Настройка Huawei MA5800

Для примера выполню настройку Huawei MA5800-X15, по сути конфигурация будет похожей на старые OLT MA5600.

Логин root, пароль по умолчанию admin123.

Перейдем в режим повышенных привилегий:

enable

Я посмотрел какие платы установлены:

display board 0
  -------------------------------------------------------------------------
  SlotID  BoardName  Status          SubType0 SubType1    Online/Offline
  -------------------------------------------------------------------------
  0
  1
  2
  3       H901GPHF   Auto_find
  4
  5
  6
  7
  8       H905MPLB   Config
  9       H905MPLB   Active_normal
  10
  11
  12
  13
  14
  15
  16
  17
  18      H903PILA   Normal
  19      H903PILA   Normal
  -------------------------------------------------------------------------

Подтвердил плату GPON H901GPHF:

board confirm 0/3
display board 0
  -------------------------------------------------------------------------
  SlotID  BoardName  Status          SubType0 SubType1    Online/Offline
  -------------------------------------------------------------------------
  0
  1
  2
  3       H901GPHF   Normal
  4
  5
  6
  7
  8       H905MPLB   Standby_normal
  9       H905MPLB   Active_normal
  10
  11
  12
  13
  14
  15
  16
  17
  18      H903PILA   Normal
  19      H903PILA   Normal
  -------------------------------------------------------------------------

Если вы хотите добавить еще платы, то нужно посмотреть какие версии плат поддерживает прошивка:

display io-packetfile information

Подключать Huawei MA5800 буду пассивным кабелем SFP+ к коммутатору Cisco Nexus, на коммутаторе нужно отключить авто согласование, указать вручную скорость 10G и full duplex. Можно сделать LACP из 4 портов SFP+, чтобы получить 40 Gbit/s.

На обеих платах управления настроил одинаково по одному порту, тоже отключил авто согласование, указал вручную скорость и full duplex:

interface mpu 0/8
auto-neg 0 disable
speed 0 10000
duplex 0 full
interface mpu 0/9
auto-neg 0 disable
speed 0 10000
duplex 0 full

Изменим пароль пользователю root:

terminal user password
root
...

Добавил еще одного администратора, так как под пользователем root к устройству одновременно может быть только одно подключение:

terminal user name
  User Name(length<6,15>):ixnfo.com
  User Password(length<8,15>):
  Confirm Password(length<8,15>):
  User profile name(<=15 chars)[root]:root
  User's Level:
     1. Common User  2. Operator  3. Administrator:3
  Permitted Reenter Number(0--20):20
  User's Appended Info(<=30 chars):
  Adding user successfully
  Repeat this operation? (y/n)[n]:n

Я не стал использовать интерфейс meth0, для экономии портов, а просто создал интферфейс vlan для управления:

enable
config
vlan 210 smart
port vlan 210 0/8 0
port vlan 210 0/9 0
interface vlanif 210
ip address 10.0.3.251 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.0.3.1

И добавил правила брандмауэра, чтобы разрешить к нему доступ только доверенным IP адресам:

sysman ip-access  telnet  10.0.3.1  10.0.3.5
sysman ip-access  telnet  192.168.5.5  192.168.5.5
sysman firewall telnet enable
sysman ip-access  ssh  10.0.3.1  10.0.3.5
sysman ip-access  ssh  192.168.5.5  192.168.5.5
sysman firewall ssh enable
sysman ip-access  snmp  10.0.3.1  10.0.3.5
sysman ip-access  snmp  192.168.5.5  192.168.5.5
sysman firewall snmp enable

Укажем на каком интерфейсе должны работать сервисы:

ssh user ixnfo.com authentication-type password

sysman server source telnet vlanif 210
sysman server source ssh vlanif 210
sysman server source snmp vlanif 210
  Warning: SNMP is a management plane protocol, Ensure that the Layer 3
interface bound to SNMP is isolated from the user plane interface

Настроим время:

timezone GMT+ 02:00
time dst start 04-01 00:00:00 end 10-28 00:00:00 adjust 01:00
ntp-service unicast-server 192.168.1.7 source-interface vlanif210

Настроим SNMP:

display snmp-agent community read
display snmp-agent community write
snmp-agent community write ixnfo.com
snmp-agent community read ixnfo.com
snmp-agent sys-info contact ixnfo.com
snmp-agent sys-info location ixnfo.com
snmp-agent sys-info version v2c 
 
snmp-agent target-host trap-hostname U2000SERVER address 192.168.5.3 udp-port 162 trap-paramsname NMS
snmp-agent target-host trap-paramsname NMS v2C securityname NMS 
snmp-agent trap enable standard

Можно отключить telnet:

sysman service telnet disable

Добавил VLAN для пользователей:

vlan 750 smart
port vlan 750 0/8 0
port vlan 750 0/9 0
display vlan 750

Добавил DBA профиль со скоростью 1 Gbit/s:

dba-profile add profile-name 1G type3 assure 1024 max 1000000
display dba-profile all

Добавим профиль ont-lineprofile:

ont-lineprofile gpon profile-name "VLAN 750 DEFAULT"
display dba-profile profile-name 1G
tcont 4 dba-profile-id 10
gem add 1 eth tcont 4
mapping-mode vlan
gem mapping 1 0 vlan 750
commit
quit

Добавил профиль ont-srvprofile:

ont-srvprofile gpon profile-name "VLAN 750 DEFAULT"
ont-port eth 1
port vlan eth 1 750
commit
quit

На плате GPON активируем авто обнаружение новых ONT:

interface gpon 0/3
port 0 ont-auto-find enable
port 1 ont-auto-find enable
port 2 ont-auto-find enable
port 3 ont-auto-find enable
port 4 ont-auto-find enable
port 5 ont-auto-find enable
port 6 ont-auto-find enable
port 7 ont-auto-find enable
port 8 ont-auto-find enable
port 9 ont-auto-find enable
port 10 ont-auto-find enable
port 11 ont-auto-find enable
port 12 ont-auto-find enable
port 13 ont-auto-find enable
port 14 ont-auto-find enable
port 15 ont-auto-find enable

Добавим тестовый ONT:

display ont autofind 0
ont add 0 0 sn-auth 00004117C04C0000 omci ont-lineprofile-name "VLAN 750 DEFAULT" ont-srvprofile-name "VLAN 750 DEFAULT" desc "ixnfo.com"
ont port native-vlan 0 0 eth 1 vlan 750
quit

Чтобы заработал интернет, осталось добавить service-port для этого ONT:

service-port 0 vlan 750 gpon 0/3/0 ont 0 gemport 1 multi-service user-vlan 750

Активируем защиту от петель и укажем что ONT должен разблокироваться автоматически через 30 минут:

ring check enable
ring check resume-interval 30

Пример включения защит разного вида:

security anti-dos enable
security anti-dos control-packet policy deny
security anti-dos control-packet rate 0/3/0 default
display security anti-dos control-packet rate 0/3/0
display security dos-blacklist all

security anti-icmpattack enable
security anti-ipattack enable
security anti-macduplicate enable
display log security 
display security config
display security conflict

Сохраним конфигурацию:

save

Также я написал SNMP шаблон в Zabbix и сделал тригеры когда загрузка CPU, температуры и т.д. выше нормы, приведу примеры SNMP OID:

CPU:
snmpwalk -v 2c -c ixnfo 192.168.0.5 1.3.6.1.4.1.2011.2.6.7.1.1.2.1.5
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.2.1.5.0.3 = INTEGER: 13
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.2.1.5.0.8 = INTEGER: 4
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.2.1.5.0.9 = INTEGER: 5
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.2.1.5.0.18 = INTEGER: -1
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.2.1.5.0.19 = INTEGER: -1

Temperature:
snmpwalk -v 2c -c ixnfo 192.168.0.5 1.3.6.1.4.1.2011.6.3.3.2.1.13
SNMPv2-SMI::enterprises.2011.6.3.3.2.1.13.0.3 = INTEGER: 27
SNMPv2-SMI::enterprises.2011.6.3.3.2.1.13.0.8 = INTEGER: 20
SNMPv2-SMI::enterprises.2011.6.3.3.2.1.13.0.9 = INTEGER: 21
SNMPv2-SMI::enterprises.2011.6.3.3.2.1.13.0.18 = INTEGER: 2147483647
SNMPv2-SMI::enterprises.2011.6.3.3.2.1.13.0.19 = INTEGER: 2147483647

Как видим отобразилась загрузка CPU, температуры для платы GPON и двух плату управления.

power (* 0.1)
snmpwalk -v 2c -c ixnfo 192.168.0.5 1.3.6.1.4.1.2011.2.6.7.1.1.1.1.11
SNMPv2-SMI::enterprises.2011.2.6.7.1.1.1.1.11.0 = INTEGER: 537

Смотрите также мои статьи:

Вливайтесь в общение

1 комментарий

Добавить комментарий

  1. Добрый день!
    А есть пример как через однопортовую ONU передать untag, tag, tag, … ?!
    Спасибо!