Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Для использования в сети НФ ОАО «Ростелеком» для подключения абонентов по технологии DHCP

Читайте также:
  1. o возможность использования высококвалифицированных специалистов.
  2. VIII. Современные образовательные технологии и формирование кадрового резерва
  3. А) целям и средствам их использования
  4. Анализ эффективности использования материальных ресурсов.
  5. Анализ эффективности использования площадей
  6. Возражения, наиболее часто возникающие у клиентов против использования ЭДО, и наши аргументы для снятия этих возражений.
  7. ВОСЕМЬ УНИВЕРСАЛЬНЫХ ПРАВИЛ РАЦИОНАЛЬНОГО ИСПОЛЬЗОВАНИЯ ВРЕМЕНИ

Инструкция по настройке оборудования Huawei Quidway S2326

 

1. Необходимо подключиться к устройству с использованием консольного кабеля RS-232

1.1. При заводских настройках устройство не требует логина/пароля при подключении по порту управления RS-232. Логин/пароль для telnet по умолчанию admin/admin. Пароль на супер-пользователя отсутствует.

2. Переход в режим супер-пользователя производится командой super

3. Переход в режим конфигурирования производится командой system-view (при воводе команды меняется формат приглашения с <Quidway> на [Quidway])

4. Необходимо проконтролировать версию ПО.

4.1. Команда display version позволяет определить версию FW.

В настоящий момент используется версия ПО VRP (R) software, Version 5.70 (S2300 V100R005C01)

4.2. Команда display patch позволяет увидеть текущую версию наложенного патча.

В настоящий момент используется версия патча V100R005SPH002

4.3. В случае если версия ПО или версия патча не соответствует указанным в пунктах 4.1-4.2 требуется его заменить. Для этого нужно подключить коммутатор к ПК с установленным ПО tftp-сервера и фалами для загрузки в соответствующей папке посредством одного из Ethernet портов коммутатора. Настроить порт коммутатора в режиме доступа, и задать адрес управления.

4.3.1. Пример настройки порта для загрузки ПО

4.3.1.1. Допустим, что на ПК с установленным tftp-сервером установлен адрес 192.168.1.1/24. ПК подключен к настраиваемому коммутатору через порт Ethernet 0/0/1 – первый порт коммутатора. Тогда Процесс конфигурации может выглядеть следующим образом:

<Quidway> super

Now user privilege is 3 level, and only those commands whose level is equal to or less than this level can be used.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

<Quidway> system-view

[Quidway] vlan 10

[Quidway] interface Ethernet 0/0/1

[Quidway -Ethernet0/0/1] undo port default vlan

[Quidway -Ethernet0/0/1] port link-type access

[Quidway -Ethernet0/0/1] port default vlan 10

[Quidway -Ethernet0/0/1] undo shutdown

[Quidway -Ethernet0/0/1] quit

[Quidway ] undo interface vlan 1

[Quidway] interface vlan 10

[Quidway-Vlanif10] ip address 192.168.1.2 255.255.255.0

[Quidway-Vlanif10] quit

[Quidway ]quit

<Quidway>

4.3.2. Замена ПО осуществляется следующим образом

4.3.2.1. Выполнить требования пункта 4.3.1.

4.3.2.2. Закачать на устройство файл с FW:

<Quidway> tftp 192.168.1.1 get S2300-V100R005C01.cc S2300-V100R005C01.cc

4.3.2.3. Закачать на устройство файл bootrom:

<Quidway> tftp 192.168.1.1 get bootrom128.bin bootrom128.bin

 

4.3.2.4. Указать коммутатору, с какого файла производить загрузку ПО в следующий раз:

<Quidway> startup system-software S2300-V100R005C01.cc

На заданный вопрос ответить yes

4.3.2.5. Проконтролировать с какого файла система будет производить загрузку

<Quidway> display startup

4.3.2.6. Перезагрузить коммутатор:

<Quidway> reboot

На вопрос о сохранении конфигурации ответить yes

На вопрос о подтверждении перезагрузки ответить yes

4.3.2.7. После перезагрузки коммутатора проконтролировать, что версия ПО соответствует указанной в пункте 4.1

4.3.3. Установка патча производится только на ПО той версии, для которой он предназначен.

4.3.3.1. Проконтролировать версию ПО способом указанным в пункте 4.1

4.3.3.2. Выполнить требования пункта 4.3.1.

4.3.3.3. Закачать на устройство файл с патчем

<Quidway> tftp 192.168.1.1 get S23_33_53-V100R005SPH002.pat S23_33_53-V100R005SPH002.pat

4.3.3.4. Деактивировать все предыдущие патчи

<Quidway> patch deactive all

4.3.3.5. Удалить все предыдущие патчи

<Quidway> patch delete all

4.3.3.6. Загрузить новый патч

<Quidway> patch load S23_33_53-V100R005SPH002.pat all

4.3.3.7. Активировать новый патч

<Quidway> patch active all

4.3.3.8. Запустить новый патч

<Quidway> patch run all

4.3.3.9. Проконтролировать, что новый патч запущен

<Quidway> display patch

Patch Package Name:flash:/v1r5c01sph002.pat

Patch Package Version:V100R005SPH002

 

********************************************************

* The hot patch information, as follows: *

********************************************************

 

Slot Type State Count

------------------------------------------------------------

0 C Running 42

Статус Running – говорит о том, что установка патча прошла успешно

4.3.3.10. Проконтролировать с какого файла система будет производить загрузку

<Quidway> display startup

4.3.3.11. Перезагрузить коммутатор:

<Quidway> reboot

На вопрос о сохранении конфигурации ответить yes

На вопрос о подтверждении перезагрузки ответить yes

4.3.3.12. После перезагрузки коммутатора проконтролировать, что патч запущен (п4.3.3.9)

4.4. После установки ПО или патча файлы со старым ПО или патчем требуется удалить из flash-памяти коммутатора.

4.4.1. Команда dir показывает список имеющихся фалов на flash-памяти коммутатора

4.4.2. Команда delete /unreserved <имя файла> удаляет файл.

 

 

5. Если выполнялись действия пункта 4.3, требуется сбросить конфигурацию коммутатора к заводским настройкам.

[Quidway] undo startup saved-configuration

После чего перезагрузить коммутатор

6. Задать имя коммутатора

[Quidway] sysname 1-23-lenin-ats3-sar

Имя коммутатора формируется в соответствии со следующими принципами:

<подъезд><буквенный индекс>-<дом>-<корпус>-<улица>-<атс>-<город>.

 

<подъезд> - не более 2 символов;

<буквенный индекс> - буквенный индекс коммутатора внутри одного подъезда (указывается только для второго и последующих коммутаторов);

<дом> - не более 4 символов;

<корпус> - не более 2 символов (указывается только при наличии корпуса в номере дома);

<улица> - не более 5 символов;

<атс> - не более 4 символов. АТС, где расположено магистральное оборудование к которому подключается цепочка с этим коммутатором;

<город> - не более 3 символов для Сарова=sar);

 

В населённых пунктах меньше города в поле <атс> записывать название населённого пункта.

Эти ограничения не жёсткие, т.е на усмотрение администраторов fttb могут не соблюдаться жёстко, например, использовать часть длины, отведённой на дом под улицу и т.п. Главное, соблюсти общее ограничение в 22 символа и использовать правильный суффикс. Можно использовать только латинские буквы, цифры и знак «-».

Например: 1-23-lenin-ats3-sar

 

7. Задать пароль супер-пользователя для локальной авторизации

[Quidway] super password level 3 cipher <утвержденный пароль супер-пользователя>

 

8. Произвести настройки loghost

[Quidway] info-center loghost 192.168.3.142 facility local5

 

9. Произвести глобальные настройки протокола STP

[Quidway] stp bpdu-protection

[Quidway] stp tc-protection

[Quidway] stp tc-protection threshold 1

[Quidway] stp enable

[Quidway] stp mode mstp

9.1. Для кольцевой топологии требуется настроить MSTP instance

Пример:

stp region-configuration

region-name region

instance 1 vlan 551 1101 1700 to 1724 3000 to 3019 4001

instance 2 vlan 552 1102 1725 to 1749 3020 to 3039 4002

instance 3 vlan 553 1103 1750 to 1774 3040 to 3059 4003

instance 4 vlan 554 1104 1775 to 1799 3060 to 3079 4004

instance 5 vlan 555 1105 1800 to 1824 3080 to 3099 4005

instance 6 vlan 556 1106 1825 to 1849 3100 to 3119 4006

instance 7 vlan 557 1107 1850 to 1874 3120 to 3139 4007

instance 16 vlan 1 to 550 558 to 1100 1108 to 1699 1875 to 2999 3140 to 4000 4008 to 4094

active region-configuration

Конфигурацию и количество mstp-instance необходимо согласовать с администраторами магистральной сети.

10. Включить глобальную поддержку функции IGMP-SNOOPING

[Quidway] igmp-snooping enable

11. Включить глобальную поддержку протокола LLDP

[Quidway] lldp enable

12. Включить глобальную поддержку функции DHCP-SNOOPING

[Quidway] dhcp enable

[Quidway] dhcp snooping enable

[Quidway] dhcp option82 remote-id format user-defined "%sysname"

13. Настроить авторизацию:

hwtacacs-server template vty

hwtacacs-server authentication 192.168.3.142 <Утвержденный порт tacacs сервера>

hwtacacs-server authorization 192.168.3.142 < Утвержденный порт tacacs сервера>

hwtacacs-server accounting 192.168.3.142 < Утвержденный порт tacacs сервера>

hwtacacs-server shared-key < Утвержденный ключ Tacacs сервера>

undo hwtacacs-server user-name domain-included

aaa

authentication-scheme default

authentication-scheme vty

authentication-mode hwtacacs local

authentication-super hwtacacs super

authorization-scheme default

authorization-mode local if-authenticated

authorization-scheme vty

authorization-mode hwtacacs if-authenticated

accounting-scheme default

accounting-scheme vty

accounting-mode hwtacacs

accounting realtime 1

accounting start-fail online

accounting interim-fail max-times 4 online

recording-scheme vty

recording-mode hwtacacs vty

cmd recording-scheme vty

system recording-scheme vty

domain default

domain default_admin

authentication-scheme vty

authorization-scheme vty

hwtacacs-server vty

local-user admin password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>

local-user admin privilege level 0

local-user admin ftp-directory flash:

local-user admin service-type telnet terminal ssh ftp

user-interface maximum-vty 8

user-interface con 0

authentication-mode aaa

set authentication password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>

user-interface vty 0 7

acl 2000 inbound

authentication-mode aaa

set authentication password cipher <утвержденный пароль для локального пользователя при отсутствии авторизации по tacacs>

idle-timeout 60 0

 

14. Настроить access-list-ы, и политики строго в соответствии с ниже следующим без изменений (кроме 50 правила acl 2000):

acl number 2000

description MGMT

step 10

rule 10 permit source 192.168.3.142 0

rule 20 permit source 192.168.15.128 0.0.0.127

rule 30 permit source 192.168.54.0 0.0.0.31

rule 40 permit source 192.168.54.96 0.0.0.31

rule 50 permit source <IP-адрес и wildcard сети рабочих мест вашего тех персонала с которых предполагается иметь доступ для диагностики по telnet>

rule 500 deny

 

acl number 2020

description SNMP Common

step 10

rule 10 permit source 192.168.3.67 0

rule 20 permit source 192.168.3.137 0

rule 30 permit source 192.168.3.142 0

rule 40 permit source 192.168.15.128 0.0.0.127

rule 500 deny

#

acl number 2021

description SNMP FTTB

step 10

rule 10 permit source 192.168.3.142 0

rule 500 deny

 

acl number 4000

description Loopguard_IN

step 10

rule 10 permit l2-protocol 0x8863 source-mac 00e0-fc00-0000 ffff-ff00-0000

rule 20 permit l2-protocol 0x8864 source-mac 00e0-fc00-0000 ffff-ff00-0000

rule 30 permit l2-protocol 0x8863 source-mac 0018-8200-0000 ffff-ff00-0000

rule 40 permit l2-protocol 0x8864 source-mac 0018-8200-0000 ffff-ff00-0000

rule 50 permit l2-protocol 0x8863 source-mac 0025-9e00-0000 ffff-ff00-0000

rule 60 permit l2-protocol 0x8864 source-mac 0025-9e00-0000 ffff-ff00-0000

rule 70 permit l2-protocol 0x8863 source-mac 286e-d410-5100 ffff-ffff-ff00

rule 80 permit l2-protocol 0x8864 source-mac 286e-d410-5100 ffff-ffff-ff00

rule 90 permit l2-protocol 0x8863 source-mac 286e-d410-5200 ffff-ffff-ff00

rule 100 permit l2-protocol 0x8864 source-mac 286e-d410-5200 ffff-ffff-ff00

 

acl number 4010

description its

step 10

rule 10 permit

 

traffic classifier itr operator and

if-match acl 4010

traffic classifier Loopguard_IN operator or

if-match acl 4000

 

traffic behavior itr

deny

traffic behavior Loopguard_IN

deny

 

traffic policy itr

classifier itr behavior itr

traffic policy Loopguard_IN

classifier Loopguard_IN behavior Loopguard_IN

 

 

15. Объявить необходимые Vlan, использующиеся на этом коммутаторе и транзитные.

15.1. Vlan для управления обязательно должен иметь имя management. Пример:

vlan 1104

description managament

15.2. Vlan для услуги IPTV обязательно должен иметь имя IPTV и обязательно в нем должна быть включена функция igmp-snooping. Пример:

vlan 554

description IPTV

igmp-snooping enable

dhcp snooping enable

dhcp snooping trusted interface GigabitEthernet0/0/1

dhcp snooping trusted interface GigabitEthernet0/0/2

последние 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)

15.3. Vlan для услуги VPN или услуги предоставления сети статических IP-адресов должен иметь имя IPoE как для данного так и для всех транзитных коммутаторов. На каждом коммутаторе в цепочке должны быть созданы все IPoE Vlan используемые в данной цепочке. Пример:

vlan 1775

description IPoE

15.4. Vlan для услуги DHCP обязательно должен иметь имя DHCP-MAINдля использования на данном коммутаторе и DHCP для всех транзитных коммутаторов. На каждом коммутаторе в цепочке должны быть созданы все DHCP Vlan используемые в данной цепочке. Пример:

 

vlan 3060

description DHCP

vlan 3068

description DHCP-MAIN

dhcp snooping enable

dhcp snooping trusted interface GigabitEthernet0/0/1

dhcp snooping trusted interface GigabitEthernet0/0/2

эти 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)

dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта

данную команду требуется применить после того как Vlan прописан на порт для каждого порта.(см пункты 18.2,18.3)

ip source check user-bind enable

15.5. Vlan для услуги VoIP SIP обязательно должен иметь имя VoIP. Пример:

vlan 4004

description VoIP

dhcp snooping enable

ip source check user-bind enable

dhcp snooping trusted interface GigabitEthernet0/0/1

dhcp snooping trusted interface GigabitEthernet0/0/2

последние 2 команды применятся только после того как этот Vlan будет назначен на эти порты. (см пункт 19)

16. Настроить получение времени по NTP протоколу

[Quidway] ntp-service unicast-server 192.168.3.142

17. Настроить интерфейс управления коммутатором в соответствии с планом распределения адресов.

17.1. Интерфейс управления. Пример:

interface Vlanif1101

description *** MGMT ***

ip address 10.10.10.10 255.255.255.240

17.2. Маршрут по умолчанию. Пример:

ip route-static 0.0.0.0 0.0.0.0 10.10.10.1

 

18. Настроить абонентские порты. Неиспользуемые порты обязательно должны быть заблокированы командой shutdown. Пример:

18.1. Неиспользуемый порт.

interface Ethernet0/0/1

description!

shutdown

port link-type access

mac-limit maximum 16

stp disable

stp root-protection

stp bpdu-filter enable

traffic-policy Loopguard_IN inbound

undo ntdp enable

undo ndp enable

undo lldp enable

port-isolate enable group 1

dhcp option82 circuit-id format user-defined <CIRCUIT-ID>

Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:

dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1

dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23

 

18.2. Порт в режиме access

interface Ethernet0/0/3

description *** -C- | ФИО абонента или название организации латинскими буквами vir Номер виртуального провода | Номер заявки

port link-type access

port default vlan 3225

mac-limit maximum 16

stp disable

stp root-protection

stp bpdu-filter enable

traffic-policy Loopguard_IN inbound

undo ntdp enable

undo ndp enable

undo lldp enable

port-isolate enable group 1

dhcp option82 circuit-id format user-defined <CIRCUIT-ID>

Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:

dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1

dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23

 

 

После назначения Vlan DHCP-MAIN обязательно надо добавить в настройках этого Vlan команду dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта (см пункт 15.4)

18.3. Порт в режиме trunk

interface Ethernet0/0/20

description *** -C- | ФИО абонента или название организации латинскими буквами vir Номер виртуального провода | Номер заявки

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 562 3223

mac-limit maximum 16

stp disable

stp root-protection

stp bpdu-filter enable

traffic-policy Loopguard_IN inbound

undo ntdp enable

undo ndp enable

undo lldp enable

port-isolate enable group 1

dhcp option82 circuit-id format user-defined <CIRCUIT-ID>

Значение поля CIRCUIT-ID, должно быть 3 символа и состоять из символа <p>+<номер порта>, например:

dhcp option82 circuit-id format user-defined p01 – для порта Ethernet 0/0/1

dhcp option82 circuit-id format user-defined p23 – для порта Ethernet 0/0/23

 

После назначения Vlan DHCP-MAIN обязательно надо добавить в настройках этогоVlan команду dhcp option82 rebuild enable interface Ethernet 0/0/х, где х – номер порта(см пункт 15.4)

 

19. Настроить магистральные порты:

Пример:

interface GigabitEthernet0/0/1

description!

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 554 1104 1775 to 1799 3060 to 3079 4004

undo ntdp enable

undo ndp enable

undo negotiation auto

combo-port fiber – режим комбо-порта должен быть обязательно указан fiber или copper в соответствии с типом использованной линии (Иначе приводит к частым потерям синхронизации и линка)

20. Настроить доступ по протоколу SNMP

snmp-agent

snmp-agent community write <утвержденный community на запись> mib-view ALL acl 2021

snmp-agent community read <утвержденный community на чтение> mib-view ALL acl 2020

snmp-agent sys-info contact NOC

snmp-agent sys-info version all

snmp-agent target-host trap address udp-domain 192.168.3.142 params securityname <утвержденное имя для сбора snmp trap > v2c

snmp-agent mib-view included ALL iso

snmp-agent trap enable basetrap

snmp-agent trap enable feature-name standard trap-name coldstart

snmp-agent trap enable feature-name standard trap-name warmstart

snmp-agent trap enable feature-name standard trap-name authentication

snmp-agent trap enable feature-name standard trap-name linkup

snmp-agent trap enable feature-name standard trap-name linkdown

 

 

21. Для удобства массовой настройки портов можно настроить группу. Пример:

port-group 1

group-member Ethernet0/0/1

group-member Ethernet0/0/2

group-member Ethernet0/0/3

group-member Ethernet0/0/4

group-member Ethernet0/0/5

group-member Ethernet0/0/6

group-member Ethernet0/0/7

group-member Ethernet0/0/8

group-member Ethernet0/0/9

group-member Ethernet0/0/10

group-member Ethernet0/0/11

group-member Ethernet0/0/12

group-member Ethernet0/0/13

group-member Ethernet0/0/14

group-member Ethernet0/0/15

group-member Ethernet0/0/16

group-member Ethernet0/0/17

group-member Ethernet0/0/18

group-member Ethernet0/0/19

group-member Ethernet0/0/20

group-member Ethernet0/0/21

group-member Ethernet0/0/22

group-member Ethernet0/0/23

group-member Ethernet0/0/24

 

22. Сохранение конфигурации. После выполнения всех изменений конфигурацию устройства требуется сохранить.

<1-23-lenin-ats3-sar > save

На вопрос Are you sure to continue?[Y/N] требуется ответить yes

23. Подготовленный конфигурационный файл можно забирать с коммутатора и заливать на коммутатор по протоколу tftp.

23.1. Забрать файл конфигурации с коммутатора можно по протоколу tftp, подготовив сервер как указано в пункте 4.3.1.1 при этом ПК может быть как локальный, так и удаленный, если коммутатор уже установлен, а ПК имеет адрес, входящий в сеть указанную в пункте 14 в acl 2000 rule 50+

Пример:


Дата добавления: 2015-08-27; просмотров: 806 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
E-MAP (Electric map)| Профессиональные навыки и знания

mybiblioteka.su - 2015-2024 год. (0.053 сек.)