Отключить stp на порту huawei

Обновлено: 07.07.2024

😪Мы тщательно прорабатываем каждый фидбек и отвечаем по итогам анализа. Напишите, пожалуйста, как мы сможем улучшить эту статью.

Настройка имени хоста

Настройка системного времени

По умолчанию устройства Huawei используют Coordinated Universal Time (UTC). Чтобы указать другой часовой пояс для устройства, выполните команду сlock timezone time-zone-name offset. Вы можете назвать часовой пояс в параметре time-zone-name и указать, является ли смещение часового пояса к UTC положительным (add offset) или отрицательным (minus offset).

После установки часового пояса выполните команду clock datetime HH:MM: SS YYYY-MM-DD для установки времени и даты. Параметр HH:MM:SS задает время в 24-часовом формате, а YYYY-MM-DD-дату. (Устройства Huawei поддерживают только 24-часовой формат.) Например, чтобы установить время и дату 18: 30 10 марта 2021 года, выполните следующую команду:

Задание IP-адреса на устройстве

Для входа в систему, вы можете использовать Telnet . Однако Telnet требует, чтобы на интерфейсе устройства был установлен IP-адрес. Для присвоения IP-адреса, выполните команду ip-address в интерфейсном виде.

Больше про Хуавей: b535 на АлиЭкспресс — купить онлайн по выгодной цене

Длина двоичной записи маски подсети равна 24 (255.255.255.0 эквивалентна двоичному значению 11111111.11111111.11111111.00000000), поэтому в этом примере вы можете заменить 255.255.255.0 на 24.

Глобальные команды, режимы работы, cходства и различия с cli cisco.


Оборудование HUAWEI, построенное на базе операционной системы VRP, имеет cisco-like интерфейс командной строки. Принципы остаются теми же самыми, меняется только синтаксис.

В CLI оборудования HUAWEI существуют 2 режима командного интерфейса:

Настройка eth-trunk

Настройка stp

Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI.

Для включения STP на коммутаторе необходимо в режиме system-view ввести команду


По умолчанию, приоритет коммутатора HUAWEI, так же как и коммутатора Cisco равен 32768.

Просмотр информации о текущем состоянии портов:

Видно, что один из портов заблокирован, т. к. приоритет коммутатора Cisco оказался больше.Просмотр глобальной информации об STP:

Изменим приоритет коммутатора HUAWEI. Сделаем его наименьшим: 4096.

Посмотрим, что порт разблокировался:

Общая информация об STP:

Нотносительная нумерация

Больше про Хуавей: Самые актуальные программаторы 2021 года • ТЫЖПРОГРАММИСТ

Нумерация интерфейса пользователя.

Когда пользователь входит в устройство, устройство выделяет пользователю самый низкий пронумерованный простой пользовательский интерфейс в соответствии с используемым методом входа в систему. Пользовательские интерфейсы нумеруются либо относительно, либо абсолютно.

Проверка подлинности ааа

Этот режим требует правильного сочетания имени пользователя и пароля. Использование комбинации имени пользователя и пароля повышает безопасность по сравнению с проверкой подлинности паролем. Кроме того, пользователи дифференцированы и не влияют друг на друга во время проверки подлинности. Проверка подлинности AAA обычно используется для входа по Telnet из-за ее повышенной безопасности.

Проверка подлинности паролем

Этот режим используется по дефолту и требует от пользователей ввода правильного пароля для входа в систему. Если пароль не настроен, вход в систему будет запрещен.

Проверка подлинности пользователя.

Для гарантированного входа авторизованным пользователям, устройство поддерживает проверку подлинности паролем и проверку подлинности AAA. Так же можно входить и без проверки подлинности.

Режимы работы портов


Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk.

Создание vlan

Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.

Статическая маршрутизация


Статические маршруты прописываются точно так же, как на оборудовании Cisco:

Просмотр таблицы маршрутизации:

На этом всё.Если уважаемое сообщество заинтересуется материалом, планирую продолжить освещать настройку оборудования HUAWEI. В следующей статье рассмотрим настройку динамической маршрутизации.

При добавлении записей в таблицу MAC-адресов порт, указанный параметром интерфейса в команде, должен принадлежать к VLAN, указанной параметром vlan, в противном случае добавление не будет выполнено.
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.
② Добавить запись в таблицу MAC-адресов в представлении порта Ethernet.

При добавлении записи в таблицу MAC-адресов текущий порт должен принадлежать VLAN, указанной параметром vlan в команде, в противном случае добавление завершится неудачно;
Если VLAN, указанная параметром vlan, является динамической VLAN, после добавления статического MAC-адреса она автоматически станет статической VLAN.

Примечание: По умолчанию время устаревания записей таблицы MAC-адресов составляет 300 секунд.Если используется параметр no-ageing, это означает, что записи таблицы MAC-адресов не будут устаревать.
③ Конфигурация времени устаревания MAC-адреса действует для всех портов, но функция устаревания адреса работает только с динамическими (изученными или настраиваемыми пользователем) записями MAC-адресов.

Примечание. По умолчанию нет ограничений на количество MAC-адресов, полученных портом. И наоборот, если для порта включены функции аутентификации MAC-адреса и безопасности порта, вы не можете настроить максимальное количество MAC-адресов, полученных для порта.

10. Конфигурация GVRP.

11. Конфигурация DLDP.

① Когда оптоволокно перекрестно, два или три порта могут находиться в отключенном состоянии, а остальные порты находятся в неактивном состоянии.
② Когда один конец оптического волокна подключен правильно, а другой конец не подключен:
Если рабочий режим DLDP нормальный, то конечный приемный световой сигнал находится в состоянии объявления, а конечный, не получающий световой сигнал, находится в неактивном состоянии.
Если рабочий режим DLDP является улучшенным, индикатор на конце приема находится в состоянии «Отключено», а конец, не получающий свет, находится в состоянии «Неактивно».
③ Команда dldp reset может сбросить статус DLDP всех портов в глобальном масштабе, а также может повторно зарядить статус DLDP порта под интерфейсом.

12. Конфигурация изоляции порта.
① С помощью функции изоляции портов пользователи могут добавлять порты, которыми необходимо управлять, в группу изоляции, чтобы реализовать изоляцию данных второго и третьего уровня между портами в группе изоляции, что улучшает Для повышения безопасности сети он также предоставляет пользователям гибкое сетевое решение.

② После настройки группы изоляции не могут обмениваться данными только пакеты между портами в группе изоляции.Связь между портами в группе изоляции и портами за пределами группы изоляции не будет затронута.
③ Функция изоляции порта не имеет ничего общего с VLAN, к которой принадлежит порт Ethernet.
④ Когда порт в группе агрегации присоединяется к группе изоляции или покидает ее, другие порты в той же группе агрегации на этом устройстве автоматически присоединяются или покидают группу изоляции.
⑤ Для группы портов, которые одновременно входят в группу агрегации и группу изоляции, когда один из портов покидает группу агрегации, другие порты не будут затронуты, то есть другие порты останутся в исходном состоянии. В группе агрегации и исходной группе изоляции.
⑥ Если порты в группе агрегации принадлежат к группе изоляции одновременно, когда группа агрегации удаляется непосредственно в системном представлении, порты в группе агрегации по-прежнему будут в группе изоляции в.
⑦ Когда порт в группе изоляции присоединяется к группе агрегации, все порты в группе агрегации автоматически добавляются в группу изоляции.

13. Конфигурация безопасности порта.

Привяжите MAC-адрес и IP-адрес узла 1 к порту Ethernet1 / 0/1.
Конфигурация привязки на некоторых переключателях отличается

② Включите переключатель отладочной информации функции BFD на Qw_A.

③ На Qw_A вы можете включить переключатель отладочной информации функции BFD, отключить связь между Hub и Qw_B и проверить результат конфигурации. Результат проверки показывает, что
④ Qw_A может быстро определить изменение связи между Qw_A и Qw_B.

Инкапсулируйте пакеты из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

Инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Настройте базовую функцию QinQ порта для инкапсуляции пакетов из VLAN 10 с помощью внешнего тега с идентификатором VLAN ID 1000.

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

Настройте порт как магистральный и разрешите прохождение пакетов от VLAN1000 и VLAN2000.

Для связи с устройствами в общедоступной сети значение TPID, используемое при настройке порта для добавления внешнего тега, равно 0x8200.

Настройте базовую функцию QinQ порта и инкапсулируйте пакеты из VLAN 20 с помощью внешнего тега с идентификатором VLAN 2000.

Настройка доступа по консоли

user-interface console 0

authentication-mode password

set authentication password cipher <password>

Настройка доступа по Telnet

user-interface vty 0 4 – задаем количество одновременных виртуальных сессий

authentication-mode password – задаем способ аутентификации ( по паролю, либо aaa )

set authentication password cipher <пароль> - задаем пароль и шифруем его

Spanning Tree Protocol

stp mode stp - выбираем режим работы stp

stp enable – активируем stp, команду можно давать глобально, либо на определенных интерфейсах

stp disable – деактивирует stp, команду можно давать глобально, либо на определенных интерфейсах

stp root primary – указываем кто будет рутом в топологии

stp root secondary – указываем второго по приоритету после рута

stp priority <priority> - указываем приоритет оборудования в топологии ( стандартное значение 32768 )

stp pathcost-standard <dot1d-1998/dot1t/legacy> - задаем способ расчета стоимости портов ( стандартный – dot1t )

stp port priority <priority> - указываем приоритет порта ( стандартное значение 128 )

stp port cost <cost> - указываем стоимость порта


display stp brief – показать информацию о stp

display stp instance 0 brief

RSTP

stp mode rstp - выбираем режим работы rstp

stp bpdu-protection – оборудование выключает edged-port на интерфейсе, если тот получит bpdu

stp root-protection – команда дается на designated портах, при получении лучшего bpdu порт коммутатора отбросит его

stp edged-port enable – команда дается на портах, к которым подключено конечное оборудование ( порт не будет принимать участие в расчете stp топологии ).

stp bpdu-filter enable – порт не будет принимать и отправлять bpdu ( используется в паре с предыдущей командой ).

stp loop-protection - технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding

MSTP

stp mode mstp - выбираем режим работы mstp

stp region-configuration – вход в режим конфигурации mstp

region-name <name> - задаем имя mstp региона.

instance <instance-id> vlan <vlan-id> to <vlan-id> привязываем нужные виланы к определенному инстансу ( например, instance 1 vlan 1 to 10 )

active region-configuration активируем конфигурацию mstp региона


display stp region-configuration показать информацию о mstp

Маршрутизация

Static routing

ip route-static <ip address> <mask | mask-length> [<interface-type> <interface-number> | <next hop address>] – создаем статический маршрут, например:

ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 0/0/1

ip route-static 192.168.1.0 24 10.1.1.1


ip route-static 0.0.0.0 0.0.0.0 <next hop address> - задаем маршрут по умолчанию

RIP

rip <process-id> - входим в режим конфигурирования ripпроцесса

version 2 – задаем версию rip ( по умолчанию стоит версия 1 )

network <network> – задаем какую сеть объявлять через процесс rip

default-route originate – анонсируем маршрут по умолчанию через rip

undo summary – выключем суммирование маршрутов

rip summary-address <network> <mask> - команда дается на интерфейсе, включаем суммирование маршрутов.

Следующие команды даются на интерфейсе:

rip metricin <value> - устанавливаем стоимость на порту для входящих маршрутов

rip metricout <value> - устанавливаем стоимость на порту для исходящих маршрутов

rip poison-reverse – механизм защиты от петель

rip split horizon – механизм защиты от петель, по умолчанию включен на оборудовании

Authentification RIP:

Команда дается на интерфейсе

rip authentification-mode simple [ <text> | cipher <text> ]

rip authentification-mode md5 usual [ <text> | cipher <text> ]

debug RIP:

debugging rip 1,

display debugging

terminal debugging

undo debugging rip 1 , либо

undo debugging all

Вывод информации о RIP:

display rip <process-id>

display rip <process-id> interface <interface>verbose

display rip 1 neighbor – показывает информацию о соседях

OSPF

Команды даются на интерфейсе - меняем cost, hello и dead таймеры, dr-priority:

ospf cost 20

ospf timer hello <number>

ospf timer dead <number>

ospf dr-priority <number>

silent-interface <interface> - команда дается в процессе ospf. Отключаем OSPF на порту, порт не будет принимать hello пакеты и не будет устанавливаться соседство.

Объявление маршрута последней надежды через OSPF

ip route-static 0.0.0.0 0.0.0.0 <interface>

ospf 1

default-route-advertise

Вывод информации об OSPF:

display ospf peer brief

display ospf 1 <interface>

display ospf peer – выводит информацию о сеседях ( area, интерфейс, адрес интерфейса, статус соседства, id, режим master или slave )

DHCP

dhcp interface pool configuration

dhcp enable

interface <interface-id>

dhcp select interface

dhcp server dns-list <ip address>

dhcp server excluded-ip-address <ip address>

dhcp server lease day x


display ip pool interface <interface-id>

dhcp global pool configuration

dhcp enable

ip pool pool <name>

network <network> mask <mask>

gateway-list <gateway ip address>

lease day x

interface <interface-id>

dhcp select global


display ip pool

dhcp relay

sysname dhcp server

dhcp enable

ip pool pool 1

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

interface GigabitEthernet0/0/0

ip address 10.10.10.1 255.255.255.252

dhcp select global

sysname dhcp relay

dhcp enable

dhcp server group 123

dhcp-server 10.10.10.1 0

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

dhcp select relay

dhcp relay server-select 123

Link Aggregation

L2 LAG

interface Eth-trunk 1 - создаем LAG группу

interface <port-type> <port-id>

eth-trunk 1 - добавляем интерфейс в созданную группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем второй интерфейс в созданную группу

L3 LAG

interface Eth-trunk 1 - создаем LAG группу

undo portswitch – переводим интерфейс в L3

ip address <ip-address> <mask>

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

LACP (link aggregation control protocol)

lacp priority <number> - команда дается глобально, чем меньше значение, тем выше будет приоритетLACP

int Eth-trunk 1 - создаем LAG группу

mode lacp-static – выбираем режим

lacp preference <number> - чем меньше значение, тем выше будет приоритет


display interface eth-trunk 1 - вывод информации об интерфейсе

Настройка VLAN

vlan batch <vlan-id> - создаем vlan

interface <port-type> <port-id>

port link-type access

port access default vlan <vlan-id>

interface <port-type> <port-id>

port link-type trunk

port trunk allow-pass vlan <vlan-id>

port link-type hybrid

port hybrid untagged vlan <vlan-id>

port hybrid tagged vlan <vlan-id>

port hybrid pvid vlan <vlan-id>

Создаем L3 интерфейс

interface Vlanif <vlan-id>

ip address <ip-address> <mask>

HDLC

interface serial 1/0/0

link-protocol hdlc

ip address <ip> <mask> - задаем адрес

ip unnambered int loopback 0 либо привязываем адрес с другого интерфейса, рекомендуется брать адрес loopback интерфейса


display ip interface brief

PPP

Настройка ppp c authentication-mode pap

R1

sysname BRAS

aaa

local-user huawei password cipher huawei

local-user huawei service-type ppp

interface serial 1/0/0

link-protocol ppp

ppp authentication-mode pap

ip address 10.0.0.1 30

R2

sysname pap_client

interface serial 1/0/0

link-protocol ppp

ppp pap local-user huawei password cipher huawei

ip address 10.0.0.2 30

Настройка ppp c authentication-mode chap

R1

sysname BRAS

aaa

local-user huawei password cipher huawei

local-user huawei service-type ppp

interface serial 1/0/0

link-protocol ppp

ppp authentication-mode chap

ip address 10.0.0.1 30

R2

sysname chap_client

interface serial 1/0/0

link-protocol ppp

ppp chap user huawei

ppp chap password cipher huawei

ip address 10.0.0.2 30

PPPoE

sysname BRAS

ip pool pool1

network 10.0.0.0 mask 255.255.255.0

gateway-list 10.0.0.254

interface virtual-template 1

ppp authentication-mode chap

ip address 10.0.0.254 24

remote address pool pool1

interface gigabitethernet 0/0/0

pppoe-server bind virtual-template 1

aaa

local-user huawei1 password cipher huawei

local-user huawei1 service-type ppp

sysname Client1

dialer-rule

dialer-rule 1 ip permit

interface dialer 1

dialer user user1

dialer-group 1

dialer bundle 1

ppp chap user huawei1

ppp chap password cipher huawei

dialer timer idle 300

dialer queue-length 8

ip address ppp-negotiate

Привязка PPPoE сессии:

interface gigabitethernet 0/0/1

pppoe-client dial-bundle-number 1

ip route-static 0.0.0.0 0.0.0.0 dialer 1


display interface dialer 1

NAT

static nat

interface gigabitethernet 0/0/1

ip address 192.168.1.254 24

interface gigabitethernet 0/0/2

ip address 200.10.10.1 24

nat static global 200.10.10.5 inside 192.168.1.1

display nat static

dynamic nat

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

nat inbound 2000 address-group 1 no-pat

display nat address-group 1

easy IP

acl 2000

rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

nat outbound 2000

display nat outbound

nat internal server

interface gigabitethernet 0/0/1

ip address 192.168.1.254 24

interface gigabitethernet 0/0/2

ip address 200.10.10.1 24

nat server protocol tcp global 200.10.10.5 www inside 192.168.1.1 8080

display nat server

network address port translation

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

nat outbound 2000 address-group 1

display nat address-group 1

ACL

basic

acl 2000

rule deny source <ip-address> <wildcard mask> - создаем запрещающее правило

rule permit source <ip-address> <wildcard mask> - создаем разрешающее правило

interface gigabitethernet 0/0/0

traffic-filter outbound acl 2000 - привязываем ранее созданный acl на интерфейс к исходящему трафику

display acl 2000

advanced

acl 3000

rule deny tcp source <ip-address> <wildcard mask>destination <ip-address> <wildcard mask> destination-port eq 21

rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

traffic-filter inbound acl 3000 - привязываем acl ко входящему трафику

display acl 3000

acl aplication nat

nat address-group 1 <start ip-address> <end ip-address>

acl 2000

rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

nat outbound 2000 address-group 1

AAA

настраиваем способ аутентификации

user-interface vty 0 4

authentication-mode aaa

aaa

authorization-scheme auth1 - создаем схему авторизации.

authorization-mode local – локальная схема ( без сервера )

authentication-scheme auth2 - создаем схему аутентификации

authentication-mode local – локальная схема ( без сервера )

создаем домен и привязываем схемы аутентификации и авторизации

domain huawei

authentication-scheme auth2

authorization-scheme auth1

display domain name <domain-name>

disp local-user username <user-name>


В этот раз мы постараемся выполнить следующие задачи:

  1. Создание БД VLAN
  2. Протокол обнаружения соседей
  3. Настройка управляющего VLAN
  4. Настройка портов доступа и магистральных
  5. Распространение информации о VLAN на все коммутаторы
  6. Настройка порт-секьюрити
  7. Настройка голосовогоVLAN
  8. Настройка STP

На помощь нам придут мануалы, доступные для просмотра и скачивания здесь:

Дальнейшие эксперименты будем проводить в нашей системе удаленного доступа к оборудованию TermILab. Эта статья будет посвящена коммутации. Давайте посмотрим, как же на коммутаторах Huawei создаются VLAN, как они распространяются между коммутаторами, как настраиваются порты для подключения рабочих станций, IP телефонов и создаются магистральные соединения, а также механизмы обеспечения безопасности на уровне доступа и борьба с петлями на 2 уровне.

Первоначальную настройку устройств Hyawei мы уже приводили в первой статье. Поэтому, вопросы, как настроить пароли, баннеры и удаленное взаимодействие с устройствами по протоколу telnet в этой статье не рассматриваются.

Местами сравнение будем проводить с коммутаторами Cisco 3550.

Итак, начнем. Для начала убедимся, что все устройства соединены правильно. На коммутаторах Cisco для этого используем возможности протокола cdp. А как быть с коммутаторами Huawei? Обращаемся к документации. В файле 29-ClusterCommand нашли возможность определения соседей и предоставления информации о них по протоколу ndp (Neighbor discovery protocol).

Устройство Huawei
Устройство Cisco

Выводимая информация протокола NDP примерно такая же как, как и у CDP. Только у CDP есть еще возможность отобразить информацию кратко и полностью. По умолчанию оба протокола активны на своих коммутаторах. Каждый из них можно отключить как полностью на устройствах, так и на каждом интерфейсе в отдельности. Итак, основываясь на выводе протоколов обнаружения соседних устройств, мы можем понять, что схема соединений корректна.

Идем дальше. Современные локальные сети немыслимы без виртуализации на канальном уровне. Поэтому, приступим к созданию VLAN. Создадим VLAN5 – Staff, VLAN8 – Test, VLAN10 – Native.

Настраиваем БД VLAN на одном коммутаторе Huawei и Cisco. На коммутаторе Huawei переходим в режим system-view, а на коммутаторе Ciscoв -- режим configure-terminal. Для наполнения БД VLAN этих режимах конфигурации вводим следующие последовательности команд:

Устройство Huawei
Устройство Cisco

Чтобы посмотреть созданные VLAN используем следующие команды:

Устройство Huawei Устройство Cisco

Коммутатор Cisco предоставляет более детальную информацию о том какие идентификаторы и имена VLAN существуют, какие порты коммутатора в каком VLAN находятся и некоторая другая информация. На коммутаторах Huawei вывод достаточно скуп. Только общее число VLAN и их идентификаторы. А как быть, если нужно увидеть и vid и его имя и уж, тем более, порты? Ставим ? после display vlan и выбираем параметр all на коммутаторе Huawei.

Устройство Huawei

Теперь информации побольше. И vid, и его имя. И что самое главное – порты, которые находятся в этой VLAN. Глаз зацепился за параметр Description в выводе VLAN. Этот избыточный параметр позволяет сделать еще и дополнительное описание для VLAN, в котором можно отразить более детально ее принадлежность.

Для поддержания данных о vlan в домене на каждом устройстве работают GARP таймеры. Их 4 типа: hold, join, leave и leaveall. Таймеры измеряются в сентисекундах (100 сентисекунд соответствуют 1 секунде) и по умолчанию равны:

GARP join 20 centiseconds

GARP leave 60 centiseconds

GARP hold 10 centiseconds

GARP leaveall 20 centiseconds

Важно, чтобы внутри домена все устройства были настроены с одинаковыми таймерами.

Возвращаясь к GVRP, необходимо отметить, что протокол включается глобально и на интерфейсах (по умолчанию выключен), причем интерфейс обязательно должен работать в режиме trunk. Последовательность действий следующая:

  1. Включить GVRP глобально.
  2. *Опционально. Проверить или настроитьGARP таймеры одинаково на всех коммутаторах домена.
  3. Настроить необходимые порты в режиме trunk 802.1Q.
  4. Разрешить на транках все vlan.
  5. Включить GVRP на интерфейсах.
  6. Выбрать режим работы GVRP на интерфейсе.

GVRP на интерфейсах может работать в трех режимах:

  1. Normal. Этот режим выбирается интерфейсом по умолчанию. В таком режиме коммутатор распространяет информацию о своих vlan и автоматически добавляет информацию о vlan в свою базу от других коммутаторов домена.
  2. Fixed. В данном режиме коммутатор распространяет информацию о своих vlan, однако не добавляет в свою базу информацию о vlan соседних устройств. Данный режим подходит для коммутаторов уровня ядра и распределения, поскольку никакие устройства уровня доступа не могут повлиять на их базу vlan. Если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим fixed, то все vlan, о которых коммутатор узнал через этот порт будут удалены.
  3. Forbidden. В данном режиме коммутатор не распространяет информацию о своих vlan и не принимает информацию о vlan от других устройств. Более того, если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим forbidden, то все vlan, о которых коммутатор узнал через этот порт будут удалены, а также на соседнем коммутаторе будут удалены все записи о vlan, настроенных вручную на forbidden-коммутаторе.

Теперь посмотрим, как настраивать trunk-порты. Основные задачи здесь – это включить на порту режим trunk; описать vlan’ы, которые можно через него пропускать; и задать vlan, с которым ассоциировать нетегированные кадры (аналог cisco native vlan).

Перейдем к командам. Режим trunk влючается на интерфейсе командой port link-type trunk. Разрешенные vlan’ы описываются командой port trunk permit vlan vlan-id. Vlan по умолчанию настраивается командой port trunk pvid vlan vlan-id. Инкапсуляция на транках по умолчанию 802.1Q, и другого режима инкапсуляции не предусмотрено.

Пример, как настроить trunk-порт на нашем коммутаторе:


На коммутаторах Huawei можно перечислить только определенные vid через пробел, либо указать их диапазон используя связку <vid_1> to <vid_n>. На коммутаторах Cisco это делается через запятую, а диапазон указывается через тире.

Вернемся к проблеме распространения БД vlan между коммутаторами. Несмотря на всю кажущуюся сложность, настроить GVRP достаточно легко. К 24 порту нашего коммутатора подключим второй коммутатор Quidway S3928P-SI, на котором по умолчанию есть только 1 vlan. Для начала настроим на нем транк и разрешим в транке все vlan’ы.

Теперь на обоих коммутаторах запустим GVRP, включим его на trunk-итерфейсах, и выберем режим на первом коммутаторе Normal, а на втором Fixed.

Посмотрим на вывод команды display vlan на каждом коммутаторе.

Кажется, что ничего не изменилось, и появляются сомнения, что GVRP вообще работает корректно. Однако вывод команды display garp statistics показывает, что GVRP запущен и работает между коммутаторами.

Теперь создадим на коммутаторе LabSW_2 пару дополнительных vlan’ов и посмотрим на изменения базы vlan коммутатора LabSW.

Как мы видим, коммутатор LabSw добавил в свою базу новые vlan’ы (50 и 70), созданные на LabSw_2. В свою очередь, коммутатор LabSw_2 так и ведет свою локальную базу vlan независимо от соседа. Таким образом, мы не только настроили протокол GVRP на соседних коммутаторах, но и проверили сразу 2 режима работы: normal и fixed.

Теперь можно переходить к настройке портов доступа и управляющего интерфейса. Распределим их следующим образом: 10 порт поместим в 10 vlan и сделаем его управляющим на коммутаторе, порты с 11 по 15 переведем в режим доступа в 5 vlan.

Чтобы исключить macflood и обеспечить элементарную безопасность на уровне доступа, сразу разрешим только по одному mac адресу для каждого порта доступа. На коммутаторе Huawei нужно в режиме system-view включить механизм port-security, а затем настроить его на каждом порту.

Устройство Huawei Устройство Cisco

К сожалению, на коммутаторах Huawei нельзя сразу настроить диапазон портов. Однако есть возможность скопировать настройки одного порта на другие. Сделаем это:

Просмотрим полученную конфигурацию одного из портов:

Устройство Huawei Устройство Cisco

Теперь поместим порты в необходимые vlan’ы и настроим управляющий интерфейс:

*Диапазон портов можно добавить в определенный vlan из режима настройки данного влана.

Проверим доступен ли нам управляющий интерфейс коммутатора, используя команду ping:


Современные Enterprise сети являются конвергентными, поэтому использование в них IP телефонии стало стандартом де-факто. Как известно, трафик IP телефонии необходимо отделить от трафика передачи данных, да к тому же нужно экономить порты на коммутаторах. Так как же создать голосовой VLAN на коммутаторах и подать его на нужные порты? По сути, голосовой VLAN создается точно также в БД VLAN как и VLAN для передачи данных. В качестве голосового будем использовать vlan 8.

Vlan создан, теперь устройству необходимо сообщить, какой vlan использовать в качестве голосового. Команда voice vlan vlan-id enable настраивает определенный vlan в качестве голосового и включает его глобально на устройстве. Узнать в дальнейшем, какой vlan является голосовым на устройстве, можно с помощью display voice vlan status. Для того, чтобы коммутатор добавлял к кадрам телефонов тег голосового vlan’а необходимо еще завести на устройстве OUI list мак-адресов. Мак-адреса наших телефонов выглядят так: 000d.28xx.xxxx. OUI list для них описывается командой [LabSw]voice vlan mac-address 000d-2800-0000 mask ffff-ff00-0000 description IPphone.

Теперь можно перейти к настройке портов.

Как стало понятно из мануалов, чтобы осуществить задуманное, нужно перевести порты в режим Hybrid. Работает он достаточно интересно. В нашем случае необходимо, чтобы коммутатор не только добавлял тег к нетегированным кадрам, поступающим от рабочих станций, но и сбрасывал тег vlan’а в обратном случае, когда кадры нужно передать с порта на рабочие станции. Что касается голосового vlan’a, то его достаточно просто включить на выбранном интерфейсе.

Настроим коммутатор таким образом, чтобы порты с 1 по 9 были настроены для поддержки телефонов на 8 vlan и для пользователей на 5 vlan.

Выполняем задуманное и настраиваем один из интерфейсов:

Посмотрим, что получилось:


Как мы уже отмечали, на коммутаторах Huawei нельзя сразу настроить диапазон портов, зато можно скопировать настройки одного порта на другие. Сделаем это:

Теперь порты с 1 по 9 настроены для работы и рядовых пользователей, и ip-телефонов.

Стремясь обеспечить надежность сети, многие сетевые инженеры и администраторы искусственно вводят избыточные связи, которые ведут к образованию петель на канальном уровне. Также петли могут образоваться и из-за ошибочных или злонамеренных действий пользователей. Чтобы их ликвидировать производители в свои коммутаторы внедряют алгоритм STP. Соединим избыточной связью коммутаторы LabSW и LabSw_2, чтобы создать петлю. Осталось только узнать, какие протоколы STP поддерживаются на коммутаторах Huawei, и как они настраиваются. Нажав символ ? после команды stp, можно увидеть эти протоколы. Будем настраивать на нашем коммутаторе протокол RSTP (по умолчанию stp выключен глобально).

Посмотрим на выводы команды display stp brief и display stp, чтобы определить какие порты заблокировал stp, и кто их коммутаторов стал root’ом :

Как мы видим, протокол запустился. Root’ом стал LabSw, так как его BridgeID 32768.000f-e274-cafe меньше чем у соседнего LabSw_2 (BridgeID 32768.000f-e275-98d8). На это косвенно указывает и то, что все порты LabSw работают в режиме designated. На коммутаторе LabSw_2 порт Ethernet 1/0/24 попал в режим alternative, т.е. не пересылает кадры. Это нас не утраивает, потому что через этот порт работает GVRP, который мы ранее настроили. Заставим коммутатор LabSw_2 заблокировать порт Ethernet 1/0/23, а 1/0/24 перевести в режим designated. Сделать это можно, поменяв cost на интерфейсе. По умолчанию все порты коммутатора имеют cost 200. Чем меньше это значение, тем приоритетнее порт. Поменяем это значение на 20 и посмотрим на результат:

Поставленной цели мы добились, и теперь наша связка коммутаторов работает должным образом.

Читайте также: