Aruba switch 2930F 基礎指令

Aruba switch 2930F 基礎指令

2930F的指令融合了cisco跟HP，很多功能有兩種指令可以下，這邊並不會全部列出來

1.基本操作

Aruba2930F#config t 進入config模式

Aruba2930F#system-view 進入config模式

Aruba2930F(config)#save 存檔

Aruba2930F(config)#quit 返回上一層

Aruba2930F(config)#ping 送出ICMP封包

Aruba2930F#reboot 重開機

Aruba2930F#reset saved-configuration 清除設定檔(reset)

Aruba2930F(config)#menu 進入管理模式 <-非常方便的模式，可以做os的升級

Aruba2930F#show version 檢視版本

Aruba2930F#show system information 檢視系統資訊

Aruba2930F#show run 檢視config

Aruba2930F#display cur 檢視config

Aruba2930F(config)#sysname XXX 變更顯示名稱

Aruba2930F(config)#no XXXXX 移除指令

Aruba2930F(confif)#undo XXXXX 移除指令

Aruba2920# copy startup-config tftp 192.168.1.1 statupconfig 拷貝startup-config

2.設定Vlan IP與Gateway

Aruba2930F(config)#vlan 1 進入 vlan 1

Aruba2930F(vlan-1)# ip address 192.168.1.1 255.255.255.0 設定IP

Aruba2930F(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254 設定defaut route

Aruba2930F(config)# vlan 20 創造vlan20

Aruba2930F(config)# vlan 20-100 創造vlan 20~100

3.讓Interface帶tagged or untagged

Aruba2930F(config)# interface ethernet 1/1 進入端口

Aruba2930F(eth-1/1)# untagged vlan 1 讓此端口untagged vlan 1

Aruba2930F(eth-1/1)# tagged vlan 1 讓此端口tagged vlan 1

Aruba2930F(config)#interface ethernet all 進入全部端口

4.NTP

Aruba2930F(config)#display clock 顯示時間

Aruba2930F(config)#npt server 192.168.1.50 設定NTP server

Aruba2930F(config)#npt server 192.168.1.50 iburst 加速同步模式

Aruba2930F(config)#npt enable 啟用NTP

Aruba2930F(config)# time time zone 480 設定時區台灣時區+8 (*60=480)

Aruba2930F(config)#timesync ntp 改變timesync mode成ntp

Aruba2930F(config)#show time顯示switch 當前的時間

Aruba2930F(config)#show ntp status顯示NTP的狀態

Aruba2930F(config)#time  設定時間，依循格式 MM/DD/YY or HH/MM/SS

5.Ether channel (LACP and Trunk)

EtherChannel是將多個實體介面綁在一個虛擬的port上,藉此達到高容錯與增加頻寬的一種技術。在Aruba OS裡，有兩種設定方式，分別是trunk(Static)，與LACP

ps:在此處的trunk只是Aruba OS對於綑綁端口技術的一種稱呼方式，與一般將Vlan帶上tag的trunk並無關係

其中Dynamic LACP(動態)的設定方式如下

(config)# interface ethernet 1  lacp active

或是

(config)# interface ethernet 1 lacp passive

或是

(config)# interface ethernet 1 lacp static passive/active

設定lacp的模式 一般都是active 主動模式

Static LACP(靜態)的設定方式如下

(config)# Trunk ethernet 1 trk1 lacp

(config)# Trunk ethernet 2 trk1 lacp

將port 1, port 2綁入虛擬port trk1中

(config)# interface trk1 進入trk1

之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)

trunk的設定方式如下

(config)# Trunk ethernet 1 trk1 trunk

(config)# Trunk ethernet 2 trk1 trunk

將port1, port2 綁入虛擬port trk1中

(config)# interface trk1 進入trk1

之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)

PS:

可以使用#Trunk 1-2/all trk1的方式來綁入複數的端口

若只輸入#Trunk ethernet 1-2 trk，沒有指定要用trunk或是lacp來綑綁的話，預設是使用trunk來綑綁

檢視ether channel的設定

#show trunks

#show lacp peer

#show lacp

#show lacp local

6.STP

一般2930F的Spanning Tree預設是關閉的,需要啟動才能使用

Aruba OS預設的STP是MSTP( Multiple STP )，同時也支援RSTP與RPVST(Rapid  Per-vlan STP)

(config)# spanning-tree enable

啟用STP

(config)# spanning-tree mode mstp

或是

(config)# spanning-tree mode rapid-pvst

選擇 spanning tree的模式 預設啟用是mstp,若對接的設備支援rapid-pvst，可切換成RPVST

(config)# spanning-tree priority 0-15 調整priority(0*4096-15*4096)

(config)# spanning-tree root primary 調整primary or seconary

可以設定該spanning的priority決定是否來當root或是backup

啟用edge-port，省略當介接到非switch的設備時，所進行不必要的收斂運算

(config)# spanning-tree ethernet all auto-edge-port

此為啟用所有PORT為auto-edge-port. port會聆聽3秒的BPDU封包, 若3秒內沒有任何的BPDU封包,將會變成edge-port.若有則不會

(config)# spanning-tree ethernet all admin-edge-port

直接把所有port改成edge-port

# show spanning-tree

可顯示spanning-tree是否有啟動,使用的模式為何

# show spanning-tree config

可顯示spanning-tree較詳細的設定

Spanning Tree - BPDU Protection

當端口啟用了BPDU-Protction後，如果接收到spanning-tree所發出的BPDU封包，會將端口disable掉

(config)# spanning-tree ethernet all bpdu-protection

在所有的port上啟用bpdu protection

# show spanning-tree bpdu-protection

檢視bpdu-protection的情況

PS:STP要是Enable的狀態底下，BPDU Protection才有作用，無法單純啟用BPDU Protection

備註:

#spanning-tree bpdu-throttle 64-254

限制每秒送到Switch的CPU的BPDU封包數量，預防switch的CPU因為loop而高速運轉

# spanning-tree bpdu-protection-timeout

修改BPDU-protection發生作用時，disable端口的時間，單位是秒，如果設定零是永遠disable

7.Telnet & SSH

1.Telnet

Aruba OS的telnet預設是啟用的，遠端使用Telnet連線之後，可以直接敲Enter進入

可以透過設定使用者帳號來讓Telnet必須用帳號密碼登入

使用password指令來設定使用者帳號

#password  manager/operator(指定權限) user-name XXX(設定帳號) plaintext XXX(設定密碼)

新增一個帳號admin密碼admin的maneger指令如下，

#password manager user-name admin plaintext admin

如果不指定user-name，便會使用manager與operator當作預設的帳號

#password manager plaintext admin

新增的帳號可以用來登入Telnet、SSH

可以使用#show telnet來檢視telnet的狀態

2.SSH

產生SSH的金鑰

後面可以選擇用dsa或是rsa加密，選定之後可以再選擇位元長度(optional)

如果不想指定的話，僅使用#crypto key generate ssh rsa就可以產生

啟用SSH

檢視SSH的狀態

#show ip ssh

SSH也需要設定帳號密碼才能夠連入，請參考Telnet的部份創造帳號密碼

8.關於log

Aruba2930F#show logging 檢視log 可以附加參數做過濾

Aruba2930F#log 檢視log 可以附加參數做過濾

Aruba2930F(config)#logging command 使用指令開啟log紀錄指令的功能

底下是各參數的意義

-a	顯示全部的log
-b	顯示log，但是用開機到現在的排列方式來取代原本的時間排列方式
-r	顯示log，但是最近的先顯示(最近的顯示在最上面)
-s	顯示commander log與standby commander log (做stacking的時候主要那台是commander，次要的是standby)
-t	顯示log，時間的最小單位改為百分之一秒
command	顯示輸入的指令的log
-m	顯示主要事件的log
-e	顯示錯誤(error)事件的log
-p	顯示performance的log
-w	顯示警告訊息(warning)的log
-i	顯示information的log
-d	顯示Debug的log
option-str	自定義要搜尋的字詞，像是輸入vlan會顯示訊息帶有vlan的log

Aruba2930F(config)# logging XXX.XXX.XXX.XXX 將log丟到log server

Aruba2930F(config)#logging severity major/error/warning/info/debug指定送出的log類型

Aruba2930F(config)#logging filter 過濾掉不想要送的log

9.DHCP

Aruba2920(config)# dhcp-server pool 1 進入DHCP pool 1

Aruba2920(1)# network 192.168.10.0 255.255.255.0 要發的網段

Aruba2920(1)# dns-server 8.8.8.8 設定DNS server

Aruba2920(1)# domain-name 設定domain name

Aruba2920(1)# range 192.168.10.10 192.168.10.50 設定range

Aruba2920(1)# default-router 192.168.10.254 設定default route

Aruba2920(vlan-10)# dhcp-server 重要!!!，在vlan裡頭啟用dhcp-server

#dhcp-server enable

DHCP relay

#vlan X進入vlanX

(vlanX)#ip helper-address 9.9.9.9 為此vlan指定DHCP server

DHCP snooping

啟用之後會只接受設定的port或server傳來的DHCP封包，其他來源的DHCP封包會drop掉

#dhcp-snooping 啟用dhcp-snooping

#dhcp-snooping trust ethernet 24 信任port24傳來的dhcp封包

#dhcp-snooping authorized-server 192.168.100.10 信任特定DHCP server

(vlan-1)#dhcp-snooping 在vlan1裏頭啟用dhcp-snooping 或者是

#dhcp-snooping vlan 1 在vlan 1裏頭啟用dhcp-snooping

# show dhcp-snooping 查詢dhcp-snooping狀態

PS:如果DHCP server是DHCP agent的話，有時候會帶上DHCP option82，因為Aruba switch預設會把DHCP-option82的封包drop掉，這時可以嘗試以下兩個指令關閉此功能

#dhcp-snooping option 82 untrusted-policy keep 不drop掉option82，keep它

#no dhcp-snooping option 82 關閉option82

10. port security

在CLI模式底下，可以使用port-security功能來設定端口安全選項與編輯安全設定，從一個或多個端口添加或刪除來自認證清單的設備。

檢視狀態指令

show port-security 檢視所有端口的port security設定

show port-security 1 檢視端口1的port security設定

show port-security intrusion-log 檢視侵入的MAC log

如何設定

首先鍵入port-security 接著指定端口單個端口(1)、範圍端口(1-5)、或全部端口(all)，之後接續想要修改的設定，可以做的設定如下

1.可以修改action來定義有設備入侵時switch要執行的動作

action參數說明

none 預設，不會送出snmp trap

send-alarm 會送出snmp trap

send-disable 會送出snmp trap並disable端口

2.address-limit 定義允許連入設備的數量

3.mas-address設定允許連入的設備(輸入MAC)

4.learn-mode 可以設定五種不同的學習狀態(設定port是如何學到MAC的)

continuous  預設值，只要是接入的設備，port都學習的到mac           

static           設定固定的數值的已認證設備才能使用，如果沒有定義完所有的認證設備，也可以學習到接入設備的MAC，但是有固定數值的限制

configured            不會學習，只有設定進去的mac才能使用

port-access           802.1x認證過的才會學習到

limited-continuous 學習規定數量的mac

範例:

設定端口1只允許一台設備連入

port-security 1 learn-mode limited-continuous address-limit 1

設定端口1只允許一個特定的設備連入

port-security 1 learn-mode configured mac-address XXXXXX-XXXXXX

11.VSF

此處只提供一種設定方式(手動設定)

VSF( Virtual Switching Framework)是一種堆疊(stacking)技術，可以使用copper線或fibber線連接，設定好之後可以將兩台switch視為一台switch

設定時，首先決定要使用1G還是10G port做VSF

使用vsf port-speed修改數值(每台要做VSF的switch都要進行修改)

接下來，先在member1上設定VSF

VSF1(config)#vsf member 1 link 1 1/1 (member1、link1、在port1/1做)

VSF1(config)#vsf enable domain 2 (為了預防與其他不相干的switch做出VSF，需指定domain)

之後系統會要求重開，按y讓他重開

再來在member2上設定VSF

VSF1(config)#vsf member 2 link 1 2/1 (member2、link1、在port2/1做 ps:因為做完VSF，member2的port會變成2/X，所以此處使用2/X來設定)

VSF1(config)#vsf enable domain 2

之後系統會要求重開，按y讓他重開

在開機循環完成之前接上member1的switch與member2的switch

等待開完機後，使用以下指令檢測

#show vsf  

#show vsf detail  

#show vsf link  

#show vsf link detail  

#show running-config

show vsf底下的清單上要出現兩台才算成功

附錄:

添加額外的port給VSF

VSF允許多個port被分配在同一個邏輯vsf link下

1.在member 1分配port給link

VSF1(config)#vsf member 1 link 1 1/17

2.在member 2分配port給link

VSF2(config)#vsf member 2 link 1 2/17

12.Banner

有兩種不同的Banner可以設定

exec--在使用者用console、SSH、Telnet、Web登入後會顯示，自定義內容

motd--在使用者用console、SSH、Telnet、Web登入前會顯示，自定義內容

last-login--啟用之後，使用者用console、SSH、Telnet、Web登入前會顯示上一次登入資訊

設定方式如下

#banner exec 後接一個自定義的字元，就會進入編輯模式，可以自由的輸入文字換行，按下一開始自定義的字元就會結束編輯模式

motd 也是相同的設定方式

使用指令檢視banner的狀態

#show banner exec

#show banner motd

#show banner last-login

13.SNMP

SNMP v1/v2設定方式如下

先設定community的數值(自定義，但必須與SNMP server相同)

之後有四個東西可以定義

operator--只接受特定受限制的MIB物件

manager--可以接受所有MIB物件

restricted--MIB變數不可以被設定，只能被讀取

unrestricted--MIB變數可以被設定(預設)

假裝SNMP的community為public，可以接受所有MIB物件，也可以被設定的話，指令如下

#snmp-server community public manager unrestricted

也可以一起指定snmp server的IP與community

#snmp-server host 9.9.9.9 coummunity public

檢視snmp指令如下

#show snmp-server

#display snmp-agent ?

14.Port Mirroring

Traffic mirroring 可以將switch介面上傳送與接收的封包複製一份給local或是 remote destination，其功能就像是 traffic analyzer或者是intrusion detection system (IDS)

Aruba OS裡有四個mirror群組，分別是mirror1~mirror4，設定時先將一個port綁進其中一個群組，然後再將一個介面(可以是port或是vlan)綁進這個群組，再設定是要監控流出(out)、流入(in)、或是兩者(both)的封包，之後就可以經由觀察一開始綁入的port來得知介面的封包

設定指令如下

#mirror 1 port 2  

將port 2 綁入mirror1

#interface 1 monitor all both mirror1

指定interface 1流出與流入的封包全都複製到mirror1裡

之後就可以經由觀察port2的封包來得知interface 1的封包狀態

PS:port2的Link Status要是UP的狀態才會有封包進出的資訊

檢視monitor設定

#show monitor

#show monitor 1