Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
На этой странице описываются настройки коммутаторов ProCurve.
Настройки описанные на этой странице в большей степени относятся к коммутаторам 3го уровня (3400, 3500, 5300, 5400). Однако, многие настройки (как правило не относящиеся к 3 уровню) будут аналогичными и на коммутаторах 2го уровня.
Содержание
[править] Базовые настройки доступа к коммутатору
Если приглашение вида:
sw> — это режим оператора,
перейти в режим менеджера — enable,
sw# — это режим менеджера,
перейти в конфигурационный режим — configure,
sw(config)# — это конфигурационный режим.
На коммутаторах ProCurve команды show можно выполнять в конфигурационном режиме и во вложенных конфигурационных режимах.
Задание имени коммутатора:
[править] Базовая настройка доступа к коммутатору
[править] Интерфейсы управления коммутатором
Различают два метода доступа к коммутатору (такая терминология не часто используется, но встречается и пригодится тем, кто собирается сдавать экзамен для получения первого уровня сертификации AIS):
in-band — когда управляющий трафик повторяет путь обычных данных (то есть, управляющий трафик идет через те же порты, что и данные),
out-band — когда управляющий трафик использует выделенный путь.
На самом деле Out-band методами могут называться и такие методы доступа как SSH, Telnet. Такой термин к этим методам применяется, если управляющий трафик изолирован от обычных данных. Например, выделен в отдельный VLAN.
У коммутаторов ProCurve есть несколько интерфейсов управления:
CLI (интерфейс командной строки или командная строка) — к ней можно получить доступ с помощью консоли, Telnet или SSH;
Меню — псевдографические меню, в которые можно попасть из командной строки:
Setup — простое меню с ограниченными возможностями, тут можно выполнить только самые базовые настройки,
Menu — более мощное меню, с широкими возможностями по настройке, просмотру настроек и поведения коммутатора. Возможностей тут меньше, чем в командной строке, но всё же достаточно много. Один из вариантов, когда это меню особо удобно использовать — когда необходимо просмотреть динамическую статистику интерфейсов. Если выполнить команду show из командной строки, то вывод будет показывать срез информации, а в Menu есть возможность просматривать эту статистику в динамике (то есть она будет изменяться в реальном времени);
Веб-интерфейс — к нему можно получить доступ используя браузер. Возможностей меньше, чем в командной строке, но удобно использовать при отсутствии знаний команд командной строки.
ProCurve Manager
Зайти в меню Setup для выполнения базовых настроек:
Зайти в меню Menu:
[править] Настройка IP-адреса и шлюза по умолчанию
Для того чтобы можно было управлять коммутатором не только заходя на консоль, но и удаленно, необходимо настроить на нем IP-адрес.
По умолчанию, на коммутаторах ProCurve указано получение IP-адреса по DHCP, но он может быть назначен и административно.
Если коммутатор используется как коммутатор 2го уровня, то IP-адрес настраивается, как правило, в VLAN 1. Если используется специальный выделенный VLAN для управления сетевыми устройствами, то тогда адрес назначается в этом VLAN.
Если коммутатор используется, как коммутатор 3го уровня (или 2/3), то IP-адреса могут быть во всех VLAN и на любой из них (если нет дополнительных ограничений) можно заходить для управления коммутатором.
Настройка IP-адреса на коммутаторе в VLAN 1:
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
к CLI — Telnet,
к веб-интерфейсу — HTTP.
Если необходимо удалить настроенный адрес:
Для того чтобы на коммутатор можно было заходить не только из сети, из которой ему назначен IP-адрес, но и из других сетей, необходимо настроить шлюз по умолчанию.
Настройка шлюза по умолчанию на коммутаторе 2го уровня:
Если коммутатор 3го уровня (то есть, включена команда ip routing), то шлюз по умолчанию настраивается как статический маршрут.
Настройка шлюза по умолчанию на коммутаторе 3го уровня:
Посмотреть настройки IP-адреса, маршрут по умолчанию и включен ли ip routing:
[править] Пароли на режимы оператора и менеджера
Базовые настройки по защите доступа к коммутатору предполагают, как минимум, настройку паролей для уровня менеджера (manager) и оператора (operator).
Синтаксис команды для задания паролей:
manager — указывает, что будут задаваться параметры для уровня доступа менеджер,
operator — указывает, что будут задаваться параметры для уровня доступа оператор,
all — указывает, что будут задаваться параметры для режимов менеджер и оператор,
port-access — задание пароля оператора для аутентификации по 802.1X,
user-name — задание имени пользователя для соответствующего режима доступа,
hash-type — указывает какой алгоритм используется для хеширования пароля:
plaintext
sha1
Настройка пароля на режим менеджера:
По умолчанию введенные пароли и имена пользователей не видны в конфигурационном файле, так как они хранятся в отдельной зоне на коммутаторе. Для того чтобы они отображались, необходимо ввести команду include-credentials. Подробнее о других параметрах, которые будут отображаться после введения этой команды на странице ProCurve Security.
При настройке паролей для менеджера и оператора, имена пользователей задавать не обязательно. Если имена не заданы, то при доступе к коммутатору, там где требуется введение имени пользователя (например, SSH, HTTP), необходимо оставить имя пустым.
Настроить имена пользователей можно из CLI и веб-интерфейса. Из интерфейса menu можно настроить пароли, но нельзя имена пользователей. Кроме того, имена и пароли пользователей могут быть настроены в Management Interface Wizard.
Настройка имени пользователя и пароля на режим оператора:
Настройка имени пользователя и пароля на режим менеджера:
На коммутаторах ProCurve нет возможности создавать базу пользователей. Тут есть только два пользователя с различными уровнями привилегий — менеджер и оператор.
[править] Удаление паролей
Если известен пароль менеджера, то удалить пароли для менеджера и оператора можно так (вместе с паролями удаляются и имена пользователей):
Удалить пароль менеджера:
Удалить пароль оператора:
Если пароль менеджера не известен, то для удаления паролей необходимо воспользоваться кнопкой Clear на передней панели. Для обнуления достаточно удерживать её нажатой пару секунд.
Эта функциональность кнопки Clear может быть отключена. Подробнее о передней панели на странице ProCurve Security.
[править] Настройка Telnet
После того как на коммутаторе назначен IP-адрес, в CLI коммутатора можно удаленно заходить используя протокол Telnet.
Посмотреть активные сессии:
Оборвать сессию под номером 2:
Проверить включен ли telnet-сервер на коммутаторе:
[править] Настройка доступа к веб-интерфейсу
После того как на коммутаторе назначен IP-адрес, на веб-интерфейс коммутатора можно удаленно заходить по HTTP. Для этого достаточно в браузере указать IP-адрес коммутатора и, если указаны, то имя пользователя и пароль.
Настройка безопасного доступа к веб-интерфейсу с использованием SSL описана на странице Доступ к коммутатору ProCurve.
Отключить доступ к веб-интерфейсу коммутатора по HTTP (например, если будет настроен доступ с использованием SSL):
Полностью отключить доступ к веб-интерфейсу:
[править] Настройка консоли
Просмотр настроек консоли:
[править] Настройка терминала
По умолчанию в коммутаторах размер терминала может быть недостаточным для корректного отображения некоторых команд.
Изменить размеры терминала:
Проверить текущие настройки терминала:
[править] Настройка SSH, SSL и авторизованных менеджеров
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
к CLI — Telnet,
к веб-интерфейсу — HTTP.
В обоих случаях информация, которая пересылается между хостом и коммутатором передается в открытом виде.
Более безопасными альтернативами для доступа к коммутатору, являются:
к CLI — SSH,
к веб-интерфейсу — HTTPS (SSL).
Если на коммутаторе включен SSH, то он разрешает одно подключение к консоли и до трёх других сессий (SSH или Telnet). Посмотреть текущие сессии можно командой show ip ssh.
Функция авторизованные менеджеры позволяет добавить еще один критерий (кроме паролей на режим менеджера и оператора), который будет проверяться прежде чем будет предоставлен доступ к коммутатору — IP-адреса с которых разрешен доступ к коммутатору.
До запроса пароля на доступ с правами operator или manager, будет учитываться с какого IP-адреса осуществляется доступ к коммутатору.
Доступ будет разрешен только с IP-адресов указанных в команде ip authorized-managers.
В новых версиях ОС (начиная с K.14.09) появился инструмент Management Interface Wizard, который позволяет в интерактивном режиме настроить различные параметры протоколов использующихся для доступа к коммутатору.
Подробнее о Management Interface Wizard на странице Доступ к коммутатору ProCurve.
[править] SSH-клиент и telnet-клиент
На коммутаторах HP есть SSH-клиент и telnet-клиент для того чтобы можно было с коммутатора зайти, соответственно, по SSH или telnet на другое устройство.
SSH-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
Telnet-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
[править] Source-interface
На коммутаторе можно задать IP-адрес с которого будут инициироваться сессии таких протоколов:
RADIUS
SFlow
SNTP
System Logging applications
TACACS
Telnet
TFTP
Просмотр информации о source-interface:
Подробная информация о настроенном интерфейсе:
[править] Работа с интерфейсами
[править] Просмотр информации об интерфейсах, задание имен интерфейсам
Задать имена интерфейсам:
Просмотр заданных имен:
[править] Управление конфигурационными файлами и ОС
[править] Просмотр конфигурации и фильтрация вывода
Посмотреть настройки конкретного VLAN, например, VLAN 100:
Эта команда очень удобна так как в выводе sh run настройки разбиваются на несколько частей и их не очень удобно просматривать. Например, в данном примере настройки принадлежности портов VLAN’у и настройки PIM и OSPF находятся в разных частях конфигурационного файла.
В ProCurve поддерживается фильтрация вывода, хотя в подсказках командной строки эти команды не отображаются. То есть, если набрать знак вопроса или табуляцию, то команда не продолжится. Но она работает.
Поддерживается фильтр begin (сокращенно beg или b). Отобразить конфигурационный файл начиная со строки в которой встречается слово router:
Поддерживается фильтр include (сокращенно inc или i). Отобразить все строки текущей конфигурации в которых встречается слово qos:
Команда sh run structured отображает конфигурацию с другой сортировкой. Например, принадлежность портов VLAN отображается, кроме стандартного, в другом формате.
Отображение, которое добавляется при заданом параметре structured:
[править] Работа с файлами ОС
У коммутаторов ProCurve есть две области во flash-памяти в которых можно хранить разные ОС:
В этих областях можно хранить только ОС коммутатора, по одной в каждой.
Посмотреть содержимое flash-памяти:
Посмотреть какая сейчас версия ОС используется:
Копировать нужный софт как secondary image на коммутатор:
Перезагрузить коммутатор с secondary image (образ из secondary области будет использоваться после перезагрузки коммутатора до тех пор, пока не будет указан другой):
Указать с какой области будет загружен коммутатор после следующей перезагрузки не перезагружая его сейчас:
Копирование образа из secondary в primary:
[править] Работа с конфигурационными файлами
Посмотреть отличаются ли стартовая конфигурация и текущая (команда не выполняет сравнение конфигураций, а просто сообщает отличаются ли они):
Скопировать стартовый конфигурационный файл на TFTP-сервер:
Удалить стартовый конфигурационный файл:
Несмотря на то, что конфигурация коммутатора удалена, пароли для доступа к режиму менеджера и оператора останутся (если они были настроены). Это происходит из-за того, что коммутатор хранит эту информацию отдельно.
Скопировать файл TFTP-сервера (с TFTP-сервера можно скопировать только в startup конф, в текущую нельзя):
[править] Custom default config
Default-config это конфигурационный файл, который будет применяться, когда коммутатор обнуляется. Если он не создан, то будут применяться заводские настройки по умолчанию.
Скопировать стартовый конфигурационный файл в default-config:
Проверить существует ли default-config (последняя строка вывода):
[править] Работа с несколькими конфигурационными файлами
Только для 53, 54, 35
Скопировать конфигурацию на tftp сервер:
Переименовать ее на сервере и скопировать назад на коммутатор:
Посмотреть скопированный конфиг:
Настроить связь между secondary image и sec_sw8_config файлом:
Для резервного копирования конфигурации коммутатора существует возможность использования скриптов на языках perl (Net::Telnet) и Expect. При этом, коммутаторы HP ProCurve обладают возможностью включать на себе сервер tftp. Это позволяет проводить резервное копирование конфигурации коммутатора без использования tftp-сервера, что иногда необходимо.
Для работы скрипта необходимо включить SNMP-протокол на сервере в режиме конфигурирования и описать community с возможностью записи, например так:
Далее показан пример резервного копирования коммутатора (проверено на 4 моделях коммутаторов HP: 2650, 2610-48, 2824, 2610-24g):
Данный скрипт выполняет следующее:
включает tftp-сервер на коммутаторе
копирует информацию в файл, в формате — — — .txt
отключает tftp-сервер на коммутаторе
Таким образом есть возможность быстрого и простого резервного копирования конфигурации коммутатора без использования скриптов для входа на коммутатор.
пример скрипта содержащий цикл (делает backup нескольких коммутаторов).
Пример простого скрипта для резервного копирования с использованием expect (для 5308xl):
[править] Настройка SNTP
Режимы работы SNTP (Simple Network Time Protocol):
Unicast — в этом режиме необходимо указать адрес SNTP-сервера. Если указаны несколько серверов (максимум можно указать 3 сервера), то коммутатор выбирает к какому обращаться:
В 3400, 5300 моделях: по IP-адресу — сначала он запрашивает сервер с наименьшим адресом, если тот не отвечает, то у следующего,
В 3500, 5400 моделях: по указанному приоритету — можно указать приоритет со значением от 1 до 3, сервера будут запрашиваться по порядку в соответствии с приоритетом,
Broadcast — в этом режиме коммутатор будет получать обновления от первого сервера от которого он получил SNTP-объявление. Сообщения других серверов коммутатор будет отбрасывать до тех пор, пока не пройдет 3 poll-интервала без обновлений.
Просмотр текущего времени на коммутаторе:
Просмотр настроек SNTP:
Настройка SNTP в режиме unicast:
Указание адреса сервера (для 3400, 5300 моделей):
Указание адреса сервера и приоритета (для 3500, 5400 моделей):
Интервал между отправкой запросов на сервер (по умолчанию 720 секунд):
Настройка временной зоны:
пример UTC+3 (Минск, 3х60=180)
[править] Logging
[править] Просмотр логов коммутатора
На коммутаторах ProCurve может храниться 1000 лог-сообщений. При корректной перезагрузке коммутатора (если не было выключения по питанию), лог-сообщения событий, которые произошли до перезагрузки, сохраняются.
Посмотреть логи коммутатора (самые старые события будут отображаться первыми):
Посмотреть логи коммутатора в обратном порядке (новые события будут отображаться первыми):
Просмотр всех событий, включая те, которые были до перезагрузки:
Просмотр событий в которых встречается слово system:
Просмотр событий в которых встречается слово system, включая те, которые были до перезагрузки:
[править] Настройка отправки сообщений на сервер
На коммутаторах ProCurve можно указать максимум 6 лог-серверов. Сообщения будут отправляться на все указанные сервера.
Настройка отправки сообщений на лог-сервер:
Указать уровень severity лог-сообщений, которые будут отправляться на лог-сервер (по умолчанию отправляются все):
Указание интерфейса, IP-адрес которого будет использоваться как адрес отправителя в сообщениях коммутатора:
Просмотр информации о source-interface:
[править] LLDP и CDP
CDP и LLDP — протоколы канального уровня, которые позволяют сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.
У них есть некоторые отличия, однако основные возможности у них практически одинаковы. Одно из основных отличий, то что LLDP — стандарт, а CDP — проприетарный протокол Cisco.
Коммутаторы ProCurve поддерживают оба протокола. Однако, LLDP-сообщения они могут и генерировать и принимать, а CDP — только принимать.
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером.
[править] STP
В зависимости от модели коммутаторы ProCurve поддерживают различные версии протокола Spanning Tree:
3400, 5300 — поддерживают RSTP и MSTP,
3500, 5400 — поддерживают MSTP.
[править] MESH
[править] Настройка маршрутизации
[править] Настройка маршрутизации между VLAN
[править] Настройка статических маршрутов
[править] Настройка динамической маршрутизации
Коммутаторы ProCurve 3го уровня поддерживают два протокола динамической маршрутизации OSPF и RIP.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают BGP. С большой вероятностью наличия ограничений: ASN только 16 бит, без поддержки IPV6, отсутствие ресурсов для принятия full view.
[править] Маршрутизация на основе политик (policy-based routing, PBR)
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают маршрутизацию на основе политик. Это позволяет маршрутизировать трафик основываясь не только на IP-адресе получателя, но и других критериях, например, IP-адресе отправителя.
Эта функция работает на основе существующего классификатора трафика, который ранее использовался для настройки зеркалирования трафика и правил QoS.
Информация о функции, параметрах, настройке находится в разделе Classifier-Based Software Configuration документа Advanced Traffic Management Guide (для соответствующей версии ОС).
Действия доступные в политике PBR:
настройка значения next-hop ( ip next-hop )
настройка значения next-hop для пакетов, для которых нет специфического маршрута ( ip default-next-hop )
настройка интерфейса null, который указывает, что пакеты будут отброшены, если к ним не применяются другие действия ранее
Правила работы PBR:
Для класса могут быть настроены несколько действий, до 8 действий для одного класса
Если настроено действие интерфейс null, то другие действия для этого класса не могут быть настроены
Только одно из 8ми возможных действий может быть активно в один момент времени
Приоритет действий определяется порядком в котором они добавлены в политику
Действия могут быть добавлены только к классу. Они добавляются в конец списка действий для класса
Для того чтобы удалить действия примененные к классу, весь класс должен быть удален из политики
Когда действие становится недоступным (неактивным), например, если настроенный адрес становится недостижимым (для действий next-hop и default-next-hop) или интерфейс находится в состоянии down (для tunnel), политика просматривает следующие действия. Список действий просматривается до тех пор пока не дойдет до правила interface null или конца списка действий. Если достигнут конец списка, то политика не применяется и соответствующий класс обрабатывается без учета PBR.
Максимальное количество уникальных IP-адресов next-hop и default-next-hop — 256
Изменения в классах, которые используются в политике, и в политике можно делать только если политика не применена к интерфейсу.
Просмотр статистики срабатываний политики:
Команда отладки (сообщение генерируется когда применяется PBR, когда действие в классе становится неактивным, когда действие в классе становится активным):
[править] Настройка QoS
[править] Настройка Multicast
[править] UDP Broadcast Forwarding
Включение глобально UDP Broadcast Forwarding:
Настройка для VLAN адреса получателя:
dns: Domain Name Service (53)
ntp: Network Time Protocol (123)
netbios-ns: NetBIOS Name Service (137)
netbios-dgm: NetBIOS Datagram Service (138)
radius: Remote Authentication Dial-In User Service (1812)
radius-old: Remote Authentication Dial-In User Service (1645)
