Хорошо

[FAQ] Базовая настройка коммутаторов и маршрутизаторов Huawei

Последний ответ ноя 03, 2021 21:24:12 9860 4 15 0 7

Basic


system view – входит в режим конфигурирования
quit – возвращает на уровень назад


undo - команда отрицания ( аналог “no” в cisco )


Настройка доступа по консоли 

user-interface console 0


authentication-mode password


set  authentication  password cipher <password>


Настройка доступа по Telnet

user-interface vty 0 4 – задаем количество одновременных виртуальных сессий


authentication-mode password – задаем способ аутентификации ( по паролю, либо aaa )


set  authentication  password cipher <пароль> - задаем пароль и шифруем его


Spanning Tree Protocol


stp mode stp - выбираем режим работы stp


stp enable – активируем stp, команду можно давать глобально, либо на определенных интерфейсах

stp disable – деактивирует stp, команду можно давать глобально, либо на определенных интерфейсах


stp root primary –  указываем кто будет рутом в топологии


stp root secondary – указываем второго по приоритету после рута


stp priority <priority> - указываем приоритет оборудования в топологии ( стандартное значение 32768 )


stp pathcost-standard <dot1d-1998/dot1t/legacy> - задаем способ расчета стоимости портов ( стандартный – dot1t )

stp port priority <priority> - указываем приоритет порта ( стандартное значение 128 )


stp port cost <cost> - указываем стоимость порта



display stp brief – показать информацию о stp


display stp instance 0 brief


RSTP


stp mode rstp - выбираем режим работы rstp


stp bpdu-protection – оборудование выключает edged-port на интерфейсе, если тот получит bpdu


stp root-protection – команда дается на designated портах, при получении лучшего bpdu порт коммутатора отбросит его


stp edged-port enable – команда дается на портах, к которым подключено конечное оборудование ( порт не будет принимать участие в расчете stp топологии ).


stp bpdu-filter enable – порт не будет принимать и отправлять bpdu ( используется в паре с предыдущей командой ).

stp loop-protection - технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding


MSTP


stp mode mstp - выбираем режим работы mstp


stp region-configuration – вход в режим конфигурации mstp


region-name <name> - задаем имя mstp региона.


instance <instance-id> vlan <vlan-id> to <vlan-id> привязываем нужные виланы к определенному инстансу ( например, instance 1 vlan 1 to 10 )


active region-configuration активируем конфигурацию mstp региона



display stp region-configuration показать информацию о mstp


Маршрутизация

Static routing


ip route-static <ip address> <mask | mask-length> [<interface-type> <interface-number> | <next hop address>] – создаем статический маршрут, например:


ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 0/0/1


ip route-static 192.168.1.0 24 10.1.1.1



ip route-static 0.0.0.0 0.0.0.0 <next hop address> - задаем маршрут по умолчанию


RIP


rip <process-id> - входим в режим конфигурирования ripпроцесса


version 2 – задаем версию rip ( по умолчанию стоит версия 1 )


network <network> – задаем какую сеть объявлять через процесс rip


default-route originate – анонсируем маршрут по умолчанию через rip


undo summary – выключем суммирование маршрутов


rip summary-address <network> <mask> - команда дается на интерфейсе, включаем суммирование маршрутов.


Следующие команды даются на интерфейсе:

rip metricin <value> - устанавливаем стоимость на порту для входящих маршрутов


rip metricout <value> - устанавливаем стоимость на порту для исходящих маршрутов


rip poison-reverse – механизм защиты от петель


rip split horizon – механизм защиты от петель, по умолчанию включен на оборудовании


Ограничение распространения маршрутной информации


undo rip output – интерфейс не будет объявлять о маршрутах


undo rip input – интерфейс не будет принимать входящие сообщения о маршрутах


silent-interface <interface-type> <interface-number> - команда дается в процессе rip, интерфейс не передает информацию о маршрутах, но принимает и заносит в таблицу маршрутизации ( команда имеет бОльший приоритет, чем две предыдущие ).


Authentification RIP:

Команда дается на интерфейсе


rip authentification-mode simple [ <text> | cipher <text> ]


rip authentification-mode md5 usual [ <text> | cipher <text> ]


debug RIP:

debugging rip 1,


display debugging


terminal debugging


undo debugging rip 1 , либо 

undo debugging all


Вывод информации о RIP:

display rip <process-id>


display rip <process-id> interface <interface>verbose


display rip 1 neighbor – показывает информацию о соседях


OSPF


ospf 1 router-id 1.1.1.1 – включаем процесс ospf и задаем id


area <id> – задаем ospf зону для процесса

network <ip address> <wildcard-mask> - задаем сеть которую будем объявлять в ospf процессе


Меняем расчет метрики


ospf 1


bandwidth-reference <reference>


Команды даются на интерфейсе - меняем cost, hello и dead таймеры, dr-priority:


ospf cost 20


ospf timer hello <number>


ospf timer dead <number>


ospf dr-priority <number>


silent-interface <interface> - команда дается в процессе ospf. Отключаем OSPF на порту, порт не будет принимать hello пакеты и не будет устанавливаться соседство.


Authentification  OSPF:


Simple authentication:


ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null } 


Cryptographic authentication:


ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].


Объявление маршрута последней надежды через OSPF


ip route-static 0.0.0.0 0.0.0.0 <interface>


ospf 1


default-route-advertise


Вывод информации об OSPF:

display ospf peer brief


display ospf 1 <interface>


display ospf peer – выводит информацию о сеседях ( area, интерфейс, адрес интерфейса, статус соседства, id, режим master или slave )


DHCP


dhcp interface pool configuration


dhcp enable


interface <interface-id>


dhcp select interface


dhcp server dns-list <ip address>


dhcp server excluded-ip-address <ip address>


dhcp server lease day x


display ip pool interface <interface-id>


dhcp global pool configuration


dhcp enable


ip pool pool <name>


network <network> mask <mask>


gateway-list <gateway ip address>


lease day x


interface <interface-id>


dhcp select global


display ip pool


dhcp relay


sysname dhcp server


dhcp enable


ip pool pool 1


gateway-list 192.168.1.1


network 192.168.1.0 mask 255.255.255.0


interface GigabitEthernet0/0/0


ip address 10.10.10.1 255.255.255.252


dhcp select global


 

sysname dhcp relay


dhcp enable


dhcp server group 123


dhcp-server 10.10.10.1 0


interface GigabitEthernet0/0/1


ip address 192.168.1.1 255.255.255.0


dhcp select relay


dhcp relay server-select 123


Link Aggregation

L2 LAG


interface  Eth-trunk 1 - создаем LAG группу


interface <port-type> <port-id>


eth-trunk 1 - добавляем интерфейс в созданную группу


interface <port-type> <port-id>


eth-trunk 1 – добавляем второй интерфейс в созданную группу


L3 LAG


interface  Eth-trunk 1 - создаем LAG группу


undo portswitch – переводим интерфейс в L3


ip address  <ip-address> <mask>


interface <port-type> <port-id>


eth-trunk 1 – добавляем интерфейс в группу


interface <port-type> <port-id>


eth-trunk 1 – добавляем интерфейс в группу


LACP (link aggregation control protocol)


lacp priority <number> - команда дается глобально, чем меньше значение, тем выше будет приоритетLACP

int Eth-trunk 1 - создаем LAG группу


mode lacp-static – выбираем режим


lacp preference <number> - чем меньше значение, тем выше будет приоритет


display interface eth-trunk 1 - вывод информации об интерфейсе


Настройка VLAN


vlan batch <vlan-id> - создаем vlan


 

interface <port-type> <port-id>


   port link-type access


   port  access default vlan <vlan-id>


 


interface <port-type> <port-id>


   port link-type trunk


   port trunk allow-pass vlan <vlan-id>


 

port link-type hybrid


port hybrid untagged vlan <vlan-id>


port hybrid tagged vlan <vlan-id>


port hybrid pvid vlan <vlan-id>


 

Создаем L3 интерфейс

interface Vlanif <vlan-id> 


   ip address <ip-address> <mask>


HDLC

interface serial 1/0/0


   link-protocol hdlc


   ip address <ip> <mask> - задаем адрес


   ip unnambered int loopback 0 либо привязываем адрес с другого интерфейса, рекомендуется брать адрес loopback интерфейса


display ip interface brief


PPP


Настройка ppp c  authentication-mode pap


R1


sysname BRAS


aaa


   local-user huawei password cipher huawei


   local-user huawei service-type ppp


interface serial 1/0/0


   link-protocol ppp


   ppp authentication-mode pap


   ip address 10.0.0.1 30


 

R2


sysname pap_client


interface serial 1/0/0


   link-protocol ppp


   ppp pap local-user huawei password cipher huawei


   ip address 10.0.0.2 30

Настройка ppp c  authentication-mode chap

R1


sysname BRAS


aaa


   local-user huawei password cipher huawei


   local-user huawei service-type ppp


interface serial 1/0/0


   link-protocol ppp


   ppp authentication-mode chap


   ip address 10.0.0.1 30


 

R2


sysname chap_client


interface serial 1/0/0


   link-protocol ppp


   ppp chap user huawei


   ppp chap password cipher huawei


   ip address 10.0.0.2 30


PPPoE


sysname BRAS


ip pool pool1


   network 10.0.0.0 mask 255.255.255.0


   gateway-list 10.0.0.254


interface virtual-template 1


    ppp authentication-mode chap


    ip address 10.0.0.254 24


    remote address pool pool1


interface gigabitethernet 0/0/0


    pppoe-server bind virtual-template 1


aaa


    local-user huawei1 password cipher huawei


    local-user huawei1 service-type ppp


 

sysname Client1


dialer-rule


dialer-rule 1 ip permit


interface dialer 1


   dialer user user1


   dialer-group 1


   dialer bundle 1


ppp chap user huawei1


ppp chap password cipher huawei


dialer timer idle 300


dialer queue-length 8


ip address ppp-negotiate


 

Привязка PPPoE сессии:

interface gigabitethernet 0/0/1

   pppoe-client dial-bundle-number 1


   ip route-static 0.0.0.0 0.0.0.0 dialer 1


display interface dialer 1


NAT


static nat


interface gigabitethernet 0/0/1


   ip address 192.168.1.254 24 

interface gigabitethernet 0/0/2


   ip address 200.10.10.1 24 

nat static global 200.10.10.5 inside 192.168.1.1

 

display nat static

dynamic nat


nat address-group 1 200.10.10.11 200.10.10.16


acl 2000


   rule 5 permit source 192.168.1.0 0.0.0.255


interface gigabitethernet 0/0/1


   nat inbound 2000 address-group 1 no-pat


 

display nat address-group 1

easy IP


acl 2000


   rule 5 permit source 192.168.1.0 0.0.0.255


interface gigabitethernet 0/0/1


   nat outbound 2000


 

display nat outbound

nat internal server

interface gigabitethernet 0/0/1


   ip address 192.168.1.254 24


interface gigabitethernet 0/0/2


   ip address 200.10.10.1 24


nat server protocol tcp global 200.10.10.5 www inside 192.168.1.1 8080


 

display nat server

network address port translation


nat address-group 1 200.10.10.11 200.10.10.16


acl 2000


   rule 5 permit source 192.168.1.0 0.0.0.255


interface gigabitethernet 0/0/1


   nat outbound 2000 address-group 1


 

display nat address-group 1

ACL


basic


acl 2000


   rule deny source <ip-address> <wildcard mask> - создаем запрещающее правило

   rule permit source <ip-address> <wildcard mask> - создаем разрешающее правило


interface gigabitethernet 0/0/0


   traffic-filter outbound acl 2000 - привязываем ранее созданный acl на интерфейс к исходящему трафику


 

display acl 2000

advanced


acl 3000


   rule deny tcp source <ip-address> <wildcard mask>destination <ip-address> <wildcard mask> destination-port eq 21


   rule permit source <ip-address> <wildcard mask>


interface gigabitethernet 0/0/0


   traffic-filter inbound acl 3000 - привязываем acl ко входящему трафику

 

display acl 3000

acl aplication nat


nat address-group 1 <start ip-address> <end ip-address>


acl 2000


   rule permit source <ip-address> <wildcard mask>


interface gigabitethernet 0/0/0


   nat outbound 2000 address-group 1

AAA


настраиваем способ аутентификации


user-interface vty 0 4


authentication-mode aaa


 

aaa


   authorization-scheme auth1 - создаем схему авторизации.


   authorization-mode local – локальная схема ( без сервера )


 

   authentication-scheme auth2 - создаем схему аутентификации


   authentication-mode local – локальная схема ( без сервера )


 

создаем домен и привязываем схемы аутентификации и авторизации


domain huawei


   authentication-scheme auth2


   authorization-scheme auth1


 

display domain name <domain-name>


disp local-user username <user-name>


Пост синхронизирован: Лаборатория конфигураций

  • x

KKV
Опубликовано 2019-3-4 16:49:59
Здорово! Всё чётко и ясно.
Развернуть
  • x

nippon047
Опубликовано 2021-10-31 12:33:48
Полезный FAQ. Когда редко настраиваешь, даже базовые вещи забываются. А тут глянул, вспомнил - красота! [FAQ] Базовая настройка коммутаторов и маршрутизаторов Huawei-4260121-1
Развернуть
  • x

Rinat
Author Опубликовано 2021-10-31 15:19:07
Отличный гайд! Все в одном месте, спасибо
Развернуть
  • x

MaxLK
HCIE Опубликовано 2021-11-3 21:24:12

замечательно! один недостаток - как сохранить результат настроек? ;)
ну и команд проверки добавить бы...

Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.