ProCurve Switch

Материал из Xgu.ru

Перейти к: навигация, поиск

Эта статья находится в процессе написания.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На этой странице описываются настройки коммутаторов ProCurve.

Настройки описанные на этой странице в большей степени относятся к коммутаторам 3го уровня (3400, 3500, 5300, 5400). Однако, многие настройки (как правило не относящиеся к 3 уровню) будут аналогичными и на коммутаторах 2го уровня.


Содержание

[править] Базовые настройки доступа к коммутатору

Если приглашение вида:

  • sw> — это режим оператора,
перейти в режим менеджера — enable,
  • sw# — это режим менеджера,
перейти в конфигурационный режим — configure,
  • sw(config)# — это конфигурационный режим.

На коммутаторах ProCurve команды show можно выполнять в конфигурационном режиме и во вложенных конфигурационных режимах.

Задание имени коммутатора: 

sw(config)# hostname sw

[править] Базовая настройка доступа к коммутатору

[править] Интерфейсы управления коммутатором

Различают два метода доступа к коммутатору (такая терминология не часто используется, но встречается и пригодится тем, кто собирается сдавать экзамен для получения первого уровня сертификации AIS):

  • in-band — когда управляющий трафик повторяет путь обычных данных (то есть, управляющий трафик идет через те же порты, что и данные),
  • out-band — когда управляющий трафик использует выделенный путь.

In-band методы:

  • Telnet
  • SSH
  • SNMP
  • HTTP
  • HTTPS

Out-band метод:

  • Консоль

На самом деле Out-band методами могут называться и такие методы доступа как SSH, Telnet. Такой термин к этим методам применяется, если управляющий трафик изолирован от обычных данных. Например, выделен в отдельный VLAN.

У коммутаторов ProCurve есть несколько интерфейсов управления:

  • CLI (интерфейс командной строки или командная строка) — к ней можно получить доступ с помощью консоли, Telnet или SSH;
  • Меню — псевдографические меню, в которые можно попасть из командной строки:
    • Setup — простое меню с ограниченными возможностями, тут можно выполнить только самые базовые настройки,
    • Menu — более мощное меню, с широкими возможностями по настройке, просмотру настроек и поведения коммутатора. Возможностей тут меньше, чем в командной строке, но всё же достаточно много. Один из вариантов, когда это меню особо удобно использовать — когда необходимо просмотреть динамическую статистику интерфейсов. Если выполнить команду show из командной строки, то вывод будет показывать срез информации, а в Menu есть возможность просматривать эту статистику в динамике (то есть она будет изменяться в реальном времени);
  • Веб-интерфейс — к нему можно получить доступ используя браузер. Возможностей меньше, чем в командной строке, но удобно использовать при отсутствии знаний команд командной строки.
  • ProCurve Manager

Зайти в меню Setup для выполнения базовых настроек: 

sw# setup

Зайти в меню Menu: 

sw# menu

[править] Настройка IP-адреса и шлюза по умолчанию

Для того чтобы можно было управлять коммутатором не только заходя на консоль, но и удаленно, необходимо настроить на нем IP-адрес.

По умолчанию, на коммутаторах ProCurve указано получение IP-адреса по DHCP, но он может быть назначен и административно.

Если коммутатор используется как коммутатор 2го уровня, то IP-адрес настраивается, как правило, в VLAN 1. Если используется специальный выделенный VLAN для управления сетевыми устройствами, то тогда адрес назначается в этом VLAN.

Если коммутатор используется, как коммутатор 3го уровня (или 2/3), то IP-адреса могут быть во всех VLAN и на любой из них (если нет дополнительных ограничений) можно заходить для управления коммутатором.

Настройка IP-адреса на коммутаторе в VLAN 1: 

sw(config)# vlan 1
sw(vlan-1)# ip address 192.168.1.1/24

Или: 

sw(config)# vlan 1 ip address 192.168.1.1/24

На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:

  • к CLI — Telnet,
  • к веб-интерфейсу — HTTP.

Если необходимо удалить настроенный адрес: 

sw(config)# vlan 1
sw(vlan-1)# no ip address 192.168.1.1/24

Для того чтобы на коммутатор можно было заходить не только из сети, из которой ему назначен IP-адрес, но и из других сетей, необходимо настроить шлюз по умолчанию.

Настройка шлюза по умолчанию на коммутаторе 2го уровня: 

sw(config)# ip default-gateway 192.168.1.100

Если коммутатор 3го уровня (то есть, включена команда ip routing), то шлюз по умолчанию настраивается как статический маршрут.

Настройка шлюза по умолчанию на коммутаторе 3го уровня: 

sw(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.100

Посмотреть настройки IP-адреса, маршрут по умолчанию и включен ли ip routing: 

sw# show ip

[править] Пароли на режимы оператора и менеджера

Базовые настройки по защите доступа к коммутатору предполагают, как минимум, настройку паролей для уровня менеджера (manager) и оператора (operator).

Синтаксис команды для задания паролей: 

password <manager|operator|all|port-access> [user-name <name>] [<hash-type> <password>]

Параметры команды:

  • manager — указывает, что будут задаваться параметры для уровня доступа менеджер,
  • operator — указывает, что будут задаваться параметры для уровня доступа оператор,
  • all — указывает, что будут задаваться параметры для режимов менеджер и оператор,
  • port-access — задание пароля оператора для аутентификации по 802.1X,
  • user-name — задание имени пользователя для соответствующего режима доступа,
  • hash-type — указывает какой алгоритм используется для хеширования пароля:
    • plaintext
    • sha1

Настройка пароля на режим менеджера: 

sw(config)# password manager
New password for Manager: ********
Please retype new password for Manager: ********

По умолчанию введенные пароли и имена пользователей не видны в конфигурационном файле, так как они хранятся в отдельной зоне на коммутаторе. Для того чтобы они отображались, необходимо ввести команду include-credentials. Подробнее о других параметрах, которые будут отображаться после введения этой команды на странице ProCurve Security.

При настройке паролей для менеджера и оператора, имена пользователей задавать не обязательно. Если имена не заданы, то при доступе к коммутатору, там где требуется введение имени пользователя (например, SSH, HTTP), необходимо оставить имя пустым.

Настроить имена пользователей можно из CLI и веб-интерфейса. Из интерфейса menu можно настроить пароли, но нельзя имена пользователей. Кроме того, имена и пароли пользователей могут быть настроены в Management Interface Wizard.

Настройка имени пользователя и пароля на режим оператора: 

sw(config)# password operator user-name neadmin
New password for Operator: ********
Please retype new password for Operator: ********

Настройка имени пользователя и пароля на режим менеджера: 

sw(config)# password manager user-name admin
New password for Manager: ********
Please retype new password for Manager: ********

На коммутаторах ProCurve нет возможности создавать базу пользователей. Тут есть только два пользователя с различными уровнями привилегий — менеджер и оператор.

[править] Удаление паролей

Если известен пароль менеджера, то удалить пароли для менеджера и оператора можно так (вместе с паролями удаляются и имена пользователей): 

sw(config)# no password all

Удалить пароль менеджера: 

sw(config)# no password manager

Удалить пароль оператора: 

sw(config)# no password operator

Если пароль менеджера не известен, то для удаления паролей необходимо воспользоваться кнопкой Clear на передней панели. Для обнуления достаточно удерживать её нажатой пару секунд.

Эта функциональность кнопки Clear может быть отключена. Подробнее о передней панели на странице ProCurve Security.

[править] Настройка Telnet

После того как на коммутаторе назначен IP-адрес, в CLI коммутатора можно удаленно заходить используя протокол Telnet.

Посмотреть активные сессии: 

sw# sh telnet

Оборвать сессию: 

sw# kill 3

Отключение telnet: 

sw(config)# no telnet-server

[править] Настройка доступа к веб-интерфейсу

После того как на коммутаторе назначен IP-адрес, на веб-интерфейс коммутатора можно удаленно заходить по HTTP. Для этого достаточно в браузере указать IP-адрес коммутатора и, если указаны, то имя пользователя и пароль.

Настройка безопасного доступа к веб-интерфейсу с использованием SSL описана на странице Доступ к коммутатору ProCurve.

Отключить доступ к веб-интерфейсу коммутатора по HTTP (например, если будет настроен доступ с использованием SSL): 

sw(config)# no web-management plaintext

Полностью отключить доступ к веб-интерфейсу: 

sw(config)# no web-management

[править] Настройка таймеров 

console inactivity-timer < 0 | 1 | 5 | 10 | 15 | 20 | 30 | 60 | 120 >

[править] Настройка SSH, SSL и авторизованных менеджеров

Основная страница: Доступ к коммутатору ProCurve

На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:

  • к CLI — Telnet,
  • к веб-интерфейсу — HTTP.

В обоих случаях информация, которая пересылается между хостом и коммутатором передается в открытом виде.

Более безопасными альтернативами для доступа к коммутатору, являются:

  • к CLI — SSH,
  • к веб-интерфейсу — HTTPS (SSL).

Если на коммутаторе включен SSH, то он разрешает одно подключение к консоли и до трёх других сессий (SSH или Telnet). Посмотреть текущие сессии можно командой show ip ssh.

Функция авторизованные менеджеры позволяет добавить еще один критерий (кроме паролей на режим менеджера и оператора), который будет проверяться прежде чем будет предоставлен доступ к коммутатору — IP-адреса с которых разрешен доступ к коммутатору.

До запроса пароля на доступ с правами operator или manager, будет учитываться с какого IP-адреса осуществляется доступ к коммутатору.

Доступ будет разрешен только с IP-адресов указанных в команде ip authorized-managers.

Ограничения списка авторизованных менеджеров касаются:

  • доступа к коммутатору с помощью Telnet;
  • доступа к коммутатору с помощью SSH, HTTP, HTTPS;
  • SNMP;
  • передачи файлов (конфигурационных и ОС) по TFTP.

[править] Management Interface Wizard

В новых версиях ОС (начиная с K.14.09) появился инструмент Management Interface Wizard, который позволяет в интерактивном режиме настроить различные параметры протоколов использующихся для доступа к коммутатору.

Подробнее о Management Interface Wizard на странице Доступ к коммутатору ProCurve.

[править] Работа с интерфейсами

[править] Просмотр информации об интерфейсах, задание имен интерфейсам 

sw# show interfaces
sw# show interfaces brief
sw# show interfaces config
sw# show interfaces port-utilization

Задать имена интерфейсам: 

sw(config)# interfaces 1 name perviy

Просмотр заданных имен: 

sw# show name

[править] Управление конфигурационными файлами и ОС

[править] Просмотр конфигурации и фильтрация вывода

Посмотреть настройки конкретного VLAN, например, VLAN 100: 

sw(config)# sh run vlan 100

Running configuration:

vlan 100
   name "VLAN100"
   ip address 192.168.100.100 255.255.255.0
   ip ospf 192.168.100.100 area backbone
   ip pim-sparse
      ip-addr any
      exit
   vrrp vrid 1
      backup
      virtual-ip-address 192.168.100.1 255.255.255.0
      no virtual-ip-ping
      enable
      exit
   exit

Эта команда очень удобна так как в выводе sh run настройки разбиваются на несколько частей и их не очень удобно просматривать. Например, в данном примере настройки принадлежности портов VLAN'у и настройки PIM и OSPF находятся в разных частях конфигурационного файла.

В ProCurve поддерживается фильтрация вывода, хотя в подсказках командной строки эти команды не отображаются. То есть, если набрать знак вопроса или табуляцию, то команда не продолжится. Но она работает.

Поддерживается фильтр begin (сокращенно beg или даже b). Отобразить конфигурационный файл начиная со строки в которой встречается слово router: 

sw(config)# sh run | beg router
router ospf
   area backbone
   exit
router pim
   exit
router vrrp
router vrrp virtual-ip-ping
snmp-server community "public" unrestricted
vlan 100
   ip ospf 192.168.100.100 area backbone
........

Поддерживается фильтр include (сокращенно inc или i). Отобразить все строки текущей конфигурации в которых встречается слово qos: 

sw(config)# sh run | i qos   
qos device-priority 10.0.1.1 priority 2
qos device-priority 10.0.1.2 dscp 101000
qos device-priority 10.0.1.5 priority 7
qos device-priority 10.0.1.10 dscp 101110
qos udp-port ipv4 23 priority 4
qos udp-port ipv4 range 1024 2000 priority 1
qos tcp-port ipv4 22 priority 7
qos udp-port ipv4 range 2024 3000 priority 1
qos udp-port ipv4 range 3024 4000 priority 1
qos udp-port ipv4 range 4024 5000 priority 1
qos udp-port ipv4 range 5024 6000 priority 1
qos udp-port ipv4 range 7024 8000 priority 1
qos udp-port ipv4 range 8024 9000 priority 1
qos tcp-port ipv4 23 dscp 001010
qos tcp-port ipv4 80 dscp 101110
qos queue-config 4-queues

[править] Работа с файлами ОС

У коммутаторов ProCurve есть две области во flash-памяти в которых можно хранить разные ОС:

  • primary
  • secondary

В этих областях можно хранить только ОС коммутатора, по одной в каждой.

Посмотреть содержимое flash-памяти: 

switch# sh flash

Посмотреть какая сейчас версия ОС используется: 

switch# sh version

Копировать нужный софт как secondary image на коммутатор: 

switch# copy tftp flash 192.168.1.100 image_name secondary

Перезагрузить коммутатор с secondary image (образ из secondary области будет использоваться после перезагрузки коммутатора до тех пор, пока не будет указан другой): 

switch# boot system flash secondary

Указать с какой области будет загружен коммутатор после следующей перезагрузки не перезагружая его сейчас: 

switch# boot set-default flash secondary

Копирование образа из secondary в primary: 

switch# copy flash flash primary

[править] Работа с конфигурационными файлами

Посмотреть отличаются ли стартовая конфигурация и текущая (команда не выполняет сравнение конфигураций, а просто сообщает отличаются ли они): 

sw# sh config status

Скопировать стартовый конфигурационный файл на TFTP-сервер: 

sw# copy startup-config tftp 192.168.1.100 lab1_2_sw4

Удалить стартовый конфигурационный файл: 

sw# erase startup-config

Несмотря на то, что конфигурация коммутатора удалена, пароли для доступа к режиму менеджера и оператора останутся (если они были настроены). Это происходит из-за того, что коммутатор хранит эту информацию отдельно.

Скопировать файл TFTP-сервера (с TFTP-сервера можно скопировать только в startup конф, в текущую нельзя): 

sw# copy tftp startup-config 192.168.1.100 lab1_2_sw4

[править] Работа с несколькими конфигурационными файлами

Только для 53, 54, 35 

sw# sh config files

Скопировать конфигурацию на tftp сервер: 

sw# copy startup-config tftp 192.168.9.9 sw8_config

Переименовать ее на сервере и скопировать назад на коммутатор: 

sw# copy tftp config sec_sw8_config 192.168.9.9 sec_sw8_config
sw# sh config files

Посмотреть скопированный конфиг: 

sw# sh config sec_sw8_config

Настроить связь между secondary image и sec_sw8_config файлом: 

sw# startup-default secondary config sec_sw8_config 
sw# sh config files

Вернуть всё в default настройки: 

sw# startup-default secondary config config1

[править] Резервное копирование конфигурации коммутатора

Для резервного копирования конфигурации коммутатора существует возможность использования скриптов на языках perl (Net::Telnet) и Expect. При этом, коммутаторы HP ProCurve обладают возможностью включать на себе сервер tftp. Это позволяет проводить резервное копирование конфигурации коммутатора без использования tftp-сервера, что иногда необходимо.

Для работы скрипта необходимо включить SNMP-протокол на сервере в режиме конфигурирования и описать community с возможностью записи, например так: 

snmp-server community mycommunity Unrestricted

Далее показан пример резервного копирования коммутатора (проверено на 4 моделях коммутаторов HP: 2650, 2610-48, 2824, 2610-24g): 

#!/bin/sh

set `date +"%Y %m %d %H %M"`

device_name=grp-7
device_ip=10.0.0.7
device_community=mycommunity

snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 2
echo "get running-config $1-$2-$3-$device_name.txt"|tftp $device_ip
snmpset -v 2c -c "$device_community" $device_ip 1.3.6.1.4.1.11.2.14.11.5.1.7.1.5.6.0 i 1

Данный скрипт выполняет следующее:

  • включает tftp-сервер на коммутаторе
  • копирует информацию в файл, в формате <год>-<месяц>-<день>-<имяустройства>.txt
  • отключает tftp-сервер на коммутаторе

Таким образом есть возможность быстрого и простого резервного копирования конфигурации коммутатора без использования скриптов для входа на коммутатор.

[править] Настройка SNTP

Режимы работы SNTP (Simple Network Time Protocol):

  • Unicast — в этом режиме необходимо указать адрес SNTP-сервера. Если указаны несколько серверов (максимум можно указать 3 сервера), то коммутатор выбирает к какому обращаться:
    • В 3400, 5300 моделях: по IP-адресу — сначала он запрашивает сервер с наименьшим адресом, если тот не отвечает, то у следующего,
    • В 3500, 5400 моделях: по указанному приоритету — можно указать приоритет со значением от 1 до 3, сервера будут запрашиваться по порядку в соответствии с приоритетом,
  • Broadcast — в этом режиме коммутатор будет получать обновления от первого сервера от которого он получил SNTP-объявление. Сообщения других серверов коммутатор будет отбрасывать до тех пор, пока не пройдет 3 poll-интервала без обновлений.

Просмотр текущего времени на коммутаторе: 

sw# show time

Просмотр настроек SNTP: 

sw# show sntp

sw# show management

Настройка SNTP в режиме unicast: 

sw(config)# sntp unicast

Указание адреса сервера (для 3400, 5300 моделей): 

sw(config)# sntp server 192.168.9.9

Указание адреса сервера и приоритета (для 3500, 5400 моделей): 

sw(config)# sntp server priority 1 192.168.9.9

Включение SNTP: 

sw(config)# timesync sntp
sw(config)# sntp 30

Интервал между отправкой запросов на сервер (по умолчанию 720 секунд): 

sw(config)# sntp poll-interval <30-720>

Настройка временной зоны: 

sw(config)# time timezone <offset>

[править] Logging

[править] Просмотр логов коммутатора

На коммутаторах ProCurve может храниться 1000 лог-сообщений. При корректной перезагрузке коммутатора (если не было выключения по питанию), лог-сообщения событий, которые произошли до перезагрузки, сохраняются.

Посмотреть логи коммутатора (самые старые события будут отображаться первыми): 

sw# show log

Посмотреть логи коммутатора в обратном порядке (новые события будут отображаться первыми): 

sw# show log -r

Просмотр всех событий, включая те, которые были до перезагрузки: 

sw# show logging -a

Просмотр событий в которых встречается слово system: 

sw# show logging system

Просмотр событий в которых встречается слово system, включая те, которые были до перезагрузки: 

sw# show logging -a system

[править] Настройка отправки сообщений на сервер

На коммутаторах ProCurve можно указать максимум 6 лог-серверов. Сообщения будут отправляться на все указанные сервера.

Настройка отправки сообщений на лог-сервер: 

sw(config)# logging 192.168.9.9

Указать уровень severity лог-сообщений, которые будут отправляться на лог-сервер (по умолчанию отправляются все): 

sw(config)# logging severity < debug | major | error | warning | info >

sw(config)# logging system-module < system-module >

Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора: 

switch(config)# ip source-interface syslog <loopback <id>|vlan <vlan-id> address <ip-address>>

Просмотр информации о source-interface: 

switch# show ip source-interface status

[править] LLDP и CDP

Основная страница: LLDP
Основная страница: CDP

CDP и LLDP — протоколы канального уровня, которые позволяют сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.

У них есть некоторые отличия, однако основные возможности у них практически одинаковы. Одно из основных отличий, то что LLDP — стандарт, а CDP — проприетарный протокол Cisco.

Коммутаторы ProCurve поддерживают оба протокола. Однако, LLDP-сообщения они могут и генерировать и принимать, а CDP — только принимать.

[править] VLAN

Основная страница: VLAN в HP ProCurve

[править] Агрегирование каналов (Port aggregation)

Основная страница: Агрегирование каналов

Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером.

[править] STP

Основная страница: STP в ProCurve

В зависимости от модели коммутаторы ProCurve поддерживают различные версии протокола Spanning Tree:

  • 3400, 5300 — поддерживают RSTP и MSTP,
  • 3500, 5400 — поддерживают MSTP.

[править] MESH

Основная страница: ProCurve Mesh

[править] Настройка маршрутизации

[править] Настройка маршрутизации между VLAN

Основная страница: VLAN в HP ProCurve

[править] Настройка статических маршрутов

[править] Настройка динамической маршрутизации

Основная страница: OSPF в ProCurve
Основная страница: RIP в ProCurve

Коммутаторы ProCurve 3го уровня поддерживают два протокола динамической маршрутизации OSPF и RIP.

[править] Настройка QoS

Основная страница: QoS в HP ProCurve

[править] Настройка Multicast

Основная страница: Multicast в HP ProCurve

[править] UDP Broadcast Forwarding

Включение глобально UDP Broadcast Forwarding: 

ip udp-bcast-forward

Настройка для VLAN адреса получателя: 

switch(conf)# ip forward-protocol udp < ip-address > < port-number | port-name >

Параметры port-number:

  • dns: Domain Name Service (53)
  • ntp: Network Time Protocol (123)
  • netbios-ns: NetBIOS Name Service (137)
  • netbios-dgm: NetBIOS Datagram Service (138)
  • radius: Remote Authentication Dial-In User Service (1812)
  • radius-old: Remote Authentication Dial-In User Service (1645)
  • rip: Routing Information Protocol (520)
  • snmp: Simple Network Management Protocol (161)
  • snmp-trap: Simple Network Management Protocol (162)
  • tftp: Trivial File Transfer Protocol (69)
  • timep: Time Protocol (37)

[править] Полезные команды 

sh history
repeat 

show system

sw# show management

Скопировать вывод команды show tech в файл на tftp сервер: 

sw# copy command-output 'show tech' tftp 192.168.9.9 sho_tech

Управление лампочкой на коммутаторе (по умолчанию мигает или горит 30 минут, можно менять это значение или отключить её командой): 

chassislocate <blink|on|off> [<1-1440>]

loop-protect <port>

HP switch protocol -- если в анализаторе такое видно, то это протокол стекирования коммутаторов ProCurve.

[править] Дополнительная информация

Источник — «http://xgu.ru/wiki/ProCurve_Switch»