт в другой VLAN, пользуемся соответствующими командами:

Настройка порта в режиме access:

Switch] interface 25GE 1/0/20
[

Switch-25GE1/0/20] port link-type access
[

Switch-25GE1/0/20] port access vlan 10
[

Switch-25GE1/0/20] commit

Switch] interface 25GE 1/0/20
[

Switch-25GE1/0/20] port link-type trunk
[

Switch-25GE1/0/20] port trunk pvid vlan 10 - указываем native VLAN (фреймы в этом VLAN не будут иметь тег в заголовке)
[

Switch-25GE1/0/20] port trunk allow-pass vlan 1 to 20 - разрешаем только VLAN с тегом от 1 до 20 (для примера)
[

Switch-25GE1/0/20] commit

С настройкой интерфейсов разобрались. Перейдём к конфигурации SSH.
Приведем только необходимый набор команд:

Назначаем имя коммутатору

HUAWEI] sysname SSH Server
[*HUAWEI] commit

SSH Server] rsa local-key-pair create //Generate the local RSA host and server key pairs.
The key name will be: SSH Server_Host
The range of public key size is (512

2048).
NOTE: Key pair generation will take a short while.
Input the bits in the modulus [default = 2048] : 2048
[*SSH Server] commit

SSH Server] user-interface vty 0 4
[

SSH Server-ui-vty0-4] authentication-mode aaa
[SSH Server-ui-vty0-4] user privilege level 3
[SSH Server-ui-vty0-4] protocol inbound ssh
[*SSH Server-ui-vty0-4] quit

Создаем локального пользователя "client001" и настроим ему аутентификацию по паролю

[SSH Server] aaa
[SSH Server-aaa] local-user client001 password irreversible-cipher <password string>
[SSH Server-aaa] local-user client001 level 3
[SSH Server-aaa] local-user client001 service-type ssh
[SSH Server-aaa] quit
[SSH Server] ssh user client001 authentication-type password

SSH Server] stelnet server enable
[*SSH Server] commit

Финальный штрих: настраиваем service-tupe для пользователя client001

SSH Server] ssh user client001 service-type stelnet
[*SSH Server] commit

Настройка завершена. Если вы все сделали верно, то можно подключиться к коммутатору по локальной сети и продолжить работу.

Больше подробностей по настройке SSH можно найти в документации Huawei — первая и вторая статья.

Настройка базовых параметров системы

В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.

1. Настройка системного времени и его синхронизация по NTP.

Для настройки времени локально на коммутаторе можно использовать следующие команды:

clock timezone <time-zone-name> <offset>
clock datetime [ utc ] HH:MM:SS YYYY-MM-DD

Пример настройки времени локально

clock timezone MSK add 03:00:00
clock datetime 10:10:00 2020-10-08

Для синхронизации времени по NTP с сервером вводим следующую команду:

ntp unicast-server <ip-address сервера времени> [ version number | authentication-keyid key-id | source-interface interface-type

Пример команды для синхронищации времени по NTP

ntp unicast-server 88.212.196.95
commit

2. Для работы с коммутатором порой требуется настроить как минимум один маршрут - маршрут по умолчанию или default route. Для создания маршрутов используется следующая команда:

ip route-static ip-address

Пример команды для создания маршрутов:

system-view
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
commit

3. Настройка режима работы протокола Spanning-Tree.

Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:

stp mode stp | rstp | mstp | vbst > — в этой команде выбираем нужный нам режим. Режим по умолчанию: MSTP. Он же является рекомендуемым режимом для работы на коммутаторах Huawei. Обратная совместимость с RSTP имеется.

system-view
stp mode mstp
commit

4. Пример настройки порта коммутатора для подключения конечного устройства.

Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10

[SW] interface 10ge 1/0/3
[SW-10GE1/0/3] port link-type access
[SW-10GE1/0/3] port default vlan 10
[SW-10GE1/0/3] stp edged-port enable
[*SW-10GE1/0/3] quit

Обратите внимание на команду “stp edged-port enable” - она позволяет ускорить процесс перехода порта в состояние forwarding. Однако, не стоит использовать эту команду на портах, к которым подключены другие коммутаторы.

Также, может быть полезна команда “stp bpdu-filter enable”.

5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.

[SW] interface eth-trunk 1
[SW-Eth-Trunk1] port link-type trunk
[SW-Eth-Trunk1] port trunk allow-pass vlan 10
[SW-Eth-Trunk1] mode lacp-static (или можно использовать lacp-dynamic)
[SW-Eth-Trunk1] quit
[SW] interface 10ge 1/0/1
[SW-10GE1/0/1] eth-Trunk 1
[SW-10GE1/0/1] quit
[SW] interface 10ge 1/0/2
[SW-10GE1/0/2] eth-Trunk 1
[*SW-10GE1/0/2] quit

Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.
Проверить состояние агрегированного линка можно командой “display eth-trunk”.

Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки.

Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.
Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.

Читайте также:

  
• Gigabyte x570 aorus pro обзор
  
• Hp elitepad 900 обзор
  
• Как оплатить аккаунт разработчика apple
  
• Как проверить картридж hp
  
• Lenovo x230 не включается