第一篇:华为MA5683T配置指导书-leafsys
--叶向阳制作 2022.8.12 华为MA5683T配置指导书
目录
一、开局部分..........................................................................................................................................2
1.1、开局.........................................................................................................................................2 1.2、管理配置.................................................................................................................................3 1.3、创建和上行口透传业务vlan.................................................................................................3
二、业务部分..........................................................................................................................................4
2.1、按需求创建模板.....................................................................................................................4
2.1.1、创建DBA模板.............................................................................................................4 2.1.2、创建线路模板..............................................................................................................5 2.1.3、创建业务模板..............................................................................................................5 2.2、开启pon口自动发现上线onu的功能................................................................................6 2.3、注册上线的onu......................................................................................................................6
2.3.1、查看已经自动上线的onu...........................................................................................6 2.3.2、注册上线onu...............................................................................................................8 2.4、创建业务流.............................................................................................................................9
2.4.1、创建单层标签的业务流..............................................................................................9 2.4.2、创建双层q-in-q的业务流..........................................................................................9
三、附录................................................................................................................................................10 3.1 MA5620系列ONU业务配置.................................................................................................10 3.2 一些常用查看命令.................................................................................................................11
--叶向阳制作 2022.8.12
一、开局部分
1.1、开局
//通过console,登陆用户名root,密码 admin,双引擎的话接亮ACT绿灯的板子 MA5683T>enable
//打开特权EXEC MA5683T#config
//进入终端配置模式
MA5683T(config)#sysnameSJZ-HW-OLT-//设备命名(一般为开局配置)MA5683T(config)#switch language-mode //切换语言,想看中文解释的话敲次命令。//创建telnet用户
MA5683T(config)#terminal user name
//添加操作用户huawei User Name(length<6,15>):huawei
//设置用户名
User Password(length<6,15>):huawei12//要求输入密码.输入部分实际为不可见的 Confirm Password(length<6,15>):huawei123
//要求再次确认一遍密码 User profile name(<=15 chars)[root]:root
//输入用户管理级别 User's Level:
1.Common User 2.Operator 3.Administrator:3
//选择用户权限
Permitted Reenter Number(0--4):1
//设置此用户名可重复登录次数,一般要求为1次 User's Appended Info(<=30 chars):HuaweiAdm
//添加描述,可不设置。
Adding user succeeds Repeat this operation?(y/n)[n]: //若开局或者插入新的板卡后需要如下操作,autofind为新插入的业务板 MA5683T(config)#display board 0 //检查设备单板状态,此命令最常用。-----------SlotIDBoardNameStatus
SubType0 SubType1
Online/Offline
-----------
0
H802EPBD
Normal
H802EPBD
Normal
H802EPBD
Normal
H802EPBDAuto_find
H801SCUNActive_normal
H801SCUNStandby_normal
H801GICF
Normal
H801X2CA
Normal
--叶向阳制作 2022.8.12
-----------MA5683T(config)#board confirm 0
//对于自动发现的单板,需要确认后,单板才能使用。
//对于未确认的单板,单板硬件运行指示灯正常,但是业务端口无法工作。
1.2、管理配置
1、创建管理vlan MA5683T(config)#vlan 5 smart
2、上行口透传管理vlan MA5683T(config)#port vlan 5 0/8 0 //将vlan5透传到0/8号上行板的0号口、GICF板有0 1两个上行口,通过display board 0/8可以看到具体口的情况。最好上行口都做透传。
3、给管理vlan配置ip地址
MA5683T(config)#interface vlanif 5 MA5683T(config-if-vlanif5)#ip address 10.11.126.2 255.255.0.0 MA5683T(config-if-vlanif5)#quit
4、配置管理网关
MA5683T(config)#ip route-static 0.0.0.0 0.0.0.0 10.11.0.1 //为了不同网段地址可以管理到它
//做到这里,如果0/8 0口接通的话,就可以telnet这个地址使用huawei huawei123登陆了。
如果需要网管软件管理的话需要加上下面命令即可
MA5683T(config)#snmp-agent community read public
//设置读参数 MA5683T(config)#snmp-agent community write private
//设置写参数
1.3、创建和上行口透传业务vlan MA5683T(config)#vlan 5 smart
//管理vlan、之前创建过了 MA5683T(config)#vlan 14 smart
//做个举例
MA5683T(config)#vlan 999 smart
//移动宽带vlan MA5683T(config)#vlan 183 smart
//点播vlan MA5683T(config)#vlan 3049 to 3098 smart
//华数qinq外层vlan y
//这里创建多个vlan会提示输入y或n MA5683T(config)#port vlan50/8 0 //透传管理vlan,之前做过了 MA5683T(config)#port vlan140/8 0 MA5683T(config)#port vlan9990/8 0 MA5683T(config)#port vlan3049 to 30980/8 0 y
//这里透传多个vlan会提示输入y或n MA5683T(config)#port vlan140/8 1
//透传另一个上行口
……..//重复操作这里不做累赘,为了保证业务畅通做好每个上行口做透传,这样
--叶向阳制作 2022.8.12 插错上行口也没问题
做到这里OLT到上层交换机直接二层通了。
接下来是做olt到onu这段的,具体有这几个步骤:创建DBA模板创建线路模板吧DBA模板绑到里面根据需求创建业务模板(只针对普通4口5口的onu、MA5626的单独网管onu无需模板)接入onu并注册onu(OAM模式注册时命令会提示绑定线路模板和业务模板,SNMP模式注册只需绑定线路模板)根据需求创建业务流(业务流分为粗流和细流,同时也分单双层标签业务流)
二、业务部分
2.1、按需求创建模板
2.1.1、创建DBA模板
MA5683T(config)#dba-profile add profile-id 10 profile-name “standard” type3 assure 4096 max 10240
//这个type3表示设置保证带宽和最大带宽,这里的值单位为KB,具体作用并不是限制业务的带宽而是作为控制onu接入数量限制,是一个能力值,根据场景选择配置,一般设置这个即可。
DBA模板查看、删除、修改命令
MA5683T(config)#display dba-profile profile-id 10
//查看DBA模板20---
Profile-name :standard
Profile-ID:
type:
Bandwidth compensation:
No Fix(kbps):
0
Assure(kbps):
40960
Max(kbps):
102400
bind-times:
---
MA5683T(config)#dba-profile delete profile-id 10
//删除DBA模板,前提是此DBA模板没有被任何线路模板绑定。
--叶向阳制作 2022.8.12 MA5683T(config)#dba-profile modify profile-id 10
//修改DBA模板,前提是此DBA模板没有被任何线路模板绑定。
2.1.2、创建线路模板
MA5683T(config)#ont-lineprofileepon profile-id 10 profile-name “standard” MA5683T(config-epon-lineprofile-10)#lliddba-profile-id 10 //绑定刚才的DBA模板号 MA5683T(config-epon-lineprofile-10)# commit MA5683T(config-epon-lineprofile-10)#quit
一般一个就行了,如果有高密度或者其他场景需要再建立其他的带宽
/查看线路模板和业务模板配置:
MA5683T(config)#display ont-lineprofileepon profile-id 10
//删除线路模板或业务模板
MA5683T(config)#undo ont-lineprofileepon profile-id 10
//删除线路模板10
2.1.3、创建业务模板
创建全透传类型业务模板
MA5683T(config)#ont-srvprofileepon profile-id 40 profile-name “TouChuan” //创建模板40 MA5683T(config-gpon-srvprofile-40)#ont-port pots 2 eth 4
//这里是指定onu接口类型
MA5683T(config-gpon-srvprofile-40)#port vlan eth 1 transparent //表示onu的eth1口为透传模式 MA5683T(config-gpon-srvprofile-40)#port vlan eth 2 transparent MA5683T(config-gpon-srvprofile-40)#port vlan eth 3 transparent MA5683T(config-gpon-srvprofile-40)#port vlan eth 4 transparent MA5683T(config-gpon-srvprofile-40)#commit //提交配置、不提交不生效
创建非全透传业务模板
MA5683T(config)#ont-srvprofileepon profile-id 41 profile-name “183_and_999” MA5683T(config-gpon-srvprofile-41)#ont-port pots 2 eth 4 MA5683T(config-gpon-srvprofile-41)#port vlan eth 1 183 //指定onu eth1口接受vlan号183 MA5683T(config-gpon-srvprofile-41)#port vlan eth 2 183 MA5683T(config-gpon-srvprofile-41)#port vlan eth 3 999//指定接受vlan999,注意如果口是直接连电脑的话,那么必须在epon模式下指定注册的onu的每个接口的native vlan,否则进流量接口
--叶向阳制作 2022.8.12 无法打上vlan标签,命令见后面指定nativevlan介绍。MA5683T(config-gpon-srvprofile-41)#port vlan eth 4 999 MA5683T(config-gpon-srvprofile-41)#commit 指定nativevlan MA5683T(config)#interface epon 0/0 MA5683T(config-if-epon-0/0)#ont add 1 0 mac-auth CCCC-81A2-3C16 oamont-lineprofile-id 10 ont-srvprofile-id 42 desc “num1” //举个例子,绑定的这个onu MA5683T(config-if-epon-0/0)#ont port native-vlan10 eth 1vlan 183 MA5683T(config-if-epon-0/0)#ont port native-vlan 1 0 eth 2 vlan 183 //表示该板卡的第1个pon口的0号onu的eth2口如果接收到不带tag的802.3帧将打上183的tag标签。Native vlan就这意思。
MA5683T(config-if-epon-0/0)#ont port native-vlan 1 0 eth 3 vlan 999 MA5683T(config-if-epon-0/0)#ont port native-vlan 1 0 eth 4 vlan 999
2.2、开启pon口自动发现上线onu的功能
MA5683T(config)#interface epon 0/0 MA5683T(config-if-epon-0/0)#port 0 ont-auto-find enable //0号pon口打开自动发现 MA5683T(config-if-epon-0/0)#port 1 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 2 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 3 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 4 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 5 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 6 ont-auto-find enable MA5683T(config-if-epon-0/0)#port 7 ont-auto-find enable 注意:每个PON板的每个PON都要打开,否则上线onu系统无法发现。
2.3、注册上线的onu 2.3.1、查看已经自动上线的onu MA5683T(config)#display ontautofind all
//查看OLT自动发现的ONU信息.----------
Number
: 1
F/S/P
: 0/0/0 Ont Mac
: 001D-6A3C-6614
--叶向阳制作 2022.8.12
Password
: VenderID
: HWTC Ontmodel
: 810e OntSoftwareVersion : V100R001C01B020 OntHardwareVersion : HG810e
Ontautofind time
: 2022-06-06 15:01:52
----------
Number
: 2
F/S/P
: 0/1/0 Ont Mac
: 0000-0000-0000
Password
: ******00 VenderID
: HWTC Ontmodel
: 5620 OntSoftwareVersion : V8R307 C00 OntHardwareVersion : MA5620 Ontautofind time
: 2022-06-09 00:17:17
----------
Number
: 3
F/S/P
: 0/4/0 Ont Mac
: 0018-82EB-51B3
Password
: ******00 VenderID
: HWTC Ontmodel
: MDU
OntSoftwareVersion : V8R306C01B053 OntHardwareVersion : MA5616 Ontautofind time
: 2022-6-31 16:40:54
----------
The number of EPON autofind ONT is 3
注意,如果没有开启pon口自动发现是看不到这些的!!MA5680T(config)#display ontautofind all
//查看OLT自动发现的ONU信息.----------
Number
: 1
F/S/P
: 0/2/1 Ont Mac
: 001D-6A3C-6614
Password
: VenderID
: HWTC Ontmodel
: 810e OntSoftwareVersion : V100R001C01B020 OntHardwareVersion : HG810e
Ontautofind time
: 2022-06-06 15:01:52
----------
Number
: 2
F/S/P
: 0/1/0
--叶向阳制作 2022.8.12 Ont Mac
: 0000-0000-0000
Password
: ******00 VenderID
: HWTC Ontmodel
: 5620 OntSoftwareVersion : V8R307 C00 OntHardwareVersion : MA5620 Ontautofind time
: 2022-06-09 00:17:17
----------
Number
: 3
F/S/P
: 0/4/0 Ont Mac
: 0018-82EB-51B3
Password
: ******00 VenderID
: HWTC Ontmodel
: MDU
OntSoftwareVersion : V8R306C01B053 OntHardwareVersion : MA5616 Ontautofind time
: 2022-6-31 16:40:54
----------
The number of EPON autofind ONT is 3
2.3.2、注册上线onu
OAM方式:针对小onu、非独立网管的onu MA5683T(config)#interface epon0/1
//进入到EPON单板模式。
MA5683T(config-if-epon-0/1)#ont add 10 mac-authCCCC-81A2-3C16oamont-lineprofile-id 10 ont-srvprofile-id 42 desc “num1”
//第一个数字表示1号PON口(PON口从0开始编号)这个从上面查看ontautofind中的F/S/P判断;第二个数字表示onu编号,添加时要依次叠加,最低从0号开始。Mac地址就是autofind发现的onu的mac地址。后面就是绑定前面创建好的线路模板和业务模板。
MA5683T(config-if-epon-0/1)#ont add 0 1 mac-auth CCCC-8194-5E03 oamont-lineprofile-id 10 ont-srvprofile-id 43 desc “haha” MA5683T(config-if-epon-0/1)#ont add 0 2 mac-auth CCCC-819E-0D43 oamont-lineprofile-id 10 ont-srvprofile-id 40 desc “hehe”
SNMP方式:针对独立网管的ONU,如MA5620 8口、16口和24口的onu
1、Snmp方式绑定
MA5683T(config)#interface epon0/1
//进入到EPON单板模式。
MA5683T(config-if-epon-0/1)#ont add 00 mac-auth707B-E84E-296Bsnmpont-lineprofile-id 10 desc “MA5626_24ports”
//这是就不需要绑定业务模板了,只要绑定线路模板,因为SNMP模式注册的onu可以直接进onu配置,所以无需模板了。这里绑定的是24口的MA5626,通过display ontautofind的中的onu类型可以判断是不是需要这种方式绑定。
--叶向阳制作 2022.8.12
2、配置5620类型onu的管理
MA5683T(config-if-epon-0/1)#ontipconfig 0 0 ip-address 10.11.11.4 mask 255.255.0.0 gateway 10.11.0.1 manage-vlan 5 //这条命令表示配置该onu的管理ip和vlan,该配置的参数会自动下发到5626 onu上。这个必须配置,否则无法远程配置该onu的业务。
3、添加5620 onu管理业务流
MA5683T(config)#service-port 10 vlan 5 epon 0/0/0 ont 0 multi-service user-vlan 5 //配置好了这一条业务流就可以ping通并且telnet到ma5626上去了。具体5626配置很简单,参见后面的附录内容部分。
2.4、创建业务流
2.4.1、创建单层标签的业务流
MA5683T(config)#service-port1vlan999epon0/0/1ont0 multi-service user-vlan999
注:批注中指出的用户侧vlan和业务侧vlan的概念,意思是这里的业务流是一个PVC的vlan转换,华为EPON和GPON网络中的PVC的概念,所有ONU上来的数据都要指定一个PVC的转换,如果没有匹配则会丢弃。这里是vlan999转为vlan999出去,相当于透传了vlan999的数据。因为默认vlan 999 smart的vlan模式为common模式,所以这里只是映射,为单层标签。
MA5683T(config)#service-port 2vlan 5 epon 0/0/0 ont 1 multi-service user-vlan 5 ……
删除业务流
Display servise-port all
//先查看业务流的索引号
Undo service-port
//删除对应索引号的业务流
2.4.2、创建双层q-in-q的业务流
①创建双层q-in-q业务流时首选针对业务侧vlan,需要把vlan属性更改成q-inq属性 MA5683T(config)#vlanattrib3245 to 3293 q-in-q
②开启粗流功能
注:如果创建基于pon口的q-in-q则需要利用到粗流功能,什么事粗流?在前面我们看到的单
--叶向阳制作 2022.8.12 层标签业务流中epon 0/0/0 ont 0表示精确到pon口下的onu了,这表示细流;如果我只需要精确到pon口,所有该pon口下的onu都可以匹配这台业务流,那么称为该业务流为粗流。
MA5683T(config)#interface epon0/0 MA5683T(config-if-epon-0/0)#vlan-range enable //开启粗流 MA5683T(config-if-epon-0/0)#quit
MA5683T(config)#board reset 0/0
//重启该pon板(开启哪块板的粗流就需要重启该板,否则不生效)
注意:有些新版本的5683T取消了该命令,默认支持粗流功能,因此,如果没有vlan-range的命令可以试试直接创建粗流业务流!!
③创建q-in-q业务流(粗流)MA5683T(config)#service-port 0 vlan3245epon0/0/0ont all multi-service user-vlan1000 to 1500inbound traffic-table index 6 outbound traffic-table index 6
MA5683T(config)#service-port 1 vlan 3246 epon 0/0/1 ont all multi-service user-vlan 1000 to1500 inbound traffic-table index 6 outbound traffic-table index 6 MA5683T(config)#service-port 2 vlan 3247 epon 0/0/2 ont all multi-service user-vlan 1000 to 1500 inbound traffic-table index 6 outbound traffic-table index 6 MA5683T(config)#service-port 3 vlan 3248 epon 0/0/3 ont all multi-service user-vlan 1000 to 1500 inbound traffic-table index 6 outbound traffic-table index 6
经过这几步QinQ配置就算完成了,qinq业务就可以正常带双层标签通信。
三、附录
3.1 MA5620系列ONU业务配置
1、配置上行口创建业务vlan同5683T完全相同。这里不做累赘。
MA5626T(config)#vlan 5 smart //这个命令是上面配置ontipconfig时自动下发的 MA5626T(config)#vlan 183 smart
--叶向阳制作 2022.8.12 MA5626T(config)#vlan 447 smart MA5626T(config)#vlan 999 to 1500 smart
//qinq内层vlan段,这里无需特别设置,直接普通属性透传上行口
MA5626T(config)#vlandesc 5 description “Management” MA5626T(config)#vlandesc 183 description “DianBo_port17-20” MA5626T(config)#vlandesc 999 description “Mobile_port9-16” //描述 MA5626T(config)#vlandesc 1000 description “1000_to_1500_is_Wasu_qinq” MA5626T(config)# port vlan 5 0/0 1 MA5626T(config)# port vlan 183 0/0 1 MA5626T(config)# port vlan 447 0/0 1 MA5626T(config)# port vlan 999 to 1500 0/0 1
2、配置以太网口
5620的以太网卡不同交换机配置、这里是直接通过配置业务流实现。① 查看以太网口
MA5626T(config)#display board 0/1 ② 针对场景为直接连电脑的接口的vlan配置,类似access口
MA5626T(config)#service-port 0vlan1001 eth 0/1/1 multi-service user-vlanuntaggedrx-cttr6tx-cttr 6
MA5626T(config)# service-port 1 vlan 1002 eth 0/1/2 multi-service user-vlan untagged rx-cttr 6 tx-cttr 6 MA5626T(config)# service-port 2 vlan 1003 eth 0/1/3 multi-service user-vlan untagged rx-cttr 6 tx-cttr 6 MA5626T(config)# service-port 3 vlan 1004 eth 0/1/4 multi-service user-vlan untagged rx-cttr 6 tx-cttr 6 MA5626T(config)# service-port 4 vlan 1005 eth 0/1/5 multi-service user-vlan untagged rx-cttr 6 tx-cttr 6 注意:这里创建的业务流只是针对每个以太口的流,要实现通信上层olt必须有一条针对该onu业务的业务流。
③ 下面连交换机,tag标签在交换机上打 示例:
MA5626T(config)# service-port 1 vlan999 eth 0/1/20 multi-service user-vlan999rx-cttr 6 tx-cttr 6 MA5626T(config)# service-port 2vlan1000 eth 0/1/20 multi-service user-vlan1000rx-cttr 6 tx-cttr 6
//跟5683T差不多,这种vlan转发模式类似于配置trunk接口透传vlan。
3.2 一些常用查看命令
MA5680T(config)#display board 0 //检查设备单板状态
MA5680T(config)#display ont-lineprofileepon all
//查看EPON业务线路模板 MA5680T(config)#display ont-srvprofile epon all//查询ONU业务模板
MA5680T(config)#display ontautofind all
//查看OLT自动发现的ONU信息.--叶向阳制作 2022.8.12 MA5680T(config)#interface epon 0/1 MA5683T(config-if-epon-0/1)#display ont info 0 1 //查看具体onu MA5680T(config)#displaycurrent-configuration
//查看配置文件 MA5680T(config)#display board 0/8
//查看具体8槽位 MA5680T(config)#display service-port all //查看所有业务流
MA5680T(config)#display service-port 6 //查看6号业务流详细信息
MA5680T(config)#display statis service-port 6 //查看6业务流的流量统计
MA5680T(config)#display mac-address service-port 6 //查看业务流6的学习到的mac地址 MA5680T(config)#display vlan 5
//查看vlan5详细信息
查看具体分类配置文件
1、查看snmp配置
MA5680T(config)#display current-configuration section public
1、查看vlan配置
MA5680T(config)#display current-configuration section vlan
2、查看所有epon单板下配置
MA5680T(config)#display current-configuration section epon
3、查看模块epon单板下的配置
MA5680T(config)#display current-configuration section epon-0/1
4、查看service-port配置
MA5680T(config)#display current-configuration section bbs
第二篇:华为配置实例
数据准备 负载分担模式Eth-Trunk 的编号 2 成员接口的类型和编号 interface eth-trunk trunk-id mode manual [ load-balance ] trunkport interface-type { interface-number1 [ to interface-number2 ] }
数据准备 sub-VLAN 的VLAN ID 及其包含的端口编号 2 super-VLAN 的VLAN ID 3 VLANIF 接口的IP 地址和掩码
vlan vlan-id aggregate-vlan access-vlan interface vlanif vlan-id arp-proxy inter-sub-vlan-proxy enable
数据准备 主VLAN 的VLAN ID 及其包含的端口编号 互通型从VLAN 的VLAN ID 及其包含的端口编号 3 隔离型从VLAN 的VLAN ID 及其包含的端口编号
vlan vlan-id mux-vlan vlan vlan-id vlan vlan-id,进入主VLAN 视图
subordinate group vlan-id1 [ to vlan-id2 ]用来配置主vlan 下的互通型 从vlan。
vlan vlan-id,进入主VLAN 视图
subordinate separate vlan-id,用来配置主vlan 下的隔离型从vlan interface interface-type interface-number port mux-vlan enable
VLAN2 和VLAN3 组成super-VLAN:VLAN4。
作为sub-VLAN 的VLAN2 和VLAN3 之间不能互相ping 通。配置Proxy ARP 后,VLAN2 和VLAN3 之间可以互相ping 通。图3-8 配置VLAN 聚合组网图
配置思路
采用如下思路配置VLAN 聚合:
1.把Switch 接口加入到相应的sub-VLAN 中。2.把sub-VLAN 聚合为super-VLAN。3.配置super-VLAN 的IP 地址。4.配置super-VLAN 的Proxy ARP。
数据准备
为完成此配置例,需准备如下的数据: l GE0/0/1 和GE0/0/2 属于VLAN2 l GE0/0/3 和GE0/0/4 属于VLAN3 l super-VLAN 的ID 为4 l super-VLAN 的IP 地址为100.1.1.12 操作步骤
步骤1 配置接口类型
# 配置接口GE0/0/1 为Access 类型。
[Quidway] vlan 2 # 向VLAN2 中加入GE0/0/1 和GE0/0/2。
[Quidway-vlan2] port gigabitethernet 0/0/1 0/0/2 [Quidway-vlan2] quit 步骤3 配置VLAN3 # 创建VLAN3。
[Quidway] vlan 3 # 向VLAN3 中加入GE0/0/3 和GE0/0/4。
[Quidway-vlan3] port gigabitethernet 0/0/3 0/0/4 [Quidway-vlan3] quit 步骤4 配置VLAN4 3 VLAN 配置
# 配置super-VLAN。
[Quidway] vlan 4 [Quidway-vlan4] aggregate-vlan [Quidway-vlan4] access-vlan 2 to 3 # 配置VLANIF。
[Quidway] interface vlanif 4 [Quidway-Vlanif4] ip address 100.1.1.12 255.255.255.0 [Quidway-Vlanif4] quit 步骤5 配置PC 分别为各PC 配置IP 地址,并使它们和VLAN4 处于同一网段。
配置成功后,各PC 与Switch 之间可以相互ping 通,但VLAN2 的PC 与VLAN3 的PC 间不可以相互ping 通。步骤6 配置Proxy ARP [Quidway] interface vlanif 4 [Quidway-Vlanif4] arp-proxy inter-sub-vlan-proxy enable
将Switch 设备上的端口GE0/0/1 配置为VLAN2 并作为主VLAN,创建
VLAN3 作为group VLAN, 加入端口GE0/0/2 和GE0/0/3,创建VLAN4 作为separate VLAN, 加入端口GE0/0/4 和GE0/0/5。
其中GE0/0/1 与HostA 相连,GE0/0/2 与HostB 相连,GE0/0/3 与HostC 相连,GE0/0/4 与HostD 相连,GE0/0/5 与HostE 相连。HostA 和HostB、HostC 可以互相ping 通。HostA 和HostD、HostE 可以互相ping 通。HostB 和HostC 可以互相ping 通。HostD 和HostE 不可以互相ping 通。
HostB、HostC 和HostD、HostE 不可以互相ping 通。图3-9 配置MUX-VLAN 组网图
VLAN3 VLAN4 VLAN2 HostB HostC HostD HostE HostA GE0/0/2 GE0/0/1 GE0/0/3 GE0/0/4 GE0/0/5 Switch 配置思路
采用如下思路配置MUX-VLAN 功能: 1.配置主VLAN 的MUX-VLAN 功能。2.配置Group-VLAN 功能。3.配置Separate-VLAN 功能。
4.配置接口加入VLAN 并使能MUX-VLAN 功能。
数据准备
为完成此配置例,需准备如下的数据: l GE0/0/1 属于VLAN2 l GE0/0/2 和GE0/0/3 属于VLAN3 l GE0/0/4 和GE0/0/5 属于VLAN4 3 VLAN 配置
Quidway S5700 系列以太网交换机 配置指南-以太网
操作步骤
步骤1 配置MUX VLAN # 创建VLAN2、VLAN3 和VLAN4。
[Quidway] interface gigabitethernet 0/0/1 [Quidway-GigabitEthernet0/0/1] port link-type access [Quidway-GigabitEthernet0/0/1] port default vlan 2 [Quidway-GigabitEthernet0/0/1] port mux-vlan enable [Quidway-GigabitEthernet0/0/1] quit [Quidway] interface gigabitethernet 0/0/2 [Quidway-GigabitEthernet0/0/2] port link-type access [Quidway-GigabitEthernet0/0/2] port default vlan 3 [Quidway-GigabitEthernet0/0/2] port mux-vlan enable [Quidway-GigabitEthernet0/0/2] quit [Quidway] interface gigabitethernet 0/0/3 [Quidway-GigabitEthernet0/0/3] port link-type access [Quidway-GigabitEthernet0/0/3] port default vlan 3 [Quidway-GigabitEthernet0/0/3] port mux-vlan enable [Quidway-GigabitEthernet0/0/3] quit [Quidway] interface gigabitethernet 0/0/4 [Quidway-GigabitEthernet0/0/4] port link-type access [Quidway-GigabitEthernet0/0/4] port default vlan 4 [Quidway-GigabitEthernet0/0/4] port mux-vlan enable [Quidway-GigabitEthernet0/0/4] quit [Quidway] interface gigabitethernet 0/0/5 [Quidway-GigabitEthernet0/0/5] port link-type access [Quidway-GigabitEthernet0/0/5] port default vlan 4 [Quidway-GigabitEthernet0/0/5] port mux-vlan enable [Quidway-GigabitEthernet0/0/5] quit 步骤2 检查配置结果
HostA 和HostB、HostC、HostD、HostE 都可以互相ping 通。HostB 和HostC 可以互相ping 通。HostD 和HostE 不可以互相ping 通。
HostB、HostC 和HostD、HostE 不可以互相ping 通。----结束
第三篇:华为telnet配置
华为交换机的Telnet设置(五种方式)
方式一【TELNET不验证配置】
[SwitchA-ui-vty0-4]authentication-mode none
方式二【TELNET密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4 2.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password 3.设置明文密码
[SwitchA-ui-vty0-4]set authentication password simple Huawei 4.缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用户的权限
[SwitchA-ui-vty0-4]user privilege level 3
方式三【TELNET本地用户名和密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4 2.使用authentication-mode scheme命令,表示需要进行本地或远端用户名和口令认证。
[SwitchA-ui-vty0-4]authentication-mode scheme 3.设置本地用户名和密码
[SwitchA]local-user Huawei [SwitchA-user-huawei]service-type telnet level 3 [SwitchA-user-huawei]password simple Huawei 4.如果不改变TELNET登录用户的权限,用户登录以后是无法直接进入其它视图的,可以设置super password,来控制用户是否有权限进入其它视图
[SwitchA]local-user Huawei [SwitchA-user-huawei]service-type telnet [SwitchA-user-huawei]password simple Huawei [SwitchA]super password level 3 simple huawei
方式四 【TELNET RADIUS验证配置】
以使用huawei开发的cams作为RADIUS服务器为例
1.设置TELNET登录方式为scheme [SwitchA-ui-vty0-4]authentication-mode scheme 2.配置RADIUS认证方案
[SwitchA]radius scheme cams 3.配置RADIUS认证服务器地址10.110.51.31 [SwitchA-radius-cams]primary authentication 10.110.51.31 1812 4.配置RADIUS计费服务器地址10.110.51.31 [SwitchA-radius-cams]primary accounting 10.110.51.31 1813 5.配置交换机与认证服务器的验证口令
[SwitchA-radius-cams]key authentication expert 6.配置交换机与计费服务器的验证口令
[SwitchA-radius-cams]key accounting expert 7.配置服务器类似为huawei,即使用CAMS [SwitchA-radius-cams]server-type Huawei 8.送往RADIUS的报文不带域名 [SwitchA-radius-cams]user-name-format without-domain 9.创建(进入)一个域
[SwitchA]domain Huawei 10.在域huawei中引用名为“cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams 11.将huawei域设置为缺省域
[SwitchA]domain default enable huawei
方式五
【TELNET访问控制配置】
1.设置只允许符合ACL1的IP地址登录交换机
[SwitchA-ui-vty0-4]acl 1 inbound 2.设置规则只允许某网段登录
[SwitchA]acl number 1 [SwitchA-acl-basic-1] [SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255 3.设置规则只禁止某网段登录
[SwitchA]acl number 1 [SwitchA-acl-basic-1] [SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255
第四篇:华为2022路由器配置
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。
1、配置内网接口(Ethernet0/0):
[MSR20-20] interface Ethernet0/0
[MSR20-20-Ethernet0/0]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址
[MSR20-20]dhcp server ip-pool 1
[MSR20-20-dhcp-pool-1]network 192.168.1.0 24
[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133
[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.13、配置nat
[MSR20-20]nat address-group 1 公网IP 公网IP
[MSR20-20]acl number 3000
[MSR20-20-acl-adv-3000]rule 0 permit ip4、配置外网接口(Ethernet0/1)
[MSR20-20] interface Ethernet0/1
[MSR20-20-Ethernet0/1]ip add 公网IP
[MSR20-20-Ethernet0/1] nat outbound 3000 address-group 1
5.加默缺省路由
第五篇:华为Eudemon配置文档
华为Eudemon配置文档
Eudemon防火墙的双机热备份需要三个协议的支持:
VRRP(Virtual Router Redundancy Protocol)是由RFC2338定义的一种容错协议,通过实现物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。VGMP(VRRP Group Management Protocol)是华为公司为防止VRRP状态不一致现象的发生,在VRRP的基础上自主开发出的扩展协议。该协议负责统一管理加入其中的各备份组VRRP的状态。
HRP(Huawei Redundancy Protocol)协议用来进行防火墙的动态状态数据的实时备份。
此配置文档适用于不支持VGMP的Eudemon系统版本,该系统默认有master和slave两个管理组,master用于管理主防火墙VRRP备份组,slave用于管理备防火墙VRRP备份组,主要区别体现在它们的优先级上。
一、Eudemon双机配置的二个步骤如下:
1、接口划分和VRRP备份组配置 [Eudemon]firewall zone trust [Eudemon-zone-untrust] add interface GigabitEthernet0/0/0 [Eudemon]firewall zone untrust [Eudemon-zone-untrust] add interface GigabitEthernet5/0/0 [Eudemon]firewall zone dmz [Eudemon-zone-dmz] add interface GigabitEthernet0/0/1
[Eudemon-zone-dmz] add interface GigabitEthernet6/0/0
注:Eudemon防火墙默认有四个区域,local(本机)、untrust(连接外网)、trust(连接内网)、dmz(中立区),安全级别系数分别是100、5、85、50,这四个默认区域不能删除,也不能修改安全级别系数;并且四个区域默认是不允许所有IP进行互访的。
[Eudemon]interface GigabitEthernet0/0/0 [Eudemon-GigabitEthernet0/0/0]ip addres 10.154.164.251 24 [Eudemon-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.154.164.253 master
#备机配置时修改接口IP,关键词由master变为slave,下同 [Eudemon-GigabitEthernet0/0/0]undo shutdown [Eudemon]interface GigabitEthernet0/0/1
[Eudemon-GigabitEthernet0/0/1]ip addres 10.155.80.1 28
[Eudemon-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.155.80.3 master
[Eudemon-GigabitEthernet0/0/1]undo shutdown [Eudemon]interface Gigabi tEthernet5/0/0 [Eudemon-GigabitEthernet5/0/0]ip addres 10.0.0.251 24
[Eudemon-GigabitEthernet5/0/0]vrrp vrid 3 virtufal-ip 10.0.0.202 master
[Eudemon-GigabitEthernet5/0/0]undo shutdown [Eudemon]interface GigabitEthernet6/0/0
#用于双机的心跳线 [Eudemon-GigabitEthernet6/0/0]ip addres 172.16.0.1 24
[Eudemon-GigabitEthernet6/0/0]vrrp vrid 4 virtual-ip 172.16.0.3 master
[Eudemon-GigabitEthernet6/0/0]undo shutdown
2、HRP配置
[Eudemon]hrp enable
#启用HRP功能
HRP_M[Eudemon]hrp interface GigabitEthernet6/0/0
#配置备份会话表的接口
HRP_M[Eudemon]hrp auto-sync
#同时启动配置命令和连接状态的自动备份
HRP_M[Eudemon]hrp configuration check {hrp|acl}
#主备防火墙一致性检查 HRP_M[Eudemon]display hrp configuration check {all|acl|hrp}
#查看检查结果 注:主备防火墙的配置基本一样,主要区别在于接口实际IP和管理组,在使用命令hrp enable后,主机的[Eudemon]前面会HRP_M标识,备机[Eudemon]前面会有HRP_S标识。下图是检查结果一致的截图。
当然也可通过在主机上添加ACL,在备机上查看是否有同样的ACL来验证双机配置是否正确;同样还要进行双机切换测试。
二、地址集和端口集配置
将要进行同一动作的地址和端口加入到同一个集合中,这样方便策略了叙写,也减少了ACL的条数。
HRP_M [Eudemon] ip address-set mwa address 0 10.0.0.233 0
# ’0’为0.0.0.0的缩写,标识这个IP为一个主机,下同 address 1 10.0.0.50 0
HRP_M [Eudemon]ip address-set mwb address 0 10.0.0.50 0 address 1 10.0.0.51 0
HRP_M [Eudemon]ip address-set zca address 0 10.154.164.103 0 address 1 10.154.164.104 0 HRP_M [Eudemon]ip address-set zcb address 0 10.154.164.98 0
address 1 10.154.164.108 0
HRP_M [Eudemon]ip addres-set nat address 0 10.0.0.242 0 address 1 10.0.0.243 0 HRP_M [Eudemon]ip port-set fwdk protocol tcp port 0 eq 211 port 1 eq 1521
port 2 range 6789 6790
三、策略配置
HRP_M[Eudemon]acl number 3001 HRP_M[Eudemon-acl-adv-3001] rule 0 permit tcp source 10.0.0.54 0 destination 10.154.164.98 0 destination-port eq 1521
#规则0允许主机10.0.0.54访问主机10.154.164.98的1521端口
HRP_M[Eudemon-acl-adv-3001] rule 1 permit tcp source 10.0.0.54 0 destination 10.154.164.98 0 destination-port eq ssh HRP_M[Eudemon-acl-adv-3001] rule 2 permit ip source address-set mwa destination address-set zca HRP_M[Eudemon-acl-adv-3001] rule 3 permit tcp source address-set mwa destination 10.154.164.98 0 destination-port range 6558 65535 HRP_M[Eudemon-acl-adv-3001] rule 4 permit tcp source address-set mwa destination address-set zcb destination-port eq 1521 HRP_M[Eudemon-acl-adv-3001] rule 5 permit tcp source address-set mwb destination 10.154.164.109 0 destination-port port-set fwdk HRP_M[Eudemon-acl-adv-3001] rule 6 permit tcp source address-set mwb destination 10.154.164.110 0 destination-port port-set fwdk HRP_M[Eudemon-acl-adv-3001] rule 7 permit tcp source 10.0.0.54 0 destination 10.154.164.110 0 destination-port eq ssh HRP_M[Eudemon-acl-adv-3001] rule 8 permit tcp source address-set mwb destination 10.154.164.111 0 destination-port range 6789 6790 HRP_M[Eudemon-acl-adv-3001] rule 9 permit ip source any destination address-set nat
HRP_M[Eudemon]acl number 3003
HRP_M[Eudemon-acl-adv-3003]rule 1 permit ip source any destination any
四、ACL应用
HRP_M[Eudemon]firewall packet-filter default permit interzone trust untrust direction outbound
#默认允许数据包从trust区域到untrust区域 HRP_M[Eudemon]firewall interzone untrust trust HRP_M[Eudemon-interzone-untrust-trust]packet-filter 3001 inbound
#将ACL 3001应用在untrust区域到trust区域入方向
HRP_M[Eudemon]firewall interzone trust untrust
HRP_M[Eudemon-interzone-trust-untrust]packet-filter 3002 outbound HRP_M[Eudemon]firewall interzone local dmz HRP_M[Eudemon-interzone-local-dmz]packet-filter 3003 inbound HRP_M[Eudemon-interzone-local-dmz]packet-filter 3003 outbound
HRP_M[Eudemon]firewall interzone local trust
HRP_M[Eudemon-interzone-local-trust]packet-filter 3003 inbound HRP_M[Eudemon-interzone-local-trust]packet-filter 3003 outbound HRP_M[Eudemon]firewall interzone local untrust
HRP_M[Eudemon-interzone-local-untrust]packet-filter 3003 inbound HRP_M[Eudemon-interzone-local-untrust]packet-filter 3003 outbound 备注:(1)入方向(inbound)
数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。
(2)出方向(outbound)
数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。
五、路由配置和NAT HRP_M[Eudemon]ip route-static 0.0.0.0 0.0.0.0 10.154.164.254
#添加默认路由 HRP_M[Eudemon]nat server global 10.0.0.58 inside 10.154.164.108 #将内部地址10.154.164.108转换成10.0.0.58 HRP_M[Eudemon]nat server global 10.0.0.109 inside 10.154.164.109 HRP_M[Eudemon]nat server global 10.0.0.110 inside 10.154.164.110 HRP_M[Eudemon]nat server global 10.0.0.111 inside 10.154.164.111 HRP_M[Eudemon]nat server global 10.0.0.241 inside 10.154.164.103 HRP_M[Eudemon]nat server global 10.0.0.242 inside 10.154.164.98 HRP_M[Eudemon]nat server global 10.0.0.243 inside 10.154.164.104
六、Telnet配置
进行Telnet配置,用于远程管理和维护
HRP_M
HRP_M[Eudemon] aaa
#进入AAA视图 HRP_M[Eudemon-aaa] local-user sxit password cipher sxit
#配置本地用户的用户名和密码,密码有明文和加密两种形式
HRP_M[Eudemon-aaa] local-user sxit service-type telnet #配置本地用户的类型 HRP_M[Eudemon-aaa] authentication-scheme sxit
#进入认证方案视图 HRP_M[Eudemon-aaa-authen-telnetuser] authentication-mode local radius # 配置认证方法
HRP_M[Eudemon] user-interface vty 0 4
# 进入VTY 0-4用户接口视图 HRP_M[Eudemon-ui-vty0-4] authentication-mode aaa
# 配置对用户的认证方式为AAA 备注:
AAA(认证Authentication,授权Authorization,记帐Accounting)
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。常用的AAA协议是Radius,另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议。RADIUS基于UDP协议,而HWTACACS基于TCP协议。
RADIUS(Remote Authentication Dial In User Service)远程用户拨号认证系统,由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议
