2017年2月28日 星期二

HP switch 1920/1950 啟用command line

HP switch 1920與1950預設的command line是關閉的
必須輸入指令與密碼才能啟動


HP switch 1920 enable command mode
command and password

_cmdline-mode on
Jinhua1920unauthorized

HP switch 1950 enable command mode
command and password

xtd-cli-mode
foes-bent-pile-atom-ship

2017年2月25日 星期六

Aruba controller 802.1X設定

Aruba controller SOP(802.1X)


初始設定完成後,AP也可以ping的到controller,並有抓到controller為master之後可以開始以下設定


關閉AP白名單


PS:如果網路連線沒問題,controller又抓不到AP,有可能是韌體版本的問題


要設定AP需要給予每一顆AP一個AP Group
而AP Group底下又包含了Virtual AP這個子集合,而Virtual AP底下又可以包含其他子集合
所以controller裡對AP的設定是一個階層的樹狀架構(如下圖)

C:\Users\User\AppData\Local\LINE\Cache\tmp\1486450900587.jpg











首先設定 ROLE
C:\Users\User\AppData\Local\LINE\Cache\tmp\1486450954732.jpg
先定義role的定位與權限
C:\Users\User\AppData\Local\LINE\Cache\tmp\1486451065458.jpg
按下apply確定設定


接著設定 RADIUS與AD密碼(需與AD管理者要求)
C:\Users\User\AppData\Local\LINE\Cache\tmp\1486452324326.jpg
按下ADD後 點 剛剛設定好的RADIUS NAME 進入配置內容
點Apply確認更改配置


設定802.1x
點ADD並點選剛剛設定的名稱進入設定(此處截圖設定有誤,應該點選eap-peap與eap-mshapv2)
點選apply確認設置(此處截圖設定有誤,應該點選eap-peap與eap-mshapv2)

設定AAA
按下Add與apply確定設定
點選名稱進入設定
點選APPLY確認更改
點選802.1x authentication
點選APPLY確認更改
點擊802.1x authentication server group 點選add server 並apply確認更改
點擊RADIUS authentication server group 並且步驟同上
點選All profiles(左邊選單最下面)
並展開wirelss選單點選SSID
點選新建的SSID名稱進入設定
點選apply確定修改
點選同列表中的vitual ap 並建置新的
點apply確定修改
點選AAA
點apply確定修改
點選SSID
點apply確定修改


點選要套用的AP 在勾選框打勾並點選Provision進入設定
並修改AP group為當初設定的group


若AP有外接天線則須設定dbi的數值,在5g中輸入6 dbi    2.4g中輸入 4dbi


點選apply and reboot 確認並等待AP重啟

-----------------------------------------------------------------------------------------------------------------------


DHCP server 設定
點選ADD
按下Done確認修改
IPv4 DHCP server enable要勾選
並到VLAN頁面給予該VLAN IP
點選APPLY並確認修改


額外測試 驗證AAA能否正常通過AD認證

如何存檔

點擊上方的save configuration按鈕即可

Aruba controller 初始設定

Aruba controller 初始設定

reset的話請使用console接入後進入enable模式後(輸入enable)鍵入write erase all

1.接上電源
2.使用console線接入設備
輸入full-setup

3.
依序輸入設定(直接按enter會輸入預設值)
1.系統名稱
2.controller的角色
3.vlan 1的ip
4.vlan 1的netmask
5.default gateway
6.是否啟用ipv6
7.國碼(TW)
8.時區(CST+8:0)
9.時間(用command介面要輸入當下時間-8小時)
10.日期
11.12. admin密碼
13.14 enable密碼
15.要關閉所有port嗎
4.觀看summary,如果無誤就重啟機器
5.使用電腦用網路線連入設備(自己設定固定ip連入)

6.輸入設定好的帳號密碼即可開始進行其他設定

HP switch5120 基礎指令表 (含IRF)

1.基本操作

<HP>system-view 進入config模式
[HP]save 儲存設定
[HP]quit 返回上一層
[HP]sysname 修改顯示名稱
[HP]ping 送出ICMP封包
<HP>reboot
[HP]tracert 使用traceroute功能
<HP>reset saved-configuration 清除config,回復原廠設定
[HP]header 設定banner(登入訊息)

2.查詢指令

[HP]display current-configuration 查詢switch的config
[HP]display startup 查詢switch現在讀取的存檔
[HP]display this 查詢當下所在位置的細節
[HP]display vlan 查詢vlan
[HP]display vlan all 查詢vlan細節
[HP]display link-aggregation summary 查詢LACP
[HP]display clock 查詢系統時間
[HP]display ntp status查詢ntp狀態
[HP]display version 查詢版本

3.設定管理IP

[HP]interface vlan-interface 1 進入vlan 1
[HP-Vlan-interface1]ip address x.x.x.x x.x.x.x
[HP-Vlan-interface1]quit
[HP]ip route-static 0.0.0.0 0.0.0.0 Vlan-interface 1 192.168.1.254
可以視為設定gateway,設定一個靜態路由,所有的網段都指向192.168.1.254

4.啟動web管理介面

[HP]local-user admin 新增一個管理者帳號admin
[HP-luser-manage-admin]service-type https 指定管理者使用介面https
[HP-luser-manage-admin]authentication-attribute user-role network-admin
設定帳號權限是network admin
[HP-luser-manage-admin]password simple admin 設定密碼是admin
[HP-luser-manage-admin]quit

[HP]ip https enable #啟用Https服務
[HP]ip https port xxx #設定port

之後便可以使用設定好的帳號密碼連入switch的web介面

5.STP
[HP]stp global enable 啟用全域stp
[HP]undo stp global enable 關閉全域stp
[HP]stp priority 61440 設定stp priority的數值
[HP]stp mode mstp/pvst/rstp/stp 選擇stp類型
[HP]stp vlan 1 enable 針對vlan1啟動stp
[HP]stp bpdu-protection 啟用BPDU protection


6.ntp設定

[HP]ntp enable 啟用ntp
[HP]ntp unicast-peer x.x.x.x 指定某台內部設備來同步時間
[HP]ntp unicast-server x.x.x.x 指定ntp server (0.tw.pool.ntp.org)
[HP]clock timezone UTC+8 add 08:00:00 設定時區


7.vlan 設定

[HP]vlan 100 創造vlan100
[HP-vlan100]port GigabitEthernet 1/0/7 to GigabitEthernet 1/0/8 將vlan100分配給1/0/7~1/0/8
[HP]vlan 1 to 10 創造vlan 1~10
[HP]interface Vlan-interface 100 進入vlan100的介面
[HP-Vlan-interface100]ip address 192.168.100.1 255.255.255.0 設定vlan100的ip

8.access port 設定

[HP]interface GigabitEthernet 1/0/1
[HP-GigabitEthernet1/0/1]port link-type access
[HP-GigabitEthernet1/0/1]port access vlan 100

9.trunk port 設定
[HP]interface GigabitEthernet 1/0/1
[HP-GigabitEthernet1/0/1]port link-type trunk  改為trunk port
[HP-GigabitEthernet1/0/1]port trunk permit vlan 100 允許vlan 100通過
[HP-GigabitEthernet1/0/1]port trunk pvid vlan 100 設定pvid為vlan 100

10.DNS+DHCP

dns server x.x.x.x  設定dns server
dhcp enable  啟用dhcp

設定DHCP relay
[HP]interface Vlan-interface 100
[HP-Vlan-interface100]dhcp relay server-address x.x.x.x

設定DHCP
[HP]dhcp server ip-pool 1 進入dhcp ip-pool 1
[HP-dhcp-pool-1]address range 192.168.100.1 192.168.100.100 設定範圍
[HP-dhcp-pool-1]network 192.168.100.0 mask 255.255.255.0 設定發放IP網段
[HP-dhcp-pool-1]dns-list x.x.x.x 設定要給的dns
[HP-dhcp-pool-1]gateway-list 設定要給的gateway
[HP-dhcp-pool-1]domain-name 設定domain name
[HP-dhcp-pool-1]expired day 1 hour 1 minute 1 設定借用時間
[HP-dhcp-pool-1]forbidden-ip 192.168.100.90 禁止發的ip

11.設定LACP

[HP]interface Bridge-Aggregation 1 先做出綑綁後的端口
[HP-Bridge-Aggregation1]link-aggregation mode dynamic  改成dynamic

[HP]interface GigabitEthernet 1/0/1 進去要綁起來的端口
[HP-GigabitEthernet1/0/1]port link-aggregation group 1 綑綁
[HP]interface GigabitEthernet 1/0/2 進去要綁起來的端口
[HP-GigabitEthernet1/0/2]port link-aggregation group 1 綑綁

之後要對端口下指令可以直接進入綑綁後的端口下指令

查詢狀態
display link-aggregation summary
dis interface Bridge-Aggregation 1

12.設定SSH or Telnet

Telnet
[HP]user-interface vty 0 4
[HP-ui-vty0-4]authentication-mode password 選擇密碼模式
[HP-ui-vty0-4]set authentication password cipher xxxxx 設定密碼
[HP-ui-vty0-4]user privilege level 3 設定登入者權限

[HP]telnet server enable
________________________________________

SSH

[HP]public-key local create rsa 創造rsa
[HP]ssh server enable
[HP-ui-vty0-4]user-interface vty 0 4
[HP-ui-vty0-4]authentication-mode scheme
[HP-ui-vty0-4]user privilege level 3 設定user level 可以?號查詢有哪些level

[HP]local-user xxx ##建立user帳號
[HP-luser-admin]service-type ssh (ssh telnet terminal web) ##要給予這個使用者採取那些連線方式
[HP-luser-admin]authentication-attribute level 3 給予登入者權限,可以問號查詢有哪些level
[HP-luser-admin]password cipher password
[HP-luser-admin]quit

13.備份config,灌入config

<HP>dir 查詢檔案
<HP>tftp 192.168.1.1 put startup.cfg startup_2017_5_13.cfg
從switch上傳檔案(startup.cfg)到192.168.1.1的tftp server並且改名成startup_2017_5_13.cfg

<HP>tftp 192.168.1.1 get startup_2017_5_13.cfg startup.cfg
從192.168.1.1的tftp server上傳檔案(startup_2017_5_13.cfg)到switch並改名成startup.cfg


14.IRF
兩台以上同型號同version的HP switch
先決定哪台當main switch
並在第2台以後的switch更改member number
[switch 2]irf member 1 renumber X(2,3,4)


決定priority決定誰是Main switch(option)
[switch 1]irf member 1 priority 32
[switch 2]irf member 2 priority 31

之後存檔重啟
[switch 2]save
[switch 2]quit
重新啟動讓SWITCH更改PORT的序號
<switch 2> reboot

重啟後確認switch更改了PORT編號
在接上光纖模組與線之前先關閉Ten giga的port
[switch 1]int range ten 1/0/27 ten 1/0/28
[switch 1]shutdown
在其他上要堆疊的switch也做相同的動作
[switch 2]int range ten 2/0/27 ten 2/0/28
[switch 2]shutdown

建立Irf 邏輯port,並把實體介面綁進去
[switch 1]irf-port 1/1
[switch 1]port group interface ten 1/0/27
[switch 1]irf-port 1/2
[switch 1]port group interface ten 1/0/28

[switch 2]irf port 2/1
[switch 2]port group interface ten 2/0/27
[switch 2]irf port 2/2
[switch 2]port group interface ten 2/0/28


進入各個shutdown的port並重啟
[switch 1]int range ten 1/0/27 ten 1/0/28
[switch 1]undo shutdown
[switch 2]int range ten 2/0/27 ten 2/0/28
[switch 2]undo shutdown
啟動IRF機制
[switch 2]irf-port-configuration active
並且存檔(這很重要)

[switch1]save
[switch2]save

把光些模組與線交叉接上,此時非mainswitch都會立即重其啟動,則之前所有設定都不會保留要重新設定。
重開機結束後發現一台switch有其他switch的port時,IRF即為成功。









mad設定
為了避免做IRF的兩台switch中間的連線中斷,而導致互搶master,可以啟用mad(multi-active detection)
mad 必須指定一個vlan,將每台switch中的一個介面分配到這個vlan,並在介面上配置一個IP
mad有四種方式可以選擇,如果啟用BFD偵測(Bidirectional Forwarding Detection)的話要關閉STP


[HP] vlan 3 啟用vlan13
[HP-vlan3] port gigabitethernet 1/0/1 gigabitethernet 2/0/1 分配端口給vlan 3
[HP] interface vlan-interface 3
[HP-Vlan-interface3] mad bfd enable
[HP-Vlan-interface3] mad ip address 192.168.99.99 24 member 1
[HP-Vlan-interface3] mad ip address 192.168.99.199 24 member 2