Kostax.cz - HP Comware

Základní konfigurace

Základní nastavení

conf configuracni mod

write mem uloží aktuální konfiguraci do startup konfigurace

show run zobrazí aktuální konfiguraci

user admin password nastaví heslo
Management port

ssh server vrf mgmt zapnuti ssh na VRF mgmt

show ssh server vrf mgmt výpis

int mgmt separatni mgmt interface

ip static 192.168.1.1/24 nastaveni IP

no shut zapnuti portu
Management na běžném routovaném portu

vrf inband vytvoření vrf (routovací tabulka)

int 1/1/1 tento port pouzijeme

vrf attach inband prirazeni portu do VRF

ip address 192.168.1.1/24 nastaveni IP, jedna se o routovany iface

no shut zapnuti portu

ssh server vrf inband zapnuti ssh na VRF inband
Management na interface vlan

vrf inband vytvoreni vrf

vlan 10 tuto vlan pouzijeme

vrf attach inband prirazeni vlan do VRF

ip address 192.168.1.1/24 nastaveni IP, jedna se o routovany iface

int 1/1/1 vyber portu

no routing vzpnutí routovaného portu, je to bridge

no shut zapnuti portu

vlan acc 10 prirazeni portu do vlan

ssh server vrf inband zapnuti ssh na VRF inband
DNS

ip dns server-address 172.2.1.1

ip dns server-address 172.4.1.1
Syslog
logging 1.2.3.4 severity info vse posilej na syslog IP 1.2.3.4
Nastavení SNMP

snmp-server vrf nazev (nebo default)

snmp-server community nazev

snmp-server host 1.2.3.4 trap version v2c vrf default posílání trapů
Čas - NTP

ntp server 172.24.8.30 iburst

ntp enable

clock timezone europe/prague

dis ntp status

dis clock
Profily
port-access lldp-group IAP-Group

     seq 20 match vendor-oui 000b86

     seq 30 match sys-desc IAP

port-access role AP-Group

    description ArubaIAP

    poe-priority high

    trust-mode dscp

    vlan access XXX

port-access device-profile IAP-Profile

    enable

    associate role AP-Group

    associate lldp-group IAP-Group

Dle typu zarizeni se nastavi prislusny port. Zde ukazka Aruba Instant AP, kteremu se nastavi port do prislusne vlany a nastavi se nejvyssi poe priorita. Nejprve si definujeme lldp (lze pouzit treba i CDP) pro identifikaci zarizeni. V dalsim kroku pripravime roli (konkretni konfigurace) pro AP. Nakonec vytovrime device profil, kde se spoji identikace a konfigurace.
Restart switche
boot system [primary | secondary]

VRF
Stohování

VSX konfigurace

int lag 128 vytvoreni agregace

no routing vypnuti routing

no shutdown zapnuti portu

lacp mode active zapnuti LACP protokolu

exit

int 1/1/1

no shutdown zapnuti portu

lag 128 prirazeni do agregace

int 1/1/2

no shutdown zapnuti portu

lag 128 prirazeni do agregace

exit

show lacp int vypis by mel obsahovat UP a flagy ALFNCD

vsx

role primary na druhem secondary

inter-switch-link lag 128 prirazeni agregace do inter switch link

exit

show vsx status melo by ukazovat in-sync/operational/in-sync

Druhy switch je konfirurovan stejne
VSX keepalive

int 1/1/3 jedná se o routovaný port

no shutdown

ip add 10.0.1.1/30

exit

vsx

keepalive peer 10.0.1.2 source 10.0.1.1

linkup-delay-timer 5

Druhy switch je konfirurovan stejne, pouze prohozene IP. Idealni jeste pro keepalive udelat samostatnou VRF

VSF

První switch:

conf
vsf member 1
link 1 /1/51
link 2 /1/52

Určíme secondary master
vsf secondary-member 3
(reboot)

Druhý switch:

vsf member 1
link 1 1/1/51
link 2 1/1/52
vsf renumber-to 2
(reboot)

Další switche stejně ...

Show vsf

MAC Address              : 38:21:c7:5d:d0:c0
Secondary                :   
Topology                 : Ring
Status                   : No Split
Split Detection Method   : None

Mbr Mac Address         type           Status   
ID
--- ------------------- -------------- ---------------
1   38:21:c7:5d:d0:c0   JL668A         Master
2   38:21:c7:6a:10:c0   JL668A         Member
3   38:21:c7:5c:15:80   JL668A         Member
4   38:21:c7:5a:61:40   JL668A         Member
5   38:21:c7:62:66:00   JL668A         Member
6   38:21:c7:58:22:40   JL668A         Member
7   38:21:c7:5a:9c:00   JL668A         Member
8   38:21:c7:63:a5:00   JL668A         Member

Zapnuti split detekce - pres mgmt porty, treba pres switch nebo v pripade stohu 2 switchu naprimo
vsf split-detect mgmt

Prepnuti na druheho membera

member X

VSF aktualizace
usb mount
show usb
show usb file-system
copy usb:/jmeno_souboru primary

usb unmount
boot system primary

Po příkazu copy to chvíli trvá, kopíruje se update na jednotlivé switche

Link agregace

Multi chassis agregace na VSX

int lag 1 multi-chassis vytvoreni agregace

no routing vypnuti routing

no shutdown zapnuti portu

lacp mode active zapnuti LACP protokolu

exit

int 1/1/1-2

no shutdown zapnuti portu

lag 1 prirazeni do agregace

vsx-sync vlans na primary pouze, řeší nám automatické přidání vlan na druhý switch

exit

vlan 10

vsx-sync toto pouze na primary, vlan se definuje na obou prepinacich, ale pridani na lag pak staci na jednom a je synchronizovano

int vlan 10

ip add ....

int lag 1

vlan trunk allowed 10

Druhý switch podobně

Test rozpojení

int lag 1

shutdown

show int 1/1/2 lag interface k dalsim switchum. Nyni bude secondary ukazovat "disabled by feature"
Agregace s LACP

int lag 1 vytvoreni agregace

no routing vypnuti routing

no shutdown zapnuti portu

lacp mode active zapnuti LACP protokolu

exit

int 1/1/1-2

no shutdown zapnuti portu

lag 1 prirazeni do agregace

exit

Může se hodit

Debug

debug {all | <MODULE-NAME>}

debug destination {syslog | file | console | buffer}  Do konzole mi v n2kter0 verzi nejde

show debug buffer [module <MODULE-NAME>]

802.1x a MAC ověřování

Ukázka konfigurace
clock timezone europe/prague
ntp server 192.168.199.254 iburst
ntp enable

aaa authentication limit-login-attempts 3 lockout-time 5

radius-server host 192.168.199.250 key ciphertext xxxxxx
radius-server host 192.168.199.251 key ciphertext xxxxxxx
aaa authentication allow-fail-through

aaa accounting port-access start-stop interim 10

radius dyn-authorization enable

radius dyn-authorization client 192.168.199.250 secret-key ciphertext xxxxx
radius dyn-authorization client 192.168.199.251 secret-key ciphertext xxxxx

vlan 11
name guest
vlan 199
name management
vlan 202
name klienti202
vlan 203
name klienti203
vlan 666
name critical

port-access role moje_critical_role
vlan access 666

aaa authentication port-access dot1x authenticator
enable
aaa authentication port-access mac-auth
enable

interface 1/1/1
no shutdown
vlan access 11
spanning-tree bpdu-guard
spanning-tree port-type admin-edge
aaa authentication port-access allow-lldp-bpdu
aaa authentication port-access client-limit 3
aaa authentication port-access critical-role moje_critical_role
aaa authentication port-access dot1x authenticator
enable
aaa authentication port-access mac-auth
enable

interface vlan 199
ip address 192.168.199.1/24
ip route 0.0.0.0/0 192.168.199.254

ip source-interface radius interface vlan199

Firmware 10.12 má volbu "port-access onboarding-method concurrent enable", ta umožní aby ověřování 802.1x i MAC proběhlo zároveň. Výchozí preference na portu je 802.1, potom mac. Když zařízení nezačne 802.1x, tak se na MAC ověření nikdy nedostane. Buď se tedy mumí nastavit tohle nebo na portu změnit pořadí pomocí "aaa authentication port-access auth-precedence dot1x mac-auth" Statistika radius serveru "show radius-server statistics authentication" Stav na portu "show aaa authentication port-access interface 1/1/5 client-status"

Jumbo

Jumbo - statistiky
Pro bridge port je default 1500

int 1/1/5

mtu 9000

Kdyz je MTU 1500, tak by mel vetsi pakety zahodit. Nutno k tomu ale pripocitat jeste nekolik desitek bajtu (tagovani, l1, ...). Proto treba vypis je trochu matouci

Interface 1/1/5 is up
Admin state is up
Link state: up for 1 year (since Tue Sep 26 22:28:35 CEST 2023)
Link transitions: 1
Description: V4sw1a_LAG2_serverovnaCH
Persona:
Hardware: Ethernet, MAC Address: 08:f1:ea:5e:19:ef
MTU 1500
Type 40G-LR4 / QSFP+ LR4
Full-duplex
qos trust none
Speed 40000 Mb/s
Auto-negotiation is off
Flow-control: off
Error-control: off
Rate collection interval: 300 seconds

Rate RX TX Total (RX+TX)
---------------- -------------------- -------------------- --------------------
Mbits / sec 14.90 20.45 35.35
KPkts / sec 2.10 3.11 5.21
Unicast 2.09 3.10 5.19
Multicast 0.00 0.00 0.00
Broadcast 0.01 0.01 0.02
Utilization % 0.04 0.05 0.09

Statistic RX TX Total
---------------- -------------------- -------------------- --------------------
Packets 639753751169 340659438724 980413189893
Unicast 639666520153 339558643483 979225163636
Multicast 4949479 213408998 218358477
Broadcast 82281537 887386243 969667780
Bytes 882284885563976 416190960863020 1298475846426996
Jumbos 539216130886 256609789794 795825920680
Dropped 0 0 0
Pause Frames 0 0 0
Errors 0 0 0
CRC/FCS 0 n/a 0
Collision n/a 0 0
Runts 0 n/a 0
Giants 0 n/a 0

Abych videl skutecnou velikost paketu, tak musim:

show int 1/1/5 extended

Jeste existuje interface vlan x a na nem IP MTU xxxx. To je pro pripad, ze je to routovany provoz.

Posledni pripad, ze je interface routovany a tam pak musi byt MTU i IP MTU

VLAN

Trunk port bez nativni vlan
Nejde odebrat vlan trunk native vlan 1. Reseni je udelat slepou vlan a udelat ji na trunk portu jako nativni. Druha moznost je rict, ze nativni vlan je tagovana.

interface 1/1/5

    description CAP-515

    no shutdown

    no routing

    vlan trunk native 1 tag

    vlan trunk allowed 1,100,200

    exit