Vlanif интерфейс что это
Black Box
Чем мы можем вам сегодня помочь?
Базовая настройка коммутатора Huawei Quidway Печать
Изменено: Чт, 14 Июл, 2016 at 9:58 AM
Сетевое оборудование компании Huawei занимает все более прочные позиции на российском рынке. Тем не менее, у многих системных администраторов еще недостаточно опыта для его качественной настройки. Статья по базовой настройке коммутаторов Huawei Quidway призвана восполнить данный пробел.
В статье мы рассмотрим настройку коммутатора Huawei Quidway S2309TP-SI с версией прошивки V100R005C01SPC100.
Настройку произведем в соответствии с топологией изображенной ниже сети. В конце статьи вы сможете скачать файл конфигурации для использования в вашем коммутаторе.
Топология тестовой сети
Как видно на приведенной схеме, тестовая сеть содержит два vlan.
Общие настройки Huawei Quidway
Настройка имени устройства
Настройка даты и времени
Настройка времени и даты на коммутаторе выполняется не в привилегированном режиме. Необходимо указать часовой пояс и, непосредственно, дату и время
Проверка установленных даты и времени производится с помощью команды display clock
Отключение неиспользуемых сервисов
Отключаем http сервер.
Настройка доступа на Huawei Quidway
Настройка правил аутентификации и авторизации
Настройки аутентификации и авторизации оставляем без изменения:
Настройка учетной записи
Добавляем пользователя huawei. Задаем для пользователя пароль, указываем допустимый уровень привилегий и используемый сервис. В нашем случае, указываем сервис ssh. Небезопасный протокол telnet не используем. Также, отключаем созданного по умолчанию пользователя admin.
Настройка удаленного управления по SSH
В моей предыдущей статье уже была подробно описана настройка SSH на коммутаторах Huawei Quidway, поэтому в данном пункте я лишь кратко приведу пункты конфигурации.
Настройка подключения по консоли
Для подключения к Quidway по консоли используем локальную аутентификацию. Задаем
подключившемуся пользователю максимальный приоритет. Устанавливаем время простоя сессии в 30 минут.
Настройка SFTP сервера для доступа к файлам во flash памяти коммутатора
Для безопасного доступа к flash памяти Huawei Quidway по SFTP необходимо настроить доступ по SSH как описано выше и включить SFTP сервер на коммутаторе. В нашем примере, для доступа по SFTP используется учетная запись huawei (совпадает с учетной записью для доступа по SSH).
Настройка VLAN и портов в Huawei Quidway.
Создание VLAN
Создаем на Quidway два vlan и указываем их название. Как уже указывалось выше, в vlan 1 будем осуществлять управление коммутатором, в vlan 2 будет предоставляться сервис.
Cоздание интерфейса vlanif для удаленного управления
Создаем виртуальный интерфейс Vlanif 1 и назначаем ему ip адрес. Интерфейс будет
использоваться для удаленного доступа на коммутатор.
Настройка магистрального порта
В магистральном порту прокидываем два vlan в тэгированном виде. Для этого переводим порт в режим trunk и разрешаем прохождение vlan 1 и 2. При просмотре конфигурации порта командой display configuration interface GigabitEthernet0/0/1, vlan 1 не отображается.
Настройка пользовательских портов
После настройки коммутатора Huawei Quidway, не забудьте сохранить конфигурацию при помощи команды save (выполняется в непривилегированном режиме). В противном случае, все выполненные настройки будут потеряны при перезагрузке коммутатора.
Файл конфигурации Huawei Quidway
Ниже приведен файл конфигурации для коммутатора Huawei Quidway S2309TP-SI, соответствующий описанным выше настройкам. В приведенной конфигурации используется логин huawei и пароль Huawei123. В моей предыдущей статье вы можете прочитать про то, как безопасно подменять файл конфигурации на коммутаторах Huawei Quidway.
Файл конфигурации Huawei Quidway S2309TP-SI: vrpcfg.zip
Начальная конфигурация коммутатора Huawei на примере S5720
В данной статье хочу разобрать базовую настройку коммутатора на примере.
Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.
переходим в режим конфигурации:
Даем имя коммутатору, например acess switch 01 — «ASW-01»:
Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:
Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:
Теперь перейдем к VLAN, создаем VLAN для management:
включим в этом VLAN DHCP snooping
выходим из настройки VLAN
Аналогичным образом создаем остальные VLAN, я для примера создаю следующие VLAN:
200 — VoIP
300 — Office
400 — Printer
C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:
назначаем пользователю уровень привилегий (15 самый высокий):
включаем доступ по SSH для пользователя:
отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):
Теперь перейдем к включению SSH на устройстве:
Создаем пару ключей для SSH:
Включаем доступ по SSH на линиях:
Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:
Настраиваем шлюз по умолчанию:
Перейдем к настройке UpLink интерфейса, как описано в требованиях выше, нам требуется собрать агрегированный интерфейс используя протокол LACP, использовать будем 10Gbit интерфейсы, имеющиеся в коммутаторе Huawei S5720-52X. У Huawei это называется Ether-Trunk, первым делом объявляем Ether-Trunk 1 и «проваливаемся» в его настройку:
затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:
указываем протокол LACP:
После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :
С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.
Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:
Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:
В качестве untagged VLAN и PVID указываем тот что используется для ПК:
т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)
наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:
Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:
Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.
На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl+Z и дав команду save:
Основы маршрутизации и VLAN Популярное
Давайте разберёмся с тем как два компьютера могут передавать друг другу информацию в сетях IPv4. Да, мы будем говорить только про четвёртую версию IP, шестую трогать не станем, всё-таки это самые основы.
Чтобы один компьютер мог отправить данные, а другой компьютер смог их принять, должно быть выполнено одно из двух условий:
Оба компьютера имеют IP-адреса в одной и той же IP сети и находятся в одном широковещательном домене.
Оба компьютера знают маршрут в подсеть своего «собеседника» и между ними есть настроенный маршрутизатор(ы).
Первый компьютер
Второй компьютер
Давайте быстренько вычислим эти адреса сетей для нашего примера и узнаем зачем они нужны. Для этого нам потребуется произвести операцию «побитного логическо го и» каждого байта IP- адреса с соответствующим ему байтом маски подсети. Если вы не знаете как работает эта операция, то вот небольшая подсказка (а более сложные примеры вы сможете рассчитать на калькуляторе в режиме «программист»):
Запишем это для нашего примера:
Адрес сети 1 = ( 192 & 255).(168 & 255).(0 & 255).(10 & 0) = 192.168.0.0
Адрес сети 2 = ( 192 & 255).(168 & 255).(0 & 255).(11 & 0) = 192.168.0.0
Как видно, оба адреса сети совпадают, а это означает, что данные отправленные компьютером 1 будут приняты компьютером 2 как данные от правильного источника к правильному адресату. То есть, обмен будет возможен.
Теперь перейдём ко второй части нашего условия — наши компьютеры должны находиться в одном широковещательном домене. На самом деле, это означает, что никакое устройство между ними не будет их данные блокировать. Например, если вы подключите один компьютер в порт WAN домашнего роутера, а второй — в порт LAN, то первый не сможет начать соединение со вторым по собственной инициативе (да и адреса у них будут из разных сетей). Это происходит из-за того, что роутер не даёт информации распространяться свободно — он ей управляет. Если же вы подключите оба компьютера в порты LAN вашего роутера, то они смогут без проблем обмениваться данными.
Если упростить, то компьютеры должны иметь возможность отправлять данные друг другу напрямую. Сам термин, правда, предполагает что компьютеры смогут получать широковещательные пакеты друг от друга. Широковещательные пакеты — это такие данные, которые по мнению их отправителя, должны знать все. Например, «я теперь в сети» или «а у кого адрес 192.168.0.11, ответьте срочно на адрес 192.168.0.10».
А теперь про маршрутизацию. Если уж так получилось, что адреса сетей компьютеров не совпадают, то они не имеют права отправлять друг другу данные напрямую. Они должны отправить их сначала своему маршрутизатору, а он уже должен думать дальше что с ними делать. В самом простом случае, у нас есть только один маршрутизатор в сети компьютера — шлюз по умолчанию. Адрес этого шлюза по умолчанию должен быть в той же сети, что и компьютер, иначе компьютер даже самому шлюзу ничего отправить не сможет. Важно не забыть, что шлюз должен быть настроен и на первом, и на втором компьютерах, иначе обмена данными не получится.
Не обязательно должен быть шлюз по умолчанию. Допустимо настроить в сети несколько маршрутизаторов, которые могут отправлять данные в разные сети. Только нужно будет на каждом компьютере занести их в таблицу маршрутизации.
Виртуальные локальные сети (VLAN)
Виртуальные локальные сети (VLAN) — это способ объединения компьютеров в разные широковещательные домены. То есть мы берём нашу сеть из, например, ста компьютеров, и делим её на две части по 50 компьютеров. После этого без помощи маршрутизаторов (шлюзов) друг с другом смогут общаться только две независимые группы по 50 компьютеров. А для общения между группами (VLAN’ами) они будут отправлять данные на маршрутизаторы, маршрутизаторы будут отправлять их уже в другую группу со своих портов, у которых есть адрес в нужной сети (пока не мучайтесь, если не ничего не поняли, потом объясню подробнее).
Коммутаторы в «тупом режиме»
Если мы никак не настраиваем коммутаторы, к которым подключены компьютеры, то они VLAN использовать не будут (на самом деле они будут все устройства рассматривать как устройства в VLAN 1).
Соединение без настройки VLAN на коммутаторе
В этом случае компьютеры из нашего примера попадут в один широковещательный домен и смогут друг с другом общаться.
Режимы портов коммутатора Huawei
Если же мы твёрдо решили разделять и властвовать, то придётся для начала объяснять коммутатору какие компьютеры в каком VLAN находятся. Рассмотрим простейший способ — назначение VLAN для интерфейса коммутатора. У нас есть три стандартных варианта типа порта: Access, Trunk и Hybrid. Меняется режим работы интерфейса командой:
Как только вы смените режим работы интерфейса, будьте готовы к тому, что связь по этому интерфейсу может оборваться. То есть если вы подключились к коммутатору удалённо и настраиваете его интерфейс, через который, собственно, с ним соединяетесь, будьте готовы бежать к нему, чтобы поправить конфигурацию на месте или перезагрузить его.
Рассмотрим подробно типы портов. Начнём с Access.
Режим работы Access
В этом режиме мы говорим коммутатору, к какому VLAN должны относиться устройства, которые подключаются к конкретному интерфейсу. В примере выше, коммутатор настроен таким образом, что первый интерфейс и все устройства, которые к нему подключены, относятся к VLAN 10 (VLAN с номером «10»). А четвёртый интерфейс со всеми его устройствами — к VLAN 20. Как мы видим, до того как данные попали в коммутатор, они не относятся ни к какому VLAN, а коммутатор уже «навешивает на них ярлыки».
После того как данные внутри коммутатора оказались помеченными тегами VLAN, они уже не могут просто так взять и перейти из одного VLAN в другой. Поэтому, наши компьютеры не смогут отправлять друг другу мемасики с котиками. Жаль!
Настройка таких портов на коммутаторе Huawei выглядит так (её нужно делать в режиме конфигурации интерфейса):
Рассмотрим более сложную схему с портами в режиме Trunk.
Схема соединения коммутаторов портами Trunk
В нашем примере, левый коммутатор настроен так, что он готов передавать и принимать данные от правого в двух VLAN – втором и третьем. А правый коммутатор готов работать только со вторым VLAN. Таким образом, левый коммутатор будет отправлять правому все данные из VLAN 2 и 3. И обрабатывать полученный трафик в тех же VLAN. А правый будет это делать только с VLAN 2. В итоге, обмен будет вестись только внутри VLAN 2.
Рассмотрим путь данных от первого компьютера ко второму:
Пакет данных от компьютера 192.168.0.10 попадает в левый коммутатор.
Левый коммутатор помечает этот пакет как относящийся к VLAN 2.
Пакет выходит из левого коммутатора вместе с тегом VLAN 2 и входит в первый порт правого коммутатора.
Правый коммутатор проверяет тег VLAN пришедшего пакета. Он находится в списке разрешённых, поэтому приём пакета разрешается.
Пакет попадает в коммутатор вместе со своим тегом VLAN 2.
Так как тег VLAN пакета совпадает с VLAN четвёртого порта, он успешно через него отправляется адресату. Перед этим с него снимается тег VLAN.
Настройка интерфейса в режиме Trunk на коммутаторах Huawei:
Статическая маршрутизация через VLANIF
Давайте представим, что мы всё-таки разделили нашу сеть на несколько VLAN. Рассмотрим как теперь компьютерам друг с другом общаться. Прежде всего вспомним, что им для этого обязательно нужен маршрутизатор. В роли маршрутизатора вполне может выступить и коммутатор даже серии Huawei S1700. Его задачей будет принимать пакеты в одном VLAN и отправлять их в другой.
Схема маршрутизации через VLANIF
Этой конфигурации будет достаточно для передачи информации внутри локальной сети. Но если нужна связь с другими сетями или интернетом, требуется настроить таблицу маршрутизации на коммутаторе-маршрутизаторе. Фактически, он будет производить маршрутизацию всех данных, которые к нему пришли, если будет знать куда их можно отправить. Между VLAN он это узнаёт по параметрам адресов VLANIF. Но можно добавить и дополнительные записи о маршрутизации. Рассмотрим только статические (подробно можно почитать в документации https://support.huawei.com/hedex/hdx.do?docid=EDOC1100175712&id=EN-US_TASK_0177104628&lang=en).
Пример для задания шлюза по умолчанию на коммутаторе Huawei:
После того как мы введём эту команду, коммутатор будет отправлять все пакеты, которые он «не смог никуда пристроить» именно на шлюз 192.168.0.10. Но если он будет находить более специфический маршрут (то есть с более длинной маской сети), он будет использовать его.
Virtual local area network (VLAN) изолирует широковещательные домены, не позволяя пользователям в разных VLAN взаимодействовать друг с другом. Однако таким пользователям иногда необходимо общаться, поэтому необходима связь между VLAN.
Как правило, существует три способа реализации связи между VLAN.
1. Использование физических интерфейсов маршрутизатора
Как показано на следующем рисунке, PC1 и PC2 принадлежат разным VLAN (и сегментам сети). Для обеспечения связи между PC R1 подключается к SW1 через два физических интерфейса (GE0/0/1 и G0E/0/2). Два физических интерфейса установлены в качестве шлюзов по умолчанию для PC в VLAN 10 и VLAN 20 соответственно. Таким образом, маршрутизатор может перенаправлять трафик из одного сегмента сети в другой.
Интерфейсы уровня 3 маршрутизатора не могут обрабатывать кадры данных с тегами VLAN. Следовательно, интерфейсы коммутатора, подключенного к маршрутизатору, должны быть настроены на тип доступа.
2. Использование субинтерфейсов маршрутизатора
В отличие от физического интерфейса, подчиненный интерфейс может завершать кадры данных тегами VLAN. Вы можете создать несколько подчиненных интерфейсов на одном физическом интерфейсе. После подключения физического интерфейса к магистральному интерфейсу коммутатора физический интерфейс может предоставлять услуги пересылки уровня 3 для нескольких VLAN.
Как показано на следующем рисунке, R1 подключается к SW1 через физический интерфейс (GE0 /0/1). Два субинтерфейса (GE0 /0/1.10 и GE0 /0/1.20) создаются на физическом интерфейсе и используются в качестве шлюзов по умолчанию для VLAN 10 и VLAN 20 соответственно.
Когда R1 получает кадр данных с VLAN 10, он пересылает его в GE 0/0/1.10 для обработки. GE0/0 /1.10 удаляет VLAN 10 и пересылает кадр без тега VLAN на GE0/0/1.20, GE0/ 0/1.20 добавляет тег VLAN 20 к кадру и пересылает кадр на SW1.
Это показывает, что субинтерфейс реализует завершение тега VLAN следующим образом:
· Добавляет теги VLAN к пакетам перед пересылкой пакетов.
Конфигурация подинтерфейса
[ R1] interface GigabitEthernet0/0/1.10 // Создает подчиненный интерфейс. Для облегчения запоминания номер субинтерфейса обычно совпадает с идентификатором VLAN, который должен завершаться на субинтерфейсе.
[ R 1- GigabitEthernet 0 / 0 /1.10] IP -адрес 192.168.10.254 24
[ R1-GigabitEthernet0 /0 /1.10] arp broadcast enable // По умолчанию широковещательная передача ARP не включена на субинтерфейсах завершения тега VLAN. Подинтерфейсы завершения тегов VLAN не могут пересылать широковещательные пакеты и автоматически отбрасывать полученные.
3. Использование интерфейсов VLAN-IF
Как показано на следующем рисунке, предполагается, что необходимые записи ARP или MAC-адреса уже существуют на PC и коммутаторе уровня 3.
Процесс связи между PC 1 и PC 2 следующий:
1. PC 1 выполняет расчет на основе своего локального IP-адреса и обнаруживает, что целевое устройство PC 2 не находится в его сетевом сегменте. Затем PC 1 определяет, что требуется связь уровня 3, и отправляет трафик, предназначенный для PC 2, на свой шлюз. Кадр данных, отправленный PC 1: MAC-адрес источника = MAC1, MAC-адрес назначения = MAC2
2. После получения пакета, отправленного с PC 1 на PC 2, коммутатор декапсулирует пакет и обнаруживает, что MAC-адрес назначения является MAC-адресом VLANIF 10. Затем коммутатор отправляет пакет в модуль маршрутизации для дальнейшей обработки.
4. Поскольку соответствующий маршрут является прямым маршрутом, коммутатор определяет, что пакет достиг последнего перехода. Он ищет 192.168.20.2 в своей таблице ARP, получает соответствующий MAC-адрес и отправляет пакет в модуль коммутации для повторной инкапсуляции.
5. Коммутационный модуль просматривает свою таблицу MAC-адресов, чтобы определить исходящий интерфейс кадра и нужно ли в кадре переносить тег VLAN. Кадр данных, отправленный модулем коммутации: MAC-адрес источника = MAC2, MAC-адрес назначения = MAC3, тег VLAN = нет.
К онфигурация VLAN-if.
Базовые конфигурации:
[SW1]vlan batch 10 20
[SW1] interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 2 0
Настройте интерфейсы VLANIF:
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1-Vlanif20]ip address 192.168.20.254 24
Настройка основных параметров у коммутаторов Huawei CloudEngine (на примере 6865)
Мы уже длительное время используем оборудование Huawei в продуктиве публичного облака. Недавно мы добавили в эксплуатацию модель CloudEngine 6865 и при добавлении новых устройств, появилась идея поделиться неким чек-листом или сборником базовых настроек с примерами.
В сети есть множество аналогичных инструкций для пользователей оборудования Cisco. Однако, для Huawei таких статей мало и иногда приходится искать информацию в документации или собрать из нескольких статей. Надеемся, будет полезно, поехали!
В статье опишем следующие пункты:
Первое подключение
По умолчанию коммутаторы Huawei поставляются без предварительных настроек. Без конфигурационного файла в памяти коммутатора, при включении запускается протокол ZTP (Zero Touch Provisioning). Не будем подробно описывать данный механизм, отметим лишь, что он удобен при работе с большим числом устройств или для осуществления настройки удалённо. Обзор ZTP можно посмотреть на сайте производителя.
Для первичной настройки без использования ZTP необходимо консольное подключение.
Параметры подключения (вполне стандартные)
Transmission rate: 9600
Data bit (B): 8
Parity bit: None
Stop bit (S): 1
Flow control mode: None
После подключения Вы увидите просьбу задать пароль для консольного подключения.
Задаем пароль для консольного подключения
An initial password is required for the first login via the console.
Continue to set it? [Y/N]: y
Set a password and keep it safe!
Otherwise you will not be able to login via the console.
Please configure the login password (8-16)
Enter Password:
Confirm Password:
Просто задайте пароль, подтвердите его и готово! Изменить пароль и прочие параметры аутентификации на консольном порту далее можно с помощью следующих команд:
Пример смены пароля
HUAWEI] user-interface console 0
[
HUAWEI-ui-console0] authentication-mode password
[
HUAWEI-ui-console0] set authentication password cipher
[*HUAWEI-ui-console0] commit
Настройка стекирования (iStack)
Желательно при стекировании задействовать аплинки, скорость которых обычно выше, чем у портов для подключения конечных устройств. Таким образом, можно получить большую пропускную способность при помощи меньшего количества портов. Также, для большинства моделей есть ограничения по использованию гигабитных портов для стекирования. Рекомендуется использовать минимум 10G порты.
Есть два варианта настройки, которые немного отличаются в последовательности шагов:
Предварительная настройка коммутаторов с последующим их физическим соединением.
Сначала установка и подключение коммутаторов между собой, потом их настройка для работы в стеке.
Последовательность действий для этих вариантов выглядит следующим образом:
Последовательность действий для двух вариантов стекирования коммутаторов
Рассмотрим второй (более длительный) вариант настройки стека. Для этого нужно выполнить следующие действия:
Планируем работы с учётом вероятного простоя. Составляем последовательность действий.
Осуществляем монтаж и кабельное подключение коммутаторов.
Настраиваем базовые параметры стека для master-коммутатора:
3.1. Настраиваем нужные нам параметры
Пример:
system-view
[
HUAWEI] sysname SwitchA
[HUAWEI] commit
[
SwitchA-stack] stack member 1 priority 150
[SwitchA-stack] stack member 1 domain 10
[SwitchA-stack] quit
[SwitchA] commit
SwitchA] interface stack-port 1/1
[SwitchA-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: After the configuration is complete,
1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack mode and be configured with the
port crc-statistics trigger error-down command if the configuration does not exist.
2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the interfaces.Continue? [Y/N]: y
[SwitchA-Stack-Port1/1] commit
[
SwitchA-Stack-Port1/1] return
Далее, нужно сохранить конфигурацию и перезагрузить коммутатор:
save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
reboot
Warning: The system will reboot. Continue? [Y/N]: y
4. Выключаем порты для стекирования на master-коммутаторе (пример)
SwitchA] interface stack-port 1/1
[*SwitchA-Stack-Port1/1] shutdown
[*SwitchA-Stack-Port1/1] commit
HUAWEI] sysname SwitchB
[*HUAWEI] commit
[
SwitchB-stack] stack member 1 priority 120
[*SwitchB-stack] stack member 1 domain 10
[*SwitchB-stack] stack member 1 renumber 2 inherit-config
Warning: The stack configuration of member ID 1 will be inherited to member ID 2
after the device resets. Continue? [Y/N]: y
[*SwitchB-stack] quit
[*SwitchB] commit
Настраиваем порты для стекирования. Обратите внимание, что несмотря на то, что была введена команда “stack member 1 renumber 2 inherit-config”, member-id в конфигурации используется со значением “1” для SwitchB.
Так происходит, потому что member-id коммутатора будет изменён только после перезагрузки и до неё коммутатор по-прежнему имеет member-id, равный 1. Параметр “inherit-config” как раз нужен для того, чтобы после перезагрузки коммутатора все настройки стека сохранились для member 2, которым и будет коммутатор, т.к. его member ID был изменён со значения 1 на значение 2.
SwitchB] interface stack-port 1/1
[*SwitchB-Stack-Port1/1] port member-group interface 10ge 1/0/1 to 1/0/4
Warning: After the configuration is complete,
1.The interface(s) (10GE1/0/1-1/0/4) will be converted to stack
mode and be configured with the port crc-statistics trigger error-down command if the configuration does
not exist.
2.The interface(s) may go Error-Down (crc-statistics) because there is no shutdown configuration on the
interfaces.
Continue? [Y/N]: y
[*SwitchB-Stack-Port1/1] commit
[
SwitchB-Stack-Port1/1] return
save
Warning: The current configuration will be written to the device. Continue? [Y/N]: y
reboot
Warning: The system will reboot. Continue? [Y/N]: y
6. Включаем порты стекирования на master-коммутаторе. Важно успеть включить порты до завершения перезагрузки коммутатора B, т.к. если включить их после, коммутатор B снова уйдёт в перезагрузку.
SwitchA] interface stack-port 1/1
[
SwitchA-Stack-Port1/1] undo shutdown
[*SwitchA-Stack-Port1/1] commit
[
SwitchA-Stack-Port1/1] return
7. Проверяем работу стека командой “display stack”
Пример вывода команды после правильной настройки
display stack
MemberID Role MAC Priority DeviceType Description
+1 Master 0004-9f31-d520 150 CE6850-48T4Q-EI
2 Standby 0004-9f62-1f40 120 CE6850-48T4Q-EI
+ indicates the device where the activated management interface resides.
8. Сохраняем конфигурацию стека командой “save”. Настройка завершена.
Настройка доступа
Выше мы работали через консольное подключение. Теперь к нашему коммутатору (стеку) нужно как-то подключаться по сети. Для этого ему нужен интерфейс (один или несколько ) с IP-адресом. Обычно для коммутатора адрес назначается на интерфейс в VLAN сети управления или на выделенный порт управления. Но тут, конечно же, всё зависит от топологии подключения и функционального назначения коммутатора.
Пример настройки адреса для интерфейса VLAN 1:
HUAWEI] interface vlan 1
[
HUAWEI-Vlanif1] ip address 10.10.10.1 255.255.255.0
[
HUAWEI-Vlanif1] commit
Предварительно можно явно создать Vlan и назначить ему имя, например:
Есть маленький лайфхак в плане именования — писать имена логических структур заглавными буквами (ACL, Route-map, иногда имена VLAN), чтобы было легче находить их в конфигурационном файле. Можете взять “на вооружение” 😉
Итак, у нас есть VLAN, теперь “приземляем” его на какой-нибудь порт. Для описанного в примере варианта делать это не обязательно, т.к. все порты коммутатора по умолчанию находятся в VLAN 1. Если хотим настроить порт в другой VLAN, пользуемся соответствующими командами:
Настройка порта в режиме access:
Switch] interface 25GE 1/0/20
[
Switch-25GE1/0/20] port link-type access
[
Switch-25GE1/0/20] port access vlan 10
[
Switch-25GE1/0/20] commit
Switch] interface 25GE 1/0/20
[
Switch-25GE1/0/20] port link-type trunk
[
Switch-25GE1/0/20] commit
С настройкой интерфейсов разобрались. Перейдём к конфигурации SSH.
Приведем только необходимый набор команд:
Назначаем имя коммутатору
HUAWEI] sysname SSH Server
[*HUAWEI] commit
SSH Server] rsa local-key-pair create //Generate the local RSA host and server key pairs.
The key name will be: SSH Server_Host
The range of public key size is (512
2048).
NOTE: Key pair generation will take a short while.
Input the bits in the modulus [default = 2048] : 2048
[*SSH Server] commit
SSH Server] user-interface vty 0 4
[
SSH Server-ui-vty0-4] authentication-mode aaa
[SSH Server-ui-vty0-4] user privilege level 3
[SSH Server-ui-vty0-4] protocol inbound ssh
[*SSH Server-ui-vty0-4] quit
[SSH Server] aaa
[SSH Server-aaa] local-user client001 password irreversible-cipher
[SSH Server-aaa] local-user client001 level 3
[SSH Server-aaa] local-user client001 service-type ssh
[SSH Server-aaa] quit
[SSH Server] ssh user client001 authentication-type password
SSH Server] stelnet server enable
[*SSH Server] commit
SSH Server] ssh user client001 service-type stelnet
[*SSH Server] commit
Настройка завершена. Если вы все сделали верно, то можно подключиться к коммутатору по локальной сети и продолжить работу.
Больше подробностей по настройке SSH можно найти в документации Huawei — первая и вторая статья.
Настройка базовых параметров системы
В этом блоке рассмотрим небольшое количество различных блоков команд для настройки наиболее популярных возможностей.
1. Настройка системного времени и его синхронизация по NTP.
Для настройки времени локально на коммутаторе можно использовать следующие команды:
clock timezone
clock datetime [ utc ] HH:MM:SS YYYY-MM-DD
Пример настройки времени локально
clock timezone MSK add 03:00:00
clock datetime 10:10:00 2020-10-08
Для синхронизации времени по NTP с сервером вводим следующую команду:
ntp unicast-server [ version number | authentication-keyid key-id | source-interface interface-type
Пример команды для синхронищации времени по NTP
ntp unicast-server 88.212.196.95
commit
ip route-static ip-address
Пример команды для создания маршрутов:
system-view
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
commit
3. Настройка режима работы протокола Spanning-Tree.
Для корректного использования нового коммутатора в существующей сети важно уделить внимание выбору режима работы STP. Также, неплохо бы сразу настроить его. Надолго останавливаться здесь не будем, т.к. тема достаточно обширная. Опишем лишь режимы работы протокола:
stp mode < stp | rstp | mstp | vbst > — в этой команде выбираем нужный нам режим. Режим по умолчанию: MSTP. Он же является рекомендуемым режимом для работы на коммутаторах Huawei. Обратная совместимость с RSTP имеется.
system-view
stp mode mstp
commit
4. Пример настройки порта коммутатора для подключения конечного устройства.
Рассмотрим пример настройки acess-порта для обработки траффика в VLAN10
[SW] interface 10ge 1/0/3
[SW-10GE1/0/3] port link-type access
[SW-10GE1/0/3] port default vlan 10
[SW-10GE1/0/3] stp edged-port enable
[*SW-10GE1/0/3] quit
Также, может быть полезна команда “stp bpdu-filter enable”.
5. Пример настройки Port-Channel в режиме LACP для подключения к другим коммутаторам или серверам.
[SW] interface eth-trunk 1
[SW-Eth-Trunk1] port link-type trunk
[SW-Eth-Trunk1] port trunk allow-pass vlan 10
[SW-Eth-Trunk1] mode lacp-static (или можно использовать lacp-dynamic)
[SW-Eth-Trunk1] quit
[SW] interface 10ge 1/0/1
[SW-10GE1/0/1] eth-Trunk 1
[SW-10GE1/0/1] quit
[SW] interface 10ge 1/0/2
[SW-10GE1/0/2] eth-Trunk 1
[*SW-10GE1/0/2] quit
Не забываем про “commit” и далее уже работаем с интерфейсом eth-trunk 1.
Проверить состояние агрегированного линка можно командой “display eth-trunk”.
Мы описали основные моменты настройки коммутаторов Huawei. Конечно, в тему можно погрузиться еще глубже и ряд моментов не описан, но мы старались показать основные, наиболее востребованные команды для первичной настройки.
Надеемся что этот “мануал” поможет вам настроить коммутаторы немного быстрее.
Также будет здорово, если вы в комментариях напишите команды, которых, по вашему мнению, не хватает в статье, но они также могут упростить настройку коммутаторов. Ну и, как обычно, будем рады ответить на ваши вопросы.