Коммутатор Huawei. Начальная настройка.
Фото с Хабра
Давайте рассмотрим конкретный пример. Допустим, у нас в руках оказался коммутатор Huawei S5720-52X-PWR-SI-AC (140-150 тыс. рублей на момент написания статьи), который мы хотим настроить в качестве железки уровня доступа в крупный офис. Какие нам будут поставлены задачи?
1. Будем подключаться к уровню распределения с помощью агрегированного интерфейса LACP;
2. На access-портах юзаем voice VLAN, чтобы подключать компьютеры и телефонии одним портом;
3. Выведем в отдельный VLAN сетевые принтеры и прочие МФУ;
4. Wi-Fi точки подключим транком с PVID management VLAN;
5. Во избежание проблем запустим во всех VLAN DHCP snooping.
Переходим в режим конфигурирования:
<huawei>system-viewДадим коммутатору название, чтобы потом не путаться, типа access-sw01:
[huawei]sysname access-sw01Теперь нужно уяснить, что у нас будет использоваться voice VLAN, наши телефоны будут получать информацию по протоколу LLDP либо CDP, поэтому позднее включим совместимость с этим проприетарным цисковским протоколом. А пока глобально включим LLDP.
[access-sw01]lldp enableСразу включим DHCP Snooping, а перед этим непосредственно DHCP:
[access-sw01]dhcp enable
[access-sw01]dhcp snooping enableСоздадим VLAN управления, пусть это будет 100:
[access-sw01]vlan 100
[access-sw01-vlan100]description ManagementИ включим в нем DHCP Snooping:
[access-sw01-vlan100]dhcp snooping enableТеперь выйдем из дерева настройки VLAN.
[access-sw01-vlan100]quitТаким же макаром настроим другие вланы. 200 для VoIP, 300 офисным компьютерам и 400 на принтеры. Хорошо, с VLAN мы разобрались, что дальше? Нужно организовать доступ на коммутатор пользователю, например, admin с пароллем p@sSw0D.
[access-sw01]aaa
[access-sw01-aaa]local-user admin password irreversible-cipher p@sSw0DСразу назначим уровень доступа, тут всё по аналогии с циской:
[access-sw01-aaa]local-user admin privilege level 15И настраиваем удаленный доступ для нашего юзера:
[access-sw01-aaa]local-user admin service-type telnet terminal sshУберем опцию запроса смены пароля (она через определенное время выводит предложение сменить пароль):
[access-sw01-aaa]undo local-aaa-user password policy administrator
[access-sw01-aaa]quitТеперь включим SSH на устройстве:
[access-sw01]stelnet server enable
[access-sw01]ssh authentication-type default passwordИ сразу создадим SSH-ключи:
[access-sw01]rsa local-key-pair createАктивируем SSH-доступ на линиях:
[access-sw01]user-interface vty 0 4
[access-sw01-ui-vty0-4]authentication-mode aaa
[access-sw01-ui-vty0-4]protocol inbound ssh
[access-sw01-ui-vty0-4]quitНастроим интерфейс управления коммутатором. Мы с вами решили, что это будет VLAN 100, осталось назначить ему IP:
[access-sw01]interface Vlanif 100
[access-sw01-Vlanif100]ip address 10.0.0.10 24
[access-sw01-Vlanif100]quitИ настроим шлюз по-умолчанию:
[access-sw01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1Теперь приступим к настройке аплинка. Как мы помним, нужно поднять агрегированный интерфейс по протоколу LACP. Для них мы используем 10GBit-ные интерфейсы, которые имеются на этом свиче. У Huawei это зовется Ether-Trunk, поехали настраивать:
[access-sw01]interface Eth-Trunk 1Теперь скажем, какие порты будут входить в агрегированный интерфейс, нам достаточно парочки:
[access-sw01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2Установим протокол его работы:
[access-sw01-Eth-Trunk1]mode lacpИнтерфейс настроен, теперь сконфигурируем его в соответствии с поставленной задачей. Он смотрит в ядро, стало быть будет транком со всеми имеющимися вланами и доверенностью для DHCP Snooping:
[access-sw01-Eth-Trunk1]port link-type trunk
[access-sw01-Eth-Trunk1]port trunk allow-pass vlan all
[access-sw01-Eth-Trunk1]dhcp snooping trusted
[access-sw01-Eth-Trunk1]quitАплинк настроен, поехали по пользовательским портам. Порты 1-46 будут для юзеров, поэтому на них настроим voice и acces VLAN.
[access-sw01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46Эта настройка отличается от варианта Cisco. Мы переводим порт в hybrid, после чего назначаем voice VLAN и его же кидаем туда как tagged.
[access-sw01-port-group]port link-type hybrid
[access-sw01-port-group]voice-vlan 200 enable
[access-sw01-port-group]port hybrid tagged vlan 200Нетегированный влан пилим туда же и указываем соответствующий pvid.
[access-sw01-port-group]port hybrid pvid vlan 300
[access-sw01-port-group]port hybrid untagged vlan 300Порт у нас сугубо клиентский, поэтому вырубим STP
[access-sw01-port-group]stp edged-port enableВключим совместимость CDP на случай ипользования CIsco-телефонии. В описании анонсов будет отображаться Users:
[access-sw01-port-group]lldp compliance cdp receive
[access-sw01-port-group]description Users
[access-sw01-port-group]quitПорт 47 настроим для принтеров, просто нужный влан аксессом:
[access-sw01]interface GigabitEthernet 0/0/47
[access-sw01-GigabitEthernet0/0/47]port link-type access
[access-sw01-GigabitEthernet0/0/47]port default vlan 400
[access-sw01-GigabitEthernet0/0/47]description Printer
[access-sw01-GigabitEthernet0/0/47]quitПорт 48 настроим для точки Wi-Fi, и на ней будет висеть несколько SSID, настраивать будем транком. Точкой надо управлять, поэтому туда надо добавить Managment VLAN:
[access-sw01]interface GigabitEthernet 0/0/48
[access-sw01-GigabitEthernet0/0/48]port link-type trunk
[access-sw01-GigabitEthernet0/0/48]port trunk pvid vlan 100
[access-sw01-GigabitEthernet0/0/48]port trunk allow-pass vlan all
[access-sw01-GigabitEthernet0/0/48]description WirelessAP
[access-sw01-GigabitEthernet0/0/48]quitВ целом первичная настройка закончена. Выходим из режима system view клавишами Ctrl+Z и сохраняемся:
<access-sw01>save
The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip.
Are you sure to continue?[Y/N]yИ пара полезных команд:
>/] display current-configuration показывает текущий конфиг устройства
>/] display interface brief выводит список интерфейсов и их статус
>/] display elabel информация о железе, серийники, хардварные версии компонентов и т.п.
