2017年7月27日 星期四

HPswitch5130 基礎指令

與5120基本上相去不遠,跟上一份5120的基礎指令比起來新增了一些小東西,大家參考看看

HPswitch5130 基礎指令

1.基本操作

<HP>system-view 進入config模式
[HP]save 儲存設定
[HP]quit 返回上一層
[HP]sysname 修改switch名稱
[HP]ping 送出ICMP封包
<HP>reboot 重開機
[HP]tracert 使用traceroute功能
<HP>reset saved-configuration 清除config,回復原廠設定
[HP]header 設定banner(登入訊息)

2.查詢指令

[HP]display current-configuration 查詢switch的config
[HP]display startup 查詢switch現在讀取的存檔
[HP]display this 查詢當下所在位置的細節
[HP]display vlan 查詢vlan
[HP]display vlan all 查詢vlan細節
[HP]display link-aggregation summary 查詢LACP
[HP]display clock 查詢系統時間
[HP]display ntp status查詢ntp狀態
[HP]display version 查詢版本

3.設定管理IP

[HP]interface vlan-interface 1 進入vlan 1
[HP-Vlan-interface1]ip address x.x.x.x x.x.x.x
[HP-Vlan-interface1]quit
[HP]ip route-static 0.0.0.0 0.0.0.0 Vlan-interface 1 192.168.1.254
可以視為設定gateway,設定一個靜態路由,所有的網段都指向192.168.1.254

4.啟動web管理介面

[HP]local-user admin 新增一個管理者帳號admin
[HP-luser-manage-admin]service-type https 指定管理者使用介面https
[HP-luser-manage-admin]authentication-attribute user-role network-admin
設定帳號權限是network admin
[HP-luser-manage-admin]password simple admin 設定密碼是admin
[HP-luser-manage-admin]quit

[HP]ip https enable #啟用Https服務
[HP]ip https port xxx #設定port

之後便可以使用設定好的帳號密碼連入switch的web介面

5.STP
[HP]stp global enable 啟用全域stp
[HP]undo stp global enable 關閉全域stp
[HP]stp priority 61440 設定stp priority的數值
[HP]stp mode mstp/pvst/rstp/stp 選擇stp類型
[HP]stp vlan 1 enable 針對vlan1啟動stp
[HP]stp bpdu-protection 啟用BPDU protection


6.ntp設定

[HP]ntp enable 啟用ntp
[HP]ntp unicast-peer x.x.x.x 指定某台內部設備來同步時間
[HP]ntp unicast-server x.x.x.x 指定ntp server (0.tw.pool.ntp.org)
[HP]clock timezone UTC+8 add 08:00:00 設定時區

也可以透過一些指令做查詢
[HP]display clock
可以顯示switch 當前的時間
[HP]display ntp-service status
可以顯示NTP的狀態
[HP]clock protocol none
不用ntp,改用手動設定時間


7.vlan 設定

[HP]vlan 100 創造vlan100
[HP-vlan100]port GigabitEthernet 1/0/7 to GigabitEthernet 1/0/8 將vlan100分配給1/0/7~1/0/8
[HP]vlan 1 to 10 創造vlan 1~10
[HP]interface Vlan-interface 100 進入vlan100的介面
[HP-Vlan-interface100]ip address 192.168.100.1 255.255.255.0 設定vlan100的ip

8.access port 設定

[HP]interface GigabitEthernet 1/0/1
[HP-GigabitEthernet1/0/1]port link-type access
[HP-GigabitEthernet1/0/1]port access vlan 100

9.trunk port 設定
[HP]interface GigabitEthernet 1/0/1
[HP-GigabitEthernet1/0/1]port link-type trunk  改為trunk port
[HP-GigabitEthernet1/0/1]port trunk permit vlan 100 允許vlan 100通過
[HP-GigabitEthernet1/0/1]port trunk pvid vlan 100 設定pvid為vlan 100

10.DNS+DHCP

dns server x.x.x.x  設定dns server
dhcp enable  啟用dhcp

設定DHCP relay
[HP]interface Vlan-interface 100
[HP-Vlan-interface100]dhcp relay server-address x.x.x.x

設定DHCP
[HP]dhcp server ip-pool 1 進入dhcp ip-pool 1
[HP-dhcp-pool-1]address range 192.168.100.1 192.168.100.100 設定範圍
[HP-dhcp-pool-1]network 192.168.100.0 mask 255.255.255.0 設定發放IP網段
[HP-dhcp-pool-1]dns-list x.x.x.x 設定要給的dns
[HP-dhcp-pool-1]gateway-list 設定要給的gateway
[HP-dhcp-pool-1]domain-name 設定domain name
[HP-dhcp-pool-1]expired day 1 hour 1 minute 1 設定借用時間
[HP-dhcp-pool-1]forbidden-ip 192.168.100.90 禁止發的ip

11.設定LACP

[HP]interface Bridge-Aggregation 1 先做出綑綁後的端口
[HP-Bridge-Aggregation1]link-aggregation mode dynamic  改成dynamic

[HP]interface GigabitEthernet 1/0/1 進去要綁起來的端口
[HP-GigabitEthernet1/0/1]port link-aggregation group 1 綑綁
[HP]interface GigabitEthernet 1/0/2 進去要綁起來的端口
[HP-GigabitEthernet1/0/2]port link-aggregation group 1 綑綁

之後要對端口下指令可以直接進入綑綁後的端口下指令

查詢狀態
display link-aggregation summary
dis interface Bridge-Aggregation 1

12.設定SSH or Telnet

Telnet
[HP]user-interface vty 0 4
[HP-ui-vty0-4]authentication-mode password 選擇密碼模式
[HP-ui-vty0-4]set authentication password cipher xxxxx 設定密碼
[HP-ui-vty0-4]user privilege level 3 設定登入者權限

[HP]telnet server enable
________________________________________

SSH

[HP]public-key local create rsa 創造rsa
[HP]ssh server enable
[HP-ui-vty0-4]user-interface vty 0 4
[HP-ui-vty0-4]authentication-mode scheme
[HP-ui-vty0-4]user privilege level 3 設定user level 可以?號查詢有哪些level

[HP]local-user xxx ##建立user帳號
[HP-luser-admin]service-type ssh (ssh telnet terminal web) ##要給予這個使用者採取那些連線方式
[HP-luser-admin]authentication-attribute level 3 給予登入者權限,可以問號查詢有哪些level
[HP-luser-admin]password cipher password
[HP-luser-admin]quit

13.備份config,灌入config

<HP>dir 查詢檔案
<HP>tftp 192.168.1.1 put startup.cfg startup_2017_5_13.cfg
從switch上傳檔案(startup.cfg)到192.168.1.1的tftp server並且改名成startup_2017_5_13.cfg

<HP>tftp 192.168.1.1 get startup_2017_5_13.cfg startup.cfg
從192.168.1.1的tftp server上傳檔案(startup_2017_5_13.cfg)到switch並改名成startup.cfg

14.Banner

[HP]header <option> <自定義字元>
可以用?查看有哪些option可以輸入,選擇不同的option,banner會出現在不同位置
輸入自定義字元後便開始進入banner的設定模式,再輸入一次自定義字元及結束banner的設定

option
說明
incoming
Appears for Modem users.
legal
Appears after the copyright. To continue login, the user must enter Y or press Enter. To quit the process, the user must enter N. Y and N are case insensitive.
login
Appears only when password or scheme authentication is configured.
motd
Appears after the legal banner and before the login banner.
shell
Appears for non-Modem users.  



15.SNMP

[HP]snmp-agent 啟用snmp-agent(預設不啟用)
[HPE]snmp-agent sys-info version all/v1/v2c/v3 設定要使用的snmp版本(預設使用snmp3)

設定SNMP存取權限
VACM mode(View-based Access Control Model )
[HPE]snmp-agent community read/write simple/cipher communityname
RBAC mode(Role-based access control)
[HPE]snmp-agent community simple/cipher communityname user-role level-15

optional指令
[HPE]snmp-agent sys-info contact 設定系統的連絡資訊(方便記憶)
[HPE]snmp-agent sys-info location 設定系統的位置(方便記憶)
[HPE]snmp-agent local-engineid 修改local engin ID(預設是公司ID+設備ID)

trap指令
[HP]snmp-agent trap enable
[HP]snmp-agent target-host trap address udp-domain 192.168.1.1 udp-port 161 params securityname public

16.log
[HP]info-center enable 啟用info-center(預設是啟用的)
[HP]info-center loghost 9.9.9.9 facility local0 將log丟到9.9.9.9
[HP]info-center source default loghost deny 取消將所有的log丟到loghost
[HP] info-center source ftp loghost level informational 設定只有ftp的資料丟到loghost
[HP]display logbuffer 顯示log,可以用?查詢過濾指令

17.IRF
兩台以上同型號同version的HP switch
先決定哪台當main switch
並在第2台以後的switch更改member number
[switch 2]irf member 1 renumber X(2,3,4)


決定priority決定誰是Main switch(option)
[switch 1]irf member 1 priority 32
[switch 2]irf member 2 priority 31

之後存檔重啟
[switch 2]save
[switch 2]quit
重新啟動讓SWITCH更改PORT的序號
<switch 2> reboot

重啟後確認switch更改了PORT編號
在接上光纖模組與線之前先關閉Ten giga的port
[switch 1]int range ten 1/0/27 ten 1/0/28
[switch 1]shutdown
在其他上要堆疊的switch也做相同的動作
[switch 2]int range ten 2/0/27 ten 2/0/28
[switch 2]shutdown

建立Irf 邏輯port,並把實體介面綁進去
[switch 1]irf-port 1/1
[switch 1]port group interface ten 1/0/27
[switch 1]irf-port 1/2
[switch 1]port group interface ten 1/0/28

[switch 2]irf port 2/1
[switch 2]port group interface ten 2/0/27
[switch 2]irf port 2/2
[switch 2]port group interface ten 2/0/28


進入各個shutdown的port並重啟
[switch 1]int range ten 1/0/27 ten 1/0/28
[switch 1]undo shutdown
[switch 2]int range ten 2/0/27 ten 2/0/28
[switch 2]undo shutdown
啟動IRF機制
[switch 2]irf-port-configuration active
並且存檔(這很重要)

[switch1]save
[switch2]save

把光些模組與線交叉接上,此時非mainswitch都會立即重其啟動,則之前所有設定都不會保留要重新設定。
重開機結束後發現一台switch有其他switch的port時,IRF即為成功。









mad設定
為了避免做IRF的兩台switch中間的連線中斷,而導致互搶master,可以啟用mad(multi-active detection)
mad 必須指定一個vlan,將每台switch中的一個介面分配到這個vlan,並在介面上配置一個IP
mad有四種方式可以選擇,如果啟用BFD偵測(Bidirectional Forwarding Detection)的話要關閉STP


[HP] vlan 3 啟用vlan13
[HP-vlan3] port gigabitethernet 1/0/1 gigabitethernet 2/0/1 分配端口給vlan 3
[HP] interface vlan-interface 3
[HP-Vlan-interface3] mad bfd enable
[HP-Vlan-interface3] mad ip address 192.168.99.99 24 member 1
[HP-Vlan-interface3] mad ip address 192.168.99.199 24 member 2


2017年7月22日 星期六

Aruba switch - MAD的運作原理

SNMP based Dual Active Detection (DAD) in VSF



SNMP based DAD(在VSF裡被叫做MAD)被用來偵測dual-active VSF fragments


LLDP-MAD readiness check (LLDP-MAD就緒檢查)

MAD device必須要經過LACP介面連接到VSF設備上,當在MAD device設定IP之後,VSF switch將會執行MAD readiness check去確定以下事項

1.MAD device是否可以連接到
2.trunk介面是否可以被用來連接到設備
3.trunk介面是否最少有一個物理端口連接到每一個VSF switch上

如果上述三個條件沒有達成,在VSF split的時候MAD就會失敗,這樣的錯誤會有log紀錄
PS:MAD readiness check每段時間就會重複,如果MAd-probe參數改變,相對應的log會出現


VSF split explanation


底下是VSF link斷開時,MAD運作的狀況

1.當VSF link斷開時
Commander(用A代稱)會繼續active
Standby(用B代稱)會變成另外一台commander

2.B會傳送SNMP request到MAD device上詢問MAD device跟A做LAG的介面的端口狀態
MAD device會回傳SNMP respond去告知端口的狀態
如果A收到MAD device發的SNMP respond,因為request不是A自己發的,所以會忽略

3.B會多送兩個SNMP request,如果沒有收到SNMP respond(因為MAD device都把SNMP respond傳到A,所以B沒有收到,藉此推測A是活著的),就會shut down所有端口並進入inactive的狀態。

4.如果B收到從MAD device傳來的SNMP  respond,FragmentB會知道FragmentA的端口狀態
如果FragmentA的端口狀態是UP,FragmentB會shut down所有端口
如果FragmentA的端口狀態是DOWN,FragmentB會保持UP的狀態

--------------------------------------------------------------

綜合上面的論述,用不同的方式來說明
有兩種情況會導致VSF link斷裂
1.Commander(FragmentA)整台shut down,在此情況下,Standby(FragmentB)會送出SNMP request到MAD device去詢問MAD device與FragmentA連接端口的狀態。此時MAD device會回傳他們之間的端口狀態是down,得知此訊息的FrangementB會保持UP

2.只有VSF link斷裂,在此情況下,Standby(FragmentB)會送出SNMP request到MAD device去詢問MAD device與FragmentA連接端口的狀態。
如果沒有收到MAD device的SNMP respond(意味著所有SNMP respond都送到FragmentA),FragmentB會shut down所有port。
如果有收到MAD device的SNMP respond,便會由SNMP respond得知FragmentA存活,進而shut down所有port。

其中的過程可以參考此圖

更多相關細節可以參考官方說明文件

http://h22208.www2.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/16-01/5200-0137_MCG/content/ch19s25.html

2017年7月18日 星期二

Aruba switch IP-SLA

Aruba switch IP-SLA

在Aruba switch裡,IP服務層級協議(IP Service Level Agreement)的功能是幫助管理者收集network performance的資訊。對於企業或是ISP而言,都是好用的工具。
所有的SLA測試都包含了兩個節點(node),來源節點(node)與目的節點(node),在本說明文件中,所有的來源節點都指的是Aruba switch,而目的節點指的通常都是有IP的網路設備。

IP SLA提供以下功能
1.用Application-aware monitoring模擬真實的封包
2.可預測的測量可以幫助輕鬆部屬、與評估存在網路的性能
3.對於對時間敏感的application提供delay與lossing packet的準確測量
4.用End-to-end的測量去代表實際的使用者狀況

Aruba switch支援以下三種SLA類型

1.UDP Echo
(包含傳輸層伺服器(UDP)的連接測試、Round-Trip-Time(RTT)測量、one-way delay與packet loss details)

2.ICMP Echo
(包含連接測試、RTT測量,與packet loss details)

3.TCP connect
(包含傳輸層伺服器(TCP)的連接測試、還有handshake時間的測量)
-------------------------------------------------------------------------------------

IP SLA測試

一個SLA測試通常都包含以下幾步
1.來源端發起一個測試封包到目的端
2.目的端回應測試封包,將需要的資訊嵌入回應封包中
3.接收到回應之後,來源端基於timestamp、其他封包的參數等等來計算測試結果
4.來源端儲存結果,並更新歷史紀錄給SLA
5.來源端針對下一輪,重新排程SLA

IP SLA的限制
1.無法在IPv6上啟用
2.無法在OOBM的介面上啟動
3.在switch被置換或重開機後,SLA的紀錄不會被保留
4.如果有多個SLA的目的設定成主機名,DNS解析會有順序的發生,可能導致傳送探測封包的延遲(Probe packet)
5.在設定Tcp connect SLA的時候,來源IP/port與目的IP/port必須要是獨特的
6.所有SLA探測封包(Probe packet)的timeout時間是3秒,不可修改


指令

#ip-sla <ID> <option>
先給ip-sla一個自定義參數,範圍是1-255,後面接續其他選項可以對其做設定


選項
說明
clear
清除歷史紀錄、訊息統計、與特定SLA的起始計算點
dhcp
設定SLA的測試機制為DHCP
disable
停用SLA
dns
設定SLA的測試機制為DNS
enable
啟用SLA
history-size
設定為了SLA被儲存的歷史紀錄數字
icmp-echo
設定SLA的測試機制為ICMP
monitor
設定監測參數與各自的起始活動值
schedule
設定SLA的開始時間、停止時間、生存時間、還有運行頻率
tcp-connect
設定SLA的測試機制為TCP connect
tos
修改被設定在測試封包裡伺服器數值的type
udp-echo
設定SLA的測試機制為UDP echo
udp-jitter
設定SLA的測試機制為udp-jitter
udp-jitter-voip
設定SLA的測試機制為udp-jitter-voip


#ip-sla responder
設定ip-sla responder去回應偵查封包(probe packet)
後續選項意義如下

選項
說明
IP address
本地介面的IP
port
L4的端口號碼
SLA types supported
sla的支援類型

------------------------------------------------------------------------------------------------------------

部分指令細部說明

#ip-sla <id> dhcp source vlan-ID
設定SLA的測試機制為DHCP,需要設定來源端的介面ID

#ip-sla <id> dns target-hostname <HOSTNAME> name-server <IP-ADDR>
設定SLA的測試機制為dns,需要設定目標主機名稱與name server的IP

#ip-sla <id> history-size
設定儲存在SLA裡的歷史紀錄數量,預設size是25,最大值為50

#ip-sla <id> icmp-echo [<IP-ADDR> | <HOST-NAME>] [source <IP-ADDR> | source-interface vlan <VLAN-ID>] [payload-size <SIZE>]
設定SLA的測試機制為ICMP需要目的端的IP/主機名,還有來源端的IP/vlan id
pay-load size有效值1~1440,預設是沒有設定

#ip-sla <id> schedule [[now | startTime <START-TIME>] [forever | stopTime <STOP-TIME> | repetitions <NUM>] [frequency <FREQUENCY>
設定開始時間、停止時間、生存時間與運作SLA的時間,預設運作頻率為60秒

#ip-sla <id> tcp-connect [destination [<IP-ADDR> | <HOST-NAME>] <PORT-NUM>] [source [<IP-ADDR> | <VLAN-ID>] <PORT-NUM>]
設定SLA的測試機制為TCP connect,需要目的IP/主機名、來源IP/vlan-id
port-number的範圍是1024-65535

#ip-sla <id> udp-echo [destination [<IP-ADDR> | <HOST-NAME>] <PORT-NUM>] [source <IP-ADDR> | <VLAN-ID>] [payload-size <SIZE>]
設定SLA的測試機制為UDP echo,需要目的IP/主機名、來源IP/vlan-id
port-number的範圍是1024-65535
paylod-size的範圍是1-1440,預設沒有設定














檢視狀態的指令

#show ip-sla <id> <option>

檢視某個ip-sla,後面可以接不同選項(也可以直接就show ip-sla <id>)

選項
說明
history
檢視ip-sla結果的歷史紀錄
message-statistics
檢視ip-sla的訊息統計
results
檢視ip-sla  UDP Jitter and UDP Jitter VoIP的結果
aggregated-results
檢視ip-sla UDP Jitter and UDP Jitter VOIP的 aggregated結果


#show ip-sla responder 檢視ip-sla responder狀態
#show ip-sla redponder statistics 檢視ip-sla responder的統計


清除指令

#ip-sla <id> clear record
清除SLA的紀錄
#clear ip-sla responder statistics
清除SLA responder的統計資料







範例:

#ip-sla 1 dhcp source 172
設定sla-1測試機制為DHCP,vlan172

#ip-sla 1 enable
啟用ip-sla 1

#show ip-sla 1
檢視sla-1的狀態
#show ip-sla 1 history
檢視sla-1的歷史紀錄
#show ip-sla 1 message-statistics
檢視sla-1的訊息統計

如果想要完整的官方說明,可以參閱原廠文件
HPE ArubaOS-Switch Management and Configuration Guide WC.16.03的章節21