Руководство по быстрой настройке коммутаторов серии s для кампусной сети
Обновлено: 05.07.2024
Мы знаем, что, управляемый коммутатор «из коробки», готов работать даже без настроек, НО только как неуправляемый. Соответственно, нам предстоит процесс настройки свитча для решения поставленных задач.
Рассмотрим самые распространенные функции и их процесс настройки через web-интерфейс.
VLANs
Основная функция управляемых коммутаторов — это, конечно же, дробление базовой сети на более мелкие подсети.
VLAN – это функция, позволяющая физическую сеть разделить на несколько виртуальных подсетей. Т.е. одна подсеть будет соответствовать определенному VLAN. Простой пример: разграничение компьютеров пользователей по рабочим отделам или должностям (бухгалтерия, отдел продаж, логистика и т.д.) Соответственно, сети с разными VLAN не будут видны друг другу. Физически сеть не затрагивается – это означает, что несколько VLANов проходит через одно и то же соединение.
Это в свою очередь увеличивает безопасность каждой подсети. Стоит отметить, что благодаря разбивке снижается трафик широковещательных доменов (это те данные, которые предназначены для отправки всем участникам сети).
Суть настройки VLAN в правильном заполнении таблицы данными для каждого порта коммутатора:
Существует несколько ролей портов:
Access – для соединения с нетегированными/конечными устройствами, например, с ПК.
Trunk – соединение между несколькими нетегированными/тегированными устройствами и/или коммутаторами.
Hybrid – похож на trunk порт, но с возможностью указывать теги, которые будут удалены из пакетов.
Резервирование
Следующая функция, для которой необходим управляемый свитч – это резервирование.
Помним, что неуправляемый коммутатор НЕ поддерживает кольцевую топологию.
Самый широко используемый протокол резервирования – это RSTP (Rapid spanning tree protocol)
Настройки RSTP намного проще чем понимание его принципа работы с ролями портов, поэтому рассмотрим только сам принцип:
У вас имеется некая сеть из коммутаторов (группа). Вы включаете функцию RSTP на всех коммутаторах, и свитчи самостоятельно выстраиваются в топологию «дерева». Выбирается «корневой» коммутатор (Root), к которому каждый свитч из сети ищет кратчайший путь, а те линии, которые больше не используются, становятся резервными.
В настройках необходимо указать порты коммутатора, на которых включается функция RSTP:
Как и все крупные сетевые вендоры, Huawei развивает свои решения программно определяемых сетей. В портфолио вендора есть решения для сетей ЦОД, для распределённых сетей (SD-WAN) и для сетей офисов/кампусов. Мы с коллегой провели пару дней в лаборатории за тестированием последнего. Расскажу в этом материале, как выглядит управление программно определяемой кампусной сетью по версии Huawei.
Продукты
Для управления кампусными сетями в арсенале Huawei есть два продукта:
iMaster NCE-Campus – средство управления конфигурациями сетевых устройств и их текущего мониторинга на предмет конкретных событий и возникающих неисправностей.
iMaster NCE-CampusInsight – система аналитики состояния сети, которая собирает данные и с сетевых устройств и с NCE-Campus, анализирует их и предоставляет администратору данные о текущих и возможных в будущем проблемах, о трендах загрузки и качества работы сети, а при информировании о неисправностях указывает на их возможные причины.
Из этих двух компонентов первый является обязательным для управления сетью. На нем сейчас остановлюсь подробнее. А в конце расскажу, зачем нужен CampusInsight.
Как это работает
При управлении сетью с помощью iMaster NCE-Campus, сама сеть может функционировать в нескольких режимах и управляться разными протоколами. Варианты такие:
Вариант 1: Обычный режим, управление с помощью SNMP. iMaster NCE-Campus работает как классическое средство управления и мониторинга с самым базовым функционалом. Этот режим аналогичен управлению сетью с помощью более раннего продукта компании Huawei – eSight.
Вариант 2: Обычный режим, управление с помощью NETCONF. Здесь iMaster NCE-Campus получает возможность настраивать практически любой функционал доступный на коммутаторах, точках доступа Wi-Fi и контроллерах беспроводной сети. Но сама сеть при этом работает в обычном режиме: между коммутаторами обычные Trunk-порты, VLAN, L3-интерфейсы и т.д.
Вариант 3: Режим сетевой фабрики, управление с помощью NETCONF. В этом варианте сеть из коммутаторов работает как единое целое, благодаря чему появляется возможность реализации дополнительного функционала. Например, можно растягивать L2-домены между коммутаторами доступа, определять пользователей и оконечные устройства в группы безопасности вне зависимости от того, куда эти пользователи или оконечные устройства подключаются и применять на них списки доступа на любом коммутаторе доступа.
Добавление сетевых устройств
Как обычно это бывает в Software-Defined-решениях, для того, чтобы добавить сетевое устройство в систему, необходимо дать ему возможность достучаться до контроллера. В iMaster NCE коммутаторы и точки проще всего добавить, сообщив им адрес контроллера и базовые сетевые настройки по DHCP. Всё это рекомендуется делать через выделенные Management-порты, чтобы дальнейшая настройка сети, выполняемая уже с контроллера, не могла повлиять на доступность устройств.
Все устройства необходимо предварительно добавить в iMaster NCE Campus по серийным номерам. В этом есть некоторое неудобство: чтобы развернуть разом сеть из, скажем, 50 коммутаторов и 150 точек доступа, необходимо все их руками внести в контроллер. Максимум, как можно облегчить этот процесс – внести серийные номера в специальный файл и подгрузить этот файл в контроллер.
Более простым вариантом было бы дать возможность устройствам самим «постучаться» на контроллер, появиться в веб-интерфейсе, а администратору – возможность заапрувить те устройства, которые имеют право работать в сети.
После того, как устройство завелось в контроллере, оно закрывает для внешних подключений свой интерфейс SSH. Но если очень захочется, можно зайти в командную строку устройства через сам контроллер. Можно даже что-то там поменять в конфиге, но система выкинет предупреждение, что не надо этого делать и делать этого действительно не стоит. Все изменения теперь необходимо вносить с контроллера.
Как работает фабрика
При управлении сетью с помощью iMaster NCE Campus в режиме сетевой фабрики, эта фабрика строится с помощью стандартных технологий VXLAN, OSPF, BGP и EVPN, т.е. без каких-либо проприетарных дополнений.
Для чего используется каждая из технологий?
- VXLAN позволяет продевать на любые коммутаторы любой L2-сегмент сети;
- BGP позволяет передать маршруты обо всех подсетях между всеми коммутаторами доступа или агрегации. Коммутаторы ядра сети работают в качестве BGP Route Reflector;
- OSPF обеспечивает работу BGP, помогая BGP-нейборам находить друг друга;
- EVPN даёт возможность устройствам сетевой фабрики узнавать, устройства с какими IP-адресами подключены к тому или иному коммутатору доступа или агрегации.
Добавить в неё устройства:
А дальше можно создавать виртуальные сети (Virtual Network) – это сегменты Overlay-сети, которые нам требуется изолировать друг от друга. На уровне конфигурации коммутаторов каждому такому сегменту соответствует VPN-Instance (виртуальная таблица маршрутизации), VLAN и идентификатор VXLAN. Чтобы передавать трафик между Virtual Network, необходимо настраивать импорт-экспорт маршрутов между ними.
Устройства в фабрике могут иметь одну из следующих ролей:
Border – устройства, предназначенные для подключения к внешним сетям, как правило маршрутизаторы;
Edge – коммутаторы доступа или агрегации на которых терминируются VXLAN-туннели;
Access – устройства для подключения пользователей, но без поддержки VXLAN, например, коммутаторы доступа дешёвых моделей или точки доступа Wi-Fi;
Transport – коммутаторы агрегации без поддержки VXLAN, для передачи трафика между Border и Edge-устройствами.
При настройке фабрики мы обнаружили интересную особенность – два порта Edge-коммутатора доступа, расположенные в одном VN автоматически настраиваются как Isolated VLAN, т.е. между ними невозможна коммутация прямо на этом коммутаторе. Обмен трафиком между такими портами происходит через коммутаторы ядра сети.
Плюсом кампусной фабрики Huawei является возможность использовать в ней устройства сторонних производителей. Такие устройства не будут управляться с iMaster NCE Campus и не будут частью самой фабрики, но позволят подключать к ней клиентское оборудование. Это очень важно при постепенной миграции сети с традиционной на кампусную фабрику от Huawei, когда вы не готовы одномоментно заменить всё оборудование на Huawei. Можно сохранить существующие коммутаторы доступа, агрегации, маршрутизаторы или межсетевые экраны, обеспечив при этом применение функций безопасности и управления трафиком, предоставляемых фабрикой и iMaster NCE Campus.
Правила доступа к сети энфорсятся на первом устройстве Huawei, поддерживающим VTEP (оконечный интерфейс VXLAN). Аутентификация и авторизация пользователей, подключённых к коммутаторам доступа сторонних производителей, происходит по пользовательским сессиям, т.е. фабрика способна видеть несколько пользователей за одним своим портом.
Сторонние точки доступа Wi-Fi должны работать в режиме локальной коммутации трафика.
Функционал безопасности
Сеть под управлением iMaster NCE Campus умеет аутентифицировать, авторизовать и профилировать подключаемые оконечные устройства.
По итогам авторизации и профилирования, устройства определяются в группы безопасности (Security Group), а к этим группам применяются политики, разрешающие или запрещающие то или иное взаимодействие между группами. При работе сети в режиме фабрики, в заголовок VXLAN добавляется тег, обозначающий группу безопасности, к которой принадлежит источник трафика. Благодаря этому, промежуточные сетевые устройства могут пропускать/запрещать такой трафик, а пользовательское устройство получает одни и те же права, вне зависимости от того, в какой из коммутаторов доступа оно подключилось в текущий момент. Благодаря тому, что теги находятся в заголовках VXLAN, они будут передаваться корректно, даже если на пути следования трафика окажется устройство, не поддерживающее работу с контроллером.
Если же сеть работает не в режиме фабрики, то коммутаторы получают все настройки и правила доступа напрямую с контроллера. Т.е. контроллер просто преобразует настроенные на нём правила в списки контроля доступа (ACL) и загружает эти ACL в конфиги коммутаторов.
Аутентификация клиентских устройств, подключаемых к сетевой фабрике, пока возможна только с помощью встроенного в контроллер RADIUS-сервера, который в свою очередь можно интегрировать с корпоративным каталогом.
Зачем нужен CampusInsight
Всё, что описано выше, касалось iMaster NCE-Campus. А что же делает CampusInsight?
iMaster NCE CampusInsight собирает с сети телеметрию и выдаёт администратору данные о том, какие пользователи и устройства какими сетевыми приложениями пользуются и о том, насколько качественно всё это работает. Вот пример дашборда с информацией по приложениям:
В представленные на основном Wi-Fi-дашборде показатели можно углубиться и посмотреть, например, с чем были связаны ошибки подключения пользователей к сети:
Посмотреть историю событий:
Качество работы сети для конкретного Wi-Fi-клиента:
Для проводной сети основной дашборд выглядит вот так:
И показывает он в основном уровень загрузки оборудования и его интерфейсов, а также возникающие ошибки, по которым также можно получить более детальную информацию.
Обслуживание оборудования
Как и на всякой уважающей себя системе управления и мониторинга, на iMaster NCE Campus есть возможность управлять используемыми версиями прошивок сетевых устройств. Обновления можно планировать по времени и накатывать на группу устройств. Файлы прошивок можно брать из внутреннего репозитория или с внешнего сервера.
Есть в контроллере и простой доступ к файловой системе сетевых устройств:
Не хватило, на наш взгляд, только опции, позволяющей прервать обновление группы устройств в случае, если на одном из устройств оно произошло с ошибкой. Если мы запланировали на вечер апгрейд десяти коммутаторов, а на втором произошла ошибка, не хочется проверять, произойдёт ли она на оставшихся восьми. Лучше остановить процесс и исследовать причины.
Платформы для компонентов управления
Самым правильным вариантом будет разворачивать iMaster NCE Campus и iMaster NCE CampusInsight на платформах Huawei – серверах x86 или TaiShan, гипервизоре Huawei FusionCompute и операционной системе EulerOS (Linux-система, основанная на CentOS).
Кроме этого, существует возможность развёртывания этих компонентов на SUSE Linux, что даёт возможность использовать другой гипервизор и серверные платформы.
Управляющие компоненты достаточно «тяжёлые» и развёртывание их даже при успешном стечении обстоятельств занимает примерно пару дней. При этом очень важно пользоваться документацией именно от тех версий продукта, которые разворачиваешь, так как решение быстро обновляется, а вместе с обновлениями часто меняются и некоторые нюансы его первичной настройки. Для упрощения процесса развёртывания вендор предлагает утилиту под названием EasySuite. Она поднимает на локальном компьютере веб-интерфейс, в который потом можно загрузить инсталляционные файлы, вбить параметры инсталляции, после чего большую часть дальнейших действий по установке софта выполнит Python-скрипт.
Лицензирование
Для того, чтобы использовать коммутаторы и точки доступа под управлением iMaster NCE Campus и iMaster NCE CampusInsight, необходимо купить целый набор лицензий, а именно:
1. Лицензию на само устройство, одного из двух уровней
- Foundation – для базового управления
- Advantage – для работы в режиме фабрики
3. Лицензию на iMaster NCE CampusInsight (если он используется)
Для тех, кто желает потестировать решение, вендор охотно предоставляет временные лицензии.
Резюме
Большим плюсом решения является его гибкость: iMaster NCE Campus можно использовать в разных режимах, настолько Software-Defined, насколько вы на это готовы. В него можно разными способами и с разной функциональностью интегрировать и продвинутые модели сетевых устройств Huawei и базовые и сопрягать сеть, управляемую iMaster NCE Campus с устройствами других вендоров. В ситуации, когда преимущества программно определяемой парадигмы кампусных сетей не всем очевидны, а быстрый переход к ней затруднителен с финансовой точки зрения и с точки зрения квалификации администраторов, всё вышеперечисленное позволяет делать его более плавным, оценивая преимущества на каждом шаге.
Ну а минусы я уже описал. Связаны они в основном с тем, что Huawei, как и другие вендоры программно определяемых решений, стремится выпустить на рынок продукт как можно скорее, и желание это понятно. Купив управляющие компоненты такой сети от того или иного вендора, заказчики будут в дальнейшем покупать всё сетевое оборудование от этого же вендора.
В эпоху информационных технологий и интернета все чаще и шире применяются коммутаторы. Они представляют собой особые устройства, использующиеся для передачи пакетов документов на всех адреса сети одновременно. Данную особенность коммутаторов сложно переоценить, поскольку все офисы работают на базе данной функции. Коммутаторы запоминают все текущие адреса работающих станций и устройств, а также проводят фильтрацию трафика по определенной схеме, заданной специалистами. В подходящий момент они открывают порт и проводят пересылку назначенного пакета по всем адресатам.
Для настройки коммутаторов часто используется таблица модульных коммутаторов L3 . Настройка должна осуществляться в следующем порядке. Сначала коммутатор подключается к блоку питания, а он – через розетку к электропитанию. Затем берется сетевой кабель, который обеспечивает соединение коммутатора с сетевой платой вашего компьютера. Здесь следует быть крайне осторожными – на проводках витой пары должны иметься наконечники со спутанными контактами. Все это предусмотрено в инструкции, указанной в техническом паспорте коммутатора.
Приступите к настройке сетевой карты. Для этого нажмите меню «Пуск», выберите в открывшемся меню вкладку «Панель управления». В отрывшемся окне найдите и откройте «Сеть и сетевые подключения». Выделите свою сетевую карту при помощи правой кнопкой мыши. Во вкладке «Подключение по локальной сети» следует активировать раздел «Свойства», после чего прокрутить список вниз до конца, где будет строчка «Протокол Интернет (TCP/IP)». Там нажмите на кнопку «Свойства» и укажите маску и адрес подсети. Во вкладке под названием «Общие» следует прописать IP адрес 192.168.0.2, а также оформить маску подсети, введя цифры 255.255.255.0, после чего следует подтвердить правильность всех записей.
На следующем этапе вы должны будете проверить работу коммутатора. Затем через служебную команду под названием ping следует ввести сетевой адрес своего компьютера в сети, после чего задать отсылку данных через ping 192.168.0.2. Делается это в бесконечном режиме, но если вы захотите его остановить, тогда нужно будет нажать комбинацию клавиш Ctrl+C. Программа сразу же выдаст уведомление о потере данных, возникших при передаче.
Рассмотрим более детально на конкретном примере - настройка коммутатора CISCO CATALYST СЕРИЙ 2900XL И 3500.
Интеллектуальные свитчи (по-русски коммутаторы) Cisco Catalyst серий 2900XL и 3500 предназначены для крупных корпоративных сетей. Они представляют собой коммутаторы высокого класса с микропроцессорным управлением, флэш-памятью, объёмом 4 Мб и DRAM-памятью объёмом 8 Мб. На данных устройствах обычно установлена специализированная операционная система Cisco IOS.
В данной статье я буду преимущественно говорить о версии 12.0.x. (отличия версий, в основном, в вебинтерфейсе и поддержке тех или иных технологий). На каждый из коммутаторов может быть установлено программное обеспечение стандартного (Standard Edition) и расширенного типа ( Enterprise Edition ). В enterprise edition входят:
- поддержка магистралей 802.1Q,
- протокол TACACS+ для единой авторизации на свитчах,
- модифицированная технология ускоренного выбора Spanning Tree ( Cisco Uplink Fast ) и др.
Данные свитчи предоставляют множество сервисных возможностей. Кроме этого, они идеально подходят для крупных сетей, так как имеют высокую пропускную способность — до 3-х миллионов пакетов в секунду, большие таблицы адресов ( ARP cache ) — 2048 mac адресов для Catalyst 2900XL и 8192 для Catalyst 3500, поддерживают кластеризацию и виртуальные сети (VLAN), предоставляют аппаратную безопасность портов (к порту может быть подключено только устройство с определённым mac адресом), поддерживают протокол SNMP для управления, используют удалённое управление через веб-интерфейс и через командную строку (т.е. через telnet или модемный порт). Кроме этого, имеется возможность мониторинга портов, т.е. трафик с одного порта (или портов) отслеживается на другом. Многим покажется полезной возможность ограничивать широковещательный трафик на портах, предотвращая тем самым чрезмерную загрузку сети подобными пакетами. Исходя из всего этого, можно утверждать, что выбор свитчей Cisco Catalyst является идеальным для крупных и средних сетей, так как несмотря на высокую стоимость (>1500$), они предлагают широкий выбор сервисных функций и обеспечивают хорошую пропускную способность. Наиболее привлекательными возможностями данных свитчей являются: организация виртуальных сетей (в дальнейшем VLAN), полностью изолированных друг от друга, но синхронизированных между свитчами в сети, и возможность кластеризации для единого входа в систему управления свитчами и наглядного изображения топологии сети (для веб-интерфейса). Перспективным является использование многопортового свитча в качестве центрального элемента сети (в звездообразной архитектуре). Хотя свитчи поставляются с подробной документацией, но она вся на английском языке и нередко не сообщает некоторых вещей, а иногда, напротив, бывает слишком избыточной. Для начала хотел бы рассказать о первоначальной настройке свитча.
Присоединение консольного кабеля:
Подключите поставляемый плоский провод в разъём на задней панели коммутатора с маркой console.
Подключите другой конец кабеля к com-порту компьютера через соответствующий переходник и запустите программу-эмулятор терминала (например, HyperTerminal или ZOC). Порт консоли имеет следующие характеристики:
d) 1 бит остановки.
Важное замечание для кластера (объединения нескольких коммутаторов): если вы хотите использовать коммутатор в качестве члена кластера, то можно не присваивать ему IP адрес и не запускать построитель кластера. В случае командного свитча, вам необходимо выполнить следующий пункт.
Присвоение IP коммутатору.
В первый раз, когда вы запускаете свитч, то он запрашивает IP адрес.
Если вы назначаете ему оный, что весьма желательно, то он может конфигурироваться через Telnet.
Необходимые требования к IP
Перед установкой необходимо знать следующую информацию о сети:
- IP адрес свитча.
- Шлюз по умолчанию (его может и не быть).
- Ну и пароль для свитча (хотя, скорее всего лучше это придумать самому).
Первый запуск
Выполняйте следующие действия для присвоения коммутатору IP адреса:
Шаг 1. Нажмите Y при первой подсказке системы:
Continue with configuration dialog?
Шаг 2 . Введите IP адрес:
Enter IP address:
Шаг 3 . Введите маску подсети и нажмите Enter:
Enter IP netmask:
Шаг 4 . Введите, есть ли у вас шлюз по умолчанию N/Y, если есть, то наберите его IP адрес после нажатия Y:
Would you like to enter a default
gateway address. [yes]: y
Шаг 5 . Введите IP адрес шлюза:
IP address of the default gateway:
Шаг 6 . Введите имя хоста коммутатора:
Enter a host name:
Шаг 7 . Введите пароль. Кроме этого, затем на вопрос о пароле для Telnet ответьте Y и введите пароль для доступа через Telnet, так как иначе возможны странности работы с telnet. У меня, к примеру, подключение Telnet к свитчу обрывалось по причине:пароль нужен, но не определён:
Enter enable secret:
Создался следующий файл конфигурации:
ip address 172.16.01.24 255.255.0.0
ip default-gateway 172.16.01.01
enable secret 5 $1$M3pS$cXtAlkyR3/
snmp community private rw
snmp community public ro
Use this configuration. [yes/no]:
Continue with configuration dialog.
Шаг 8 . Если всё нормально - жмите Y; нет - N (только учтите, что пароль хранится в зашифрованном виде).
В данной статье хочу разобрать базовую настройку коммутатора на примере.
Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.
- Подключения к уровню распределения агрегированным интерфейсом LACP
- Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
- Отдельный VLAN для сети принтеров и МФУ
- Подключение WI-FI точек trunk портом c PVID management VLAN
- Использование механизма DHCP snooping во всех VLAN
переходим в режим конфигурации:
Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:
Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:
Теперь перейдем к VLAN, создаем VLAN для management:
включим в этом VLAN DHCP snooping
выходим из настройки VLAN
C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:
назначаем пользователю уровень привилегий (15 самый высокий):
включаем доступ по SSH для пользователя:
отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):
Теперь перейдем к включению SSH на устройстве:
Создаем пару ключей для SSH:
Включаем доступ по SSH на линиях:
Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:
Настраиваем шлюз по умолчанию:
затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:
указываем протокол LACP:
После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :
С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.
Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:
Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:
В качестве untagged VLAN и PVID указываем тот что используется для ПК:
т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)
наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:
Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:
Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.
На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl+Z и дав команду save:
Подключение к консоли коммутатора
Т.к. в моем ультрабуке нет ни Ethernet порта, ни тем более COM порта я использовал свой адаптер QinHeng Electronics HL-340 USB-Serial adapter (Device 005: ID 1a86:7523). Радует он меня тем, что при подключении по USB сразу даёт вирутуальный COM-порт и не требует никаких драйверов ни под Windows, ни под Linux.
Для подключения использую gtkterm
Configuration -> Port:
Port: /dev/ttyUSB0
Baud rate: 9600
Parity: none
Bits: 8
Stop bits: 1
Flow control: none
После первого подключения возника проблема с тем, что оооочен сильно тормозила консоль. Потом выяснилось, что всемы виной консольный COM -> RJ45 кабель. Заменили его на Cisco-вский, и всё завелось.
Настройка hostname и IP адреса
Для смены hostname воспользуйтесь командой:
<Quidway>system-view
[Quidway]interface vlanif1
[Quidway-vlanif1]ip address 172.20.0.47 21
[Quidway-vlanif1]quit
Новый адрес применяется сразу, и в отличии от CISCO здесь не надо перезагружать интерфейс.
Настройка SNMP
У коммутаторов Huawei есть две особенности, о которых надо помнить, настраивая snmp. Во первых, если у вас включен snmp v3, то snmp v2c работать не будет. Во-вторых для snmp v2c при настройке на коммутаторе в консоле имя community надо указывать в кавычках, и в мониторилке (например Dude) оно тоже должно быть указано в кавычках (использовал двойные кавычки).
[Quidway]acl number 2100
[Quidway-acl-basic-2100]rule 1 permit source 172.20.0.33 0.0.0.0 // for one ip
Опционально можно добавить контактные данные в snmp.
[Quidway]snmp-agent sys-info contact X Division
[Quidway]snmp-agent sys-info location Kremlin
Настройка ssh
Генерим ключи, добавляем юзера, даём юзеру доступ к сервисам ssh(stelnet)+telnet.
[Quidway] rsa local-key-pair create
[Quidway]aaa
[Quidway-aaa]local-user admin password cipher YOURPASSWORD
[Quidway-aaa]local-user admin privelege level 3
[Quidway-aaa]local-user admin service-type ssh telnet
[Quidway-aaa]quit
[Quidway]stelnet server enable
[Quidway]ssh user admin authentication-type password
[Quidway]ssh user admin service-type stelnet
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa
[Quidway-ui-vty0-4]protocol inbound ssh
Поднимаем веб-интерфейс
Файл с веб-интерфейсом (скрипты, js, css и т.д.) должен лежать в виде архива на устройстве. Просмотреть, что там лежит можно командой dir.
В моем случае у коммутатора было два вида интерфейса: classic (а-ля привет 90-е) и easyOperation (более-менее юзабельный). Можете сами визуально сравнить их.
Это classic интерфейс
А вот это EasyOperation
Почувствуйте разницу 🙂 Хотя лучш все равно в консоле.
Таблица аналогов CISCO-вских команд у HUAWEI
| CISCO | HUAWEI |
| ping | ping |
| traceroute | tracert |
| show | display |
| show interfaces | display interface |
| Show ip route | display routing-table |
| Show ip interface | Display ip interface |
| Show version | Display version |
| Show ip bgp | Display bgp routing-table |
| Show clock | Display clock |
| Show port | Display port-mapping |
| Show flash | dir flash: (on user view mode) |
| Show logging | Display logbuffer |
| Show snmp | Display snmp-agent statistics |
| Show frame-relay pvc | Display fr pvc-info |
| Show users | Display users |
| Show terminal length | screen-length disable |
| undo screen-length disable | |
| enable | Super |
| disable | Super 0 (number is privilege level from 0 to 3, where 3 is default and equivalent to “enable” on Cisco) |
| Conf t | System-view |
| exit | quit |
| end | return |
| Show policy-map interface | Display qos policy interface |
| send | send (on user view mode) |
| write terminal (sh run) | display current-configuration |
| Sh startup | Display saved-configuration |
| [no equivalent: shows the files used for startup] | Display startup |
| Write erase | Reset saved-configuration |
| Write mem (or wr or copy run start) | save |
| clear counters | reset (on user view mode) |
| Reset counters interface | |
| ? | ? |
| telnet | telnet |
| Enable secret (conf mode) | Super pass cipher (system mode) |
| Term mon | term debu |
| clock | clock |
| no | undo |
| debug / no debug | debugging / undo debugging |
| copy running-config | Save safely |
| terminal monitor | terminal monitor |
| terminal length | screen-length disable |
| undo screen-length disable | |
| terminal no monitor | undo terminal monitor |
| clear counters | reset counters interface |
| clear interface | reset counters interface |
| clear crypto | ipsec sa |
| ike sa | |
| clear access-list counters | reset acl counter all |
| reload | reboot |
| shutdown | shutdown |
| boot | boot bootrom |
| Aaa | hwtacacs scheme |
| terminal no monitor | undo terminal monitor |
| tacacs-server | hwtacacs scheme (in conf command) |
| snmp-server | tftp-server (in conf command) |
| router bgp | bgp |
| Router rip | rip |
| ip tacacs | hwtacacs nas-ip (this command doesn’t exist . ) |
| mtu | Mtu (this command doesn’t exist . ) |
| clear ip cef | reset ip fast-forwarding |
| clear ip route * | reset ip routing-table statistics protocol all |
| Clear ip bgp | Reset bgp all |
| Show tech | display diagnostic-information |
| Sh ip nat translation | Display nat session |
| Show Controller | display controller (but not relevant for non-modular chassis) |
| show dsl int atm 0 | display dsl status interface Atm 2/0 |
| sho atm pvc | Display atm pvc-info |
| debug pvc nego | Debug atm all (very dangerous – might crash router) |
| sho crypto isakmp sa | Display ike sa |
| sho crypto isakmp key | Display ike peer |
| sho crypto isakmp police | Display ike proposal |
Ссылки
Спасибо!
Если вам помогла статья, или вы хотите поддержать мои исследования и блог - вот лучший способ сделать это:
Как вариант просканировать сеть и по ARP таблице посмотреть по MAC адресам. В начале MAC адреса идёт префикс вендора.
Читайте также: