В данной статье хочу разобрать базовую настройку коммутатора на примере.
Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.
- Подключения к уровню распределения агрегированным интерфейсом LACP
- Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
- Отдельный VLAN для сети принтеров и МФУ
- Подключение WI-FI точек trunk портом c PVID management VLAN
- Использование механизма DHCP snooping во всех VLAN
переходим в режим конфигурации:
system-view
Даем имя коммутатору, например acess switch 01 — «ASW-01»:
[huawei]sysname ASW-01
Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:
VLAN — Виртуальные локальные сети
[ASW-01]lldp enable
Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:
[ASW-01]dhcp enable [ASW-01]dhcp snooping enable
Теперь перейдем к VLAN, создаем VLAN для management:
[ASW-01]vlan 100 [ASW-01-vlan100]description Management
включим в этом VLAN DHCP snooping
[ASW-01-vlan100]dhcp snooping enable
выходим из настройки VLAN
[ASW-01-vlan100]quit
Аналогичным образом создаем остальные VLAN, я для примера создаю следующие VLAN:
200 — VoIP
300 — Office
400 — Printer
C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:
[ASW-01]aaa [ASW-01-aaa]local-user admin password irreversible-cipher pa$$w0RD
назначаем пользователю уровень привилегий (15 самый высокий):
[ASW-01-aaa]local-user admin privilege level 15
включаем доступ по SSH для пользователя:
[ASW-01-aaa]local-user admin service-type telnet terminal ssh
отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):
[ASW-01-aaa]undo local-aaa-user password policy administrator [ASW-01-aaa]quit
Теперь перейдем к включению SSH на устройстве:
[ASW-01]stelnet server enable [ASW-01]ssh authentication-type default password
Создаем пару ключей для SSH:
[ASW-01]rsa local-key-pair create
Включаем доступ по SSH на линиях:
[ASW-01]user-interface vty 0 4 [ASW-01-ui-vty0-4]authentication-mode aaa [ASW-01-ui-vty0-4]protocol inbound ssh [ASW-01-ui-vty0-4]quit
Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:
[ASW-01]interface Vlanif 100 [ASW-01-Vlanif10]ip address 10.0.0.10 24 [ASW-01-Vlanif10]quit
Настраиваем шлюз по умолчанию:
Курс Huawei HCIA Datacom. Лекция 15. Маршрутизация между VLAN.
[ASW-01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
Перейдем к настройке UpLink интерфейса, как описано в требованиях выше, нам требуется собрать агрегированный интерфейс используя протокол LACP, использовать будем 10Gbit интерфейсы, имеющиеся в коммутаторе Huawei S5720-52X. У Huawei это называется Ether-Trunk, первым делом объявляем Ether-Trunk 1 и «проваливаемся» в его настройку:
[ASW-01]interface Eth-Trunk 1
затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:
[ASW-01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2
указываем протокол LACP:
[ASW-01-Eth-Trunk1]mode lacp
После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :
[ASW-01-Eth-Trunk1]port link-type trunk [ASW-01-Eth-Trunk1]port trunk allow-pass vlan all [ASW-01-Eth-Trunk1]dhcp snooping trusted [ASW-01-Eth-Trunk1]quit
С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.
Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:
[ASW-01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46
Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:
[ASW-01-port-group]port link-type hybrid [ASW-01-port-group]voice-vlan 200 enable [ASW-01-port-group]port hybrid tagged vlan 200
В качестве untagged VLAN и PVID указываем тот что используется для ПК:
[ASW-01-port-group]port hybrid pvid vlan 300 [ASW-01-port-group]port hybrid untagged vlan 300
т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)
[ASW-01-port-group]stp edged-port enable
наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:
[ASW-01-port-group]lldp compliance cdp receive [ASW-01-port-group]description Users [ASW-01-port-group]quit
Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:
[ASW-01]interface GigabitEthernet 0/0/47 [ASW-01-GigabitEthernet0/0/47]port link-type access [ASW-01-GigabitEthernet0/0/47]port default vlan 400 [ASW-01-GigabitEthernet0/0/47]description Printer [ASW-01-GigabitEthernet0/0/47]quit
Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.
[ASW-01]interface GigabitEthernet 0/0/48 [ASW-01-GigabitEthernet0/0/48]port link-type trunk [ASW-01-GigabitEthernet0/0/48]port trunk pvid vlan 100 [ASW-01-GigabitEthernet0/0/48]port trunk allow-pass vlan all [ASW-01-GigabitEthernet0/0/48]description WirelessAP [ASW-01-GigabitEthernet0/0/48]quit
На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl+Z и дав команду save:
save The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip. Are you sure to continue?[Y/N]y
Источник: xcat.su
1. Маршрутизация одной рукой
Маршрутизация одной рукой предназначена для экономии оборудования и физических портов. Она редко используется в производственной среде. Принцип и конфигурация также очень просты. Топология и конфигурация следующие. Общая конфигурация vlan VPC4 — 10, IP-адрес 192.168.10.10/24, шлюз 192.168.10.1; vlan VPC5 — 20, IP-адрес 192.168.20.20, шлюз 192.168.20.1, порт устройства Cisco начинается с ether0, Huawei — gi0 / 0 начало.
Совет: убедитесь, что все VLAN являются активными VLAN.
1.1 Cisco
1. Настроить vlan коммутатора. Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#ex 2. Настройте vlan-интерфейс коммутатора.
Switch(config)#int ether0/0 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch (config-if) # no shutdown ———— Это очень важно Switch(config-if)#int ether0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shutdown Switch(config-if)#int ether0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config-if)#no shutdown 3. Настройте интерфейс роутера. Router(config)#int ether0/0 Маршрутизатор (config-if) # no shutdown —— Порты устройств Cisco закрыты по умолчанию, не забудьте открыть Router(config-if)#int ether0/0.10 Маршрутизатор (config-subif) #encapsulation dot1Q 10 ——- Не несоответствие. Этот vlanID должен быть одним из списков vlan, которые необходимо передать. Router(config-subif)#ip add 192.168.10.1 255.255.255.0 Router(config-subif)#int ether0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip add 192.168.10.1 255.255.255.0 Router(config-subif)#exit 4. Тест Пинг-тест устройства, просто связь.
1.2 Huawei
1. Настроить коммутатор vlan [Huawei]vlan batch 10 20 2. Настройте порты коммутатора. [Huawei]int gi 0/0/1 [Huawei-GigabitEthernet0/0/1]port link trunk [Huawei-GigabitEthernet0/0/1]port trunk allow vlan 10 20 [Huawei-GigabitEthernet0/0/1]int gi 0/0/2 [Huawei-GigabitEthernet0/0/2]port link access [Huawei-GigabitEthernet0/0/2]port default vlan 10 [Huawei-GigabitEthernet0/0/2]q [Huawei-GigabitEthernet0/0/2]int gi 0/0/3 [Huawei-GigabitEthernet0/0/3]port link access [Huawei-GigabitEthernet0/0/3]port default vlan 20 [Huawei-GigabitEthernet0/0/3]q 3. Настроить роутер. [Huawei]int gi0/0/1.10 [Huawei-GigabitEthernet0/0/1.10]dot1q termination vid 10 [Huawei-GigabitEthernet0/0/1.10]ip add 192.168.10.1 24 [Huawei-GigabitEthernet0/0/1.10]arp broadcast enable [Huawei-GigabitEthernet0/0/1.10]q [Huawei]int gi 0/0/1.20 [Huawei-GigabitEthernet0/0/1.20]dot1q termination vid 20 [Huawei-GigabitEthernet0/0/1.20]ip add 192.168.20.1 24 [Huawei-GigabitEthernet0/0/1.20]arp broadcast enable [Huawei-GigabitEthernet0/0/1.20]q 4. Тест Пинг-тест устройства, просто связь.
2. vsi/vlanif
Большинство из них теперь используют коммутаторы уровня 3 для поддержки функций маршрутизации, поэтому чаще используется vsi или vlanif напрямую. Схема топологии, используемая для конфигурации, показана ниже. Общая конфигурация VPC4 имеет vlan 10, IP-адрес 192.168.10.10/24 и шлюз 192.168.10.1; VPC5 имеет vlan 20, IP-адрес 192.168.20.20, шлюз 192.168.20.1 и порт устройства Cisco. Он начинается с ether0, а Huawei — с gi0 / 0.
Совет: убедитесь, что все VLAN являются активными VLAN.
2.1 Cisco
1. Включите функцию маршрутизации. Switch (config) #ip routing ——— Дело в том, что коммутаторы Cisco уровня 3 не включают маршрутизацию по умолчанию 2. Настроить vlan Switch(config)#vlan 10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#ex 3. Настройте физический интерфейс.
Switch(config-if)#int ether0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shutdown Switch(config-if)#int ether0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config-if)#no shutdown 4. Настроить интерфейс vsi Switch(config-if)#int vlan 10 Switch(config-if)#ip add 192.168.10.1 255.255.255.0 Переключатель (config-if) # no shut ——— Клавиша: должен быть включен Switch(config-if)#int vlan 20 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut 5. Тест Устройство можно пинговать.
2.2 Huawei
1. Настроить коммутатор vlan [Huawei]vlan batch 10 20 2. Настройте порты коммутатора. [Huawei]int gi 0/0/2 [Huawei-GigabitEthernet0/0/2]port link access [Huawei-GigabitEthernet0/0/2]port default vlan 10 [Huawei-GigabitEthernet0/0/2]q [Huawei-GigabitEthernet0/0/2]int gi 0/0/3 [Huawei-GigabitEthernet0/0/3]port link access [Huawei-GigabitEthernet0/0/3]port default vlan 20 [Huawei-GigabitEthernet0/0/3]q 3. Настроить интерфейс vlanif [Huawei]int vlanif 10 [Huawei-Vlanif10]ip add 192.168.10.1 24 [Huawei-Vlanif10]int vlanif 20 [Huawei-Vlanif20]ip add 192.168.20.1 24 [Huawei-Vlanif20]q 4. Тест Устройство можно пинговать.
3 super vlan
Super vlan у Huawei, H3C и ZTE есть все, но Cisco не нашла подобной концепции. Предыдущая однонаправленная маршрутизация, vsi / vlanif, представляет собой vlan, соответствующий IP-подсети, и иногда это кажется потерей IP-адресов. Таким образом, super vlan разработан для обеспечения трехуровневой связи и двухуровневой изоляции vlan, а также для экономии ресурсов IP-адресов.
Топология, используемая super vlan, показана на рисунке ниже, и она также должна соответствовать следующим требованиям:
1. Устройство поддерживает функцию маршрутизации, которая представляет собой трехуровневый коммутатор.
2. Все подчиненные vlan в супервлане должны находиться в одной IP-подсети.
3. Основной vlan (super vlan) может устанавливать только виртуальный интерфейс vlanif, а IP-адрес используется в качестве шлюза; дополнительный vlan (sub vlan) должен быть настроен на физическом интерфейсе, а виртуальный интерфейс vlanif использовать нельзя.
1. Настроить vlan [Huawei]vlan batch 2 3 10 [Huawei]vlan 10 [Huawei-vlan10] aggregate-vlan ——— Настройте vlan 10 как super vlan [Huawei-vlan10] access-vlan 10 20 —— Настройте 2 и 3 как sub vlan 2. Настройте порты коммутатора. [Huawei]int gi 0/0/2 [Huawei-GigabitEthernet0/0/2]port link access [Huawei-GigabitEthernet0/0/2]port default vlan 2 [Huawei-GigabitEthernet0/0/2]q [Huawei-GigabitEthernet0/0/2]int gi 0/0/3 [Huawei-GigabitEthernet0/0/3]port link access [Huawei-GigabitEthernet0/0/3]port default vlan 3 [Huawei-GigabitEthernet0/0/3]q 3. Настроить интерфейс vlanif [Huawei]int vlanif 10 [Huawei-Vlanif10]ip add 192.168.10.1 24 [Huawei-Vlanif10] arp-proxy inter-sub-vlan-proxy enable ——- ARP-прокси между VLAN должен быть включен. [Huawei-Vlanif10] dhcp select interface —— Необязательная команда для настройки dhcp (при условии, что dhcp включен глобально) 4. Тест IP-адрес ПК1 — 192.168.10.254, а IP-адрес ПК2 — 192.168.10.253, которые могут пинговать друг друга.
Источник: russianblogs.com
Black Box
Базовая настройка коммутатора Huawei Quidway Печать
Изменено: Чт, 14 Июл, 2016 на 9:58 AM
Сетевое оборудование компании Huawei занимает все более прочные позиции на российском рынке. Тем не менее, у многих системных администраторов еще недостаточно опыта для его качественной настройки. Статья по базовой настройке коммутаторов Huawei Quidway призвана восполнить данный пробел.
В статье мы рассмотрим настройку коммутатора Huawei Quidway S2309TP-SI с версией прошивки V100R005C01SPC100.
display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S2300 V100R005C01SPC100)
Copyright (C) 2000-2011 HUAWEI TECH CO., LTD
Quidway S2309TP-SI Routing Switch .
Настройку произведем в соответствии с топологией изображенной ниже сети. В конце статьи вы сможете скачать файл конфигурации для использования в вашем коммутаторе.
Топология тестовой сети
Как видно на приведенной схеме, тестовая сеть содержит два vlan.
vlan 1 — выделенная логическая сеть для управления оборудованием. Используемая подсеть 192.168.1.0 / 24. Шлюз 192.168.1.1, коммутатору Quidway присвоен IP адрес 192.168.1.4.
vlan 2 — выделенная логическая сеть для предоставления сервиса конечным пользователям (в нашем случае, «сервисная» подсеть не имеет терминации на Quidway, поэтому используемая в ней адресация не важна).
На коммутаторе Huawei Quidway s2300 используем порт GigabitEthernet0/0/1 как входящий магистральный порт, порты Ethernet0/0/1 — Ethernet0/0/8 используем для подключения конечных пользователей.
Общие настройки Huawei Quidway
Большинство настроек коммутатора Quidway выполняются в привилегированном режиме. Вход в привилегированный режим выполняется командой system-view, выход — командой quit. При входе в привилегированный режим приглашение командной строки меняется на [system_name]. Непривилегированный режим характеризуется приглашением .
Настройка имени устройства
[quidway]sysname switch_1
Настройка даты и времени
Настройка времени и даты на коммутаторе выполняется не в привилегированном режиме. Необходимо указать часовой пояс и, непосредственно, дату и время
clock timezone EKT add 05:00:00 clock datetime 18:19:00 2015-12-02
Проверка установленных даты и времени производится с помощью команды display clock
display clock 2015-12-02 18:19:08
Wednesday
Time Zone(EKT) : UTC+05:00
Отключение неиспользуемых сервисов
Отключаем http сервер.
[switch_1]undo http server enable
Мы не планируем организовывать кластер из коммутаторов Quidway, поэтому отключаем кластерные функции и протоколы NDP (Neighbor Discovery Protocol — используется в кластере для сбора информации о подключенных соседях) и NTDP (Network Topology Discovery Protocol — используется для построения топологии в кластере).
[switch_1]undo cluster enable [switch_1]undo ntdp enable [switch_1]undo ndp enable
Настройка доступа на Huawei Quidway
Настройка правил аутентификации и авторизации
Настройки аутентификации и авторизации оставляем без изменения:
[switch_1]aaa [switch_1-aaa]authentication-scheme default [switch_1-aaa]authorization-scheme default
[switch_1-aaa]accounting-scheme default
[switch_1-aaa]domain default
[switch_1-aaa]domain default_admin
Настройка учетной записи
Добавляем пользователя huawei. Задаем для пользователя пароль, указываем допустимый уровень привилегий и используемый сервис. В нашем случае, указываем сервис ssh. Небезопасный протокол telnet не используем. Также, отключаем созданного по умолчанию пользователя admin.
[switch_1]aaa
[switch_1-aaa]local-user huawei password cipher [PASSWORD]
[switch_1-aaa]local-user huawei privilege level 3
[switch_1-aaa]local-user huawei service-type ssh
[switch_1-aaa]undo local-user admin
Настройка удаленного управления по SSH
В моей предыдущей статье уже была подробно описана настройка SSH на коммутаторах Huawei Quidway, поэтому в данном пункте я лишь кратко приведу пункты конфигурации.
[switch_1]stelnet server enable
[switch_1]ssh user huawei
[switch_1]ssh user huawei authentication-type password
[switch_1]ssh user huawei service-type all
[switch_1]user-interface vty 0 4
[switch_1-ui-vty0-4]authentication-mode aaa
[switch_1-ui-vty0-4]user privilege level 3
[switch_1-ui-vty0-4]idle-timeout 30 0
[switch_1-ui-vty0-4]protocol inbound ssh
Настройка подключения по консоли
Для подключения к Quidway по консоли используем локальную аутентификацию. Задаем
подключившемуся пользователю максимальный приоритет. Устанавливаем время простоя сессии в 30 минут.
[switch_1]user-interface con 0
[switch_1-ui-console0]authentication-mode aaa
[switch_1-ui-console0]user privilege level 15
[switch_1-ui-console0]idle-timeout 30 0
Настройка SFTP сервера для доступа к файлам во flash памяти коммутатора
Для безопасного доступа к flash памяти Huawei Quidway по SFTP необходимо настроить доступ по SSH как описано выше и включить SFTP сервер на коммутаторе. В нашем примере, для доступа по SFTP используется учетная запись huawei (совпадает с учетной записью для доступа по SSH).
[switch_1]sftp server enable
Настройка VLAN и портов в Huawei Quidway.
Создание VLAN
Создаем на Quidway два vlan и указываем их название. Как уже указывалось выше, в vlan 1 будем осуществлять управление коммутатором, в vlan 2 будет предоставляться сервис.
[switch_1]vlan 1
[switch_1-vlan1]description Management
[switch_1]vlan 2
[switch_1-vlan2]description Service
Cоздание интерфейса vlanif для удаленного управления
Создаем виртуальный интерфейс Vlanif 1 и назначаем ему ip адрес. Интерфейс будет
использоваться для удаленного доступа на коммутатор.
[switch_1]interface Vlanif1
[switch_1-Vlanif1]description Management
[switch_1-Vlanif1]ip address 192.168.1.4 255.255.255.0
Настройка магистрального порта
В магистральном порту прокидываем два vlan в тэгированном виде. Для этого переводим порт в режим trunk и разрешаем прохождение vlan 1 и 2. При просмотре конфигурации порта командой display configuration interface GigabitEthernet0/0/1, vlan 1 не отображается.
[switch_1]interface GigabitEthernet0/0/1
[switch_1-GigabitEthernet0/0/1]description Uplink
[switch_1-GigabitEthernet0/0/1]port link-type trunk
[switch_1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2
[switch_1-GigabitEthernet0/0/1]undo ntdp enable
[switch_1-GigabitEthernet0/0/1]undo ndp enable
Настройка пользовательских портов
Последовательно настраиваем порты Ethernet0/0/1 — Ethernet0/0/8, которые будут использоваться для предоставления сервиса конечным пользователям. Для примера приведу конфигурацию порта Ethernet0/0/1. Для остальных портов она будет аналогична. Переводим порт в режим access, чтобы метка тэга vlan снималась на порту при отправке их конечному устройству. Добавляем Vlan 2.
[switch_1]interface Ethernet0/0/1
[switch_1-Ethernet0/0/1]description Access_port
[switch_1-Ethernet0/0/1]port link-type access
[switch_1-Ethernet0/0/1]port default vlan 2
[switch_1-Ethernet0/0/1]undo ntdp enable
[switch_1-Ethernet0/0/1]undo ndp enable
После настройки коммутатора Huawei Quidway, не забудьте сохранить конфигурацию при помощи команды save (выполняется в непривилегированном режиме). В противном случае, все выполненные настройки будут потеряны при перезагрузке коммутатора.
Файл конфигурации Huawei Quidway
Ниже приведен файл конфигурации для коммутатора Huawei Quidway S2309TP-SI, соответствующий описанным выше настройкам. В приведенной конфигурации используется логин huawei и пароль Huawei123. В моей предыдущей статье вы можете прочитать про то, как безопасно подменять файл конфигурации на коммутаторах Huawei Quidway.
Файл конфигурации Huawei Quidway S2309TP-SI: vrpcfg.zip
Итак, в статье мы рассмотрели базовую настройку коммутатора Huawei Quidway s2300. Приведенная конфигурация, при необходимости, масштабируется на другие коммутаторы семейства Huawei Quidway.
Если у вас остались какие-нибудь вопросы — задавайте их в комментариях, я обязательно постараюсь на них ответить. Приятной работы!
Была ли эта статья полезной? Да Нет
К сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.
Источник: blackbox.freshdesk.com