Kostax.cz - HP Comware

Základní konfigurace

Základní nastavení

conf configuracni mod

write mem uloží aktuální konfiguraci do startup konfigurace

show run zobrazí aktuální konfiguraci

user admin password nastaví heslo
Management port

ssh server vrf mgmt zapnuti ssh na VRF mgmt

show ssh server vrf mgmt výpis

int mgmt separatni mgmt interface

ip static 192.168.1.1/24 nastaveni IP

no shut zapnuti portu
Management na běžném routovaném portu

vrf inband vytvoření vrf (routovací tabulka)

int 1/1/1 tento port pouzijeme

vrf attach inband prirazeni portu do VRF

ip address 192.168.1.1/24 nastaveni IP, jedna se o routovany iface

no shut zapnuti portu

ssh server vrf inband zapnuti ssh na VRF inband
Management na interface vlan

vrf inband vytvoreni vrf

vlan 10 tuto vlan pouzijeme

vrf attach inband prirazeni vlan do VRF

ip address 192.168.1.1/24 nastaveni IP, jedna se o routovany iface

int 1/1/1 vyber portu

no routing vzpnutí routovaného portu, je to bridge

no shut zapnuti portu

vlan acc 10 prirazeni portu do vlan

ssh server vrf inband zapnuti ssh na VRF inband
DNS

ip dns server-address 172.2.1.1

ip dns server-address 172.4.1.1
Syslog
logging 1.2.3.4 severity info vse posilej na syslog IP 1.2.3.4
Nastavení SNMP

snmp-server vrf nazev (nebo default)

snmp-server community nazev

snmp-server host 1.2.3.4 trap version v2c vrf default posílání trapů
Čas - NTP

ntp server 172.24.8.30 iburst

ntp enable

clock timezone europe/prague

dis ntp status

dis clock
Profily
port-access lldp-group IAP-Group

     seq 20 match vendor-oui 000b86

     seq 30 match sys-desc IAP

port-access role AP-Group

    description ArubaIAP

    poe-priority high

    trust-mode dscp

    vlan access XXX

port-access device-profile IAP-Profile

    enable

    associate role AP-Group

    associate lldp-group IAP-Group

Dle typu zarizeni se nastavi prislusny port. Zde ukazka Aruba Instant AP, kteremu se nastavi port do prislusne vlany a nastavi se nejvyssi poe priorita. Nejprve si definujeme lldp (lze pouzit treba i CDP) pro identifikaci zarizeni. V dalsim kroku pripravime roli (konkretni konfigurace) pro AP. Nakonec vytovrime device profil, kde se spoji identikace a konfigurace.
Restart switche
boot system [primary | secondary]

VRF
Stohování

VSX konfigurace

int lag 128 vytvoreni agregace

no routing vypnuti routing

no shutdown zapnuti portu

lacp mode active zapnuti LACP protokolu

exit

int 1/1/1

no shutdown zapnuti portu

lag 128 prirazeni do agregace

int 1/1/2

no shutdown zapnuti portu

lag 128 prirazeni do agregace

exit

show lacp int vypis by mel obsahovat UP a flagy ALFNCD

vsx

role primary na druhem secondary

inter-switch-link lag 128 prirazeni agregace do inter switch link

exit

show vsx status melo by ukazovat in-sync/operational/in-sync

Druhy switch je konfirurovan stejne

VSF

První switch:

conf
vsf member 1
link 1 /1/51
link 2 /1/52

Určíme secondary master
vsf secondary-member 3
(reboot)

Druhý switch:

vsf member 1
link 1 1/1/51
link 2 1/1/52
vsf renumber-to 2
(reboot)

Další switche stejně ...

Show vsf

MAC Address              : 38:21:c7:5d:d0:c0
Secondary                :   
Topology                 : Ring
Status                   : No Split
Split Detection Method   : None

Mbr Mac Address         type           Status   
ID
--- ------------------- -------------- ---------------
1   38:21:c7:5d:d0:c0   JL668A         Master
2   38:21:c7:6a:10:c0   JL668A         Member
3   38:21:c7:5c:15:80   JL668A         Member
4   38:21:c7:5a:61:40   JL668A         Member
5   38:21:c7:62:66:00   JL668A         Member
6   38:21:c7:58:22:40   JL668A         Member
7   38:21:c7:5a:9c:00   JL668A         Member
8   38:21:c7:63:a5:00   JL668A         Member

VSF - nižší řady switchů, VSX - vyšší

VSF aktualizace
usb mount
show usb
show usb file-system
copy usb:/jmeno_souboru primary

usb unmount
boot system primary

Po příkazu copy to chvíli trvá, kopíruje se update na jednotlivé switche

VSX keepalive
Link agregace

Agregace - základ

int lag 1 multi-chassis vytvoreni agregace

no routing vypnuti routing

no shutdown zapnuti portu

lacp mode active zapnuti LACP protokolu

exit

int 1/1/1-2

no shutdown zapnuti portu

lag 1 prirazeni do agregace

vsx-sync vlans na primary pouze, řeší nám automatické přidání vlan na druhý switch

exit

vlan 10

vsx-sync toto pouze na primary, vlan se definuje na obou prepinacich, ale pridani na lag pak staci na jednom a je synchronizovano

int vlan 10

ip add ....

int lag 1

vlan trunk allowed 10

Druhý switch podobně

Test rozpojení

int lag 1

shutdown

show int 1/1/2 lag interface k dalsim switchum. Nyni bude secondary ukazovat "disabled by feature"

Může se hodit

Debug

debug {all | <MODULE-NAME>}

debug destination {syslog | file | console | buffer}  Do konzole mi v n2kter0 verzi nejde

show debug buffer [module <MODULE-NAME>]

802.1x a MAC ověřování

Ukázka konfigurace
clock timezone europe/prague
ntp server 192.168.199.254 iburst
ntp enable

aaa authentication limit-login-attempts 3 lockout-time 5

radius-server host 192.168.199.250 key ciphertext xxxxxx
radius-server host 192.168.199.251 key ciphertext xxxxxxx
aaa authentication allow-fail-through

aaa accounting port-access start-stop interim 10

radius dyn-authorization enable

radius dyn-authorization client 192.168.199.250 secret-key ciphertext xxxxx
radius dyn-authorization client 192.168.199.251 secret-key ciphertext xxxxx

vlan 11
name guest
vlan 199
name management
vlan 202
name klienti202
vlan 203
name klienti203
vlan 666
name critical

port-access role moje_critical_role
vlan access 666

aaa authentication port-access dot1x authenticator
enable
aaa authentication port-access mac-auth
enable

interface 1/1/1
no shutdown
vlan access 11
spanning-tree bpdu-guard
spanning-tree port-type admin-edge
aaa authentication port-access allow-lldp-bpdu
aaa authentication port-access client-limit 3
aaa authentication port-access critical-role moje_critical_role
aaa authentication port-access dot1x authenticator
enable
aaa authentication port-access mac-auth
enable

interface vlan 199
ip address 192.168.199.1/24
ip route 0.0.0.0/0 192.168.199.254

ip source-interface radius interface vlan199

Firmware 10.12 má volbu "port-access onboarding-method concurrent enable", ta umožní aby ověřování 802.1x i MAC proběhlo zároveň. Výchozí preference na portu je 802.1, potom mac. Když zařízení nezačne 802.1x, tak se na MAC ověření nikdy nedostane. Buď se tedy mumí nastavit tohle nebo na portu změnit pořadí pomocí "aaa authentication port-access auth-precedence dot1x mac-auth" Statistika radius serveru "show radius-server statistics authentication" Stav na portu "show aaa authentication port-access interface 1/1/5 client-status"

Jumbo