В данной статье хочу разобрать базовую настройку коммутатора на примере.
Имеется коммутатор Huawei S5720-52X-PWR-SI-AC. Устройство будет установлено в качестве коммутатора уровня доступа для пользователей офиса.
Требования такие:
- Подключения к уровню распределения агрегированным интерфейсом LACP
- Использование на пользовательских портах voice VLAN (для подключения ПК и IP телефона через один порт)
- Отдельный VLAN для сети принтеров и МФУ
- Подключение WI-FI точек trunk портом c PVID management VLAN
- Использование механизма DHCP snooping во всех VLAN
Итак поехали.
переходим в режим конфигурации:
<huawei>system-view
Даем имя коммутатору, например acess switch 01 — «ASW-01»:
[huawei]sysname ASW-01
Поскольку у нас будет использоваться voice vlan, телефоны будут получать информацию от коммутатора по протоколу LLDP или CDP по умолчанию у Cisco, совместимость с CDP включим, когда будем настраивать интерфейсы а пока на коммутаторе глобально включим LLDP:
[ASW-01]lldp enable
Для использования DHCP snooping нам потребуется включить на коммутаторе глобально DHCP и, непосредственно DHCP snooping:
[ASW-01]dhcp enable [ASW-01]dhcp snooping enable
Теперь перейдем к VLAN, создаем VLAN для management:
[ASW-01]vlan 100 [ASW-01-vlan100]description Management
включим в этом VLAN DHCP snooping
[ASW-01-vlan100]dhcp snooping enable
выходим из настройки VLAN
[ASW-01-vlan100]quit
Аналогичным образом создаем остальные VLAN, я для примера создаю следующие VLAN:
200 — VoIP
300 — Office
400 — Printer
C VLAN разобрались, переходим к настройке доступа к коммутатору. Для начала создаем пользователя admin и назначаем ему пароль pa$$w0RD:
[ASW-01]aaa [ASW-01-aaa]local-user admin password irreversible-cipher pa$$w0RD
назначаем пользователю уровень привилегий (15 самый высокий):
[ASW-01-aaa]local-user admin privilege level 15
включаем доступ по SSH для пользователя:
[ASW-01-aaa]local-user admin service-type telnet terminal ssh
отключаем запрос смены пароля по истечению определенного промежутка времени (это опционально, если хотите что бы устройство запрашивало смену пароля можно этого не делать):
[ASW-01-aaa]undo local-aaa-user password policy administrator [ASW-01-aaa]quit
Теперь перейдем к включению SSH на устройстве:
[ASW-01]stelnet server enable [ASW-01]ssh authentication-type default password
Создаем пару ключей для SSH:
[ASW-01]rsa local-key-pair create
Включаем доступ по SSH на линиях:
[ASW-01]user-interface vty 0 4 [ASW-01-ui-vty0-4]authentication-mode aaa [ASW-01-ui-vty0-4]protocol inbound ssh [ASW-01-ui-vty0-4]quit
Далее переходим к настройке интерфейса по которому будет доступ на коммутатор. Ранее было решено для менеджмента использовать VLAN 100. Переходим к конфигурации интерфейса этого VLAN и назначаем коммутатору IP:
[ASW-01]interface Vlanif 100 [ASW-01-Vlanif10]ip address 10.0.0.10 24 [ASW-01-Vlanif10]quit
Настраиваем шлюз по умолчанию:
[ASW-01]ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
Перейдем к настройке UpLink интерфейса, как описано в требованиях выше, нам требуется собрать агрегированный интерфейс используя протокол LACP, использовать будем 10Gbit интерфейсы, имеющиеся в коммутаторе Huawei S5720-52X. У Huawei это называется Ether-Trunk, первым делом объявляем Ether-Trunk 1 и «проваливаемся» в его настройку:
[ASW-01]interface Eth-Trunk 1
затем указываем, какие порты будут являться членами агрегированного интерфейса, в данном случае я выбрал 2 10Gbit интерфейса:
[ASW-01-Eth-Trunk1]trunkport XGigabitEthernet 0/0/1 to 0/0/2
указываем протокол LACP:
[ASW-01-Eth-Trunk1]mode lacp
После этого можно конфигурировать порт в соответствии с нуждами, в нашем случае это будет trunk порт смотрящий в сторону ядра, разрешаем на нем все имеющиеся на коммутаторе VLAN и делаем его доверенным для DHCP snooping, по скольку это UpLink :
[ASW-01-Eth-Trunk1]port link-type trunk [ASW-01-Eth-Trunk1]port trunk allow-pass vlan all [ASW-01-Eth-Trunk1]dhcp snooping trusted [ASW-01-Eth-Trunk1]quit
С UpLink закончили, теперь, наконец, можно перейти к настройке пользовательских портов.
Допустим порты с 1 по 46 будут использоваться для подключения телефонов и ПК пользователей, т.е. на этих портах нужно настроить voice и acces VLAN:
[ASW-01]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/46
Настройка порта к которому требуется подключать и телефон и ПК у Huawei отличается от привычной настройки на Cisco, здесь используется тип порта hybrid, после чего назначается voice vlan и дополнительно он добавляется на порт в качестве tagged:
[ASW-01-port-group]port link-type hybrid [ASW-01-port-group]voice-vlan 200 enable [ASW-01-port-group]port hybrid tagged vlan 200
В качестве untagged VLAN и PVID указываем тот что используется для ПК:
[ASW-01-port-group]port hybrid pvid vlan 300 [ASW-01-port-group]port hybrid untagged vlan 300
т.к. порт пользовательский отключаем состояния listening и learning для stp (аналог spanning tree portfast в Cisco)
[ASW-01-port-group]stp edged-port enable
наконец, включаем совместимость с протоколом CDP (cisco discover protocol) на случай если будут использоваться телефоны Cisco, добавляем description и выходим из конфигурации группы портов:
[ASW-01-port-group]lldp compliance cdp receive [ASW-01-port-group]description Users [ASW-01-port-group]quit
Порт 47 будем использовать для подключения МФУ, т.е. это будет просто access порт с VLAN для мфу и принтеров:
[ASW-01]interface GigabitEthernet 0/0/47 [ASW-01-GigabitEthernet0/0/47]port link-type access [ASW-01-GigabitEthernet0/0/47]port default vlan 400 [ASW-01-GigabitEthernet0/0/47]description Printer [ASW-01-GigabitEthernet0/0/47]quit
Порт 48 используем для подключения точки доступа WI-FI, на которой есть несколько SSID и значит этот порт должен быть в режиме trunk, а для менеджмента точки используется Management VLAN, значит в качестве PVID на этом порту будет Management VLAN.
[ASW-01]interface GigabitEthernet 0/0/48 [ASW-01-GigabitEthernet0/0/48]port link-type trunk [ASW-01-GigabitEthernet0/0/48]port trunk pvid vlan 100 [ASW-01-GigabitEthernet0/0/48]port trunk allow-pass vlan all [ASW-01-GigabitEthernet0/0/48]description WirelessAP [ASW-01-GigabitEthernet0/0/48]quit
На этом первичная настройка, в соответствии с изначальными требованиями закончена. Не забываем сохранить конфигурацию, для этого нужно выйти из режима system view, нажав комбинацию клавиш Ctrl+Z и дав команду save:
<ASW-01>save The current configuration (excluding the configurations of unregistered boards or cards) will be written to flash:/vrpcfg.zip. Are you sure to continue?[Y/N]y
PROFIT!