Сложно ли настраивать устройства Huawei? Часть 1.

К. Кряженков, А. Степушин.
Центр сетевого управления и телекоммуникаций МИРЭА

Итак, благодаря О.Матвеевой и П. Ланчикову в нашем распоряжении появились 4 устройства Huawei Technologies – 2 коммутатора Quidway S3928P-SI и 2 маршрутизатора Quidway AR28-31

Коммутаторы имеют на борту 24 интерфейса FastEthernet и 4 SFP модуля. Маршрутизаторы модульные, с двумя интегрированными FastEthernet портами.

Первое, что было сделано после распаковки устройств, это, конечно же, подключение электропитания и запуск коммутаторов и маршрутизаторов. Коммутаторы не имеют кнопки включения электропитания, на маршрутизаторах такая кнопка есть. Устройства включились достаточно тихо, вентиляторы не создают дискомфортного шума. Следующим этапом знакомства стало подключение к консольному порту. Консольные порты, что у маршрутизатора, что у коммутатора расположены фронтально и имеют соответствующую маркировку (см фото).

Первым кабелем, который попался под руку, был Cisco rollover кабель. Его то мы и воткнули в консольный порт коммутатора. Для доступа к устройству использовали программу эмуляции терминала putty со следующими настройками:

Bits per second:
9600
Data bits:
8
Stop bits:
1
Parity:
None
Flow control:
None
TermType:
VT100

Открыв подключение и нажав на клавишу Enter, впервые увидели операционную систему Huawei VRP (Versatile Routing Platform). Версия ОС коммутаторов Version 3.10, Release 1602P11, маршрутизаторов Version 3.40, Release 0202P03. 

Стало интересно, насколько проста в настройке и обслуживании данная ОС, поэтому решили сравнить настройки устройств Huawei с настройкой устройств Cisco. Для этих целей были выбраны коммутатор Cisco Catalyst 3550 и маршрутизатор Cisco 2801.

Настройка устройств Huawei выполнялась по документации, скаченной из раздела Data Communication сайта поддержки Huawei и знаний, полученных ранее на соответствующем курсе Huawei.

Сравнение начали с приглашения command prompt. Здесь особых различий нет, название устройства по умолчанию и идентификация режима, где в данный момент находимся, то есть режим обычного пользователя. Разве что на устройствах Huawei название обрамлено с двух сторон символами < >, а устройства Cisco имеют символ > в конце имени устройства. На настройку оборудования и ориентирование в режимах эти отличия особо не влияют, дело привычки.

Устройство Huawei Устройство Cisco
<Quidway> Router>
<Quidway> Switch>

Стандартом де-факто в любой ОС современных телекоммуникационных устройств является помощь по командам, их написаниям и аргументам. И устройства Huawei, и устройства Cisco используют для этого одинаковый механизм. Достаточно в CLI поставить символ ? и вы получите список доступных команд:

Устройство Huawei Устройство Cisco
<Quidway>? Router>?
<Quidway>? Switch>

Любимая многими клавиша Tab допишет за вас команду, если вы не знаете ее правильного написания. На устройствах Huawei будьте внимательны, нажимая на эту клавишу на клавиатуре. Если существует несколько вариантов команд, начальные символы которой вы набрали в CLI, то будет выведена первая по порядку команда. Повторное нажатие на клавишу Tab выведет следующую и т.п. То есть, в CLI Huawei нет необходимости удлинять название команды, чтобы получилось однозначное совпадение, как в устройствах Cisco. Достаточно нажать на клавишу Tab столько раз, сколько необходимо для вывода нужной вам команды.

Все тот же знак ? поможет вам на устройствах Huawei определить и аргументы команды. Просто ставим его через пробел, как и на устройствах Cisco и получаем вывод тех аргументов, которые доступны.

Устройство Huawei Устройство Cisco
<Quidway>system ? Switch>configure ?

Ошиблись в написании аргументов команды? Не беда! В CLI Huawei есть механизм, похожий на механизм Cisco, который покажет подстрочным символом ^ позицию, где допущена ошибка и выведет системное сообщение о том, что команда не распознана:

Устройство Huawei Устройство Cisco
<Quidway>sistem-view
          ^
 % Unrecognized command found at '^' position.
Switch>show apr
             ^
% Invalid input detected at '^' marker.

Что примечательно, если набрали команду неправильно, то устройство Huawei не пытается интерпретировать эту последовательность символов как имя хоста и, как следствие, к DNS серверу не обращается. На устройствах Cisco, если не отключено обращение к DNS серверу (команда no ip domain-lookup) или не настроен DNS сервер, то придется нажимать комбинацию клавиш Ctr+Shift+6, иначе будете ждать какое-то время, пока устройство не поймет, что сервера DNS нет. Хотя, нам приходилось слышать и другое мнение на этот счет.

Устройство Huawei Устройство Cisco
Switch>emable
Translating "emable"...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer address

Теперь о первоначальной настройке коммутаторов и маршрутизаторов Huawei и Cisco, которая включает:

  • Задание имени устройства;
  • Создание предупреждающего многострочного баннера;
  • Создание ступенчатой системы паролей (доступ, переключение между режимами и аутентификация при удаленном соединении с CLI устройства);
  • Настройка интерфейсов устройств для удаленного управления;
  • Дополнительные команды тюнинга при необходимости.

Настройку начали с маршрутизатора и коммутатора Huawei. Параллельно настраиваем Cisco маршрутизатор и коммутатор. В CLI Huawei ставим знак ? и читаем описание команд. Ага, команда system-view это то, что нужно для перехода в режим настройки. На маршрутизаторе Cisco используем команду enable для того, чтобы перейти в привилегированный режим и команду configure terminal для перехода в режим конфигурации.

Устройство Huawei Устройство Cisco
<Quidway>system-view
System View: return to User View with Ctrl+Z.
Router>enable
Router#configure terminal
Router(config)#
<Quidway>system-view
System View: return to User View with Ctrl+Z.

Приглашение поменяло форму. На маршрутизаторе Huawei имя устройства стало в обрамление квадратных скобок, а на маршрутизаторе Cisco место символа > заняла «решётка» - #, да еще и добавилось в скобках пояснение, в каком режиме теперь находимся.

Устройство Huawei Устройство Cisco
[Quidway] Router(config)#
[Quidway]

Меняем стандартные названия на «говорящие». Для этого, используя встроенный help маршрутизатора Huawei, определяем, какая команда понадобится. Пролистав несколько экранных выводов, удалось обнаружить необходимую команду. Кстати, выводы экранов можно пролистывать и постранично (клавиша «пробел»), и построчно (клавиша «ввод»), как в маршрутизаторах Cisco.

Устройство Huawei Устройство Cisco
[Quidway]sysname LabR1 [LabR1] Router(config)#hostname LabR1 LabR1(config)#
[Quidway]sysname LabSw1 [LabSw1]

Теперь нужно настроить баннер. Предупреждающий баннер, содержащий несколько строк и выводимый перед приглашением пройти аутентификацию. Для устройства Huawei придется открыть документацию. В файле 3116A024-VRP3.4 Operation Manual 01-Getting Started Operation.pdf  была обнаружена команда для создания баннера motd.

Устройство Huawei Устройство Cisco
[LabR1]header motd ^
Input banner text, and quit with the character '^'.
------------------------------------
This system is part of IT-TRAIN lab environment.
Unauthorized access to this
system is prohibited and logged.
-------------------------------------
^
[LabR1]
Router(config)#banner motd ^-----------------
This system is part of IT-TRAIN lab environment. 
Unauthorized access to this 
system is prohibited and logged.
-------------------------------------^
Router(config)#
[LabSw1]header shell ^
Input banner text, and quit with the character '^'.
------------------------------------
This system is part of IT-TRAIN lab environment.
Unauthorized access to this
system is prohibited and logged.
-------------------------------------
^

*Для коммутатора Huawei нет команды header motd, поэтому был создан баннер типа shell.

Как и для устройств Cisco, так и для устройств Huawei, для создания многострочного баннера нужно использовать символ начала и символ конца. Для этих целей был выбран символ ^.

Теперь настраиваем сетевые интерфейсы. По умолчанию на маршрутизаторах и коммутаторах Huawei они находятся в активном состоянии. Интерфейсы маршрутизатора Cisco нужно дополнительно активировать. Как и в устройствах Cisco, в устройствах Huawei чтобы начать настраивать интерфейсы нужно набрать команду interface. Знак ? выдает различия в именовании интерфейсов. На оборудование Huawei, интерфейсы 10 и 100Мбит/с Ethernet имеют название Ethernet, на устройствах Cisco, интерфейс который работает на скорости только 10Мбит/с будет называться Ethernet, а 100Мбит/с – FastEthernet. Нумерация интерфейсов у обоих производителей в чем-то идентична (номер устройства в кластере/слот/номер интерфейса или слот/подслот/номер интерфейса или слот/номер интерфейса). На маршрутизаторах обоих производителей будем использовать интерфейс с наименьшим идентификатором:

Устройство Huawei Устройство Cisco
[LabR1]interface Ethernet 0/0 LabR1(config)#interface fastethernet 0/0
[LabSw1]interface Vlan-interface 1 LabSw1(config)#interface vlan 1

Теперь необходимо присвоить IP адрес на этих интерфейсах. Забегая вперед, отметим, что, на устройствах Huawei можно использовать битовую маску, что сокращает время на ввод адреса. Адресное пространство выбрано в соответствии с RFC1918. После настройки IP адреса, на маршрутизаторе Cisco активируем сетевой интерфейс, а на устройстве Huawei в этом нет необходимости.

Устройство Huawei Устройство Cisco
[LabR1-Ethernet0/0]ip address 192.168.1.1 24
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
[LabSw1-Vlan-interface1]ip address 192.168.1.100 24
Switch(config-if)#ip address 192.168.1.100 255.255.255.0
Switch(config-if)#no shutdown

Здесь необходимо заметить, что приглашение CLI Huawei после перехода в режим настройки интерфейса изменилось. Теперь оно показывает, в режиме настройки какого модуля мы сейчас находимся.

К коммутаторам Cisco и Huawei подключили рабочие станции под управлением Windows XP. По умолчанию порты коммутаторов обоих производителей находятся в VLAN 1. На рабочих станциях были введены сетевые настройки, где шлюзом по умолчанию выступали интерфейсы маршрутизаторов Cisco и Huawei, соответственно. Используя команду ping, была проверена сетевая связанность.

 

Теперь самое время настроить пароли и активировать сервис telnet. Пароли нужно выставить на доступ к консоли, на доступ по telnet и на переход из режима пользователя в режим с большими возможностями (для устройств Huawei – в режим настроек, для устройств Cisco – в привилегированный режим).

Открываем файл 02-System Management Operation.pdf из скаченной с сайта Huawei документации и приступаем к изучению. Итак, пароль на доступ к консоли ввести можно. По прочтению документа стало понятно, как настраивать режим консоли и telnet. Для этого необходимо использовать команду user-interface с необходимым параметром. Для консоли – console, для доступа по telnet – vty. У устройств Cisco для этого нужно использовать команду line с похожими аргументами. Начнем с консоли:

Устройство Huawei Устройство Cisco
[LabR1]user-interface console 0 LabR1(config)#line console 0
[LabSw1]user-interface aux 0 LabSw1(config)#line console 0

*у коммутаторов Huawei в настройках пользовательского интерфейса отсутствует режим console. Есть только режим AUX, хотя сам этот порт физически отсутствует. Помимо этого, вывод команды display users показывает, что соединение установлено именно через AUX порт:

[LabSw1]display users
        UI    Delay     Type   Ipaddress       Username        Userlevel
F 0   AUX 0   00:00:00                                             3
 +   : Current operation user.
 F   : Current operation user work in async mode.

Все в той же документации для маршрутизаторов Huawei была найдена команда set authentication password для задания пароля на консоль. У этой команды есть некоторые аргументы, позволяющие использовать защищенный пароль. Для простоты будем использовать простой пароль, т.е. открытый текст. На Cisco устройствах также имеется данная возможность – использование команды secret вместо password позволит хранить пароль в виде хэша.

Устройство Huawei Устройство Cisco
[LabR1-ui-console0]set authentication password simple huawei
Router(config-line)#password cisco
[LabSw1-ui-aux0]set authentication password simple huawei
Switch(config-line)#password cisco

Этими командами были заданы только пароли. Теперь необходимо включить режим аутентификации. Для этого используем следующие команды:

Устройство Huawei Устройство Cisco
[LabR1-ui-console0]authentication-mode password
Router(config-line)#login
[LabSw1-ui-aux0]authentication-mode password
Switch(config-line)#login

Проверяем работоспособность. В маршрутизаторах Huawei для выхода из режима конфигурации и режимов настройки модулей используется команда quit или ее сокращенное написание q. Будьте внимательны, сокращенное написание на коммутаторах Huawei не работает. Для выхода в режим пользователя из любого режима, используется команда return. В устройствах Cisco команда end позволит вам вернуться в привилегированный режим из любого режима настройки, а команда exit подняться на уровень вверх.

Устройство Huawei Устройство Cisco
[LabR1-ui-console0]return <LabR1> Router(config-line)#end Router#end

Выполнив еще раз команду quit на устройствах Huawei, а на устройствах Cisco команду exit, закроем терминальное соединение. Нажатие на клавишу enter инициирует соединение заново, но уже с выводом баннера и запросом пароля. 

Теперь настроем доступ к CLI по telnet. 

Устройство Huawei Устройство Cisco
[LabR1]user-interface vty 0 4
[LabR1-ui-vty0-4]set authentication password simple huawei
[abR1-ui-vty0-4]authentication-mode password
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
[LabSw1]user-interface vty 0 4
[LabSw1-ui-vty0-4]set authentication password simple huawei
[LabSw1-ui-vty0-4]authentication-mode password
Switch(config)#line vty 0 4
Switch(config-line)#password cisco
Switch(config-line)#login

Используя telnet клиент с рабочей станции, проверим работоспособность.

Как для устройств Cisco, устройствам Huawei нужен специальный пароль для перехода в привилегированный режим, когда происходит соединение по telnet. Этот пароль задается следующим способом:

Устройство Huawei Устройство Cisco
[LabR1]super password simple password
[LabSw1]super password simple password LabSw1(config)#enable password cisco

После подключения по telnet, переход в режим с большими привилегиями возможен с использованием команды super:

Устройство Huawei Устройство Cisco
<LabR1>super 3
 Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<LabR1>
Router>enable
Password: 
Router#
<LabSw1>super 3
 Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<LabSw1>
Switch>enable
Password: 
Switch#

Вроде бы цель достигнута. Но нужно провести еще и тонкую настройку. Поэтому переходим к следующему этапу.

Создаем список контроля доступа. На устройствах Huawei для этого используем команду acl и нумерованный acl из диапазона Specify a basic acl. На устройствах Cisco используем стандартный нумерованный ACL. ACL будет разрешать доступ к CLI по telnet только от хоста 192.168.1.50.

Устройство Huawei Устройство Cisco
[LabR1]acl number 2000
[LabR1-acl-basic-2000]rule permit source 192.168.1.50 0
Router(config)#access-list 1 permit host 192.168.1.50
[LabSw1]acl number 2000
[LabSw1-acl-basic-2000]rule permit source 192.168.1.50 0
Switch(config)#access-list 1 permit host 192.168.1.50

Затем свяжем созданные ACL с VTY интерфейсами/линиями.

Устройство Huawei Устройство Cisco
[LabR1]user-interface vty 0 4
[LabR1-ui-vty0-4]acl 2000 inbound
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
[LabSw1]user-interface vty 0 4
[LabSw1-ui-vty0-4]acl 2000 inbound
Switch(config)#line vty 0 4
Switch(config-line)#access-class 1 in

Проведем тестирование настроек. С рабочей станции с адресом 192.168.1.10 инициируем telnet соединение на шлюз по умолчанию. Соединение будет сброшено.

Для того, чтобы при выводе системных сообщений курсор самостоятельно перемещался на новую строку в устройствах Huawei и Cisco присутствует механизм Synchronous. На устройствах Cisco данный механизм настраивается  на линии, в устройствах Huawei для этого используется режим конфигурации. Данная команда была обнаружена в файле 02-System Management Operation.pdf.

Устройство Huawei Устройство Cisco
[LabR1]info-center synchronous
 Current IC terminal output sync is on
[LabR1]
Switch(config)#line console 0
Switch(config-line)#logging synchronous 
Switch(config-line)#exit
Switch(config)#line vty 0 4
Switch(config-line)#logging synchronous

Для вывода текущей конфигурации используются следующие команды просмотра:

Устройство Huawei Устройство Cisco
Из любого режима:
[LabR1]display current-configuration
Switch#show running-config
В режиме конфигурации:
Switch(config)#do show running-config

Чтобы сохранить конфигурацию, на устройствах используются следующие команды:

Устройство Huawei Устройство Cisco
[LabR1]save
Switch#copy running-config startup-config 
Destination filename [startup-config]?

Для просмотра сохраненной конфигурации используются следующие команды:

Устройство Huawei Устройство Cisco
[LabR1]display saved-configuration LabSw1#show startup-config

Для отмены введенной команды используется:

Устройство Huawei Устройство Cisco
[LabR1]undo LabSw1(config)#no

Для просмотра настроек режима, в котором сейчас находимся можно использовать следующие команды:

Устройство Huawei Устройство Cisco
[LabR1]display this
Подобного нет

Конфигурации устройств:

Маршрутизатор Quidway AR28-31 Коммутатор Quidway S3928P-SI
#
 sysname LabR1
#
 super password level 3 simple password
#
 cpu-usage cycle 1min
#
radius scheme system
#
domain system
#
local-user admin
 password cipher .]@USE=B,53Q=^Q`MAF4<1!!
 service-type telnet terminal
 level 3
 service-type ftp
#
acl number 2000
 rule 0 permit source 192.168.1.50 0
#
interface Aux0
 async mode flow
#
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet0/1
 ip address dhcp-alloc
#
interface Serial2/0
 clock DTECLK1
 link-protocol ppp
 ip address dhcp-alloc
#
interface Serial2/1
 clock DTECLK1
 link-protocol ppp
 ip address dhcp-alloc
#
interface NULL0
#
 info-center synchronous
#
 FTP server enable
#
 header login %motd
^-----------------
This system is part of IT-TRAIN lab environment.
Unauthorized access to this
system is prohibited and logged.
-------------------------------------
%
 header motd %
------------------------------------
This system is part of IT-TRAIN lab environment.
Unauthorized access to this
system is prohibited and logged.
-------------------------------------
%
#
user-interface con 0
 authentication-mode password
 set authentication password simple password
user-interface aux 0
user-interface vty 0 4
 acl 2000 inbound
 set authentication password simple huawei
#
return
#
 sysname LabSw1
#
 super password level 3 simple password
#
radius scheme system
#
domain system
#
acl number 2000
 rule 0 permit source 192.168.1.50 0
#
vlan 1
#
interface Vlan-interface1
 ip address 192.168.1.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface GigabitEthernet1/1/1
#
interface GigabitEthernet1/1/2
#
interface GigabitEthernet1/1/3
#
interface GigabitEthernet1/1/4
#
 undo irf-fabric authentication-mode
#
interface NULL0
#
 info-center synchronous
#
 voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
#
 header shell %
------------------------------------
This system is part of IT-TRAIN lab environment.
Unauthorized access to this
system is prohibited and logged.
-------------------------------------
%
 header login %
ssdfsdgdfhgdtghfg
%
#
user-interface aux 0
 authentication-mode password
set authentication password simple huawei
user-interface aux 1 7
user-interface vty 0 4
 acl 2000 inbound
 set authentication password simple huawei
#
return

Итак, первоначальное знакомство состоялось. Впечатления позитивные!

Комментарии к статье Вы можете оставить на нашем форуме.

P.S. Особая благодарность А. Фридману, обратившему наше внимание на некоторые особенности конфигурирования устройств Huawei Technologies.