Примеры конфигов Huawei s5600 и s5300(s5700) с MAK-авторизацией - Huawei - Ответ 9144991

@Fotohunter · Регистрация: 13.05.2016

Author24 — интернет-сервис помощи студентам

Оба коммутатора являются аналогами по производительности и функционалу, разница лишь в дате выпуска и формально в фирме производителе s5600 выпускал концерн H3C (Huawei + 3Com), s5300 (s5700 выпускает Huawei), есть ещё s5300 выпускаемые HP (им были отданы права на выпуск коммутаторов после ликвидации H3C).
Хоть коммутаторы и являются аналогами - их конфиги слегка отличаются. Собственно я лично прошёл путь по обновлению конфига с 5600 на 5300 и хочу выложить оба варианта для обладателей данных изделий, что бы они могли понять что железка может и как это реализовать. Не многочисленные посты на тему отдельных функций не дают общего представления о этой железке. Я же собираюсь показать схему с МАК-авторизацией через CAMS(RADIUS)-сервер. Так же заслуживает внимания объединение(агрегация) линий связи с целью резервирования и увеличения пропускной способности. Для секьюрности пароли заменю звёздочками :-)))
Итак начнём:
S5624P-PWR - поддерживает устройства с питанием от Эзернета на скорости 1Гигабит, имеет 24 медных порта и 4 SFP (21-24 порты смежные с 4мя отическими т.е. если используете 2оптических, то медных становится на 2 меньше), так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк.
S5648P-PWR - поддерживает устройства с питанием от Эзернета на скорости 1Гигабит, имеет 48 медных порта и 4 SFP (45-48 порты смежные с 4мя отическими т.е. если используете 2оптических, то медных становится на 2 меньше), так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк.
Максимальное количество интерфейс-виланов в инструкциях и тех.характеристиках не указано, но мне удалось создать около 114(не исключаю, что в разных конфигурациях и прошивках цифра может меняться в меньшую сторону)
У железки не продумана система питания и вентиляции в связи с чем происходит перегрев, выход из смтроя вентиляторов корпуса и вентиляторов блока питания, а так же выход из строя самих блоков питания, которые невозможно заменить ибо не производятся и не возможно починить ибо там всё на микросхемах и нет ни какой гарантии, что при замене элементной базе контроллеры заведуться и запустят блок питания.
А теперь конфиг:

Код

#
 sysname SW-A-1-1-(ip7)[Ambulance]
#
 lldp enable
 lldp compliance cdp
#
 igmp-snooping enable
 igmp-snooping fast-leave
 igmp-snooping nonflooding-enable
#
 MAC-authentication
 MAC-authentication domain CAMS
#
 udp-helper enable
#
 multicast routing-enable
#
 link-aggregation group 7 mode static
#
 dns server 192.168.0.1
 dns server 192.168.0.3
 dns domain sks.local
#
 fabric member-auto-update software enable
#
radius scheme system
radius scheme CAMS
 server-type huawei
 primary authentication 192.168.254.254
 primary accounting 192.168.254.254
 accounting optional
 key authentication cipher *****
 key accounting cipher *****
 accounting-on enable
#
domain cams
 scheme radius-scheme CAMS
 authentication radius-scheme CAMS
 accounting radius-scheme CAMS
 access-limit enable 172
domain system
#
local-user test
 password cipher *****
 service-type telnet
 level 3
#
 stp instance 0 priority 12288
 stp timer forward-delay 700
 stp timer max-age 1000
 stp bpdu-protection
 stp enable
#
vlan 1 to 128
#
vlan 777
#
interface Vlan-interface777
 ip address 192.168.254.7 255.255.255.0
#
 ntp-service source-interface Vlan-interface777
 ntp-service unicast-server 192.168.254.234
 ntp-service unicast-server 192.168.254.236
#
interface Aux1/0/0
#
interface GigabitEthernet1/0/1
 poe enable
 stp edged-port enable
 MAC-authentication
#
interface GigabitEthernet1/0/21
 poe enable
 stp disable
 port link-type trunk
 port trunk permit vlan all
 description WiFi-(ip60)
#
interface GigabitEthernet1/0/22
 poe enable
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 shutdown
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/23
 poe enable
 stp disable
 port access vlan 113
 description Ambulance-SERVER
#
interface GigabitEthernet1/0/24
 poe enable
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 shutdown
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/25
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 description to SW-D-2A-1_2-3
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/26
 stp loop-protection
 stp no-agreement-check
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 777
 description to SW-D-2A-1_2-4
 lacp enable
 port link-aggregation group 7
#
interface GigabitEthernet1/0/27
 stp disable
 port link-type trunk
 port trunk permit vlan all
 shutdown
#
interface GigabitEthernet1/0/28
 stp disable
 shutdown
 port access vlan 113
#
interface Cascade1/2/1
#
interface Cascade1/2/2
#
interface NULL0
#
 management-vlan 777
#
pim
#
 voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Unknown-VoIP
 voice vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000 description Avaya_VoIP
 voice vlan mac-address 001b-4f00-0000 mask ffff-ff00-0000 description Avaya_VoIP-2
 voice vlan mac-address 0021-2900-0000 mask ffff-ff00-0000 description LinksysPAP-VoIP-FAX
 voice vlan mac-address 0050-6000-0000 mask ffff-ff00-0000 description TANDBERG
 voice vlan 120 enable
#
 ip route-static 0.0.0.0 0.0.0.0 192.168.254.234 preference 60
#
 snmp-agent
 snmp-agent local-engineid 800007DB000FE23170816877
 snmp-agent community write private
 snmp-agent sys-info version all
 snmp-agent group v3 ADMIN write-view internet
 snmp-agent target-host trap address udp-domain 192.168.254.90 udp-port 5000 params securityname ***** v3
 snmp-agent mib-view included internet internet
 snmp-agent usm-user v3 ADMIN ADMIN
#
user-interface aux 0 7
 authentication-mode scheme
 history-command max-size 50
 idle-timeout 0 0
user-interface vty 0 4
 authentication-mode scheme
 user privilege level 3
 history-command max-size 50
 idle-timeout 0 0
#
return

s5300 - в отличии от s5600 имеет независимые от медного эзернета оптические модули несколькх видов: это могут быть и 4х1G SFP или 1, 2х10G SFP+, так же есть плата стэкирования позволяющая объединять до 8ми коммутаторов в стэк. Нюанс - если одновременно вставлена плата с 4х1G SFP и плата стэкирования - колчиство рабочих портов SFP сокращается с 4х до 2х. В отличии от s5600 вместо одного блока питания сделано 2 универсальных, подходящих под любые коммутаторы данного вендора, правда есть нюанс - полноценное PoE всех портов могут обеспечить только 2 БП, если работает только один - количество портов с PoE уменьшается в 2 раза, но если у Вас половина портов компьютеры не нуждающиеся в PoE, то проблем быть не должно.

Код

#
!Software Version V100R005C01SPC100
 sysname SW-A-1-7-5300-(ip13)
#
 dns resolve
 dns server 192.168.254.234
 dns domain sks.local
#
 voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Unrnown-VoIP
 voice-vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000 description Avaya_VoIP
 voice-vlan mac-address 0021-2900-0000 mask ffff-ff00-0000 description LinksysPAP-VoIP-FAX
 voice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phone
 voice-vlan mac-address 000f-e200-0000 mask ffff-ff00-0000 description H3C Aolynk phone
 voice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000 description Pingtel phone
 voice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phone
 voice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3Com phone
 voice-vlan mac-address 001b-4f00-0000 mask ffff-ff00-0000 description Avaya_VoIP-2
 voice-vlan mac-address 0050-6000-0000 mask ffff-ff00-0000 description TANDBERG
 voice-vlan mac-address b447-5e00-0000 mask ffff-ff00-0000 description Avaya_VoIP-3
 voice-vlan mac-address 8483-7100-0000 mask ffff-ff00-0000 description Avaya_VoIP-4
#
 vlan batch 2 to 254 310 333 777 999
#
 stp instance 0 priority 20480
 stp timer forward-delay 700
 stp timer max-age 1000
 stp bpdu-protection
 stp pathcost-standard legacy
 stp enable
 stp converge fast
#
 gvrp
#
 multicast routing-enable
#
 domain cams
#
 igmp-snooping enable
 igmp-snooping send-query enable
#
 mld-snooping enable
#
 poe high-inrush enable slot 0
#
 cluster enable
 ntdp enable
 ndp enable
#
 mac-authen
 mac-authen domain cams
#
 lldp enable
#
 http server load flash:/s5300ei-v100r005c01spc100.web.zip
#
radius-server template cams
 radius-server shared-key simple *****
 radius-server authentication 192.168.254.254 1812
 radius-server accounting 192.168.254.254 1813
 radius-server traffic-unit mbyte
 radius-server attribute translate
radius-server authorization 192.168.254.254 shared-key simple ***** server-group cams
#
hwtacacs-server template cams
 hwtacacs-server authentication 192.168.254.254
 hwtacacs-server authorization 192.168.254.254
 hwtacacs-server accounting 192.168.254.254
 hwtacacs-server shared-key *****
#
traffic classifier SKS operator or
 if-match vlan-id 2 to 119
#
traffic behavior SKS
 permit
 statistic enable
 car cir 850000 pir 850000 cbs 106250000 pbs 106250000 green pass remark-8021p 5 yellow pass remark-8021p 7 red discard
#
traffic policy SKS
 classifier SKS behavior SKS
#
vlan 120
 description VoIP VLAN 120
vlan 310
 description EROS
vlan 777
 description NOC
#
aaa
 authentication-scheme default
 authentication-scheme cams
  authentication-mode radius hwtacacs
 authorization-scheme default
 authorization-scheme cams
  authorization-mode  if-authenticated hwtacacs
 accounting-scheme default
 accounting-scheme cams
  accounting-mode radius
  accounting realtime 10
  accounting start-fail online
  accounting interim-fail max-times 255 online
 recording-scheme cams
  recording-mode hwtacacs cams
 service-scheme cams
 domain default
 domain default_admin
 domain cams
  authentication-scheme cams
  accounting-scheme cams
  authorization-scheme cams
  service-scheme cams
  radius-server  cams
  hwtacacs-server cams
 local-user test password simple *****
 local-user test privilege level 3
 local-user test service-type telnet terminal ssh ftp web bind http
 undo local-user admin
#
 ntp-service source-interface Vlanif777
 ntp-service unicast-server 192.168.254.234
 ntp-service unicast-server 192.168.254.236
#
interface Vlanif777
 description NOC
 ip address 192.168.254.13 255.255.255.0
#
interface MEth0/0/1
 description For-Admin-Nout-ONLY
 ip address 10.10.10.13 255.255.255.0
#
interface Eth-Trunk0
 port link-type trunk
 port trunk pvid vlan 777
 port trunk allow-pass vlan 2 to 4094
 stp no-agreement-check
 stp loop-protection
 mode lacp-static
 ntdp enable
 ndp enable
 bpdu enable
#
interface GigabitEthernet0/0/1
 description Andrey-phone-komp
 voice-vlan 120 enable
 voice-vlan legacy enable
 stp edged-port enable
 ntdp enable
 bpdu enable
 mac-authen
 mac-authen guest-vlan 126
#
interface GigabitEthernet0/0/2
 description WiFi-Eudemon-ip99
 port link-type trunk
 port trunk pvid vlan 777
 port trunk allow-pass vlan 2 to 4094
 stp no-agreement-check
 stp root-protection
 ntdp enable
#
interface GigabitEthernet0/0/11
 description Canon Z1
 port link-type access
 port default vlan 31
 stp disable
 ntdp enable
 bpdu enable
#
interface GigabitEthernet0/0/48
 description UPS-1-7-(ip117)
 port link-type access
 port default vlan 777
 stp disable
 ntdp enable
 bpdu enable
#
interface GigabitEthernet0/1/1
 eth-trunk 0
#
interface GigabitEthernet0/1/2
 eth-trunk 0
#
interface GigabitEthernet0/1/3
#
interface GigabitEthernet0/1/4
#
interface NULL0
#
 ip route-static 0.0.0.0 0.0.0.0 192.168.254.234 preference 1 description Default-NOC-Router
#
 snmp-agent
 snmp-agent local-engineid 800007DB000FE22E44406877
 snmp-agent community write private
 snmp-agent sys-info contact Andrey E. Smirnov tel#5959 & +7-904-3336622
 snmp-agent sys-info location kab.40
 snmp-agent sys-info version all
 snmp-agent group v3 ADMIN write-view internet
 snmp-agent target-host trap  address udp-domain 192.168.254.90 udp-port 5000 params securityname ***** v3
 snmp-agent mib-view included internet internet
 snmp-agent usm-user v3 ADMIN ADMIN
#
 ssh authentication-type default password
 ssh user test
 ssh user test authentication-type all
 ssh user test service-type all
 ssh user test authorization-cmd aaa
#
user-interface con 0
 idle-timeout 0 0
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
 protocol inbound all
#
return

Так же могу выложить конфиги от s6506R коммутатор уровня ядра и s6700 - оптический коммутатор.

Вернуться к обсуждению:
Примеры конфигов Huawei s5600 и s5300(s5700) с MAK-авторизацией Huawei

Следующий ответ

Другие темы раздела
Huawei Huawei s5300 некорректно работает AAA в версии прошивки v200 https://www.cyberforum.ru/ huawei/ thread1733709.html У меня коммутаторы доступа huawei серий s5600, s5300. Причём s5300 с разными прошивками в связи с чем появилась проблема с ааа. Недавно наша организация приобрела коммутатор Huawei Quidway S5352C-PWR-EI VRP (R) software, Version 5.130 (S5300 V200R003C00SPC300), он был сконфигурирован по аналогии с приобретённым ранее таким же коммутатором Quidway S5352C-PWR-EI VRP (R) software, Version 5.70...	HG532 e Можно ли как нибудь тут ограничить скорость скачки и выгрузки на определённый порт? Huawei Можно ли как нибудь тут ограничить скорость скачки и выгрузки на определённый порт? Пробовал через QoS чёт неполучилось О.о
Huawei AR2240 Настройка GE порта для интернета Всем привет. Имеется роутер Huawei AR2240. Имеется интрернет уже готовым подключенным к интернуту со статик IP. (IP, Gateway, DNS1, DNS2) хочу поднять в GE0/0/0 порте. Кто может помочь? Как правильно прописать к порту? https://www.cyberforum.ru/ huawei/ thread1705788.html	Huawei DHCP Relay на huawei s5700 https://www.cyberforum.ru/ huawei/ thread1694645.html Подскажите пожалуйста возможен ли такой финт: Вся сеть 172.30.0.0/16 Хочу за счёт Relay в один сегмент выдавать адреса с 172.30.7.1 по 172.30.7.254 (маска /16) в другой сегмент выдавать адреса 172.30.67.1 по 172.30.67.254 (маска /16) 1. Включаю dhcp сервер 2. Создаю pool 1 (первый диапазон) network ????? netmask ???
Huawei Web интерфейс на коммутаторе Huawei S5700-28TP-LI-AC Версия встроенного ПО V200R006C00SPC500. На сайте support.huawei.com для данной версии ПО файла web интефейса в разделе V200R006 подраздел C00SPC500 нет. Файл web интерфейса есть только для коммутаторов S5700EI-V100R005.008 в разделе Quidway подраздела V100R005. Он совместим с ПО V200R006C00SPC500? Или где же искать файл web интерфейса, если его нет на офф.сайте?	Huawei Связь коммутатора Huawei S1700 серии с ADAM 6521 по оптике Имеем следующие оборудование: с одной стороны ADAM 6521 со следующими хар-ками: Порты: 4 x RJ-45, 1 x SC type fiber connector (многомод) Стандарты: IEEE 802.3, IEEE 802.3u, 802.3x LAN: 10/100Base-T, 100Base-FX с другой Huawei S1728-GWR-4P-AC Порты: 24 Ethernet 10/100/1000 ports,4 Gig SFP Вопрос: Какой трансивер вставить в SFP-разъем, что бы Адам договорился с Хуавеем по оптике? (сейчас... https://www.cyberforum.ru/ huawei/ thread1687292.html
Huawei Настройка свитчей HUAWEI (примеры) 1. Настройка свитчей HUAWEI для аутентикации по SSH на радиус-сервере c откатом на локальную базу пользователей Недавно столкнулся с такой задачей на практике, вот и решил выложить свое подробное решение с описанием команд на примере. Пробовал на L2 свитчах Huawei cерии S2300 (Quidway S2309TP-SI/EI, S2318TP-SI/EI, S2326TP-SI/EI, S2352P-EI) Настройка свитча #входим в режим глобальной... https://www.cyberforum.ru/ huawei/ thread1683196.html	Huawei Настройка модема Huawei Уважаемые админы в связи с выходм из строя модема tplink возникла проблема доступа к интернету, но есть модем Huawei для ADSL от Укртелекома, можно ли его каким - либо образом настроить для раздачи кабельного интернета, там есть 4 порта RJ45. Заранее спасибо за ответ.
Huawei Как открыть порты!? Умоляю подскажите! Как открыть порты на модеме МТС?! Помогите пожалуйста!!! Модель модема Huawei 3372S. https://www.cyberforum.ru/ huawei/ thread1668170.html	Huawei HG8245T - возможно ли поменять пароль админа https://www.cyberforum.ru/ huawei/ thread1665647.html Здравствуйте! Живу в общаге, есть интернет от Ростелекома (через huawei HG8245T). На оплату тарифа скидываются 4 человека (в том числе и я). Схема проста: платишь - получаешь пароль от Wi-Fi точки. Сейчас я выяснил, что подключившись к точке, можно спокойно войти в личный кабинет (используя дефолтные пароли) и там же поменять пароль для точки доступа. В связи с этим есть вопрос: как можно...
Настройка Huawei AR150 Huawei День добрый! Хотел бы узнать, может кто сталкивался с подобной проблемой?! Получил новенький Huawei AR151, начал настройку - прописал пользователя, настроил интерфейсы. Но эта железка на интерфейсы не пингуется, только на vianif. По нему ответ приходит, но попасть телнетом не могу. Подключаю консоль пытаюсь зайти по созданному пользователю, ничего подобного, только пускает по пользователь по...	Huawei Выдавать IP по МАС-адресу. Huawei HG232f https://www.cyberforum.ru/ huawei/ thread1661019.html Как в роутере Huawei HG232f настроить выдачу IP для устройства по MAC-адресу?

	16.05.2016, 09:23