Basic
system view – входит в режим конфигурирования
quit – возвращает на уровень назадundo - команда отрицания ( аналог “no” в cisco )
Настройка доступа по консоли
user-interface console 0
authentication-mode password
set authentication password cipher <password>
Настройка доступа по Telnet
user-interface vty 0 4 – задаем количество одновременных виртуальных сессий
authentication-mode password – задаем способ аутентификации ( по паролю, либо aaa )
set authentication password cipher <пароль> - задаем пароль и шифруем его
Spanning Tree Protocol
stp mode stp - выбираем режим работы stp
stp enable – активируем stp, команду можно давать глобально, либо на определенных интерфейсах
stp disable – деактивирует stp, команду можно давать глобально, либо на определенных интерфейсах
stp root primary – указываем кто будет рутом в топологии
stp root secondary – указываем второго по приоритету после рута
stp priority <priority> - указываем приоритет оборудования в топологии ( стандартное значение 32768 )
stp pathcost-standard <dot1d-1998/dot1t/legacy> - задаем способ расчета стоимости портов ( стандартный – dot1t )
stp port priority <priority> - указываем приоритет порта ( стандартное значение 128 )
stp port cost <cost> - указываем стоимость порта
display stp brief – показать информацию о stp
display stp instance 0 brief
RSTP
stp mode rstp - выбираем режим работы rstp
stp bpdu-protection – оборудование выключает edged-port на интерфейсе, если тот получит bpdu
stp root-protection – команда дается на designated портах, при получении лучшего bpdu порт коммутатора отбросит его
stp edged-port enable – команда дается на портах, к которым подключено конечное оборудование ( порт не будет принимать участие в расчете stp топологии ).
stp bpdu-filter enable – порт не будет принимать и отправлять bpdu ( используется в паре с предыдущей командой ).
stp loop-protection - технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding
MSTP
stp mode mstp - выбираем режим работы mstp
stp region-configuration – вход в режим конфигурации mstp
region-name <name> - задаем имя mstp региона.
instance <instance-id> vlan <vlan-id> to <vlan-id> – привязываем нужные виланы к определенному инстансу ( например, instance 1 vlan 1 to 10 )
active region-configuration – активируем конфигурацию mstp региона
display stp region-configuration – показать информацию о mstp
Маршрутизация
Static routing
ip route-static <ip address> <mask | mask-length> [<interface-type> <interface-number> | <next hop address>] – создаем статический маршрут, например:
ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 0/0/1
ip route-static 192.168.1.0 24 10.1.1.1
ip route-static 0.0.0.0 0.0.0.0 <next hop address> - задаем маршрут по умолчанию
RIP
rip <process-id> - входим в режим конфигурирования rip процесса
version 2 – задаем версию rip ( по умолчанию стоит версия 1 )
network <network> – задаем какую сеть объявлять через процесс rip
default-route originate – анонсируем маршрут по умолчанию через rip
undo summary – выключем суммирование маршрутов
rip summary-address <network> <mask> - команда дается на интерфейсе, включаем суммирование маршрутов.
Следующие команды даются на интерфейсе:
rip metricin <value> - устанавливаем стоимость на порту для входящих маршрутов
rip metricout <value> - устанавливаем стоимость на порту для исходящих маршрутов
rip poison-reverse – механизм защиты от петель
rip split horizon – механизм защиты от петель, по умолчанию включен на оборудовании
Ограничение распространения маршрутной информации
undo rip output – интерфейс не будет объявлять о маршрутах
undo rip input – интерфейс не будет принимать входящие сообщения о маршрутах
silent-interface <interface-type> <interface-number> - команда дается в процессе rip, интерфейс не передает информацию о маршрутах, но принимает и заносит в таблицу маршрутизации ( команда имеет бОльший приоритет, чем две предыдущие ).
Authentification RIP:
Команда дается на интерфейсе
rip authentification-mode simple [ <text> | cipher <text> ]
rip authentification-mode md5 usual [ <text> | cipher <text> ]
debug RIP:
debugging rip 1,
display debugging
terminal debugging
undo debugging rip 1 , либо
undo debugging all
Вывод информации о RIP:
display rip <process-id>
display rip <process-id> interface <interface> verbose
display rip 1 neighbor – показывает информацию о соседях
OSPF
ospf 1 router-id 1.1.1.1 – включаем процесс ospf и задаем id
area <id> – задаем ospf зону для процесса
network <ip address> <wildcard-mask> - задаем сеть которую будем объявлять в ospf процессе
Меняем расчет метрики
ospf 1
bandwidth-reference <reference>
Команды даются на интерфейсе - меняем cost, hello и dead таймеры, dr-priority:
ospf cost 20
ospf timer hello <number>
ospf timer dead <number>
ospf dr-priority <number>
silent-interface <interface> - команда дается в процессе ospf. Отключаем OSPF на порту, порт не будет принимать hello пакеты и не будет устанавливаться соседство.
Authentification OSPF:
Simple authentication:
ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 <interface>
ospf 1
default-route-advertise
Вывод информации об OSPF:
display ospf peer brief
display ospf 1 <interface>
display ospf peer – выводит информацию о сеседях ( area, интерфейс, адрес интерфейса, статус соседства, id, режим master или slave )
DHCP
dhcp interface pool configuration
dhcp enable
interface <interface-id>
dhcp select interface
dhcp server dns-list <ip address>
dhcp server excluded-ip-address <ip address>
dhcp server lease day x
display ip pool interface <interface-id>
dhcp global pool configuration
dhcp enable
ip pool pool <name>
network <network> mask <mask>
gateway-list <gateway ip address>
lease day x
interface <interface-id>
dhcp select global
display ip pool
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool 1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
Link Aggregation
L2 LAG
interface Eth-trunk 1 - создаем LAG группу
interface <port-type> <port-id>
eth-trunk 1 - добавляем интерфейс в созданную группу
interface <port-type> <port-id>
eth-trunk 1 – добавляем второй интерфейс в созданную группу
L3 LAG
interface Eth-trunk 1 - создаем LAG группу
undo portswitch – переводим интерфейс в L3
ip address <ip-address> <mask>
interface <port-type> <port-id>
eth-trunk 1 – добавляем интерфейс в группу
interface <port-type> <port-id>
eth-trunk 1 – добавляем интерфейс в группу
LACP (link aggregation control protocol)
lacp priority <number> - команда дается глобально, чем меньше значение, тем выше будет приоритет LACP
int Eth-trunk 1 - создаем LAG группу
mode lacp-static – выбираем режим
lacp preference <number> - чем меньше значение, тем выше будет приоритет
display interface eth-trunk 1 - вывод информации об интерфейсе
Настройка VLAN
vlan batch <vlan-id> - создаем vlan
interface <port-type> <port-id>
port link-type access
port access default vlan <vlan-id>
interface <port-type> <port-id>
port link-type trunk
port trunk allow-pass vlan <vlan-id>
port link-type hybrid
port hybrid untagged vlan <vlan-id>
port hybrid tagged vlan <vlan-id>
port hybrid pvid vlan <vlan-id>
Создаем L3 интерфейс
interface Vlanif <vlan-id>
ip address <ip-address> <mask>
HDLC
interface serial 1/0/0
link-protocol hdlc
ip address <ip> <mask> - задаем адрес
ip unnambered int loopback 0 – либо привязываем адрес с другого интерфейса, рекомендуется брать адрес loopback интерфейса
display ip interface brief
PPP
Настройка ppp c authentication-mode pap
R1
sysname BRAS
aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
interface serial 1/0/0
link-protocol ppp
ppp authentication-mode pap
ip address 10.0.0.1 30
R2
sysname pap_client
interface serial 1/0/0
link-protocol ppp
ppp pap local-user huawei password cipher huawei
ip address 10.0.0.2 30
Настройка ppp c authentication-mode chap
R1
sysname BRAS
aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
interface serial 1/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 10.0.0.1 30
R2
sysname chap_client
interface serial 1/0/0
link-protocol ppp
ppp chap user huawei
ppp chap password cipher huawei
ip address 10.0.0.2 30
PPPoE
sysname BRAS
ip pool pool1
network 10.0.0.0 mask 255.255.255.0
gateway-list 10.0.0.254
interface virtual-template 1
ppp authentication-mode chap
ip address 10.0.0.254 24
remote address pool pool1
interface gigabitethernet 0/0/0
pppoe-server bind virtual-template 1
aaa
local-user huawei1 password cipher huawei
local-user huawei1 service-type ppp
sysname Client1
dialer-rule
dialer-rule 1 ip permit
interface dialer 1
dialer user user1
dialer-group 1
dialer bundle 1
ppp chap user huawei1
ppp chap password cipher huawei
dialer timer idle 300
dialer queue-length 8
ip address ppp-negotiate
Привязка PPPoE сессии:
interface gigabitethernet 0/0/1
pppoe-client dial-bundle-number 1
ip route-static 0.0.0.0 0.0.0.0 dialer 1
display interface dialer 1
NAT
static nat
interface gigabitethernet 0/0/1
ip address 192.168.1.254 24
interface gigabitethernet 0/0/2
ip address 200.10.10.1 24
nat static global 200.10.10.5 inside 192.168.1.1
display nat static
dynamic nat
nat address-group 1 200.10.10.11 200.10.10.16
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface gigabitethernet 0/0/1
nat inbound 2000 address-group 1 no-pat
display nat address-group 1
easy IP
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface gigabitethernet 0/0/1
nat outbound 2000
display nat outbound
nat internal server
interface gigabitethernet 0/0/1
ip address 192.168.1.254 24
interface gigabitethernet 0/0/2
ip address 200.10.10.1 24
nat server protocol tcp global 200.10.10.5 www inside 192.168.1.1 8080
display nat server
network address port translation
nat address-group 1 200.10.10.11 200.10.10.16
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface gigabitethernet 0/0/1
nat outbound 2000 address-group 1
display nat address-group 1
ACL
basic
acl 2000
rule deny source <ip-address> <wildcard mask> - создаем запрещающее правило
rule permit source <ip-address> <wildcard mask> - создаем разрешающее правило
interface gigabitethernet 0/0/0
traffic-filter outbound acl 2000 - привязываем ранее созданный acl на интерфейс к исходящему трафику
display acl 2000
advanced
acl 3000
rule deny tcp source <ip-address> <wildcard mask> destination <ip-address> <wildcard mask> destination-port eq 21
rule permit source <ip-address> <wildcard mask>
interface gigabitethernet 0/0/0
traffic-filter inbound acl 3000 - привязываем acl ко входящему трафику
display acl 3000
acl aplication nat
nat address-group 1 <start ip-address> <end ip-address>
acl 2000
rule permit source <ip-address> <wildcard mask>
interface gigabitethernet 0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
authorization-scheme auth1 - создаем схему авторизации.
authorization-mode local – локальная схема ( без сервера )
authentication-scheme auth2 - создаем схему аутентификации
authentication-mode local – локальная схема ( без сервера )
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
display domain name <domain-name>
disp local-user username <user-name>
