Vlan batch huawei что это
Настройка сетевого оборудования компании HUAWEI (коммутация, статическая маршрутизация)
HUAWEI – одна из крупнейших китайских компаний в сфере телекоммуникаций. Основана в 1988 году.
Компания HUAWEI достаточно недавно вышла на российский рынок сетевого оборудования уровня Enterprise. С учётом тенденции тотальной экономии, на нашем предприятии очень остро встал вопрос о подборе достойной замены оборудованию Cisco.
В статье я попытаюсь рассмотреть базовые аспекты настройки сервисов коммутации и маршрутизации оборудования HUAWEI на примере коммутатора Quidway серии 5300.
Глобальные команды, режимы работы, cходства и различия с CLI CISCO.
Основные команды:
Настройка vlan интерфейсов, режимы работы физических портов коммутатора
Создание vlan
Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.
Vlan создан. Так же командой description можно задать описание или название vlan. В отличие от Cisco имя не является обязательным атрибутом при создании vlan.
Для передачи созданых vlan в пределах локальной сети используется протокол GVRP. Включается он командой gvrp в режиме system-view.
Так же gvrp должен быть разрешён на интерфейсе:
Совместимости с Cisco VTP (vlan transfer protocol) нет и быть не может.
Создание vlan интерфейса.
В отличие от Cisco, маску можно писать сокращённо. Очень удобно.
Думаю, что комментарии излишни.
Режимы работы портов
Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk.
Режим trunk
Настройка порта:
В отличие от коммутаторов Cisco, по-умолчанию, все vlan запрещены и их необходимо принудительно разрешить командой port trunk allow-pass vlan.
Нетэггированный native vlan на порту включается командой:
Настройка eth-trunk
Настройка STP
Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI.
Для включения STP на коммутаторе необходимо в режиме system-view ввести команду
По умолчанию, приоритет коммутатора HUAWEI, так же как и коммутатора Cisco равен 32768.
Просмотр информации о текущем состоянии портов:
Видно, что один из портов заблокирован, т. к. приоритет коммутатора Cisco оказался больше.
Просмотр глобальной информации об STP:
Изменим приоритет коммутатора HUAWEI. Сделаем его наименьшим: 4096.
Посмотрим, что порт разблокировался:
Общая информация об STP:
Статическая маршрутизация
Статические маршруты прописываются точно так же, как на оборудовании Cisco:
Просмотр таблицы маршрутизации:
На этом всё.
Если уважаемое сообщество заинтересуется материалом, планирую продолжить освещать настройку оборудования HUAWEI. В следующей статье рассмотрим настройку динамической маршрутизации.
Тонкости настройки контроллеров БЛВС в крупных учреждениях, которым важна стабильность работы сети
Сетевой инженер ГК «ОТР» Линда Новожилова рассказывает, как настраивает Wi-Fi-контроллеры на крупных проектах. Этот опыт пригодится тем, кто ещё не работал с сетями, но должен настроить контроллеры. Или тем, кто должен вникнуть в их работу, чтобы проверить, как нанятый специалист справился с задачей.
Что стоит учесть перед прочтением
Это решение — не образец. В подобных задачах не существует единственно верных решений. Критерий того, насколько решение верное, — выполнение поставленной задачи.
Здесь описано решение конкретной задачи и разобраны его элементы. Их можно использовать, если они подходят для достижения нужных целей. Принцип «прописать так на всякий случай» в такой ситуации не поможет — скорее навредит.
Мы намеренно не указываем чёткие имена темплейтов и профайлов. Это не инструкция. Подробное описание настроек познакомит вас с возможностями, но решение о целесообразности остаётся только за вами.
Если у вас нет чёткого понимания происходящего — не используйте эти настройки. За последствия отвечаете только вы.
Качество сети зависит не только от настроек. Когда мы приступили к работе, у заказчика уже был полностью разработан проект. Ему рассчитали мощности, добавили дублирующее оборудование и выдали список для закупок. За командой ОТР оставалось физическое воплощение проекта и настройка — не более.
Какая задача стояла перед командой
Мы создавали сеть на несколько учреждений.
Она была нужна одновременно и для внутреннего пользования, и для внешнего. В сети авторизовывались внешние пользователи и использовали её для получения услуг нашего клиента.
Сеть должна быть максимально безопасной — и при этом работать совершенно непрерывно. Каждый разрыв сети Wi-Fi обходился бы заказчику в две тысячи долларов, и подобные потери были бы недопустимы.
Какие настройки выставили и для чего
В этом разделе мы поэтапно разберём настройки. До настроек необходимо подключить к контроллеру консоль и загрузить нужную прошивку и патчи
1. Создаём конфигурационный файл
1.1. Задаём системное имя и включаем http-сервер, чтобы всё работало
[Huawei] http server enable
system-view
[Huawei] clock timezone MoscowSt.PetersburgVolgograd add 03:00:00
Если его не задать, сервера не смогут корректно передавать друг другу логи. Также начнутся проблемы с соединением у пользователей: большинство сервисов проверяет точное время и, если время на устройстве будет отличаться, сервис не позволит пользователю подключиться.
1.3. Заводим vlan’ы для устройств
system-view
[Huawei] vlan batch
Без vlan’ов пользователь не сможет подключиться к сервису.
1.4. Добавляем авторизацию через Radius
system-view
[Huawei] authentication-profile-name
[Huawei] dot1x-access-profile
[Huawei] authentication-scheme radius
[Huawei-authen-profile-radius] radius-server RADIUS_SERVER
[Huawei-authen-profile-radius] authentication-profile name default_authen_profile
[Huawei-authen-profile-radius] authentication-profile name dot1x_authen_profile
[Huawei-authen-profile-radius] authentication-profile name mac_authen_profile
[Huawei-authen-profile-radius] authentication-profile name macportal_authen_profile
[Huawei-authen-profile-radius] authentication-profile name portal_authen_profile
Здесь мы использовали Radius, чтобы централизовать авторизацию — так клиент получает расширенное логирование (и с десяток других мелких фишек), а его подрядчикам становится проще работать с сетью в будущем.
1.5. Настраиваем подключение к серверам DNS
system-view
[Huawei] dns resolve
[Huawei] dns server
[Huawei] dns server
Без серверов ни пользователь, ни администраторы сети не смогут подключиться ни к одному сайту. Сеть вместо доменных имён (типа yandex.ru) использует IP — и без DNS-серверов зайти на сайт можно только по этому самому IP.
1.6. Создаём пул vlan’ов
system-view
[Huawei] vlan pool
[Huawei] vlan
Через каждый vlan пользователи будут подключаться к нашей сети из различных её сегментов.
1.7. Задаём vlan и его имя для устройства, через которое мы будем управлять точками доступа в сеть.
system-view
[Huawei] vlan
[Huawei-vlan] name
system-view
[Huawei] radius-server template default
[Huawei-radius-default] radius-server shared-key cipher
[Huawei-radius-default] radius-server template RADIUS_SERVER
[Huawei-radius-RADIUS_SERVER] radius-server shared-key cipher
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] radius-server authentication weight 80
[Huawei-radius-RADIUS_SERVER] undo radius-server user-name domain-included
[Huawei-radius-RADIUS_SERVER] radius-server attribute translate
[Huawei-radius-RADIUS_SERVER] radius-server attribute message-authenticator access-request
[Huawei-radius-RADIUS_SERVER] radius-attribute set Called-Station-Id
system-view
[Huawei] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] acl name
[Huawei-acl-] rule 5 permit source
[Huawei-acl-] rule 10 permit source
system-view
[Huawei] aaa
[Huawei-aaa] authentication-scheme radius
[Huawei-aaa-authen-radius] authentication-mode radius
[Huawei-aaa-authen-radius] authentication-scheme radius_local
[Huawei-aaa-authen-radius_local] authentication-mode radius local
[Huawei-aaa-authen-radius_local] authorization-scheme default
[Huawei-aaa-authen-default] accounting-scheme default
[Huawei-aaa-author-default] local-aaa-user password policy administrator
[Huawei-aaa-author-default] password expire 0
[Huawei-aaa-author-default] domain default
[Huawei-aaa-domain-default] authentication-scheme radius
[Huawei-aaa-domain-default] radius-server default
[Huawei-aaa-domain-default] domain default_admin
[Huawei-aaa-domain-default_admin] authentication-scheme radius_local
[Huawei-aaa-domain-default_admin] radius-server RADIUS_SERVER
У нас авторизация происходит через Радиус.
Вне этой части обязательно прописывается локальный пользователь, чтобы он мог зайти в сеть без внешних сервисов. У нас это админы с максимальным уровнем привилегий.
1.10.1. Прописываем админов
[Huawei-aaa-domain-default_admin] local-user password irreversible-cipher
[Huawei-aaa-domain-default_admin] local-user privilege level 15
[Huawei-aaa-domain-default_admin] local-user service-type terminal ssh http
//Последняя строчка разрешает пользователю заходить и локально, без использования Радиуса.
system-view
[Huawei] interface
[Huawei-Vlanif] description =AC-Management=
[Huawei-Vlanif] ip address
[Huawei-Vlanif] vrrp vrid 1 virtual-ip
[Huawei-] admin-vrrp vrid 1
[Huawei-] vrrp vrid 1 priority 120
[Huawei-] vrrp vrid 1 preempt-mode timer delay 1800
[Huawei-] vrrp vrid 1 timer advertise 1
[Huawei-] management-interface // на модели 6005 эта команда не нужна
Эта настройка помогает использовать ранее созданные vlan’ы.
1.12. Настраиваем интерфейс для HSB между основными и резервными контроллерами
system-view
[Huawei] interface Vlanif
[Huawei-Vlanif] description =HSB Service=
[Huawei-Vlanif] ip address
Через эту настройку оборудование получает лицензии, нужные для подключения и работы.
1.13. Настраиваем линки между основным и резервным контроллером.
system-view
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan
Также настраиваем отдельный порт для HSB, нужного для передачи лицензий.
1.14. Указываем IP-адреса для работы HSB
system-view
[Huawei] hsb-service 0
[Huawei-hsb-service-0] service-ip-port local-ip peer-ip local-data-port 10241 peer-data-port 10241[Huawei-hsb-service-0] service-keep-alive detect retransmit 3 interval 6
[Huawei-hsb-service-0] hsb-group 0
[Huawei-hsb-group-0] track vrrp vrid 1 interface Vlanif
[Huawei-hsb-group-0] bind-service 0
[Huawei-hsb-group-0] hsb enable
system-view
[Huawei] interface Eth-Trunk1
[Huawei-Eth-Trunk1] port link-type trunk
[Huawei-Eth-Trunk1] undo port trunk allow-pass vlan 1
[Huawei-Eth-Trunk1] port trunk allow-pass vlan to
[Huawei-Eth-Trunk1] mode lacp-static
Этот интерфейс объединяет в себя другие, что повышает отказоустойчивость, скорость и стабильность передачи данных. Провести такие настройки можно не на каждой топологии — на нашей это было возможно.
1.16. Указываем, какие физические интерфейсы будут участвовать в eth-trunk’е
system-view
[Huawei] interface XGigabitEthernet0/0/1
[Huawei-XGigabitEthernet0/0/1] eth-trunk 1
[Huawei-XGigabitEthernet0/0/1] interface XGigabitEthernet0/0/2
[Huawei-XGigabitEthernet0/0/2] eth-trunk 1
system-view
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type access
[Huawei-GigabitEthernet0/0/2] port default vlan 2
[Huawei-GigabitEthernet0/0/2] interface GigabitEthernet0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 2
[Huawei-GigabitEthernet0/0/3] interface GigabitEthernet0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type access
[Huawei-GigabitEthernet0/0/4] port default vlan 2
[Huawei-GigabitEthernet0/0/4] interface GigabitEthernet0/0/5
[Huawei-GigabitEthernet0/0/5] port link-type access
[Huawei-GigabitEthernet0/0/5] port default vlan 2
[Huawei-GigabitEthernet0/0/5] interface GigabitEthernet0/0/6
[Huawei-GigabitEthernet0/0/6] port link-type access
[Huawei-GigabitEthernet0/0/6] port default vlan 2
[Huawei-GigabitEthernet0/0/6] interface GigabitEthernet0/0/7
[Huawei-GigabitEthernet0/0/7] port link-type access
[Huawei-GigabitEthernet0/0/7] port default vlan 2
И точно таким же образом настраиваем все неиспользуемые интерфейсы.
[Huawei-GigabitEthernet0/0/8] port link-type access
[Huawei-GigabitEthernet0/0/8] port default vlan 2
По сути отключаем эти порты, а на случай, если их кто-то ненамеренно включит, настраиваем vlan-блэкхолл, в котором ничего нельзя сделать. Так сеть становится безопаснее.
Важно! Эти настройки помогли сделать безопаснее нашу сеть. В вашем случае необходимо учесть модель контроллера и количество портов.
1.18. Настраиваем SNMP на КТД
system-view
[Huawei] snmp-agent community write
[Huawei] snmp-agent community complexity-check disable
[Huawei] snmp-agent sys-info contact Administrator
[Huawei] snmp-agent sys-info location
[Huawei] snmp-agent sys-info version v2c
[Huawei] snmp-agent target-host trap-hostname esight address udp-port
[Huawei] snmp-agent trap enable
[Huawei] snmp-agent
Это протокол для мониторинга, через который мы контролируем подключённые к сети устройства. Мы подключаем его везде, где требуется внимание администратора.
1.19. Настраиваем удалённый доступ через SSH
system-view
[Huawei] ssh client first-time enable
[Huawei] stelnet server enable
[Huawei] undo telnet ipv6 server enable
[Huawei] ssh server secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh server secure-algorithms hmac sha2_256 md5
[Huawei] ssh server key-exchange dh_group14_sha1
[Huawei] ssh client secure-algorithms cipher aes256_ctr aes128_ctr
[Huawei] ssh client secure-algorithms hmac sha2_256
[Huawei] ssh client key-exchange dh_group14_sha1
system-view
[Huawei] ip route-static 0.0.0.0 0.0.0.0
В нашей топологии у контроллера статический IP-адрес и статический маршрут по умолчанию.
1.22. Настраиваем CAPWAP
system-view
[Huawei] capwap source ip-address
Эта настройка задаёт адрес, на который ТД будут строить capwap-туннели, передающие информацию от контроллера к точкам доступа. Их используют для заливки софта и синхронизации определённых параметров.
1.23. Настраиваем доступ по консоли и терминалу для возможности локально авторизоваться
system-view
[Huawei] user-interface con 0
[Huawei-ui-console0] authentication-mode aaa
[Huawei-ui-console0] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
system-view
[Huawei-wlan] wlan
[Huawei-wlan-view] calibrate enable auto interval 60 start-time 09:34:30
[Huawei-wlan-view] traffic-profile name default
[Huawei-wlan-traffic-prof-default] undo traffic-optimize bcmc unicast-send dhcp
security-profile name default
[Huawei-wlan-traffic-prof-default] security-profile name default-wds
[Huawei-wlan-sec-prof-default-wds] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-default-wds] security-profile name
[Huawei-wlan-sec-prof] security wpa2 dot1x aes
[Huawei-wlan-sec-prof] security-profile name default-mesh
[Huawei-wlan-sec-prof-_default-mesh] security wpa2 psk pass-phrase
[Huawei-wlan-sec-prof-_default-mesh] ssid-profile name
[Huawei-wlan-ssid-prof-] ssid
[Huawei-wlan-ssid-prof-] vap-profile name
[Huawei-wlan-vap-prof-] service-vlan vlan-pool
[Huawei-wlan-vap-prof-] ssid-profile
[Huawei-wlan-vap-prof-] security-profile
Huawei-wlan-vap-prof-] authentication-profile
Дальше мы работаем с регионом. Мы используем типичные для РФ настройки, работая только на разрешённых частотах и оборудовании. В других странах другие требования и регламенты — обязательно проверьте их.
[Huawei-wlan-vap-prof-] regulatory-domain-profile name Russia
[Huawei-wlan-regulate-domain-Russia] country-code RU
[Huawei-wlan-regulate-domain-Russia] regulatory-domain-profile name default
[Huawei-wlan-regulate-domain-default] country-code RU
[Huawei-wlan-regulate-domain-default] ap-group name default
[Huawei-wlan-ap-group-default] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-default] radio 0
[Huawei-wlan-ap-group-default-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-default-radio0/0] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/0] radio 1
[Huawei-wlan-ap-group-default-radio0/1] vap-profile
wlan 1[Huawei-wlan-ap-group-default-radio0/1] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
system-view
[Huawei] wlan
[Huawei-wlan-view] master controller
[Huawei-master-controller] master-redundancy track-vrrp vrid 1 interface Vlanif
[Huawei-master-controller] master-redundancy peer-ip ip-address local-ip ip-address psk
Задаём трекинг и IP для обеспечения стабильности работы. У нас два взаимозаменяемых контроллера, поэтому мы настраиваем их работу следующим образом:
1.26. Задаём прошивку для подключаемых точек доступа
system-view
[Huawei-wlan-view] ap update update-filename ap-type 97
[Huawei-wlan-view] ap update update-filename ap-type 97 ap-group default
С этими настройками они точно будут поддерживать нужные функции и фишки. Мы выбрали FitAP2051DN_V200R010C00SPC800. После активации этой конфигурации прошивка будет загружаться автоматически в любую точку доступа, которую мы подключим в сеть.
1.27. Задаём типы подключаемых устройств и их идентификацию
system-view
[Huawei] device-profile profile-name @default_device_profile
[Huawei-device-prof-@default_device_profile] device-type default_type_phone
[Huawei-device-prof-@default_device_profile] enable
[Huawei-device-prof-@default_device_profile] rule 0 user-agent sub-match Android
[Huawei-device-prof-@default_device_profile] rule 1 user-agent sub-match iPhone
[Huawei-device-prof-@default_device_profile] rule 2 user-agent sub-match iPad
[Huawei-device-prof-@default_device_profile] if-match rule 0 or rule 1 or rule 2
Здесь это пока не используется — но при необходимости с этой настройкой можно задавать разные правила для Эппла и Андроида.
1.28. Настраиваем определение способа авторизации пользователей в сети
system-view
[Huawei] dot1x-access-profile name
[Huawei-dit1x-access-profile] dot1x-access-profile name dot1x_access_profile
Эта настройка нужна, если в сети можно авторизоваться с разных профайлов и разными способами.
1.29. Настраиваем NTP-клиент
system-view
[Huawei] ntp-service enable
[Huawei] ntp-service unicast-server
[Huawei] ntp-service unicast-server
Через этот клиент мы будем получать точнейшее время, единое для всех контроллеров. Это поможет правильно работать кластеру, серверам, сервисам и чему угодно, что задаёт проверку по системному времени.
2. Подключаем и настраиваем лицензию
Лицензия привязывается к серийному номеру контроллера и выдаётся на некоторое количество точек доступа. HSB выше настраивается как раз для того, чтобы не покупать лицензии на каждый из контроллеров, а легально их передавать в рамках одного кластера.
2.1. Согласно файлу лицензий на точки доступа заказываем лицензию на контроллер. Данные, которые необходимо предоставить для заказа лицензий: s/n контроллера, сетевое имя контроллера, количество точек доступа в лицензии без учёта дефолтных точек доступа.
2.2. После получения файла лицензии на точки доступа его необходимо загрузить на контроллер master.
2.3. Загружаем прошивку по tftp или ftp.
2.3. Загружаем прошивку по tftp или ftp.
tftp tftp_server_ip get license_file
ftp ftp_server_ip
[ftp] binary
[ftp] get license_file
3. Настраиваем группы
Здесь мы работаем с vlan-ами, их настройкой и распределением.
system-view
[Huawei] vlan pool
[Huawei-vlan-pool-pool] vlan // диапазон вланов для пользователей на конкретном коммутаторе распределения
system-view
[Huawei] wlan
[Huawei-wlan-view] vap-profile name
[Huawei-wlan-vap-prof—vap] service-vlan vlan-pool
[Huawei-wlan-vap-prof—vap] ssid-profile
[Huawei-wlan-vap-prof—vap] security-profile
[Huawei-wlan-vap-prof—vap] authentication-profile
// один vap-profile на один маршрутизатор сегмента сети
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-group name
[Huawei-wlan-ap-group-] regulatory-domain-profile Russia
[Huawei-wlan-ap-group-] radio 0
[Huawei-wlan-ap-group-radio0/0] radio-2g-profile without802.11b
[Huawei-wlan-ap-group-radio0/0] vap-profile
[Huawei-wlan-ap-group-radio0/0] radio 1
[Huawei-wlan-ap-group-radio0/1] vap-profile
// одна группа соответствует одному маршрутизатора, одного сегмента сети
4. Переименовываем точки доступа и добавляем их в группы
Чтобы проект соответствовал топологии и работал корректно, каждой точке доступа нужно присвоить группу. Если этого не сделать, точка доступа не сможет авторизовать пользователей и не будет применять настройки профайлов и групп, сделанных ранее.
system-view
[Huawei] wlan
[Huawei-wlan-view] ap-id
[Huawei-wlan-ap-] ap-name
[Huawei-wlan-ap-] ap-group
На этом настройка контроллеров завершена.
P. S. А что в подобных проектах обычно делаете вы? Какие выбираете сервисы, как настраиваете контроллеры? Есть ли у вас какие-то любимые фишки? Делитесь ими в комментариях — мы будем рады обратной связи и дополнению статьи.