新增了一些東西
------------------------------------------------
Aruba switch 常用指令v2.0
Aruba switch的指令融合了cisco跟HP,很多功能有兩種指令可以下,這邊並不會全部列出來
本文件主要以2930F為測試機型,其他的型號或是分位不同的switch可能在指令上會略有出入
1.基本操作
三個幫助你下指令的小技巧
Tab鍵(帶出完整指令)
?號(列出可能的指令,可以在指令後面按,也可以在指令後面空一格按,效果略有不同)
help(在指令後面加上help,可以閱讀switch裡對指令的說明)
Aruba>enable 進入enable模式
Aruba#config t 進入config模式
Aruba#system-view 進入config模式
Aruba(config)#save 存檔
Aruba(config)#quit 返回上一層
Aruba(config)#end直接回到enable模式
Aruba(config)#ping 送出ICMP封包
Aruba#reboot 重開機
Aruba#reset saved-configuration 清除設定檔(reset)
Aruba(config)#menu 進入管理模式 <-非常方便的模式,可以做os的升級
Aruba#show ip 檢視switch各個vlan上設定的ip
Aruba#show running-config 檢視config
Aruba#display cur 檢視config
Aruba(config)#sysname/hostname XXX 變更顯示名稱
Aruba(config)#no XXXXX 移除指令
Aruba(confif)#undo XXXXX 移除指令
Aruba#copy startup-config tftp 192.168.1.1 statupconfig 拷貝startup-config
1.5. 各種檢視狀態的指令
Aruba#show lldp info local-device(remote-device) 用lldp檢視相接設備
Aruba#show cdp neighbor 用cdp檢視相接設備
Aruba#show history 檢視下過的指令
Aruba#show ip route檢視路由表
Aruba#show arp檢視ARP table(後面可帶vlan單獨檢視某vlan的arp table)
Aruba#show mac-address 檢視MAC表
Aruba#show interface brief 檢視switch上各端口的狀態
Aruba#show boot-history 檢視開機歷史
Aruba#show modules 檢視裝上的模組(也可以順便檢視這台機器的型號)
Aruba#show version 檢視版本資訊
Aruba#show flasg 檢視主要的開機image與備用的開機image
Aruba#show system chassislocate/fans/information/power-supply 檢視各種系統資訊
(information可以檢視switch的MAC與序號與開機時間等等)
2.創造vlan 設定vlan IP、default-gateway與添加路由
Aruba(config)#vlan 1 進入 vlan 1
Aruba(vlan-1)# ip address 192.168.1.1 255.255.255.0 設定IP
Aruba(config)# ip default-gateway X.X.X.X 設定default gateway
Aruba(config)#ip routing 啟用路由功能
Aruba(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254 新增路由表
Aruba(config)# ip route 192.168.1.0/24 192.168.1.254 新增路由表
Aruba(config)# vlan 20 創造vlan20
Aruba(config)# vlan 20-100 創造vlan 20~100
Aruba(config)# vlan 30 ip address 192.168.30.254/24創造vlan30並給予ip
3.讓Interface帶tagged or untagged
Aruba(config)# interface ethernet 1/1 進入端口
Aruba(eth-1/1)# untagged vlan 1 讓此端口untagged vlan 1
Aruba(eth-1/1)# tagged vlan 1 讓此端口tagged vlan 1
Aruba(config)#interface ethernet all 進入全部端口,接著再比照上面的設定
Aruba#vlan 10 tagged 1 讓port1 tagged vlan 10,這樣就不用進入端口做設定
Aruba#interface 1 tagged 10 讓port1 tagged vlan 10,這樣就不用進入端口做設定
4.NTP
Aruba(config)#display clock 顯示時間
Aruba(config)#npt server 192.168.1.50 設定NTP server
Aruba(config)#npt server 192.168.1.50 iburst 加速同步模式
Aruba(config)#npt enable 啟用NTP
Aruba(config)# time time zone 480 設定時區台灣時區+8 (*60=480)
Aruba(config)#timesync ntp 改變timesync mode成ntp
Aruba(config)#show time顯示switch 當前的時間
Aruba(config)#show ntp status顯示NTP的狀態
Aruba(config)#time 設定時間,依循格式 MM/DD/YY or HH/MM/SS
5.Ether channel (LACP and Trunk)
EtherChannel(link-aggregation)是將多個實體介面綁在一個虛擬的port上,藉此達到高容錯與增加頻寬的一種技術。在Aruba OS裡,有兩種設定方式,分別是trunk(Static),與LACP
ps:在此處的trunk只是Aruba OS對於綑綁端口技術的一種稱呼方式,與一般將Vlan帶上tag的trunk並無關係
其中Dynamic LACP(動態)的設定方式如下
(config)# trunk ethernet 1 trk1 lacp
(config)# trunk ethernet 2 trk1 lacp將port 1, port 2綁入虛擬介面 trk1中,並啟用LACP
Static LACP(靜態)的設定方式如下
(config)# Trunk ethernet 1 trk1 trunk
(config)# Trunk ethernet 2 trk1 trunk
將port 1, port 2綁入虛擬介面 trk1中
(config)# interface trk1 進入trk1
之後就可以在虛擬port trk上做一般的port設定 (Ex. vlan)
PS:
可以使用#Trunk 1-2/all trk1的方式來綁入複數的端口
若只輸入#Trunk ethernet 1-2 trk,沒有指定要用trunk或是lacp來綑綁的話,預設是使用trunk來綑綁
檢視ether channel的設定
#show trunks
#show lacp peer
#show lacp
#show lacp local
6.STP
一般的Spanning Tree預設是關閉的,需要啟動才能使用
Aruba OS預設的STP是MSTP( Multiple STP ),同時也支援RPVST(Rapid Per-vlan STP)
(config)# spanning-tree enable
啟用STP
(config)# spanning-tree mode mstp
或是
(config)# spanning-tree mode rapid-pvst
選擇 spanning tree的模式 預設啟用是mstp,若對接的設備支援rapid-pvst,可切換成
RPVST
(config)# spanning-tree priority 0-15 調整priority(0*4096-15*4096)
(config)# spanning-tree root primary 調整primary or seconary
可以設定該spanning的priority決定是否來當root或是backup
(config)# spanning-tree vlan X priority 0-15 針對各個vlan調整priority
啟用edge-port,省略當介接到非switch的設備時,所進行不必要的收斂運算
(如果有開stp,auto-edge-port預設是啟用的)
(config)# spanning-tree ethernet all auto-edge-port
此為啟用所有PORT為auto-edge-port. port會聆聽3秒的BPDU封包, 若3秒內沒有任何的BPDU封包,將會變成edge-port.若有則不會
(config)# spanning-tree ethernet all admin-edge-port
直接把所有port改成edge-port
# show spanning-tree
可顯示spanning-tree是否有啟動,使用的模式為何
# show spanning-tree config
可顯示spanning-tree較詳細的設定
Spanning Tree - MSTP
PVST會每個vlan都計算一個spanning tree,可以有效利用線路,但是如果vlan太多,會造成運算上與管理的負擔,因此有MSTP的誕生 。MSTP可以創造實例(instance),每個實例可以包複數的vlan進去,讓每個實例都跑一個spanning tree。
預設新增的vlan都會被加進instance 0 (internal spanning tree,又簡寫ist)
instance 0可以去跟其他種類的stp互動
要在整個網路上跑MSTP,必須每台switch指定一樣的MST region configuration name與
MST region configuration revision number
Aruba(config)# spanning-tree config-name XXX 設定config-name為XXX
Aruba(config)# spanning-tree config-revision <0-65535> 設定config-revision數值
Aruba(config)# spanning-tree instance 1 vlan X 將vlanX加進instance 1
Aruba(config)# spanning-tree instance 1 priority 修改instance 1 的priority
Aruba(config)# spanning-tree instance 1 root primary/secondary 修改instance 1的root
Aruba(config)# show spanning-tree instance 檢視instance的狀態
Spanning Tree - BPDU Protection
當端口啟用了BPDU-Protction後,如果接收到spanning-tree所發出的BPDU封包,會將端口disable掉
(config)# spanning-tree ethernet all bpdu-protection
在所有的port上啟用bpdu protection
# show spanning-tree bpdu-protection
檢視bpdu-protection的情況
PS:STP要是Enable的狀態底下,BPDU Protection才有作用,無法單純啟用BPDU Protection
備註:
#spanning-tree bpdu-throttle 64-254
限制每秒送到Switch的CPU的BPDU封包數量,預防switch的CPU因為loop而高速運轉
#spanning-tree bpdu-protection-timeout
修改BPDU-protection發生作用時,disable端口的時間,單位是秒,如果設定零是永遠disable
#spanning-tree 1 path-cost
針對port 1修改cost值
#spanning-tree 1 priority
針對port 1修改priority
7.Telnet & SSH
1.Telnet
Aruba OS的telnet預設是啟用的,遠端使用Telnet連線之後,可以直接敲Enter進入
可以透過設定使用者帳號來讓Telnet必須用帳號密碼登入
使用password指令來設定使用者帳號
#password manager/operator(指定權限) user-name XXX(設定帳號) plaintext XXX(設定密碼)
新增一個帳號admin密碼admin的maneger指令如下,
#password manager user-name admin plaintext admin
如果不指定user-name,便會使用manager與operator當作預設的帳號
#password manager plaintext admin
新增的帳號可以用來登入Telnet、SSH
可以使用#show telnet來檢視telnet的狀態
2.SSH
#crypto key generate ssh產生SSH的金鑰
後面可以選擇用dsa或是rsa加密,選定之後可以再選擇位元長度(optional)
如果不想指定的話,僅使用#crypto key generate ssh rsa就可以產生
#ip ssh啟用SSH
檢視SSH的狀態
#show ip ssh
SSH也需要設定帳號密碼才能夠連入,請參考Telnet的部份創造帳號密碼
其他相關指令
Aruba(config)#kill <1-7> 清除其他console/telnet/ssh進來的sessions,不指定數字會全清
Aruba#telnet x.x.x.x 使用telnet連到遠端設備
Aruba#ssh x.x.x.x 使用ssh連到遠端設備
8.關於log
Aruba#show logging 檢視log 可以附加參數做過濾
Aruba#log 檢視log 可以附加參數做過濾
Aruba(config)#logging command 使用指令開啟log紀錄指令的功能
底下是各參數的意義
-a
|
顯示全部的log
|
-b
|
顯示log,但是用開機到現在的排列方式來取代原本的時間排列方式
|
-r
|
顯示log,但是最近的先顯示(最近的顯示在最上面)
|
-s
|
顯示commander log與standby commander log
(做stacking的時候主要那台是commander,次要的是standby)
|
-t
|
顯示log,時間的最小單位改為百分之一秒
|
command
|
顯示輸入的指令的log
|
-m
|
顯示主要事件的log
|
-e
|
顯示錯誤(error)事件的log
|
-p
|
顯示performance的log
|
-w
|
顯示警告訊息(warning)的log
|
-i
|
顯示information的log
|
-d
|
顯示Debug的log
|
option-str
|
自定義要搜尋的字詞,像是輸入vlan會顯示訊息帶有vlan的log
|
Aruba(config)# logging XXX.XXX.XXX.XXX 將log丟到log server
Aruba(config)#logging severity major/error/warning/info/debug指定送出的log類型
Aruba(config)#logging filter 過濾掉不想要送的log
9.DHCP
Aruba2920(config)# dhcp-server pool 1 進入DHCP pool 1
Aruba2920(1)# network 192.168.10.0 255.255.255.0 要發的網段
Aruba2920(1)# dns-server 8.8.8.8 設定DNS server
Aruba2920(1)# domain-name 設定domain name
Aruba2920(1)# range 192.168.10.10 192.168.10.50 設定range
Aruba2920(1)# default-router 192.168.10.254 設定default route
Aruba2920(vlan-10)# dhcp-server 重要!!!,在vlan裡頭啟用dhcp-server
#dhcp-server enable
DHCP relay
#vlan X進入vlanX
(vlanX)#ip helper-address 9.9.9.9 為此vlan指定DHCP server
DHCP snooping
啟用之後會只接受設定的port或server傳來的DHCP封包,其他來源的DHCP封包會drop掉
#dhcp-snooping 啟用dhcp-snooping
#dhcp-snooping trust ethernet 24 信任port24傳來的dhcp封包
#dhcp-snooping authorized-server 192.168.100.10 信任特定DHCP server
(vlan-1)#dhcp-snooping 在vlan1裏頭啟用dhcp-snooping 或者是
#dhcp-snooping vlan 1 在vlan 1裏頭啟用dhcp-snooping
# show dhcp-snooping 查詢dhcp-snooping狀態
PS:如果DHCP server是DHCP agent的話,有時候會帶上DHCP option82,因為Aruba switch預設會把DHCP-option82的封包drop掉,這時可以嘗試以下兩個指令關閉此功能
#dhcp-snooping option 82 untrusted-policy keep 不drop掉option82,keep它
#no dhcp-snooping option 82 關閉option82
10. port security
在CLI模式底下,可以使用port-security功能來設定端口安全選項與編輯安全設定,從一個或多個端口添加或刪除來自認證清單的設備。
檢視狀態指令
show port-security 檢視所有端口的port security設定
show port-security 1 檢視端口1的port security設定
show port-security intrusion-log 檢視侵入的MAC log
如何設定
首先鍵入port-security 接著指定端口單個端口(1)、範圍端口(1-5)、或全部端口(all),之後接續想要修改的設定,可以做的設定如下
1.可以修改action來定義有設備入侵時switch要執行的動作
action參數說明
none 預設,不會送出snmp trap
send-alarm 會送出snmp trap
send-disable 會送出snmp trap並disable端口
2.address-limit 定義允許連入設備的數量
3.mas-address設定允許連入的設備(輸入MAC)
4.learn-mode 可以設定五種不同的學習狀態(設定port是如何學到MAC的)
continuous 預設值,只要是接入的設備,port都學習的到mac
static 設定固定的數值的已認證設備才能使用,如果沒有定義完所有的認證設備,也可以學習到接入設備的MAC,但是有固定數值的限制
configured 不會學習,只有設定進去的mac才能使用
port-access 802.1x認證過的才會學習到
limited-continuous 學習規定數量的mac
範例:
設定端口1只允許一台設備連入
port-security 1 learn-mode limited-continuous address-limit 1
設定端口1只允許一個特定的設備連入
port-security 1 learn-mode configured mac-address XXXXXX-XXXXXX
11.VSF
此處只提供一種設定方式(手動設定)
VSF( Virtual Switching Framework)是一種堆疊(stacking)技術,可以使用copper線或fibber線連接,設定好之後可以將兩台switch視為一台switch
只有在5400系列與2930F上可以啟用,5400可以堆2台、2930F可以堆4台
設定時,首先決定要做vsf連結的port的使用速率(5400只能支持10G/40G 2930F則是1G/10G)
使用vsf port-speed修改數值(每台要做VSF的switch都要進行修改)
接下來,先在member1上設定VSF
VSF1(config)#vsf member 1 link 1 1/1 (member1、link1、在port1/1做)
VSF1(config)#vsf enable domain 2 (為了預防與其他不相干的switch做出VSF,需指定domain)
之後系統會要求重開,按y讓他重開
再來在member2上設定VSF
VSF1(config)#vsf member 2 link 1 2/1 (member2、link1、在port2/1做 ps:因為做完VSF,member2的port會變成2/X,所以此處使用2/X來設定)
VSF1(config)#vsf enable domain 2
之後系統會要求重開,按y讓他重開
在開機循環完成之前接上member1的switch與member2的switch
等待開完機後,使用以下指令檢測
#show vsf
#show vsf detail
#show vsf link
#show vsf link detail
#show running-config
show vsf底下的清單上要出現兩台才算成功
附錄:
添加額外的port給VSF
VSF允許多個port被分配在同一個邏輯vsf link下
1.在member 1分配port給link
VSF1(config)#vsf member 1 link 1 1/17
2.在member 2分配port給link
VSF2(config)#vsf member 2 link 1 2/17
12.Banner
有兩種不同的Banner可以設定
exec--在使用者用console、SSH、Telnet、Web登入後會顯示,自定義內容
motd--在使用者用console、SSH、Telnet、Web登入前會顯示,自定義內容
last-login--啟用之後,使用者用console、SSH、Telnet、Web登入前會顯示上一次登入資訊
設定方式如下
#banner exec 後接一個自定義的字元,就會進入編輯模式,可以自由的輸入文字換行,按下一開始自定義的字元就會結束編輯模式
motd 也是相同的設定方式
使用指令檢視banner的狀態
#show banner exec
#show banner motd
#show banner last-login
13.SNMP
SNMP v1/v2設定方式如下
先設定community的數值(自定義,但必須與SNMP server相同)
之後有四個東西可以定義
operator--只接受特定受限制的MIB物件
manager--可以接受所有MIB物件
restricted--MIB變數不可以被設定,只能被讀取
unrestricted--MIB變數可以被設定(預設)
假裝SNMP的community為public,可以接受所有MIB物件,也可以被設定的話,指令如下
#snmp-server community public manager unrestricted
也可以一起指定snmp server的IP與community
#snmp-server host 9.9.9.9 coummunity public
檢視snmp指令如下
#show snmp-server
#display snmp-agent ?
14.Port Mirroring
Traffic mirroring 可以將switch介面上傳送與接收的封包複製一份給local或是 remote destination,其功能就像是 traffic analyzer或者是intrusion detection system (IDS)
Aruba OS裡有四個mirror群組,分別是mirror1~mirror4,設定時先將一個port綁進其中一個群組,然後再將一個介面(可以是port或是vlan)綁進這個群組,再設定是要監控流出(out)、流入(in)、或是兩者(both)的封包,之後就可以經由觀察一開始綁入的port來得知介面的封包
設定指令如下
#mirror 1 port 2
將port 2 綁入mirror1
#interface 1 monitor all both mirror1
指定interface 1流出與流入的封包全都複製到mirror1裡
之後就可以經由觀察port2的封包來得知interface 1的封包狀態
PS:port2的Link Status要是UP的狀態才會有封包進出的資訊
檢視monitor設定
#show monitor
#show monitor 1
15.特殊指令
控制燈號
可以使用指令控制Aruba switch的定位LED的閃爍狀態,藉此找出switch實際的物理位置
Aruba(config)# chassislocate blink/off/on 讓LED燈閃爍/關掉/打開,之後可以用參數指定何時改變燈號與改變燈號的持續時間
Aruba(config)# chassislocate blink/off/on at now/startup 現在就改變燈號或是開機時改變
Aruba(config)# chassislocate blink/off/on <1-1440> 讓燈號改變多久(預設30分鐘,此處的單位是分鐘)
修改terminal視窗的數值
Aruba(config)#terminal length X 修改長度
Aruba(config)#terminal width X 修改寬度
Aruba(config)#terminal type ansi/vt100 修改模式
16.OSPF
Aruba(config)#ip router-id x.x.x.x 設定router id
Aruba(config)#router ospf 進到ospf的設定裡
Aruba(ospf)#area X 設定area
Aruba(ospf)#enable 啟用ospf
之後要進到vlan裡面去啟用ospf
Aruba(Vlan-X)#ip ospf area X
show ip ospf interface 檢視ospf是否在正確的interface上啟用
show ip ospf neighbor 檢視ospf的鄰居
show ip route ospf 檢視ospf的路由
沒有留言:
張貼留言