Take my hand: 10月 2017

新增了一些東西

------------------------------------------------

Aruba switch 常用指令v2.0

Aruba switch的指令融合了cisco跟HP，很多功能有兩種指令可以下，這邊並不會全部列出來

本文件主要以2930F為測試機型，其他的型號或是分位不同的switch可能在指令上會略有出入

1.基本操作

三個幫助你下指令的小技巧

Tab鍵(帶出完整指令)

?號(列出可能的指令，可以在指令後面按，也可以在指令後面空一格按，效果略有不同)

help(在指令後面加上help，可以閱讀switch裡對指令的說明)

Aruba>enable 進入enable模式

Aruba#config t 進入config模式

Aruba#system-view 進入config模式

Aruba(config)#save 存檔

Aruba(config)#quit 返回上一層

Aruba(config)#end直接回到enable模式

Aruba(config)#ping 送出ICMP封包

Aruba#reboot 重開機

Aruba#reset saved-configuration 清除設定檔(reset)

Aruba(config)#menu 進入管理模式 <-非常方便的模式，可以做os的升級

Aruba#show ip 檢視switch各個vlan上設定的ip

Aruba#show running-config 檢視config

Aruba#display cur 檢視config

Aruba(config)#sysname/hostname XXX 變更顯示名稱

Aruba(config)#no XXXXX 移除指令

Aruba(confif)#undo XXXXX 移除指令

Aruba#copy startup-config tftp 192.168.1.1 statupconfig 拷貝startup-config

1.5. 各種檢視狀態的指令

Aruba#show lldp info local-device(remote-device) 用lldp檢視相接設備

Aruba#show cdp neighbor 用cdp檢視相接設備

Aruba#show history 檢視下過的指令

Aruba#show ip route檢視路由表

Aruba#show arp檢視ARP table(後面可帶vlan單獨檢視某vlan的arp table)

Aruba#show mac-address 檢視MAC表

Aruba#show interface brief 檢視switch上各端口的狀態

Aruba#show boot-history 檢視開機歷史

Aruba#show modules 檢視裝上的模組(也可以順便檢視這台機器的型號)

Aruba#show version 檢視版本資訊

Aruba#show flasg 檢視主要的開機image與備用的開機image

Aruba#show system chassislocate/fans/information/power-supply 檢視各種系統資訊

(information可以檢視switch的MAC與序號與開機時間等等)

2.創造vlan 設定vlan IP、default-gateway與添加路由

Aruba(config)#vlan 1 進入 vlan 1

Aruba(vlan-1)# ip address 192.168.1.1 255.255.255.0 設定IP

Aruba(config)# ip default-gateway X.X.X.X 設定default gateway

Aruba(config)#ip routing 啟用路由功能

Aruba(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254 新增路由表

Aruba(config)# ip route 192.168.1.0/24 192.168.1.254 新增路由表

Aruba(config)# vlan 20 創造vlan20

Aruba(config)# vlan 20-100 創造vlan 20~100

Aruba(config)# vlan 30 ip address 192.168.30.254/24創造vlan30並給予ip

3.讓Interface帶tagged or untagged

Aruba(config)# interface ethernet 1/1 進入端口

Aruba(eth-1/1)# untagged vlan 1 讓此端口untagged vlan 1

Aruba(eth-1/1)# tagged vlan 1 讓此端口tagged vlan 1

Aruba(config)#interface ethernet all 進入全部端口，接著再比照上面的設定

Aruba#vlan 10 tagged 1 讓port1 tagged vlan 10，這樣就不用進入端口做設定

Aruba#interface 1 tagged 10 讓port1 tagged vlan 10，這樣就不用進入端口做設定

4.NTP

Aruba(config)#display clock 顯示時間

Aruba(config)#npt server 192.168.1.50 設定NTP server

Aruba(config)#npt server 192.168.1.50 iburst 加速同步模式

Aruba(config)#npt enable 啟用NTP

Aruba(config)# time time zone 480 設定時區台灣時區+8 (*60=480)

Aruba(config)#timesync ntp 改變timesync mode成ntp

Aruba(config)#show time顯示switch 當前的時間

Aruba(config)#show ntp status顯示NTP的狀態

Aruba(config)#time 設定時間，依循格式 MM/DD/YY or HH/MM/SS

5.Ether channel (LACP and Trunk)

EtherChannel(link-aggregation)是將多個實體介面綁在一個虛擬的port上,藉此達到高容錯與增加頻寬的一種技術。在Aruba OS裡，有兩種設定方式，分別是trunk(Static)，與LACP

ps:在此處的trunk只是Aruba OS對於綑綁端口技術的一種稱呼方式，與一般將Vlan帶上tag的trunk並無關係

其中Dynamic LACP(動態)的設定方式如下

(config)# trunk ethernet 1 trk1 lacp

(config)# trunk ethernet 2 trk1 lacp
將port 1, port 2綁入虛擬介面 trk1中，並啟用LACP

Static LACP(靜態)的設定方式如下

(config)# Trunk ethernet 1 trk1 trunk

(config)# Trunk ethernet 2 trk1 trunk

將port 1, port 2綁入虛擬介面 trk1中

(config)# interface trk1 進入trk1

之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)

PS:

可以使用#Trunk 1-2/all trk1的方式來綁入複數的端口

若只輸入#Trunk ethernet 1-2 trk，沒有指定要用trunk或是lacp來綑綁的話，預設是使用trunk來綑綁

檢視ether channel的設定

#show trunks

#show lacp peer

#show lacp

#show lacp local

6.STP

一般的Spanning Tree預設是關閉的,需要啟動才能使用

Aruba OS預設的STP是MSTP( Multiple STP )，同時也支援RPVST(Rapid Per-vlan STP)

(config)# spanning-tree enable

啟用STP

(config)# spanning-tree mode mstp

或是

(config)# spanning-tree mode rapid-pvst

選擇 spanning tree的模式預設啟用是mstp,若對接的設備支援rapid-pvst，可切換成

RPVST

(config)# spanning-tree priority 0-15 調整priority(0*4096-15*4096)

(config)# spanning-tree root primary 調整primary or seconary

可以設定該spanning的priority決定是否來當root或是backup

(config)# spanning-tree vlan X priority 0-15 針對各個vlan調整priority

啟用edge-port，省略當介接到非switch的設備時，所進行不必要的收斂運算

(如果有開stp，auto-edge-port預設是啟用的)

(config)# spanning-tree ethernet all auto-edge-port

此為啟用所有PORT為auto-edge-port. port會聆聽3秒的BPDU封包, 若3秒內沒有任何的BPDU封包,將會變成edge-port.若有則不會

(config)# spanning-tree ethernet all admin-edge-port

直接把所有port改成edge-port

# show spanning-tree

可顯示spanning-tree是否有啟動,使用的模式為何

# show spanning-tree config

可顯示spanning-tree較詳細的設定

Spanning Tree - MSTP

PVST會每個vlan都計算一個spanning tree，可以有效利用線路，但是如果vlan太多，會造成運算上與管理的負擔，因此有MSTP的誕生。MSTP可以創造實例(instance)，每個實例可以包複數的vlan進去，讓每個實例都跑一個spanning tree。

預設新增的vlan都會被加進instance 0 (internal spanning tree，又簡寫ist)

instance 0可以去跟其他種類的stp互動

要在整個網路上跑MSTP，必須每台switch指定一樣的MST region configuration name與

MST region configuration revision number

Aruba(config)# spanning-tree config-name XXX 設定config-name為XXX

Aruba(config)# spanning-tree config-revision <0-65535> 設定config-revision數值

Aruba(config)# spanning-tree instance 1 vlan X 將vlanX加進instance 1

Aruba(config)# spanning-tree instance 1 priority 修改instance 1 的priority

Aruba(config)# spanning-tree instance 1 root primary/secondary 修改instance 1的root

Aruba(config)# show spanning-tree instance 檢視instance的狀態

Spanning Tree - BPDU Protection

當端口啟用了BPDU-Protction後，如果接收到spanning-tree所發出的BPDU封包，會將端口disable掉

(config)# spanning-tree ethernet all bpdu-protection

在所有的port上啟用bpdu protection

# show spanning-tree bpdu-protection

檢視bpdu-protection的情況

PS:STP要是Enable的狀態底下，BPDU Protection才有作用，無法單純啟用BPDU Protection

備註:

#spanning-tree bpdu-throttle 64-254

限制每秒送到Switch的CPU的BPDU封包數量，預防switch的CPU因為loop而高速運轉

#spanning-tree bpdu-protection-timeout

修改BPDU-protection發生作用時，disable端口的時間，單位是秒，如果設定零是永遠disable

#spanning-tree 1 path-cost

針對port 1修改cost值

#spanning-tree 1 priority

針對port 1修改priority

7.Telnet & SSH

1.Telnet

Aruba OS的telnet預設是啟用的，遠端使用Telnet連線之後，可以直接敲Enter進入

可以透過設定使用者帳號來讓Telnet必須用帳號密碼登入

使用password指令來設定使用者帳號

#password manager/operator(指定權限) user-name XXX(設定帳號) plaintext XXX(設定密碼)

新增一個帳號admin密碼admin的maneger指令如下，

#password manager user-name admin plaintext admin

如果不指定user-name，便會使用manager與operator當作預設的帳號

#password manager plaintext admin

新增的帳號可以用來登入Telnet、SSH

可以使用#show telnet來檢視telnet的狀態

2.SSH

#crypto key generate ssh產生SSH的金鑰

後面可以選擇用dsa或是rsa加密，選定之後可以再選擇位元長度(optional)

如果不想指定的話，僅使用#crypto key generate ssh rsa就可以產生

#ip ssh啟用SSH

檢視SSH的狀態

#show ip ssh

SSH也需要設定帳號密碼才能夠連入，請參考Telnet的部份創造帳號密碼

其他相關指令

Aruba(config)#kill <1-7> 清除其他console/telnet/ssh進來的sessions，不指定數字會全清

Aruba#telnet x.x.x.x 使用telnet連到遠端設備

Aruba#ssh x.x.x.x 使用ssh連到遠端設備

8.關於log

Aruba#show logging 檢視log 可以附加參數做過濾

Aruba#log 檢視log 可以附加參數做過濾

Aruba(config)#logging command 使用指令開啟log紀錄指令的功能

底下是各參數的意義

-a	顯示全部的log
-b	顯示log，但是用開機到現在的排列方式來取代原本的時間排列方式
-r	顯示log，但是最近的先顯示(最近的顯示在最上面)
-s	顯示commander log與standby commander log (做stacking的時候主要那台是commander，次要的是standby)
-t	顯示log，時間的最小單位改為百分之一秒
command	顯示輸入的指令的log
-m	顯示主要事件的log
-e	顯示錯誤(error)事件的log
-p	顯示performance的log
-w	顯示警告訊息(warning)的log
-i	顯示information的log
-d	顯示Debug的log
option-str	自定義要搜尋的字詞，像是輸入vlan會顯示訊息帶有vlan的log

Aruba(config)# logging XXX.XXX.XXX.XXX 將log丟到log server

Aruba(config)#logging severity major/error/warning/info/debug指定送出的log類型

Aruba(config)#logging filter 過濾掉不想要送的log

9.DHCP

Aruba2920(config)# dhcp-server pool 1 進入DHCP pool 1

Aruba2920(1)# network 192.168.10.0 255.255.255.0 要發的網段

Aruba2920(1)# dns-server 8.8.8.8 設定DNS server

Aruba2920(1)# domain-name 設定domain name

Aruba2920(1)# range 192.168.10.10 192.168.10.50 設定range

Aruba2920(1)# default-router 192.168.10.254 設定default route

Aruba2920(vlan-10)# dhcp-server 重要!!!，在vlan裡頭啟用dhcp-server

#dhcp-server enable

DHCP relay

#vlan X進入vlanX

(vlanX)#ip helper-address 9.9.9.9 為此vlan指定DHCP server

DHCP snooping

啟用之後會只接受設定的port或server傳來的DHCP封包，其他來源的DHCP封包會drop掉

#dhcp-snooping 啟用dhcp-snooping

#dhcp-snooping trust ethernet 24 信任port24傳來的dhcp封包

#dhcp-snooping authorized-server 192.168.100.10 信任特定DHCP server

(vlan-1)#dhcp-snooping 在vlan1裏頭啟用dhcp-snooping 或者是

#dhcp-snooping vlan 1 在vlan 1裏頭啟用dhcp-snooping

# show dhcp-snooping 查詢dhcp-snooping狀態

PS:如果DHCP server是DHCP agent的話，有時候會帶上DHCP option82，因為Aruba switch預設會把DHCP-option82的封包drop掉，這時可以嘗試以下兩個指令關閉此功能

#dhcp-snooping option 82 untrusted-policy keep 不drop掉option82，keep它

#no dhcp-snooping option 82 關閉option82

10. port security

在CLI模式底下，可以使用port-security功能來設定端口安全選項與編輯安全設定，從一個或多個端口添加或刪除來自認證清單的設備。

檢視狀態指令

show port-security 檢視所有端口的port security設定

show port-security 1 檢視端口1的port security設定

show port-security intrusion-log 檢視侵入的MAC log

如何設定

首先鍵入port-security 接著指定端口單個端口(1)、範圍端口(1-5)、或全部端口(all)，之後接續想要修改的設定，可以做的設定如下

1.可以修改action來定義有設備入侵時switch要執行的動作

action參數說明

none 預設，不會送出snmp trap

send-alarm 會送出snmp trap

send-disable 會送出snmp trap並disable端口

2.address-limit 定義允許連入設備的數量

3.mas-address設定允許連入的設備(輸入MAC)

4.learn-mode 可以設定五種不同的學習狀態(設定port是如何學到MAC的)

continuous 預設值，只要是接入的設備，port都學習的到mac

static 設定固定的數值的已認證設備才能使用，如果沒有定義完所有的認證設備，也可以學習到接入設備的MAC，但是有固定數值的限制

configured 不會學習，只有設定進去的mac才能使用

port-access 802.1x認證過的才會學習到

limited-continuous 學習規定數量的mac

範例:

設定端口1只允許一台設備連入

port-security 1 learn-mode limited-continuous address-limit 1

設定端口1只允許一個特定的設備連入

port-security 1 learn-mode configured mac-address XXXXXX-XXXXXX

11.VSF

此處只提供一種設定方式(手動設定)

VSF( Virtual Switching Framework)是一種堆疊(stacking)技術，可以使用copper線或fibber線連接，設定好之後可以將兩台switch視為一台switch

只有在5400系列與2930F上可以啟用，5400可以堆2台、2930F可以堆4台

設定時，首先決定要做vsf連結的port的使用速率(5400只能支持10G/40G 2930F則是1G/10G)

使用vsf port-speed修改數值(每台要做VSF的switch都要進行修改)

接下來，先在member1上設定VSF

VSF1(config)#vsf member 1 link 1 1/1 (member1、link1、在port1/1做)

VSF1(config)#vsf enable domain 2 (為了預防與其他不相干的switch做出VSF，需指定domain)

之後系統會要求重開，按y讓他重開

再來在member2上設定VSF

VSF1(config)#vsf member 2 link 1 2/1 (member2、link1、在port2/1做 ps:因為做完VSF，member2的port會變成2/X，所以此處使用2/X來設定)

VSF1(config)#vsf enable domain 2

之後系統會要求重開，按y讓他重開

在開機循環完成之前接上member1的switch與member2的switch

等待開完機後，使用以下指令檢測

#show vsf

#show vsf detail

#show vsf link

#show vsf link detail

#show running-config

show vsf底下的清單上要出現兩台才算成功

附錄:

添加額外的port給VSF

VSF允許多個port被分配在同一個邏輯vsf link下

1.在member 1分配port給link

VSF1(config)#vsf member 1 link 1 1/17

2.在member 2分配port給link

VSF2(config)#vsf member 2 link 1 2/17

12.Banner

有兩種不同的Banner可以設定

exec--在使用者用console、SSH、Telnet、Web登入後會顯示，自定義內容

motd--在使用者用console、SSH、Telnet、Web登入前會顯示，自定義內容

last-login--啟用之後，使用者用console、SSH、Telnet、Web登入前會顯示上一次登入資訊

設定方式如下

#banner exec 後接一個自定義的字元，就會進入編輯模式，可以自由的輸入文字換行，按下一開始自定義的字元就會結束編輯模式

motd 也是相同的設定方式

使用指令檢視banner的狀態

#show banner exec

#show banner motd

#show banner last-login

13.SNMP

SNMP v1/v2設定方式如下

先設定community的數值(自定義，但必須與SNMP server相同)

之後有四個東西可以定義

operator--只接受特定受限制的MIB物件

manager--可以接受所有MIB物件

restricted--MIB變數不可以被設定，只能被讀取

unrestricted--MIB變數可以被設定(預設)

假裝SNMP的community為public，可以接受所有MIB物件，也可以被設定的話，指令如下

#snmp-server community public manager unrestricted

也可以一起指定snmp server的IP與community

#snmp-server host 9.9.9.9 coummunity public

檢視snmp指令如下

#show snmp-server

#display snmp-agent ?

14.Port Mirroring

Traffic mirroring 可以將switch介面上傳送與接收的封包複製一份給local或是 remote destination，其功能就像是 traffic analyzer或者是intrusion detection system (IDS)

Aruba OS裡有四個mirror群組，分別是mirror1~mirror4，設定時先將一個port綁進其中一個群組，然後再將一個介面(可以是port或是vlan)綁進這個群組，再設定是要監控流出(out)、流入(in)、或是兩者(both)的封包，之後就可以經由觀察一開始綁入的port來得知介面的封包

設定指令如下

#mirror 1 port 2

將port 2 綁入mirror1

#interface 1 monitor all both mirror1

指定interface 1流出與流入的封包全都複製到mirror1裡

之後就可以經由觀察port2的封包來得知interface 1的封包狀態

PS:port2的Link Status要是UP的狀態才會有封包進出的資訊

檢視monitor設定

#show monitor

#show monitor 1

15.特殊指令

控制燈號

可以使用指令控制Aruba switch的定位LED的閃爍狀態，藉此找出switch實際的物理位置

Aruba(config)# chassislocate blink/off/on 讓LED燈閃爍/關掉/打開，之後可以用參數指定何時改變燈號與改變燈號的持續時間

Aruba(config)# chassislocate blink/off/on at now/startup 現在就改變燈號或是開機時改變

Aruba(config)# chassislocate blink/off/on <1-1440> 讓燈號改變多久(預設30分鐘，此處的單位是分鐘)

修改terminal視窗的數值

Aruba(config)#terminal length X 修改長度

Aruba(config)#terminal width X 修改寬度

Aruba(config)#terminal type ansi/vt100 修改模式

16.OSPF

Aruba(config)#ip router-id x.x.x.x 設定router id

Aruba(config)#router ospf 進到ospf的設定裡

Aruba(ospf)#area X 設定area

Aruba(ospf)#enable 啟用ospf

之後要進到vlan裡面去啟用ospf

Aruba(Vlan-X)#ip ospf area X

show ip ospf interface 檢視ospf是否在正確的interface上啟用

show ip ospf neighbor 檢視ospf的鄰居

show ip route ospf 檢視ospf的路由

Take my hand

2017年10月21日星期六

Aruba switch做VSF v2.0

Aruba switch 常用指令v2.0

2017年10月21日 星期六

Aruba switch做VSF v2.0

Aruba switch 常用指令v2.0

2017年10月21日星期六