[FAQ] Базовая настройка коммутаторов и маршрутизаторов Huawei

Опубликовано 2019-3-4 15:23:07Последний ответ мар 04, 2019 16:49:59 1736 1 2 1

Basic

system view – входит в режим конфигурирования
quit – возвращает на уровень назад

undo - команда отрицания ( аналог “no” в cisco )

Настройка доступа по консоли 

user-interface console 0

authentication-mode password

set  authentication  password cipher <password>

Настройка доступа по Telnet

user-interface vty 0 4 – задаем количество одновременных виртуальных сессий

authentication-mode password – задаем способ аутентификации ( по паролю, либо aaa )

set  authentication  password cipher <пароль> - задаем пароль и шифруем его

Spanning Tree Protocol

stp mode stp - выбираем режим работы stp

stp enable – активируем stp, команду можно давать глобально, либо на определенных интерфейсах

stp disable – деактивирует stp, команду можно давать глобально, либо на определенных интерфейсах

stp root primary –  указываем кто будет рутом в топологии

stp root secondary – указываем второго по приоритету после рута

stp priority <priority> - указываем приоритет оборудования в топологии ( стандартное значение 32768 )

stp pathcost-standard <dot1d-1998/dot1t/legacy> - задаем способ расчета стоимости портов ( стандартный – dot1t )

stp port priority <priority> - указываем приоритет порта ( стандартное значение 128 )

stp port cost <cost> - указываем стоимость порта


display stp briefпоказать информацию о stp

display stp instance 0 brief

RSTP

stp mode rstp - выбираем режим работы rstp

stp bpdu-protection – оборудование выключает edged-port на интерфейсе, если тот получит bpdu

stp root-protection команда дается на designated портах, при получении лучшего bpdu порт коммутатора отбросит его

stp edged-port enable – команда дается на портах, к которым подключено конечное оборудование ( порт не будет принимать участие в расчете stp топологии ).

stp bpdu-filter enable – порт не будет принимать и отправлять bpdu ( используется в паре с предыдущей командой ).

stp loop-protection - технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding

MSTP

stp mode mstp - выбираем режим работы mstp

stp region-configuration – вход в режим конфигурации mstp

region-name <name> - задаем имя mstp региона.

instance <instance-id> vlan <vlan-id> to <vlan-id> привязываем нужные виланы к определенному инстансу ( например, instance 1 vlan 1 to 10 )

active region-configuration активируем конфигурацию mstp региона


display stp region-configuration показать информацию о mstp

Маршрутизация

Static routing

ip route-static <ip address> <mask | mask-length> [<interface-type> <interface-number> | <next hop address>] – создаем статический маршрут, например:

ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 0/0/1

ip route-static 192.168.1.0 24 10.1.1.1


ip route-static 0.0.0.0 0.0.0.0 <next hop address> - задаем маршрут по умолчанию

RIP

rip <process-id> - входим в режим конфигурирования rip процесса

version 2 – задаем версию rip ( по умолчанию стоит версия 1 )

network <network> – задаем какую сеть объявлять через процесс rip

default-route originate – анонсируем маршрут по умолчанию через rip

undo summaryвыключем суммирование маршрутов

rip summary-address <network> <mask> - команда дается на интерфейсе, включаем суммирование маршрутов.

Следующие команды даются на интерфейсе:

rip metricin <value> - устанавливаем стоимость на порту для входящих маршрутов

rip metricout <value> - устанавливаем стоимость на порту для исходящих маршрутов

rip poison-reverse – механизм защиты от петель

rip split horizon – механизм защиты от петель, по умолчанию включен на оборудовании

Ограничение распространения маршрутной информации

undo rip output – интерфейс не будет объявлять о маршрутах

undo rip input – интерфейс не будет принимать входящие сообщения о маршрутах

silent-interface <interface-type> <interface-number> - команда дается в процессе rip, интерфейс не передает информацию о маршрутах, но принимает и заносит в таблицу маршрутизации ( команда имеет бОльший приоритет, чем две предыдущие ).

Authentification RIP:

Команда дается на интерфейсе

rip authentification-mode simple [ <text> | cipher <text> ]

rip authentification-mode md5 usual [ <text> | cipher <text> ]

debug RIP:

debugging rip 1,

display debugging

terminal debugging

undo debugging rip 1 , либо 

undo debugging all

Вывод информации о RIP:

display rip <process-id>

display rip <process-id> interface <interface> verbose

display rip 1 neighbor – показывает информацию о соседях

OSPF

ospf 1 router-id 1.1.1.1 – включаем процесс ospf и задаем id

area <id> – задаем ospf зону для процесса

network <ip address> <wildcard-mask> - задаем сеть которую будем объявлять в ospf процессе

Меняем расчет метрики

ospf 1

bandwidth-reference <reference>

Команды даются на интерфейсе - меняем cost, hello и dead таймеры, dr-priority:

ospf cost 20

ospf timer hello <number>

ospf timer dead <number>

ospf dr-priority <number>

silent-interface <interface> - команда дается в процессе ospf. Отключаем OSPF на порту, порт не будет принимать hello пакеты и не будет устанавливаться соседство.

Authentification  OSPF:

Simple authentication:

ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null } 

Cryptographic authentication:

ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].

Объявление маршрута последней надежды через OSPF

ip route-static 0.0.0.0 0.0.0.0 <interface>

ospf 1

default-route-advertise

Вывод информации об OSPF:

display ospf peer brief

display ospf 1 <interface>

display ospf peer – выводит информацию о сеседях ( area, интерфейс, адрес интерфейса, статус соседства, id, режим master или slave )

DHCP

dhcp interface pool configuration

dhcp enable

interface <interface-id>

dhcp select interface

dhcp server dns-list <ip address>

dhcp server excluded-ip-address <ip address>

dhcp server lease day x


display ip pool interface <interface-id>

dhcp global pool configuration

dhcp enable

ip pool pool <name>

network <network> mask <mask>

gateway-list <gateway ip address>

lease day x

interface <interface-id>

dhcp select global


display ip pool

dhcp relay

sysname dhcp server

dhcp enable

ip pool pool 1

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

interface GigabitEthernet0/0/0

ip address 10.10.10.1 255.255.255.252

dhcp select global

 

sysname dhcp relay

dhcp enable

dhcp server group 123

dhcp-server 10.10.10.1 0

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

dhcp select relay

dhcp relay server-select 123

Link Aggregation

L2 LAG

interface  Eth-trunk 1 - создаем LAG группу

interface <port-type> <port-id>

eth-trunk 1 - добавляем интерфейс в созданную группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем второй интерфейс в созданную группу

L3 LAG

interface  Eth-trunk 1 - создаем LAG группу

undo portswitch – переводим интерфейс в L3

ip address  <ip-address> <mask>

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

interface <port-type> <port-id>

eth-trunk 1 – добавляем интерфейс в группу

LACP (link aggregation control protocol)

lacp priority <number> - команда дается глобально, чем меньше значение, тем выше будет приоритет LACP

int Eth-trunk 1 - создаем LAG группу

mode lacp-static – выбираем режим

lacp preference <number> - чем меньше значение, тем выше будет приоритет


display interface eth-trunk 1 - вывод информации об интерфейсе

Настройка VLAN

vlan batch <vlan-id> - создаем vlan

 

interface <port-type> <port-id>

   port link-type access

   port  access default vlan <vlan-id>

 

interface <port-type> <port-id>

   port link-type trunk

   port trunk allow-pass vlan <vlan-id>

 

port link-type hybrid

port hybrid untagged vlan <vlan-id>

port hybrid tagged vlan <vlan-id>

port hybrid pvid vlan <vlan-id>

 

Создаем L3 интерфейс

interface Vlanif <vlan-id> 

   ip address <ip-address> <mask>

HDLC

interface serial 1/0/0

   link-protocol hdlc

   ip address <ip> <mask> - задаем адрес

   ip unnambered int loopback 0 либо привязываем адрес с другого интерфейса, рекомендуется брать адрес loopback интерфейса


display ip interface brief

PPP

Настройка ppp c  authentication-mode pap

R1

sysname BRAS

aaa

   local-user huawei password cipher huawei

   local-user huawei service-type ppp

interface serial 1/0/0

   link-protocol ppp

   ppp authentication-mode pap

   ip address 10.0.0.1 30

 

R2

sysname pap_client

interface serial 1/0/0

   link-protocol ppp

   ppp pap local-user huawei password cipher huawei

   ip address 10.0.0.2 30

Настройка ppp c  authentication-mode chap

R1

sysname BRAS

aaa

   local-user huawei password cipher huawei

   local-user huawei service-type ppp

interface serial 1/0/0

   link-protocol ppp

   ppp authentication-mode chap

   ip address 10.0.0.1 30

 

R2

sysname chap_client

interface serial 1/0/0

   link-protocol ppp

   ppp chap user huawei

   ppp chap password cipher huawei

   ip address 10.0.0.2 30

PPPoE

sysname BRAS

ip pool pool1

   network 10.0.0.0 mask 255.255.255.0

   gateway-list 10.0.0.254

interface virtual-template 1

    ppp authentication-mode chap

    ip address 10.0.0.254 24

    remote address pool pool1

interface gigabitethernet 0/0/0

    pppoe-server bind virtual-template 1

aaa

    local-user huawei1 password cipher huawei

    local-user huawei1 service-type ppp

 

sysname Client1

dialer-rule

dialer-rule 1 ip permit

interface dialer 1

   dialer user user1

   dialer-group 1

   dialer bundle 1

ppp chap user huawei1

ppp chap password cipher huawei

dialer timer idle 300

dialer queue-length 8

ip address ppp-negotiate

 

Привязка PPPoE сессии:

interface gigabitethernet 0/0/1

   pppoe-client dial-bundle-number 1

   ip route-static 0.0.0.0 0.0.0.0 dialer 1


display interface dialer 1

NAT

static nat

interface gigabitethernet 0/0/1

   ip address 192.168.1.254 24 

interface gigabitethernet 0/0/2

   ip address 200.10.10.1 24 

nat static global 200.10.10.5 inside 192.168.1.1

 

display nat static

dynamic nat

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat inbound 2000 address-group 1 no-pat

 

display nat address-group 1

easy IP

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat outbound 2000

 

display nat outbound

nat internal server

interface gigabitethernet 0/0/1

   ip address 192.168.1.254 24

interface gigabitethernet 0/0/2

   ip address 200.10.10.1 24

nat server protocol tcp global 200.10.10.5 www inside 192.168.1.1 8080

 

display nat server

network address port translation

nat address-group 1 200.10.10.11 200.10.10.16

acl 2000

   rule 5 permit source 192.168.1.0 0.0.0.255

interface gigabitethernet 0/0/1

   nat outbound 2000 address-group 1

 

display nat address-group 1

ACL

basic

acl 2000

   rule deny source <ip-address> <wildcard mask> - создаем запрещающее правило

   rule permit source <ip-address> <wildcard mask> - создаем разрешающее правило

interface gigabitethernet 0/0/0

   traffic-filter outbound acl 2000 - привязываем ранее созданный acl на интерфейс к исходящему трафику

 

display acl 2000

advanced

acl 3000

   rule deny tcp source <ip-address> <wildcard mask> destination <ip-address> <wildcard mask> destination-port eq 21

   rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

   traffic-filter inbound acl 3000 - привязываем acl ко входящему трафику

 

display acl 3000

acl aplication nat

nat address-group 1 <start ip-address> <end ip-address>

acl 2000

   rule permit source <ip-address> <wildcard mask>

interface gigabitethernet 0/0/0

   nat outbound 2000 address-group 1

AAA

настраиваем способ аутентификации

user-interface vty 0 4

authentication-mode aaa

 

aaa

   authorization-scheme auth1 - создаем схему авторизации.

   authorization-mode local – локальная схема ( без сервера )

 

   authentication-scheme auth2 - создаем схему аутентификации

   authentication-mode local – локальная схема ( без сервера )

 

создаем домен и привязываем схемы аутентификации и авторизации

domain huawei

   authentication-scheme auth2

   authorization-scheme auth1

 

display domain name <domain-name>

disp local-user username <user-name>

  • x

KKV  Гость   Опубликовано 2019-3-4 16:49:59 Полезно(0) Полезно(0)
Здорово! Всё чётко и ясно.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Быстрый ответ Вверх