Читайте также:
|
|
Инструкция по настройке оборудования Huawei Quidway S2326
1. Необходимо подключиться к устройству с использованием консольного кабеля RS-232
1.1. При заводских настройках устройство не требует логина/пароля при подключении по порту управления RS-232. Логин/пароль для telnet по умолчанию admin/admin. Пароль на супер-пользователя отсутствует.
2. Переход в режим супер-пользователя производится командой super
3. Переход в режим конфигурирования производится командой system-view (при воводе команды меняется формат приглашения с <Quidway> на [Quidway])
4. Необходимо проконтролировать версию ПО.
4.1. Команда display version позволяет определить версию FW.
В настоящий момент используется версия ПО VRP (R) software, Version 5.70 (S2300 V100R005C01)
4.2. Команда display patch позволяет увидеть текущую версию наложенного патча.
В настоящий момент используется версия патча V100R005SPH002
4.3. В случае если версия ПО или версия патча не соответствует указанным в пунктах 4.1-4.2 требуется его заменить. Для этого нужно подключить коммутатор к ПК с установленным ПО tftp-сервера и фалами для загрузки в соответствующей папке посредством одного из Ethernet портов коммутатора. Настроить порт коммутатора в режиме доступа, и задать адрес управления.
4.3.1. Пример настройки порта для загрузки ПО
4.3.1.1. Допустим, что на ПК с установленным tftp-сервером установлен адрес 192.168.1.1/24. ПК подключен к настраиваемому коммутатору через порт Ethernet 0/0/1 – первый порт коммутатора. Тогда Процесс конфигурации может выглядеть следующим образом:
<Quidway> super
Now user privilege is 3 level, and only those commands whose level is equal to or less than this level can be used.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<Quidway> system-view
[Quidway] vlan 10
[Quidway] interface Ethernet 0/0/1
[Quidway -Ethernet0/0/1] undo port default vlan
[Quidway -Ethernet0/0/1] port link-type access
[Quidway -Ethernet0/0/1] port default vlan 10
[Quidway -Ethernet0/0/1] undo shutdown
[Quidway -Ethernet0/0/1] quit
[Quidway ] undo interface vlan 1
[Quidway] interface vlan 10
[Quidway-Vlanif10] ip address 192.168.1.2 255.255.255.0
[Quidway-Vlanif10] quit
[Quidway ]quit
<Quidway>
4.3.2. Замена ПО осуществляется следующим образом
4.3.2.1. Выполнить требования пункта 4.3.1.
4.3.2.2. Закачать на устройство файл с FW:
<Quidway> tftp 192.168.1.1 get S2300-V100R005C01.cc S2300-V100R005C01.cc
4.3.2.3. Закачать на устройство файл bootrom:
<Quidway> tftp 192.168.1.1 get bootrom128.bin bootrom128.bin
4.3.2.4. Указать коммутатору, с какого файла производить загрузку ПО в следующий раз:
<Quidway> startup system-software S2300-V100R005C01.cc
На заданный вопрос ответить yes
4.3.2.5. Проконтролировать с какого файла система будет производить загрузку
<Quidway> display startup
4.3.2.6. Перезагрузить коммутатор:
<Quidway> reboot
На вопрос о сохранении конфигурации ответить yes
На вопрос о подтверждении перезагрузки ответить yes
4.3.2.7. После перезагрузки коммутатора проконтролировать, что версия ПО соответствует указанной в пункте 4.1
4.3.3. Установка патча производится только на ПО той версии, для которой он предназначен.
4.3.3.1. Проконтролировать версию ПО способом указанным в пункте 4.1
4.3.3.2. Выполнить требования пункта 4.3.1.
4.3.3.3. Закачать на устройство файл с патчем
<Quidway> tftp 192.168.1.1 get S23_33_53-V100R005SPH002.pat S23_33_53-V100R005SPH002.pat
4.3.3.4. Деактивировать все предыдущие патчи
<Quidway> patch deactive all
4.3.3.5. Удалить все предыдущие патчи
<Quidway> patch delete all
4.3.3.6. Загрузить новый патч
<Quidway> patch load S23_33_53-V100R005SPH002.pat all
4.3.3.7. Активировать новый патч
<Quidway> patch active all
4.3.3.8. Запустить новый патч
<Quidway> patch run all
4.3.3.9. Проконтролировать, что новый патч запущен
<Quidway> display patch
Patch Package Name:flash:/v1r5c01sph002.pat
Patch Package Version:V100R005SPH002
********************************************************
* The hot patch information, as follows: *
********************************************************
Slot Type State Count
------------------------------------------------------------
0 C Running 42
Статус Running – говорит о том, что установка патча прошла успешно
4.3.3.10. Проконтролировать с какого файла система будет производить загрузку
<Quidway> display startup
4.3.3.11. Перезагрузить коммутатор:
<Quidway> reboot
На вопрос о сохранении конфигурации ответить yes
На вопрос о подтверждении перезагрузки ответить yes
4.3.3.12. После перезагрузки коммутатора проконтролировать, что патч запущен (п4.3.3.9)
4.4. После установки ПО или патча файлы со старым ПО или патчем требуется удалить из flash-памяти коммутатора.
4.4.1. Команда dir показывает список имеющихся фалов на flash-памяти коммутатора
4.4.2. Команда delete /unreserved <имя файла> удаляет файл.
5. Если выполнялись действия пункта 4.3, требуется сбросить конфигурацию коммутатора к заводским настройкам.
[Quidway] undo startup saved-configuration
После чего перезагрузить коммутатор
6. Задать имя коммутатора
[Quidway] sysname 1-23-lenin-ats3-sar
Имя коммутатора формируется в соответствии со следующими принципами:
<подъезд><буквенный индекс>-<дом>-<корпус>-<улица>-<атс>-<город>.
<подъезд> - не более 2 символов;
<буквенный индекс> - буквенный индекс коммутатора внутри одного подъезда (указывается только для второго и последующих коммутаторов);
<дом> - не более 4 символов;
<корпус> - не более 2 символов (указывается только при наличии корпуса в номере дома);
<улица> - не более 5 символов;
<атс> - не более 4 символов. АТС, где расположено магистральное оборудование к которому подключается цепочка с этим коммутатором;
<город> - не более 3 символов для Сарова=sar);
В населённых пунктах меньше города в поле <атс> записывать название населённого пункта.
Эти ограничения не жёсткие, т.е на усмотрение администраторов fttb могут не соблюдаться жёстко, например, использовать часть длины, отведённой на дом под улицу и т.п. Главное, соблюсти общее ограничение в 22 символа и использовать правильный суффикс. Можно использовать только латинские буквы, цифры и знак «-».
Например: 1-23-lenin-ats3-sar
7. Задать пароль супер-пользователя для локальной авторизации
[Quidway] super password level 3 cipher <утвержденный пароль супер-пользователя>
8. Произвести настройки loghost
[Quidway] info-center loghost 192.168.3.142 facility local5
9. Произвести глобальные настройки протокола STP
[Quidway] stp bpdu-protection
[Quidway] stp tc-protection
[Quidway] stp tc-protection threshold 1
[Quidway] stp enable
[Quidway] stp mode mstp
9.1. Для кольцевой топологии требуется настроить MSTP instance
Пример:
stp region-configuration
region-name region
instance 1 vlan 551 1101 1700 to 1724 3000 to 3019 4001
instance 2 vlan 552 1102 1725 to 1749 3020 to 3039 4002
instance 3 vlan 553 1103 1750 to 1774 3040 to 3059 4003
instance 4 vlan 554 1104 1775 to 1799 3060 to 3079 4004
instance 5 vlan 555 1105 1800 to 1824 3080 to 3099 4005
instance 6 vlan 556 1106 1825 to 1849 3100 to 3119 4006
instance 7 vlan 557 1107 1850 to 1874 3120 to 3139 4007
instance 16 vlan 1 to 550 558 to 1100 1108 to 1699 1875 to 2999 3140 to 4000 4008 to 4094
active region-configuration
Конфигурацию и количество mstp-instance необходимо согласовать с администраторами магистральной сети.
10. Включить глобальную поддержку функции IGMP-SNOOPING
[Quidway] igmp-snooping enable
11. Включить глобальную поддержку протокола LLDP
[Quidway] lldp enable
12. Включить глобальную поддержку функции DHCP-SNOOPING
[Quidway] dhcp enable
[Quidway] dhcp snooping enable
[Quidway] dhcp option82 remote-id format user-defined "%sysname"
13. Настроить авторизацию:
hwtacacs-server template vty
hwtacacs-server authentication 192.168.3.142 <Утвержденный порт tacacs сервера>
hwtacacs-server authorization 192.168.3.142 < Утвержденный порт tacacs сервера>
hwtacacs-server accounting 192.168.3.142 < Утвержденный порт tacacs сервера>
hwtacacs-server shared-key < Утвержденный ключ Tacacs сервера>
undo hwtacacs-server user-name domain-included
aaa
authentication-scheme default
authentication-scheme vty
authentication-mode hwtacacs local
authentication-super hwtacacs super
authorization-scheme default
authorization-mode local if-authenticated
authorization-scheme vty
authorization-mode hwtacacs if-authenticated
accounting-scheme default
accounting-scheme vty
accounting-mode hwtacacs
accounting realtime 1
accounting start-fail online
accounting interim-fail max-times 4 online
recording-scheme vty
recording-mode hwtacacs vty
cmd recording-scheme vty
system recording-scheme vty
domain default
domain default_admin
authentication-scheme vty
authorization-scheme vty
hwtacacs-server vty
local-user admin password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>
local-user admin privilege level 0
local-user admin ftp-directory flash:
local-user admin service-type telnet terminal ssh ftp
user-interface maximum-vty 8
user-interface con 0
authentication-mode aaa
set authentication password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>
user-interface vty 0 7
acl 2000 inbound
authentication-mode aaa
set authentication password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>
idle-timeout 60 0
14. Настроить access-list-ы, и политики строго в соответствии с ниже следующим без изменений (кроме 50 правила acl 2000):
acl number 2000
description MGMT
step 10
rule 10 permit source 192.168.3.142 0
rule 20 permit source 192.168.15.128 0.0.0.127
rule 30 permit source 192.168.54.0 0.0.0.31
rule 40 permit source 192.168.54.96 0.0.0.31
rule 50 permit source <IP-адрес и wildcard сети рабочих мест вашего тех персонала с которых предполагается иметь доступ для диагностики по telnet>
rule 500 deny
acl number 2020
description SNMP Common
step 10
rule 10 permit source 192.168.3.67 0
rule 20 permit source 192.168.3.137 0
rule 30 permit source 192.168.3.142 0
rule 40 permit source 192.168.15.128 0.0.0.127
rule 500 deny
#
acl number 2021
description SNMP FTTB
step 10
rule 10 permit source 192.168.3.142 0
rule 500 deny
acl number 4000
description Loopguard_IN
step 10
rule 10 permit l2-protocol 0x8863 source-mac 00e0-fc00-0000 ffff-ff00-0000
rule 20 permit l2-protocol 0x8864 source-mac 00e0-fc00-0000 ffff-ff00-0000
rule 30 permit l2-protocol 0x8863 source-mac 0018-8200-0000 ffff-ff00-0000
rule 40 permit l2-protocol 0x8864 source-mac 0018-8200-0000 ffff-ff00-0000
rule 50 permit l2-protocol 0x8863 source-mac 0025-9e00-0000 ffff-ff00-0000
rule 60 permit l2-protocol 0x8864 source-mac 0025-9e00-0000 ffff-ff00-0000
rule 70 permit l2-protocol 0x8863 source-mac 286e-d410-5100 ffff-ffff-ff00
rule 80 permit l2-protocol 0x8864 source-mac 286e-d410-5100 ffff-ffff-ff00
rule 90 permit l2-protocol 0x8863 source-mac 286e-d410-5200 ffff-ffff-ff00
rule 100 permit l2-protocol 0x8864 source-mac 286e-d410-5200 ffff-ffff-ff00
acl number 4010
description its
step 10
rule 10 permit
traffic classifier itr operator and
if-match acl 4010
traffic classifier Loopguard_IN operator or
if-match acl 4000
traffic behavior itr
deny
traffic behavior Loopguard_IN
deny
traffic policy itr
classifier itr behavior itr
traffic policy Loopguard_IN
classifier Loopguard_IN behavior Loopguard_IN
15. Объявить необходимые Vlan, использующиеся на этом коммутаторе и транзитные.
15.1. Vlan для управления обязательно должен иметь имя management. Пример:
vlan 1104
description managament
15.2. Vlan для услуги IPTV обязательно должен иметь имя IPTV и обязательно в нем должна быть включена функция igmp-snooping. Пример:
vlan 554
description IPTV
igmp-snooping enable
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1
dhcp snooping trusted interface GigabitEthernet0/0/2
последние 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)
15.3. Vlan для услуги VPN или услуги предоставления сети статических IP-адресов должен иметь имя IPoE как для данного так и для всех транзитных коммутаторов. На каждом коммутаторе в цепочке должны быть созданы все IPoE Vlan используемые в данной цепочке. Пример:
vlan 1775
description IPoE
15.4. Vlan для услуги DHCP обязательно должен иметь имя DHCP-MAINдля использования на данном коммутаторе и DHCP для всех транзитных коммутаторов. На каждом коммутаторе в цепочке должны быть созданы все DHCP Vlan используемые в данной цепочке. Пример:
vlan 3060
description DHCP
vlan 3068
description DHCP-MAIN
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1
dhcp snooping trusted interface GigabitEthernet0/0/2
эти 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)
dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта
данную команду требуется применить после того как Vlan прописан на порт для каждого порта.(см пункты 18.2,18.3)
ip source check user-bind enable
15.5. Vlan для услуги VoIP SIP обязательно должен иметь имя VoIP. Пример:
vlan 4004
description VoIP
dhcp snooping enable
ip source check user-bind enable
dhcp snooping trusted interface GigabitEthernet0/0/1
dhcp snooping trusted interface GigabitEthernet0/0/2
последние 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)
16. Настроить получение времени по NTP протоколу
[Quidway] ntp-service unicast-server 192.168.3.142
17. Настроить интерфейс управления коммутатором в соответствии с планом распределения адресов.
17.1. Интерфейс управления. Пример:
interface Vlanif1101
description *** MGMT ***
ip address 10.10.10.10 255.255.255.240
17.2. Маршрут по умолчанию. Пример:
ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
18. Настроить абонентские порты. Неиспользуемые порты обязательно должны быть заблокированы командой shutdown. Пример:
18.1. Неиспользуемый порт.
interface Ethernet0/0/1
description!
shutdown
port link-type access
mac-limit maximum 16
stp disable
stp root-protection
stp bpdu-filter enable
traffic-policy Loopguard_IN inbound
undo ntdp enable
undo ndp enable
undo lldp enable
port-isolate enable group 1
dhcp option82 circuit-id format user-defined <CIRCUIT-ID>
Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:
dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1
dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23
18.2. Порт в режиме access
interface Ethernet0/0/3
description *** -C- | ФИО абонента или название организации латинскими буквами vir Номер виртуального провода | Номер заявки
port link-type access
port default vlan 3225
mac-limit maximum 16
stp disable
stp root-protection
stp bpdu-filter enable
traffic-policy Loopguard_IN inbound
undo ntdp enable
undo ndp enable
undo lldp enable
port-isolate enable group 1
dhcp option82 circuit-id format user-defined <CIRCUIT-ID>
Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:
dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1
dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23
После назначения Vlan DHCP-MAIN обязательно надо добавить в настройках этого Vlan команду dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта (см пункт 15.4)
18.3. Порт в режиме trunk
interface Ethernet0/0/20
description *** -C- | ФИО абонента или название организации латинскими буквами vir Номер виртуального провода | Номер заявки
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 562 3223
mac-limit maximum 16
stp disable
stp root-protection
stp bpdu-filter enable
traffic-policy Loopguard_IN inbound
undo ntdp enable
undo ndp enable
undo lldp enable
port-isolate enable group 1
dhcp option82 circuit-id format user-defined <CIRCUIT-ID>
Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:
dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1
dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23
После назначения Vlan DHCP-MAIN обязательно надо добавить в настройках этогоVlan команду dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта(см пункт 15.4)
19. Настроить магистральные порты:
Пример:
interface GigabitEthernet0/0/1
description!
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 554 1104 1775 to 1799 3060 to 3079 4004
undo ntdp enable
undo ndp enable
undo negotiation auto
combo-port fiber – режим комбо-порта должен быть обязательно указан fiber или copper в соответствии с типом использованной линии (Иначе приводит к частым потерям синхронизации и линка)
20. Настроить доступ по протоколу SNMP
snmp-agent
snmp-agent community write <утвержденный community на запись> mib-view ALL acl 2021
snmp-agent community read <утвержденный community на чтение> mib-view ALL acl 2020
snmp-agent sys-info contact NOC
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.3.142 params securityname <утвержденное имя для сбора snmp trap > v2c
snmp-agent mib-view included ALL iso
snmp-agent trap enable basetrap
snmp-agent trap enable feature-name standard trap-name coldstart
snmp-agent trap enable feature-name standard trap-name warmstart
snmp-agent trap enable feature-name standard trap-name authentication
snmp-agent trap enable feature-name standard trap-name linkup
snmp-agent trap enable feature-name standard trap-name linkdown
21. Для удобства массовой настройки портов можно настроить группу. Пример:
port-group 1
group-member Ethernet0/0/1
group-member Ethernet0/0/2
group-member Ethernet0/0/3
group-member Ethernet0/0/4
group-member Ethernet0/0/5
group-member Ethernet0/0/6
group-member Ethernet0/0/7
group-member Ethernet0/0/8
group-member Ethernet0/0/9
group-member Ethernet0/0/10
group-member Ethernet0/0/11
group-member Ethernet0/0/12
group-member Ethernet0/0/13
group-member Ethernet0/0/14
group-member Ethernet0/0/15
group-member Ethernet0/0/16
group-member Ethernet0/0/17
group-member Ethernet0/0/18
group-member Ethernet0/0/19
group-member Ethernet0/0/20
group-member Ethernet0/0/21
group-member Ethernet0/0/22
group-member Ethernet0/0/23
group-member Ethernet0/0/24
22. Сохранение конфигурации. После выполнения всех изменений конфигурацию устройства требуется сохранить.
<1-23-lenin-ats3-sar > save
На вопрос Are you sure to continue?[Y/N] требуется ответить yes
23. Подготовленный конфигурационный файл можно забирать с коммутатора и заливать на коммутатор по протоколу tftp.
23.1. Забрать файл конфигурации с коммутатора можно по протоколу tftp, подготовив сервер как указано в пункте 4.3.1.1 при этом ПК может быть как локальный, так и удаленный, если коммутатор уже установлен, а ПК имеет адрес, входящий в сеть указанную в пункте 14 в acl 2000 rule 50+
Пример:
Дата добавления: 2015-08-27; просмотров: 806 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
E-MAP (Electric map) | | | Профессиональные навыки и знания |