Меню

alcatel lucent switch настройка

Мой блог о сетях

понедельник, 13 мая 2013 г.

Базовые команды для семейства Alcatel Omniswitch

Базовые команды для семейства Alcatel Omniswitch

Эта статья основана на записях и пометках, которые я делал в процессе знакомства с оборудованием Alcatel-Lucent. Все здесь описанное подходит для моделей Alcatel Omniswitchs 6600, 6800 и 6850. Более подробная информация может находится тут: документация Alcatel-Lucent но к сожалению не вся она доступна без авторизации.

Свитчи Alcatel Omniswitch имеют Unix подобное базовое ядро после загрузки которого грузятся файлы «прошивки». Поэтому некоторые команды Unix доступны на свитче Alcatel например текстовый редактор «vi».

Управление файлами конфигурации

Alcatel Omniswitchs могут работать в двух режимах: working и certified. Чтобы узнать в каком режиме загрузился ваш свитч используйте команду:

В режиме working конфигурацию можно изменять, в режиме certified — нет. При загрузке свитч сравнивает файлы в директориях working и certified если они не идентичны — загрузка производится из директории certified

Кстати здесь и рожден основной глюк этих свитчей и их не любовь к перебоям питания. Если при сбое повреждается файл в каталоге certified:

  • файлы становятся неидентичны и свитч пытается загрузиться из certified
  • файлы в certified повреждены и загрузка не будет произведена

Свою конфигурацию свитч хранит в двух файлах: certifed/boot.cfg и working/boot.cfg (они должны быть идентичны) их можно вручную редактировать встроенным в ОС редактором «vi«.
Процедура сохранения конфигурации на Alcatel Omniswitch:

  1. Сохраняем running в working: write memory
  2. Копируем working в certified: copy working certified [flash-synchro] , Параметр flash-synchro синхронизирует конфигурацию во всех ячейках flash (на Alcatel их несколько)

Дополнительные команды работы с конфигурацией:

  • Сохранение текущего конфига(running) если вы находитесь в режиме certified: configuration snapshot all . Затем полученный файл копируем в working/boot.cfg
  • Перезагрузка в режиме working без «отката«: reload working no rollback-timeout
  • Просмотр работающей конфигурации: show configuration snapshot [all|vlan|ip|. ] или write terminal

Если вы решите «поиграться» с конфигурацией удаленного свитча можно перегрузить его в режиме certified и запрограммировать на нем отложенную перезагрузку. Отложенная перзагрузка включается командой: reload in где n — число минут через которое свитч самостоятельно перезагрузится. Отменить отложенную перезагрузку можно командой: reload cancel . Команда show reload покажет через какое время свитч перезагрузится.

Натройка VLANов 802.1q и Layer 3 VLAN

  • VLANы 802.1q создаются командой: vlan enable name “VLAN name”
  • Удаляются: no vlan .
  • Команда show vlan выдает список всех созданных на свитче вланов
  • show vlan выдает детальную информацию по конкретному .

В зависимости от версии прошивки (microcode version — можно просмотреть командой: show microcode ), Вланы уровня 3 VLAN можно создать командами:

  • ip interface “interface name” vlan address mask
  • vlan router “interface name” vlan address mask

и удалить:

  • no ip interface “interface name”
  • no vlan router “interface name”

Для того что-бы привязать VLAN к порту используются команды:

  • Привязка не тегированного (access) VLANa: vlan port default /

    Привязка тегированного (trunk) VLANa: vlan 802.1Q /

    [ ]
    Удаление тегированного (trunk) VLANa: vlan no 802.1Q /

  • Чтобы просмотреть список привязок Port — VLAN : show vlan port
  • Чтобы посмотреть порты к которым привязан конкретный VLAN: show vlan port
  • Чтобы просмотреть состояние конкретного порта: show vlan port /

    Агрегация каналов (Link aggregation/LAG)

    Состояние железа

    • Получить информацию о состоянии интерфейса (админ-статус, MAC, скорость, дуплекс, ошибки и.т.п.): show interface [port|status| /

    |. ]
    Изменить параметры интерфейса: interface /

    [speed |duplex |autoneg |flood rate ] (для того чтобы изменить скорость/дуплекс для порта в autonegotiate, сначала нужно сделать: autoneg off , и только потом задавать параметры скорости/дуплекса)
    Выключить интерфейс: interface /

    admin down

  • Очистить счетчики: interfaces [/port1-port2] no l2 statistics

Просмотреть общее состояние системы: show health all (cpu|memory)
Получить информацию CMM (Control Management Module): show cmm

Когда свитчи собраны в стек один их свитчей находится в состоянии primary, другой — secondary, остальные в состоянии idle. Если выпадает первичный свитч — secondary берет его работу на себя а один их idle становится secondary.
Чтобы получить информацию о шасси -используется команда: show chassis . А для просмотра топологии стека: show stack topology .

Система

Системное время NTP

Привязка сервера NTP: ntp server .
Even if the DNS is configured, you can’t specify a name for the NTP server. Активация NTP клиента: ntp client enable .

Просмотр информации по запущенному NTP:

  • show ntp client : покажет включен ли NTP или нет и когда прошло последнее обновление
  • show ntp server-list : покажет список доступных серверов NTP и с каким из них свитч синхронизирован

Логи наше все! Команда: show swlog выводит параметры сбора логов на свитче:

Команды просмотра логов:

  • show log swlog : выводит все логи
  • show log swlog timestamp : только логи начиная с заданного времени
  • Удаление логов: swlog clear

Включение сбора логов на свитче: swlog output socket

(enable|disable)
Изменение алгоритма STP: bridge protocol (802.1D|STP|RTSP) .
Например: bridge 1×1 protocol (802.1D|STP|RTSP) .

  • Определение DNS серверов: ip name-server
  • Привязка имени домена: ip domain-name
  • Включение DNS клиента: ip domain-lookup

Включение DHCP relay

  • ip service udp-relay
  • Включение DHCP только на заданных VLANах: ip helper per-vlan only
  • Привязка адреса сервера DHCP: ip helper address vlan
  • Включение DHCP relay: ip udp relay BOOTP

Службы (Services)

  • Включение/выключение определенных служб: [no] ip service (ftp|ssh|telnet|http|secure-http|udp-relay|snmp|all) .
  • Список включенных служб: show ip service .

Например для включения HTTPS: ip http ssl

Аутентификация AAA

Аутентификация может быть локальной или через удаленный сервер Radius. Чтобы активировать локальную аутентификацию необходимо ввести команды:

aaa authentication default “local”
aaa authentication (console|ssh|ftp|802.1X|vlan|. ) “local”

Затем настроить snmp сервер:

  • snmp security no security
  • Связываем community с созданным пользователем: snmp community map user on
  • Задаем сервер сбора событий SNMPr: snmp station [

    ] (v1|v2c|v3) enable

  • Аутентификация SNMP ВКЛ/ВЫКЛ: snmp authentification trap (enable|disable)
  • Фильтрация отправляемых событий snmp trap filter

Зеркалирование портов (Port mirroring)

Зеркалирование (Port mirroring) работает только в диапазонах портов 1-12, 13-24 и.т.д. (по крайней мере в моделях до серии 6800). При попытке настроить зеркалирование с 1 на 12 порт выскочит ошибка:

Существует возможность перенаправлять трафик с нескольких источников в один приемник и просматривать в одном порту трафик с нескольких портов.

  • show port mirroring status
  • port mirroring source /

enable

  • no port mirroring
  • Чтобы включит его на всех портах модуля: lanpower start
  • Для выключения POE, используется симметричная команда: lanpower stop ( /

    | )

  • Просмотр конфигурации POE: show lanpower
  • Существует возможность ограничить мощность отдаваемую в порт: lanpower /

    power

  • То же самое для всего модуля: lanpower maxpower
  • Мощности в 230W достаточно для питания полного модуля с подключенными IP телефонами. Но нужно помнить что свитч может питать подключенные устройства нестабильно, если подключенных устройств слишком много а мощности блока питания свитча (PSU) не достаточно.

    источник

    Базовая архитектура и настройка сети передачи данных на базе оборудования Alcatel OmniSwitch

    Здравствуйте, уважаемые Хабравчане. В статье я хочу рассмотреть использование оборудования Alcatel OmniSwitch (OmniSwitch 6850E — в качестве коммутатора уровня доступа и 9702E — в качестве уровня ядра/распределения) в корпоративной сети.

    Предлагается следующий порядок ввода в действие ЛВС:

    1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства
    2. Включаем udld на портах (оптических) направленных на коммутаторы
    3. Агрегируем каналы, там, где в этом есть необходимость
    4. Создаем транки и VLAN. MVRP.
    5. Настраиваем STP(MSTP). Проверяем что включен режим 802.1w, иначе сходимость сети будет очень медленная
    6. Настраиваем расширения для STP (root-guard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort) Настраиваем Port-Security — максимальное количество маков на пользовательских портах — 5

    1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства

    Управление счетчиками интерфейса
    Сброс статистики порта:
    -> interfaces 2/3 no l2 statistics
    Сброс статистики на модуле:
    -> interfaces 2 no l2 statistics
    Сброс статистики на группе портов:
    -> interfaces 2/1-3 no l2 statistics
    Сброс статистики порта только для CLI, SNMP статистика сохраняется:
    -> interfaces 2/1-3 no l2 statistics cli
    Просмотр статистики по порту:
    -> show interfaces
    -> show interfaces accounting
    -> show interfaces counters
    -> show interfaces capability
    -> show interfaces status
    Включение и отключение интерфейса
    Отключение всех интерфейсов модуля
    -> interfaces 2 admin down
    Отключение интерфейса
    -> interfaces 2/3 admin down
    Включение группы интерфейсов
    -> interfaces 2/1-3 admin down
    Просмотр
    -> show interfaces 1/1 port
    -> show interfaces 1 port
    Описания интерфейса
    Добавление
    -> interfaces 3/1 alias switch_port
    -> interfaces 2/2 alias «IP Phone»
    Удаление
    -> interfaces 3/1 alias «»
    Настройка параметров порта
    Скорость
    interfaces speed >
    -> interfaces 2 autoneg disable
    -> interfaces 2 speed 100
    -> interfaces 2/3 speed 100
    -> interfaces 2/1-3 speed 100
    Дуплекс
    interfaces duplex
    -> interfaces 2 autoneg disable
    -> interfaces 2 duplex full
    -> interfaces 2/3 duplex full
    -> interfaces 2/1-3 duplex full
    Автосогласование скорости и дуплекса
    -> interfaces 2 autoneg enable
    -> interfaces 2/3 autoneg enable
    -> interfaces 2/3 autoneg disable
    Выбор типа MDI
    interfaces crossover
    • mdix – типичный режим работы для концентраторов и коммутаторов;
    • mdi – типичный режим работы для хостов.
    -> interfaces 3 crossover mdi
    -> interfaces 3/1 crossover mdix
    -> interfaces 3/1-4 crossover auto
    Просмотр
    -> show interfaces 5/1
    -> show interfaces 5/1 capability
    -> show interfaces 1/2 status
    Диагностика кабельного соединения
    Запуск теста
    -> interfaces 2/1 tdr-test-start
    Отображение результатов теста
    -> show interfaces 1/3 tdr-statistics
    Legend: Pair 1 — green and white
    Pair 2 — orange and white
    Pair 3 — brown and white
    Pair 4 — blue and white
    Slot/ No of Cable Fuzzy Pair1 Pair1 Pair2 Pair2 Pair3 Pair3 Pair4 Pair4 Test
    port pairs State Length State Length State Length State Length State Length Result
    ——+——+——+——+——+——+——+——+——+——+——+——+——
    1/3 4 ok 0 ok 3 ok 3 ok 3 ok 3 success

    Расшифровка результатов теста:
    • OK—Wire is working properly
    • Open—Wire is broken
    • Short—Pairs of wire are in contact with each other
    • Crosstalk—Signal transmitted on one pair of wire creates an undesired effect in another wire.
    • Unknown—Cable diagnostic test unable to find the state of a cable.
    Сброс результатов теста
    -> interfaces 2/1 no tdr-statistics
    Violation Recovery
    Определение портов в состоянии violation-disabled
    -> show interfaces 1/1 port
    Legends: WTR — Wait To Restore
    # — WTR Timer is Running & Port is in wait-to-restore state
    * — Permanent Shutdown
    Slot/ Admin Link Violations Recovery Recovery WTR Alias
    Port Status Status Time Max (sec)
    ——+———-+———+———-+———-+———-+———-+———
    1/1 enable down none 300 1 0 «»
    Разблокировка портов
    -> interfaces 1/3 clear-violation-all
    -> interfaces 1 clear-violation-all
    -> interfaces 1/3-7 clear-violation-all
    Или
    -> interfaces 2/3 admin down
    -> interfaces 2/3 admin up

    Устанавливаем на оборудование ip адреса для удаленного управления, присваиваем оборудованию его имя, разрешаем удаленный доступ к коммутаторам, для чего необходимо включить локальную аутентификацию:
    9702-gu-1
    system name os9702-1
    system timezone ZP4
    system daylight savings time disable

    vlan 15 enable name » MANAGEGU»
    ip interface «Mng» address 10.8.128.160 mask 255.255.255.0 vlan 15
    aaa authentication telnet «local»
    9702-gu-2
    system name os9702-2
    system timezone ZP4
    system daylight savings time disable
    vlan 15 enable name » MANAGEGU»
    ip interface «Mng» address 10.8.128.161 mask 255.255.255.0 vlan 15
    9702-RC-1
    system name os9702-gu-2
    system timezone ZP4
    system daylight savings time disable

    vlan 5 enable name » MANAGER»
    ip interface «Mng» address 10.9.128.87 mask 255.255.255.128 vlan 15
    aaa authentication telnet «local»
    9702-RC-2
    system name os9702-gu-2
    system timezone ZP4
    system daylight savings time disable

    vlan 5 enable name » MANAGER»
    ip interface «Mng» address 10.8.129.88 mask 255.255.255.128 vlan 15
    aaa authentication telnet «local»
    По умолчанию для входа на коммутатор необходимо использовать следующие данные:
    Login – admin;
    Password – switch.

    2. Включаем udld на портах (оптических) направленных на коммутаторы

    Включение UDLD:
    udld enable
    включение UDLD на определенном порту:
    udld port 3/2 enable
    просмотр общей конфигурации:
    show udld configuration

    Global UDLD Status: enabled,
    Global UDLD Mode: normal,
    Global UDLD Probe Timer (Sec): 15,
    Global UDLD Echo-Wait Timer (Sec): 8

    просмотр состояния порта:
    show udld status port 3/3

    Admin State: enabled,
    Operational State: bidirectional
    просмотр информации о соседе на определенном порту:
    show udld neighbor port 3/23

    Neighbor Id Device Id Port Id
    ——————+——————-+———————
    1 00:e0:b1:cc:46:38 00:e0:b1:ca:41:8a
    Разблокировка порта UDLD
    -> interfaces 1/3 clear-violation-all
    -> interfaces 1 clear-violation-all
    -> interfaces 1/3-7 clear-violation-all
    Или
    -> interfaces 2/3 admin down
    -> interfaces 2/3 admin up
    UDLD должен быть включен только между портами соединяющими активное оборудования ЛВС (коммутаторы), или говоря по-другому только на оптических портах соединяющих оборудование уровня доступа с оборудованием уровня ядра. UDLD может работать в двух режимах normal и aggressive, в режиме работы normal порт будет заблокирован только в случае, если из обмена и обработки UDLD-PDU явно следует, что канал между коммутаторами неисправен. В режиме работы UDLD aggressive порт будет блокирован и в случае отсутствия обмена UDLD-PDU между устройствами. Разумно выбрать режим работы UDLD – aggressive для работы на уровне распределения и режим работы UDLD – normal для уровня доступа.

    Следует обратить внимание, что протокол UDLD не включен между оборудованием Cisco и ALU, связано это с несовместимостью реализаций данного протокола между этими производителями. Следует быть особенно внимательными при коммутации соединений между оборудованием Cisco и ALU
    show udld status port
    Slot/Port Admin State Operational State
    ————-+—————+———————
    2/2 enabled bidirectional

    show udld configuration port 2/2
    Global UDLD Status: enabled,
    Port UDLD Status: enabled,
    Port UDLD State: bidirectional,
    UDLD Op-Mode: aggressive,
    Probe Timer (Sec): 15,
    Echo-Wait Timer (Sec): 8
    Разблокировать заблокированный порт можно командой:
    interfaces 2/2 clear-violation-all

    -> udld mode aggressive
    -> udld mode normal
    -> udld port 1/3 mode aggressive
    -> udld port 2/4 mode normal
    -> udld port 2/9-18 mode aggressive

    3. Агрегируем каналы, там, где в этом есть необходимость

    Статическая агрегация
    Создание linkagg группы 1 с возможным количеством в два порта:
    static linkagg 1 size 2 admin state enable
    добавление портов в linkagg группу:
    static agg 3/23 agg num 1
    static agg 13/3 agg num 1
    Динамическая агрегация (LACP)
    Создание linkagg группы 1 с возможным количеством в два порта:
    lacp linkagg 11 size 2 admin state enable
    lacp linkagg 11 actor admin key 11
    добавление портов в linkagg группу:
    lacp agg 1/1 actor admin key 11
    lacp agg 2/1 actor admin key 11
    Просмотр информации об агрегированных соединениях
    просмотр общей информации о всех созданный группах на устройстве:
    show linkagg

    Number Aggregate SNMP Id Size Admin State Oper State Att/Sel Ports
    ——-+———-+———+—-+————+—————+————-
    1 Static 40000001 2 ENABLED UP 1 2
    2 Static 40000002 4 ENABLED UP 2 4
    просмотр конфигурации определенной группы:
    show linkagg 1

    Static Aggregate
    SNMP Id: 40000001,
    Aggregate Number: 1,
    SNMP Descriptor: Omnichannel Aggregate Number 1 ref 40000001 size 2,
    Name:,
    Admin State: ENABLED,
    Operational State: UP,
    Aggregate Size: 2,
    Number of Selected Ports: 2,
    Number of Reserved Ports: 2,
    Number of Attached Ports: 1,
    Primary Port: 3/23

    -> show linkagg 2
    Dynamic Aggregate
    SNMP Id: 40000002,
    Aggregate Number: 2,
    SNMP Descriptor: Dynamic Aggregate Number 2 ref 40000002 size 4,
    Name: AGG 2,
    Admin State: ENABLED,
    Operational State: DOWN,
    Aggregate Size: 4,
    Number of Selected Ports: 0,
    Number of Reserved Ports: 0,
    Number of Attached Ports: 0,
    Primary Port: NONE,
    LACP
    MACAddress: [00:1f:cc:00:00:00],
    Actor System Id: [00:20:da:81:d5:b0],
    Actor System Priority: 50,
    Actor Admin Key: 120,
    Actor Oper Key: 0,
    Partner System Id: [00:20:da:81:d5:b1],
    Partner System Priority: 70,
    Partner Admin Key: 220,
    Partner Oper Key: 0
    Pre-emption: ENABLED
    Pre-empt Value: 250
    просмотр информации об определенном порту:
    show linkagg port 3/13

    Static Aggregable Port
    SNMP Id: 3013,
    Slot/Port: 3/13,
    Administrative State: ENABLED,
    Operational State: DOWN,
    Port State: SELECTED,
    Link State: DOWN,
    Selected Agg Number: 2,
    Port position in the aggregate: 3,
    Primary port: NO

    Для соединений используется статическая агрегация каналов, так как неисправность оптических каналов диагностируется оборудованием на аппаратном уровне.

    9702:
    static linkagg 13 size 2 admin state enable
    static agg 2/1 agg num 13
    static agg 4/1 agg num 13

    9702:
    static linkagg 13 size 2 admin state enable
    static agg 2/1 agg num 13
    static agg 4/1 agg num 13
    Настройка DHL
    Создаем группу DHL:
    dhl num 1 name DHL_TO_CORE
    dhl num 1 mac-flushing RAW
    добавляем порты и включаем группу:
    dhl num 1 linka port 1/49 linkb port 1/50
    dhl num 1 admin-state enable
    проверяем состояние:
    show dhl num 1
    DHL session name: DHL_TO_CORE
    Admin state: up,
    Operational state: up,
    Pre-emption time(sec): 30,
    Mac Flushing: raw,
    Active MAC flushing: raw,
    LinkB Vlan Map: none,
    Protected Vlans: 1-13 15
    LinkA:
    Port: 1/49,
    Operational State: up,
    Unprotected Vlans: none,
    Active Vlans: 1-13 15
    LinkB:
    Port: 1/50,
    Operational State: up,
    Unprotected Vlans: none,
    Active Vlans: none
    Механизм DHL служит для обеспечения резервных подключений к уровню распределения, с момента появления у оборудования ALU режима работы DHL Active-Active разумного использовать именного его, так как предыдущая реализация не позволяла балансировать нагрузкой между каналами и сложнее настраивалась. Фактически использовался механизм LACP с искаженными параметрами, который обманывал коммутатор уровня доступа и заставлял его объединить в единый канал соединения, ведущие к разным коммутаторам уровня распределения. Режим DHL Active-Active по своему поведению похоже на аналогичную технологию у Cisco — FlexLink. В данной реализации, как у Cisco один линк активен, а второй блокирован, поскольку пропускная способность в настоящий момент между доступом и распределением составляет от 1 до 10 Гб/сек, то для простоты и логичности восприятия настроек балансировать нагрузкой не будем.
    dhl num 1 name DHL_TO_CORE
    dhl num 1 mac-flushing RAW
    dhl num 1 linka port 1/49 linkb port 1/50
    dhl num 1 admin-state enable

    show dhl num 1
    DHL session name: DHL_TO_CORE
    Admin state: up,
    Operational state: up,
    Pre-emption time(sec): 30,
    Mac Flushing: raw,
    Active MAC flushing: raw,
    LinkB Vlan Map: none,
    Protected Vlans: 1-13 15
    LinkA:
    Port: 1/49,
    Operational State: up,
    Unprotected Vlans: none,
    Active Vlans: 1-13 15
    LinkB:
    Port: 1/50,
    Operational State: up,
    Unprotected Vlans: none,
    Active Vlans: none

    А также FlexLink:
    `
    Switch# configure terminal
    Switch(conf)# interface gigabitethernet0/17
    Switch(conf-if)#switchport backup interface gigabitethernet0/18
    Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption mode forced
    Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption delay 30
    Switch(conf-if)# end
    Switch# show interfaces switchport backup detail

    Active Interface Backup Interface State

    GigabitEthernet0/17 GigabitEthernet0/18 Active Up/Backup Standby

    Interface Pair: Gi0/1, Gi0/2
    Preemption Mode: forced Preemption
    Delay: 30 seconds
    Bandwidth: 100000 Kbit (Gi0/1), 100000 Kbit (Gi0/2)
    Mac Address Move Update Vlan: auto
    Настройка технологии Dual-HomeLinkAggregation позволяет поддерживать соединение коммутаторов уровня доступа с коммутаторами уровня ядра-распределения в ситуации, когда один из коммутаторов уровня ядра-распреледения выходит из строя. Эта технология функционирует без протокола STP, что позволяет значительно уменьшить время простоя.

    Создание VLAN
    Допустимый диапазон для VLAN 2-4094:
    -> vlan 75 enable name “IP Finance Network”
    -> vlan 10-15 100-105 200
    Удаление VLAN
    При удаления VLAN одновременно удаляются все ip-интерфейсы связанные с этими VLAN, одновременно удаляются все ассоциации портами и транками.
    -> no vlan 75
    -> no vlan 100-105
    -> no vlan 10-15 200
    Изменение состояние VLAN
    Если административный статус VLAN== DISABLE то трафик для этого VLAN передаваться не будет.
    -> vlan 755 disable
    -> vlan 255 enable
    Назначение/изменение описания VLAN
    -> vlan 455 name “Marketing IP Network”
    -> vlan 455 name Marketing-IP-Network
    Просмотр информации о VLAN на коммутаторе
    -> show vlan

    stree mble src
    vlan type admin oper 1×1 flat auth ip ipx tag lrn name
    ——+——+——+——+——+——+—-+——+——+——+——+———-
    1 std on on on on off on NA off on VLAN 1
    2 std on on on on off on NA off on Ljalkov

    Name: VLAN 100,
    Administrative State: enabled,
    Operational State: disabled,
    1×1 Spanning Tree State: disabled,
    Flat Spanning Tree State: enabled,
    Authentication: disabled,
    IP Router Port: off,
    IP MTU: 1500,
    IPX Router Port: none,
    Mobile Tag: off,
    Source Learning: disabled,
    Traffic-Type: ethernet-service Customer SVLAN,
    Priority-Map: x->0
    Размещение порта в VLAN
    Размещение порта в vlan:
    -> vlan 755 port default 3/2
    Размещение агрегированного канала в vlan:
    -> vlan 6 port default 2
    Где 2 – номер агрегированного канала
    Просмотр информации о портах, размещенных в VLAN
    -> show vlan 10 port
    port type status
    +——+———+————+
    1/1 default forwarding
    1/2 qtagged forwarding
    1/3 mobile forwarding

    -> show vlan 500 port 8/16
    type :default
    status :blocking
    vlan admin :on
    vlan oper :off
    port admin :on
    port oper :off

    -> show vlan port
    vlan port type status
    +——+——-+———+————+
    1 1/1 default inactive
    2 1/2 default blocking
    1/3 mobile forwarding
    11/4 qtagged forwarding
    3 1/2 qtagged blocking
    11/4 default forwarding
    2/5 dynamic forwarding
    Управление транками
    Включение меток 802.1q на порту:
    -> vlan 5 802.1q 3/4
    -> vlan 5 802.1q 3/4 “port tag”
    -> vlan 2-13 15 802.1q 3/1
    Включение меток 802.1q на агрегированном канале:
    -> vlan 5 802.1q 8
    -> vlan 5 802.1q 8 “agg port tag”
    -> vlan 2-13 15-22 101 802.1q 3
    Просмотр информации о транках
    -> show 802.1q 3
    Tagged VLANS Internal Description
    ————-+——————————————+
    15 TAG AGGREGATE 3 VLAN 15
    22 TAG AGGREGATE 3 VLAN 22
    30 TAG AGGREGATE 3 VLAN 30
    31 TAG AGGREGATE 3 VLAN 31

    -> show vlan port 1
    vlan type status
    ———+———+—————
    1 default forwarding
    2 qtagged forwarding
    3 qtagged forwarding

    9702-1 и 9702-RC-1
    vlan 81 enable name » Link1-rc-nb»
    vlan 81 port default 5/1
    9702-2 и 9702-RC-2
    vlan 82 enable name » Link2-rc-nb»
    vlan 82 port default 5/1

    802.1q
    Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения.
    vlan 2 802.1q 13 «TAG AGGREGATE 10 VLAN 2»
    vlan 3 802.1q 13 «TAG AGGREGATE 10 VLAN 3»
    vlan 4 802.1q 13 «TAG AGGREGATE 10 VLAN 4»
    vlan 5 802.1q 13 «TAG AGGREGATE 10 VLAN 5»
    vlan 6 802.1q 13 «TAG AGGREGATE 10 VLAN 6»
    Vlan
    Настройку (создание) ВЛВС необходимо произвести на каждом коммутаторе. Поэтому в соответствии разделом 1 создаем ВЛВС на всех устройствах.
    Например:
    vlan 14 enable name «VLAN 14»
    vlan 15 enable name «VLAN 15»
    vlan 24 enable name «VLAN 24»

    802.1q
    Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения, все ВЛВС в соответствии с разделом 1
    vlan 14 802.1q 1/49
    vlan 15 802.1q 1/49
    vlan 24 802.1q 1/49

    vlan 14 802.1q 2/49
    vlan 15 802.1q 2/49
    vlan 24 802.1q 2/49

    show vlan port 1/49
    vlan type status
    ———+———+—————
    1 default forwarding
    14 qtagged forwarding
    15 qtagged forwarding
    24 qtagged forwarding

    Помещение пользовательских портов в VLAN
    Добавление пользователей ВЛВС необходимо произвести на каждом коммутаторе. Работа довольно нудная, но никаких сложностей в ней нет. Проще всего сделать, создав в текстовом редакторе скрипт, который через вставку затем добавляется во все устройства. Далее на необходимо распределить пользователей по ВЛВС, наверное, это самая кропотливая и механическая работа. Требует внимательности, но никаких других сложностей не представляет.
    vlan 2 port default 3/1

    show vlan port 3/1
    vlan type status
    ———+———+—————
    2 default forwarding
    MVRP:
    MVRP даёт возможность:
    • Динамически конфигурировать и распределять информацию о принадлежности VLAN через механизмы MVRP.
    • Статически конфигурировать информацию о принадлежности VLAN посредством механизмов менеджмента, которые позволяют управлять регистрационными данными о статических записях регистраций VLAN.
    • Поддерживать комбинированные статические и динамические конфигурации, при которых некоторые VLAN конфигурируются посредством механизмов менеджмента, а для других VLAN сохраняется возможность динамической конфигурации средствами MVRP.
    Включени MVRP
    mvrp enable
    добавление в MVRP порта или linkagg группы:
    mvrp linkagg 1 enable – linkagg группа
    mvrp port 3/1 enable – порт
    запрещение объявления данного vlan через определенную linkagg группу:
    mvrp linkagg 1 restrict-vlan-advertisement vlan 2161
    включение режима participant на порту/linkagg группе, который отвечает за изменение MVRP PDU в зависимости от роли порта в STP:
    mvrp linkagg 1 applicant participant
    mvrp port 1/6 applicant participant
    просмотр общей конфигурации MVRP:
    SWR-1# show mvrp configuration
    MVRP Enabled: yes,
    Transparent Switching Enabled: no,
    Maximum VLAN Limit: 256
    Просмотр настроек MVRP на данной linkagg группе:
    SWR-1# show mvrp linkagg 1
    MVRP Enabled: yes,
    Registrar Mode: normal,
    Applicant Mode: participant,
    Join Timer (msec): 600,
    Leave Timer (msec): 1800,
    LeaveAll Timer (msec): 30000,
    Periodic Timer (sec): 1,
    Periodic Tx status: disabled
    Просмотр полученных vlan через MVRP:
    SWR-1# show vlan mvrp
    stree mble
    vlan type admin oper 1×1 flat auth ip ipx tag name
    ——+——+——+——+——+——+—-+——+——+——+———-
    2162 mvrp on on off on off off NA off VLAN 2162
    Добавленные vlan через MVRP на транке выглядят следующим образом:
    SWR-1# show 802.1q 1
    Tagged VLANS Internal Description
    ————-+——————————————+
    2162 Dyn VPA

    5. Настраиваем STP(MSTP)
    Переход в режим одного дерева:
    bridge mode flat
    включение протокола mstp:
    bridge cist protocol mstp
    присвоение revision level:
    bridge mst region revision level 1
    создание региона rci:
    bridge mst region name rci
    присвоение приоритета:
    bridge cist priority 4096
    включение root-guard на данной linkagg группе:
    bridge cist 2 root-guard enable
    просмотр общей информации о STP:
    SWR-1# show spantree cist
    Spanning Tree Parameters for Cist
    Spanning Tree Status: ON,
    Protocol: IEEE Multiple STP,
    mode: FLAT (Single STP),
    Auto-Vlan-Containment: Enabled,
    Priority: 4096 (0x1000),
    Bridge ID: 1000-00:e0:b1:cc:46:58,
    CST Designated Root: 1000-00:e0:b1:cc:46:58,
    Cost to CST Root: 0,
    Next CST Best Cost: 0,
    Designated Root: 1000-00:e0:b1:cc:46:58,
    Cost to Root Bridge: 0,
    Root Port: None,
    Next Best Root Cost: 0,
    Next Best Root Port: None,
    TxHoldCount: 3,
    Topology Changes: 6,
    Topology age: 03:54:16,
    Current Parameters (seconds)
    Max Age = 20,
    Forward Delay = 15,
    Hello Time = 2
    Parameters system uses when attempting to become root
    System Max Age = 20,
    System Forward Delay = 15,
    System Hello Time = 2
    просмотр роли портов:
    show spantree ports
    Msti Port Oper Status Path Cost Role
    ——+——+————+———+——-
    0 1/1 DIS 0 DIS
    0 3/24 FORW 200000 DESG
    0 0/1 FORW 12000 ROOT
    0 0/2 BLK 8000 ALT
    просмотр информации о регионе:
    show spantree mst region
    Configuration Name = rci,
    Revision Level = 1,
    Configuration Digest = 0xac36177f 50283cd4 b83821d8 ab26de62,
    Revision Max hops = 20,
    Cist Instance Number = 0
    На оборудовании уровня доступа основным инструментом обеспечения резервных подключений к уровню доступа является механизм DHL (или flexlink в терминологии Cisco), потому можно использовать любой режим работы STP однако для унификации с оборудованием уровня доступа выбран режим работы STP – 802.1w flat.
    Для оборудования ALU настройка выглядит следующим образом:
    bridge mode flat

    show spantree 1
    Spanning Tree Parameters
    Spanning Tree Status: ON,
    Protocol: IEEE Rapid STP,
    mode: FLAT (Single STP),
    Auto-Vlan-Containment: Enabled,
    Priority: 8192 (0x2000),
    Bridge ID: 2000-e8:e7:32:16:ec:80,
    Designated Root: 1000-e8:e7:32:16:ec:40,
    Cost to Root Bridge: 1,
    Root Port: Slot 0 Interface 1,
    Next Best Root Cost: 0,
    Next Best Root Port: None,
    TxHoldCount: 3,
    Topology Changes: 3,
    Topology age: 1 days and 22:41:02,
    Current Parameters (seconds)
    Max Age = 20,
    Forward Delay = 15,
    Hello Time = 2
    Parameters system uses when attempting to become root
    System Max Age = 20,
    System Forward Delay = 15,
    System Hello Time = 2

    6. Настраиваем расширения для STP (rootguard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort)

    BPDU-guard
    Добавление портов в группу UserPorts:
    policy port group UserPorts 1/3-48 2/3-48
    Изменение портов входящих в группу UserPorts:
    no policy port group UserPorts
    policy port group UserPorts 1/3-9 11-48 2/3-48

    выключение портов при получении BPDU:
    qos user-port shutdown bpdu
    qos apply
    просмотр портов входящих в UserPorts
    -> show policy port group
    просмотр конфигурации qos:
    SWR-1# show qos config
    QoS Configuration:
    Enabled: Yes
    Pending changes: None
    DEI:
    Mapping: Disabeled
    Marking: Disabeled
    Classifier:
    Default queues: 8
    Default queue service: strict-priority
    Trusted ports: No
    NMS Priority: Yes
    Phones: trusted
    Default bridged disposition: accept
    Default routed disposition: accept
    Default IGMP/MLD disposition: accept
    Logging:
    Log lines: 256
    Log level: 6
    Log to console: No
    Forward log: No
    Stats interval: 60 seconds
    Userports:
    Filter: spoof
    Shutdown: bpdu
    Quarantine Manager:
    Quarantine MAC Group: Quarantined
    Quarantined Page: Yes
    Remediation URL:
    Debug: info

    Автоматичное отключение блокировки портов:
    interfaces violation-recovery-time < секунд >
    interface violation-recovery-trap
    Разблокировка порта
    -> interfaces 1/3 clear-violation-all
    -> interfaces 1 clear-violation-all
    -> interfaces 1/3-7 clear-violation-all
    Или
    -> interfaces 2/3 admin down
    -> interfaces 2/3 admin up

    Настройка Port security
    Включение port security на порту:
    port-security 1/3 enable
    установка максимального количества MAC адресов:
    port-security 1/3 maximum 5
    port-security 1/3 max-filtering 0
    при достижении ограничения в количестве МАС адресов порт выключается:
    port-security 1/3 VIOLATION SHUTDOWN
    Просмотр информации о PortSecurity
    -> show port-security brief
    OS6850gu-48-ink-1-> show port-security brief
    Legend: enable * = Learning Window has expired

    Slot/ Nb Macs Nb Macs Nb Macs
    Port Status Max Max-Filter Bridged Filtered Static
    ——+————+———+———-+————+————+———
    1/3 ENABLED 5 0 0 0 0
    1/4 ENABLED 5 0 0 0 0
    1/5 ENABLED 5 0 1 0 0
    1/6 ENABLED 5 0 1 0 0
    1/7 ENABLED 5 0 1 0 0
    1/8 ENABLED 5 0 0 0 0

    -> show port-security
    SHUTDOWN BRIEF
    -> show port-security 1/3

    Legend: Mac Address: * = Duplicate Static
    Mac Address: # = Pseudo Static

    Port: 1/3
    Operation Mode: ENABLED,
    Max MAC bridged: 5,
    Trap Threshold: DISABLED,
    Max MAC filtered: 0,
    Low MAC Range: 00:00:00:00:00:00,
    High MAC Range: ff:ff:ff:ff:ff:ff,
    Violation: SHUTDOWN,
    Violating MAC: NULL

    MAC Address VLAN TYPE
    ——————-+——+———
    Разблокировка порта
    -> port-security 2/14 release
    -> port-security 4/10-15 release
    Edge-Port
    Также нужно включить на всех пользовательских портах, но нам делать ничего не надо. Данная опция включения по умолчанию. Функционал данного расширения STP аналогичен portfast у Cisco.
    BPDU-guard
    Здесь все просто, включаем на всех пользовательских портах. Для автоматической разблокировки портов выбираем 10 минут.
    qos user-port shutdown bpdu
    policy port group UserPorts 1/1-48 2/1-48
    qos apply
    interfaces violation-recovery-time 600

    Разблокировать заблокированный порт можно командой:
    interfaces 2/2 clear-violation-all
    Port-Security
    Также, включаем на всех пользовательских портах. В качестве разумного ограничения видится не более 5 mac адресов за пользовательским портом, в случае превышения данного количества mac адресов порт будет заблокирован.
    port-security 1/1-48 admin-status enable
    port-security 1/1-48 maximum 5
    port-security 1/1-48 max-filtering 0
    port-security 1/1-48 VIOLATION SHUTDOWN
    Здесь приведена конфигурация для одного коммутатора в стеке, к сожалению, для включения данной функции на всех пользовательских портов набор команд придется повторить для каждого из них. Разблокировать заблокированный порт можно командами:
    -> interfaces 2/2 clear-violation-all
    -> port-security 2/14 release
    -> port-security 4/10-15 release

    На этом пока все, спасибо за внимание В дальнейшем планирую описать настроуйку маршрутизации, PBR, VRRP, NTP, DHCP, VRF, AMAP, бэкап и восстановление конфигов и паролей.

    Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

    источник

    Читайте также:  сброс настроек в setreker

    Добавить комментарий

    Adblock
    detector