Настройка vlan huawei s5720

Обновлено: 19.09.2024

Давайте рассмотрим конкретный пример. Допустим, у нас в руках оказался коммутатор Huawei S5720-52X-PWR-SI-AC (140-150 тыс. рублей на момент написания статьи), который мы хотим настроить в качестве железки уровня доступа в крупный офис. Какие нам будут поставлены задачи?
1. Будем подключаться к уровню распределения с помощью агрегированного интерфейса LACP;
2. На access-портах юзаем voice VLAN, чтобы подключать компьютеры и телефонии одним портом;
3. Выведем в отдельный VLAN сетевые принтеры и прочие МФУ;
4. Wi-Fi точки подключим транком с PVID management VLAN;
5. Во избежание проблем запустим во всех VLAN DHCP snooping.

Переходим в режим конфигурирования:

Дадим коммутатору название, чтобы потом не путаться, типа access-sw01:

Теперь нужно уяснить, что у нас будет использоваться voice VLAN, наши телефоны будут получать информацию по протоколу LLDP либо CDP, поэтому позднее включим совместимость с этим проприетарным цисковским протоколом. А пока глобально включим LLDP.

Сразу включим DHCP Snooping, а перед этим непосредственно DHCP:

Создадим VLAN управления, пусть это будет 100:

И включим в нем DHCP Snooping:

Теперь выйдем из дерева настройки VLAN.

Таким же макаром настроим другие вланы. 200 для VoIP, 300 офисным компьютерам и 400 на принтеры. Хорошо, с VLAN мы разобрались, что дальше? Нужно организовать доступ на коммутатор пользователю, например, admin с пароллем p@sSw0D.

Сразу назначим уровень доступа, тут всё по аналогии с циской:

И настраиваем удаленный доступ для нашего юзера:

Уберем опцию запроса смены пароля (она через определенное время выводит предложение сменить пароль):

Теперь включим SSH на устройстве:

И сразу создадим SSH-ключи:

Активируем SSH-доступ на линиях:

Настроим интерфейс управления коммутатором. Мы с вами решили, что это будет VLAN 100, осталось назначить ему IP:

И настроим шлюз по-умолчанию:

Теперь приступим к настройке аплинка. Как мы помним, нужно поднять агрегированный интерфейс по протоколу LACP. Для них мы используем 10GBit-ные интерфейсы, которые имеются на этом свиче. У Huawei это зовется Ether-Trunk, поехали настраивать:

Теперь скажем, какие порты будут входить в агрегированный интерфейс, нам достаточно парочки:

Установим протокол его работы:

Интерфейс настроен, теперь сконфигурируем его в соответствии с поставленной задачей. Он смотрит в ядро, стало быть будет транком со всеми имеющимися вланами и доверенностью для DHCP Snooping:

Аплинк настроен, поехали по пользовательским портам. Порты 1-46 будут для юзеров, поэтому на них настроим voice и acces VLAN.

Эта настройка отличается от варианта Cisco. Мы переводим порт в hybrid, после чего назначаем voice VLAN и его же кидаем туда как tagged.

Нетегированный влан пилим туда же и указываем соответствующий pvid.

Порт у нас сугубо клиентский, поэтому вырубим STP

Включим совместимость CDP на случай ипользования CIsco-телефонии. В описании анонсов будет отображаться Users:

Порт 47 настроим для принтеров, просто нужный влан аксессом:

Порт 48 настроим для точки Wi-Fi, и на ней будет висеть несколько SSID, настраивать будем транком. Точкой надо управлять, поэтому туда надо добавить Managment VLAN:

В целом первичная настройка закончена. Выходим из режима system view клавишами Ctrl+Z и сохраняемся:


И пара полезных команд:
>/] display current-configuration показывает текущий конфиг устройства
>/] display interface brief выводит список интерфейсов и их статус
>/] display elabel информация о железе, серийники, хардварные версии компонентов и т.п.

HUAWEI – одна из крупнейших китайских компаний в сфере телекоммуникаций. Основана в 1988 году.

Компания HUAWEI достаточно недавно вышла на российский рынок сетевого оборудования уровня Enterprise. С учётом тенденции тотальной экономии, на нашем предприятии очень остро встал вопрос о подборе достойной замены оборудованию Cisco.
В статье я попытаюсь рассмотреть базовые аспекты настройки сервисов коммутации и маршрутизации оборудования HUAWEI на примере коммутатора Quidway серии 5300.

Глобальные команды, режимы работы, cходства и различия с CLI CISCO.

  1. system-view – аналог цисковского режима конфигурирования conf t. В этом режиме приглашение командной строки выглядит как [Switch].
  2. user-view – аналог цисковского непривилегированного режима. Режим приглашения выглядит так: <Switch>.
Основные команды:
  • system-view – переход из user-view в привилегированный режим system-view;
  • save – запись текущих настроек в энергонезависимую память устройства;
  • display current-configuration – вывод текущего файла конфигурации
  • display current-configuration configuration XXXX – вывод настроек секции XXXX.
  • display this – вывод конфигурации текущей секции;
  • quit – выход из текущей секции в родительскую.

Настройка vlan интерфейсов, режимы работы физических портов коммутатора

Создание vlan

Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.

Vlan создан. Так же командой description можно задать описание или название vlan. В отличие от Cisco имя не является обязательным атрибутом при создании vlan.

Для передачи созданых vlan в пределах локальной сети используется протокол GVRP. Включается он командой gvrp в режиме system-view.

Так же gvrp должен быть разрешён на интерфейсе:

Совместимости с Cisco VTP (vlan transfer protocol) нет и быть не может.

Создание vlan интерфейса.

В отличие от Cisco, маску можно писать сокращённо. Очень удобно.
Думаю, что комментарии излишни.

Режимы работы портов

Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk.
Режим trunk
Настройка порта:

В отличие от коммутаторов Cisco, по-умолчанию, все vlan запрещены и их необходимо принудительно разрешить командой port trunk allow-pass vlan.
Нетэггированный native vlan на порту включается командой:

Настройка eth-trunk

Настройка STP

Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI.
Для включения STP на коммутаторе необходимо в режиме system-view ввести команду

По умолчанию, приоритет коммутатора HUAWEI, так же как и коммутатора Cisco равен 32768.
Просмотр информации о текущем состоянии портов:


Видно, что один из портов заблокирован, т. к. приоритет коммутатора Cisco оказался больше.
Просмотр глобальной информации об STP:

Изменим приоритет коммутатора HUAWEI. Сделаем его наименьшим: 4096.

Посмотрим, что порт разблокировался:

Общая информация об STP:

Статическая маршрутизация

Статические маршруты прописываются точно так же, как на оборудовании Cisco:

Просмотр таблицы маршрутизации:


На этом всё.
Если уважаемое сообщество заинтересуется материалом, планирую продолжить освещать настройку оборудования HUAWEI. В следующей статье рассмотрим настройку динамической маршрутизации.

In MAC address-based VLAN assignment mode, when physical locations of users change, you do not need to reconfigure VLANs for the users. This improves security and access flexibility on a network.

The switch that has MAC address-based VLAN assignment enabled processes only untagged frames , and treats tagged frames in the same manner as interface-based VLAN assignment .

If an entry is matched, the interface forwards the frame based on the VLAN ID and priority in the entry.

If no entry is found, the interface matches the frame against other matching rules.

  • The S5720HI, S5720EI, S5720SI, S5720S-SI, S6720EI, and S6720S-EI support a maximum of 1024 MAC-VLAN entries and a maximum of 64 MAC-VLAN entries with the mask.
  • The S2720EI, S5710-X-LI, S1720GFR, S1720GW, S1720GWR, S1720X, S1720GW-E, S1720GWR-E, S1720X-E, S5720S-LI, S5730SI, S5730S-EI, S6720SI, S6720S-SI, S6720LI, S6720S-LI, S5700S-28X-LI-AC and S5700S-52X-LI-AC of S5700S-LI and S5720LI support a maximum of 512 MAC-VLAN entries and a maximum of 64 MAC-VLAN entries with the mask.
  • Other models support a maximum of 512 MAC-VLAN entries and a maximum of 32 MAC-VLAN entries with the mask.

Procedure

The system view is displayed.

Run vlan vlan-id

A VLAN is created and the VLAN view is displayed. If the specified VLAN has been created, the VLAN view is directly displayed.

The VLAN ID ranges from 1 to 4094 . If VLANs need to be created in a batch, run the vlan batch < vlan-id1 [ to vlan-id2 ] > &<1-10> command to create VLANs in a batch, and then run the vlan vlan-id command to enter the view of a specified VLAN.

If a device is configured with multiple VLANs, configuring names for these VLANs is recommended:

Run the name vlan-name command in the VLAN view. After a VLAN name is configured, you can run the vlan vlan-name vlan-name command in the system view to enter the corresponding VLAN view.

The vlan configuration command completes the VLAN configuration when the VLAN is not created.

A MAC address is associated with a VLAN.

The MAC address is in H-H-H format. An H is a hexadecimal number of 1 to 4 digits, such as 00e0 and fc01. If you enter fewer than four digits, 0s are padded before the input digits. For example, if e0 is entered, 00e0 is displayed. The MAC address cannot be all Fs, all 0s, or a multicast MAC address.

priority specifies the 802.1p priority of a MAC address-based VLAN. The value ranges from 0 to 7. A larger value indicates a higher priority. The default value is 0. After the 802.1p priority of a MAC address-based VLAN is specified, the switch first forwards high-priority frames in the case of congestion.

Return to the system view.

Run interface interface-type interface-number

The view of the interface that allows the MAC address-based VLAN is displayed.

Run port link-type hybrid

The interface is configured as the hybrid interface.

It is recommended that MAC address-based VLAN assignment should be configured on the hybrid interface.

On access and trunk interfaces, MAC address-based VLAN assignment can be used only when the MAC address-based VLAN is the same as the PVID. It is recommended that MAC address-based VLAN assignment be configured on hybrid interfaces.

The device is configured to preferentially use MAC address-based VLAN assignment.

By default, the device preferentially uses MAC address-based VLAN assignment.

Only the S1720X, S1720X-E, S5720EI, S5730SI, S5730S-EI, S6720LI, S6720S-LI, S6720SI, S6720S-SI, S5720SI, S5720S-SI, S6720EI, and S6720S-EI support the vlan precedence command.

S1720X, S1720X-E, S6720LI, S6720S-LI, S6720SI, S6720S-SI, S5730SI, S5730S-EI, S5720SI and S5720S-SI supports the vlan precedence command only in the system view. Other switches support the vlan precedence command only in the interface view.

On the S5720EI, S6720EI, and S6720S-EI , if both the subnet VLAN and MAC VLAN with a mask are configured, the MAC VLAN with a mask is first matched regardless of whether the vlan precedence command is used.

MAC address-based VLAN assignment is enabled.

By default, MAC address-based VLAN assignment is disabled.

MAC address-based VLAN assignment cannot be used with the MUX VLAN and MAC address authentication on the same interface.

On the S1720GFR, S1720GW, S1720GWR, S1720X, S1720GW-E, S1720GWR-E, S1720X-E, S2720EI, S5720HI, S2750, S5720SI, S5720S-SI, S5730SI, S5730S-EI, S6720SI, S6720S-SI, S5710-X-LI, S5720LI, S5720S-LI, S6720LI, S6720S-LI, S5700LI, and S5700S-LI , MAC address-based VLAN assignment is invalid for packets with the VLAN ID of 0, regardless of whether the mask of the MAC VLAN is specified. On other models, MAC address-based VLAN assignment is invalid for packets with the VLAN ID of 0 only when the mask of the MAC VLAN is specified.


В этот раз мы постараемся выполнить следующие задачи:

  1. Создание БД VLAN
  2. Протокол обнаружения соседей
  3. Настройка управляющего VLAN
  4. Настройка портов доступа и магистральных
  5. Распространение информации о VLAN на все коммутаторы
  6. Настройка порт-секьюрити
  7. Настройка голосовогоVLAN
  8. Настройка STP

На помощь нам придут мануалы, доступные для просмотра и скачивания здесь:

Дальнейшие эксперименты будем проводить в нашей системе удаленного доступа к оборудованию TermILab. Эта статья будет посвящена коммутации. Давайте посмотрим, как же на коммутаторах Huawei создаются VLAN, как они распространяются между коммутаторами, как настраиваются порты для подключения рабочих станций, IP телефонов и создаются магистральные соединения, а также механизмы обеспечения безопасности на уровне доступа и борьба с петлями на 2 уровне.

Первоначальную настройку устройств Hyawei мы уже приводили в первой статье. Поэтому, вопросы, как настроить пароли, баннеры и удаленное взаимодействие с устройствами по протоколу telnet в этой статье не рассматриваются.

Местами сравнение будем проводить с коммутаторами Cisco 3550.

Итак, начнем. Для начала убедимся, что все устройства соединены правильно. На коммутаторах Cisco для этого используем возможности протокола cdp. А как быть с коммутаторами Huawei? Обращаемся к документации. В файле 29-ClusterCommand нашли возможность определения соседей и предоставления информации о них по протоколу ndp (Neighbor discovery protocol).

Устройство Huawei
Устройство Cisco

Выводимая информация протокола NDP примерно такая же как, как и у CDP. Только у CDP есть еще возможность отобразить информацию кратко и полностью. По умолчанию оба протокола активны на своих коммутаторах. Каждый из них можно отключить как полностью на устройствах, так и на каждом интерфейсе в отдельности. Итак, основываясь на выводе протоколов обнаружения соседних устройств, мы можем понять, что схема соединений корректна.

Идем дальше. Современные локальные сети немыслимы без виртуализации на канальном уровне. Поэтому, приступим к созданию VLAN. Создадим VLAN5 – Staff, VLAN8 – Test, VLAN10 – Native.

Настраиваем БД VLAN на одном коммутаторе Huawei и Cisco. На коммутаторе Huawei переходим в режим system-view, а на коммутаторе Ciscoв -- режим configure-terminal. Для наполнения БД VLAN этих режимах конфигурации вводим следующие последовательности команд:

Устройство Huawei
Устройство Cisco

Чтобы посмотреть созданные VLAN используем следующие команды:

Устройство Huawei Устройство Cisco

Коммутатор Cisco предоставляет более детальную информацию о том какие идентификаторы и имена VLAN существуют, какие порты коммутатора в каком VLAN находятся и некоторая другая информация. На коммутаторах Huawei вывод достаточно скуп. Только общее число VLAN и их идентификаторы. А как быть, если нужно увидеть и vid и его имя и уж, тем более, порты? Ставим ? после display vlan и выбираем параметр all на коммутаторе Huawei.

Устройство Huawei

Теперь информации побольше. И vid, и его имя. И что самое главное – порты, которые находятся в этой VLAN. Глаз зацепился за параметр Description в выводе VLAN. Этот избыточный параметр позволяет сделать еще и дополнительное описание для VLAN, в котором можно отразить более детально ее принадлежность.

Для поддержания данных о vlan в домене на каждом устройстве работают GARP таймеры. Их 4 типа: hold, join, leave и leaveall. Таймеры измеряются в сентисекундах (100 сентисекунд соответствуют 1 секунде) и по умолчанию равны:

GARP join 20 centiseconds

GARP leave 60 centiseconds

GARP hold 10 centiseconds

GARP leaveall 20 centiseconds

Важно, чтобы внутри домена все устройства были настроены с одинаковыми таймерами.

Возвращаясь к GVRP, необходимо отметить, что протокол включается глобально и на интерфейсах (по умолчанию выключен), причем интерфейс обязательно должен работать в режиме trunk. Последовательность действий следующая:

  1. Включить GVRP глобально.
  2. *Опционально. Проверить или настроитьGARP таймеры одинаково на всех коммутаторах домена.
  3. Настроить необходимые порты в режиме trunk 802.1Q.
  4. Разрешить на транках все vlan.
  5. Включить GVRP на интерфейсах.
  6. Выбрать режим работы GVRP на интерфейсе.

GVRP на интерфейсах может работать в трех режимах:

  1. Normal. Этот режим выбирается интерфейсом по умолчанию. В таком режиме коммутатор распространяет информацию о своих vlan и автоматически добавляет информацию о vlan в свою базу от других коммутаторов домена.
  2. Fixed. В данном режиме коммутатор распространяет информацию о своих vlan, однако не добавляет в свою базу информацию о vlan соседних устройств. Данный режим подходит для коммутаторов уровня ядра и распределения, поскольку никакие устройства уровня доступа не могут повлиять на их базу vlan. Если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим fixed, то все vlan, о которых коммутатор узнал через этот порт будут удалены.
  3. Forbidden. В данном режиме коммутатор не распространяет информацию о своих vlan и не принимает информацию о vlan от других устройств. Более того, если порт коммутатора какое-то время работал в режиме normal, а затем был переведен в режим forbidden, то все vlan, о которых коммутатор узнал через этот порт будут удалены, а также на соседнем коммутаторе будут удалены все записи о vlan, настроенных вручную на forbidden-коммутаторе.

Теперь посмотрим, как настраивать trunk-порты. Основные задачи здесь – это включить на порту режим trunk; описать vlan’ы, которые можно через него пропускать; и задать vlan, с которым ассоциировать нетегированные кадры (аналог cisco native vlan).

Перейдем к командам. Режим trunk влючается на интерфейсе командой port link-type trunk. Разрешенные vlan’ы описываются командой port trunk permit vlan vlan-id. Vlan по умолчанию настраивается командой port trunk pvid vlan vlan-id. Инкапсуляция на транках по умолчанию 802.1Q, и другого режима инкапсуляции не предусмотрено.

Пример, как настроить trunk-порт на нашем коммутаторе:


На коммутаторах Huawei можно перечислить только определенные vid через пробел, либо указать их диапазон используя связку <vid_1> to <vid_n>. На коммутаторах Cisco это делается через запятую, а диапазон указывается через тире.

Вернемся к проблеме распространения БД vlan между коммутаторами. Несмотря на всю кажущуюся сложность, настроить GVRP достаточно легко. К 24 порту нашего коммутатора подключим второй коммутатор Quidway S3928P-SI, на котором по умолчанию есть только 1 vlan. Для начала настроим на нем транк и разрешим в транке все vlan’ы.

Теперь на обоих коммутаторах запустим GVRP, включим его на trunk-итерфейсах, и выберем режим на первом коммутаторе Normal, а на втором Fixed.

Посмотрим на вывод команды display vlan на каждом коммутаторе.

Кажется, что ничего не изменилось, и появляются сомнения, что GVRP вообще работает корректно. Однако вывод команды display garp statistics показывает, что GVRP запущен и работает между коммутаторами.

Теперь создадим на коммутаторе LabSW_2 пару дополнительных vlan’ов и посмотрим на изменения базы vlan коммутатора LabSW.

Как мы видим, коммутатор LabSw добавил в свою базу новые vlan’ы (50 и 70), созданные на LabSw_2. В свою очередь, коммутатор LabSw_2 так и ведет свою локальную базу vlan независимо от соседа. Таким образом, мы не только настроили протокол GVRP на соседних коммутаторах, но и проверили сразу 2 режима работы: normal и fixed.

Теперь можно переходить к настройке портов доступа и управляющего интерфейса. Распределим их следующим образом: 10 порт поместим в 10 vlan и сделаем его управляющим на коммутаторе, порты с 11 по 15 переведем в режим доступа в 5 vlan.

Чтобы исключить macflood и обеспечить элементарную безопасность на уровне доступа, сразу разрешим только по одному mac адресу для каждого порта доступа. На коммутаторе Huawei нужно в режиме system-view включить механизм port-security, а затем настроить его на каждом порту.

Устройство Huawei Устройство Cisco

К сожалению, на коммутаторах Huawei нельзя сразу настроить диапазон портов. Однако есть возможность скопировать настройки одного порта на другие. Сделаем это:

Просмотрим полученную конфигурацию одного из портов:

Устройство Huawei Устройство Cisco

Теперь поместим порты в необходимые vlan’ы и настроим управляющий интерфейс:

*Диапазон портов можно добавить в определенный vlan из режима настройки данного влана.

Проверим доступен ли нам управляющий интерфейс коммутатора, используя команду ping:


Современные Enterprise сети являются конвергентными, поэтому использование в них IP телефонии стало стандартом де-факто. Как известно, трафик IP телефонии необходимо отделить от трафика передачи данных, да к тому же нужно экономить порты на коммутаторах. Так как же создать голосовой VLAN на коммутаторах и подать его на нужные порты? По сути, голосовой VLAN создается точно также в БД VLAN как и VLAN для передачи данных. В качестве голосового будем использовать vlan 8.

Vlan создан, теперь устройству необходимо сообщить, какой vlan использовать в качестве голосового. Команда voice vlan vlan-id enable настраивает определенный vlan в качестве голосового и включает его глобально на устройстве. Узнать в дальнейшем, какой vlan является голосовым на устройстве, можно с помощью display voice vlan status. Для того, чтобы коммутатор добавлял к кадрам телефонов тег голосового vlan’а необходимо еще завести на устройстве OUI list мак-адресов. Мак-адреса наших телефонов выглядят так: 000d.28xx.xxxx. OUI list для них описывается командой [LabSw]voice vlan mac-address 000d-2800-0000 mask ffff-ff00-0000 description IPphone.

Теперь можно перейти к настройке портов.

Как стало понятно из мануалов, чтобы осуществить задуманное, нужно перевести порты в режим Hybrid. Работает он достаточно интересно. В нашем случае необходимо, чтобы коммутатор не только добавлял тег к нетегированным кадрам, поступающим от рабочих станций, но и сбрасывал тег vlan’а в обратном случае, когда кадры нужно передать с порта на рабочие станции. Что касается голосового vlan’a, то его достаточно просто включить на выбранном интерфейсе.

Настроим коммутатор таким образом, чтобы порты с 1 по 9 были настроены для поддержки телефонов на 8 vlan и для пользователей на 5 vlan.

Выполняем задуманное и настраиваем один из интерфейсов:

Посмотрим, что получилось:


Как мы уже отмечали, на коммутаторах Huawei нельзя сразу настроить диапазон портов, зато можно скопировать настройки одного порта на другие. Сделаем это:

Теперь порты с 1 по 9 настроены для работы и рядовых пользователей, и ip-телефонов.

Стремясь обеспечить надежность сети, многие сетевые инженеры и администраторы искусственно вводят избыточные связи, которые ведут к образованию петель на канальном уровне. Также петли могут образоваться и из-за ошибочных или злонамеренных действий пользователей. Чтобы их ликвидировать производители в свои коммутаторы внедряют алгоритм STP. Соединим избыточной связью коммутаторы LabSW и LabSw_2, чтобы создать петлю. Осталось только узнать, какие протоколы STP поддерживаются на коммутаторах Huawei, и как они настраиваются. Нажав символ ? после команды stp, можно увидеть эти протоколы. Будем настраивать на нашем коммутаторе протокол RSTP (по умолчанию stp выключен глобально).

Посмотрим на выводы команды display stp brief и display stp, чтобы определить какие порты заблокировал stp, и кто их коммутаторов стал root’ом :

Как мы видим, протокол запустился. Root’ом стал LabSw, так как его BridgeID 32768.000f-e274-cafe меньше чем у соседнего LabSw_2 (BridgeID 32768.000f-e275-98d8). На это косвенно указывает и то, что все порты LabSw работают в режиме designated. На коммутаторе LabSw_2 порт Ethernet 1/0/24 попал в режим alternative, т.е. не пересылает кадры. Это нас не утраивает, потому что через этот порт работает GVRP, который мы ранее настроили. Заставим коммутатор LabSw_2 заблокировать порт Ethernet 1/0/23, а 1/0/24 перевести в режим designated. Сделать это можно, поменяв cost на интерфейсе. По умолчанию все порты коммутатора имеют cost 200. Чем меньше это значение, тем приоритетнее порт. Поменяем это значение на 20 и посмотрим на результат:

Поставленной цели мы добились, и теперь наша связка коммутаторов работает должным образом.

Читайте также: