Удалить порт из vlan hp
Настройки описанные на этой странице в большей степени относятся к коммутаторам 3го уровня (3400, 3500, 5300, 5400). Однако, многие настройки (как правило не относящиеся к 3 уровню) будут аналогичными и на коммутаторах 2го уровня.
Базовые настройки доступа к коммутатору
Если приглашение вида:
На коммутаторах ProCurve команды show можно выполнять в конфигурационном режиме и во вложенных конфигурационных режимах.
Задание имени коммутатора:
Различают два метода доступа к коммутатору (такая терминология не часто используется, но встречается и пригодится тем, кто собирается сдавать экзамен для получения первого уровня сертификации AIS):
- in-band — когда управляющий трафик повторяет путь обычных данных (то есть, управляющий трафик идет через те же порты, что и данные),
- out-band — когда управляющий трафик использует выделенный путь.
На самом деле Out-band методами могут называться и такие методы доступа как SSH, Telnet. Такой термин к этим методам применяется, если управляющий трафик изолирован от обычных данных. Например, выделен в отдельный VLAN.
У коммутаторов ProCurve есть несколько интерфейсов управления:
- CLI (интерфейс командной строки или командная строка) — к ней можно получить доступ с помощью консоли, Telnet или SSH;
- Меню — псевдографические меню, в которые можно попасть из командной строки:
- Setup — простое меню с ограниченными возможностями, тут можно выполнить только самые базовые настройки,
- Menu — более мощное меню, с широкими возможностями по настройке, просмотру настроек и поведения коммутатора. Возможностей тут меньше, чем в командной строке, но всё же достаточно много. Один из вариантов, когда это меню особо удобно использовать — когда необходимо просмотреть динамическую статистику интерфейсов. Если выполнить команду show из командной строки, то вывод будет показывать срез информации, а в Menu есть возможность просматривать эту статистику в динамике (то есть она будет изменяться в реальном времени);
Зайти в меню Setup для выполнения базовых настроек:
Зайти в меню Menu:
Для того чтобы можно было управлять коммутатором не только заходя на консоль, но и удаленно, необходимо настроить на нем IP-адрес.
По умолчанию, на коммутаторах ProCurve указано получение IP-адреса по DHCP, но он может быть назначен и административно.
Если коммутатор используется как коммутатор 2го уровня, то IP-адрес настраивается, как правило, в VLAN 1. Если используется специальный выделенный VLAN для управления сетевыми устройствами, то тогда адрес назначается в этом VLAN.
Если коммутатор используется, как коммутатор 3го уровня (или 2/3), то IP-адреса могут быть во всех VLAN и на любой из них (если нет дополнительных ограничений) можно заходить для управления коммутатором.
Настройка IP-адреса на коммутаторе в VLAN 1:
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
Если необходимо удалить настроенный адрес:
Для того чтобы на коммутатор можно было заходить не только из сети, из которой ему назначен IP-адрес, но и из других сетей, необходимо настроить шлюз по умолчанию.
Настройка шлюза по умолчанию на коммутаторе 2го уровня:
Если коммутатор 3го уровня (то есть, включена команда ip routing), то шлюз по умолчанию настраивается как статический маршрут.
Настройка шлюза по умолчанию на коммутаторе 3го уровня:
Посмотреть настройки IP-адреса, маршрут по умолчанию и включен ли ip routing:
Базовые настройки по защите доступа к коммутатору предполагают, как минимум, настройку паролей для уровня менеджера (manager) и оператора (operator).
Синтаксис команды для задания паролей:
- manager — указывает, что будут задаваться параметры для уровня доступа менеджер,
- operator — указывает, что будут задаваться параметры для уровня доступа оператор,
- all — указывает, что будут задаваться параметры для режимов менеджер и оператор,
- port-access — задание пароля оператора для аутентификации по 802.1X,
- user-name — задание имени пользователя для соответствующего режима доступа,
- hash-type — указывает какой алгоритм используется для хеширования пароля:
- plaintext
- sha1
Настройка пароля на режим менеджера:
По умолчанию введенные пароли и имена пользователей не видны в конфигурационном файле, так как они хранятся в отдельной зоне на коммутаторе. Для того чтобы они отображались, необходимо ввести команду include-credentials. Подробнее о других параметрах, которые будут отображаться после введения этой команды на странице ProCurve Security.
Настроить имена пользователей можно из CLI и веб-интерфейса. Из интерфейса menu можно настроить пароли, но нельзя имена пользователей. Кроме того, имена и пароли пользователей могут быть настроены в Management Interface Wizard.
Настройка имени пользователя и пароля на режим оператора:
Настройка имени пользователя и пароля на режим менеджера:
На коммутаторах ProCurve нет возможности создавать базу пользователей. Тут есть только два пользователя с различными уровнями привилегий — менеджер и оператор.
Если известен пароль менеджера, то удалить пароли для менеджера и оператора можно так (вместе с паролями удаляются и имена пользователей):
Удалить пароль менеджера:
Удалить пароль оператора:
Если пароль менеджера не известен, то для удаления паролей необходимо воспользоваться кнопкой Clear на передней панели. Для обнуления достаточно удерживать её нажатой пару секунд.
Эта функциональность кнопки Clear может быть отключена. Подробнее о передней панели на странице ProCurve Security.
После того как на коммутаторе назначен IP-адрес, в CLI коммутатора можно удаленно заходить используя протокол Telnet.
Посмотреть активные сессии:
Настройка безопасного доступа к веб-интерфейсу с использованием SSL описана на странице Доступ к коммутатору ProCurve.
Полностью отключить доступ к веб-интерфейсу:
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
В обоих случаях информация, которая пересылается между хостом и коммутатором передается в открытом виде.
Более безопасными альтернативами для доступа к коммутатору, являются:
Если на коммутаторе включен SSH, то он разрешает одно подключение к консоли и до трёх других сессий (SSH или Telnet). Посмотреть текущие сессии можно командой show ip ssh.
Функция авторизованные менеджеры позволяет добавить еще один критерий (кроме паролей на режим менеджера и оператора), который будет проверяться прежде чем будет предоставлен доступ к коммутатору — IP-адреса с которых разрешен доступ к коммутатору.
До запроса пароля на доступ с правами operator или manager, будет учитываться с какого IP-адреса осуществляется доступ к коммутатору.
Доступ будет разрешен только с IP-адресов указанных в команде ip authorized-managers.
Ограничения списка авторизованных менеджеров касаются:
В новых версиях ОС (начиная с K.14.09) появился инструмент Management Interface Wizard, который позволяет в интерактивном режиме настроить различные параметры протоколов использующихся для доступа к коммутатору.
Подробнее о Management Interface Wizard на странице Доступ к коммутатору ProCurve.
На коммутаторах HP есть SSH-клиент и telnet-клиент для того чтобы можно было с коммутатора зайти, соответственно, по SSH или telnet на другое устройство.
SSH-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
Telnet-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
Задать имена интерфейсам:
Просмотр заданных имен:
Посмотреть настройки конкретного VLAN, например, VLAN 100:
Эта команда очень удобна так как в выводе sh run настройки разбиваются на несколько частей и их не очень удобно просматривать. Например, в данном примере настройки принадлежности портов VLAN'у и настройки PIM и OSPF находятся в разных частях конфигурационного файла.
В ProCurve поддерживается фильтрация вывода, хотя в подсказках командной строки эти команды не отображаются. То есть, если набрать знак вопроса или табуляцию, то команда не продолжится. Но она работает.
Поддерживается фильтр begin (сокращенно beg или даже b). Отобразить конфигурационный файл начиная со строки в которой встречается слово router:
Поддерживается фильтр include (сокращенно inc или i). Отобразить все строки текущей конфигурации в которых встречается слово qos:
У коммутаторов ProCurve есть две области во flash-памяти в которых можно хранить разные ОС:
В этих областях можно хранить только ОС коммутатора, по одной в каждой.
Посмотреть содержимое flash-памяти:
Посмотреть какая сейчас версия ОС используется:
Копировать нужный софт как secondary image на коммутатор:
Перезагрузить коммутатор с secondary image (образ из secondary области будет использоваться после перезагрузки коммутатора до тех пор, пока не будет указан другой):
Указать с какой области будет загружен коммутатор после следующей перезагрузки не перезагружая его сейчас:
Копирование образа из secondary в primary:
Посмотреть отличаются ли стартовая конфигурация и текущая (команда не выполняет сравнение конфигураций, а просто сообщает отличаются ли они):
Скопировать стартовый конфигурационный файл на TFTP-сервер:
Удалить стартовый конфигурационный файл:
Несмотря на то, что конфигурация коммутатора удалена, пароли для доступа к режиму менеджера и оператора останутся (если они были настроены). Это происходит из-за того, что коммутатор хранит эту информацию отдельно.
Скопировать файл TFTP-сервера (с TFTP-сервера можно скопировать только в startup конф, в текущую нельзя):
Только для 53, 54, 35
Скопировать конфигурацию на tftp сервер:
Переименовать ее на сервере и скопировать назад на коммутатор:
Посмотреть скопированный конфиг:
Настроить связь между secondary image и sec_sw8_config файлом:
Вернуть всё в default настройки:
Для резервного копирования конфигурации коммутатора существует возможность использования скриптов на языках perl (Net::Telnet) и Expect. При этом, коммутаторы HP ProCurve обладают возможностью включать на себе сервер tftp. Это позволяет проводить резервное копирование конфигурации коммутатора без использования tftp-сервера, что иногда необходимо.
Для работы скрипта необходимо включить SNMP-протокол на сервере в режиме конфигурирования и описать community с возможностью записи, например так:
Далее показан пример резервного копирования коммутатора (проверено на 4 моделях коммутаторов HP: 2650, 2610-48, 2824, 2610-24g):
Данный скрипт выполняет следующее:
- включает tftp-сервер на коммутаторе
- копирует информацию в файл, в формате ---.txt
- отключает tftp-сервер на коммутаторе
Таким образом есть возможность быстрого и простого резервного копирования конфигурации коммутатора без использования скриптов для входа на коммутатор.
Пример простого скрипта для резервного копирования с использованием expect (для 5308xl):
Режимы работы SNTP (Simple Network Time Protocol):
- Unicast — в этом режиме необходимо указать адрес SNTP-сервера. Если указаны несколько серверов (максимум можно указать 3 сервера), то коммутатор выбирает к какому обращаться:
- В 3400, 5300 моделях: по IP-адресу — сначала он запрашивает сервер с наименьшим адресом, если тот не отвечает, то у следующего,
- В 3500, 5400 моделях: по указанному приоритету — можно указать приоритет со значением от 1 до 3, сервера будут запрашиваться по порядку в соответствии с приоритетом,
Просмотр текущего времени на коммутаторе:
Просмотр настроек SNTP:
Настройка SNTP в режиме unicast:
Указание адреса сервера (для 3400, 5300 моделей):
Указание адреса сервера и приоритета (для 3500, 5400 моделей):
Интервал между отправкой запросов на сервер (по умолчанию 720 секунд):
Настройка временной зоны:
Посмотреть логи коммутатора (самые старые события будут отображаться первыми):
Посмотреть логи коммутатора в обратном порядке (новые события будут отображаться первыми):
Просмотр всех событий, включая те, которые были до перезагрузки:
Просмотр событий в которых встречается слово system:
Просмотр событий в которых встречается слово system, включая те, которые были до перезагрузки:
Просмотр информации о source-interface:
CDP и LLDP — протоколы канального уровня, которые позволяют сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.
У них есть некоторые отличия, однако основные возможности у них практически одинаковы. Одно из основных отличий, то что LLDP — стандарт, а CDP — проприетарный протокол Cisco.
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером.
В зависимости от модели коммутаторы ProCurve поддерживают различные версии протокола Spanning Tree:
- 3400, 5300 — поддерживают RSTP и MSTP,
- 3500, 5400 — поддерживают MSTP.
Коммутаторы ProCurve 3го уровня поддерживают два протокола динамической маршрутизации OSPF и RIP.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают BGP.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают маршрутизацию на основе политик. Это позволяет маршрутизировать трафик основываясь не только на IP-адресе получателя, но и других критериях, например, IP-адресе отправителя.
Эта функция работает на основе существующего классификатора трафика, который ранее использовался для настройки зеркалирования трафика и правил QoS.
Информация о функции, параметрах, настройке находится в разделе Classifier-Based Software Configuration документа Advanced Traffic Management Guide (для соответствующей версии ОС).
Действия доступные в политике PBR:
- настройка значения next-hop ( ip next-hop )
- настройка значения next-hop для пакетов, для которых нет специфического маршрута ( ip default-next-hop )
- настройка исходящего туннельного интерфейса (interface tunnel )
- настройка интерфейса null, который указывает, что пакеты будут отброшены, если к ним не применяются другие действия ранее
Правила работы PBR:
- Для класса могут быть настроены несколько действий, до 8 действий для одного класса
- Если настроено действие интерфейс null, то другие действия для этого класса не могут быть настроены
- Только одно из 8ми возможных действий может быть активно в один момент времени
- Приоритет действий определяется порядком в котором они добавлены в политику
- Действия могут быть добавлены только к классу. Они добавляются в конец списка действий для класса
- Для того чтобы удалить действия примененные к классу, весь класс должен быть удален из политики
- Когда действие становится недоступным (неактивным), например, если настроенный адрес становится недостижимым (для действий next-hop и default-next-hop) или интерфейс находится в состоянии down (для tunnel), политика просматривает следующие действия. Список действий просматривается до тех пор пока не дойдет до правила interface null или конца списка действий. Если достигнут конец списка, то политика не применяется и соответствующий класс обрабатывается без учета PBR.
- Максимальное количество уникальных IP-адресов next-hop и default-next-hop — 256
Изменения в классах, которые используются в политике, и в политике можно делать только если политика не применена к интерфейсу.
Просмотр статистики срабатываний политики:
Включение глобально UDP Broadcast Forwarding:
Настройка для VLAN адреса получателя:
- dns: Domain Name Service (53)
- ntp: Network Time Protocol (123)
- netbios-ns: NetBIOS Name Service (137)
- netbios-dgm: NetBIOS Datagram Service (138)
- radius: Remote Authentication Dial-In User Service (1812)
- radius-old: Remote Authentication Dial-In User Service (1645)
- rip: Routing Information Protocol (520)
- snmp: Simple Network Management Protocol (161)
- snmp-trap: Simple Network Management Protocol (162)
- tftp: Trivial File Transfer Protocol (69)
- timep: Time Protocol (37)
Скопировать вывод команды show tech в файл на tftp сервер:
Управление лампочкой на коммутаторе (по умолчанию мигает или горит 30 минут, можно менять это значение или отключить её командой):
HP switch protocol -- если в анализаторе такое видно, то это протокол стекирования коммутаторов ProCurve.
Просмотр MAC-адресов на портах коммутатора:
show mac-address - просмотреть таблицу соответствия MAC-адресов портам коммутатора
show mac-address ehternet 1 - посмотреть таблицу MAC-адресов на первом порту коммутатора
show mac-address ehternet 1-10 - посмотреть таблицы MAC-адресов портах коммутатора с 1 по 10
show mac-address 00:13:d4:4e:c3:74 - посмотреть, через какой порт коммутатора доступен этот MAC-адрес
Заметки для памяти:
*full duplex или half ?
Полный дуплекс (full-duplex, FDX) - одновременная двухсторонняя передача данных.
Полудуплекс (half-duplex, HDX) - передача данных, когда данные могут передаваться в обоих направлениях, но в каждый момент времени - только в одну сторону.Дополнительные примеры
Reset switch to factory defaults
If I’m not using brand new switch, I normally like to reset it back to factory defaults before doing anything.
Use a pointy object (like paper clip) and press “Reset” and “Clear” buttons on the front of the switch at the same time.
Release “Reset” button. When “Self Test” LED start to blink, release “Clear” button too. Now the switch should do it testRestore settings from backup
All you have to do is copy/paste all (except the first “Running configuration:” line) to notepad on “Backup settings” partUpdate firmware using tftp server
If you are using windows machine and need tftp server software, you should try 3CDaemon. It’s free, portable, and it worksDownload newest firmware from HP’s website: Software for switches.
For my switch HP ProCurve 2524gl, newest firmware was F.05.72. I downloaded 2300_2500-Software-F0572.zip package andNow I have directory “2300_2500-Software-F0572? with 2300_2500-RelNotes-F0572-59903102.pdf (Release Notes). I also have
F_05_72.swi file and this .swi file is the firmware which you are going to use to update your switch.
After F_05.72.swi is copied to the switch, you should get this kind of line. When eve everything goes ok your switch will
Update firmware using xmodem over serial connection
I normally use Microsoft Hyperterminal when I’m doing this because it’s pretty easy to use xmodem to upload files withDownload newest firmware from HP’s website: Software for switches For my switch HP ProCurve 2524gl newest firmware was
F.05.72 so I downloaded 2300_2500-Software-F0572.zip package and extracted it to “2300_2500-Software-F0572?.
Now I have directory “2300_2500-Software-F0572? with 2300_2500-RelNotes-F0572-59903102.pdf (Release Notes) and F_05_72.swi
After hitting ‘Enter’, start uploading using hyperterminal from menu: “Transfer” => “Send File…” then click “Browse…” and
find that F_05_72.swi file and choose Xmodem (Not “1K Xmodem”) protocol. Then hit “Send” button. When everything is done
[note]This configuration was done with HP ProCurve 2524 (J4813A) but most of this command should work with other procurve
На этой странице рассматривается процедура настройки VLAN в HP ProCurve.
Содержание
По умолчанию на коммутаторах HP ProCurve доступно не максимальное количество VLAN. Это можно изменить с помощью команды max-vlans. Указание максимального количества VLAN (максимальное значение варьируется в зависимости от модели коммутатора):
Для применения этой команды необходимо сохранить конфигурацию и перезагрузить коммутатор.
Несмотря на то, что коммутаторы могут поддерживать, например, всего 256 VLAN'ов, диапазон допустимых значений идентификаторов этих VLAN'ов от 1 до 4094.
Создание VLAN'а, задание имени и назначение портов:
Так как на коммутаторе sw2 нет VLAN'а 15, то мы не добавляем тегированный порт 22 в этот VLAN:
Просмотр информации о существующих VLAN'ах:
Посмотреть, какие порты принадлежат VLAN'у 2 и какой статус у порта:
Посмотреть, каким VLAN'ам принадлежит порт 22:
Дальнейшие настройки подразумевают использование коммутатора 3 уровня.
Для того чтобы настроить маршрутизацию между сетями разных VLAN на коммутаторе необходимо:
- Включить ip routing
- Назначить IP-адреса соответствующим VLAN
Кроме того, необходимо чтобы IP-адреса соответствующих VLAN были указаны как маршруты по умолчанию на хостах.
Включение маршрутизации на коммутаторе:
Задание адреса в VLAN. Этот адрес должен быть прописан как маршрут по умолчанию для компьютеров в VLAN 2:
Или, другой формат задания IP-адреса в VLAN:
Просмотр информации о заданных IP-адресах и включен ли ip routing:
Для сети изображенной на схеме приведены примеры конфигураций коммутаторов.
Коммутаторы sw1 и sw2 работают как коммутаторы 2 уровня. Коммутатор sw3 выполняет маршрутизацию между VLAN'ами хостов и серверным. Кроме того, на коммутаторе sw3 настроен DHCP relay agent, для того чтобы хосты могли получить IP-адреса и маршрут по умолчанию от DHCP-сервера (IP-адрес DHCP-сервера указан на схеме).
Настройка физического интерфейса:
После задания на физическом интерфейсе инкапсуляции 802.1Q на нем нельзя задать IP-адрес (адреса задаются на подынтерфейсах).
На логических подынтерфейсах необходимо указать номер VLAN и адрес. Если подынтерфейс должен передавать нетегированный трафик, то необходимо использовать опцию native (по умолчанию native VLAN 1).
На этой странице описываются настройки коммутаторов ProCurve.
Настройки описанные на этой странице в большей степени относятся к коммутаторам 3го уровня (3400, 3500, 5300, 5400). Однако, многие настройки (как правило не относящиеся к 3 уровню) будут аналогичными и на коммутаторах 2го уровня.
Содержание
Если приглашение вида:
На коммутаторах ProCurve команды show можно выполнять в конфигурационном режиме и во вложенных конфигурационных режимах.
Задание имени коммутатора:
Различают два метода доступа к коммутатору (такая терминология не часто используется, но встречается и пригодится тем, кто собирается сдавать экзамен для получения первого уровня сертификации AIS):
- in-band — когда управляющий трафик повторяет путь обычных данных (то есть, управляющий трафик идет через те же порты, что и данные),
- out-band — когда управляющий трафик использует выделенный путь.
На самом деле Out-band методами могут называться и такие методы доступа как SSH, Telnet. Такой термин к этим методам применяется, если управляющий трафик изолирован от обычных данных. Например, выделен в отдельный VLAN.
У коммутаторов ProCurve есть несколько интерфейсов управления:
- CLI (интерфейс командной строки или командная строка) — к ней можно получить доступ с помощью консоли, Telnet или SSH;
- Меню — псевдографические меню, в которые можно попасть из командной строки:
- Setup — простое меню с ограниченными возможностями, тут можно выполнить только самые базовые настройки,
- Menu — более мощное меню, с широкими возможностями по настройке, просмотру настроек и поведения коммутатора. Возможностей тут меньше, чем в командной строке, но всё же достаточно много. Один из вариантов, когда это меню особо удобно использовать — когда необходимо просмотреть динамическую статистику интерфейсов. Если выполнить команду show из командной строки, то вывод будет показывать срез информации, а в Menu есть возможность просматривать эту статистику в динамике (то есть она будет изменяться в реальном времени);
Зайти в меню Setup для выполнения базовых настроек:
Зайти в меню Menu:
Для того чтобы можно было управлять коммутатором не только заходя на консоль, но и удаленно, необходимо настроить на нем IP-адрес.
По умолчанию, на коммутаторах ProCurve указано получение IP-адреса по DHCP, но он может быть назначен и административно.
Если коммутатор используется как коммутатор 2го уровня, то IP-адрес настраивается, как правило, в VLAN 1. Если используется специальный выделенный VLAN для управления сетевыми устройствами, то тогда адрес назначается в этом VLAN.
Если коммутатор используется, как коммутатор 3го уровня (или 2/3), то IP-адреса могут быть во всех VLAN и на любой из них (если нет дополнительных ограничений) можно заходить для управления коммутатором.
Настройка IP-адреса на коммутаторе в VLAN 1:
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
Если необходимо удалить настроенный адрес:
Для того чтобы на коммутатор можно было заходить не только из сети, из которой ему назначен IP-адрес, но и из других сетей, необходимо настроить шлюз по умолчанию.
Настройка шлюза по умолчанию на коммутаторе 2го уровня:
Если коммутатор 3го уровня (то есть, включена команда ip routing), то шлюз по умолчанию настраивается как статический маршрут.
Настройка шлюза по умолчанию на коммутаторе 3го уровня:
Посмотреть настройки IP-адреса, маршрут по умолчанию и включен ли ip routing:
Базовые настройки по защите доступа к коммутатору предполагают, как минимум, настройку паролей для уровня менеджера (manager) и оператора (operator).
Синтаксис команды для задания паролей:
- manager — указывает, что будут задаваться параметры для уровня доступа менеджер,
- operator — указывает, что будут задаваться параметры для уровня доступа оператор,
- all — указывает, что будут задаваться параметры для режимов менеджер и оператор,
- port-access — задание пароля оператора для аутентификации по 802.1X,
- user-name — задание имени пользователя для соответствующего режима доступа,
- hash-type — указывает какой алгоритм используется для хеширования пароля:
- plaintext
- sha1
Настройка пароля на режим менеджера:
По умолчанию введенные пароли и имена пользователей не видны в конфигурационном файле, так как они хранятся в отдельной зоне на коммутаторе. Для того чтобы они отображались, необходимо ввести команду include-credentials. Подробнее о других параметрах, которые будут отображаться после введения этой команды на странице ProCurve Security.
Настроить имена пользователей можно из CLI и веб-интерфейса. Из интерфейса menu можно настроить пароли, но нельзя имена пользователей. Кроме того, имена и пароли пользователей могут быть настроены в Management Interface Wizard.
Настройка имени пользователя и пароля на режим оператора:
Настройка имени пользователя и пароля на режим менеджера:
На коммутаторах ProCurve нет возможности создавать базу пользователей. Тут есть только два пользователя с различными уровнями привилегий — менеджер и оператор.
Если известен пароль менеджера, то удалить пароли для менеджера и оператора можно так (вместе с паролями удаляются и имена пользователей):
Удалить пароль менеджера:
Удалить пароль оператора:
Если пароль менеджера не известен, то для удаления паролей необходимо воспользоваться кнопкой Clear на передней панели. Для обнуления достаточно удерживать её нажатой пару секунд.
Эта функциональность кнопки Clear может быть отключена. Подробнее о передней панели на странице ProCurve Security.
После того как на коммутаторе назначен IP-адрес, в CLI коммутатора можно удаленно заходить используя протокол Telnet.
Посмотреть активные сессии:
Оборвать сессию под номером 2:
Проверить включен ли telnet-сервер на коммутаторе:Настройка безопасного доступа к веб-интерфейсу с использованием SSL описана на странице Доступ к коммутатору ProCurve.
Полностью отключить доступ к веб-интерфейсу:
Просмотр настроек консоли:
По умолчанию в коммутаторах размер терминала может быть недостаточным для корректного отображения некоторых команд.
Изменить размеры терминала:
Проверить текущие настройки терминала:
На коммутаторах ProCurve, после назначения IP-адреса, к коммутатору есть доступ:
В обоих случаях информация, которая пересылается между хостом и коммутатором передается в открытом виде.
Более безопасными альтернативами для доступа к коммутатору, являются:
Если на коммутаторе включен SSH, то он разрешает одно подключение к консоли и до трёх других сессий (SSH или Telnet). Посмотреть текущие сессии можно командой show ip ssh.
Функция авторизованные менеджеры позволяет добавить еще один критерий (кроме паролей на режим менеджера и оператора), который будет проверяться прежде чем будет предоставлен доступ к коммутатору — IP-адреса с которых разрешен доступ к коммутатору.
До запроса пароля на доступ с правами operator или manager, будет учитываться с какого IP-адреса осуществляется доступ к коммутатору.
Доступ будет разрешен только с IP-адресов указанных в команде ip authorized-managers.
Ограничения списка авторизованных менеджеров касаются:
В новых версиях ОС (начиная с K.14.09) появился инструмент Management Interface Wizard, который позволяет в интерактивном режиме настроить различные параметры протоколов использующихся для доступа к коммутатору.
Подробнее о Management Interface Wizard на странице Доступ к коммутатору ProCurve.
На коммутаторах HP есть SSH-клиент и telnet-клиент для того чтобы можно было с коммутатора зайти, соответственно, по SSH или telnet на другое устройство.
SSH-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
Telnet-клиент (с локального коммутатора зайти на другой коммутатор с адресом 192.168.1.1):
На коммутаторе можно задать IP-адрес с которого будут инициироваться сессии таких протоколов:
- RADIUS
- SFlow
- SNTP
- System Logging applications
- TACACS
- Telnet
- TFTP
Просмотр информации о source-interface:
Подробная информация о настроенном интерфейсе:
Задать имена интерфейсам:
Просмотр заданных имен:
Посмотреть настройки конкретного VLAN, например, VLAN 100:
Эта команда очень удобна так как в выводе sh run настройки разбиваются на несколько частей и их не очень удобно просматривать. Например, в данном примере настройки принадлежности портов VLAN'у и настройки PIM и OSPF находятся в разных частях конфигурационного файла.
В ProCurve поддерживается фильтрация вывода, хотя в подсказках командной строки эти команды не отображаются. То есть, если набрать знак вопроса или табуляцию, то команда не продолжится. Но она работает.
Поддерживается фильтр begin (сокращенно beg или b). Отобразить конфигурационный файл начиная со строки в которой встречается слово router:
Поддерживается фильтр include (сокращенно inc или i). Отобразить все строки текущей конфигурации в которых встречается слово qos:
Команда sh run structured отображает конфигурацию с другой сортировкой. Например, принадлежность портов VLAN отображается, кроме стандартного, в другом формате.
Отображение, которое добавляется при заданом параметре structured:
У коммутаторов ProCurve есть две области во flash-памяти в которых можно хранить разные ОС:
В этих областях можно хранить только ОС коммутатора, по одной в каждой.
Посмотреть содержимое flash-памяти:
Посмотреть какая сейчас версия ОС используется:
Копировать нужный софт как secondary image на коммутатор:
Перезагрузить коммутатор с secondary image (образ из secondary области будет использоваться после перезагрузки коммутатора до тех пор, пока не будет указан другой):
Указать с какой области будет загружен коммутатор после следующей перезагрузки не перезагружая его сейчас:
Копирование образа из secondary в primary:
Посмотреть отличаются ли стартовая конфигурация и текущая (команда не выполняет сравнение конфигураций, а просто сообщает отличаются ли они):
Скопировать стартовый конфигурационный файл на TFTP-сервер:
Удалить стартовый конфигурационный файл:
Несмотря на то, что конфигурация коммутатора удалена, пароли для доступа к режиму менеджера и оператора останутся (если они были настроены). Это происходит из-за того, что коммутатор хранит эту информацию отдельно.
Скопировать файл TFTP-сервера (с TFTP-сервера можно скопировать только в startup конф, в текущую нельзя):
Default-config это конфигурационный файл, который будет применяться, когда коммутатор обнуляется. Если он не создан, то будут применяться заводские настройки по умолчанию.
Скопировать стартовый конфигурационный файл в default-config:
Проверить существует ли default-config (последняя строка вывода):
Только для 53, 54, 35
Скопировать конфигурацию на tftp сервер:
Переименовать ее на сервере и скопировать назад на коммутатор:
Посмотреть скопированный конфиг:
Настроить связь между secondary image и sec_sw8_config файлом:
Вернуть всё в default настройки:
Для резервного копирования конфигурации коммутатора существует возможность использования скриптов на языках perl (Net::Telnet) и Expect. При этом, коммутаторы HP ProCurve обладают возможностью включать на себе сервер tftp. Это позволяет проводить резервное копирование конфигурации коммутатора без использования tftp-сервера, что иногда необходимо.
Для работы скрипта необходимо включить SNMP-протокол на сервере в режиме конфигурирования и описать community с возможностью записи, например так:
Далее показан пример резервного копирования коммутатора (проверено на 4 моделях коммутаторов HP: 2650, 2610-48, 2824, 2610-24g):
Данный скрипт выполняет следующее:
- включает tftp-сервер на коммутаторе
- копирует информацию в файл, в формате ---.txt
- отключает tftp-сервер на коммутаторе
Таким образом есть возможность быстрого и простого резервного копирования конфигурации коммутатора без использования скриптов для входа на коммутатор.
пример скрипта содержащий цикл (делает backup нескольких коммутаторов).
Пример простого скрипта для резервного копирования с использованием expect (для 5308xl):
Режимы работы SNTP (Simple Network Time Protocol):
- Unicast — в этом режиме необходимо указать адрес SNTP-сервера. Если указаны несколько серверов (максимум можно указать 3 сервера), то коммутатор выбирает к какому обращаться:
- В 3400, 5300 моделях: по IP-адресу — сначала он запрашивает сервер с наименьшим адресом, если тот не отвечает, то у следующего,
- В 3500, 5400 моделях: по указанному приоритету — можно указать приоритет со значением от 1 до 3, сервера будут запрашиваться по порядку в соответствии с приоритетом,
Просмотр текущего времени на коммутаторе:
Просмотр настроек SNTP:
Настройка SNTP в режиме unicast:
Указание адреса сервера (для 3400, 5300 моделей):
Указание адреса сервера и приоритета (для 3500, 5400 моделей):
Интервал между отправкой запросов на сервер (по умолчанию 720 секунд):
Настройка временной зоны:
пример UTC+3 (Минск, 3х60=180)
Посмотреть логи коммутатора (самые старые события будут отображаться первыми):
Посмотреть логи коммутатора в обратном порядке (новые события будут отображаться первыми):
Просмотр всех событий, включая те, которые были до перезагрузки:
Просмотр событий в которых встречается слово system:
Просмотр событий в которых встречается слово system, включая те, которые были до перезагрузки:
Просмотр информации о source-interface:
CDP и LLDP — протоколы канального уровня, которые позволяют сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.
У них есть некоторые отличия, однако основные возможности у них практически одинаковы. Одно из основных отличий, то что LLDP — стандарт, а CDP — проприетарный протокол Cisco.
Агрегирование каналов — технология, которая позволяет объединить несколько физических каналов в один логический. Такое объединение позволяет увеличивать пропускную способность канала и увеличить надежность канала. Агрегирование каналов может быть настроено как между двумя коммутаторами, так и между коммутатором и сервером.
В зависимости от модели коммутаторы ProCurve поддерживают различные версии протокола Spanning Tree:
- 3400, 5300 — поддерживают RSTP и MSTP,
- 3500, 5400 — поддерживают MSTP.
Коммутаторы ProCurve 3го уровня поддерживают два протокола динамической маршрутизации OSPF и RIP.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают BGP. С большой вероятностью наличия ограничений: ASN только 16 бит, без поддержки IPV6, отсутствие ресурсов для принятия full view.
Коммутаторы 5400, 3500 и 8200 с версии ОС K.15.06.0006 поддерживают маршрутизацию на основе политик. Это позволяет маршрутизировать трафик основываясь не только на IP-адресе получателя, но и других критериях, например, IP-адресе отправителя.
Эта функция работает на основе существующего классификатора трафика, который ранее использовался для настройки зеркалирования трафика и правил QoS.
Информация о функции, параметрах, настройке находится в разделе Classifier-Based Software Configuration документа Advanced Traffic Management Guide (для соответствующей версии ОС).
Действия доступные в политике PBR:
- настройка значения next-hop ( ip next-hop )
- настройка значения next-hop для пакетов, для которых нет специфического маршрута ( ip default-next-hop )
- настройка исходящего туннельного интерфейса (interface tunnel )
- настройка интерфейса null, который указывает, что пакеты будут отброшены, если к ним не применяются другие действия ранее
Правила работы PBR:
- Для класса могут быть настроены несколько действий, до 8 действий для одного класса
- Если настроено действие интерфейс null, то другие действия для этого класса не могут быть настроены
- Только одно из 8ми возможных действий может быть активно в один момент времени
- Приоритет действий определяется порядком в котором они добавлены в политику
- Действия могут быть добавлены только к классу. Они добавляются в конец списка действий для класса
- Для того чтобы удалить действия примененные к классу, весь класс должен быть удален из политики
- Когда действие становится недоступным (неактивным), например, если настроенный адрес становится недостижимым (для действий next-hop и default-next-hop) или интерфейс находится в состоянии down (для tunnel), политика просматривает следующие действия. Список действий просматривается до тех пор пока не дойдет до правила interface null или конца списка действий. Если достигнут конец списка, то политика не применяется и соответствующий класс обрабатывается без учета PBR.
- Максимальное количество уникальных IP-адресов next-hop и default-next-hop — 256
Изменения в классах, которые используются в политике, и в политике можно делать только если политика не применена к интерфейсу.
Просмотр статистики срабатываний политики:
Включение глобально UDP Broadcast Forwarding:
Настройка для VLAN адреса получателя:
- dns: Domain Name Service (53)
- ntp: Network Time Protocol (123)
- netbios-ns: NetBIOS Name Service (137)
- netbios-dgm: NetBIOS Datagram Service (138)
- radius: Remote Authentication Dial-In User Service (1812)
- radius-old: Remote Authentication Dial-In User Service (1645)
- rip: Routing Information Protocol (520)
- snmp: Simple Network Management Protocol (161)
- snmp-trap: Simple Network Management Protocol (162)
- tftp: Trivial File Transfer Protocol (69)
- timep: Time Protocol (37)
Скопировать вывод команды show tech в файл на tftp сервер:
Управление лампочкой на коммутаторе (по умолчанию мигает или горит 30 минут, можно менять это значение или отключить её командой):
HP switch protocol -- если в анализаторе такое видно, то это протокол стекирования коммутаторов ProCurve.
Недавно на сисадминовском форуме зашла речь о VLAN на прокурвах (серия свичей HP Procurve). Без картинок трудно было там описать, восполню тут пробел. Сперва немного занудства.
1. Технология VLAN
VLAN (Virtual LAN) — технология, позволяющая на одном коммутаторе (или группе связанных коммутаторов) реализовать несколько независимых широковещательных доменов.
Каждый VLAN на коммутаторе имеет уникальный идентификатор - VLAN ID. По сути, в прокурве изначально по умолчанию уже "настроен" дефолтный влан, ID которого - 1. По умолчанию все порты коммутатора находятся в одном дефолтном влане (Default VLAN).
Можно создать ещё один влан, например с ID 2 и назначить порты 7 и 8 в этот влан. Теперь последние два порта принадлежат влану 2 и образуют отдельный широковещательный домен. Трафик данного влан никак не пересекается с дефолтным. То есть можно представить вланы как логическое разделение коммутатора на два виртуальных независимых коммутатора.
Порты могут принадлежать влану в двух режимах: tagged и untagged. По иному – «тегированный», с "тегом" или без него. В нашем примере (при 2-х независимых виртуальных коммутатора) порты 7 и 8 принадлежат влану 2 в режиме untagged. Теги есть часть стандарта 802.1Q, описывающего дополнительные структуры Ethernet кадра (пакета). Каждый Ethernet кадр может быть снабжён меткой (тегом), означающей влан, в который его следует поместить.
Таким образом, в режиме tagged через порт трафик можно передавать в разные вланы, а не только в тот, которому данный порт принадлежит в режиме untagged. Если передающее устройство поддерживает 802.1Q, то оно может снабдить кадр тегом для того, чтобы он попал в соответствующий влан.
Допустим, что компьютер подключен в порт 6. Данный порт в режиме untagged принадлежит влану 1. Если комп передаёт кадр без тега, то данный кадр попадает в влан 1. Если комп снабжает кадр тегом 2, то данный кадр попадет в влан 2, и далее распространится на все порты, принадлежащие этому влану. Для того, чтобы кадр из 6 порта попал во влан 2 надо на коммутаторе явно разрешить порту 6 доступ к влан 2 в режиме tagged (указано пунктиром).
Порт в режиме untagged может принадлежать только одному влану.
В режиме tagged порт может иметь доступ к многим вланам.
Указание tagged влана на порту разрешает данному порту доступ в указанный влан.
Читайте также: