Configuración básica Routers y Switches Huawei

A continuación vamos a repasar los comandos básicos de configuración para routers y

switches Huawei.
NOMBRE EQUIPO

Para cambiar el nombre ó hostname por defecto del equipo (Huawei en routers, Quidway
en Switches):

[Huawei] sysname Coreun-RT01

RELOJ DEL ROUTER

Para poner en hora el router:

[Huawei] sysname Coreun-RT01

<Huawei> clock timezone GMT add 01:00:00

<Huawei> clock datetime 22:33:13 2014-03-02

<Huawei> display clock

<Huawei> clock daylight-saving-time gmt repeating 02:00 last Sun Mar

03:00 last Sun oct 01:00

clock timezone GMT add 01:00:00

clock daylight-saving-time gmt repeating 2:0 last Sun Mar 3:0 last Sun

Oct 01:00

2000 2099

NTP

NTP es el protocolo utilizado para sincronizar los relojes de los dispositivos de una red.
Los siguientes son términos importantes en una infraestructura NTP.

• Subred de Sincronización: Consiste en el servidor de tiempo primario, los servidores de

tiempo secundarios, clientes y los trayectos de interconexión que los interconectan.
• Servidor de tiempo primario: Es el que sincroniza su reloj directamente con el de
referencia utilizando un cable o radio. Los relojes de referencia estándar están basados
usualmente en relojes de radio o Global Positioning System (GPS).
• Servidor de tiempo secundario: Sincroniza su reloj con el servidor de tiempo primario u
otro servidor de tiempo secundario en la red. Transmite la información de tiempo a otros
hosts en la LAN vía NTP.
• Stratum: Es un estándar jerárquico para la sincronización de los relojes. Representa la
precisión del reloj. Varía entre 1 y 16, donde un valor menor indica una mayor
precisión. Nos indica la cercanía del reloj atómico. 1 es la mayor precisión, 16, indica
que el reloj no está configurado.
Hay diversos modos de funcionamiento, dependiendo si el servidor es localizable por una
dirección IP específica o no, concrétamente los modos son:

• Unicast Server/Client Mode

• Symmetric Peer Mode
• Broadcast Mode
• Multicast Mode
• Manycast Mode
NTP viene habilitado por defecto (ntp service enable) Para configurar un router como
master:

[Huawei] ntp-service refclock-master 2

ntp-service unicast-server 10.0.0.1 preference

Podemos utilizar el comando display ntp status para ver el estado:

[RT01]display ntp status

clock status: synchronized

clock stratum: 2

reference clock ID: LOCAL(0)

nominal frequency: 100.0000 Hz

actual frequency: 100.0000 Hz

clock precision: 2^17

clock offset: 0.0000 ms

root delay: 0.00 ms

root dispersion: 0.00 ms

peer dispersion: 10.00 ms

reference time: 16:59:30.232 UTC Nov 29 2014(D82479F2.3B9F2346)

Para configurar un router como cliente (sin autenticación):

[Huawei] ntp service unicast-server 10.0.0.1 [preference]

Podemos utilizar de nuevo el comando display ntp status para ver el estado:

[RT02]display ntp status

clock status: synchronized

clock stratum: 3

reference clock ID: 10.0.0.1

nominal frequency: 100.0000 Hz

actual frequency: 100.0000 Hz

clock precision: 2^17

clock offset: 10000166.4560 ms

root delay: 118.29 ms

root dispersion: 5.49 ms

peer dispersion: 0.00 ms

reference time: 14:19:35.190 UTC Nov 29 2014(D8245477.30E27E0E)

CONFIGURACIÓN DE LÍNEAS

Para acceder a las líneas de consola y VTY tenemos lo siguiente:

[Huawei] user-interface vty 0 4

Si queremos cambiar el número de interfaces vty administrables a 16, entonces tenemos

que configurar:

[Huawei] user-interface maximum-vty 15

Si queremos cambiar el número de interfaces vty administrables a 16, entonces tenemos

que configurar:

[Huawei] user-interface console 0

Para cambiar el número máximo de comandos guardados (10 por defecto):

[Huawei] history-command max-size 20

Para cambiar el tiempo de idle admitido (10 minutos por defecto). En el ejemplo se baja a 1
minuto 30 segundos:

[Huawei] idle-timeout 1 30

Autenticación en líneas de consola y VTY:

Hay dos formas en las cuales nos podemos autenticar en las líneas de consola y VTY.

1) La más sencilla es configurar un password o contraseña (que se guarda cifrada)

directamente sobre la línea. Adicionálmente se puede limitar el nivel de privilegio de los
accesos por user-interface.
Para los accesos por consola:
[Huawei] user-interface console 0

[Huawei-ui-console0] user privilege level [0-15]

[Huawei-ui-console0] set authentication password cipher password

Para los accesos por VTY:

[Huawei] user-interface vty 0 4

[Huawei-ui-vty0-4] user privilege level [0-15]

[Huawei-ui-vty0-4] set authentication password cipher password

2) También podemos configurar AAA. En este caso, el nivel de privilegio depende del que
le hayamos configurado al usuario.

Para los accesos por consola:

[Huawei] user-interface console 0

[Huawei-ui-console0] authentication-mode aaa

[Huawei-ui-console0] quit

Para los accesos por VTY:

[Huawei] user-interface vty 0 14

[Huawei-ui-vty0-4] authentication-mode aaa

[Huawei-ui-vty0-4] quit

AAA

En los dispositivos Huawei configuramos un usuario local denominado admin con

password temporal y nivel de usuario 15.

[Huawei] aaa

[Huawei-aaa] local-user admin password cipher temporal privilege level 15

Se puede ligar el usuario al tipo de acceso que va a tener:

[Huawei-aaa] local-user admin service-type ssh telnet terminal...

Se puede configurar un lock del acceso por 5 minutos si se falla 3 veces en un periodo de 5
minutos.
[Huawei-aaa] local-user wrong-password retry-interval 5 retry-time 3

block-time 5

Con lo que la configuración nos quedaría:

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user wrong-password retry-interval 5 retry-time 3 block-time 5

local-user admin password cipher %$%$j@q2SGFKJJFRQyz!j7'/)sN$MM(eG[q%$%$

local-user admin privilege level 15

local-user admin service-type telnet terminal ssh

user-interface con 0

authentication-mode aaa

user-interface vty 0 4

authentication-mode aaa

user-interface vty 16 20

En escenarios más complejos de AAA, se puede configurar tanto autenticación,

autorización y accounting con RADIUS y HWTACACS. También se pueden configurar
dominios, y en cada dominio aplicar distintos esquemas de autenticación (similares a las
listas de métodos de autenticación de Cisco). Por ejemplo, para configurar un esquema de
autenticación muy sencillo (con BBDD local) llamado auth tendríamos la siguiente
configuración:
[Huawei-aaa] authentication-scheme auth

[Huawei-aaa-authen-auth] authentication-mode local

Ahora configuramos un esquema de autorización denominado auto

[Huawei-aaa] authorization-scheme auto

[Huawei-aaa-authen-auth] authentication-mode local

Los dispositivos Huawei gestionan los usuarios basándose en dominios. Se pueden

configurar esquemas de autenticación y de autorización dentro de un dominio, de manera
que esos esquemas son utilizados para la autenticación y autorización de los usuarios del
dominio. Como delimitador de dominio se puede utilizar los caracteres @, %, | . Por
ejemplo el usuario “user@huawei” pertenece al dominio “huawei”. Si no hay @ en el
nombre de usuario, pertenece al dominio default. Por defecto en un dispositivo huawei
tenemos los dominios default y default_admin. Se pueden crear otros, con esquemas de
autenticación, autorización y contabilidad diferentes.

Para comprobar los dominios tenemos los comandos display domain y display domain
name:

[Huawei]display domain

-------------------------------------------------------------------------

index DomainName

-------------------------------------------------------------------------

0 default

1 default_admin

-------------------------------------------------------------------------

Total: 2

[Huawei]display domain name default

Domain-name : default

Domain-state : Active

Authentication-scheme-name : default
Accounting-scheme-name : default

Authorization-scheme-name : -

Service-scheme-name : -

RADIUS-server-template : -

HWTACACS-server-template : -

User-group

COMANDO ALIAS

El comando alias nos permite definir alias más cortos para una más rápida interacción con
VRP.

[Huawei] command-alias display show

ACCESO TELNET

Por defecto los dispositivos son capaces de recibir telnet, puesto que el servicio está
habilitado por defecto. Si deseamos deshabilitarlo lo tendremos que hacer por medio del
siguiente comando.

[Huawei] undo telnet server enable

Nota: Si hemos configurado el password en el user-interface vty y no hemos configurado el

nivel de privilegio, el usuario accederá con un nivel de privilegio 0 por defecto.

ACCESO SSH

Por defecto los dispositivos huawei no vienen preparados para aceptar sesiones SSH. Para
que esto sea posible tendremos que hacer las siguientes configuraciones:

1) Crearemos las claves RSA. La longitud mínima es de 512, aunque es recomendable

utilizar longitudes de 1024 o 2048.

[Huawei]rsa local-key-pair create

The key name will be: Host

% RSA keys defined for Host already exist.

Confirm to replace them? (y/n)[n]:y

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Input the bits in the modulus[default = 512]:1024

Generating keys...

..........++++++

..................++++++

..............++++++++

...............++++++++

[Huawei]

2) Crearemos un usuario con un nivel de privilegio 15 para el servicio ssh.

[Huawei] aaa

[Huawei-aaa] local-user enrique password cipher huawei privilege level 15

Info: Add a new user.

[Huawei-aaa] local-user enrique service-type ssh

3) Configuramos en el user-interface vty la autenticación via aaa y aceptamos ssh como

protocolo de entrada (si queremos mantener también ssh, utilizaremos la palabra clave all):

[Huawei] user-interface vty 0 4

[Huawei-ui-vty0-4] authentication-mode aaa

[Huawei-ui-vty0-4] protocol inbound [ssh | all]

4) A continuación activaremos el servicio ssh además de utilizar el tipo de autenticación

password (solicitará el password que hayamos configurado en la base de datos local):

[Huawei] stelnet server enable

[Huawei] ssh user enrique authentication-type password

La configuración quedaría así:

rsa peer-public-key 1.1.1.1

public-key-code begin

308188

028180

DC7EECCB D4053315 02DCF305 4E773545 2EDB9DA4 3997321B CCFEE898 76847D17

A4414F6D 7102C4DF D47CF414 FA15A75F 203F798F ACB30843 697431F4 2DE0E242

EF050119 3DBC013C F2C1CDFB 26D99D49 F4BB1131 0E1C9236 A5776448 4FB9F4CD

E5B566A7 EB2F8817 4D8C23B0 4AA5E9FE 8A25D42B 0B9EA6A3 6E9048B9 8374BD99

0203

010001

public-key-code end

peer-public-key end

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

local-user admin service-type http

local-user enrique password cipher %$%$a^J&+63J,5@,"pE:|^d*zq&j%$%$

local-user enrique privilege level 15

local-user enrique service-type ssh

interface NULL0

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

ssh client 1.1.1.1 assign rsa-key 1.1.1.1

ssh client first-time enable

stelnet server enable

user-interface con 0

authentication-mode password

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

user-interface vty 16 20

wlan ac

# return

Para probar que funciona el servidor, podemos lanzar un ssh contra alguna de las interfaces,
por ejemplo la loopback 0 (es un comando de privilegiado, en system-view):

[Huawei] stelnet 1.1.1.1

A veces, cuando es la primera conexión, tenemos que avisar de dicha circunstancia con el
siguiente comando:

[Huawei] ssh client first-time enable

NEXTPREVIOUS