ProCurve Switch
Материал из Xgu.ru
- Автор: Наташа Самойленко
На этой странице описываются настройки коммутаторов ProCurve.
Настройки описанные на этой странице в большей степени относятся к коммутаторам 3го уровня (3400, 3500, 5300, 5400). Однако, многие настройки (как правило не относящиеся к 3 уровню) будут аналогичными и на коммутаторах 2го уровня.
[править] Базовые настройки доступа к коммутатору
Если приглашение вида:
- sw> — это режим оператора,
- перейти в режим менеджера — enable,
- sw# — это режим менеджера,
- перейти в конфигурационный режим — configure,
- sw(config)# — это конфигурационный режим.
|
|
На коммутаторах ProCurve команды show можно выполнять в конфигурационном режиме и во вложенных конфигурационных режимах. |
Задание имени коммутатора:
sw(config)# hostname sw
[править] Базовая настройка доступа к коммутатору
[править] Интерфейсы управления коммутатором
Различают два метода доступа к коммутатору (такая терминология не часто используется, но встречается и пригодится тем, кто собирается сдавать экзамен для получения первого уровня сертификации AIS):
- in-band — когда управляющий трафик повторяет путь обычных данных (то есть, управляющий трафик идет через те же порты, что и данные),
- out-band — когда управляющий трафик использует выделенный путь.
In-band методы:
- Telnet
- SSH
- SNMP
- HTTP
- HTTPS
Out-band метод:
- Консоль
|
|
На самом деле Out-band методами могут называться и такие методы доступа как SSH, Telnet. Такой термин к этим методам применяется, если управляющий трафик изолирован от обычных данных. Например, выделен в отдельный VLAN. |
У коммутаторов ProCurve есть несколько интерфейсов управления:
- CLI (интерфейс командной строки или командная строка) — к ней можно получить доступ с помощью консоли, Telnet или SSH;
- Меню — псевдографические меню, в которые можно попасть из командной строки:
- Setup — простое меню с ограниченными возможностями, тут можно выполнить только самые базовые настройки,
- Menu — более мощное меню, с широкими возможностями по настройке, просмотру настроек и поведения коммутатора. Возможностей тут меньше, чем в командной строке, но всё же достаточно много. Один из вариантов, когда это меню особо удобно использовать — когда необходимо просмотреть динамическую статистику интерфейсов. Если выполнить команду show из командной строки, то вывод будет показывать срез информации, а в Menu есть возможность просматривать эту статистику в динамике (то есть она будет изменяться в реальном времени);
- Веб-интерфейс — к нему можно получить доступ используя браузер. Возможностей меньше, чем в командной строке, но удобно использовать при отсутствии знаний команд командной строки.
- ProCurve Manager
Зайти в меню Setup для выполнения базовых настроек:
sw# setup
Зайти в меню Menu:
sw# menu
[править] Настройка IP-адреса и шлюза по умолчанию
Для того чтобы можно было управлять коммутатором не только заходя на консоль, но и удаленно, необходимо настроить на нем IP-адрес.
По умолчанию, на коммутаторах ProCurve указано получение IP-адреса по DHCP, но он может быть назначен и административно.
Если коммутатор используется как коммутатор 2го уровня, то IP-адрес настраивается, как правило, в VLAN 1. Если используется специальный выделенный VLAN для управления сетевыми устройствами, то тогда адрес назначается в этом VLAN.
Если коммутатор используется, как коммутатор 3го уровня (или 2/3), то IP-адреса могут быть во всех VLAN и на любой из них (если нет дополнительных ограничений) можно заходить для управления коммутатором.
Настройка IP-адреса на коммутаторе в VLAN 1:
sw(config)# vlan 1 sw(vlan-1)# ip address 192.168.1.1/24
Или:
sw(config)# vlan 1 ip address 192.168.1.1/24
|
|
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
|
Если необходимо удалить настроенный адрес:
sw(config)# vlan 1 sw(vlan-1)# no ip address 192.168.1.1/24
Для того чтобы на коммутатор можно было заходить не только из сети, из которой ему назначен IP-адрес, но и из других сетей, необходимо настроить шлюз по умолчанию.
Настройка шлюза по умолчанию на коммутаторе 2го уровня:
sw(config)# ip default-gateway 192.168.1.100
Если коммутатор 3го уровня (то есть, включена команда ip routing), то шлюз по умолчанию настраивается как статический маршрут.
Настройка шлюза по умолчанию на коммутаторе 3го уровня:
sw(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.100
Посмотреть настройки IP-адреса, маршрут по умолчанию и включен ли ip routing:
sw1(config)# sh ip
Internet (IP) Service
IP Routing : Enabled
Default TTL : 64
Arp Age : 20
Domain Suffix :
DNS server :
| Proxy ARP
VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
DEFAULT_VLAN | Manual 10.0.1.1 255.255.255.0 No No
VLAN5 | Disabled
VLAN12 | Manual 10.12.1.1 255.255.255.0 No No
VLAN15 | Manual 10.15.1.1 255.255.255.0 No No
VLAN100 | Manual 10.1.100.1 255.255.255.0 No No
VLAN101 | Manual 10.1.101.1 255.255.255.0 No No
VLAN102 | Manual 10.1.102.1 255.255.255.0 No No
VLAN2100 | Disabled
Loopback Interface
Loopback | IP Config IP Address Subnet Mask
------------ + ------------ --------------- ---------------
lo7 | Manual 10.7.1.1 255.255.255.255
[править] Пароли на режимы оператора и менеджера
Базовые настройки по защите доступа к коммутатору предполагают, как минимум, настройку паролей для уровня менеджера (manager) и оператора (operator).
Синтаксис команды для задания паролей:
password <manager|operator|all|port-access> [user-name <name>] [<hash-type> <password>]
Параметры команды:
- manager — указывает, что будут задаваться параметры для уровня доступа менеджер,
- operator — указывает, что будут задаваться параметры для уровня доступа оператор,
- all — указывает, что будут задаваться параметры для режимов менеджер и оператор,
- port-access — задание пароля оператора для аутентификации по 802.1X,
- user-name — задание имени пользователя для соответствующего режима доступа,
- hash-type — указывает какой алгоритм используется для хеширования пароля:
- plaintext
- sha1
Настройка пароля на режим менеджера:
sw(config)# password manager New password for Manager: ******** Please retype new password for Manager: ********
|
|
По умолчанию введенные пароли и имена пользователей не видны в конфигурационном файле, так как они хранятся в отдельной зоне на коммутаторе. Для того чтобы они отображались, необходимо ввести команду include-credentials. Подробнее о других параметрах, которые будут отображаться после введения этой команды на странице ProCurve Security. |
При настройке паролей для менеджера и оператора, имена пользователей задавать не обязательно. Если имена не заданы, то при доступе к коммутатору, там где требуется введение имени пользователя (например, SSH, HTTP), необходимо оставить имя пустым.
|
|
Настроить имена пользователей можно из CLI и веб-интерфейса. Из интерфейса menu можно настроить пароли, но нельзя имена пользователей. Кроме того, имена и пароли пользователей могут быть настроены в Management Interface Wizard. |
Настройка имени пользователя и пароля на режим оператора:
sw(config)# password operator user-name neadmin New password for Operator: ******** Please retype new password for Operator: ********
Настройка имени пользователя и пароля на режим менеджера:
sw(config)# password manager user-name admin New password for Manager: ******** Please retype new password for Manager: ********
|
|
На коммутаторах ProCurve нет возможности создавать базу пользователей. Тут есть только два пользователя с различными уровнями привилегий — менеджер и оператор. |
[править] Удаление паролей
Если известен пароль менеджера, то удалить пароли для менеджера и оператора можно так (вместе с паролями удаляются и имена пользователей):
sw(config)# no password all
Удалить пароль менеджера:
sw(config)# no password manager
Удалить пароль оператора:
sw(config)# no password operator
Если пароль менеджера не известен, то для удаления паролей необходимо воспользоваться кнопкой Clear на передней панели. Для обнуления достаточно удерживать её нажатой пару секунд.
Эта функциональность кнопки Clear может быть отключена. Подробнее о передней панели на странице ProCurve Security.
[править] Настройка Telnet
После того как на коммутаторе назначен IP-адрес, в CLI коммутатора можно удаленно заходить используя протокол Telnet.
Посмотреть активные сессии:
sw1(config)# sh telnet Telnet Activity Source IP Selection: Outgoing Interface -------------------------------------------------------- Session : ** 1 Privilege: Manager From : Console To : -------------------------------------------------------- Session : 2 Privilege: Manager From : 10.12.1.2 To :
Оборвать сессию под номером 2:
sw# kill 2
Отключение telnet:
sw(config)# no telnet-server
Проверить включен ли telnet-сервер на коммутаторе:
sw1(config)# sh console Console/Serial Link Inbound Telnet Enabled [Yes] : Yes Web Agent Enabled [Yes] : Yes Terminal Type [VT100] : VT100 Screen Refresh Interval (sec) [3] : 3 Displayed Events [All] : All Baud Rate [speed-sense] : speed-sense Flow Control [XON/XOFF] : XON/XOFF Session Inactivity Time (min) [0] : 0
[править] Настройка доступа к веб-интерфейсу
После того как на коммутаторе назначен IP-адрес, на веб-интерфейс коммутатора можно удаленно заходить по HTTP. Для этого достаточно в браузере указать IP-адрес коммутатора и, если указаны, то имя пользователя и пароль.
Настройка безопасного доступа к веб-интерфейсу с использованием SSL описана на странице Доступ к коммутатору ProCurve.
Отключить доступ к веб-интерфейсу коммутатора по HTTP (например, если будет настроен доступ с использованием SSL):
sw(config)# no web-management plaintext
Полностью отключить доступ к веб-интерфейсу:
sw(config)# no web-management
[править] Настройка консоли
console inactivity-timer < 0 | 1 | 5 | 10 | 15 | 20 | 30 | 60 | 120 >
Просмотр настроек консоли:
sw1(config)# sh console Console/Serial Link Inbound Telnet Enabled [Yes] : Yes Web Agent Enabled [Yes] : Yes Terminal Type [VT100] : VT100 Screen Refresh Interval (sec) [3] : 3 Displayed Events [All] : All Baud Rate [speed-sense] : speed-sense Flow Control [XON/XOFF] : XON/XOFF Session Inactivity Time (min) [0] : 0
[править] Настройка терминала
По умолчанию в коммутаторах размер терминала может быть недостаточным для корректного отображения некоторых команд.
Изменить размеры терминала:
sw1(config)# terminal width 100 length 31
Проверить текущие настройки терминала:
sw1(config)# sh terminal Terminal width: 100 length: 31
[править] Настройка SSH, SSL и авторизованных менеджеров
- Основная страница: Доступ к коммутатору ProCurve
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
- к CLI — Telnet,
- к веб-интерфейсу — HTTP.
В обоих случаях информация, которая пересылается между хостом и коммутатором передается в открытом виде.
Более безопасными альтернативами для доступа к коммутатору, являются:
- к CLI — SSH,
- к веб-интерфейсу — HTTPS (SSL).
|
|
Если на коммутаторе включен SSH, то он разрешает одно подключение к консоли и до трёх других сессий (SSH или Telnet). Посмотреть текущие сессии можно командой show ip ssh. |
Функция авторизованные менеджеры позволяет добавить еще один критерий (кроме паролей на режим менеджера и оператора), который будет проверяться прежде чем будет предоставлен доступ к коммутатору — IP-адреса с которых разрешен доступ к коммутатору.
До запроса пароля на доступ с правами operator или manager, будет учитываться с какого IP-адреса осуществляется доступ к коммутатору.
Доступ будет разрешен только с IP-адресов указанных в команде ip authorized-managers.
Ограничения списка авторизованных менеджеров касаются:
- доступа к коммутатору с помощью Telnet;
- доступа к коммутатору с помощью SSH, HTTP, HTTPS;
- SNMP;
- передачи файлов (конфигурационных и ОС) по TFTP.
[править] Management Interface Wizard
В новых версиях ОС (начиная с K.14.09) появился инструмент Management Interface Wizard, который позволяет в интерактивном режиме настроить различные параметры протоколов использующихся для доступа к коммутатору.
Подробнее о Management Interface Wizard на странице Доступ к коммутатору ProCurve.
[править] SSH-клиент и telnet-клиент
На коммутаторах HP есть SSH-клиент и telnet-клиент для того чтобы можно было с коммутатора зайти, соответственно, по SSH или telnet на другое устройство.
SSH-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
switch# ssh xguru@192.168.1.1
Telnet-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
switch# telnet 192.168.1.1
[править] Source-interface
На коммутаторе можно задать IP-адрес с которого будут инициироваться сессии таких протоколов:
- RADIUS
- SFlow
- SNTP
- System Logging applications
- TACACS
- Telnet
- TFTP
switch(config)# ip source-interface <radius|sflow|sntp|syslog|tacacs|telnet|tftp|all> <loopback<id> | vlan <vlan-id> address <ip-address>>
Просмотр информации о source-interface:
sw1(config)# sh ip source-interface Source-IP Configuration Information Protocol | Admin Selection Policy IP Interface IP Address -------- + ----------------------- -------------- --------------- Tacacs | Outgoing Interface Radius | Outgoing Interface Syslog | Outgoing Interface Telnet | Configured IP Interface vlan 100 Tftp | Outgoing Interface Sntp | Outgoing Interface Sflow | Outgoing Interface
Подробная информация о настроенном интерфейсе:
sw1(config)# sh ip source-interface detail telnet Source-IP Detailed Information Protocol : Telnet Admin Policy : Configured IP Interface Oper Policy : Configured IP Interface Source IP Interface : vlan 100 Source IP Address : 10.1.100.1 Source Interface State : Up
[править] Работа с интерфейсами
[править] Просмотр информации об интерфейсах, задание имен интерфейсам
sw1(config)# sh interfaces brief a1-a10
Status and Counters - Port Status
| Intrusion MDI Flow Bcast
Port Type | Alert Enabled Status Mode Mode Ctrl Limit
------ --------- + --------- ------- ------ ---------- ---- ---- -----
A1 100/1000T | No Yes Up 100FDx MDIX off 0
A2 100/1000T | No Yes Down 1000FDx Auto off 0
A3 100/1000T | No Yes Up 1000FDx MDIX off 0
A4 100/1000T | No Yes Down 1000FDx Auto off 0
A5 100/1000T | No Yes Up 1000FDx MDI off 0
A6 100/1000T | No Yes Down 1000FDx Auto off 0
A7 100/1000T | No Yes Up 1000FDx MDI off 0
A8 100/1000T | No Yes Down 1000FDx Auto off 0
A9 100/1000T | No Yes Down 1000FDx Auto off 0
A10 100/1000T | No Yes Down 1000FDx Auto off 0
sw1(config)# sh interfaces
Status and Counters - Port Counters
Flow Bcast
Port Total Bytes Total Frames Errors Rx Drops Tx Ctrl Limit
------ -------------- -------------- ------------ ------------ ---- -----
A1 785,468 5157 0 0 off 0
A2 0 0 0 0 off 0
A3 1,089,868 6552 0 0 off 0
A4 0 0 0 0 off 0
A5 645,310 5590 0 0 off 0
A6 0 0 0 0 off 0
A7 716,878 5635 0 0 off 0
A8 0 0 0 0 off 0
A9 0 0 0 0 off 0
A10 0 0 0 0 off 0
A11 0 0 0 0 off 0
A12 0 0 0 0 off 0
sw1(config)# sh interfaces a1 Status and Counters - Port Counters for port A1 Name : MAC Address : 001708-cafbff Link Status : Up Totals (Since boot or last clear) : Bytes Rx : 456,543 Bytes Tx : 330,410 Unicast Rx : 2027 Unicast Tx : 9 Bcast/Mcast Rx : 2464 Bcast/Mcast Tx : 2693 Errors (Since boot or last clear) : FCS Rx : 0 Drops Tx : 0 Alignment Rx : 0 Collisions Tx : 0 Runts Rx : 0 Late Colln Tx : 0 Giants Rx : 0 Excessive Colln : 0 Total Rx Errors : 0 Deferred Tx : 0 Others (Since boot or last clear) : Discard Rx : 0 Out Queue Len : 0 Unknown Protos : 0 Rates (5 minute weighted average) : Total Rx (bps) : 368,280 Total Tx (bps) : 248,904 Unicast Rx (Pkts/sec) : 0 Unicast Tx (Pkts/sec) : 0 B/Mcast Rx (Pkts/sec) : 0 B/Mcast Tx (Pkts/sec) : 0 Utilization Rx : 00.36 % Utilization Tx : 00.24 %
sw1(config)# sh interfaces config Port Settings Port Type | Enabled Mode Flow Ctrl MDI ------ --------- + ------- ------------ --------- ---- A1 100/1000T | Yes Auto Disable Auto A2 100/1000T | Yes Auto Disable Auto A3 100/1000T | Yes Auto Disable Auto A4 100/1000T | Yes Auto Disable Auto A5 100/1000T | Yes Auto Disable Auto A6 100/1000T | Yes Auto Disable Auto A7 100/1000T | Yes Auto Disable Auto A8 100/1000T | Yes Auto Disable Auto A9 100/1000T | Yes Auto Disable Auto
sw1(config)# sh interfaces port-utilization
Status and Counters - Port Utilization
Rx Tx
Port Mode | --------------------------- | ---------------------------
| Kbits/sec Pkts/sec Util | Kbits/sec Pkts/sec Util
-------- --------- + ---------- ---------- ----- + ---------- ---------- -----
A1 100FDx | 344 0 00.34 | 240 0 00.24
A2 1000FDx | 0 0 0 | 0 0 0
A3 1000FDx | 704 0 00.07 | 3144 0 00.31
A4 1000FDx | 0 0 0 | 0 0 0
A5 1000FDx | 2384 0 00.23 | 2336 0 00.23
A6 1000FDx | 0 0 0 | 0 0 0
A7 1000FDx | 2712 0 00.27 | 2752 0 00.27
A8 1000FDx | 0 0 0 | 0 0 0
A9 1000FDx | 0 0 0 | 0 0 0
A10 1000FDx | 0 0 0 | 0 0 0
A11 1000FDx | 0 0 0 | 0 0 0
A12 1000FDx | 0 0 0 | 0 0 0
Задать имена интерфейсам:
sw(config)# interfaces 1 name perviy
Просмотр заданных имен:
sw# show name
[править] Управление конфигурационными файлами и ОС
[править] Просмотр конфигурации и фильтрация вывода
Посмотреть настройки конкретного VLAN, например, VLAN 100:
sw(config)# sh run vlan 100
Running configuration:
vlan 100
name "VLAN100"
ip address 192.168.100.100 255.255.255.0
ip ospf 192.168.100.100 area backbone
ip pim-sparse
ip-addr any
exit
vrrp vrid 1
backup
virtual-ip-address 192.168.100.1 255.255.255.0
no virtual-ip-ping
enable
exit
exit
|
|
Эта команда очень удобна так как в выводе sh run настройки разбиваются на несколько частей и их не очень удобно просматривать. Например, в данном примере настройки принадлежности портов VLAN'у и настройки PIM и OSPF находятся в разных частях конфигурационного файла. |
В ProCurve поддерживается фильтрация вывода, хотя в подсказках командной строки эти команды не отображаются. То есть, если набрать знак вопроса или табуляцию, то команда не продолжится. Но она работает.
Поддерживается фильтр begin (сокращенно beg или b). Отобразить конфигурационный файл начиная со строки в которой встречается слово router:
sw(config)# sh run | beg router router ospf area backbone exit router pim exit router vrrp router vrrp virtual-ip-ping snmp-server community "public" unrestricted vlan 100 ip ospf 192.168.100.100 area backbone ........
Поддерживается фильтр include (сокращенно inc или i). Отобразить все строки текущей конфигурации в которых встречается слово qos:
sw(config)# sh run | i qos qos device-priority 10.0.1.1 priority 2 qos device-priority 10.0.1.2 dscp 101000 qos device-priority 10.0.1.5 priority 7 qos device-priority 10.0.1.10 dscp 101110 qos udp-port ipv4 23 priority 4 qos udp-port ipv4 range 1024 2000 priority 1 qos tcp-port ipv4 22 priority 7 qos udp-port ipv4 range 2024 3000 priority 1 qos udp-port ipv4 range 3024 4000 priority 1 qos udp-port ipv4 range 4024 5000 priority 1 qos udp-port ipv4 range 5024 6000 priority 1 qos udp-port ipv4 range 7024 8000 priority 1 qos udp-port ipv4 range 8024 9000 priority 1 qos tcp-port ipv4 23 dscp 001010 qos tcp-port ipv4 80 dscp 101110 qos queue-config 4-queues
Команда sh run structured отображает конфигурацию с другой сортировкой. Например, принадлежность портов VLAN отображается, кроме стандартного, в другом формате.
Стандартное отображение:
sw1# sh run vlan 100 name "VLAN100" untagged A1 ip address 10.1.100.1 255.255.255.0 ip ospf 10.1.100.1 area 0.0.0.7 exit vlan 101 name "VLAN101" tagged A3 ip address 10.1.101.1 255.255.255.0 ip ospf 10.1.101.1 area backbone exit vlan 102 name "VLAN102" tagged A3 ip address 10.1.102.1 255.255.255.0 ip ospf 10.1.102.1 area backbone exit
Отображение, которое добавляется при заданом параметре structured:
sw1# sh run structured .... interface A1 untagged vlan 100 exit interface A2 untagged vlan 1 exit interface A3 tagged vlan 101-102 untagged vlan 1 exit ...
[править] Работа с файлами ОС
У коммутаторов ProCurve есть две области во flash-памяти в которых можно хранить разные ОС:
- primary
- secondary
В этих областях можно хранить только ОС коммутатора, по одной в каждой.
Посмотреть содержимое flash-памяти:
sw1# sh flash Image Size (bytes) Date Version ----------------- ------------ -------- -------------- Primary Image : 15237597 02/08/13 K.15.10.0009 Secondary Image : 15237597 02/08/13 K.15.10.0009 Boot ROM Version : K.15.30 Default Boot : Secondary
Посмотреть какая сейчас версия ОС используется:
sw1# sh version
Image stamp:
/ws/swbuildm/K_rel_irvine_qaoff/code/build/btm(swbuildm_K_rel_irvine_qaoff_rel_irvine)
Feb 8 2013 12:09:55
K.15.10.0009
7
Boot Image: Secondary
Копировать нужный софт как secondary image на коммутатор:
switch# copy tftp flash 192.168.1.100 image_name secondary
Перезагрузить коммутатор с secondary image (образ из secondary области будет использоваться после перезагрузки коммутатора до тех пор, пока не будет указан другой):
switch# boot system flash secondary
Указать с какой области будет загружен коммутатор после следующей перезагрузки не перезагружая его сейчас:
switch# boot set-default flash secondary
Копирование образа из secondary в primary:
switch# copy flash flash primary
[править] Работа с конфигурационными файлами
Посмотреть отличаются ли стартовая конфигурация и текущая (команда не выполняет сравнение конфигураций, а просто сообщает отличаются ли они):
sw1# sh config status Running configuration has been changed and needs to be saved.
Скопировать стартовый конфигурационный файл на TFTP-сервер:
sw# copy startup-config tftp 192.168.1.100 lab1_2_sw4
Удалить стартовый конфигурационный файл:
sw# erase startup-config
|
|
Несмотря на то, что конфигурация коммутатора удалена, пароли для доступа к режиму менеджера и оператора останутся (если они были настроены). Это происходит из-за того, что коммутатор хранит эту информацию отдельно. |
Скопировать файл TFTP-сервера (с TFTP-сервера можно скопировать только в startup конф, в текущую нельзя):
sw# copy tftp startup-config 192.168.1.100 lab1_2_sw4
[править] Custom default config
Default-config это конфигурационный файл, который будет применяться, когда коммутатор обнуляется. Если он не создан, то будут применяться заводские настройки по умолчанию.
Посмотреть файл:
sw# show default-config
Скопировать стартовый конфигурационный файл в default-config:
sw# copy startup-config default-config
Удалить default-config:
sw# erase default-config
Проверить существует ли default-config (последняя строка вывода):
sw1# sh config files Configuration files: id | act pri sec | name ---+-------------+------------------------------------------------ 1 | * * * | sw_4 2 | | STP 3 | | ==================== A Custom Default Configuration exists.
[править] Работа с несколькими конфигурационными файлами
Только для 53, 54, 35
sw# sh config files
Скопировать конфигурацию на tftp сервер:
sw# copy startup-config tftp 192.168.9.9 sw8_config
Переименовать ее на сервере и скопировать назад на коммутатор:
sw# copy tftp config sec_sw8_config 192.168.9.9 sec_sw8_config sw# sh config files
Посмотреть скопированный конфиг:
sw# sh config sec_sw8_config
Настроить связь между secondary image и sec_sw8_config файлом:
sw# startup-default secondary config sec_sw8_config sw# sh config files
Вернуть всё в default настройки:
sw# startup-default secondary config config1
[править] Резервное копирование конфигурации коммутатора
Для резервного копирования конфигурации коммутатора существует возможность использования скриптов на языках perl (Net::Telnet) и Expect. При этом, коммутаторы HP ProCurve обладают возможностью включать на себе сервер tftp. Это позволяет проводить резервное копирование конфигурации коммутатора без использования tftp-сервера, что иногда необходимо.
Для работы скрипта необходимо включить SNMP-протокол на сервере в режиме конфигурирования и описать community с возможностью записи, например так:
snmp-server community mycommunity Unrestricted
Далее показан пример резервного копирования коммутатора (проверено на 4 моделях коммутаторов HP: 2650, 2610-48, 2824, 2610-24g):
#!/bin/sh set `date +"%Y %m %d %H %M"` device_name=grp-7 device_ip=10.0.0.7 device_community=mycommunity snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2 echo "get running-config $1-$2-$3-$device_name.txt"|tftp $device_ip snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1
Данный скрипт выполняет следующее:
- включает tftp-сервер на коммутаторе
- копирует информацию в файл, в формате <год>-<месяц>-<день>-<имяустройства>.txt
- отключает tftp-сервер на коммутаторе
Таким образом есть возможность быстрого и простого резервного копирования конфигурации коммутатора без использования скриптов для входа на коммутатор.
пример скрипта содержащий цикл (делает backup нескольких коммутаторов).
!/bin/bash
set `date +"%Y %m %d %H %M"`
switch=(
10.0.0.1
10.0.0.2
)
device_community=public
for device_ip in ${switch[@]} ; do
snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2
echo "get running-config $1-$2-$3-$4-$5-$device_ip.txt"|tftp $device_ip
snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1
echo backup creat $device_ip
done
Пример простого скрипта для резервного копирования с использованием expect (для 5308xl):
#!/usr/bin/expect -f
log_user 0
spawn telnet 10.0.0.1
expect "Press any key to continue" {send "j\r"}
expect "HP ProCurve Switch 5308xl>" {send "enable\r"}
expect "Username:" {send "admin\r"}
expect "Password:" {send "password\r"}
expect "HP ProCurve Switch 5308xl# " {send "copy startup-config tftp 10.0.0.10 nameconfig\r"}
sleep 10
send "exit\r"
send "exit\r"
expect "Do you want to log out" {send "y\r"}
expect eof
[править] Настройка SNTP
Режимы работы SNTP (Simple Network Time Protocol):
- Unicast — в этом режиме необходимо указать адрес SNTP-сервера. Если указаны несколько серверов (максимум можно указать 3 сервера), то коммутатор выбирает к какому обращаться:
- В 3400, 5300 моделях: по IP-адресу — сначала он запрашивает сервер с наименьшим адресом, если тот не отвечает, то у следующего,
- В 3500, 5400 моделях: по указанному приоритету — можно указать приоритет со значением от 1 до 3, сервера будут запрашиваться по порядку в соответствии с приоритетом,
- Broadcast — в этом режиме коммутатор будет получать обновления от первого сервера от которого он получил SNTP-объявление. Сообщения других серверов коммутатор будет отбрасывать до тех пор, пока не пройдет 3 poll-интервала без обновлений.
Просмотр текущего времени на коммутаторе:
sw# show time
Просмотр настроек SNTP:
sw# show sntp
sw# show management
Настройка SNTP в режиме unicast:
sw(config)# sntp unicast
Указание адреса сервера (для 3400, 5300 моделей):
sw(config)# sntp server 192.168.9.9
Указание адреса сервера и приоритета (для 3500, 5400 моделей):
sw(config)# sntp server priority 1 192.168.9.9
Включение SNTP:
sw(config)# timesync sntp sw(config)# sntp 30
Интервал между отправкой запросов на сервер (по умолчанию 720 секунд):
sw(config)# sntp poll-interval <30-720>
Настройка временной зоны:
sw(config)# time timezone <offset>
пример UTC+3 (Минск, 3х60=180)
sw(config)# time timezone 180
[править] Logging
[править] Просмотр логов коммутатора
На коммутаторах ProCurve может храниться 1000 лог-сообщений. При корректной перезагрузке коммутатора (если не было выключения по питанию), лог-сообщения событий, которые произошли до перезагрузки, сохраняются.
Посмотреть логи коммутатора (самые старые события будут отображаться первыми):
sw# show log
Посмотреть логи коммутатора в обратном порядке (новые события будут отображаться первыми):
sw# show log -r
Просмотр всех событий, включая те, которые были до перезагрузки:
sw# show logging -a
Просмотр событий в которых встречается слово system:
sw# show logging system
Просмотр событий в которых встречается слово system, включая те, которые были до перезагрузки:
sw# show logging -a system
[править] Настройка отправки сообщений на сервер
На коммутаторах ProCurve можно указать максимум 6 лог-серверов. Сообщения будут отправляться на все указанные сервера.
Настройка отправки сообщений на лог-сервер:
sw(config)# logging 192.168.9.9
Указать уровень severity лог-сообщений, которые будут отправляться на лог-сервер (по умолчанию отправляются все):
sw(config)# logging severity < debug | major | error | warning | info >
sw(config)# logging system-module < system-module >
Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:
switch(config)# ip source-interface syslog <loopback <id>|vlan <vlan-id> address <ip-address>>
Просмотр информации о source-interface:
switch# show ip source-interface status
[править] LLDP и CDP
CDP и LLDP — протоколы канального уровня, которые позволяют сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.
У них есть некоторые отличия, однако основные возможности у них практически одинаковы. Одно из основных отличий, то что LLDP — стандарт, а CDP — проприетарный протокол Cisco.
Коммутаторы ProCurve поддерживают оба протокола. Однако, LLDP-сообщения они могут и генерировать и принимать, а CDP — только принимать.
[править] VLAN
- Основная страница: VLAN в HP ProCurve
[править] Агрегирование каналов (Port aggregation)
- Основная страница: Агрегирование каналов
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером.
[править] STP
- Основная страница: STP в ProCurve
В зависимости от модели коммутаторы ProCurve поддерживают различные версии протокола Spanning Tree:
- 3400, 5300 — поддерживают RSTP и MSTP,
- 3500, 5400 — поддерживают MSTP.
[править] MESH
- Основная страница: ProCurve Mesh
[править] Настройка маршрутизации
[править] Настройка маршрутизации между VLAN
- Основная страница: VLAN в HP ProCurve
[править] Настройка статических маршрутов
[править] Настройка динамической маршрутизации
- Основная страница: OSPF в ProCurve
- Основная страница: RIP в ProCurve
Коммутаторы ProCurve 3го уровня поддерживают два протокола динамической маршрутизации OSPF и RIP.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают BGP. С большой вероятностью наличия ограничений: ASN только 16 бит, без поддержки IPV6, отсутствие ресурсов для принятия full view.
[править] Маршрутизация на основе политик (policy-based routing, PBR)
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают маршрутизацию на основе политик. Это позволяет маршрутизировать трафик основываясь не только на IP-адресе получателя, но и других критериях, например, IP-адресе отправителя.
Эта функция работает на основе существующего классификатора трафика, который ранее использовался для настройки зеркалирования трафика и правил QoS.
|
|
Информация о функции, параметрах, настройке находится в разделе Classifier-Based Software Configuration документа Advanced Traffic Management Guide (для соответствующей версии ОС). |
Действия доступные в политике PBR:
- настройка значения next-hop (<ipv4 | ipv6> ip next-hop <ipaddr>)
- настройка значения next-hop для пакетов, для которых нет специфического маршрута (<ipv4 | ipv6> ip default-next-hop <ipaddr>)
- настройка исходящего туннельного интерфейса (interface tunnel <tunnel-ID>)
- настройка интерфейса null, который указывает, что пакеты будут отброшены, если к ним не применяются другие действия ранее
Правила работы PBR:
- Для класса могут быть настроены несколько действий, до 8 действий для одного класса
- Если настроено действие интерфейс null, то другие действия для этого класса не могут быть настроены
- Только одно из 8ми возможных действий может быть активно в один момент времени
- Приоритет действий определяется порядком в котором они добавлены в политику
- Действия могут быть добавлены только к классу. Они добавляются в конец списка действий для класса
- Для того чтобы удалить действия примененные к классу, весь класс должен быть удален из политики
- Когда действие становится недоступным (неактивным), например, если настроенный адрес становится недостижимым (для действий next-hop и default-next-hop) или интерфейс находится в состоянии down (для tunnel), политика просматривает следующие действия. Список действий просматривается до тех пор пока не дойдет до правила interface null или конца списка действий. Если достигнут конец списка, то политика не применяется и соответствующий класс обрабатывается без учета PBR.
- Максимальное количество уникальных IP-адресов next-hop и default-next-hop — 256
Пример политики:
sw_5400(config)# class ipv4 TCP_SERV sw_5400(config-class)# match tcp 10.0.1.0/24 10.0.2.0/24 eq 80 sw_5400(config-class)# match tcp 10.0.1.0/24 10.0.2.0/24 eq 22 sw_5400(config-class)# match tcp 10.0.1.0/24 10.0.2.0/24 eq 23 sw_5400(config-class)# exit sw_5400(config)# class ipv4 UDP_SERV sw_5400(config-class)# match udp 10.0.1.0/24 10.0.2.0/24 eq 67 sw_5400(config-class)# match udp 10.0.1.0/24 10.0.2.0/24 eq 68 sw_5400(config-class)# match udp 10.0.1.0/24 10.0.2.0/24 eq 69 sw_5400(config-class)# exit sw_5400(config)# policy pbr SERVICES sw_5400(policy-pbr)# class ipv4 TCP_SERV sw_5400(policy-pbr-class)# action ip next-hop 10.0.3.1 sw_5400(policy-pbr-class)# action interface null sw_5400(policy-pbr-class)# exit sw_5400(policy-pbr)# class ipv4 UDP_SERV sw_5400(policy-pbr-class)# action ip default-next-hop 10.0.4.1 sw_5400(policy-pbr-class)# action interface tunnel 3 sw_5400(policy-pbr-class)# exit sw_5400(policy-pbr)# exit sw_5400(config)# vlan 100 sw_5400(vlan-100)# service-policy SERVICES in
|
|
Изменения в классах, которые используются в политике, и в политике можно делать только если политика не применена к интерфейсу. |
Просмотр статистики срабатываний политики:
show statistics policy SERVICES vlan 100 in
Команда отладки (сообщение генерируется когда применяется PBR, когда действие в классе становится неактивным, когда действие в классе становится активным):
debug ip pbr
[править] Настройка QoS
- Основная страница: QoS в HP ProCurve
[править] Настройка Multicast
- Основная страница: Multicast в HP ProCurve
[править] UDP Broadcast Forwarding
Включение глобально UDP Broadcast Forwarding:
ip udp-bcast-forward
Настройка для VLAN адреса получателя:
switch(conf)# ip forward-protocol udp < ip-address > < port-number | port-name >
Параметры port-number:
- dns: Domain Name Service (53)
- ntp: Network Time Protocol (123)
- netbios-ns: NetBIOS Name Service (137)
- netbios-dgm: NetBIOS Datagram Service (138)
- radius: Remote Authentication Dial-In User Service (1812)
- radius-old: Remote Authentication Dial-In User Service (1645)
- rip: Routing Information Protocol (520)
- snmp: Simple Network Management Protocol (161)
- snmp-trap: Simple Network Management Protocol (162)
- tftp: Trivial File Transfer Protocol (69)
- timep: Time Protocol (37)
[править] Полезные команды
redo <number> repeat <command> count delay
alias <name> "command" show alias
sh history
show system
fault-finder ...
sw# show management
Скопировать вывод команды show tech в файл на tftp сервер:
sw# copy command-output 'show tech' tftp 192.168.9.9 sho_tech
Управление лампочкой на коммутаторе (по умолчанию мигает или горит 30 минут, можно менять это значение или отключить её командой):
chassislocate <blink|on|off> [<1-1440>]
loop-protect <port>
HP switch protocol -- если в анализаторе такое видно, то это протокол стекирования коммутаторов ProCurve.
[править] Дополнительная информация
| ProCurve | ||
|---|---|---|
| Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless |  |
| Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
| Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
| Настройка | ||
| Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
| Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
| Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
| Разное | Опция 82 DHCP | SNMP в ProCurve | |
