Пост агрегирует команды по базовой настройке коммутаторов и маршрутизаторов Huawei.
Datacom оборудование Huawei работает на операционной системе VRP - Versatile Routing
Platform, которая в свою очередь основана на VxWorks.
Platform, которая в свою очередь основана на VxWorks.
Версии VRP
не используются:
VRP 1 (1998-2001)
VRP2 (1999-2001)
VRP3 (2000-2004)
используются по настоящее время:
VRP5 (2000-now)
VRP8 (2009-now)
Доступ на устройства
Доступ через консольный порт осуществляется со следующими настройками (все аналогично cisco, в том числе консольный кабель):
bits per sec 9600
data bits 8
parity none
stop bits 1
flow control none
Basic
вход в режим конфигурирования
system view
вернуться на уровень назад
quit
вернуться на уровень назад
quit
команда отрицания (аналогично no в cisco)
undo
настройка пароля доступа по консольному порту
user-interface console 0
authentication-mode password
set
authentication
password cipher ...
настройка пароля доступа через виртуальный терминал
user-interface vty 0 4
authentication-mode password
set
authentication
password cipher ...
VLAN Principles
создание
vlan batch <ID VLAN>
interface <тип порта> <идентификатор порта>
port link-type access
port
access default vlan ...
interface <тип порта> <идентификатор порта>
port link-type trunk
port trunk allow-pass vlan <ID VLAN>
port link-type hybrid
port hybrid untagged vlan ...
port hybrid tagged vlan ...
port hybrid pvid vlan ...
...
создание L3 интерфейса
interface Vlanif <ID VLAN>
ip address <IP-address> <netmask>
Link Aggregation
L2 LAG
interface
Eth-trunk 1 - создали LAG группу
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
L3 LAG
interface
Eth-trunk 1 - создали LAG группу
// переход интерфейса к L3
undo portswitch
ip address
<IP-address> <netmask>
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
interface <тип порта> <идентификатор порта>
eth-trunk 1 -забиндили интерфейс
LACP(link aggregation control protocol)
system-view
lacp priority ... (The smaller the LACP system priority value, the higher the LACP system priority.)
int Eth-trunk 1 - создали LAG группу
mode lacp-static -выбрали режим
lacp preference ... (The smaller the LACP interface priority value, the higher the LACP interface priority)
STP
выбор стандарта
stp mode stp
активируется глобально и на интерфейсе
stp enable
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
stp priority 32768
на интерфейсе
stp disable
stp port priority ...
display stp brief
display stp instance 0 brief
RSTP
выбор стандарта
stp mode rstp
выключает edge порт при получении bpdu
stp bpdu-protection
на интерфейсе:
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние root-inconsistent - несогласованность корня)
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние
loop-inconsistent)
MSTP
stp mode mstp
stp region-configuration
region-name parapampam
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
active region-configuration
display stp region-configuration
Static routing
создаем статический маршрут
ip route-static ipaddress { mask | mask-length } interface-type interface-number [ nexthopaddress ] preference ...
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0 nexthopaddress
RIP
basic:
rip 1
version 2 (по умолчанию version 1)
network 10.0.0.0
анонс маршрута по умолчанию через rip
default-route originate
выключаем автоматическую суммаризацию маршрутов
undo summary
суммаризация маршрутов на интерфейсе
int g0/0/0
rip summary-address 172.16.0.0 255.255.0.0.
debug
debugging rip 1,
disp debugging
terminal debugging
undo debugging rip 1 or undo debugging all !!!
RIP Metric
int g0/0/0
устанавливает cost на порту для входящих маршрутов
rip metricin
устанавливает cost на порту для исходящих маршрутов
rip metricout
Loop prevention
rip poison-reverse
rip split horizon
Ограничение распространения маршрутной информации
int g0/0/0
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
rip 1
silent int g0/0/0 -
Authentification
int g0/0/0
rip authentification-mode simple ....
int g0/0/1
rip authentification-mode md5 usual ....
display
display rip <process_id> interface <interface> verbose
display rip 1 neighbor
OSPF
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
area 0
network ip address wildcard-mask
меняем расчет метрики
ospf 1
bandwidth-reference 10000
меняем cost, таймеры,
dr-priority
int g0/0/0
ospf cost 20
ospf timer hello ...
ospf timer dead ...
ospf dr-priority ...
Authentification
OSPF
Simple authentication:
ospf authentication-mode { simple [ [ plain ] <plaintext> | cipher <cipher-text >] | null }
Cryptographic authentication:
ospf authentication-mode {md5 | hmac-md5 } [ key-id { plain <plain-text >| [ cipher ] <cipher-text >} ].
Выключаем OSPF на порту (restrict OSPF operation)
ospf 1
silent-int g0/0/0
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
ospf 1
default-route-advertise
display
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
VRRP
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейса
GigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
int g0/0/0
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
mkdir <полный путь и имя директории>
Для удаления директории
rmdir <полный путь и имя директории>
Для удаления и переименование файла
delete <полный путь и имя файла>
rename <полный путь и имя файла> <полный путь и имя файла>
Для удаления файла без возможности восстановления
delete /unreserved <полный путь и имя файла>
Для восстановления файла
undelete <имя файла>
Для очистки «корзины»
reset recycle-bin
Удаление файла с конфигурацией
delete <полный путь и имя файла>
Сброс сохранненой конфигурации
reset saved-configuration
Узнать версию софта
display version
display device slot
Работа с ftp
Подключиться по ftp
ftp x.x.x.x
скачать файл
get example.zip
Подключиться по tftp
tftp x.x.x.x get example.zip
Указываем файл
startup config
startup system-software example.zip
HDLC
int s2/0/0
link-protocol hdlc
ip address x x x x xx
привязываем адрес loopback
ip unnambered int loopback 0
PPP
Настройка ppp c
authentication-mode pap
R1
sysname BRAS
aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode pap
ip address 10.0.0.1 30
R2
sysname pap_client
int s1/0/0
link-protocol ppp
ppp pap local-user huawei password cipher huawei
ip address 10.0.0.2 30
Настройка ppp c
authentication-mode chap
R1
sysname BRAS
aaa
local-user huawei password cipher huawei
local-user huawei service-type ppp
int s1/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 10.0.0.1 30
R2
sysname chap_client
int s1/0/0
link-protocol ppp
ppp chap user huawei
ppp chap password cipher huawei
ip address 10.0.0.2 30
PPPoE
display pppoe-server session all
display virtual-access
sysname BRAS
ip pool pool1
network 10.0.0.0 mask 255.255.255.0
gateway-list 10.0.0.254
int virtual-template 1
ppp authentication-mode chap
ip address 10.0.0.254 24
remote address pool pool1
int g0/0/0
pppoe-server bind virtual-template 1
aaa
local-user huawei1 password cipher huawei
local-user huawei1 service-type ppp
sysname Client1
dialer-rule
dialer-rule 1 ip permit
int dialer 1
dialer user user1
dialer-group 1
dialer bundle 1
ppp chap user huawei1
ppp chap password cipher huawei
dialer timer idle 300
dialer queue-length 8
ip address ppp-negotiate
int g0/0/0
pppoe-client dial-bundle-number 1
ip route-static 0.0.0.0 0.0.0.0 dialer 1
NAT
static nat
int g0/0/1
ip address 192.168.1.254 24
int s1/0/0
ip address 200.10.10.1 24
nat static global 200.10.10.5 inside 192.168.1.1
dynamic nat
nat address-group 1 200.10.10.11 200.10.10.16
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
int s1/0/0
nat inbound 2000 address-group 1 no-pat
easy IP
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
int s1/0/0
nat inbound 2000
nat internal server
nat server protocol tcp global x.x.x.x www inside x.x.x.x 8080
network address port translation
nat address-group 1 200.10.10.11 200.10.10.16
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
int s1/0/0
nat outbound 2000 address-group 1
display nat server
diplay nat outbound
diplay nat address-group 1
DHCP
interface pool configuration
dhcp enable
int g0/0/0
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
dhcp enable
ip pool pool1
network x.x.x.x mask xx
gateway-list x.x.x.x
lease day x
int g0/0/1
dhcp select global
dhcp relay
sysname dhcp server
dhcp enable
ip pool pool1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 10.10.10.1 255.255.255.252
dhcp select global
sysname dhcp relay
dhcp enable
dhcp server group 123
dhcp-server 10.10.10.1 0
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
dhcp select relay
dhcp relay server-select 123
ACL
basic
acl 2000
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter outbound acl 2000
advanced
acl 3000
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
rule permit source x.x.x.x wildcard mask
int g0/0/0
traffic-filter inbound acl 3000
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
acl 2000
rule permit source z.z.z.z wildcard mask
int g0/0/0
nat outbound 2000 address-group 1
AAA
настраиваем способ аутентификации
user-interface vty 0 4
authentication-mode aaa
aaa
создаем схему авторизации
authorization-scheme auth1
схема без сервера: radius...
authorization-mode local
создаем схему аутентификации
authentication-scheme auth2
схема без сервера: radius,diametr...
authentication-mode local
создаем домен и привязываем схемы аутентификации и авторизации
domain huawei
authentication-scheme auth2
authorization-scheme auth1
создаем пользователя в домене и указываем достпные сервисы и привилегии
local-user user1@huawei password cipher qwerty
local-user user1@huawei service-type telnet
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
user-int con 0
authentication aaa
local-user user1@huawei privilege level 0
display domain name huawei
disp local-user username user2@huawei
Other
Boot режим
1. Нажать Ctrl-B когда он перегружается по питанию
2. Пароль на boot режим Admin@huawei.com или huawei.com или huawei
Приветствие
header login information"......"
header shell information"........"
CLI terminal attributes
user-int con 0
history-command max-size ...
idle-timeout ...
Для одновременной настройки группы портов существует возможность создать port-group
port-group <имя группы>
и добавить в нее нужные интерфейсы
group-member GigabitEthernet 0/0/3 to GigabitEthernet 0/0/24
общие команды вводятся из режима port-group.
Отобразить настроенные port-group и их членов:
display port-group all
display virtual-cable-test Ethernet 0/0/1
P.S. Для более глубокого погружения в материал советую воспользоваться справочником по всем железкам Huawei - Hedex.
Спасибо! Чуть больше бы описания, но даже так уже хорошо.
ОтветитьУдалить