[FAQ] Базовая настройка коммутаторов и маршрутизаторов Huawei

system view – входит в режим конфигурирования
quit – возвращает на уровень назад

undo - команда отрицания ( аналог “no” в cisco )

user-interface console 0

authentication-mode password

set  authentication  password cipher <password>

user-interface vty 0 4 – задаем количество одновременных виртуальных сессий

authentication-mode password – задаем способ аутентификации ( по паролю, либо aaa )

set  authentication  password cipher <пароль> - задаем пароль и шифруем его

stp mode stp - выбираем режим работы stp

stp enable – активируем stp, команду можно давать глобально, либо на определенных интерфейсах

stp disable – деактивирует stp, команду можно давать глобально, либо на определенных интерфейсах

stp root primary –  указываем кто будет рутом в топологии

stp root secondary – указываем второго по приоритету после рута

stp priority <priority> - указываем приоритет оборудования в топологии ( стандартное значение 32768 )

stp pathcost-standard <dot1d-1998/dot1t/legacy> - задаем способ расчета стоимости портов ( стандартный – dot1t )

stp port priority <priority> - указываем приоритет порта ( стандартное значение 128 )

stp port cost <cost> - указываем стоимость порта

display stp brief – показать информацию о stp

display stp instance 0 brief

stp mode rstp - выбираем режим работы rstp

stp bpdu-protection – оборудование выключает edged-port на интерфейсе, если тот получит bpdu

stp root-protection – команда дается на designated портах, при получении лучшего bpdu порт коммутатора отбросит его

stp edged-port enable – команда дается на портах, к которым подключено конечное оборудование ( порт не будет принимать участие в расчете stp топологии ).

stp bpdu-filter enable – порт не будет принимать и отправлять bpdu ( используется в паре с предыдущей командой ).

stp loop-protection - технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding

stp mode mstp - выбираем режим работы mstp

stp region-configuration – вход в режим конфигурации mstp

region-name <name> - задаем имя mstp региона.

instance <instance-id> vlan <vlan-id> to <vlan-id> – привязываем нужные виланы к определенному инстансу ( например, instance 1 vlan 1 to 10 )

active region-configuration – активируем конфигурацию mstp региона

display stp region-configuration – показать информацию о mstp

ip route-static <ip address> <mask | mask-length> [<interface-type> <interface-number> | <next hop address>] – создаем статический маршрут, например:

ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 0/0/1

ip route-static 192.168.1.0 24 10.1.1.1

ip route-static 0.0.0.0 0.0.0.0 <next hop address> - задаем маршрут по умолчанию

rip <process-id> - входим в режим конфигурирования rip процесса

version 2 – задаем версию rip ( по умолчанию стоит версия 1 )

network <network> – задаем какую сеть объявлять через процесс rip

default-route originate – анонсируем маршрут по умолчанию через rip

undo summary – выключем суммирование маршрутов

rip summary-address <network> <mask> - команда дается на интерфейсе, включаем суммирование маршрутов.

Следующие команды даются на интерфейсе:

rip metricin <value> - устанавливаем стоимость на порту для входящих маршрутов

rip metricout <value> - устанавливаем стоимость на порту для исходящих маршрутов

rip poison-reverse – механизм защиты от петель

rip split horizon – механизм защиты от петель, по умолчанию включен на оборудовании

Ограничение распространения маршрутной информации

undo rip output – интерфейс не будет объявлять о маршрутах

undo rip input – интерфейс не будет принимать входящие сообщения о маршрутах

silent-interface <interface-type> <interface-number> - команда дается в процессе rip, интерфейс не передает информацию о маршрутах, но принимает и заносит в таблицу маршрутизации ( команда имеет бОльший приоритет, чем две предыдущие ).

Authentification RIP:

Команда дается на интерфейсе

rip authentification-mode simple [ <text> | cipher <text> ]

rip authentification-mode md5 usual [ <text> | cipher <text> ]

debug RIP:

debugging rip 1,

display debugging

terminal debugging

undo debugging rip 1 , либо 

undo debugging all

Вывод информации о RIP:

display rip <process-id>

display rip <process-id> interface <interface> verbose

display rip 1 neighbor – показывает информацию о соседях

ospf 1 router-id 1.1.1.1 – включаем процесс ospf и задаем id

area <id> – задаем ospf зону для процесса

network <ip address> <wildcard-mask> - задаем сеть которую будем объявлять в ospf процессе

Меняем расчет метрики

ospf 1

bandwidth-reference <reference>

Команды даются на интерфейсе - меняем cost, hello и dead таймеры, dr-priority:

ospf cost 20

ospf timer hello <number>

ospf timer dead <number>

ospf dr-priority <number>

silent-interface <interface> - команда дается в процессе ospf. Отключаем OSPF на порту, порт не будет принимать hello пакеты и не будет устанавливаться соседство.

Authentification  OSPF:

Simple authentication:

ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null } 

Cryptographic authentication:

ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].

Объявление маршрута последней надежды через OSPF

ip route-static 0.0.0.0 0.0.0.0 <interface>

ospf 1

default-route-advertise

Вывод информации об OSPF:

display ospf peer brief

display ospf 1 <interface>

display ospf peer – выводит информацию о сеседях ( area, интерфейс, адрес интерфейса, статус соседства, id, режим master или slave )

dhcp interface pool configuration

dhcp enable

interface <interface-id>

dhcp select interface

dhcp server dns-list <ip address>

dhcp server excluded-ip-address <ip address>

dhcp server lease day x

display ip pool interface <interface-id>

dhcp global pool configuration

dhcp enable

ip pool pool <name>

network <network> mask <mask>

gateway-list <gateway ip address>

lease day x

interface <interface-id>

dhcp select global

display ip pool

dhcp relay

sysname dhcp server

dhcp enable

ip pool pool 1

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

interface GigabitEthernet0/0/0

ip address 10.10.10.1 255.255.255.252

dhcp select global

 

sysname dhcp relay

dhcp enable

dhcp server group 123

dhcp-server 10.10.10.1 0

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

dhcp select relay

dhcp relay server-select 123

L2 LAG

interface  Eth-trunk 1 - создаем LAG группу

interface <port-type> <port-id>

eth-trunk 1 - добавляем интерфейс в созданную группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем второй интерфейс в созданную группу

L3 LAG

interface  Eth-trunk 1 - создаем LAG группу

undo portswitch – переводим интерфейс в L3

ip address  <ip-address> <mask>

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

LACP (link aggregation control protocol)

lacp priority <number> - команда дается глобально, чем меньше значение, тем выше будет приоритет LACP

int Eth-trunk 1 - создаем LAG группу

mode lacp-static – выбираем режим

lacp preference <number> - чем меньше значение, тем выше будет приоритет

display interface eth-trunk 1 - вывод информации об интерфейсе

vlan batch <vlan-id> - создаем vlan

 

interface <port-type> <port-id>

   port link-type access

   port  access default vlan <vlan-id>

 

interface <port-type> <port-id>

   port link-type trunk

   port trunk allow-pass vlan <vlan-id>

 

port link-type hybrid

port hybrid untagged vlan <vlan-id>

port hybrid tagged vlan <vlan-id>

port hybrid pvid vlan <vlan-id>

 

Создаем L3 интерфейс

interface Vlanif <vlan-id> 

   ip address <ip-address> <mask>

interface serial 1/0/0

   link-protocol hdlc

   ip address <ip> <mask> - задаем адрес

   ip unnambered int loopback 0 – либо привязываем адрес с другого интерфейса, рекомендуется брать адрес loopback интерфейса

display ip interface brief

Настройка ppp c  authentication-mode pap

R1

sysname BRAS

aaa

   local-user huawei password cipher huawei

   local-user huawei service-type ppp

interface serial 1/0/0

   link-protocol ppp

   ppp authentication-mode pap

   ip address 10.0.0.1 30

 

R2

sysname pap_client

interface serial 1/0/0

   link-protocol ppp

   ppp pap local-user huawei password cipher huawei

   ip address 10.0.0.2 30

Настройка ppp c  authentication-mode chap

R1

sysname BRAS

aaa

   local-user huawei password cipher huawei

   local-user huawei service-type ppp

interface serial 1/0/0

   link-protocol ppp

   ppp authentication-mode chap

   ip address 10.0.0.1 30

 

R2

sysname chap_client

interface serial 1/0/0

   link-protocol ppp

   ppp chap user huawei

   ppp chap password cipher huawei

   ip address 10.0.0.2 30

sysname BRAS

ip pool pool1

   network 10.0.0.0 mask 255.255.255.0

   gateway-list 10.0.0.254

interface virtual-template 1

    ppp authentication-mode chap

    ip address 10.0.0.254 24

    remote address pool pool1

interface gigabitethernet 0/0/0

    pppoe-server bind virtual-template 1

aaa

    local-user huawei1 password cipher huawei

    local-user huawei1 service-type ppp

 

sysname Client1

dialer-rule

dialer-rule 1 ip permit

interface dialer 1

   dialer user user1

   dialer-group 1

   dialer bundle 1

ppp chap user huawei1

ppp chap password cipher huawei

dialer timer idle 300

dialer queue-length 8

ip address ppp-negotiate

 

Привязка PPPoE сессии:

interface gigabitethernet 0/0/1

   pppoe-client dial-bundle-number 1

   ip route-static 0.0.0.0 0.0.0.0 dialer 1

display interface dialer 1

static nat

interface gigabitethernet 0/0/1

   ip address 192.168.1.254 24 

interface gigabitethernet 0/0/2

   ip address 200.10.10.1 24 

nat static global 200.10.10.5 inside 192.168.1.1

 

display nat static

dynamic nat

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat inbound 2000 address-group 1 no-pat

 

display nat address-group 1

easy IP

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat outbound 2000

 

display nat outbound

nat internal server

interface gigabitethernet 0/0/1

   ip address 192.168.1.254 24

interface gigabitethernet 0/0/2

   ip address 200.10.10.1 24

nat server protocol tcp global 200.10.10.5 www inside 192.168.1.1 8080

 

display nat server

network address port translation

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat outbound 2000 address-group 1

 

display nat address-group 1

basic

acl 2000

   rule deny source <ip-address> <wildcard mask> - создаем запрещающее правило

   rule permit source <ip-address> <wildcard mask> - создаем разрешающее правило

interface gigabitethernet 0/0/0

   traffic-filter outbound acl 2000 - привязываем ранее созданный acl на интерфейс к исходящему трафику

 

display acl 2000

advanced

acl 3000

   rule deny tcp source <ip-address> <wildcard mask> destination <ip-address> <wildcard mask> destination-port eq 21

   rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

   traffic-filter inbound acl 3000 - привязываем acl ко входящему трафику

 

display acl 3000

acl aplication nat

nat address-group 1 <start ip-address> <end ip-address>

acl 2000

   rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

   nat outbound 2000 address-group 1

настраиваем способ аутентификации

user-interface vty 0 4

authentication-mode aaa

 

aaa

   authorization-scheme auth1 - создаем схему авторизации.

   authorization-mode local – локальная схема ( без сервера )

 

   authentication-scheme auth2 - создаем схему аутентификации

   authentication-mode local – локальная схема ( без сервера )

 

создаем домен и привязываем схемы аутентификации и авторизации

domain huawei

   authentication-scheme auth2

   authorization-scheme auth1

 

display domain name <domain-name>

disp local-user username <user-name>