Professional Documents
Culture Documents
Quick Start Huawei 15
Quick Start Huawei 15
1. HUAWEI – Konfiguracja
a) Terminal VT-100
b) Klawisze funkcyjne
• ⇐⇒przesuwa kursor
• ⇓⇑ - poprzednia/następna linia
• Backspace – usuwa znak po lewej
• ctrl+d – usuwa znak po prawej
• TAB – dopełnia polecenie
• ? – pomoc
[AR18-12]display clock
Current router time:01:04:05 Jan 1 1998
[AR18-12]clock 15:48:00 12 10 2006
g) Konfiguracja kont
[AR18-12]local-user gosc service-type guest password simple haslo123
[AR18-12]local-user konto operatora service-type operator password cipher
31337
[AR18-12]local-user admin service-type administrator password cipher 1admin2
h) Sprawdzenie uprawnień
[AR18-12]display level
User Level: Administrator
i) Wylogowanie
[AR18-12]logout
j) Usuwanie wpisów
[AR18-12]undo
Polecenie ‘undo’ przed komenda zapisu powoduje usuniecie tego wpisu
k) Diagnostyka - statystyki
[AR18-12]display version
[AR18-12]vrbd
[AR18-12]display saved-configuration
[AR18-12]display current-configuration
[AR18-12]display system memory all
[AR18-12]display system cpu
[AR18-12]display client
[AR18-12]display base-information page
[AR18-12]display diagnostic-information
Do sprawdzania statystyk na porcie Ethernetowym słuŜą polecenia:
display brief interface [ type [ number ] ] [ | { begin | include | exclude} text ]
display interface type number [ .sub-number ]
display status interface interface-type interface-number
display interface { ethernet | gigabitethernet } [ interface-number ]
l) WWW
Jeśli dane urządzenie ma plik z www w pamięci flash to po wpisaniu adresu IP w
przeglądarkę następuje uruchomienie menu. Na switchach trzeba ustawić uŜytkownika
Vlan i IP oraz hasło dostępu.
3. Zapis ustawień
(Poleceniem ‘save’ zapisujemy ustawienia do jakiegoś pliku i urządzenie później z niego
startuje)
4. Usuwanie Plików
[Quidway]dir /
[Quidway]delete
5. Reset ustawień
ctr-z
<S3900#4>delete vrpcfg.cfg
<S3900#4>reset recycle-bin
<lanex>reset saved-configuration
<lanex>reboot
a) Tylko na hasło
[Quidway]user-interface vty 0 4
(zakres linii do zatelnetowania, my konfigurujmy jednocześnie kilka max. 4)
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication password cipher lanex
(hasło cipher-niewidoczne; sliper-widoczne)
[Quidway-ui-vty0-4]user privilege level 3
(są 3 warstwy, 3 oznacza administrator)
b) UŜytkownik i hasło
[Router1]local-user test
New local user added.
[Router1-luser-test]password simple test
[Router1-luser-test]service-type telnet level 3
[Router1-luser-test]quit
Router1]user-interface vty 0 4
[Router1-ui-vty0-4] authentication-mode scheme
[Quidway-isp-test21]accounting optional
[Quidway-isp-test21]quit
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode scheme
[Quidway-ui-vty0-4]quit
[Quidway]super password level 3 simple test
wyłączanie domen
[Quidway]un dom lanex1
[Quidway]und dom system
[Quidway]dom system
[Quidway]disp cur
śeby z inną domeną współpracował serwer Radius to wybieramy taką samą jak do logowania
np.: test@domena
Podobna do powyŜej trzecia metoda Traaffic Shaping (TS), która zamiast odrzucać pakiet,
buforuje je i wysyła najszybciej jak tylko moŜna (czyli jeśli znajdzie wolne pasmo)
qos gts acl 3011 cir 1000000 cbs 1000000 ebs 0
<Quidway>system-view
Enter system view , return user view with Ctrl+Z.
[Quidway]sysname Switch
[Switch]vlan 2
[Switch-vlan2]port Ethernet 1/0/1 to Ethernet 1/0/8
[Switch-vlan2]vlan 3
[Switch-vlan3]port Ethernet 1/0/9 to Ethernet 1/0/16
A)
[Switch A]gvrp
%GVRP is enabled globally.
[Switch A]interface Ethernet 1/0/17
[Switch A-Ethernet1/0/17]port link-type trunk
[Switch A-Ethernet1/0/17]port trunk permit vlan all
[Switch A-Ethernet1/0/17]gvrp
%GVRP is enabled on port Ethernet1/0/17.
B)
[lanexB]interface Ethernet 1/0/21
[lanexB-Ethernet1/0/21]port access vlan 19
Nie musimy tworzyć VLAN, jedynie na danym porcie i jest on automatycznie przypisywany
oraz staje się z dynamicznego statycznym. W Cisco po wyłączeniu VLANu następuje utrata
pozostałych VLANów.
W komputerze ustawiamy adres routera (bramy) przez, którą ma być dalej ruch
dystrybuowany patrz rys.
AR 18-12
[Router]ospf enable
[Router-ospf]in serial 0
[Router-Serial0]ospf enable area 2
(musimy przejść przez 1 obszar)
[Router]int e 0
[Router-Ethernet0]ospf enable area 2
[Router-Ethernet0]
(dla kaŜdego portu oddzielnie)
[Router-Ethernet0]undo ospf en ar 2
(wył ar danego obszaru, bowiem dany element sieci był pomiędzy obszarami)
[Router-Ethernet0]ospf en are 1
(wł. danego obszaru)
[Router]display cur
sprawdzenie
AR 28-10
[Quidway]undo ospf 2
(uruchamiamy proces (moŜe być kilka procesów))
[Quidway]ospf 1
[Quidway-ospf-1]area 2
(druga sieć - tutaj, juŜ nie definiujemy na porcie tylko podajemy adresy, pomiędzy którymi ma
być routing)
[Quidway-ospf-1-area-0.0.0.2]network 172.16.9.0 0.0.0.255
[Quidway-ospf-1-area-0.0.0.2]network 172.16.10.0 0.0.0.255
(maska odwrócona i podajemy adresy IP sieci z 0)
Tunelowanie do strefy O
(0 jako centralny obiekt)
połączenie RIP i OSPF odbywa się ręcznie
[Quidway]sysname S3900#5
(nadanie nazwy w celu identyfikacji wew.)
[S3900#5]int loop 0
[S3900#5-LoopBack0]ip address 10.10.8.1 24
[S3900#5]router id 10.10.8.1
(to musimy dodać do obszaru 1)
(tworzenie wirtualnego tunelu)
[S3900#5]ospf 1
[S3900#5-ospf-1]area 1
[S3900#5-ospf-1-area-0.0.0.1]network 172.16.8.0 0.0.0.255
[S3900#5-ospf-1-area-0.0.0.1]network 10.10.8.1 0.0.0.255
(podobnie jak spannig tree, ale mamy oba porty cały czas czynne (tutaj nie ma roota), ponadto
mamy zachowaną redundancję połączenia, czyli mamy 200 Mbit/s a w przypadku awarii 100
Mbit/s)
a) Routing statyczny
Przykładowa konfiguracja interfejsu WAN na Ar18-20s:
interface Ethernet2/0
ip address 192.168.1.1 255.255.255.0
Konfiguracja interfejsu LAN odbywa się tak samo jak na interfejsie WAN:
interface Ethernet1/0
ip address 192.168.6.1 255.255.255.0
Routing statyczny całego ruchu na konkretny adres zewnętrzny będzie wyglądał następująco:
ip route-static 0.0.0.0 0.0.0.0 62.87.152.141
Konfiguracje Frame Relay dla podinterfejsów. PoniŜej utworzenie interfejsu point to point
[Router1]interface Serial 0/0.1 p2p
[Router1-Serial0/0.1]
PoniŜej utworzenie interfejsu point to multi-point
[Router1]interface Serial 0/0.3 p2mp
[Router1-Serial0/0.3]
interface Ethernet0/0
description LAN
ip address 192.168.2.2 255.255.255.0
acl number 2001 ### oczywiście reguła dla ruchu wychodzącego, który chcemy NAT-ować
description NAT
rule 2 permit source 192.168.2.0 0.0.0.255
rule 5 deny
moŜna jeszcze zrobić statyczne mapowania jeśli na kaŜdy serwer mamy oddzielny IP zewn.:
nat static inside ip 192.168.2.20 global ip 2.2.2.2
następnie trzeba dodać wpis na interfejsie zewn.:
nat outbound static
Jeśli chodzi o routing statyczny to raczej proszę go skonfigurować na konkretny adres IP, np.:
ip route-static 0.0.0.0 0.0.0.0 217.98.105.117
e) NAT
Ukrycie adresów IP wewnętrznych w sieci LAN odbywa się poprzez uruchomienie NAT
W tym przypadku trzeba jednak pamiętać, Ŝe liczba adresów wewnętrznych musi się równać
liczbie adresów zewnętrznych.
Jeśli chcemy mieć bardziej elastyczne rozwiązanie (np. liczba adresów wewnętrznych
przewyŜsza liczbę dostępnych adresów zewnętrznych) musimy skonfigurować pule adresów
zewnętrznych i wskazać za pomocą ACL listę hostów wewnętrznych, jakie mogą być
natowane na zewnątrz.
#
firewall enable
firewall default deny
##
dhcp server ip-pool pola1
network 192.168.0.0 mask 255.255.255.0
gateway-list 192.168.0.50
dns-list 212.76.33.137 212.76.33.138
expired day 3
#
acl number 2001
W tym przykładzie, jeśli chcemy dopuścić jakiś ruch do środka to modyfikujemy ACL 3020.
Po zmianach naleŜy sprawdzić czy komputery mają dobre bramy, zresetować interfejsy,
wyczyścić arp na routerze ( <router>reset arp all).
W innym przykładnie np. jeśli chcemy otworzyć w ACL port POP3 to będzie:
Przy takim ustawieniu ACL będzie default permit. Najlepiej sprawdzać sobie czy dany ruch
wpada do ACL poleceniem:
display acl XXX
wtedy widać czy ruch, który załoŜyliśmy, Ŝe wchodzi do danej ACL.
<RouterA> system-view
[RouterA] interface atm 1/0/0
[RouterA-Atm1/0/0] ip address 80.50.128.170 255.255.255.252
[RouterA-Atm1/0/0] undo shutdown
[RouterA-Atm1/0/0] pvc do_tpsa 1/122
[RouterA-atm-pvc-Atm1/0/0-0/do_tpsa] map ip 80.50.128.169
[RouterA-atm-pvc-Atm1/0/0-0/do_tpsa] undo shutdown
[RouterA-atm-pvc-Atm1/0/0-0/do_tpsa] quit
----------------------------------------------------------------------
#Sprawdzenie
5 packet(s) transmitted
5 packet(s) received
Kolejny przykład:
[Quidway]display current-configuration
#
sysname Quidway
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
interface Aux0
async mode flow
#
interface Ethernet0/0/0
ip address 212.160.143.129 255.255.255.240
#
interface Ethernet0/0/1
ip address dhcp-alloc
#
interface Atm1/0/0
#
interface Atm1/0/0.1 p2p
pvc 1/122
service vbr-nrt 23998 23998 1
map ip 80.50.125.169
ip address 80.50.125.170 255.255.255.252
#
interface NULL0
#
FTP server enable
#
ip route-static 0.0.0.0 0.0.0.0 80.50.125.169 preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
<Quidway>display ip routing-table
Routing Table: public net
Destination/Mask Protocol Pre Cost Nexthop Interface
0.0.0.0/0 STATIC 60 0 80.50.125.169 Atm1/0/0.1
80.50.125.168/30 DIRECT 0 0 80.50.125.170 Atm1/0/0.1
80.50.125.169/32 DIRECT 0 0 80.50.125.169 Atm1/0/0.1
80.50.125.170/32 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0
127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0
192.168.0.0/16 DIRECT 0 0 192.168.0.122 Ethernet0/0/1
192.168.0.122/32 DIRECT 0 0 127.0.0.1 InLoopBack0
<Quidway>
h) DHCP
[Quidway]dhcp enable
(włączenie serwera DHCP; natomiast polecenie ‘ip address dhcp-alloc’, nie uruchamia
serwowania adresów IP poprzez interfejs, ale konfiguruje interfejs tak, aby on mógł pobrać
adres z serwera DHCP, czyli jest klientem).
[Quidway]dhcp select global interface ethernet 0/0/0 to ethernet 0/0/1
(tutaj moŜna wybrać, na których interfejsach będzie DHCP)
[Quidway]dhcp server forbidden-ip 10.1.1.2
(moŜna zabronić adresy np. serwerów wewnętrznych, będą one omijane podczas przydziału
DHCP)
[Quidway]dhcp server ip-pool 0
(tworzymy pule z adresami)
[Quidway-dhcp-0]network 10.1.1.0 mask 255.255.255.0
(definiujemy adres sieci dla tej puli)
[Quidway-dhcp-0] domain-name huawei.com
(ustalamy parametry sieci)
[Quidway-dhcp-0] dns-list 10.1.1.2
[Quidway-dhcp-2] nbns-list 10.1.1.4
[Quidway-dhcp-2] gateway-list 10.1.1.254
b) jeśli nie mamy przełącznika do VLANów to moŜna skonfigurować na interfejsie routera tzw.
sub adresy:
[Quidway]interface Ethernet 0/0/0
[Quidway-Ethernet0/0/0] ip address 10.10.10.1 255.255.255.0
[Quidway-Ethernet0/0/0] ip address 10.10.20.1 255.255.255.0 sub
j) IPsec
Konfiguracja RouterA
Konfiguracja RouterB
Statystyki
k) Loopback
26. Firewall
Domyślnie firewall na routerach Huawei jest wyłączony
Firewalla włączamy poleceniem:
[AR28-30]firewall enable
po włączeniu firewall domyślną regułą dołączaną na koniec listy dostępu jest "permit all", jeśli
chcemy aby domyślnie była dołączania klauzula "deny all" to naleŜy wpisać :
[AR28-30]firewall default permit
[AR28-30]firewall default deny
domyślna akcja
[AR28-30]firewall fragments-inspect
[AR28-30]undo firewall fragments-inspect
włączenie analizy fragmentów
[AR28-30]interface Serial 1/0
[AR28-30-Serial1/0]firewall packet-filter 2001 outbound
dodanie ACL do interfejsu
[AR28-30]display acl all
[AR28-30]display firewall-statistics all
przegląd konfiguracji
***************************************************
* *
* Quidway Series Router Boot ROM, V5.27 *
* *
***************************************************
Copyright(C) 2002-2003 by HUAWEI TECH CO., LTD.
Compiled at 19:02:35, Sep 3 2003.
Testing memory...OK!
64M bytes SDRAM
8192k bytes flash memory
Hardware Version is MTR 1.0
CPLD Version is CPLD 2.0
Boot ROM Version is V5.27
Press Ctrl-B to enter Boot Menu
Please input Boot ROM password:
Download speed is 115200 bps. Change the terminal's speed to 115200 bps,
and select XMODEM protocol. Press <Enter> key when ready.
c) Konfiguracja terminala
d) Wysłanie pliku
For each of the following questions, you can press <Return> to select the
value shown in braces, or you can enter a new value.
NETWORK INTERFACE PARAMETERS:
Do you want a LAN interface? [Y]
This board's LAN IP address? [192.168.1.200]
Subnet mask for LAN (0 for none)? [255.255.255.0]
--------------------------------------------------------------------------
NETWORK INTERFACE PARAMETERS:
IP address on LAN is 192.168.1.200
LAN interface's subnet mask is 0xffffff00
HARDWARE PARAMETERS:
Processor type is MPC860T
Internal Clock Rate 50 Mhz
External Clock Rate 50 Mhz
Serial channels will use a baud rate of 9600
TFTP SERVER PARAMETERS:
IP address of the TFTP host is 192.168.1.77
The file to download and start is ar18-vrp174-p0108.bin
After board is reset, start-up code will wait 5 seconds
--------------------------------------------------------------------------
(M)odify any of this or (C)ontinue? [M] C
Boot Menu:
1: Download application program with XMODEM
2: Download application program with NET
3: Clear configuration
4: Start up and ignore configuration
5: Boot ROM Operation Menu
6: Do not check the version of the software
7: Exit and reboot
Enter your choice(1-7): 2
c) Pobranie pliku
Download application program, are you sure?[Y/N]y
31. Pytania
a) Czemu przy tworzeniu ACE podsieć 192.168.100.0/26 jest zapisywana jako
0.0.0.0./26 ? chcę rozdzielić sieć lokalną na podsieci z roŜnymi uprawnieniami a tak
nie mogę?
b) Czy w liście acl moŜna jakoś „odhaczyć” poszczególne reguły aby je chwilowo
deaktywowac ? */#/rem ?
moŜna dodatkowo sprawdzić czy dany PVC jest aktywny poleceniem "display fr pvc-info",
co powinno dać efekt:
gdzie widać Ŝe określone PVC jest aktywne (a tym samym skonfigurowane poprawnie
DLCI i rodzaj LMI)
Opracował
Paweł Gmur
pgmur@lanex.pl