Данная статья будет полезна системным администраторам, планирующим работу с сетевым оборудованием Huawei, а также ИТ-специалистам, перед которыми стоит задача разработки собственных решений на базе стандартных платформ.
В нем будет подробно описано, как настроить устройство с помощью командной строки (CLI).
Я получил продукт от Huawei Enterprise — Huawei AR169W-P-M9 — для тестирования и изучения.
Как следует из описания на сайте производителя, это устройство сочетает в себе полный набор сервисов, включая маршрутизацию, коммутацию, безопасность и беспроводной доступ, а также содержит открытую сервисную платформу (OSP, которая по сути является компьютером x86), которая может обеспечить практически любой функционал, доступный на платформе x86. Если все упростить, то это полноценный маршрутизатор корпоративного уровня со встроенным гипервизором на базе архитектуры x86, и все это размером с толстую книгу.
Давайте рассмотрим устройство поближе.
Основные характеристики с сайта производителя ниже.
Рисунок 1
| 1 — USB-порт (хост) | 2 - Антенна Bluetooth |
| 3 — Две антенны Wi-Fi | 4 — Слот для доп.
Жесткий диск (HDD 2,5 дюйма) |
| 5 — Консольный порт | 6 — порт WAN 1GE Ethernet |
| 7 - порт WAN VDSL | 8 — LAN — 4-портовый коммутатор GE Thernet |
| 9 — Кнопка сброса | 10 — Разъём для питания портов PoE (100 Вт).
Не включено.
|
| 11 — Разъем для штатного блока питания (60 Вт) | 12 — Разъем для фиксации кабеля питания.
|
| 13 — Три USB-интерфейса (хост).
Выходная мощность каждого составляет 5 Вт. |
14 – VGA для подключения монитора.
|
| 15 — видеоинтерфейс HDMI | 16 - Разъем для наушников |
| 17 — Разъем микрофона | 18 — интерфейс RS485/232 |
| 19 — Интерфейс подключения Bluetooth-антенны | 20 – Название модели.
|
| 21 — Разъём для заземления | 22 — Две антенны Wi-Fi |
| Главный процессор устройства | Двухъядерный, 1 ГГц |
| Основная память устройства | 512 МБ |
| Системная память OSP | 8 ГБ |
| Вспышка основного устройства | 512 МБ |
| Жесткий диск HDD Система OSP (встроенная) | 64 ГБ |
| Процессорная система OSP | Intel Atom 1,9 ГГц, 4 ядра |
| Размеры (В x Ш x Г) | 44,5 мм х 300 мм х 220 мм |
| Wi-Fi | 802.11b/g/n + 802.11ac |
| Производительность пересылки услуг (IMIX) | 150 Мб/сек.
|
| Масса | 2,8 кг.
|
| Питание | 100 В – 240 В |
| Базовый функционал | Управление ARP, DHCP, NAT и дополнительным интерфейсом |
| WLAN (AP – точка доступа FAT) | Управление точками доступа, качество обслуживания WLAN, безопасность WLAN, управление радиосвязью WLAN и управление пользователями WLAN (только модели WLAN поддерживают функции точки доступа WLAN) |
| WLAN (AC – контроллер точки доступа) | Управление точками доступа (обнаружение AC/доступ к точкам доступа/управление точками доступа), CAPWAP, управление пользователями WLAN, управление радиосвязью WLAN (802.11a/b/g/n), качество обслуживания WLAN (WMM) и безопасность WLAN (WEP/WPA/WPA2/ключ).
управление) |
| локальная сеть | IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, управление VLAN, управление MAC-адресами, MSTP и т. д. |
| Одноадресная маршрутизация IPv4 | Политика маршрутизации, статический маршрут, RIP, OSPF, IS-IS и BGP. |
| Одноадресная маршрутизация IPv6 | Политика маршрутизации, статический маршрут, RIPng, OSPFv3, IS-Isv6 и BGP4+.
|
| Многоадресная рассылка | IGMP v1/v2/v3, PIM SM, PIM DM и MSDP |
| VPN | IPSec VPN, GRE VPN, DSVPN, L2TP VPN и Smart VPN |
| качество обслуживания | Режим Diffserv, сопоставление приоритетов, политика трафика (CAR), формирование трафика, предотвращение перегрузок (на основе приоритета IP/DSCP WRED), управление перегрузками (интерфейс LAN: SP/WRR/SP + WRR; интерфейс WAN: PQ/CBWFQ), MQC (классификация трафика, поведение трафика и политика трафика), иерархическое качество обслуживания и интеллектуальный контроль приложений (SAC) |
| Безопасность | ACL, межсетевой экран, аутентификация 802.1x, аутентификация AAA, аутентификация RADIUS, аутентификация HWTACACS, подавление широковещательного шторма, безопасность ARP, защита от атак ICMP, URPF, CPCAR, черный список, отслеживание IP-источников и PKI |
| Управление и обслуживание | Управление обновлениями, управление устройствами, графический веб-интерфейс, GTL, SNMP v1/v2c/v3, RMON, NTP, CWMP, автоматическая настройка, развертывание сайта с помощью USB-диска и интерфейс командной строки.
|
Рис.
2 Как видите, устройство условно состоит из двух частей:
- MCU — это основное устройство маршрутизатора серии Huawei AR. И на самом деле оно ничем от него не отличается; В этом устройстве доступен весь функционал роутеров этой серии.
- OSP — платформа открытой системы — по сути представляет собой компьютер x86, на котором установлен гипервизор QEMU. Взаимодействует с MCU через виртуальный коммутатор (vSwitch).
В командной строке MCU мы увидим устройство как отдельный интерфейс (я постарался отразить это на блок-схеме как отдельную ссылку на логический маршрутизатор).
Управление гипервизором также осуществляется из командной строки роутера, что на мой взгляд не очень удобно.
Возможно, в будущем это изменится и настраивать OSP можно будет с помощью клавиатуры и монитора или через WEB-интерфейс.
- Модуль Wi-Fi (802.11b/g/n + 802.11ac)
- Все возможные порты для взаимодействия с внешним миром (описаны выше).
Рис.
3 На рисунке 3 представлена принципиальная схема подключения дополнительного офиса к основному.
Устройство в дополнительном офисе решает задачу выхода в Интернет, раздачи Wi-Fi, обеспечения IP-телефонии, коммутации четырех устройств, а также до двух серверов для задач, которые необходимо решать локально.
Второй вариант: 
Рис.
4 Решение для общественного транспорта.
Устройство будет раздавать пассажирам интернет, который он будет получать через 3G/4G, а также транслировать рекламу через интерфейс HDMI и подключенные к нему монитор и динамик.
Или, например, определив местоположение с помощью GPS, провести экскурсию для пассажиров.
Для этого, естественно, в гостевой ОС должно быть запущено соответствующее приложение.
Также стоит отметить, что для данного применения целесообразнее использовать промышленную версию серии AR 500, которая выполнена в специальном корпусе, защищающем устройство от тряски.
Я думаю, что есть много возможных применений; это первые, которые пришли мне на ум.
Основные настройки роутера.
Пароль по умолчанию для консоли (стандартные параметры консоли, например Cisco: 9600бод, без четности): Имя пользователя: admin Пароль: Admin@huawei (в некоторых ранних версиях VRP пароль может быть Admin@123, но в более новых версиях он такой же, как указано выше).
1) Прописываем IP-адрес для VlanInterface1, который по умолчанию содержит порты LAN-свитча GE0-GE4, а также маршрут по умолчанию:
2) Настройте SSH-доступ к устройству, сначала создав пользователя и сгенерировав ключи rsa:<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sysname AR169 [AR169]interface Vlanif1 [AR169-Vlanif1]ip address 172.31.31.77 255.255.255.0 [AR169-Vlanif1]quit [AR169]ip route-static 0.0.0.0 0.0.0.0 172.31.31.1
[AR169]rsa local-key-pair create
The key name will be: Host
RSA keys defined for Host already exist.
Confirm to replace them? (y/n):y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is less than 2048,
It will introduce potential security risks.
Input the bits in the modulus[default = 2048]:
Generating keys.
.
+++
.
+++
.
++++++++
.
++++++++
[AR169]user-interface vty 0 4
[AR169-ui-vty0-4]authentication-mode aaa
[AR169-ui-vty0-4]protocol inbound ssh
[AR169-ui-vty0-4]quit
[AR169]aaa
[AR169-aaa]local-user user1 password irreversible-cipher Pa$$w0rd
[AR169-aaa]local-user user1 privilege level 15
[AR169-aaa]local-user user1 service-type ssh http terminal
[AR169]ssh user user1 authentication-type password
3) Далее необязательный пункт – обновление ПО до последней версии.
Прежде чем приступить к работе с каким-либо устройством, настоятельно рекомендуется обновить программное обеспечение до последней версии.
Давайте проверим, какая версия ПО VRP сейчас установлена на роутере: [AR169]display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.160 (AR160 V200R007C00SPC600PWE)
Copyright (C) 2011-2016 HUAWEI TECH CO., LTD
Huawei AR169W-P-M9 Router uptime is 0 week, 0 day, 0 hour, 53 minutes
MPU 0(Master) : uptime is 0 week, 0 day, 0 hour, 53 minutes
SDRAM Memory Size : 512 M bytes
Flash 0 Memory Size : 512 M bytes
MPU version information :
1. PCB Version : ARSRU169AGW-L VER.D
2. MAB Version : 0
3. Board Type : AR169W-P-M9
4. CPLD0 Version : 0
5. BootROM Version : 1
SubBoard[1]:
1. PCB Version : AR-1OSPBT-D VER.B
2. Board Type : OSP-X86
Как видите, версия программного обеспечения VRP этого маршрутизатора — V200R007C00SPC600PWE. Условно его можно расшифровать как версия 200, выпуск 007, номер выпуска 00, пакет обновлений 600. Буквы PWE означают Payload без шифрования, что означает, что в данной версии ПО отключено стойкое шифрование с длиной ключа более 56 бит. Если этих букв нет в названии программы, то устройство будет поддерживать стойкое шифрование.
На момент написания последней доступной версией является V200R007C00SPC900, ее можно найти по адресу сайт производителя поиск по ключевым словам «АР 169 ОСП»: 
Если файл недоступен для скачивания (значок замка рядом с именем файла), вам следует обратиться к партнеру, у которого было приобретено оборудование.
Загрузите файл AR169-OSP-V200R007C00SPC900.cc и загрузите его на TFTP-сервер.
Для этих целей я использую бесплатный tftpd64 для Windows. Мой tftp-сервер расположен в той же сети, что и VLAN1 на маршрутизаторе.
Адрес tftp-сервера 172.31.31.250. Далее, чтобы скачать файл, нужно зайти в пользовательский режим (с треугольными скобками) и дать команду на скачивание файла с tftp-сервера: <AR169>tftp 172.31.31.250 get AR169-OSP-V200R007C00SPC900.cc
Файл должен начать загружаться во встроенную флэш-память.
После скачивания из того же режима проверим содержимое флешки командой dir и убедимся, что всё скачалось.
Далее, чтобы при следующей перезагрузке устройства была загружена новая версия ПО, нужно в том же пользовательском режиме подать команду с явным указанием этого нового файла: <AR169>startup system-software flash:/AR169-OSP-V200R007C00SPC900.cc
Далее после перезагрузки командой display version убедимся, что роутер загрузился с новой версией прошивки V200R007C00SPC900. 4) Перейдем к созданию виртуальной машины.
Виртуальная машина создается в интерфейсе CLI маршрутизатора в режиме виртуальной среды.
Для начала проверим, включен ли DHCP на виртуальных интерфейсах GE0/0/5 и GE0/0/6, соединяющих маршрутизатор и плату OSP. Для этого давайте посмотрим на конфигурацию всего устройства: [AR169]display current-configuration
…
interface GigabitEthernet0/0/5
ip address 192.168.2.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/6
description VirtualPort
ip address 192.168.3.1 255.255.255.0
dhcp select interface
#
Лишний выход я отключил, оставив только выход пятого и шестого интерфейсов.
Как видите, здесь включен DHCP-сервер, который будет раздавать IP-адреса из сетей /24 на эти интерфейсы.
В моем случае это было настроено по умолчанию, но если на этих интерфейсах не настроен DHCP (по крайней мере, в мануале так сказано), то следует его включить: [AR169]dhcp enable
[AR169]interface GigabitEthernet0/0/5
[AR169-GigabitEthernet0/0/5]dhcp select interface
[AR169-GigabitEthernet0/0/5]quit
[AR169]interface GigabitEthernet0/0/6
[AR169-GigabitEthernet0/0/6]dhcp select interface
Также на этом этапе вы можете изменить адреса вашей виртуальной сети, если эти адреса по каким-то причинам не подходят; в этом случае сетевые карты виртуальных машин будут находиться в одном адресном пространстве GigabitEthernet0/0/5, т.е.
в данном случае 192.168.2.0/24. Я оставлю все как есть.
Зачем нужно раздавать IP-адреса этому интерфейсу? Ниже представлена схема соединения маршрутизатора (MCU) и платы x86 (OSP): 
Рис.
5 Как видно из рисунка 5, GE5/0/0/5 — это интерфейс связи с MCU и OSP, и первый адрес, выданный через DHCP, должен будет получить интерфейс br0 виртуального коммутатора.
Проверим, какой адрес выдан из пула адресов интерфейса Gi0/0/5:
[AR169]display ip pool interface gigabitethernet0/0/5 used
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
192.168.2.1 192.168.2.254 253 1 252(0) 0 0
-----------------------------------------------------------------------------
Network section :
-----------------------------------------------------------------------------
Index IP MAC Lease Status
-----------------------------------------------------------------------------
253 192.168.2.254 34a2-a2fc-edd8 36112 Used
-----------------------------------------------------------------------------
Таким образом, адрес 192.168.2.254 будет основной точкой входа в нашу виртуальную среду; именно к этому адресу необходимо обратиться для перехода в режим виртуальной среды платы OSP следующей командой: [AR169]virtual-environment 192.168.2.254
В этом режиме вам предстоит скачать образ операционной системы с предустановленного ftp-сервера, а также создать и запустить виртуальную машину.
Я настроил FTP-сервер FileZilla на машине с адресом 172.31.31.250, подключенной к LAN-свитчу нашего устройства, т.е.
к VLAN1: 
Рис.
6 Важная заметка.
В моем случае маршрутизатор не является шлюзом по умолчанию для FTP-сервера, поэтому я вручную прописал статический маршрут к сети 192.168.2.0/24 через 172.31.31.77 на FTP-сервере.
На FTP-сервере есть пользователь user1, имеющий доступ к папке с образом Windows 8.1 — файлу с именем win81.iso. Давайте загрузим его в нашу виртуальную среду: [AR169]virtual-environment 192.168.2.254
[AR169-virtual-environment-192.168.2.254]download package win81.iso ftp ftp://172.31.31.250/win81.iso user user1 password cipher
Enter Password(<1-16>):
The download ratio is 100%.
Info: Package downloading finished.
Далее создаем пустой виртуальный диск размером 30Гб для будущей операционной системы: [AR169-virtual-environment-192.168.2.254]blank-disk name disk1 size 30
Создаем OVA-файл из ISO с параметрами нашей будущей виртуальной машины: [AR169-virtual-environment-192.168.2.254]ova file win81 iso win81.iso disk disk1 cpu 4 memory 2800 network-card 1 network-card-type virtio extend-description "-hdb /dev/external_disk"
Info: This operation will take several minutes, please wait.
Комментарии к параметрам команды файла ova: • Первым параметром будет имя созданного ova-файла без расширения, т.е.
win81; • Параметр iso — это наш файл win81.iso, который был загружен ранее; • Параметр disk — это имя диска, который мы создали с помощью команды пустого диска, т. е.
disk1. • ЦП – укажите количество процессоров от 1 до 4. • Память – объем оперативной памяти в гигабайтах, в данном случае 2800 МБ (если в предыдущей команде использовать расширение-описание, то больше памяти установить нельзя).
• Сетевая карта – количество сетевых карт виртуальной машины, в данном случае 1. • Тип сетевой карты – тип виртуальной карты, возможны три варианта: e1000, rpl8139 и virtio. Рекомендуемый тип для Windows — e1000. • Extend-описание – важный параметр, регулирующий расширенные настройки виртуальной машины, такие как дополнительный жесткий диск, последовательный интерфейс, HDMI и Audio, а также USB. Если мы не опишем эти параметры, то виртуальная машина не «увидит» дополнительный жесткий диск, который можно установить в наше устройство и т.п.
Но есть важное ограничение, налагаемое CLI устройства — вся команда не может быть длиннее 256 символов, а параметры подключения USB или HDMI превышают этот предел.
Для этого случая в руководстве описано, как создать файл OVA в автономном режиме, то есть не на этом устройстве, а на вашем компьютере с Linux. Здесь я не буду давать этого описания и буду использовать лишь один короткий параметр для подключения внешнего диска: «-hdb /dev/external_disk».
Также важное замечание, когда И так, файл ova создан, можно приступать к установке виртуальной машины из этой сборки: [AR169-virtual-environment-192.168.2.254]install vm win81 package win81.ova
Info: This operation will take several minutes, please wait.
Виртуальная машина установлена, далее заходим в режим управления виртуальной машиной, вводим номер порта (например 8), через который она в дальнейшем будет доступна через VNC-просмотрщик: [AR169-virtual-environment-192.168.2.254]vm win81
[AR169-virtual-environment-vm-win81]vnc-server port 8 password cipher
Enter Password(<6-8>):
[AR169-virtual-environment-vm-win81]
После чего вы можете активировать виртуальную машину и начать: [AR169-virtual-environment-vm-win81]vm activate
Info: VM activated successfully.
[AR169-virtual-environment-vm-win81]vm start
Info: VM started successfully.
Давайте проверим состояние виртуальной машины следующей командой, а также запомним имя ее виртуального интерфейса (veth), оно нам пригодится на следующем этапе: [AR169-virtual-environment-192.168.2.254]display vm win81
Name: win81
Status: running
Package: win81.ova
Auto-boot: enable
Exception-action: alarm
Cpu-shared:
Current: 0 1 2 3
Next:
Cpu-mono:
Current:
Next:
Storage-claimed:
Current:
Disk: disk1
Target: sda
Size: 30720M
Next:
Memory:
Current: 2800M
Next:
Cdrom:
Current:
Name: win81.iso
Type: private
Next:
Veth:
Current:
Name: win81_eth1
Mac: 0a:0b:1b:ce:e9:17
Next:
Из этого вывода видно, что виртуальная машина win81 находится в рабочем состоянии, использует диск1 емкостью 30720 МБ в качестве основного жесткого диска, объем памяти составляет 2800 МБ и ее виртуальный сетевой интерфейс называется win81_eth. Следующий шаг — подключение этого интерфейса к системе маршрутизации самого роутера: Для этого создадим виртуальный интерфейс veth2 для HostOS: [AR169-virtual-environment-192.168.2.254]veth veth2
… и создадим виртуальную ссылку между HostOS и виртуальной машиной Win81 (см.
рисунок 5): [AR169-virtual-environment-192.168.2.254]link veth veth2 to veth win81_eth1
Добавьте виртуальный интерфейс ОС хоста к виртуальному коммутатору vSwitch: [AR169-virtual-environment-192.168.2.254]ovs bridge br0
[AR169-virtual-environment-ovs-br0]port veth2 link-type access
[AR169-virtual-environment-ovs-br0]quit
Все, работа по созданию виртуальной машины завершена, можно приступать к ее установке и непосредственной работе с ней.
Для этого воспользуемся бесплатной программой VNC Viewer, предварительно скачав ее с сайта разработчика (RealVNC).
В качестве адреса указываем наш виртуальный интерфейс 192.168.2.254:8 — и порт 8, который мы настроили чуть выше.
В настройках подключения в разделе Эксперт обязательно установите параметр FullColor=true, иначе ничего не будет работать: 
Рис.
7 Мы вводим пароль, который мы установили в команде vnc-server, и видим начальный экран установки нашей гостевой операционной системы, в данном случае Windows 8.1: 
Рис.
8. Процесс установки Windows ничем не отличается от обычного, поэтому я пропущу этот момент и буду считать, что Windows успешно установилась и запустилась.
Давайте сразу проверим, что происходит с настройками нашей сети: 
Рис.
9 Как видите, DHCP выдал адрес 192.168.2.253 и мы можем пропинговать шлюз 192.168.2.1. Таким образом, сетевая карта установилась нормально и виртуальная машина взаимодействует с роутером.
Остается только выпустить виртуальную машину в интернет (настроить NAT на роутере) и, например, «пробросить» порт извне для RDP-доступа к виртуальной машине (в этом случае крайне желательно настроить статический адрес из сети 192.168.2.0/24 на сетевой карте виртуальной машины, а не оставлять его динамическим): Создадим Access-list для фильтрации хостов, которым необходимо предоставить доступ в Интернет, в данном случае вся сеть 192.168.2.0/24: [AR169]acl number 2001
[AR169-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[AR169-acl-basic-2001]quit
Подключим кабель от провайдера к интерфейсу GigabitEthernet0/0/4 (WAN), нам будет выделен статический адрес 195.19.ХХ.
ХХ, шлюз по умолчанию 195.19.ХХ.
1: [AR169]interface GigabitEthernet0/0/4
[AR169-GigabitEthernet0/0/4]ip address 195.19.XX.XX 255.255.255.224
[AR169-GigabitEthernet0/0/4] nat outbound 2001
Переведем порт с внешнего 33389 на внутренний 3389 хост нашей виртуальной машины 192.168.2.254 [AR169-GigabitEthernet0/0/4] nat server protocol tcp global current-interface 33389 inside 192.168.2.253 3389
[AR169-GigabitEthernet0/0/4]quit
Настроим маршрут к Интернету по умолчанию: [AR169] ip route-static 0.0.0.0 0.0.0.0 195.19.XX.1
Обязательно сохраните конфигурацию: [AR169]save
Warning: The current configuration will be written to the device.
Are you sure to continue?[Y/N]:Y
It will take several minutes to save configuration file, please wait.
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
На этом базовые настройки можно считать завершенными, поднята одна виртуальная машина с гостевой ОС Windows 8.1, обновлено программное обеспечение устройства, осуществлен доступ в Интернет и транслирован порт извне для доступа к ОС по RDP. протокол.
Теги: #Виртуализация #Сетевые технологии #ИТ-инфраструктура #Системное администрирование #Huawei
-
Тёмные Измерения: Город Тумана
19 Oct, 24 -
Работа С Реестром
19 Oct, 24 -
Вам Достаточно 32766 В Опере?
19 Oct, 24 -
Мфкаст №34. «Триколор Операционные Системы»
19 Oct, 24 -
Мои Планы На Новую Школу. Год
19 Oct, 24
