如何取得HPE的認證(以MASE為例)

如何取得HPE的認證(以MASE為例)

HPE認證的取得有一些步驟，以下會簡單介紹怎麼了解取得的步驟

1.連到官網的認證的部份，然後選擇瀏覽全部的證照(View all certifications)，或直接點擊以下網址

https://certification-learning.hpe.com/TR/certifications

2.選擇您想要考取的證照(此處以MASE為例)

3.前面會有些關於證照的介紹，主要是要看後面Step的部份

Step 1可以看到，可以有不同的方式取得MASE，可以依照自己的狀態去查詢

(像是如果有CCIE、CCDE、JNCIE，只要考過Y53就有MASE)

(或是有舊版的MASE證照只要考過HPE2-Z38就有MASE)

如果都沒有，就看step 2

其實只要有Learning Center的帳號，然後用帳號去預約並通過考試，證照的進度條就會自動一直跑，並不需要手動去做什麼

4.Step1跟Step2都不重要，所以重要的Step3來了，Step3會跟你說要取得這個認證需要先具備那些認證

以MASE為例，必須取得四張中的其中一張，可以再進一步點擊進去確認這四張認證的取得方式，假如已經具備四張認證的其中一張，就可以繼續往下

5.Step4是跟你說，如果要通過最後的exam可以上那些課程，點擊進去可以檢視課程內容或預約課程，但是也非必要條件

6.Step 5是跟你說需要通過的考試是什麼，像是想要取得MASE證照，就必須通過HPE0-Y53的測驗

7.總體來說，每一張認證的取得方式都是要先1.擁有符合需求的前置認證 2.通過測驗

只要符合官網路徑(Path)的規範，都是可以取得認證的

以MASE為例，可以

1.通過HPE6-A29測驗取得ACMP認證

2.用ACMP+通過HP0-Y50測驗，取得HP ASE - FlexNetwork Architect V2認證

3.用HP ASE - FlexNetwork Architect V2認證+通過HPE0-Y53測驗，取得MASE認證

或者是

1.取得Cisco體系裡的CCIE

2.用CCIE+通過HPE0-Y53測驗，取得MASE認證

8.符合資格並通過測驗並不代表取得認證，最後的認證是否有取得還是要在HPE的learining center裡面檢視，通過測驗後過幾天認證才會下來，另外，取得認證的路徑(Path)會依照版本更新或時間的推移而被官方所修改，一切需求還是以官網的認證頁面為主

在HPE的My Networking註冊License的說明文件

在HPE的My Networking註冊License的說明文件

在前面會介紹一些基本觀念，方便大家對於HPE My Networking帳號與License有更深入的理解。

首先是License，在一些HPE的產品上如果要使用某些功能，就要購買License，接著在產品上啟用，便可以使用產品的某些功能，這是一種使用者付費的概念，要怎樣的功能就要買怎樣的License，或是有多少人要使用就要買多少License。在購買License的時候，會拿到一組數字(Order Number)跟Email，接著你要有HPE的My Networking帳號(去HPE的官網申請帳號)，然後登入HPE的My Networking帳號註冊(register)License，在註冊License的時候，系統會要求你輸入License序號、Email與產品的序號，如果註冊License成功，系統便會將產品跟License與帳號綁在一起，接著會產生一組代碼，再將代碼放進產品裡面就可以了。

在註冊License的時候，有時候會碰到以下三個問題

1.資料庫沒有發現設備----此設備太新，其序號還未被HPE加入它們的資料庫提供註冊

2.設備被註冊走了----有人用其他帳號先將設備註冊走了

3.License被註冊走了----有人用其他帳號將License註冊走了

遇見以上三個問題都必須請原廠協助處理

-------------------------------------------------------------------------------------------------------------

註冊Licnese的流程如下

1.連線至HPE Networking的登入頁面

https://h10145.www1.hp.com/sso/index.aspx

2.接著登入會看到以下畫面

3.點選My Licenses-> Register license，接著可以看到輸入Order number的地方

此處用電子版的License說明Order number與Email的位置

4.之後系統會要求輸入產品的序號與Mail，與需要提取的License數量

PS:License有時候一次會購買很大的數量，可以依照需求提取適當的數量

(此處待補上畫面)

5.註冊完License之後，系統便會寄信到當初設定的信箱，裡面會附上License的一些資料，也可以在My Networking裡頭查看，其中最重要的便是License Key，將註冊License之後產生的License Key放進設備裡頭，設備便可以啟用某些功能。

My License->View license->找到要檢視的license->select，可以觀看License的詳細資料

6.以Aruba controller為例，可以用GUI或是在CGI輸入指令新增License

PS:controller新增License之後要重新啟動才會生效

轉移設備的流程如下

在將設備與跟設備綁定的License從一個HPE My Networking帳號轉到另一個My Networking帳號底下時，需要遵循以下步驟

1.先登入HPE My Networking帳號

2.My License->Tranfer assets，看到以下頁面

3.依照需求選定要轉移的設備與License(在左邊的欄位打勾並下一步)後，輸入要轉移的帳號(此處要輸入的是對方的HPE My Netwroking的帳號)

4.之後便會產生一組code碼，請記下來。

接著登入要接收License與設備的帳號，登入時會跳出確認是否接受轉移過來的設備，並要求輸入一組號碼，此時輸入之前產生的code碼，就完成設備的轉移了。

5.可以進入My Products->Product registration檢視註冊在帳號底下的設備

進入My License->View Licenses檢視註冊在帳號底下的Licneses

申請Trail Key/Eval License並註冊的流程

1.首先連入網址，需要在連入的過程中登入HPE My Networking的帳號。

https://cf.passport.hpe.com/hppcf/login.do?cc=US&lang=EN&applandingpage=https%3a%2f%2fh10145.www1.hpe.com%2flicense%2fGenerateEvalRegIDs.aspx&hpappid=118682_MYNETWORKING_PRO_HPE

2.依序輸入Name、Email與公司名稱，其中因為會寄送License資訊到Mail，所以必須要留可以收到信件的信箱，而Name與公司名稱可以隨意取名，方便辨識與搜尋即可

3.選擇需要的License，點擊右下角的Add product，會看到License進入下面的清單，之後選擇Generate即可產生

4.產生出來的形式會像這樣

5.之後用跟註冊License一樣的方式來啟用License，產生License Key，再貼進設備裡面即可

HPE1920 poe供電BUG

HPE1920 poe供電BUG

在HPE釋出HPE 1920的分位 CMW520-R1117 的Release note裡有提到這段

1920的POE介面在支援Aruba AP的時候，有可能有供電不足的情況，以下是實際的例子

這是一顆接在1920(JG922A)上的AP315，燈號會是橘色恆亮(表示不是使用802.1at供電)

display lldp neighbor-information

可以看到PD需求的電力值與PSE分配的電力值不同

在升級分位到CMW520-R1117之後

可以看到燈號變正常了，而我們可以再次檢視lldp neighbor

可以看到在PD requested power value與PSE allocated power value一樣了

Aruba switch 2930F 基礎指令

Aruba switch 2930F 基礎指令

2930F的指令融合了cisco跟HP，很多功能有兩種指令可以下，這邊並不會全部列出來

1.基本操作

Aruba2930F#config t 進入config模式

Aruba2930F#system-view 進入config模式

Aruba2930F(config)#save 存檔

Aruba2930F(config)#quit 返回上一層

Aruba2930F(config)#ping 送出ICMP封包

Aruba2930F#reboot 重開機

Aruba2930F#reset saved-configuration 清除設定檔(reset)

Aruba2930F(config)#menu 進入管理模式 <-非常方便的模式，可以做os的升級

Aruba2930F#show version 檢視版本

Aruba2930F#show system information 檢視系統資訊

Aruba2930F#show run 檢視config

Aruba2930F#display cur 檢視config

Aruba2930F(config)#sysname XXX 變更顯示名稱

Aruba2930F(config)#no XXXXX 移除指令

Aruba2930F(confif)#undo XXXXX 移除指令

Aruba2920# copy startup-config tftp 192.168.1.1 statupconfig 拷貝startup-config

2.設定Vlan IP與Gateway

Aruba2930F(config)#vlan 1 進入 vlan 1

Aruba2930F(vlan-1)# ip address 192.168.1.1 255.255.255.0 設定IP

Aruba2930F(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254 設定defaut route

Aruba2930F(config)# vlan 20 創造vlan20

Aruba2930F(config)# vlan 20-100 創造vlan 20~100

3.讓Interface帶tagged or untagged

Aruba2930F(config)# interface ethernet 1/1 進入端口

Aruba2930F(eth-1/1)# untagged vlan 1 讓此端口untagged vlan 1

Aruba2930F(eth-1/1)# tagged vlan 1 讓此端口tagged vlan 1

Aruba2930F(config)#interface ethernet all 進入全部端口

4.NTP

Aruba2930F(config)#display clock 顯示時間

Aruba2930F(config)#npt server 192.168.1.50 設定NTP server

Aruba2930F(config)#npt server 192.168.1.50 iburst 加速同步模式

Aruba2930F(config)#npt enable 啟用NTP

Aruba2930F(config)# time time zone 480 設定時區台灣時區+8 (*60=480)

Aruba2930F(config)#timesync ntp 改變timesync mode成ntp

Aruba2930F(config)#show time顯示switch 當前的時間

Aruba2930F(config)#show ntp status顯示NTP的狀態

Aruba2930F(config)#time  設定時間，依循格式 MM/DD/YY or HH/MM/SS

5.Ether channel (LACP and Trunk)

EtherChannel是將多個實體介面綁在一個虛擬的port上,藉此達到高容錯與增加頻寬的一種技術。在Aruba OS裡，有兩種設定方式，分別是trunk(Static)，與LACP

ps:在此處的trunk只是Aruba OS對於綑綁端口技術的一種稱呼方式，與一般將Vlan帶上tag的trunk並無關係

其中Dynamic LACP(動態)的設定方式如下

(config)# interface ethernet 1  lacp active

或是

(config)# interface ethernet 1 lacp passive

或是

(config)# interface ethernet 1 lacp static passive/active

設定lacp的模式 一般都是active 主動模式

Static LACP(靜態)的設定方式如下

(config)# Trunk ethernet 1 trk1 lacp

(config)# Trunk ethernet 2 trk1 lacp

將port 1, port 2綁入虛擬port trk1中

(config)# interface trk1 進入trk1

之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)

trunk的設定方式如下

(config)# Trunk ethernet 1 trk1 trunk

(config)# Trunk ethernet 2 trk1 trunk

將port1, port2 綁入虛擬port trk1中

(config)# interface trk1 進入trk1

之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)

PS:

可以使用#Trunk 1-2/all trk1的方式來綁入複數的端口

若只輸入#Trunk ethernet 1-2 trk，沒有指定要用trunk或是lacp來綑綁的話，預設是使用trunk來綑綁

檢視ether channel的設定

#show trunks

#show lacp peer

#show lacp

#show lacp local

6.STP

一般2930F的Spanning Tree預設是關閉的,需要啟動才能使用

Aruba OS預設的STP是MSTP( Multiple STP )，同時也支援RSTP與RPVST(Rapid  Per-vlan STP)

(config)# spanning-tree enable

啟用STP

(config)# spanning-tree mode mstp

或是

(config)# spanning-tree mode rapid-pvst

選擇 spanning tree的模式 預設啟用是mstp,若對接的設備支援rapid-pvst，可切換成RPVST

(config)# spanning-tree priority 0-15 調整priority(0*4096-15*4096)

(config)# spanning-tree root primary 調整primary or seconary

可以設定該spanning的priority決定是否來當root或是backup

啟用edge-port，省略當介接到非switch的設備時，所進行不必要的收斂運算

(config)# spanning-tree ethernet all auto-edge-port

此為啟用所有PORT為auto-edge-port. port會聆聽3秒的BPDU封包, 若3秒內沒有任何的BPDU封包,將會變成edge-port.若有則不會

(config)# spanning-tree ethernet all admin-edge-port

直接把所有port改成edge-port

# show spanning-tree

可顯示spanning-tree是否有啟動,使用的模式為何

# show spanning-tree config

可顯示spanning-tree較詳細的設定

Spanning Tree - BPDU Protection

當端口啟用了BPDU-Protction後，如果接收到spanning-tree所發出的BPDU封包，會將端口disable掉

(config)# spanning-tree ethernet all bpdu-protection

在所有的port上啟用bpdu protection

# show spanning-tree bpdu-protection

檢視bpdu-protection的情況

PS:STP要是Enable的狀態底下，BPDU Protection才有作用，無法單純啟用BPDU Protection

備註:

#spanning-tree bpdu-throttle 64-254

限制每秒送到Switch的CPU的BPDU封包數量，預防switch的CPU因為loop而高速運轉

# spanning-tree bpdu-protection-timeout

修改BPDU-protection發生作用時，disable端口的時間，單位是秒，如果設定零是永遠disable

7.Telnet & SSH

1.Telnet

Aruba OS的telnet預設是啟用的，遠端使用Telnet連線之後，可以直接敲Enter進入

可以透過設定使用者帳號來讓Telnet必須用帳號密碼登入

使用password指令來設定使用者帳號

#password  manager/operator(指定權限) user-name XXX(設定帳號) plaintext XXX(設定密碼)

新增一個帳號admin密碼admin的maneger指令如下，

#password manager user-name admin plaintext admin

如果不指定user-name，便會使用manager與operator當作預設的帳號

#password manager plaintext admin

新增的帳號可以用來登入Telnet、SSH

可以使用#show telnet來檢視telnet的狀態

2.SSH

產生SSH的金鑰

後面可以選擇用dsa或是rsa加密，選定之後可以再選擇位元長度(optional)

如果不想指定的話，僅使用#crypto key generate ssh rsa就可以產生

啟用SSH

檢視SSH的狀態

#show ip ssh

SSH也需要設定帳號密碼才能夠連入，請參考Telnet的部份創造帳號密碼

8.關於log

Aruba2930F#show logging 檢視log 可以附加參數做過濾

Aruba2930F#log 檢視log 可以附加參數做過濾

Aruba2930F(config)#logging command 使用指令開啟log紀錄指令的功能

底下是各參數的意義

-a	顯示全部的log
-b	顯示log，但是用開機到現在的排列方式來取代原本的時間排列方式
-r	顯示log，但是最近的先顯示(最近的顯示在最上面)
-s	顯示commander log與standby commander log (做stacking的時候主要那台是commander，次要的是standby)
-t	顯示log，時間的最小單位改為百分之一秒
command	顯示輸入的指令的log
-m	顯示主要事件的log
-e	顯示錯誤(error)事件的log
-p	顯示performance的log
-w	顯示警告訊息(warning)的log
-i	顯示information的log
-d	顯示Debug的log
option-str	自定義要搜尋的字詞，像是輸入vlan會顯示訊息帶有vlan的log

Aruba2930F(config)# logging XXX.XXX.XXX.XXX 將log丟到log server

Aruba2930F(config)#logging severity major/error/warning/info/debug指定送出的log類型

Aruba2930F(config)#logging filter 過濾掉不想要送的log

9.DHCP

Aruba2920(config)# dhcp-server pool 1 進入DHCP pool 1

Aruba2920(1)# network 192.168.10.0 255.255.255.0 要發的網段

Aruba2920(1)# dns-server 8.8.8.8 設定DNS server

Aruba2920(1)# domain-name 設定domain name

Aruba2920(1)# range 192.168.10.10 192.168.10.50 設定range

Aruba2920(1)# default-router 192.168.10.254 設定default route

Aruba2920(vlan-10)# dhcp-server 重要!!!，在vlan裡頭啟用dhcp-server

#dhcp-server enable

DHCP relay

#vlan X進入vlanX

(vlanX)#ip helper-address 9.9.9.9 為此vlan指定DHCP server

DHCP snooping

啟用之後會只接受設定的port或server傳來的DHCP封包，其他來源的DHCP封包會drop掉

#dhcp-snooping 啟用dhcp-snooping

#dhcp-snooping trust ethernet 24 信任port24傳來的dhcp封包

#dhcp-snooping authorized-server 192.168.100.10 信任特定DHCP server

(vlan-1)#dhcp-snooping 在vlan1裏頭啟用dhcp-snooping 或者是

#dhcp-snooping vlan 1 在vlan 1裏頭啟用dhcp-snooping

# show dhcp-snooping 查詢dhcp-snooping狀態

PS:如果DHCP server是DHCP agent的話，有時候會帶上DHCP option82，因為Aruba switch預設會把DHCP-option82的封包drop掉，這時可以嘗試以下兩個指令關閉此功能

#dhcp-snooping option 82 untrusted-policy keep 不drop掉option82，keep它

#no dhcp-snooping option 82 關閉option82

10. port security

在CLI模式底下，可以使用port-security功能來設定端口安全選項與編輯安全設定，從一個或多個端口添加或刪除來自認證清單的設備。

檢視狀態指令

show port-security 檢視所有端口的port security設定

show port-security 1 檢視端口1的port security設定

show port-security intrusion-log 檢視侵入的MAC log

如何設定

首先鍵入port-security 接著指定端口單個端口(1)、範圍端口(1-5)、或全部端口(all)，之後接續想要修改的設定，可以做的設定如下

1.可以修改action來定義有設備入侵時switch要執行的動作

action參數說明

none 預設，不會送出snmp trap

send-alarm 會送出snmp trap

send-disable 會送出snmp trap並disable端口

2.address-limit 定義允許連入設備的數量

3.mas-address設定允許連入的設備(輸入MAC)

4.learn-mode 可以設定五種不同的學習狀態(設定port是如何學到MAC的)

continuous  預設值，只要是接入的設備，port都學習的到mac           

static           設定固定的數值的已認證設備才能使用，如果沒有定義完所有的認證設備，也可以學習到接入設備的MAC，但是有固定數值的限制

configured            不會學習，只有設定進去的mac才能使用

port-access           802.1x認證過的才會學習到

limited-continuous 學習規定數量的mac

範例:

設定端口1只允許一台設備連入

port-security 1 learn-mode limited-continuous address-limit 1

設定端口1只允許一個特定的設備連入

port-security 1 learn-mode configured mac-address XXXXXX-XXXXXX

11.VSF

此處只提供一種設定方式(手動設定)

VSF( Virtual Switching Framework)是一種堆疊(stacking)技術，可以使用copper線或fibber線連接，設定好之後可以將兩台switch視為一台switch

設定時，首先決定要使用1G還是10G port做VSF

使用vsf port-speed修改數值(每台要做VSF的switch都要進行修改)

接下來，先在member1上設定VSF

VSF1(config)#vsf member 1 link 1 1/1 (member1、link1、在port1/1做)

VSF1(config)#vsf enable domain 2 (為了預防與其他不相干的switch做出VSF，需指定domain)

之後系統會要求重開，按y讓他重開

再來在member2上設定VSF

VSF1(config)#vsf member 2 link 1 2/1 (member2、link1、在port2/1做 ps:因為做完VSF，member2的port會變成2/X，所以此處使用2/X來設定)

VSF1(config)#vsf enable domain 2

之後系統會要求重開，按y讓他重開

在開機循環完成之前接上member1的switch與member2的switch

等待開完機後，使用以下指令檢測

#show vsf  

#show vsf detail  

#show vsf link  

#show vsf link detail  

#show running-config

show vsf底下的清單上要出現兩台才算成功

附錄:

添加額外的port給VSF

VSF允許多個port被分配在同一個邏輯vsf link下

1.在member 1分配port給link

VSF1(config)#vsf member 1 link 1 1/17

2.在member 2分配port給link

VSF2(config)#vsf member 2 link 1 2/17

12.Banner

有兩種不同的Banner可以設定

exec--在使用者用console、SSH、Telnet、Web登入後會顯示，自定義內容

motd--在使用者用console、SSH、Telnet、Web登入前會顯示，自定義內容

last-login--啟用之後，使用者用console、SSH、Telnet、Web登入前會顯示上一次登入資訊

設定方式如下

#banner exec 後接一個自定義的字元，就會進入編輯模式，可以自由的輸入文字換行，按下一開始自定義的字元就會結束編輯模式

motd 也是相同的設定方式

使用指令檢視banner的狀態

#show banner exec

#show banner motd

#show banner last-login

13.SNMP

SNMP v1/v2設定方式如下

先設定community的數值(自定義，但必須與SNMP server相同)

之後有四個東西可以定義

operator--只接受特定受限制的MIB物件

manager--可以接受所有MIB物件

restricted--MIB變數不可以被設定，只能被讀取

unrestricted--MIB變數可以被設定(預設)

假裝SNMP的community為public，可以接受所有MIB物件，也可以被設定的話，指令如下

#snmp-server community public manager unrestricted

也可以一起指定snmp server的IP與community

#snmp-server host 9.9.9.9 coummunity public

檢視snmp指令如下

#show snmp-server

#display snmp-agent ?

14.Port Mirroring

Traffic mirroring 可以將switch介面上傳送與接收的封包複製一份給local或是 remote destination，其功能就像是 traffic analyzer或者是intrusion detection system (IDS)

Aruba OS裡有四個mirror群組，分別是mirror1~mirror4，設定時先將一個port綁進其中一個群組，然後再將一個介面(可以是port或是vlan)綁進這個群組，再設定是要監控流出(out)、流入(in)、或是兩者(both)的封包，之後就可以經由觀察一開始綁入的port來得知介面的封包

設定指令如下

#mirror 1 port 2  

將port 2 綁入mirror1

#interface 1 monitor all both mirror1

指定interface 1流出與流入的封包全都複製到mirror1裡

之後就可以經由觀察port2的封包來得知interface 1的封包狀態

PS:port2的Link Status要是UP的狀態才會有封包進出的資訊

檢視monitor設定

#show monitor

#show monitor 1