Podstawowa konfiguracja przełączników Huawei

Poniżej znajduje się wstępna konfiguracja przełączników Huawei umożliwiająca bezproblemowe rozpoczęcie pracy, zapewnienie podstawowego poziomu bezpieczeństwa oraz weryfikację działania systemu.

Przełącznik Huawei

Poziomy dostępu w przełącznikach Huawei

Logując się do przełącznika poprzez CLI, domyślnie znajdujemy się w trybie użytkownika (user-view). Mamy tu jedynie podstawowe uprawnienia do wykonywania komend weryfikacyjnych, takich jak display, debugging, ping, telnet itp. Tryb użytkownika charakteryzuje się znakami <> w obszarze roboczym.

Aby skorzystać z bardziej zaawansowanych poleceń konfiguracyjnych, należy przełączyć się w tryb systemowy (system-view).

<Huawei>
<Huawei>
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]

Obszar roboczy w trybie uprzywilejowanym wyświetlany jest w nawiasach kwadratowych [].

Możemy wrócić do poprzedniego widoku poprzez polecenie Quit, lub bezpośrednio do trybu użytkownika za pomocą Return.

 Oczywiście po dokonaniu zmian w konfiguracji, należy zapisać je w pamięci nieulotnej:

Save

Konfiguracja adresu MGMT

Tworzymy vlan na potrzeby systemów zarządzających

vlan 10
name MGMT

Ustawiamy adres IP przeznaczony dla przełącznika

interface Vlanif10
ip address 10.10.10.10 255.255.255.0

Port 48 uruchamiamy w trybie access i przydzielamy do vlanu MGMT

interface GigabitEthernet0/0/48
port link-type access
port default vlan 10

Konfiguracja dostępu zdalnego

Ustawiamy nazwę przełącznika

sysname SwitchX

Uruchamiamy serwer SSH i generujemy certyfikat:

rsa local-key-pair create

Dostęp poprzez interfejs graficzny:

Uruchamiamy serwis HTTPS

http secure-server enable 

Tworzymy użytkownika

aaa

local-user webuser password irreversible-cipher [hasło]

local-user webuser privilege level 15

local-user webuser service-type http

Możemy też zdefiniować zakres dostępu do urządzenia, poprzez listę kontroli dostępu (ACL)

acl number 2020
rule 5 permit source 213.199.219.146 0
rule 6 permit source 192.168.4.0 0.0.0.255
rule 7 permit source 10.2.32.0 0.0.3.255

Montujemy ACLkę

http acl 2020

Dostęp do trybu konsoli (CLI), poprzez protokół SSH

Uruchmiamy serwer stelnet:

stelnet server enable

Dodajemy użytkowników lokalnych:

aaa

local-user cliuser password irreversible-cipher [hasło]

local-user cliuser privilege level 15

local-user cliuser service-type ssh

Włączamy możliwość logowania się poprzez SSH dla utworzonych przed chwilą użytkowników:

ssh user cliuser

ssh user cliuser authentication-type password

ssh user cliuser service-type all/ sftp/ stelnet

Konfigurujemy interfejs Virtual Teletype

user-interface vty 0 4

authentication-mode aaa

protocol inbound all/SSH/Telnet

idle-timeout 30 0 – timeout w przypadku bezczynności użytkownika
acl 2020

Konfiguracja VLANów dostępowych

vlan 100

 name HR

vlan 101

 name Produkcja

vlan 102

 name IT

 

Konfiguracja interfejsów

W trybie trunk, wraz z ograniczeniem liczby obsługiwanych vlanów:

interface GigabitEthernet0/0/1

 port link-type trunk

 port trunk allow-pass vlan 100 to 102

W trybie access:

interface GigabitEthernet0/0/10

 port link-type access

 port default vlan 101

Jako porty L3:

interface MEth0/0/1

 ip address 192.168.1.253 255.255.255.0

interface GigabitEthernet0/0/47

 undo portswitch

 ip address 172.31.10.10 255.255.255.0

Konfiguracja routingu

Przełączniki Huawei obsługują wszystkie ogólnodostępne protokoły routingu: statyczne, RIP, OSPF, ISIS oraz BGP.

Default route zwykle wystarcza w prostych rozwiązaniach

ip route-static 0.0.0.0 0.0.0.0 172.31.10.1

W przypadku większych sieci można skorzystać z protokołów routingu dynamicznego

ospf 1

area 0.0.0.0

network 192.168.1.0 0.0.0.255

Tworzenie kont użytkowników z uprawnieniami do wykonywania konkretnych komend
Przypisanie poziomu uprawnień do użytkownika

aaa
local-user nazwausera privilege level 3

Przypisanie komend do poziomu uprawnień

command-privilege level 3 view shell display current-configuration
command-privilege level 3 view system display current-configuration
command-privilege level 3 view shell display interface GigabitEthernet7/0/0

Polecenia weryfikacyjne

display current-config – wyświetlanie bieżącej konfiguracji

display saved-configuration – wyświetla zapisaną konfigurację

display this – wyświetlenie danego widoku

display version – weryfikacja modelu przełącznika i wersji oprogramowania

display interface – pokazuje stan interfejsów

display ip interface brief – stan IP na interfejsach

display cpu-usage – obciążenie procesora

display memory-usage – obciążenie pamięci

display logbuffer – przegląd logów

display ip routing-table – wyświetlenie tablicy routingu

undo vlan 10 – usunięcie danego polecenia konfiguracyjnego

Wyświetlanie plików

dir

Directory of flash:/

Idx  Attr     Size(Byte)  Date        Time       FileName

0  -rw-    143,943,780  Oct 14 2020 12:28:45   s5731-s-v200r019c10spc500.cc

1  drw-              –  Oct 12 2020 07:24:59   dhcp

2  drw-              –  Oct 12 2020 07:24:19   user

3  -rw-    142,750,500  Jan 01 1970 00:07:02   s5731-s-v200r019c00spc500.cc

4  -rw-         13,432  Oct 12 2020 07:24:59   default_ca.cer

5  -rw-             36  Oct 14 2020 12:56:03   $_patchstate_reboot

6  drw-              –  Oct 14 2020 13:17:29   sessionlog

…..

756,952 KB total (450,688 KB free)

Autorem wpisu jest
Radosław Kokosza
  – Starszy inżynier ds sieci z ponad 10 letnim doświadczeniem w kompleksowym zarządzaniu systemami enterprise – Cisco ASR, Nexus, ASA, FirePower, ISE, Fortigate i F5 Networks. Posiada certyfikaty Cisco poziomu expert w dziedzinie Routing & Switching oraz professional w ścieżkach Security oraz Design.

Radosław Kokosza - Starszy inżynier ds. sieci, CCIE #60497

Szukasz rozwiązania dla swojej firmy?

Napisz do nas!

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

    Network w liczbach

    0
    lat na rynku
    0
    realizacji
    0
    Klientów
    0
    projektów powyżej 100,000zł

    Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

    Network w liczbach

    0
    lat na rynku
    0
    realizacji
    0
    Klientów
    2023-06-29T15:08:59+02:00
    Przejdź do góry