所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-设备管理

本文档介绍了设备管理的配置,具体包括查看设备状态、 硬件管理、 堆叠配置、 SVF配置、 云管理、 PoE配置、 监控口配置、 OPS配置、 节能管理、 信息中心配置、 故障管理配置、 NTP配置、 以太时钟同步配置、 PTP配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Parent

配置Parent

配置流程

Parent可以选取一台独立的设备,也可以是一个集群/堆叠系统。为了保证SVF系统的高可靠性,建议Parent使用集群/堆叠系统,集群具体配置可参见框式交换机《配置指南-设备管理》中的“集群配置”;堆叠具体配置可参见盒式交换机《配置指南-设备管理》中的“堆叠配置”。Parent选取好之后,需要在Parent上进行如下配置。建议按照顺序进行配置。

配置使能Parent的SVF功能的前提条件

背景信息

在使能Parent的SVF功能前,为了使得Parent和AS之间可以建立CAPWAP链路,在Parent上需要做如下配置:
  • 配置管理VLAN,管理VLAN是Parent与AS二层通信的前提之一。
  • 配置DHCP地址池,为AS分配IP地址。
  • 配置CAPWAP源接口。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令as-mode disable,将设备的工作模式切换为Parent模式。

    如果选取S6720SI、S6720S-SI、S6720EI或S6720S-EI作为Parent,需要先将设备的工作模式切换为Parent模式。缺省情况下,设备工作在AS模式。

  3. 执行命令vlan batch vlan-id,创建SVF的管理VLAN。管理VLAN不允许配置为VLAN 1和VLAN 4093。
  4. 配置DHCP地址池。
    1. 执行命令dhcp enable,使能Parent的DHCP功能。
    2. 执行命令interface vlanif vlan-id,创建VLANIF接口并进入VLANIF接口视图。

      vlan-id必须与管理VLAN的vlan-id一致。

    3. 执行命令ip address ip-address { mask | mask-length },配置VLANIF接口的IP地址。该地址也会作为建立CAPWAP链路的源地址。
    4. 执行命令dhcp select interface,使能接口采用接口地址池的DHCP服务器功能。
    5. (可选)执行命令dhcp server option 43 ip-address ip-address,配置通过Option 43将Parent的IP地址发送给AS。

      可通过Option 43直接将Parent的IP地址发送给AS,该IP地址必须与步骤c配置的IP地址相同。

      如果不配置Option 43,则AS将通过广播的方式获取Parent的IP地址。如果配置了Option 43,AS只会与指定的IP地址建立CAPWAP链路,不会采用广播的方式获取Parent的地址。建议用户配置Option 43将Parent的IP地址发送给AS,以提高业务的可靠性。

    6. 执行命令quit,退出VLANIF接口视图。
  5. 执行命令capwap source interface vlanif vlan-id,配置Parent与AS建立CAPWAP链路的源接口。

    vlan-id必须与管理VLAN的vlan-id一致。

    说明:

    不建议用户在SVF的管理VLAN及对应的VLANIF下配置其它业务,否则可能导致AS或AP无法正常上线。

    配置多个源接口和SVF功能互斥,如果SVF功能开启,则只能配置一个源接口。

使能Parent的SVF功能

背景信息

缺省情况下Parent的SVF功能是去使能的,需要执行命令使能。使能前,作为Parent的设备还需要检查设备上部分功能配置情况,是否达到SVF使能要求,如果未达到要求,相应功能需要通过命令行配置成SVF所需状态。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 检查设备上的部分功能是否达到SVF使能要求。

    SVF使能需要达到的状态

    如何检查

    未达到状态需要配置的命令

    NAC模式为统一模式

    缺省情况下,NAC配置模式为统一模式。

    在使能SVF功能时,系统当前及下次启动生效的NAC配置模式必须为统一模式。用户可以通过命令display authentication mode查看当前及下次启动生效的NAC配置模式,如果是统一模式,则不需要执行本步骤;如果不是统一模式,则需要配置为统一模式。

    切换NAC的配置模式后,需要保存配置后重启设备才能生效。

    authentication unified-mode

    生成树协议工作模式为STP或RSTP模式

    缺省情况下,生成树协议工作模式为MSTP模式。

    在使能SVF功能时,系统的生成树协议工作模式必须为STP或RSTP模式。用户可以通过命令display stp查看当前生成树协议工作模式,如果是STP或RSTP模式,则不需要执行本步骤;如果不是STP或RSTP模式,则需要配置生成树协议工作模式为STP或RSTP模式。

    stp mode { rstp | stp }

    STP/RSTP的端口路径开销计算方法为IEEE 802.1t(dot1t)标准方法。

    缺省情况下,STP/RSTP的端口路径开销计算方法为IEEE 802.1t(dot1t)标准方法。

    在使能SVF功能时,STP/RSTP的端口路径开销计算方法必须为缺省值。用户可以通过命令display stp查看当前端口路径开销计算方法,如果是缺省值,则不需要执行本步骤;如果不是缺省值,则需要恢复端口路径开销计算方法为缺省值。

    undo stp pathcost-standard

    设备在透传网络中的角色为customer(仅框式交换机作为Parent时,需要检查此项)

    缺省情况下,设备在透传网络中的角色为customer

    在使能SVF功能时,设备在透传网络中的角色必须为缺省值。用户可以通过命令display bpdu-tunnel global config查看当前设备角色,如果是缺省值,则不需要执行本步骤;如果不是缺省值,则需要恢复设备角色为缺省值。

    undo bpdu-tunnel stp bridge role provider

    设备未配置MSTP进程

    用户可通过命令display current-configuration查看是否存在MSTP进程配置,如果存在,需执行该步骤删除配置,不存在则不需要执行本步骤。

    undo stp process process-id

    设备未配置远端授权功能

    缺省情况下,系统没有配置远端授权功能。

    在使能SVF功能时,系统不能已配置远端授权功能。用户可以通过命令display current-configuration查看当前是否已配置了远端授权功能,如果未配置,则不需要执行本步骤;如果已配置,则需要删除远端授权功能。

    • 执行命令aaa,进入AAA视图。
    • 执行命令service-scheme service-scheme-name,进入业务方案视图。
    • 执行命令undo remote-authorize,删除远端授权功能。

  3. 执行命令uni-mng,使能SVF功能并进入uni-mng视图。

    缺省情况下,SVF功能处于未使能状态。

  4. (可选)执行命令topology explore [ interval interval ],配置SVF网络拓扑定时收集的周期。

    缺省情况下,拓扑定时收集的周期为10分钟。如果不指定参数interval interval,则立即触发一次拓扑收集。

    用户可根据SVF网络稳定程度调整拓扑收集的周期长短。网络拓扑较稳定时,可增大收集周期或关闭定时收集;反之可适当减小收集周期。

配置Fabric-port(Parent侧)

背景信息

Parent与一级AS通过Fabric-port相连,跨网络连接时,Parent侧的Fabric-port需配置Fabric-port为非直连模式,而且Fabric-port和Eth-Trunk口绑定后,Eth-trunk接口下二层管理VLAN互通所需配置均要通过手工配置完成,而直连情况下则可以自动生成。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令interface fabric-port port-id,创建Fabric-port并进入Fabric-port视图。
  4. 执行命令port connect-type indirect,配置Fabric-port为非直连模式。

    缺省情况下,Fabric-port为直连模式。

  5. 执行命令port member-group interface eth-trunk trunk-id,为Fabric-port绑定Eth-Trunk。

    在为Fabric-port绑定Eth-Trunk时,该Eth-Trunk必须是尚未被创建的Eth-Trunk。Fabric-port绑定Eth-Trunk时系统会自动创建该Eth-Trunk。

  6. (可选)执行命令description description,配置Fabric-port的描述信息。

    缺省情况下,未配置Fabric-port的描述信息。

    为了便于管理和识别Fabric-port,用户可以配置Fabric-port的描述信息。例如可以描述某个Fabric-port连接的AS名称。

  7. 执行命令quit,退出Fabric-port视图。
  8. 执行命令quit,退出uni-mng视图。
  9. 执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。该Eth-Trunk为步骤5中绑定的Eth-Trunk,在Eth-Trunk接口配置如下二层管理VLAN互通所需命令。

    配置步骤

    命令

    说明

    配置接口的链路类型为Hybrid

    port link-type hybrid

    -

    配置接口加入管理VLAN

    port hybrid tagged vlan vlan-id

    -

    使能根保护功能

    stp root-protection

    -

    配置当前端口为非边缘端口

    stp edged-port disable

    -

    去使能接口对其所属VLAN的环路检测(仅框式设备支持)

    loop-detection disable

    -

    配置接口作为控制点

    authentication control-point open

    -

    配置Eth-Trunk工作模式为LACP模式

    mode lacp

    是否需要配置Eth-Trunk工作模式为LACP模式,取决于与Parent上非直连Fabric-port中的成员端口相连的二层网络接口是否配置了Eth-Trunk工作模式为LACP模式。两端配置必须一致。

  10. 执行命令quit,退出Eth-Trunk接口视图。
  11. 执行命令interface interface-type interface-number,进入接口视图。
  12. 执行命令eth-trunk trunk-id,将当前接口加入Eth-Trunk。

    • 用户可以多次重复执行上述两个步骤,将多个接口加入Eth-Trunk。

    • 将处于Up状态的成员接口退出Fabric-port时,需要先在接口视图下执行命令shutdown关闭该接口。

    • 当接口加入Parent的下行Fabric-port时,会进入阻塞状态,当与对端接口协商成功后,将解除阻塞状态。

检查配置结果
  • 执行命令display uni-mng interface fabric-port configuration [ parent | as name as-name ],查看Fabric-port的配置信息。

  • 执行命令display uni-mng interface fabric-port [ port-id ] state,查看Fabric-port的状态信息。

预配置AS名称

背景信息

为了便于标识和管理AS,用户可以为AS配置名称,使用该名称唯一标识该AS。

如果不配置AS的名称,则在AS接入SVF后,默认使用其“系统默认名称-设备的MAC地址”作为AS名称。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令as name as-name model as-model mac-address mac-address,配置AS的名称。

    缺省情况下,AS上线后使用其“系统默认名称-设备的MAC地址”作为名称。

    请确保配置的model as-model以及mac-address mac-address参数与设备实际信息一致。

    如果AS上线前不预配置AS名称,用户也可以在AS上线后通过该命令修改AS的名称,此时,需要AS满足以下条件:

    • 未与任何业务模板配置绑定。
    • 未加入到任何AS Group中。
    • AS的端口未加入到任何Port Group中。

配置AS接入认证

背景信息

缺省情况下,AS需要经过认证才可以上线接入SVF。SVF通过黑、白名单对AS进行认证,在黑名单中的AS不可以接入SVF,在白名单中的AS可以接入SVF。对于既不在白名单中也不在黑名单中的AS,该AS不能通过认证。此时需要用户手动执行命令confirm { all | mac-address mac-address }对允许认证通过的AS进行确认。

用户也可以设置不对AS进行认证,这样无论AS是否在黑、白名单中都可以上线接入SVF。不认证存在安全风险,建议采用认证方式。

操作步骤

  • 配置AS接入SVF时需要认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令as-auth,进入AS认证视图。
    3. 执行命令undo auth-mode,配置AS接入SVF时需要认证。

      缺省情况下,AS接入SVF时需要进行认证。

    4. 执行命令blacklist mac-address mac-address1 [ to mac-address2 ],配置AS认证的黑名单,最多允许配置的黑名单数量为128。
    5. 执行命令whitelist mac-address mac-address1 [ to mac-address2 ],配置AS认证的白名单,最多允许配置的白名单数量为512。

      对于既不在白名单中也不在黑名单中的AS,可以通过命令confirm { all | mac-address mac-address }对允许认证通过的AS进行确认。

  • 配置AS接入SVF时不需要认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令as-auth,进入AS认证视图。
    3. 执行命令auth-mode none,配置AS接入SVF时不需要认证。

      缺省情况下,AS接入SVF时需要进行认证。

检测配置结果
  • 执行命令display as blacklist,查看黑名单信息。

  • 执行命令display as whitelist,查看白名单信息。

  • 执行命令display as unauthorized record,查看没有通过认证的AS。

  • 执行命令display uni-mng unauthen-user,查看AS上的不认证用户信息。

  • 执行命令display uni-mng unauthen-user offline-record,查看AS上的不认证用户的下线记录。

(可选)配置CAPWAP隧道加密

背景信息

Parent与AS之间通过CAPWAP隧道进行管理报文的传输,为了更好的保证隧道的私密性和安全性,用户可以选择对CAPWAP隧道进行DTLS(Datagram Transport Layer Security)加密,也可以修改加密敏感信息的共享加密密钥或配置CAPWAP报文完整性校验预共享密钥。

Parent与AS之间支持通过预共享密钥的方式对CAPWAP隧道进行加密,即Parent上和AS上分别预置一个密钥,当Parent与AS的预共享密钥吻合时,就可以成功协商并建立CAPWAP隧道。

说明:

使能了DTLS隧道加密功能后,由于Parent与AS的CPU需要参与DTLS加密计算,AS上线性能会有所下降,因此建议仅在机密性要求非常高的场景,才使用DTLS加密功能。

操作步骤

  • 在Parent上配置预共享密钥
    1. 执行命令system-view,进入系统视图。
    2. 执行命令capwap dtls psk psk-value,配置Parent的预共享密钥。

      缺省情况下,DTLS加密使用的预共享密钥为huawei_seccwp

    3. (可选)执行命令capwap dtls psk-mandatory-match enable,配置允许AS以默认预共享密钥与Parent进行DTLS会话。

      缺省情况下,不允许AS以默认的预共享密钥与Parent进行DTLS会话。

      允许AS以默认的预共享密钥与Parent进行DTLS会话时,AS会首先以as access dtls psk psk-value命令配置的密钥与Parent进行DTLS会话,如果不成功则再使用缺省的密钥与Parent进行DTLS会话(此时Parent也会使用缺省的密钥)。

    4. 执行命令capwap dtls control-link encrypt,使能CAPWAP隧道DTLS加密功能。

      缺省情况下,CAPWAP隧道DTLS加密功能处于未使能状态。

    5. (可选)执行命令capwap sensitive-info psk psk-value,修改加密敏感信息的共享加密密钥。

      缺省情况下,使用设备默认的敏感信息加密密钥。

    6. (可选)执行命令capwap message-integrity psk psk-value,配置CAPWAP报文完整性校验预共享密钥。

      缺省情况下,没有配置CAPWAP报文完整性校验预共享密钥。

      说明:
      • Parent和AS不能同时支持HA功能和CAPWAP隧道DTLS加密功能。如果同时开启这两个功能,当Parent发生主备倒换时,AS需要等待原来的CAPWAP链路自动老化后,才能重新建立新的CAPWAP链路,在此过程中AS业务会中断;当AS发生主备倒换时,AS会重建立链路并上线,在此过程中AS业务也会中断。

      • 当Parent切换CAPWAP隧道DTLS加密功能、修改加密敏感信息的共享加密密钥或配置CAPWAP报文完整性校验预共享密钥时,已经上线接入的AS会重新启动。

      • 当有AS正在升级时,Parent不可以切换CAPWAP隧道DTLS加密功能、修改加密敏感信息的共享加密密钥或配置CAPWAP报文完整性校验预共享密钥。

  • 在AS上配置预共享密钥
    1. 执行命令as access dtls psk psk-value,配置AS的预共享密钥。

      缺省情况下,DTLS加密使用的预共享密钥为huawei_seccwp

      说明:

      在Parent使能了CAPWAP隧道DTLS加密功能且AS已上线接入的情况下,当在Parent上修改密钥时,该密钥会自动下发至AS。建议用户不要在10分钟内重复修改密钥。

(可选)预扩展AS堆叠ID

背景信息

当AS为多台成员设备堆叠时,缺省情况下,系统只预配置了值为0的堆叠ID,在预配置该AS的业务时,只能配置堆叠ID为0的成员设备的业务。若需要预配置其它成员设备的业务,就需要先为AS中的成员设备预配置堆叠ID。

预配置的堆叠ID并不会对实际接入的堆叠ID产生影响。例如用户预配置的堆叠ID为0(缺省)、1,但是实际AS接入的堆叠系统的堆叠ID为0、2。此时堆叠ID不会改变,依然为0、2,只是堆叠ID为2的设备上没有配置业务。

AS支持同一系列不同款型的设备混堆,当堆叠系统中有不同的款型的设备时,用户可以指定replace-model参数将该成员的设备类型改为与实际接入设备一致。如果不单独指定某成员的设备类型,则该设备接入后,系统会自动匹配实际接入的设备类型。

说明:
  • 如果AS为单机设备但其堆叠ID不为0,且Parent上没有预配置该堆叠ID,则Parent在AS上线接入时会自动将其堆叠ID修改为0并重启。
  • 不支持堆叠的设备作为AS时,也可以在Parent上预配置堆叠ID,只是配置后不会生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令as name as-name,进入AS视图。
  4. 执行命令slot slot-id1 replace-model model-nameslot slot-id2 [ to slot-id3 ] [ replace-model model-name ],预配置AS堆叠ID或修改预配置的设备类型。

    缺省情况下,已预配置了值为0的堆叠ID。

(可选)配置AS上线时自动升级

背景信息

上线自动升级是指AS在上线过程中比较其与Parent的软件版本是否一致,如果不一致,则自动从Parent上查找并下载文件进行版本升级。

自动查找的原则是:优先查找V、R、C、SPC版本号相同的版本,如果没有该版本,则选择V、R、C版本号相同并且SPC版本号最高的版本。如果还是找不到满足条件的版本,则不进行版本升级,并且当AS与Parent的V、R或C版本号不一致时会发送版本升级失败告警。

说明:
  • 用于AS升级的文件一般要保存在Parent根目录的“unimng/”目录下。在升级或降级AS到与Parent软件版本一致的情况下,文件也可以保存在AS上。

  • 如果需要实现AS升级,则必须在Parent上配置FTP或SFTP服务器功能,使得AS可以从Parent上下载到相应的升级文件。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令uni-mng,进入uni-mng视图。
  3. 执行命令upgrade { local-ftp-server | local-sftp-server } username username password password,配置本地文件服务器。

    缺省情况下,Parent上没有配置本地文件服务器。

    说明:
    • 如果不配置本地文件服务器,则AS将无法从Parent下载升级文件,从而无法升级。

    • 使用FTP协议存在安全风险,建议使用SFTP。如果使用FTP协议,建议通过配置ACL提高安全性,配置方式参照S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-基础配置》 文件管理 中的“配置FTP访问控制”。

    • 当配置文件服务器类型为FTP时,Parent会自动使能FTP服务并创建FTP用户,无需用户再进行FTP相关的配置。

    • 当配置文件服务器类型为SFTP时,Parent不会自动使能SFTP服务或创建SFTP用户,需要用户预先手动配置Parent的SFTP功能。

      更多关于SFTP的配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-基础配置》 文件管理

    • 执行命令upgrade { local-ftp-server | local-sftp-server }后,该配置下的用户名和密码在AAA视图下也会有相应的配置,并且配置一致。如果用户在配置后修改了AAA视图下该本地用户信息(如用户密码),则会导致版本管理功能不可用。

    • 如果AAA视图下已经存在某用户信息,则不允许执行该命令创建相同的用户名。

    • 重复执行该命令创建新用户时,会将之前创建的用户信息删除。仅当当前执行命令的用户级别高于或等于AAA视图下对应的用户的级别时,才可以删除,否则不允许删除,命令将执行失败。

    • 如果设备上配置的AAA认证是远端认证,远端的认证服务器也需要包含通过此命令配置的用户名和密码信息。

  4. (可选)执行命令as type as-type { system-software system-software | patch patch } *,配置指定设备类型的AS升级时需要加载的文件。

    如果用户使用该命令指定了AS升级时需要加载的文件,则AS在上线接入时将以指定的文件进行升级,而不会再进行自动查找,即使此时Parent上存在匹配的系统软件版本。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038438

浏览量:34534

下载量:2041

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页