2020年6月16日 星期二

Win10與HPE switch同步時間(HPE switch當NTP server)

Win10與HPE switch同步時間測試(HPE switch當NTP server)

設備型號5930
Version:5930-cmw710-boot-r2609.bin

NTP設定與IP

Win10設定

Win10同步完成

修改Switch的時間

Win10點擊同步時間之後可以發現與switch同步時間成功


HPE5940與NSX透過OVSDB整合

HPE5940與NSX透過OVSDB整合

HPE5940版本R2612P02

NSX版本

目標:
透過OVSDB讓NSX納管HPE5940,並讓Logical switch與5940建立vxlan tunnel,讓加入Logical switch的VM可以與接在5940上的實體主機(Bare Metal=BM) L2互通



參考文件:
VMware NSXv and 5940 Integration (Direct OVSDB) 



5940關鍵Config

 sysname 5940_172.16.13.58
#
 clock timezone UTC add 08:00:00 同步時間用的時區
#
 tunnel global source-address 172.16.13.58 指定建立tunnnel的來源IP
#
 vxlan local-mac report
#

vlan 13 

 l2vpn enable 啟用L2VPN

 vxlan tunnel flooding-proxy

#

interface NULL0

#

interface Vlan-interface13
 ip address 172.16.13.58 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1 與NSX  Controller互通的介面
 port link-mode bridge
 port access vlan 13

#

interface Ten-GigabitEthernet1/0/2 要與進vxlan實體主機介接的端口
 port link-mode bridge
 vtep access port

#

interface Ten-GigabitEthernet1/0/3 要與進vxlan實體主機介接的端口
 port link-mode bridge
 vtep access port

#
 ip route-static 0.0.0.0 0 172.16.13.254
#
 vtep enable 啟用vtep
#
 ntp-service enable 啟用NTP
 ntp-service unicast-server 216.239.35.12 指定NTP Server

#

pki domain vmware  設定一個pki的domain名叫vmware(名稱可修改)
 ca identifier LynneCA.cer 設定根憑證
 certificate request entity vmware
 public-key rsa general name vmware length 2048
 undo crl check enable

#
pki entity vmware
#

 ovsdb server ssl ip 172.16.15.10 port 6640 指定"NSX controller"的IP
 ovsdb server pki domain vmware 套用pki domain
 ovsdb server bootstrap ca-certificate flash:/vswitchd.cacert
 ovsdb server enable

#


設定概念
1.讓5940與NSX路由可達,
2.5940與NSX時間要一致
3.準備兩張憑證,一張根憑證一張Server憑證 (可以用各種憑證Server or OpenSSL產生)






4.將憑證匯入switch 


5.透過指令
pki import domain vmware der ca filename LynneCA.cer 
將剛剛匯入的根憑證導入domain vmware
pki import domain vmware pem local filename vtep.pem 
將剛剛匯入的Server憑證導入domain vmware

如果匯入有問題,可以參考錯誤提示修改憑證,要注意依照憑證格式不同可以修改匯入指令
(無法匯入也有可能是時間問題,如果switch的系統時間跟憑證有效時間不同也會有問題)




可以透過指令show pki certificate domain vmware檢視憑證內容

6.憑證都處理完畢之後才可以進行OVSDB的設定(憑證有問題 ovsdb server enable會報錯),要注意ovsdb要指定NSC controller的IP



NSX設定

1.透過vsphere web client (flex)登入 (HTML5有些選項會看不到)

2.在Network&Security->Service Definitions->Hardware Devices新增一台設備
3.輸入名稱與貼入pem檔裡面的憑證

4.看到UP即為成功








NSX與5940建立tunnel
1.進入Service Definitions底下的Logical switches並點擊switch (VM已經加入了logical switch)



2.點擊Actions->Manage Hardware Bindings

3.添加Switch,指定端口與vlan

4.switch上檢視vxlan tunnel有UP

5.檢視vsi狀態

6.檢視EVPN內的MAC












7.在vxlan內的兩台主機與VM都可以互ping

2020年6月15日 星期一

Airwave failover設定

Airwave failover 


一般而言在做Airwave的備援的時候,會考量用備援虛擬機的角度去處理
但是Aruba也有提供Airwave failover的solution,跟一般認知的failover solution有很大不同,
需要稍微了解細節


測試版本:8.2.6.1
AMP:172.16.13.153(主要的Airwave)
AMP FO:172.16.13.154 (Backup的Airwave)


Airwave failover概念簡述
正常的AMP在安裝完AMP failover license之後會變成AMP Failover Server,簡稱AMP FO。
AMP FO不收集設備資料,需要將一般AMP加入AMP FO,讓AMP FO去觀察AMP,
在觀察的同時AMP FO也會複製AMP的nightly backup檔案到自己身上,當觀察到AMP故障
的時候,AMP FO會用之前複製的nightly backup檔案取代故障的AMP(但IP不同),在原本
故障AMP復原的時候,AMP FO可以透過手動restore自己之前產生的nightly backup復原
到觀察者的狀態。


設定步驟


1.先申請測試license(假設你沒有正式license)





2.確保AMP與AMP FO韌體版本一致


3.加入License (新增在AMP FO上)




4.在AMP FO的Overview->Watched AMPs新增Airwave
(Polling Period可以調低一點,這樣AMP故障的時候AMP FO才可以比較快接手)


5.成功之後便會看見主要的AMP成功的被AMP FO監看


AMP FO監看AMP的時候,會儲存AMP的nightly backup




Failover驗證


1.先將主要的AMP關機
2.在missed poll threshold超過之後,AMP FO會認為AMP故障,之後會使用儲存的
nightly backup成為AMP並開始收集納管設備的資料 (但IP不同)
連入AMP FO的畫面會變成AMP










Failback


如果原本的AMP恢復運作,此時線上會同時有兩台AMP,我們要將AMP FO回復到觀察者的狀態
1.透過SSH登入AMP FO的CLI介面


2.5->1 進入restore頁面,restore  nightly_data.tar.gz (最近的)
PS:此處的nightly_data.tar.gz是AMP FO自己的backup檔案,watched AMP的backup檔案會
存在watched_amps/底下,可以在web介面上看到


3.restore之後AMP FO便會變回觀察者的狀態






救回Failover時遺失的資料
由於在觀察到AMP故障時,AMP FO會使用最近儲存AMP nightly_backup檔案restore,所以
在nightly backup->AMP故障這段時間的資料會遺失,而在AMP fail,AMP FO接手收集資料
這段期間的資料,可以透過手動backup AMP FO,再將其restore回AMP的方式將資料復原。




其他補充
1.AMP FO偵測到AMP fail時會restore nightly_backup,LAB環境restore時間約10分鐘,restore時間
會隨著nightly_backup大小而有所不同


2.AMP FO只會留存最新一份的nightly_backup


3.在AMP FO繼承AMP之後,license也會繼承(使用測試license會繼承過期時間)

但是因為AMP FO取代AMP之後,license的頁籤會消失,所以實際上license的情況如何無法確定

使用SNMP追蹤2930F VSF member狀態

使用SNMP追蹤2930F VSF member狀態

參考HP-VSF-VC-MIB


透過.1.3.6.1.4.1.11.2.14.11.5.1.116.1.3.1.9可以觀察到switch member的狀態(參考上圖),後面接上數字可以檢視不同member的狀態

.1.3.6.1.4.1.11.2.14.11.5.1.116.1.3.1.9.1可以觀察到member1的狀態
.1.3.6.1.4.1.11.2.14.11.5.1.116.1.3.1.9.2則可以觀察到member2的狀態


以上圖為例,member1的Value是1,對照說明是missing狀態
而member2的Value是3,對照說明是commander的狀態





透過switch上show VSF的指令可以確認目前狀態與OID get的資料是否吻合


IMC如何安裝模組

IMC如何安裝模組

1.先在HP My Networking Profile (MNP)下載模組



2.下載之後解壓縮,開啟IMC的Deployment Monitoring Agent並Install











3.安裝的時候選擇物件

4.然後一直按NEXT就可以了


Aruba switch透過排程指令(job),自動定時備份config

Aruba switch透過排程指令(job),自動定時備份config

Aruba switch可以透過排程指令(job)在某個特定時段自己執行指令

透過sftp備份running-config的指令是
copy running-config sftp user AAA 192.168.1.1 3810_config
紅字是sftp server的user name,藍色是IP、紫色是檔案名稱,請依自己需求修改

現在我們要讓Switch定時執行這段指令
定義一個名為backup的job,執行時間是凌晨4點鐘,執行的指令用””包起來
job "backup" at 04:00 "copy running-config sftp 192.168.1.1 3810_config"
設定完之後啟用此job
job backup enable

實際上的config看起來如下
之後可以透過show job與show job backup來檢視狀態

在show job backup上可以看到是否有啟用此job,執行的指令與執行結果