Настройка syslog huawei 5720
Обновлено: 06.07.2024
В данной статье хочу разобрать базовую настройку коммутатора на примере.
Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.
- Подключения к уровню распределения агрегированным интерфейсом LACP
- Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
- Отдельный VLAN для сети принтеров и МФУ
- Подключение WI-FI точек trunk портом c PVID management VLAN
- Использование механизма DHCP snooping во всех VLAN
переходим в режим конфигурации:
Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:
Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:
Теперь перейдем к VLAN, создаем VLAN для management:
включим в этом VLAN DHCP snooping
выходим из настройки VLAN
C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:
назначаем пользователю уровень привилегий (15 самый высокий):
включаем доступ по SSH для пользователя:
отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):
Теперь перейдем к включению SSH на устройстве:
Создаем пару ключей для SSH:
Включаем доступ по SSH на линиях:
Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:
Настраиваем шлюз по умолчанию:
затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:
указываем протокол LACP:
После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :
С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.
Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:
Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:
В качестве untagged VLAN и PVID указываем тот что используется для ПК:
т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)
наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:
Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:
Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.
На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl+Z и дав команду save:
В эфире очередной выпуск рубрики «Советы инженерам».
И сегодня у нас в гостях заслуженный коммутатор Китая, обладатель почетного звания «Достойная замена модели Cisco 2960S-24-PWR», лидер линейки Huawei по соотношению «функционал/цена» — коммутатор Huawei S5720-52X-PWR-SI V2R9SPC500.
48GE PoE+, 4*10GE портов.
SI версия поддерживает L3 маршрутизацию, включая RIP и OSPF.
Версия ПО V200R009C00SPC500.
Мощность блока питания 500Вт, для PoE доступно 370.
Стекирование возможно через 1/10GE Uplinks.
Интерфейсы 10GE поддерживают практически любые трансиверы, в том числе SNR.
Поддерживается управление через web интерфейс и CLI (telnet, ssh v2), SNMP v2c/v3, централизованное через eSight.
А речь сегодня пойдет о нашем опыте использования S5720 в качестве коммутатора доступа для подключения рабочих мест и IP-телефонов.
Изначально мы заложили определённую избыточность, т.к. для этой задачи достаточно более дешевой линейки коммутаторов S5700-LI, но с прицелом на будущее применение, была взята именно эта модель, и это оправдалось — к концу тестирования неожиданно понадобился роутинг.
Но, давайте ближе к делу — что удалось выяснить о S5720 и проверить на практике?
Опыт первый. VLAN
Созданы VLAN для офисной сети и для телефонов. Настроены «транки» и пользовательские порты. Включен LLDP.
Для работы Voice VLAN порты настраиваются в режиме «hybrid». IP-телефоны Yealink имеют возможность получения настроек по LLDP, чем мы успешно и воспользовались.
После конфигурирования пользовательский трафик остался в офисной сети, а голосовой переместился в Voice VLAN. При этом дополнительной настройки телефонов и рабочих мест не потребовалось, что очень удобно при миграции.
Включение LLDP позволяет выделять PoE в соответствии с требованиями подключенного устройства и экономно расходует бюджет мощности коммутатора.
Вопросов при настройке маршрутизации не возникло — всё работает. Базовые настройки маршрутизации:
Аутентификация peer не проверялась. В целях ускорения сходимости были настроены нестандартные тайминги (так называемый «LAN-based design»). В качестве «neighbor» успешно использована ASA5512 — работает.
Не обошлось и без нюансов: несмотря на то, что серия SI поддерживает динамический роутинг, он возможен только между интерфейсами Vlan (Vlanif). Т.е. порт нельзя перевести в режим L3 и назначить ему IP-адрес. Это возможно только для серий EI, HI.
Опыт второй. Безопасность
В качестве защиты от наиболее распространённых типов угроз мы настроили DHCP snooping, IP Source Guard, ARP security — все вместе это позволяет избежать некоторых типов атак, наиболее распространённых в офисной сети, в том числе и непреднамеренных.
Не секрет, что для администраторов становится головной болью появление в сети нелегального DHCP-сервера. DHCP snooping как раз таки призван решить эту проблему, т.к. раздача адресов в этом случае возможна только из доверенного порта, на остальных же она заблокирована.
На базе DHCP snooping работают функуции IP Source Guard и ARP security, защищающие от подделки IP и MAC адресов. Здесь суть в том, что работа возможна только с адресом полученным по DHCP, а связка «порт—IP—MAC» создается и проверяется автоматически.
Данная настройка убережет нас, если кто-то захочет использовать чужие IP-MAC, или организовать атаку типа MITM-атаку («Man-in-the-Middle»).
Третий тип возможных угроз — это атаки на STP. Здесь в качестве защиты на пользовательских портах включена фильтрация BPDU (то есть никакие STP-фреймы не отправляются пользователю и не принимаются от него).
Кроме того, ведёртся контроль появления посторонних BPDU stp bpdu-protection, что возможно при подключении другого коммутатора или атаки на stp root.
Активированная опция «stp edge-port enable» исключает порт из расчёта STP, уменьшая время сходимости и нагрузку на коммутатор.
Комбинация stp bpdu-protection и stp edge-port enable, аналогична Cisco spanning-tree portfast.
Собственно, примеры конфигурации:
vlan 2
name office
dhcp snooping enable
dhcp snooping check dhcp-request enable
dhcp snooping check dhcp-rate enable
arp anti-attack check user-bind enable
ip source check user-bind enable
vlan 3
name guest
dhcp snooping enable
dhcp snooping check dhcp-request enable
dhcp snooping check dhcp-rate enable
arp anti-attack check user-bind enable
ip source check user-bind enable
vlan 4
name voice
dhcp snooping enable
dhcp snooping check dhcp-request enable
dhcp snooping check dhcp-rate enable
arp anti-attack check user-bind enable
ip source check user-bind enable
interface GigabitEthernet0/0/1
port link-type hybrid
voice-vlan 4 enable
port hybrid pvid vlan 2
port hybrid tagged vlan 4
port hybrid untagged vlan 2
stp root-protection
stp bpdu-filter enable
stp edged-port enable
trust dscp
stp instance 0 root primary
stp bpdu-protection
Опыт третий. Администрирование
Выполнена настройка административной части, к которой относятся NTP, SNMP, AAA, Radius.
Выяснилось, что можно активировать до 16 линий VTY, тогда как по умолчанию только 5.
И, собственно, некоторые удобства администрирования.
user-interface maximum-vty 15
user-interface con 0
authentication-mode aaa
history-command max-size 20
screen-length 40
user-interface vty 0 14
authentication-mode aaa
history-command max-size 20
idle-timeout 30 0
screen-length 40
Что важно отметить ещё?
Для доступа по SSH необходимо добавление именно пользователей SSH, кроме пользователя в разделе ААА.
Ключи RSA уже сгенерированы, но если меняли имя и домен на коммутаторе, то рекомендуем сгенерировать ключи заново.
По умолчанию версия ssh v1 отключена, но при необходимости её можно включить (хотя мы не рекомендуем делать этого).
stelnet server enable
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type ssh
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] quit
[HUAWEI] ssh user admin123 authentication-type password
Также нам удалось настроить аутентификацию администраторов через Radius.
Необходимо отметить, что для администраторов используется схема под названием domain default_admin!
domain default_admin
authentication-scheme default
accounting-scheme Radius
service-scheme Admin
radius-server Radius
Опыт четвертый. Замена сертификата устройства на действительный
«До кучи» мы решили заменить заводской, самовыписанный сертификат на действительный ( благо есть свой валидный сертификат для подписи).
Импорт сертификата возможен только из CLI.
Столкнулись с тем, что ключи и сертификат должны быть отдельно, несмотря на то, что формат «pfx» позволяет экспортировать закрытый ключ в составе сертификата.
Более того, если вы пытаетесь импортировать цепочку из сертификатов, то первым обязательно должен быть записан сертификат устройства, а потом все остальные (например, промежуточные CA).
При стандартном экспорте в pem, сначала в файле идут сертификаты CA и только в конце сертификат устройства.
Для работы импорта, файлы сертификата на устройстве необходимо поместить в папку security на flash. Эта папка по умолчанию отсутствует её нужно создавать.
Представляем вашему вниманию пошаговый алгоритм:
1. Сгенерировать сертификат на внешнем CA.
2. Экспортировать отдельно сертификат или цепочку и закрытый ключ.
3. Если это цепочка — открыть файл сертификата блокнотом и перенести последний блок (сертификат устройства) в начало файла, сохранить.
4. На коммутаторе создать папку mkdir flash:/security
5.Поместить в папку файл сертификата и ключ tftp 192.168.0.1 chain-servercert.pem /security/chain-servercert.pem
После этого, согласно инструкции, создать политику и выполнить импорт.
В итоге экспорт прошёл успешно, и web-интерфейс использует достоверный сертификат.
Примечание: посмотрите на картинку выше R1-R6 Я не устанавливаю между ними полное соединение, а только устанавливаю отношения соседства с маршрутизаторами, напрямую подключенными к сегменту сети, а затем R2 с участием R5 Отражатель маршрута
R2(config-router) bgp cluster-id 10 // В сети есть два маршрутизатора, отражатель [R2 с участием R3 против R5 с участием R6 Отражатель маршрута ] Чтобы указать, когда cluster-id Из и id Цифры такие же
R2(config-router) neighbor 3.3.3.3 route-reflector-client // Укажите клиента как R3 ( R2 с участием R3 Направленный отражатель)
в R1 с участием R7 Ознакомьтесь с их соответствующими объявлениями
2、 sh ip bgp summary // Просмотр информации таблицы соседей
3、 sh ip bgp neighbors ipv4-address advertised-routes // Просмотреть маршруты, объявленные соседям
Как показано на рисунке ниже, для лучшего понимания имен хостов, связанных между собой. IP адрес( C Адрес класса /30 Маска)
синий Региональный Area1, зеленый Региональный Area2 , Между ними есть ISIS Соглашение. R7 против R8 Сделайте это между ISIS Но не R3 с участием R6 Объявлено там ( R3 против R7 、 R6 против R8 Беги между ними EBGP из)
Следующая команда: 0 0 Означает, что он никогда не истечет и никогда не вернется в исходное состояние в любое время.
R1 Файл конфигурации на ( R4 Конфигурация и R1 Похожий на немного)
R2 Файл конфигурации на ( R5 Конфигурация и R2 Похожий на немного)
import-route isis level-2 into level-1 (Эта команда должна быть выдана не позднее Этот BGP Не могу научиться EBGP Рекламируемый маршрут) // воля level-2 Маршруты, импортированные в level-1 в. Эта команда настроена в Level-1-2 На роутере. По умолчанию, Level-2 Информация о маршруте не публикуется в Level-1 Площадь
undo import-route isis level-1 into level-2 // Не буду Level-1 Информация о маршруте публикуется в Level-2 в. Эта команда настроена в Level-1-2 На роутере. По умолчанию, Level-1 Информация о маршруте будет опубликована в Level-2 Площадь.
R3 Файл конфигурации на ( R6 Конфигурация и R3 Похожий на немного)
R7 Файл конфигурации на ( R8 Конфигурация и R7 Похожий на немного)
Примечание: посмотрите на картинку выше R1-R6 Я не устанавливаю между ними полное соединение, только устанавливаю отношения соседства с маршрутизаторами, напрямую подключенными к сегменту сети, а затем R2 с участием R5 Отражатель маршрута
[Huawei-bgp]undo synchronization // Отключить синхронизацию
[Huawei-bgp]router-id 1.1.1.1 // Конфигурация BGP из Router ID
[Huawei-bgp] peer 2.2.2.2 as-number 65001 // Назначенный партнер IP Адрес и которому он принадлежит AS Нумерация
[Huawei-bgp] peer 2.2.2.2 connect-interface loo0 // Источник обновлений
[Huawei-bgp] peer 1.1.1.1 as-number 65001 // Назначенный партнер IP Адрес и которому он принадлежит AS Нумерация
[Huawei-bgp] reflector cluster-id 2 // Настроить кластер отражателя маршрута ID
[Huawei-bgp] peer 3.3.3.3 reflect-client // Назначенный клиент
[Huawei-bgp] undo synchronization // Отключить синхронизацию
[Huawei-bgp] peer 6.6.6.6 next-hop-local // Укажите, что следующий переход - это вы сами
[Huawei-bgp] peer 7.7.7.7 ebgp-max-hop 2 // Два AS Соседи, построенные с портами обратной петли, должны изменить количество своих соседей на 2 , По умолчанию 1
[Huawei] ip route-static 7.7.7.7 255.255.255.255 192.168.37.2 // Два AS Статическая маршрутизация
[Huawei-bgp] reflector cluster-id 2 // Настроить кластер отражателя маршрута ID
[Huawei-bgp] peer 6.6.6.6 reflect-client // Назначенный клиент
[Huawei-bgp] peer 8.8.8.8 ebgp-max-hop 2 // Два AS Соседи, построенные с портами обратной петли, должны изменить количество своих соседей на 2 , По умолчанию 1
[Huawei] ip route-static 8.8.8.8 255.255.255.255 192.168.68.2 // Два AS Статическая маршрутизация
[Huawei-bgp] peer 3.3.3.3 ebgp-max-hop 2 // Два AS Соседи, построенные с портами обратной петли, должны изменить количество своих соседей на 2 , По умолчанию 1
[Huawei-bgp] aggregate 192.168.0.0 255.255.252.0 detail-suppressed // Настроить агрегацию маршрутов вручную aggregate , detail-suppressed Это подавить рекламу подробной маршрутизации
[Huawei-bgp] network 192.168.0.0 255.255.252.0 // Рекламируйте этот объединенный маршрут
[Huawei] ip route-static 192.168.0.0 255.255.252.0 NULL0 // Рекламируйте агрегированные маршруты, потому что суммированные вручную 192.168.0.0 Не существует в таблице маршрутизации, его нужно добавить в NULL 0 Может быть в bgp Используйте вышеуказанное в процессе network Рекламировать этот маршрут
[Huawei] ip route-static 3.3.3.3 255.255.255.255 192.168.37.1 // Два AS Статическая маршрутизация
[Huawei-bgp] peer 6.6.6.6 ebgp-max-hop 2 // Два AS Соседи, построенные с портами обратной петли, должны изменить количество своих соседей на 2 , По умолчанию 1
[Huawei] ip route-static 6.6.6.6 255.255.255.255 192.168.68.1 // Два AS Статическая маршрутизация
3 、 diplay bgp peer ipv4-address verbose // Посмотреть bgp Сосед ( Сверстник ) детали
4 、 display bgp paths // Посмотреть AS Информация о пути
5 、 display bgp network // Посмотреть bgp Информация о маршрутизации выпущена (в моей топологии находится в R7 Объявлено, так что в R7 (Используйте эту команду на)
7 、 display bgp routing-table peer ipv4-address advertised-routes // Посмотреть bgp Маршруты, рекламируемые (рекламируемые) партнером
8 、 display bgp routing-table peer ipv4-address received-ro utes // Посмотреть bgp Информация о маршрутизации, полученная партнером
9 、 display ip routing-table (verbose) // Просмотр информации таблицы маршрутизации
10 、 dis current-configuration // Просмотр текущих команд конфигурации
После отладки он должен быть выполнен вовремя undo debugging all Команда выключения переключателя отладки
Подключение к консоли коммутатора
Т.к. в моем ультрабуке нет ни Ethernet порта, ни тем более COM порта я использовал свой адаптер QinHeng Electronics HL-340 USB-Serial adapter (Device 005: ID 1a86:7523). Радует он меня тем, что при подключении по USB сразу даёт вирутуальный COM-порт и не требует никаких драйверов ни под Windows, ни под Linux.
Для подключения использую gtkterm
Configuration -> Port:
Port: /dev/ttyUSB0
Baud rate: 9600
Parity: none
Bits: 8
Stop bits: 1
Flow control: none
После первого подключения возника проблема с тем, что оооочен сильно тормозила консоль. Потом выяснилось, что всемы виной консольный COM -> RJ45 кабель. Заменили его на Cisco-вский, и всё завелось.
Настройка hostname и IP адреса
Для смены hostname воспользуйтесь командой:
<Quidway>system-view
[Quidway]interface vlanif1
[Quidway-vlanif1]ip address 172.20.0.47 21
[Quidway-vlanif1]quit
Новый адрес применяется сразу, и в отличии от CISCO здесь не надо перезагружать интерфейс.
Настройка SNMP
У коммутаторов Huawei есть две особенности, о которых надо помнить, настраивая snmp. Во первых, если у вас включен snmp v3, то snmp v2c работать не будет. Во-вторых для snmp v2c при настройке на коммутаторе в консоле имя community надо указывать в кавычках, и в мониторилке (например Dude) оно тоже должно быть указано в кавычках (использовал двойные кавычки).
[Quidway]acl number 2100
[Quidway-acl-basic-2100]rule 1 permit source 172.20.0.33 0.0.0.0 // for one ip
Опционально можно добавить контактные данные в snmp.
[Quidway]snmp-agent sys-info contact X Division
[Quidway]snmp-agent sys-info location Kremlin
Настройка ssh
Генерим ключи, добавляем юзера, даём юзеру доступ к сервисам ssh(stelnet)+telnet.
[Quidway] rsa local-key-pair create
[Quidway]aaa
[Quidway-aaa]local-user admin password cipher YOURPASSWORD
[Quidway-aaa]local-user admin privelege level 3
[Quidway-aaa]local-user admin service-type ssh telnet
[Quidway-aaa]quit
[Quidway]stelnet server enable
[Quidway]ssh user admin authentication-type password
[Quidway]ssh user admin service-type stelnet
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa
[Quidway-ui-vty0-4]protocol inbound ssh
Поднимаем веб-интерфейс
Файл с веб-интерфейсом (скрипты, js, css и т.д.) должен лежать в виде архива на устройстве. Просмотреть, что там лежит можно командой dir.
В моем случае у коммутатора было два вида интерфейса: classic (а-ля привет 90-е) и easyOperation (более-менее юзабельный). Можете сами визуально сравнить их.
Это classic интерфейс
А вот это EasyOperation
Почувствуйте разницу 🙂 Хотя лучш все равно в консоле.
Таблица аналогов CISCO-вских команд у HUAWEI
CISCO | HUAWEI |
ping | ping |
traceroute | tracert |
show | display |
show interfaces | display interface |
Show ip route | display routing-table |
Show ip interface | Display ip interface |
Show version | Display version |
Show ip bgp | Display bgp routing-table |
Show clock | Display clock |
Show port | Display port-mapping |
Show flash | dir flash: (on user view mode) |
Show logging | Display logbuffer |
Show snmp | Display snmp-agent statistics |
Show frame-relay pvc | Display fr pvc-info |
Show users | Display users |
Show terminal length | screen-length disable |
undo screen-length disable | |
enable | Super |
disable | Super 0 (number is privilege level from 0 to 3, where 3 is default and equivalent to “enable” on Cisco) |
Conf t | System-view |
exit | quit |
end | return |
Show policy-map interface | Display qos policy interface |
send | send (on user view mode) |
write terminal (sh run) | display current-configuration |
Sh startup | Display saved-configuration |
[no equivalent: shows the files used for startup] | Display startup |
Write erase | Reset saved-configuration |
Write mem (or wr or copy run start) | save |
clear counters | reset (on user view mode) |
Reset counters interface | |
? | ? |
telnet | telnet |
Enable secret (conf mode) | Super pass cipher (system mode) |
Term mon | term debu |
clock | clock |
no | undo |
debug / no debug | debugging / undo debugging |
copy running-config | Save safely |
terminal monitor | terminal monitor |
terminal length | screen-length disable |
undo screen-length disable | |
terminal no monitor | undo terminal monitor |
clear counters | reset counters interface |
clear interface | reset counters interface |
clear crypto | ipsec sa |
ike sa | |
clear access-list counters | reset acl counter all |
reload | reboot |
shutdown | shutdown |
boot | boot bootrom |
Aaa | hwtacacs scheme |
terminal no monitor | undo terminal monitor |
tacacs-server | hwtacacs scheme (in conf command) |
snmp-server | tftp-server (in conf command) |
router bgp | bgp |
Router rip | rip |
ip tacacs | hwtacacs nas-ip (this command doesn’t exist . ) |
mtu | Mtu (this command doesn’t exist . ) |
clear ip cef | reset ip fast-forwarding |
clear ip route * | reset ip routing-table statistics protocol all |
Clear ip bgp | Reset bgp all |
Show tech | display diagnostic-information |
Sh ip nat translation | Display nat session |
Show Controller | display controller (but not relevant for non-modular chassis) |
show dsl int atm 0 | display dsl status interface Atm 2/0 |
sho atm pvc | Display atm pvc-info |
debug pvc nego | Debug atm all (very dangerous – might crash router) |
sho crypto isakmp sa | Display ike sa |
sho crypto isakmp key | Display ike peer |
sho crypto isakmp police | Display ike proposal |
Ссылки
Спасибо!
Если вам помогла статья, или вы хотите поддержать мои исследования и блог - вот лучший способ сделать это:
Как вариант просканировать сеть и по ARP таблице посмотреть по MAC адресам. В начале MAC адреса идёт префикс вендора.
Базовая настройка коммутатора Huawei Quidway Печать
Изменено: Чт, 14 Июл, 2016 at 9:58 AM
Сетевое оборудование компании Huawei занимает все более прочные позиции на российском рынке. Тем не менее, у многих системных администраторов еще недостаточно опыта для его качественной настройки. Статья по базовой настройке коммутаторов Huawei Quidway призвана восполнить данный пробел.
В статье мы рассмотрим настройку коммутатора Huawei Quidway S2309TP-SI с версией прошивки V100R005C01SPC100.
Настройку произведем в соответствии с топологией изображенной ниже сети. В конце статьи вы сможете скачать файл конфигурации для использования в вашем коммутаторе.
Топология тестовой сети
Как видно на приведенной схеме, тестовая сеть содержит два vlan.
vlan 1 - выделенная логическая сеть для управления оборудованием. Используемая подсеть 192.168.1.0 / 24. Шлюз 192.168.1.1, коммутатору Quidway присвоен IP адрес 192.168.1.4.
vlan 2 - выделенная логическая сеть для предоставления сервиса конечным пользователям (в нашем случае, "сервисная" подсеть не имеет терминации на Quidway, поэтому используемая в ней адресация не важна).
На коммутаторе Huawei Quidway s2300 используем порт GigabitEthernet0/0/1 как входящий магистральный порт, порты Ethernet0/0/1 - Ethernet0/0/8 используем для подключения конечных пользователей.
Общие настройки Huawei Quidway
Настройка имени устройства
Настройка даты и времени
Настройка времени и даты на коммутаторе выполняется не в привилегированном режиме. Необходимо указать часовой пояс и, непосредственно, дату и время
Проверка установленных даты и времени производится с помощью команды display clock
Отключение неиспользуемых сервисов
Мы не планируем организовывать кластер из коммутаторов Quidway, поэтому отключаем кластерные функции и протоколы NDP (Neighbor Discovery Protocol - используется в кластере для сбора информации о подключенных соседях) и NTDP (Network Topology Discovery Protocol - используется для построения топологии в кластере).
Настройка доступа на Huawei Quidway
Настройка правил аутентификации и авторизации
Настройки аутентификации и авторизации оставляем без изменения:
Настройка учетной записи
Добавляем пользователя huawei. Задаем для пользователя пароль, указываем допустимый уровень привилегий и используемый сервис. В нашем случае, указываем сервис ssh. Небезопасный протокол telnet не используем. Также, отключаем созданного по умолчанию пользователя admin.
Настройка удаленного управления по SSH
В моей предыдущей статье уже была подробно описана настройка SSH на коммутаторах Huawei Quidway, поэтому в данном пункте я лишь кратко приведу пункты конфигурации.
Настройка подключения по консоли
Для подключения к Quidway по консоли используем локальную аутентификацию. Задаем
подключившемуся пользователю максимальный приоритет. Устанавливаем время простоя сессии в 30 минут.
Настройка SFTP сервера для доступа к файлам во flash памяти коммутатора
Для безопасного доступа к flash памяти Huawei Quidway по SFTP необходимо настроить доступ по SSH как описано выше и включить SFTP сервер на коммутаторе. В нашем примере, для доступа по SFTP используется учетная запись huawei (совпадает с учетной записью для доступа по SSH).
Настройка VLAN и портов в Huawei Quidway.
Создание VLAN
Создаем на Quidway два vlan и указываем их название. Как уже указывалось выше, в vlan 1 будем осуществлять управление коммутатором, в vlan 2 будет предоставляться сервис.
Cоздание интерфейса vlanif для удаленного управления
Создаем виртуальный интерфейс Vlanif 1 и назначаем ему ip адрес. Интерфейс будет
использоваться для удаленного доступа на коммутатор.
Настройка магистрального порта
В магистральном порту прокидываем два vlan в тэгированном виде. Для этого переводим порт в режим trunk и разрешаем прохождение vlan 1 и 2. При просмотре конфигурации порта командой display configuration interface GigabitEthernet0/0/1, vlan 1 не отображается.
Настройка пользовательских портов
Последовательно настраиваем порты Ethernet0/0/1 - Ethernet0/0/8, которые будут использоваться для предоставления сервиса конечным пользователям. Для примера приведу конфигурацию порта Ethernet0/0/1. Для остальных портов она будет аналогична. Переводим порт в режим access, чтобы метка тэга vlan снималась на порту при отправке их конечному устройству. Добавляем Vlan 2.
После настройки коммутатора Huawei Quidway, не забудьте сохранить конфигурацию при помощи команды save (выполняется в непривилегированном режиме). В противном случае, все выполненные настройки будут потеряны при перезагрузке коммутатора.
Файл конфигурации Huawei Quidway
Ниже приведен файл конфигурации для коммутатора Huawei Quidway S2309TP-SI, соответствующий описанным выше настройкам. В приведенной конфигурации используется логин huawei и пароль Huawei123. В моей предыдущей статье вы можете прочитать про то, как безопасно подменять файл конфигурации на коммутаторах Huawei Quidway.
Файл конфигурации Huawei Quidway S2309TP-SI: vrpcfg.zip
Итак, в статье мы рассмотрели базовую настройку коммутатора Huawei Quidway s2300. Приведенная конфигурация, при необходимости, масштабируется на другие коммутаторы семейства Huawei Quidway.
Если у вас остались какие-нибудь вопросы - задавайте их в комментариях, я обязательно постараюсь на них ответить. Приятной работы!
Читайте также: