Руководство по быстрой настройке коммутаторов серии S для кампусной сети

Руководство по
быстрой настройке
Коммутаторы серии S для кампусной
сети HUAWEI
Выпуск: 05 (20.11.2017)
Авторские права © Huawei Technologies Co., Ltd. 2018.
Все права защищены.
Воспроизведение и передача данного документа или какой-либо его части в
любой форме и любыми средствами без предварительного письменного
разрешения компании Huawei Technologies Co., Ltd. запрещены.
Товарные знаки
и другие товарные знаки Huawei являются зарегистрированными

товарными знаками компании Huawei Technologies Co., Ltd.
Другие товарные знаки, наименования изделий, услуг и компаний,
упомянутые в настоящем документе, принадлежат исключительно их
владельцам.
Примечание
Приобретаемое оборудование, услуги и конструктивные особенности
обуславливаются договором, заключенным между компанией Huawei и
клиентом. Все или отдельные части оборудования, услуг и конструктивных
особенностей, описываемых в данном документе, могут не входить в объем
покупки или объем эксплуатации. Если иное не указано, любые
формулировки, сведения и рекомендации, содержащиеся в данном
документе, представляются с условием «как есть», исключая гарантии,
поручительства или какие-либо объяснения, явные или подразумеваемые.
Документ содержит текущую информацию на момент его издания, которая

может быть изменена без предварительного уведомления. При подготовке
документа были приложены все усилия для обеспечения достоверности
информации, но все утверждения, сведения и рекомендации, приводимые в
данном документе, не являются явно выраженной или подразумеваемой
гарантией (истинности или достоверности).
Huawei Technologies Co., Ltd.

Адрес: Промышленная база Huawei
Бантиан, Лонган Шэньчжэнь 518129
Китайская Народная Республика
Веб-сайт: http://e.huawei.com/en/
Содержания
1. Подготовка к работе 1
2. Кампусные сети малого размера 2
2.1 Планирование данных 3
2.2 Быстрая настройка кампусных сетей малого размера 5
3. Кампусные сети малого и среднего размера 23
3.1 Планирование данных 24
3.2 Быстрая настройка кампусных сетей малого и среднего

размера 26
4. Часто задаваемые вопросы 55
5. Справочная информация 58
1 Подготовка к работе
Данное руководство помогает вам войти в систему и быстро настроить
коммутаторы Huawei серии S. Подробная информация о настройках
СМ.Руководстве по настройке коммутатора.
Документ предназначен для коммутаторов V200R003C00 и более поздних версий. Вы

можете запустить команду display version в виде пользователя, чтобы проверить
версию устройства.
Перед настройкой выполните следующие действия:
1 Установите коммутатор и включите питание. Подобная информация приведена

в Руководство по быстрой установке S7700 и S9700, Руководство по быстрой
установке S12700, или Краткое руководство по началу работы коммутаторов
серий S2700, S3700, S5700 и S6700 .
2 Подключите
. кластерные кабели, если планируете организовать кластер из
модульных коммутаторов. Подробная информация об этом приведена в
S12700&S9700&S7700 Cluster Installation Guide.
3 Разместите на рабочем месте следующую контактную информацию:

 Номер телефона агента, ответственного за строительство и обслуживание
сети.
Зарегистрируйте учетную запись пользователя на веб-сайте службы

4
технической поддержки Huawei Enterprise (http://support.huawei.com/enterprise).
С помощью учетной записи вы можете просматривать различные документы по
продукту, примеры из практики и информационные объявления, а также
загружать необходимую документацию. Кроме того, Вы также можете
подписаться и получить сообщения.
1
2 Кампусные сети малого размера
В данном разделе процедуры настройки кампусных сетей малого

размера продемонстрированы на примере S2750 (ACC1), в качестве
коммутатора уровня доступа, S5700 (CORE) — в качестве
коммутатора уровня ядра и маршрутизатора (Router)— в качестве
выходного маршрутизатора.
GE0/0/1
Маршрутизатор
GE1/0/0
VLANIF 100 CORE

Eth-Trunk 1 Eth-Trunk2
Eth-Trunk1
Eth-Trunk 1
ACC1 Отдел B
ACC2
Отдел A
VLAN 10 VLAN 20
ПК1 ПК2 Принтер ПК3 ПК4 Принтер

10.10.10.254/24
ACC1 Eth-Trunk1 ПК1/ПК2 Принтер

GE0/0/1 Eth0/0/2 Eth0/0/4
GE0/0/2 Eth0/0/3
CORE Eth-Trunk1 VLAN 100
GE0/0/1 GE0/0/20
GE0/0/2
 В сетях малого размера коммутаторы S2700 и S3700 развертываются на уровне доступа,
S5700 и S6700 — на уровне ядра, а маршрутизатор серии AR работает как выходной
маршрутизатор.
 Для обеспечения надежности сети коммутаторы уровня доступа и уровня ядра
подключаются через Eth-Trunk.
 Услуги каждого отдела делятся на одну VLAN, а услуги между различными отделами
обеспечивает через VLANIF.
 Коммутатор уровня ядра (CORE) выполняется функцией DHCP Server для распределения
IP-адреса устройствам пользователь в кампусной сети.
 Настройка функции DHCP Snooping на коммутаторах уровня доступа, не допускает
подключение пользователей внутренней сети предприятия с помощью малого
маршрутизатора к внутренней сети для распределения IP-адресов. Настройка функции
IPSG на коммутаторах уровня доступа не позволяет пользователям внутренней сети менять
IP-адреса.
2
2.1 План данных
Перед настройкой коммутатора и маршрутизатора подготовьте следующие данные:
Действие Компонент Данные Описание
IP-адрес 10.10.1.1/24 IP-адрес управления используется для

управления входа в систему коммутатора.
Настройка
Ethernet0/0/0 - интерфейс управления модульных
IP-адреса
коммутаторов.
управления
MEth0/0/1 - интерфейс управления S2750, 5700 и
и Telnet VLAN VLAN 5 S6700.
управления
VLANIF-интерфейс создается на S2700 и S3700 в
качестве интерфейса управления.
VLANIF-интерфейс рекомендуется для
внутриполосного управления.
Тип Eth-Trunk Статический LACP Eth-Trunk работает в режиме балансирования

нагрузки или в режиме статического LACP.
Порт Trunk Порт Trunk предназначен для подключения к
Тип порта коммутатору.
подключается к
Настройка Порт доступа – подключение к ПК.
коммутатору, порт
интерфейсов Порт Hybrid – подключение не только то к
доступа – к ПК ПК, но и к коммутатору.
и VLAN
VLAN1 — это VLAN по умолчанию на
ACC1: VLAN 10 коммутаторе, предназначена для
VLAN ID ACC2: VLAN 20 изолирования отдела A от отдела B на уровне
CORE: VLAN 100, 2, назначит отделу A в VLAN 10, а отделу B - в
10, 20 VLAN 20.
Коммутатор уровня ядра (CORE)
подключается к выходному маршрутизатору
по VLANIF100.
Настройте DHCP server на коммутаторе
DHCP server CORE уровня ядра (CORE).
Настройка Терминалы в отделе A получают IP-адреса из
DHCP IP pool 10.
VLAN 10: IP pool 10
Пул адресов VLAN 20: IP pool 20 Терминалы в отделе В получают IP-адреса из
IP pool 20.
Распределе- На базе глобального .нет
ние адресов пула адресов
VLANIF 100 представляет собой IP-адрес для
Настройка подключения коммутатора уровня ядра (CORE)
CORE:
маршрутиза- к выходному маршрутизатору сети кампусного
VLANIF 100
ции IP-адрес типа и осуществления связи между внутренней
10.10.100.1/24
коммутатора сетью кампусного типа и выходным
VLANIF 10
уровня ядра маршрутизатором.
10.10.10.1/24
(CORE) Настройте маршрут по умолчанию на CORE,
VLANIF 20
указав следующий прыжок на выходный
10.10.20.1/24
маршрутизатор.
После того, как IP-адреса VLANIF 10 и VLANIF 20
сконфигурированы на CORE, отделы A и B могут
устанавливать связь через CORE.
3
IP-адрес GE0/0/1 — это публичный интерфейс,

GE0/0/1:
публичного который соединяет выходной
202.101.111.2/30
Настройка интерфейса маршрутизатор с Интернетом.
выходного Адрес публичного шлюза — это IP-адрес
маршрути- операторского устройства, которое
затора Адрес подключается к выходному
публичного 202.101.111.1/30 маршрутизатору. Настройте маршрут по
шлюза умолчанию на выходном
маршрутизаторе, указыв на это адрес
для передачи трафика из внутренней
сети в Интернет.
Адрес DNS- DNS-сервер выполняет разрешение

сервера 202.101.111.195
доменного имени в IP-адреса.
IP-адрес
интерфейса GE1/0/0: GE1/0/0 подключает выходной
внутренней 10.10.100.2/24 маршрутизатор к внутренней сети.
сети
Настройка
функций
DHCP Надежный Eth-Trunk1 —
Snooping и интерфейс
IPSG
4
Быстрая настройка кампусных сетей
2.2 малого размера
Вы можете настроить данные каждого устройства в соответствии со следующим
процессом для подключения пользователей в кампусной сети и обеспечения
доступа внутренних пользователей к Интернету.
Шаг 1 Шаг 9
Вход в систему Сохранение
коммутатора настроек
Шаг 2
Настройка IP-
адреса управления
и Telnet
Шаг 8
Проверка услуг
Шаг 3
Настройка
интерфейсов и
VLAN
Шаг 7
Настройка функций
DHCP Snooping и
Шаг 4 IPSG
Настройка DHCP
Шаг 5 Шаг 6
Настройка
Настройка
маршрутизации
коммутатора уровня выходного
ядра ( CORE) маршрутизатора
5
Вход в систему коммутатора
1 Подключите ПК к коммутатору с помощью консольного кабеля, поставляемого
вместе с коммутатором. Если на ПК отсутствует последовательный порт, то
используйте USB-порт для подключения последовательного кабеля.
Если на коммутаторе имеется мини-USB порт, то подключить ПК

к коммутатору можно с помощью мини-USB кабеля. Процедура
конфигурирования приведена в документе Configuration Guide -
Basic Configuration.
2 Запустите программу эмуляции терминалов на ПК. Создайте соединение и

установите параметры интерфейса и связи.
Выберите доступный порт на ПК. Например, если на ПК установлена

операционная система Windows, то посмотреть информацию о портах и
выбрать порт можно в диспетчере устройств. В Табл. 1 приведены параметры
связи на коммутаторе.
Табл. 1 Настройки по умолчанию для порта консоли на коммутаторе
Параметр Значение по умолчанию
Скорость передачи 9600 бит/с
Управление потоком —
Бит чётности —
Стоповый бит 1
Информационный бит 8
6
3 Нажимайте Connect, пока на экране не выведена нижепоказанная
информация. Введите новый пароль. Затем введите его еще раз для
подтверждения.
Login authentication
Username:admin
Password:
При первом входе в систему коммутатора более ранних версий, чем

V200R009C00, система попросит установить пароль для входа в
систему. При первом входе в систему коммутатора V200R009C00 и
более поздних версий необходимо использовать имя пользователя
по умолчанию admin и пароль по умолчанию admin@huawei.com.
После входа в систему необходимо сменить пароль.
Далее можно выполнять команды для настройки коммутатора. Для получения

справки введите вопросительный знак (?) после команды.
7
Настройка IP-адреса управления и Telnet
После настройки IP-адреса управления вход в систему коммутатора может
выполняться с помощью этого адреса. Ниже используется коммутатор уровня ядра
(CORE) в качестве примера.
1 Настройте IP-адрес управления.
<HUAWEI> system-view
[HUAWEI] vlan 5 //Создайте VLAN управления 5.
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5
[HUAWEI-vlanif5] ip address 10.10.1.1 24
[HUAWEI-vlanif5] quit
2 Настройте Telnet.
[HUAWEI] telnet server enable //По умолчанию функция Telnet отключена.
[HUAWEI] user-interface vty 0 4 //Обычно администратор входит в коммутатор через
Telnet. Рекомендуется аутентификация AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//V200R006 и более ранних версиях поддерживают Telnet. V200R007 и более поздних
версиях поддерживают SSH по умолчанию. Если на коммутаторе запущена V200R007 или
более ранних версиях, то перед входом в коммутатор через Telnet запустите эту
команду.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Настройте имя пользователя и пароль для входа Telnet. Имя пользователя вводится без
учета регистра, а пароль — с учетом регистра.
[HUAWEI-aaa] local-user admin privilege level 15 // Нстройте уровень учетной записи
администратора на 15 (высший).
[HUAWEI-aaa] local-user admin service-type telnet
Для входа в коммутатор рекомендуется использовать STelnet V2,

так как протокол Telnet имеет некоторые риски для безопасности.
Процедура конфигурирования приведена в документе Руководство
по конфигурации - базовая конфигурация.
3 Выполните вход в коммутатор со служебного терминала через Telnet. Появление

приглашения на ввод команды на пользовательском представлении
свидетельствует об успешном входе в систему.
C:\Documents and Settings\Administrator> telnet 10.10.1.1 //Введите IP-
адрес управления и нажмите Enter.
Username:admin //Введите имя пользователя и пароль.

Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2014-05-06 18:33:18+00:00.
<HUAWEI> // Приглашение на ввод команды на пользовательском
представлении
8
Настройка интерфейсов и VLAN
Настройка коммутатора доступа
1 В качестве примера коммутатора доступа используется ACC1. Создайте VLAN 10
на ACC1.
[HUAWEI] sysname ACC1 //Установите имя коммутатора в ACC1.
[ACC1] vlan batch 10 //Создайте группу VLAN.
2 Настройте Eth-Trunk 1, по которому ACC1 подключается к CORE, чтобы

разрешить прохождение пакетов из VLAN отдела A.
[ACC1] interface eth-trunk 1

[ACC1-Eth-Trunk1] port link-type trunk //Установите тип Eth-Trunk 1 как
Trunk для прозрачной передачи VLAN.
[ACC1-Eth-Trunk1] port trunk allow-pass vlan 10 //Настройте Eth-Trunk 1
для прозрачной передачи сервисной VLAN на ACC1.
[ACC1-Eth-Trunk1] mode lacp //Настройте режим LACP на Eth-Trunk 1.
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet 0/0/1 //Добавьте интерфейсы-участники в
Eth-Trunk 1.
[ACC1-GigabitEthernet0/0/1] Eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2
[ACC1-GigabitEthernet0/0/2] Eth-Trunk 1
9
3 Настройте интерфейсы на ACC1, которые подключается к пользовательским
устройствам, для того, чтобы пользовательные устройства добавились в сеть
VLAN.
[ACC1] interface Ethernet 0/0/2 //Настройте интерфейс, подключающийся

подключения к ПК1.
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan 10
[ACC1-Ethernet0/0/2] stp edged-port enable
[ACC1-Ethernet0/0/2] quit
подключения к ПК2.
подключения к принтерам.
Для упрощения кофигурации можно добавить Eth-Trunk1 на CORE в

сеть VLAN 10 в качестве интерфейса уровня доступа и не
добавляйте интерфейсы на ACC1 в сеть VLAN 10. Такая
конфигурация гарантирует, что все пользователи, подключенные к
Eth-Trunk1, принадлежат к VLAN 10.
4 Настройте функцию защиты BPDU для повышения стабильности сети.
[ACC1] stp bpdu-protection
10
Настройка коммутатора уровня ядра (CORE)
1 Настройте группы VLAN для установления связи CORE с ACC1, ACC2 и выходным
маршрутизатором.
[HUAWEI] sysname CORE // Установите имя коммутатора в CORE.
[CORE] vlan batch 10 20 100 //Создайте группу VLAN.
2 Настройте нисходящие интерфейсы и VLANIF-интерфейсы. Для связи между

отделами A и B используются VLANIF-интерфейсы. Например, CORE
подключается к ACC1 по Eth-Trunk 1.
[CORE] interface eth-trunk 1

[CORE-Eth-Trunk1] port link-type trunk //Установите тип интерфейса
[CORE-Eth-Trunk1] port trunk allow-pass vlan 10 //Настройте Eth-Trunk 1 для
прозрачной передачи сервисной VLAN на ACC1.
[CORE-Eth-Trunk1] mode lacp //Настройте режим LACP.
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet 0/0/1 //Добавьте интерфейсы-участники
в Eth-Trunk 1.
[CORE-GigabitEthernet0/0/1] Eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet 0/0/2
[CORE-GigabitEthernet0/0/2] Eth-Trunk 1
[CORE] interface Vlanif 10 //Настройте VLANIF-интерфейс, чтобы
отдел A мог установить связь с отделом B через уровень 3.
[CORE-Vlanif10] ip address 10.10.10.1 24
[CORE-Vlanif10] quit
отдел В мог установить связь с отделом А через уровень 3.
3 Настройте восходящие интерфейсы и VLANIF-интерфейсы для установления

связи между кампусной сетью и Интернетом.
[CORE] interface GigabitEthernet 0/0/20
[CORE-GigabitEthernet0/0/20] port link-type trunk //Задайте тип
интерфейса Trunk.
[CORE-GigabitEthernet0/0/20] port trunk allow-pass vlan 100 //Разрешите
прохождение VLAN-пакетов, сконфигурированных между CORE и вышестоящими
устройствами.
разрешить CORE установить связь с маршрутизатором на уровне 3.
11
4 После настройки интерфейсов и VLAN выполните следующие команды для
просмотра результатов конфигурирования. Подробное описание результатов
выполнения команд приведено в Command Reference.
Выполните команду display eth-trunk, чтобы посмотреть настройки Eth-Trunk на

ACC1.
[ACC1] display eth-trunk 1

Eth-Trunk1's state information is:
Local:
LAG ID: 1 WorkingMode: LACP
Preempt Delay: Disabled Hash arithmetic: According to SA-XOR-DA
System Priority: 32768 System ID: 0200-0000-6704
Least Active-linknumber: 1 Max Active-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 1
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo PortKey PortState Weight
GigabitEthernet0/0/1 Selected 100M 32768 2 289 10111100 1
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
GigabitEthernet0/0/1 32768 0012-3321-2212 32768 2 289 10111100
Интерфейсы GE0/0/1 и GE0/0/2 коммутатора

ACC1 добавлены к Eth-Trunk 1.
На ACC1 интерфейсы Eth0/0/2

Выполните команду display vlan, чтобы
– Eth0/0/4 добавлены в сеть
посмотреть настройки VLAN на ACC1.
VLAN 10 в режиме Untagged,
а Eth-Trunk 1 добавлен в сеть
VLAN 10 в режиме Tagged.
[ACC1] display vlan
The total number of VLANs is : 1
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports

--------------------------------------------------------------------------------
10common UT:Eth0/0/2(U) Eth0/0/3(U) Eth0/0/4(U)
TG:Eth-Trunk1(U)
VID Status Property MAC-LRN Statistics Description

--------------------------------------------------------------------------------
10 enable default enable disable VLAN 0010
12
Запустите команду display eth-trunk, чтобы посмотреть настройки Eth-Trunk на
CORE.
[CORE] display eth-trunk 1
Eth-Trunk1's state information is:
Local:
LAG ID: 1 WorkingMode: LACP
Preempt Delay: Disabled Hash arithmetic: According to SA-XOR-DA
System Priority: 32768 System ID: 0200-0000-6703
Least Active-linknumber: 1 Max Active-linknumber: 8
Operate status: up Number Of Up Port In Trunk: 1
--------------------------------------------------------------------------------
ActorPortName Status PortType PortPri PortNo PortKey PortState Weight
Partner:
--------------------------------------------------------------------------------
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState
Интерфейсы GE0/0/1 и GE0/0/2

коммутатора CORE добавлены к
Eth-Trunk 1.
На коммутаторе CORE Eth-Trunk 1
добавлен в сеть VLAN 10,
Eth-Trunk 2 добавлен в сеть VLAN 20,
Выполните команду display vlan, чтобы
при этом GE0/0/20 добавлен в сеть
посмотреть настройки VLAN на CORE.
VLAN 100 в теггированном режиме.
[CORE] display vlan
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
VID Type Ports

--------------------------------------------------------------------------------
10 common TG:Eth-Trunk1(U)
20 common TG:Eth-Trunk2(U)
100 common TG:GE0/0/20(U)

--------------------------------------------------------------------------------
13
Настройте DHCP- сервер на CORE, чтобы назначить IP-адреса пользовательским
устройствам в отделе A (VLAN 10) и отделе B (VLAN 20).
В примере, приведенном ниже, используется отдел A.
В данном разделе приведены настройки глобального пула

адресов. Также можно настроить пул адресов на базе
интерфейсов. Подробная информация о данной процедуре
приведена в Configuration Guide - IP Service.
1 Создайте глобальный пул адресов, настройте выходной шлюз и условия аренды

(по умолчанию используется аренда на один день, поэтому никакая команда не
выполняется) и назначьте фиксированный IP-адрес 10.10.10.254 для принтера с
MAC-адресом a-b-c.
<CORE> system-view
[CORE] dhcp enable
[CORE] ip pool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 // Настройте диапазон пула
адресов, который используется для назначения IP-адресов пользователям в
отделе A.
[CORE-ip-pool-10] gateway-list 10.10.10.1 //Настройте адрес шлюза для
пользователей в отделе A.
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c
//Назначьте фиксированный IP-адрес принтеру.
[CORE-ip-pool-10] quit
2 Настройте глобальный пул адресов для назначения IP-адресов

пользовательским устройствам в отделе A.
[CORE] interface vlanif 10

[CORE-Vlanif10] dhcp select global //Настройте глобальный пул адресов для
назначения IP-адресов пользователям в отделе A.
14
3 Выполните команду display ip pool, чтобы посмотреть
данные конфигурации и информацию об использовании.
Ниже показана конфигурация глобального пула адресов
10.
[CORE] display ip pool name 10

Pool-name : 10 Посмотрите
Pool-No : 0 конфигурацию
Lease : 1 Days 0 Hours 0 Minutes пула адресов.
Domain-name : -
DNS-server0 : -
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 10.10.10.1
Network : 10.10.10.0
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------
------
Start End Total Used Idle(Expired) Conflict
Disable
-----------------------------------------------------------------------
------
10.10.10.1 10.10.10.254 253 4 249(0) 0
0
-----------------------------------------------------------------------
------
Посмотрите информацию об
коэфициенте использования
пула адресов.
15
После выполнения настроек DHCP-сервер настройте сетевые
адаптеры на конечных ПК для автоматического получения IP-адресов.
Конечные ПК теперь могут получать IP-адреса с DHCP-сервер и
подключаться к сети Интернет.
После настройки динамического распределения IP-адресов на

получение IP-адреса компьютером после его запуска уходит много
времени. Причина заключается в том, что коммутатор,
поддерживающий STP, начинает пересчет связующего дерева каждый
раз, когда ПК подключается к коммутатору. Чтобы решить эту
проблему, отключите STP или настройте интерфейс коммутатора,
который подключается к пользовательским устройствам, в качестве
граничного порта. В примере, приведенном ниже, используется ACC1.
# Отключите STP.

[ACC1- GigabitEthernet 0/0/1] stp disable //В ином случае выполнить
команду undo stp enable.
# Настройте интерфейс коммутатора, который подключается к пользовательским

устройствам, в качестве граничного порта.

[ACC1- GigabitEthernet 0/0/1] stp edged-port enable
После выполнения любой из предыдущих операций конечные ПК смогут быстро

получить IP-адреса после запуска.
16
Настройка маршрутизации
1 Настройте статический маршрут по умолчанию к кампусному выходному шлюзу

на CORE, для того чтобы CORE мог пересылать трафик внутренней сети на
выходной маршрутизатор.
[CORE] ip route-static 0.0.0.0 0 10.10.100.2
2 Выполните команду display ip routing-table на CORE, чтобы посмотреть таблицу

IP-маршрутизации.
[CORE] display ip routing-table Статический маршрут по

Route Flags: R - relay, D - download to fib умолчанию с адресом
следующего перехода
---------------------------------------------------------------------------
--- 10.10.100.2 существует, это
Routing Tables: Public означает, что статический
Destinations : 5 Routes : 5 маршрут успешно настроен.
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 Static 60 0 RD 10.10.100.2 Vlanif100

10.10.10.0/24 Direct 0 0 D 10.10.10.1 Vlanif10
10.10.10.1/32 Direct 0 0 D 127.0.0.1 Vlanif10
10.10.20.0/24 Direct 0 0 D 10.10.20.1 Vlanif20
10.10.20.1/32 Direct 0 0 D 127.0.0.1 Vlanif20
10.10.100.0/24 Direct 0 0 D 10.10.100.1 Vlanif100
10.10.100.1/32 Direct 0 0 D 127.0.0.1 Vlanif100
Три прямых маршрута

автоматически
сгенерированы с помощью
функции обнаружения
соединений.
17
Настройка выходного маршрутизатора
Перед настройкой выходного маршрутизатора подготовьте следующие

данные:
 Публичный IP-адрес: 202.101.111.2/30
 Публичный адрес шлюза: 202.101.111.1

 Адрес DNS-сервера: 202.101.111.195
Оператор предоставляет эти IP-адреса после приема заявки на

подключение к интернету. Во время конфигурирования сети используйте
фактические IP-адреса, предоставляемые оператором.
1 Настройте IP-адреса для интерфейсов выходного маршрутизатора,

обеспечивающих подключение к внутренней сети и к сети Интернет.
[Router] interface GigabitEthernet 0/0/1
[Router -GigabitEthernet0/0/0] ip address 202.101.111.2 30
[Router-GigabitEthernet0/0/1] ip address 10.10.100.2 24
Настройте ACL, чтобы пользователи из некоторых сегментов сети могли

2 подключаться к Интернет.
[Router] acl 2000

[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
3 Настройте NAT на интерфейсе, обеспечивающем доступ к Интернет, чтобы

пользователи внутренней сети могли подключаться к Интернет.

[Router-GigabitEthernet0/0/1] nat outbound 2000
Настройте определенный маршрут к внутренней сети и статический маршрут по

4 умолчанию к Интернет.
[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
5 Настройте разрешение DNS. Оператор предоставляет адрес DNS-сервер.
[Router] dns resolve

[Router] dns server 202.101.111.195
[Router] dns proxy enable
18
Настройка функций DHCP Snooping и IPSG
После настройки DHCP пользовательские устройства могут получать IP-адреса
автоматически. Если пользователь подключает малый маршрутизатор к внутренней
сети и включает DHCP-сервер на маршрутизаторе, то авторизованные
пользователи внутренней сети могут получать IP-адреса, выделенные этим
маршрутизатором, но не могут получить доступ к сети Интернет. Чтобы устранить
эту проблему, необходимо настроить функцию DHCP Snooping. В примере,
приведенном ниже, используется отдел A.
1 Включите функцию DHCP Snooping на ACC1.
<ACC1> system-view
[ACC1] dhcp enable //Включите DHCP.
[ACC1] dhcp snooping enable //Включите DHCP Snooping.
2 Включите функцию DHCP snooping на Eth-Trunk1, подключенном к DHCP-

серверу, и настройте его как надежный интерфейс.
[ACC1] interface eth-trunk 1

[ACC1-Eth-Trunk1] dhcp snooping enable //Включите DHCP Snooping.
[ACC1-Eth-Trunk1] dhcp snooping trusted //Настройте Eth-Trunk1 как
надежный интерфейс.
[ACC1-Eth-Trunk1] quit
Включите функцию DHCP Snooping на интерфейсах, подключенных к

3 пользовательским устройствам.
[ACC1] interface ethernet 0/0/2 //Настройте интерфейс подключения к ПК1.
[ACC1-Ethernet0/0/2] dhcp snooping enable
[ACC1] interface ethernet 0/0/3 //Настройте интерфейс подключения к ПК2.
[ACC1] interface ethernet 0/0/4 //Настройте интерфейс подключения к
принтерам.
После выполнения предыдущих настроек пользовательские устройства в отделе A

могут получать IP-адреса только от авторизованного DHCP-сервер и не будут
использовать IP-адреса, выделенные малыми маршрутизаторами.
19
Чтобы пользователи не могли изменять IP-адреса и пытаться проникнуть во
внутреннюю сеть, включите функцию IPSG после включения функции DHCP
Snooping на коммутаторе доступа. В примере, приведенном ниже, используется
ACC1.
4 На ACC1 включите IPSG в VLAN 10.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Включите IPSG.
[ACC1-vlan10] quit
ACC1 устанавливает соответствие между пакетами, полученными из VLAN 10,

с записями динамической привязки в таблице привязок DHCP Snooping. Если
пакет соответствует записи, то ACC1 пересылает этот пакет; в противном
случае ACC1 отбрасывает пакет. Для проверки пакетов, полученных с
определенного пользовательского устройства, а не со всех устройств в сети
VLAN, следует включить функцию IPSG на интерфейсе, подключенном к
устройству.
Если сконфигурировано назначение статического IP-адреса, то

следует привязать IP-адреса к MAC-адресам, чтобы пользователи не
могли изменить IP-адреса и проникнуть в сеть. Подробная
информация приведена в разделе «Пример настройки IPSG, чтобы
хосты со статическими IP-адресами не могли изменить собственные
IP-адреса»документа Типичные примеры конфигурации.
Подробная информация о том, как настроить коммутатор, чтобы пользователи

не могли подключить малый маршрутизатор (нелегальный DHCP-server) к
внутренней сети и изменить IP-адреса, см. в разделах «Настройка базовых
функций DHCP Snooping», «Настройка IPSG» и в соответствующих примерах
конфигурирования в Configuration Guide – Security.
20
1 Выберите два ПК внутри отдела, чтобы выполнить ping-тесты и убедиться, что
взаимодействие на уровне 2 в отделе осуществляется нормально.
В следующем примере используются два ПК (ПК1 и ПК2) в отделе A. Связь между
этими двумя ПК осуществляется на уровне 2 через ACC1. Если они успешно
пингуются (ping), то значит взаимодействие на уровне 2 осуществляется
нормально.
<PC1> ping 10.10.10.100 //Assume that PC2

automatically obtains an IP address 10.10.10.100 through DHCP.
PING 10.10.10.100 data bytes, press CTRL_C to break
Reply from 10.10.10.100 : bytes=56 Sequence=1 ttl=253 time=62 ms
Reply from 10.10.10.100 : bytes=56 Sequence=5 ttl=253
ПК1 успешно time=63
пингует ПК2, ms
что
--- 10.10.10.100 ping statistics --- означает, что взаимодействие
5 packet(s) transmitted между ПК1 и ПК2 на уровне 2
5 packet(s) received осуществляется нормально.
2 Выберите один ПК в каждом отделе, чтобы выполнить ping-тестирование и

проверьте, устанавливается ли между этими двумя отделами связь 3-го уровня
по VLANIF-интерфейсам.
Пользователи в отделе A и отделе B взаимодействуют на уровне 3 по VLANIF-

интерфейсам на CORE. Если ПК1 и ПК3 могут успешно пингуются (с помощью
47
ping-тестов), то пользователи в этих двух отделах могут связываться друг с другом
на уровне 3 по VLANIF-интерфейсам. Команда ping аналогична команде,
используемой в шаге 1.
Выберите один ПК в каждом отделе, чтобы выполнить ping-тест адреса

3 публичной сети и убедиться, что пользователи внутренней сети могут
подключаться к Интернет.
В следующем примере используется отдел A. Вы можете выполнить ping-тест

адреса шлюза публичной сети с ПК1, чтобы убедиться, что ПК1 может
подключаться к Интернет. Адрес шлюза публичной сети является IP-адресом
операторского устройства, к которому подключен выходной маршрутизатор. Если
ping-тест выполнен успешно, то пользователи внутренней сети могут
подключаться к сети Интернет. Команда ping аналогична команде, используемой
в шаге 1.
21
Сохранение конфигурации
Перед перезапуском коммутатора необходимо сохранить данные в
конфигурационный файл. Несохраненные данные, сконфигурированные с
помощью командной строки, будут потеряны после перезапуска коммутатора.
1 Сохраните данные в конфигурационный файл. Ниже приведен пример

сохранения конфигурационного файла CORE.
<CORE> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
22
3 Кампусные сети малого и среднего размера
Для демонстрации процедур конфигурирования кампусных
сетей малого размера в данном разделе S2750 используется
в качестве коммутатора доступа (ACC1), S5700 — в качестве
уровня ядра (CORE), а маршрутизатор серии AR — в качестве
выходного маршрутизатора (Router).
 В сетях малого и среднего размера коммутаторы S2700 и S3700 используются на

уровне доступа, S5700 и S6700 — на уровне ядра, маршрутизатор серии AR
выполняет функции выходного маршрутизатора.
 Коммутаторы уровня ядра работают по протоколу VRRP, который обеспечивает
надежность и балансировку нагрузки трафика для эффективного использования
ресурсов.
 На коммутаторе доступа каждому отделу выделяется VLAN. Таким образом
осуществляется разделение услуг в сети. Настройка интерфейса VLANIF на
базовом коммутаторе обеспечивает связь 3-го уровня между различными отделами.
 Коммутатор уровня ядра выполняет функции DHCP-сервера для назначения IP-
адресов пользовательским устройствам в кампусной сети.
 Настройка функции DHCP snooping на коммутаторах доступа не позволяет
пользователям внутренней сети подключать малые личные маршрутизаторы к
внутренней сети для распределения IP-адресов. Настройка функции IPSG на
коммутаторах доступа не позволяет пользователям внутренней сети менять IP-
адреса.
23
3.1 Планирование данных
Перед настройкой коммутатора и маршрутизатора подготовьте следующие данные:
IP-адрес
IP-адрес управления используется для
интерфейса 10.10.1.1/24
входа в систему коммутатора.
Настройка управления
IP-адреса
управления Ethernet0/0/0 для модульных коммутаторов
VLAN MEth0/0/1 для S2750, S5700 и S6700
и Telnet управления VLAN 5
VLANIF-интерфейс создается на S2700 и S3700
для выполнения функций интерфейса управления.
Данная конфигурация предназначена для

Коммутатор
настройки порта Trunk и Access. Если
Тип порта подключается к порту
коммутатор поддерживает настройку порта
Trunk, компьютер — к
Hybrid, то этот порт может подключаться к
порту Access.
Настройка хосту или другому коммутатору.
интерфейсов
и VLAN VLAN1 — это VLAN по умолчанию на коммутаторе.
Для того, чтобы разделить отделы A и B
ACC1: VLAN 10, 20
предприятия на уровне 2, к VLAN 10 добавляется
VLAN ID CORE1: VLAN 10, 20, 30,
А, а к VLAN 20 — B.
40, 50, 100, 300
CORE1 подключается к выходному
маршрутизатору посредством VLANIF100.
DHCP-сервер CORE1, CORE2 Настройте DHCP-сервер на CORE1 и CORE2.
Терминалы в отделе A получают IP-адреса из

Настройка VLAN 10: IP pool 10 пула IP-адресов 10.
Пул адресов Терминалы в отделе В получают IP-адреса из
DHCP VLAN 20: IP pool 20
пула IP-адресов 20.
Распределение На базе глобального

—
адресов пула адресов
CORE1: CORE1 подключается к кампусному выходному

VLANIF 100 маршрутизатору через VLANIF 100 и к CORE2
Настройка
172.16.1.1/24 через VLANIF 300.
IP-адрес
маршрутиза-
VLANIF 300 Настройте основной маршрут к CORE1 со
ции
172.16.3.1/24 следующим переходом на выходной
VLANIF 10 маршрутизатор и резервный маршрут со
192.168.10.1/24 следующим переходом на CORE2.
VLANIF 20 После настройки IP-адресов VLANIF 10 и VLANIF
192.168.20.1/24 20 на CORE1 отделы A и B смогут
взаимодействовать через CORE1.
Агрегирование каналов может осуществляться

Агрегирование
— в режиме балансировки нагрузки или в
каналов
статическом режиме с помощью LACP.
24
IP-адрес GE0/0/0 — это публичный интерфейс,

GE0/0/0:
публичного который соединяет выходной
202.101.111.2/30
Настройка интерфейса маршрутизатор с Интернетом.
выходного
маршрути- Адрес публичного шлюза — это IP-адрес
затора Адрес операторского устройства, которое
публичного 202.101.111.1/30 подключается к выходному
шлюза маршрутизатору. Настройте маршрут по
умолчанию для этого IP-адреса на
выходном маршрутизаторе для передачи
трафика из внутренней сети в Интернет.
Адрес DNS- DNS-сервер преобразует доменные

202.101.111.195
сервера имена в IP-адреса.
IP-адрес GE0/0/1: GE0/0/1 и GE0/0/2 обеспечивают

интерфейса 172.16.1.2/24 подключение выходного маршрутизатора
внутренней GE0/0/2: к внутренней сети. Они подключаются к
сети 172.16.2.2/24 CORE1 и CORE2 соответственно.
После того как надежные интерфейсы

Настройка сконфигурированы, пользовательские
функций устройства получают DHCP-пакеты только
Надежный GE0/0/3
DHCP от надежных интерфейсов, что не
интерфейс GE0/0/4
Snooping и позволяет пользователям подключить
IPSG малый маршрутизатор к внутренней сети
для назначения IP-адресов.
1. Выходной маршрутизатор использует
Настройка FTP-сервер: NAT для трансляции публичных и частных
серверов FTP-сервер 192.168.50.10 IP-адресов на серверах внутренней сети.
внутренней Веб-сервер Веб-сервер: 2. Внешние пользователи могут
сети 192.168.50.20 подключаться к серверам внутренней сети
с помощью публичных IP-адресов.
25
Быстрая настройка кампусных сетей
3.2 малого и среднего размера
Для настройки коммутаторов и маршрутизатора выполните следующую процедуру.
После выполнения настроек между устройствами пользователей на территории
кампуса установится связь, а пользователи внутренней сети получат доступ к сети
Интернет.
Шаг 10
Шаг 1
Проверка услуг и
Вход в коммутатор
сохранение настроек
Шаг 2 Шаг 9
Настройка IP-адреса Настройка NAT-
управления и Telnet сервера и нескольких
входных интерфейсов
Шаг 3 Шаг 8
Настройка сетевой Настройка
связности ограничения скорости
Шаг 7
Шаг 4
Настройка
агрегирования каналов
Шаг 6
Шаг 5 Настройка надежности
Настройка OSPF и балансировки
нагрузки
26
Вход в систему коммутатора
1 Подключите ПК к коммутатору с помощью консольного кабеля, поставляемого
вместе с коммутатором. Если на ПК отсутствует последовательный порт, то
используйте USB-порт для подключения последовательного кабеля.
Если на коммутаторе имеется мини-USB порт, то подключите

ПК к коммутатору с помощью мини-USB кабеля. Процедура
конфигурирования приведена в Configuration Guide - Basic
Configuration.
Запустите программное обеспечение эмуляции терминала на ПК. Создайте

2
соединение и настройте параметры интерфейса и связи.
Выберите доступный порт на ПК. Например, если на ПК установлена
операционная система Windows, то посмотреть информацию о портах и
выбрать порт можно в диспетчере устройств. В Табл. 1 приведены параметры
связи на коммутаторе.
Табл. 1 Настройки по умолчанию для порта консоли на коммутаторе
Параметр Значение по умолчанию
Скорость передачи 9600 бит/с
Управление потоком —
Бит чётности —
Стоповый бит 1
Информационный бит 8
27
3 Нажимайте Connect, пока на экране не выведена нижепоказанная
информация. Введите новый пароль. Затем введите его еще раз для
подтверждения.
Username:admin
Password:
При первом входе в систему коммутатора более ранних версий, чем

V200R009C00, система попросит установить пароль для входа в
систему. При первом входе в систему коммутатора V200R009C00 и
более поздних версий необходимо использовать имя пользователя
по умолчанию admin и пароль по умолчанию admin@huawei.com.
После входа в систему необходимо сменить пароль.
Далее можно выполнять команды для настройки коммутатора. Для получения

справки введите вопросительный знак (?) после команды.
28
Настройка IP-адреса управления и Telnet
После настройки IP-адреса управления вход в систему коммутатора может
выполняться с помощью этого адреса. Ниже в качестве примера используются
коммутатор уровня ядра - CORE1.
1 Настройте IP-адрес управления.
[HUAWEI] vlan 5 //Создайте VLAN 5 управления.
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif 5 //Создайте VLANIF-интерфейс для VLAN
управления.
[HUAWEI-vlanif5] ip address 10.10.1.1 24 //Настройте IP-адрес для VLANIF-
интерфейса.
[HUAWEI-vlanif5] quit
2 Настройте Telnet.
[HUAWEI] telnet server enable //По умолчанию функция Telnet отключена.
[HUAWEI] user-interface vty 0 4 //Обычно администратор входит в коммутатор
через Telnet. Рекомендуется аутентификация AAA.
[HUAWEI-ui-vty0-4] protocol inbound telnet
//V200R006 и более ранних версий поддерживают Telnet. V200R007 и более
поздние версии поддерживают SSH по умолчанию. Если на коммутаторе запущена
V200R007 или более поздних версий, то перед входом в коммутатор через Telnet
выполните эту команду.
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789
//Настройте имя пользователя и пароль для входа через Telnet. Имя
пользователя вводится без учета регистра, а пароль — с учетом регистра.
[HUAWEI-aaa] local-user admin privilege level 15 //Нстройте уровень учетной
записи администратора на 15 (высший)
[HUAWEI-aaa] local-user admin service-type telnet
Для входа в коммутатор рекомендуется использовать STelnet V2,
так как протокол Telnet имеет некоторые риски для безопасности.
Процедура конфигурирования приведена в документе Руководство
по конфигурации - базовая конфигурация.
3 Выполните вход в коммутатор со служебного терминала через Telnet.
Появление приглашения на ввод команды на пользовательском представлении
свидетельствует об успешном входе в систему.
C:\Documents and Settings\Administrator> telnet 10.10.1.1 //Введите IP-
адрес управления и нажмите Enter.
Username:admin //Введите имя пользователя и пароль.

Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2014-05-06 18:33:18+00:00.
<HUAWEI> //Приглашение на ввод команды на пользовательском представлении
29
Настройка сетевых соединений
Настройка коммутатора доступа
1 В качестве примера коммутатора доступа используется ACC1. Создайте VLAN
10 и VLAN 20 на ACC1.
[HUAWEI] sysname ACC1 //Задайте имя коммутатора ACC1.
[ACC1] vlan batch 10 20 //Создайте группу VLAN.
2 Настройте GE0/0/3 и GE0/0/4, с помощью которых ACC1 подключается к CORE1 и

CORE2, чтобы разрешить прохождение пакетов из VLAN отделов A и B.
[ACC1-GigabitEthernet0/0/3] port link-type trunk //Задайте тип GE0/0/3 в
[ACC1-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20 //Настройте
GE0/0/3 для прозрачной передачи информации о сервисных VLAN на ACC1.
[ACC1-GigabitEthernet0/0/4] port link-type trunk //Задайте тип GE0/0/4 в
[ACC1-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 20 //Настройте
GE0/0/4 для прозрачной передачи информации о сервисных VLAN на ACC1.
3 Настройте интерфейсы на ACC1 для подключения пользовательских устройств с

тем, чтобы потом добавить устройства пользователей различных отделов в сети
VLAN.
[ACC1] interface GigabitEthernet 0/0/1 //Настройте интерфейс подключения к
отделу A.
[ACC1-GigabitEthernet0/0/1] port link-type access
[ACC1-GigabitEthernet0/0/1] port default vlan 10
[ACC1] interface GigabitEthernet 0/0/2 //Настройте интерфейс подключения к
отделу B.
[ACC1-GigabitEthernet0/0/2] port link-type access
[ACC1-GigabitEthernet0/0/2] port default vlan 20
4 Настройте функцию защиты BPDU для повышения стабильности сети.
[ACC1] stp bpdu-protection
Для того чтобы добавить всех пользователей, подключенных к ACC1, в

сеть VLAN 10, можно добавить интерфейсы на CORE1 и CORE2,
которые напрямую подключены к ACC1, в качестве интерфейсов
доступа, а не добавлять интерфейсы на ACC1 в сеть VLAN 10. Это
позволит упростить конфигурацию. Такая конфигурация гарантирует, что
все пользователи, подключенные к Eth-Trunk1, принадлежат к VLAN 10.
30
Настройка коммутатора уровня ядра(CORE1)/коммутатора
агрегации
1 Настройте VLAN для установления связи CORE1 с коммутаторами доступа,
CORE2 и выходным маршрутизатором.
[HUAWEI] sysname CORE1 //Введите имя коммутатора в CORE1.
[CORE1] vlan batch 10 20 30 40 50 100 300 //Создайте группу VLAN.
2 Настройте интерфейсы на стороне пользователя и VLANIF-интерфейсы. Для

связи между отделами используются интерфейсы VLANIF. Например, CORE1
подключается к ACC1 посредством GE0/0/1. Настройки на других интерфейсах в
данном документе не приводятся.
[CORE1] interface GigabitEthernet0/0/1
[CORE1-GigabitEthernet0/0/1] port link-type trunk //Задайте тип
интерфейса в Trunk для прозрачной передачи VLAN.
[ CORE1-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 20
//Настройте GE0/0/1 для прозрачной передачи информации о сервисных VLAN на
ACC1.
[CORE1-GigabitEthernet0/0/1] quit
[CORE1] interface Vlanif 10 //Настройте VLANIF 10, чтобы
разрешить отделу A устанавливать связь с отделом B через уровень 3.
[CORE1-Vlanif10] ip address 192.168.10.1 24
[CORE1-Vlanif10] quit
[CORE1] interface Vlanif 20 //Настройте VLANIF 20, чтобы
разрешить отделу B устанавливать связь с отделом А через уровень 3.
Настройте интерфейсы, подключающийся к выходному маршрутизатору и
3 VLANIF-интерфейсы.
[CORE1] interface GigabitEthernet 0/0/7
[CORE1-GigabitEthernet0/0/7] port link-type access // Настройте режим
доступа.
[CORE1-GigabitEthernet0/0/7] port default vlan 100
[CORE1] interface Vlanif 100 //Настройте VLANIF-интерфейс, чтобы
разрешить CORE1 устанавливать связи с маршрутизатором на уровне 3.
Настройте интерфейсы, которые напрямую подключаются к CORE2. Настройте

4 VLANIF-интерфейс.
[CORE1] interface gigabitethernet 0/0/5
[CORE1-GigabitEthernet0/0/5] port link-type access //Установите режим
доступа.
[CORE1-GigabitEthernet0/0/5] port default vlan 300
[CORE1] interface Vlanif 300
31
Просмотр результатов настройки
1 После настройки интерфейсов и VLAN выполните следующие команды для

просмотра результатов конфигурирования. Подробное описание результатов
выполнения команд приведено в Справочнике по командам.
Выполните команду display vlan, чтобы посмотреть настройки VLAN на ACC1.
Восходящие и нисходящие
[ACC1] display vlan интерфейсы ACC1 добавлены в сети
The total number of VLANs is : 2 VLAN 10 и 20. Восходящие
--------------------------------------------------------------------------------
интерфейсы прозрачно передают
MP: Vlan-mapping; информацию о всех сервисных VLAN.
ST: Vlan-stacking;
--------------------------------------------------------------------------------
VID Type Ports

--------------------------------------------------------------------------------
10 common UT: GE0/0/1(U) TG:GE0/0/3(U) GE0/0/4(U)
20 common UT: GE0/0/2(U) TG:GE0/0/3(U) GE0/0/4(U)

--------------------------------------------------------------------------------
На CORE1 интерфейсы,
2 Выполните команду display vlan, чтобы подключенные к коммутаторам
просмотреть настройки VLAN на CORE1. доступа, добавлены в
соответствующие сервисные VLAN.
[CORE] display vlan
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
VID Type Ports

--------------------------------------------------------------------------------
300 common UT:GE0/0/5(U)

--------------------------------------------------------------------------------
32
Настройка IP-адресов для интерфейсов
выходного маршрутизатора
1 Настройте IP-адрес для интерфейса, подключающегося к внутренней сети.
[HUAWEI] sysname Router
[Router-GigabitEthernet0/0/1] ip address 172.16.1.2 24 //Настройте IP-адрес
для интерфейса, подключающегося к CORE1.
[Router-GigabitEthernet0/0/1] quit
[Router-GigabitEthernet0/0/2] ip address 172.16.2.2 24 //Настройте IP-адрес
для интерфейса, подключающегося к CORE2.
2 Настройте IP-адрес для интерфейса, подключающегося к Интернету.

[Router-GigabitEthernet0/0/0] ip address 202.101.111.2 30 //Настройте IP-
адрес для интерфейса, подключающегося к Интернет.
(По усмотрению) Настройка статического маршрута

Если настроен протокол динамической маршрутизации, пропустите этот шаг.
Настройте статический маршрут по умолчанию к выходному маршрутизатору и
1 резервный статический маршрут на CORE1 и CORE2 соответственно.
[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.1.2
//Настройте статический маршрут по умолчанию к выходному маршрутизатору на
CORE1.
[CORE1] ip route-static 0.0.0.0 0.0.0.0 172.16.3.2 preference 70
//Настройте резервный статический маршрут к CORE2 на CORE1.
[CORE2] ip route-static 0.0.0.0 0.0.0.0 172.16.2.2
[CORE2] ip route-static 0.0.0.0 0.0.0.0 172.16.3.1 preference 70
2 На выходном маршрутизаторе настройте статический маршрут по умолчанию к

операторскому устройству.
3 На выходном маршрутизаторе настройте основной и резервный маршруты.

Следующим прыжком основного маршрутизатора является CORE1, а
следующим прыжком резервного маршрута — CORE2.
[Router] ip route-static 192.168.10.0 255.255.255.0 172.16.2.1 preference
70 //Настройте резервный маршрут к отделу A со следующим переходом на
CORE2.
[Router] ip route-static 192.168.20.0 255.255.255.0 172.16.2.1 preference
70 //Настройте резервный маршрут к отделу В со следующим переходом на
CORE2.
33
Настройка VRRP для реализации
резервирования виртуального шлюза
После настройки VRRP на CORE1 и CORE2 коммутаторы доступа передают трафик
на CORE1. Если CORE1 выходит из строя, то выполняется переключение VRRP, и
коммутатор CORE2 становится основным. И коммутаторы доступа перенаправляют
трафик на CORE2.
1 Создайте группы VRRP 1 и 2 на CORE1 и CORE2. Задайте приоритет 120 для
CORE1 и установите значение 20 секунд для задержки внеочередного занятия
линии, чтобы CORE1 выполнял функции основного коммутатора в сетях VLAN
10 и 20.
[CORE1-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3 //Настройте
виртуальный IP-адрес для группы 1 VRRP.
[CORE1-Vlanif10] vrrp vrid 1 priority 120 //Установите приоритет 120 для
CORE1.
[CORE1-Vlanif10] vrrp vrid 1 preempt-mode timer delay 20
[CORE1-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3 //Настройте
виртуальный IP-адрес для группы 2 VRRP.
[CORE1-Vlanif20] vrrp vrid 2 priority 120
2 CORE2 использует приоритет по умолчанию и выполняет функции резервного

коммутатора в сетях VLAN 10 и 20.
[CORE2-Vlanif10] vrrp vrid 1 virtual-ip 192.168.10.3
[CORE2-Vlanif20] vrrp vrid 2 virtual-ip 192.168.20.3
Между CORE1, CORE2 и ACC1 существует физическая петля.

Фактические каналы не образуют петлю. STP включен на
коммутаторах (серия Sx7) по умолчанию. Для того чтобы петля не
влияла на основной и резервный статус VRRP на CORE1 и CORE2,
отключите STP на восходящих интерфейсах ACC1. Ниже приведен
пример настройки на ACC1.

[ACC1-GigabitEthernet0/0/3] stp disable //Отключите STP на восходящем
интерфейсе GE0/0/3.
[ACC1-GigabitEthernet0/0/4] stp disable
Если петля в сети отсутствует, то можно выполнить команду stp disable, чтобы
отключить STP на коммутаторе доступа.
[ACC1] stp disable
Warning: The global STP state will be changed. Continue? [Y/N] y
34
Настройка выходного маршрутизатора для
того, чтобы пользователи внутренней сети
могли подключиться к Интернету
1 Настройте ACL, чтобы пользователи могли подключаться к Интернету. Ниже

приведены настройки, с помощью которых можно разрешить пользователям
VLAN 10 и 20 доступ к Интернет.
[Router] acl 2000
//Разрешите пользователям VLAN 10 подключаться к Интернет.
//Разрешите пользователям VLAN 20 подключаться к Интернет.
2 Настройте NAT на интерфейсе, обеспечивающем доступ к Интернет, чтобы

пользователи внутренней сети могли подключаться к сети Интернет.
3 Настройте разрешение DNS. Оператор предоставляет адрес DNS-сервера.
[Router] dns resolve

[Router] dns server 202.101.111.195
[Router] dns proxy enable
4 После выполнения приведенных выше действий настройте статические IP-

адреса для пользователей внутренней сети в сети VLAN 10 и установите адрес
шлюза 192.168.10.3. После этого пользователи внутренней сети смогут
подключаться к сети Интернет.
35
Настройка DHCP-сервер
Для подключения пользователей к сети Интернет администратор настраивает
фиксированные IP-адреса для пользовательских устройств. По мере расширения
сети администратору становится все труднее вручную настраивать большое
количество IP-адресов и управлять ими. Кроме того, если один из пользователей
изменяет настроенный IP-адрес, может возникнуть конфликт IP-адресов, и
пользователи, которых касается, не смогут подключиться к интернету. Поэтому
администратор настраивает фиксированные IP-адреса только для нескольких
пользовательских устройств, а для других устройств включает функцию
автоматического получения IP-адресов с DHCP-сервера.
Настройте DHCP-сервер на CORE1 и CORE2 для динамического назначения IP-
адресов пользовательским устройствам во всех отделах. CORE1 выполняет
функцию активного DHCP-сервера. В примере, приведенном ниже, используется
отдел A.
 В данном разделе сконфигурирован глобальный пул адресов.

Также можно настроить пул адресов на базе интерфейсов.
Подробная информация о данной процедуре приведена в
документе Configuration Guide - IP Service.
 Для того чтобы исключить конфликты IP-адресов, вызванные
переключением активный/резервный в сети VRRP, следует
настроить назначение первой половины всех IP-адресов из
пула адресов на активном DHCP-сервере, а распределение
второй половины адресов на резервном DHCP-сервере.
1 Настройте CORE1 как активный DHCP-сервер с функцией распределения IP-

адресов в диапазоне 192.168.10.1 – 192.168.10.127.
<CORE1> system-view
[CORE1] dhcp enable
[CORE1] ip pool 10
[CORE1-ip-pool-10] gateway-list 192.168.10.3 //Настройте адрес шлюза.
[CORE1-ip-pool-10] network 192.168.10.0 mask 24 //Настройте диапазон
назначаемых IP-адресов.
[CORE1-ip-pool-10] excluded-ip-address 192.168.10.128 192.168.10.254
// Исключите IP-адреса диапазона 192.168.10.128 - 192.168.10.254.
[CORE1-ip-pool-10] lease day 0 hour 20 minute 0 //Настройте аренду IP-
адресов.
[CORE1-ip-pool-10] dns-list 202.101.111.195 //Настройте адрес DNS-
сервер.
[CORE1-ip-pool-10] quit
36
2 Настройте CORE2 как резервный DHCP-сервер с функцией
распределения второй половины всех IP-адресов из пула
адресов.
<CORE2> system-view
[CORE2] dhcp enable
[CORE2] ip pool 10
[CORE2-ip-pool-10] gateway-list 192.168.10.3
[CORE2-ip-pool-10] network 192.168.10.0 mask 24
[CORE2-ip-pool-10] lease day 0 hour 20 minute 0
[CORE2-ip-pool-10] dns-list 202.101.111.195
[CORE2-ip-pool-10] quit
Процедура настройки динамического назначения IP-адреса в сети VLAN 20

аналогична предыдущей процедуре конфигурирования.
3 Для пользователей в отделе A настройте получение IP-адресов из глобального

пула адресов.
[CORE1] interface vlanif 10
[CORE1-Vlanif10] dhcp select global //Настройте получение IP-адресов
из глобального пула адресов для пользователей в отделе A.
[CORE2] interface vlanif 10
[CORE2-Vlanif10] dhcp select global
4 Выполните команду display ip pool, чтобы посмотреть настройки и распределение

IP-адресов в глобальном пуле адресов 10.
[CORE1] display ip pool name 10

просмотр
Pool-name : 10
Pool-No : 0 конфигурации
Lease : 0 Days 20 Hours 0 Minutes пула IP-
Domain-name : - адресов.
DNS-server0 : 202.101.111.195
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 192.168.10.3
Network : 192.168.10.0
Mask : 255.255.255.0
VPN instance : --
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
192.168.10.1 192.168.10.254 253 1 125(0) 0 127
-----------------------------------------------------------------------------
просмотр распределения
IP-адресов.
37
После выполнения настройки DHCP-сервер сконфигурируйте
сетевые адаптеры на конечных ПК для автоматического получения
IP-адресов. Конечные ПК теперь могут получать IP-адреса с
DHCP-server и подключаться к сети Интернет.
После настройки динамического распределения IP-адресов на

получение IP-адреса компьютером после его запуска уходит много
времени. Причина заключается в том, что коммутатор,
поддерживающий STP, начинает пересчет связующего дерева
каждый раз, когда ПК подключается к коммутатору. Чтобы решить
эту проблему, отключите STP или настройте интерфейс
коммутатора, который подключается к пользовательским
устройствам, в качестве граничного порта. ACC1 используется в
приведенном ниже примере.
# Отключите STP.

[ACC1- GigabitEthernet 0/0/1] stp disable //В ином случае выполнить
команду undo stp enable.
# Настройте интерфейс коммутатора, который подключается к пользовательским

устройствам, в качестве граничного порта.

[ACC1- GigabitEthernet 0/0/1] stp edged-port enable
После выполнения любой из предыдущих операций конечные ПК смогут быстро

получить IP-адреса после запуска.
38
Настройка функций DHCP snooping и IPSG
После настройки DHCP пользовательские устройства могут получать IP-адреса

автоматически. Если пользователь подключает малый маршрутизатор к внутренней
сети и включает DHCP-сервер на маршрутизаторе, то авторизованные
пользователи внутренней сети могут получать IP-адреса, выделенные этим
маршрутизатором, но не могут получить доступ к сети Интернет. Чтобы устранить
эту проблему, необходимо настроить функцию DHCP snooping.
В примере, приведенном ниже, используется отдел A.
1 Включите функцию DHCP snooping на ACC1.
<ACC1> system-view
[ACC1] dhcp enable //Включите DHCP.
[ACC1] dchp snooping enable //Включите DHCP snooping.
2 Настройте функцию DHCP snooping на интерфейсах, подключенных к

пользовательским устройствам.
[ACC1] interface GigabitEthernet 0/0/1 //Настройте интерфейс,

подключающийся к пользовательским устройствам в отделе A.
[ACC1-GigabitEthernet 0/0/1] dhcp snooping enable
[ACC1-GigabitEthernet 0/0/1] quit
подключающийся к пользовательским устройствам в отделе B.
Включите функцию DHCP snooping на интерфейсах, подключенных к DHCP-

3 сервер и настройте эти интерфейсы как надежные интерфейсы.

подключающийся к CORE1.
[ACC1-GigabitEthernet 0/0/3] dhcp snooping enable //Включите DHCP
snooping.
[ACC1-GigabitEthernet 0/0/3] dhcp snooping trusted //Настройте интерфейс
как надежный интерфейс.
подключающийся к CORE2.
[ACC1-GigabitEthernet 0/0/4] dhcp snooping trusted
После выполнения предыдущих настроек пользовательские устройства в отделе A

могут получать IP-адреса только от авторизованного DHCP-сервер и не будут
использовать IP-адреса, выделенные малым маршрутизатором.
39
Чтобы пользователи не могли изменить IP-адреса и пытаться проникнуть во
внутреннюю сеть, включите функцию IPSG после включения функции DHCP snooping
на коммутаторе доступа. В примере, приведенном ниже, используется ACC1.
4 На ACC1 включите IPSG в VLAN 10.
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //Включите IPSG.
[ACC1-vlan10] quit
ACC1 устанавливает соответствие между пакетами, полученными из VLAN 10, с

записями динамической привязки в таблице привязок отслеживания DHCP. Если
пакет соответствует записи, то ACC1 пересылает этот пакет; в противном случае
ACC1 отбрасывает пакет. Для проверки пакетов, полученных с определенного
пользовательского устройства, а не со всех устройств в сети VLAN, следует
включить функцию IPSG на интерфейсе, подключенном к устройству.
Если сконфигурировано назначение статического IP-адреса, то

следует привязать IP-адреса к MAC-адресам, чтобы пользователи
не могли изменить IP-адреса и проникнуть в сеть. Подробная
информация приведена в разделе «Пример настройки IPSG, для
того чтобы хосты со статическими IP-адресами не могли изменить
собственные IP-адреса» документа Типичные примеры
конфигурации.
Подробная информация о том, как настроить коммутатор, чтобы пользователи

не могли подключить малый маршрутизатор (нелегальный DHCP-сервер) к
внутренней сети и изменить IP-адреса, приведена в разделах «Настройка
базовых функций DHCP Snooping», «Настройка IPSG» и в соответствующих
примерах конфигурирования в Configuration Guide - Security.
40
Настройка OSPF
Устройства во внутренней сети используют статические маршруты.

В случае возникновения неисправности в канале, администратор
должен вручную настроить новый статический маршрут, что ведет к
длительному прерыванию услуг. Решить эту проблему можно путем
настройки протокола динамической маршрутизации. Если канал
выходит из строя, то протокол динамической маршрутизации, в
зависимости от алгоритма, переключает трафик с неисправного
канала на исправный. После восстановления неисправного канала,
протокол переключает трафик обратно на этот канал. В примере,
приведенном ниже, используется конфигурация OSPF.
1 Удалите статические маршруты на CORE1 и CORE2.

[CORE1] undo ip route-static all
[CORE2] undo ip route-static all
2 На выходном маршрутизаторе удалите статический маршрут к внутренней сети и

сохраните статический маршрут к Интернет.
[Router] undo ip route-static 192.168.10.0 24
[Router] undo ip route-static 192.168.20.0 24
3 Настройте OSPF на CORE1.
[CORE1] ospf 100 router-id 2.2.2.2

[CORE1-ospf-100] area 0
[CORE1-ospf-100-area-0.0.0.0] network 172.16.1.0 0.0.0.255
4 Настройте OSPF на CORE2.
[CORE2] ospf 100 router-id 3.3.3.3

[CORE2-ospf-100] area 0
41
5 Настройте OSPF на выходном маршрутизаторе. Чтобы подключить внутреннюю
сеть к сети Интернет, настройте статический маршрут по умолчанию для
подключения к Интернет. Анонсируйте маршрут по умолчанию в области OSPF
и настройте статический маршрут по умолчанию к операторскому устройству.
[Router] ospf 10 router-id 1.1.1.1

[Router-ospf-10] default-route-advertise always
[Router-ospf-10] area 0
[Router-ospf-10-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[Router-ospf-10-area-0.0.0.0] network 172.16.2.0 0.0.0.255
Подробная информация о командах и настройке OSPF приведена в разделе

«Настройка OSPF» и в описании примеров настройки в Configuration Guide - IP
Unicast Routing.
42
37
Настройка надежности и балансировки нагрузки
Настройка ассоциации между VRRP и статусом интерфейса

для мониторинга каналов
В случае неисправности канала между CORE1 и выходным

маршрутизатором, трафик передается по внутреннему каналу
между CORE1 и CORE2 на CORE2, увеличивая нагрузку данного
канала и предъявляя высокие требования к стабильности и
пропускной способности. Для быстрого переключения
активный/резервный в случае сбоя восходящего или нисходящего
канала можно настроить ассоциацию между VRRP и статусом
интерфейса. Если настроить данную функцию на восходящем
интерфейсе главного узла в группе VRRP, главный узел при
обнаружении изменения статуса восходящего интерфейса на Down
понизит свой приоритет для реализации переключения
активный/резервный.
# Настройте ассоциацию между VRRP и статусом восходящего интерфейса на

CORE1 для мониторинга восходящего канала.

[CORE1-Vlanif10] vrrp vrid 1 track interface GigabitEthernet0/0/7 reduced
100 //Настройте ассоциацию между VRRP и статусом восходящего интерфейса.
100
43
Настройка балансировки нагрузки
По мере увеличения трафика услуг канал между CORE1 и выходным

маршрутизатором имеет высокий коэффициент использования
пропускной способности, в то время как канал между CORE2 и
выходным маршрутизатором не используется, что приводит к
расходованию ресурсов и снижению уровня надежности. Для
эффективного использования этих двух каналов можно настроить
функцию балансировки нагрузки на CORE1 и CORE2. При этом CORE1
будет выполнять функции главного коммутатора в одних VLAN, а
CORE2 — в других VLAN. Эти два канала выравнивают нагрузку
трафика всех VLAN, что позволяет эффективно использовать сетевые
ресурсы. Настройте CORE1 в качестве главного коммутатора в сети
VLAN 10 и измените приоритет CORE2, чтобы он мог выполнять
функции главного коммутатора в сети VLAN 20.
Удалите настройки приоритета VRRP и задержки внеочередного занятия линии

1
в сети VLANIF 20 на CORE1.
[CORE1-Vlanif20] undo vrrp vrid 2 preempt-mode timer delay

[CORE1-Vlanif20] undo vrrp vrid 2 priority
2 Настройте CORE2 в качестве главного коммутатора в сети VLAN 20 и

установите значение 20 секунд для задержки внеочередного занятия линии.
[CORE2-Vlanif20] vrrp vrid 2 priority 120

3 Настройте ассоциацию между VRRP и статусом восходящего интерфейса на

CORE2 для мониторинга восходящего канала.

100
44
Настройка агрегирования каналов
В случае неисправности восходящего канала CORE1 или CORE2 трафик
передается по каналу между CORE1 и CORE2. Однако пропускная способность
канала может быть недостаточной, что приводит к потере пакетов. Несколько
физических каналов можно объединить в логический канал, чтобы увеличить
пропускную способность и повысить надежность связи. В примере, приведенном
ниже, используется CORE1.
1 Восстановите настройки интерфейса по умолчанию. Если интерфейс

использует настройки по умолчанию, пропустите данный шаг. Ниже приведен
пример восстановления настроек по умолчанию интерфейса.

[CORE1-GigabitEthernet0/0/5] dis this
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 300
#
return
[CORE1-GigabitEthernet0/0/5] undo port default vlan
[CORE1-GigabitEthernet0/0/5] undo port link-type
2 V200R005 и более поздние версии позволяют выполнить команду clear

configuration this, чтобы восстановить настройки интерфейса по умолчанию.
После восстановления настроек по умолчанию интерфейс будет отключен.
Выполните команду undo shutdown, чтобы включить интерфейс.
[CORE1-GigabitEthernet0/0/5] clear configuration this

Warning: All configurations of the interface will be cleared, and its state
will be shutdown. Continue? [Y/N] :y
Info: Total 2 command(s) executed, 2 successful, 0 failed.
[CORE1-GigabitEthernet0/0/5] undo shutdown
45
3 Настройте агрегирование каналов.
Способ 1: Настройте агрегирование каналов в режиме балансировки нагрузки.
[CORE1] interface Eth-Trunk 1

[CORE1-Eth-Trunk1] trunkport GigabitEthernet 0/0/5 to 0/0/6
[CORE1-Eth-Trunk1] port link-type access
[CORE1-Eth-Trunk1] port default vlan 300
Способ 2: Настройте агрегирование каналов в режиме LACP.

[CORE1-Eth-Trunk1] mode lacp
[CORE1-Eth-Trunk1] trunkport GigabitEthernet 0/0/5 to 0/0/6
[CORE1-Eth-Trunk1] port link-type access
[CORE1-Eth-Trunk1] port default vlan 300
# Установите значение 100 для системного приоритета CORE1, чтобы CORE1

выполнял функции активного узла.
[CORE1] lacp priority 100
# Задайте на CORE1 максимальное количество интерфейсов 2.

[CORE1-Eth-Trunk1] max active-linknumber 2
# Установите приоритеты, чтобы определить активные каналы на CORE1.

(Настройте GE0/0/5 и GE0/0/6 как активные интерфейсы.)

[CORE1-GigabitEthernet0/0/5] lacp priority 100
[CORE1-GigabitEthernet0/0/6] lacp priority 100
Процедура настройки CORE2 аналогична процедуре настройки CORE1. Различие

заключается в том, что CORE2 использует системный приоритет по умолчанию.
Подробная информация о командах и настройке агрегирования каналов приведена

в разделе «Настройка агрегирования каналов» и в описании примеров настройки в
Configuration Guide - Ethernet Switching.
46
Настройка ограничения скорости
Настройка ограничения скорости для IP-адреса
Настройка ограничения скорости для IP-адреса на коммутаторе является сложной

задачей и требует большого количества аппаратных ресурсов ACL Поэтому
ограничение скорости для IP-адреса можно настроить на физических
интерфейсах выходного маршрутизатора, подключенных к коммутаторам уровня
ядра.
Поскольку ресурсы пропускной способности ограничены, но передача трафика
услуг должна быть обязательно обеспечена, скорость загрузки и выгрузки для
каждого IP-адреса внутренней сети не может превышать 512 кбит/с.
1 На GE0/0/1 настройте ограничение скорости на основе IP-адреса для сегментов

сети 192.168.10.0 и 192.168.20.0 и ограничьте скорость до 512 кбит/с. Обратите
внимание, что ограничение скорости на основе IP-адреса настраивается на
интерфейсах на стороне LAN, так как интерфейсы на стороне WAN с реализацией
NAT не могут идентифицировать IP-адреса внутренней сети. Во время настройки
ограничения скорости интерфейсов на стороне LAN на основе IP-адреса
определите IP-адрес источника во входящем направлении для ограничения
скорости выгрузки и определите IP-адрес назначения в исходящем направлении,
чтобы ограничить скорость загрузки.

[Router-GigabitEthernet0/0/1] qos car inbound source-ip-address range
192.168.10.1 to 192.168.10.254 per-address cir 512
[Router-GigabitEthernet0/0/1] qos car outbound destination-ip-address range
[Router-GigabitEthernet0/0/1] qos car inbound source-ip-address range
[Router-GigabitEthernet0/0/1] qos car outbound destination-ip-address range
Процедура настройки ограничения скорости на основе IP-адреса для других

сегментов сети на GE0/0/2 аналогична процедуре, описанной выше.
47
Настройка ограничения скорости на основе всего трафика сегмента
сети
Для того чтобы зарезервировать достаточное количество ресурсов полосы
пропускания для отдела A в связи с ростом потребности в услугах, следует
настроить ограничение скорости для отдела B. Скорость доступа к сети Интернет в
отделе B не может превышать 2 Мбит/с, а скорость загрузки не может превышать 4
Мбит/с.
1 Настройте ACL на выходном маршрутизаторе, чтобы разрешить прохождение

пакетов из отдела B.
[Router] acl 2222

[Router-acl-basic-2222] quit
2 Настройте ограничение скорости для интерфейсов на стороне LAN выходного

маршрутизатора, чтобы ограничить скорость доступа к сети Интернет и скорость
загрузки.

[Router-GigabitEthernet0/0/1] qos car inbound acl 2222 cir 2048
[Router-GigabitEthernet0/0/1] qos car outbound acl 2222 cir 4096
Процедура конфигурирования на GE0/0/2 аналогична процедуре

конфигурирования на GE0/0/1.
Подробная информация о настройке и командах ограничения скорости приведена

в разделе «Настройки механизмов защиты трафика и формирования трафика»и в
соответствующих примерах конфигурирования в Configuration Guide – QoS.
48
Настройка NAT-сервера и нескольких выходных интерфейсов
Настройка NAT-сервера
В связи с ростом потребности в услугах, веб-сервер и FTP-сервер во внутренней
сети должны предоставлять услуги и внутренним и внешним пользователям,
которые подключаются к этим серверам через IP-адреса.
1 Настройте выходной маршрутизатор, чтобы разрешить внешним пользователям

доступ к услугам внутренней сети через публичные IP-адреса.

[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface www inside 192.168.50.99 www
Warning:The port 80 is well-known port. If you continue it may cause
function failure.
Are you sure to continue?[Y/N]:y
[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-
interface ftp inside 192.168.50.199 ftp
2 Включите NAT ALG для FTP на выходном маршрутизаторе.

[Router] nat alg ftp enable
3 Настройте ACL, чтобы разрешить пользователям внутренней сети доступ к

серверам внутренней сети через публичные IP-адреса.
[Router] acl 3333

[Router-acl-adv-3333] rule permit ip source 192.168.10.0 0.0.0.255
destination 202.101.111.2 0.0.0.0
destination 202.101.111.2 0.0.0.0
4 Настройте NAT на интерфейсах выходного маршрутизатора, подключенных к

внутренней сети.

5 Настройте таблицу соответствия внутренних серверов на интерфейсах выходного

маршрутизатора, подключенных к внутренней сети.
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 www inside 192.168.50.99 www
[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface
GigabitEthernet 0/0/0 ftp inside 192.168.50.199 ftp
49
Процедура конфигурирования на GE0/0/2 аналогична процедуре
конфигурирования на GE0/0/1.
Подробная информация о настройке и командах NAT для маршрутизаторов AR
приведена в разделе «Конфигурирование NAT» и в соответствующих примерах
конфигурирования в Configuration Guide - IP Service, в также в разделе «NAT» в
документе Typical Configuration Examples.
Настройка нескольких выходных интерфейсов для подключения к

Интернет
Оператор предоставил по требованию предприятия только один канал связи. Но в
связи с ростом потребности в услугах этот канал не может обеспечить достаточную
пропускную способность для предприятия. Предприятие запрашивает еще один
канал. Исходный единый выходной интерфейс заменяется двумя выходным
интерфейсами. На маршрутизаторе настройте возможность передачи трафика из
различных сегментов внутренней сети в Интернет по определенным каналам.
Настройте GE1/0/0 для предоставления доступа в Интернет с использованием

набора номера PPPoE.
Настройте маршрутизацию на основе определенных политик (PBR), чтобы
пользователи из различных сегментов сети могли подключаться к сети Интернет
через различных операторов.
1 Настройте ACL для NAT.
[Router] acl 2015
2 Настройте ACL набора номера

[Router] dialer-rule
[Router-dialer-rule] dialer-rule 1 ip permit
50
3 Настройте интерфейс набора номера
[Router] interface Dialer 0

[Router-Dialer0] ip address ppp-negotiate
[Router-Dialer0] ppp chap user Router
[Router-Dialer0] ppp chap password cipher Router@123
[Router-Dialer0] dialer user user
[Router-Dialer0] dialer bundle 1
[Router-Dialer0] dialer-group 1
[Router-Dialer0] ppp ipcp dns request
[Router-Dialer0] ppp ipcp dns admit-any
4 Настройте NAT.
[Router-Dialer0] nat outbound 2015
5 Установите максимальный размер сегмента (MSS) до 1200 байт для TCP-пакетов.

Если используется значение по умолчанию (1460 байт), то скорость доступа в
Интернет может быть недостаточной.

[Router-Dialer0] tcp adjust-mss 1200
6 Включите PPPoE на физическом интерфейсе GE1/0/0, подключенном к

операторскому устройству.
[Router-GigabitEthernet 1/0/0] pppoe-client dial-bundle-number 1
7 Настройте статический маршрут по умолчанию для подключения к сети

Интернет с Dialer 0 в качестве исходящего интерфейса.
[Router] ip route-static 0.0.0.0 0 Dialer 0
Настройте ACL для установления соответствия между потоками данных. Трафик,

8 передаваемый между внутренними пользователями, не перенаправляется.
[Router] acl 3000

destination 192.168.20.0 0.0.0.255
destination 192.168.10.0 0.0.0.255
[Router-acl-adv-3000] quit
[Router] acl 3001
[Router] acl 3002
51
9 Настройте классификаторы трафика c0, c1 и c2 и правила сопоставления на
основе ACL 3000, ACL 3001 и ACL 3002 в классификаторах соответственно.
[Router] traffic classifier c0
[Router-classifier-c0] if-match acl 3000
[Router-classifier-c0] quit
Настройте параметры трафика следующим образом: не перенаправлять
10 трафик, передаваемый между внутренними пользователями, перенаправлять
трафик из сегмента внутренней сети 192.168.10.0 на адрес следующего
перехода 202.101.111.1, перенаправлять трафик из сегмента внутренней сети
192.168.20.0 на выходной интерфейс Dialer 0.
[Router] traffic behavior b0
[Router-behavior-b0] permit
[Router-behavior-b0] quit
[Router-behavior-b1] redirect ip-nexthop 202.101.111.1
[Router-behavior-b2] redirect interface Dialer 0
11 Настройте политику трафика и установите привязку классификаторов трафика к

параметрам трафика в политике трафика.
[Router] traffic policy test
[Router-trafficpolicy-test] classifier c0 behavior b0
[Router-trafficpolicy-test] quit
12 Примените политику трафика к интерфейсам выходного маршрутизатора,

подключенным к коммутаторам уровня ядра.
[Router-GigabitEthernet0/0/1] traffic-policy test inbound
[Router-GigabitEthernet0/0/2] traffic-policy test inbound
После настройки PBR пользователи внутренней сети в сегменте 192.168.10.0
подключаются к Интернет через GE0/0/0, а пользователи внутренней сети в сегменте
192.168.20.0 подключаются к Интернет через GE1/0/0 с помощью соединения PPPoE.
•Подробная информация о настройке и командах PBR приведена в разделе
«Настойка PBR» и соответствующих примерах конфигурирования в документе
Configuration Guide - IP Unicast Routing.
52
Проверка услуг и сохранение настроек
1 Выберите два ПК в каждом отделе для выполнения ping-тестов и проверьте,
устанавливается ли между двумя отделами связь на уровне 3 по VLANIF-
интерфейсам.
В следующем примере используются два ПК (ПК1 и ПК2) в отделах A и B. Связь
между этими ПК осуществляется на уровне 3 через CORE1 (или CORE2). Если
они успешно пингуются, значит взаимодействие на уровне 3 осуществляется
нормально.
<PC1> ping 192.168.20.254 // Assume that PC2

automatically obtains an IP address 192.168.20.254 through DHCP.
PING 192.168.20.254 data bytes, press CTRL_C to break
--- 192.168.20.254 ping statistics ---
5 packet(s) transmitted ПК1 успешно пингует ПК2, значит
5 packet(s) received взаимодействие между ПК1 и ПК2
на уровне 3 осуществляется
нормально.
2 Выберите два ПК внутри отдела, чтобы выполнить ping-тесты и убедиться, что

взаимодействие на уровне 2 в отделе осуществляется нормально.
Пользователи в отделе A устанавливают связь на уровне 2 через ACC1. Если

эти два ПК могут успешно пингуются с помощью ping-тестов, то пользователи
отдела А могут связываться друг с другом на уровне 2. Команда ping аналогична
команде, используемой в шаге 1.
3 Выберите два ПК в каждом отделе, чтобы выполнить проверку публичного IP-

адреса с помощью ping-тестов и убедиться, что пользователи внутренней сети
предприятия имеют доступ к сети Интернет.
В следующем примере используется отдел A. Вы можете выполнить ping-тест
адреса шлюза публичной сети с ПК1, чтобы убедиться, что ПК1 может
подключаться к Интернет. Адрес шлюза публичной сети является IP-адресом
операторского устройства, к которому подключен выходной маршрутизатор. Если
ping-тест выполнен успешно, то пользователи внутренней сети могут
подключаться к сети Интернет. Команда ping аналогична команде, используемой
в шаге 1.
53
б). Сохранение настроек
Перед перезапуском коммутатора необходимо сохранить данные в

конфигурационный файл. Несохраненные данные, сконфигурированные с
помощью командной строки, будут потеряны после перезапуска коммутатора.
Ниже приведен пример сохранения конфигурационного файла CORE1.
<CORE1> save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
54
4 Часто задаваемые вопросы
1. Как удалить конфигурационные данные и восстановить заводские
настройки?
Перед восстановлением заводских настроек создайте резервную

копию файла конфигурации. В противном случае все данные
конфигурации будут удалены.
Восстановление заводских настроек коммутатора.

<HUAWEI> reset saved-configuration
Warning: The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]:y
Warning: Now clearing the configuration in the device.
Info: Succeeded in clearing the configuration in the device.
<HUAWEI> reboot
Info: The system is now comparing the configuration, please wait.
Warning: The configuration has been modified, and it will be saved to
the next startup saved-configuration file flash:/vrpcfg.zip. Continue?
[Y/N]:n
Info: If want to reboot with saving diagnostic information, input 'N'
and then execute 'reboot save diagnostic-information'.
System will reboot! Continue?[Y/N]:y
2. Как удалить настройки интерфейса с помощью одной команды?
Выполните команду clear configuration this в режиме интерфейса или команду

clear configuration interface в системном режиме. Отключите интерфейс.
Интерфейс отключается после удаления настроек. Чтобы включить

интерфейс выполните команду undo shutdown.
55
3. Как изменить пароль порта консоли?
Если используется аккуант Telnet уровня 3 или выше, то для изменения пароля порта
консоли можно войти в коммутатор с рабочего терминала через Telnet.
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher huawei@123
[HUAWEI-ui-console0] return
4. Как изменить пароль Telnet?
Для изменения пароля Telnet войдите в коммутатор через порт консоли (в примере,
приведенном ниже, используется аутентификация AAA).
[HUAWEI] aaa
[HUAWEI-aaa] local-user user11 password irreversible-cipher huawei@123
Если Вы забыли имя пользователя, воспользуйтесь информацией в разделе

Настройка IP-адреса управления и Telnet, чтобы изменить имя пользователя и
пароль.
Если для пользователей Telnet используется аутентификация по паролю, измените
пароль Telnet в соответствии с инструкциями раздела «Забыли пароль (Forgetting
Password)»в документе S7700&S9700 Troubleshooting .
5. Как исключить определенные IP-адреса из пула адресов?
Если для определенных служб, например DNS, необходимо зарезервировать IP-

адреса в пуле адресов, то эти IP-адреса должны быть исключены из пула
распределяемых адресов. Если эти IP-адреса распределяются DHCP-сервером,
может возникнуть конфликт IP-адресов.
Способ настройки:
Выполните следующую команду в представлении интерфейса или в представлении
пула адресов интерфейса: dhcp server excluded-ip-address start-ip-address [ end-ip-
address ]
Выполните следующую команду в представлении глобального пула адресов:

excluded-ip-address start-ip-address [ end-ip-address ]
56
6. Как настроить условия аренды?
По умолчанию срок аренды истекает через один день. Если пользователь работает
вне дома или офиса, например в кафе или аэропорту, рекомендуется настроить
краткосрочную аренду. Если пользователь работает в основном в одном месте,
рекомендуется долгосрочная аренда.
пула адресов интерфейса: dhcp server lease { day day [ hour hour [ minute minute ] ]
| unlimited }
Выполните следующую команду в представлении глобального пула адресов: lease {

day day [ hour hour [ minute minute ] ] | unlimited }
7. Как определить фиксированные IP-адреса, распределенные

клиентам?
Для некоторых важных серверов требуются фиксированные IP-адреса.
Следовательно вы можете определить фиксированные IP-адреса, распределенные
этим серверам.
Эти IP-адреса должны находиться в пуле адресов, которые могут назначаться

динамически.
пула адресов интерфейса: dhcp server static-bind ip-address ip-address mac-
address mac-address
Выполните следующую команду в представлении глобального пула адресов: static-

bind ip-address ip-address mac-address mac-address [ option-template template-
name ]
57
5 Справочная информация
Для получения подробной информации о наших продуктах и услугах перейдите по
следующим ссылкам:
Действие Ссылка
Просмотр или загрузка

руководств по конфигури- http://support.huawei.com/enterprise/productsupport?pid=7070015
рованию коммутаторов
Просмотр или загрузка http://support.huawei.com/enterprise/docinforeader.action?contentId
материалов с описанием
типичных настроек =DOC1000069520&idPath=7919710|9856733|7923144|7070015
коммутаторов
Загрузка материалов по http://support.huawei.com/enterprise/docinforeader.action?contentId
мерам предосторожности
при конфигурировании =DOC1000069523&idPath=7919710|9856733|7923144|7070015
коммутатора
Обмен информацией с
другими пользователями https://forum.huawei.com/enterprise/index.html?lang=en
в системе BBS
58

Язык

Руководство по быстрой настройке коммутаторов серии S для кампусной сети

Загружено:

Сведения о документе

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Руководство по быстрой настройке коммутаторов серии S для кампусной сети

Загружено:

Авторское право:

Руководство по

и другие товарные знаки Huawei являются зарегистрированными

Документ содержит текущую информацию на момент его издания, которая

Huawei Technologies Co., Ltd.

2. Кампусные сети малого размера 2

2.1 Планирование данных 3

2.2 Быстрая настройка кампусных сетей малого размера 5

3. Кампусные сети малого и среднего размера 23

3.1 Планирование данных 24

3.2 Быстрая настройка кампусных сетей малого и среднего

4. Часто задаваемые вопросы 55

Документ предназначен для коммутаторов V200R003C00 и более поздних версий. Вы

Перед настройкой выполните следующие действия:

1 Установите коммутатор и включите питание. Подобная информация приведена

3 Разместите на рабочем месте следующую контактную информацию:

Зарегистрируйте учетную запись пользователя на веб-сайте службы

В данном разделе процедуры настройки кампусных сетей малого

VLANIF 100 CORE

ПК1 ПК2 Принтер ПК3 ПК4 Принтер

ACC1 Eth-Trunk1 ПК1/ПК2 Принтер

Действие Компонент Данные Описание

IP-адрес 10.10.1.1/24 IP-адрес управления используется для

Тип Eth-Trunk Статический LACP Eth-Trunk работает в режиме балансирования

IP-адрес GE0/0/1 — это публичный интерфейс,

Адрес DNS- DNS-сервер выполняет разрешение

Если на коммутаторе имеется мини-USB порт, то подключить ПК

2 Запустите программу эмуляции терминалов на ПК. Создайте соединение и

Выберите доступный порт на ПК. Например, если на ПК установлена

Параметр Значение по умолчанию

Скорость передачи 9600 бит/с

При первом входе в систему коммутатора более ранних версий, чем

Далее можно выполнять команды для настройки коммутатора. Для получения

Для входа в коммутатор рекомендуется использовать STelnet V2,

3 Выполните вход в коммутатор со служебного терминала через Telnet. Появление

Username:admin //Введите имя пользователя и пароль.

2 Настройте Eth-Trunk 1, по которому ACC1 подключается к CORE, чтобы

[ACC1] interface eth-trunk 1

[ACC1] interface Ethernet 0/0/2 //Настройте интерфейс, подключающийся

Для упрощения кофигурации можно добавить Eth-Trunk1 на CORE в

4 Настройте функцию защиты BPDU для повышения стабильности сети.

[ACC1] stp bpdu-protection

2 Настройте нисходящие интерфейсы и VLANIF-интерфейсы. Для связи между

[CORE] interface eth-trunk 1

3 Настройте восходящие интерфейсы и VLANIF-интерфейсы для установления

Выполните команду display eth-trunk, чтобы посмотреть настройки Eth-Trunk на

[ACC1] display eth-trunk 1

Интерфейсы GE0/0/1 и GE0/0/2 коммутатора

На ACC1 интерфейсы Eth0/0/2

VID Type Ports

VID Status Property MAC-LRN Statistics Description

Интерфейсы GE0/0/1 и GE0/0/2

VID Type Ports

VID Status Property MAC-LRN Statistics Description

В данном разделе приведены настройки глобального пула

1 Создайте глобальный пул адресов, настройте выходной шлюз и условия аренды

2 Настройте глобальный пул адресов для назначения IP-адресов

[CORE] interface vlanif 10

[CORE] display ip pool name 10

После настройки динамического распределения IP-адресов на

[ACC1] interface GigabitEthernet 0/0/1

# Настройте интерфейс коммутатора, который подключается к пользовательским

[ACC1] interface GigabitEthernet 0/0/1

После выполнения любой из предыдущих операций конечные ПК смогут быстро

1 Настройте статический маршрут по умолчанию к кампусному выходному шлюзу

[CORE] ip route-static 0.0.0.0 0 10.10.100.2

2 Выполните команду display ip routing-table на CORE, чтобы посмотреть таблицу