Kostax.cz - HP Comware

Úvod
Úvod do CLI

Zadávání příkazů, klávesové zkratky, ...
[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]speed ?

10    Specify speed as 10 Mbps

100   Specify speed as 100 Mbps

1000 Specify speed as 1000 Mbps

auto Enable port's speed negotiation automatically

[H3C]info-center synchronous

[5500-EI]dis arp | include 192.168.222.163

            Type: S-Static   D-Dynamic

IP Address       MAC Address     VLAN ID Port Name / AL ID      Aging     Type

192.168.222.163 00e0-bb28-c24b 1        Aggregation Link 1     11        D

Příkazy není nutné vypisovat celé, např. místo display current-configuration stačí zkráceně dis cur.

Pokud nevíte přesný název příkazu, napište jen první znaky a mačkejte tabulátor. Switch bude postupně vypisovat všechny příkazy začínající zadanými znaky. Druhou možností je napsat opět několik znaků a pak ?, switch vypíše všechny možnosti, které odpovídají zadaným znakům. Když zadáte pouze otazník, switch vypíše všechny příkazy daného view nebo parametry příkazu.

Backspace - může být někdy problém, záleží na použitém terminálu. Vždy ale bude fungovat kombinace kláves CTRL + h

Šipkami nahoru a dolů je možné prohlížet poslední zadané příkazy. V případě problému s terminálem je možné místo šipek použít ctrl + p (previous) a ctrl + n (next)

Když píšete příkaz a na konzoli se objeví hláška (např. up/down portu), váš rozepsaný příkaz se snadno "ztratí" ve výpisu (i když je stále rozepsaný a je možné jej dokončit,). Je možné vynutit, aby se po vypsání hlášky rozepsaný příkaz zobrazil znovu. Stejné jako je u Cisca logging synchronous

Pokud potřebujeme vyhledat něco v konfiguraci, arp tabulce apod. je možné za příkazem přidat znak | a hledací kritérium. Např. pro vyhledání jedné IP adresy v ARP tabulce. Máme možnosti:
include - zobrazí řádky, které obsahují výraz
exclude - zobrazí řádky, které neobsahují výraz
begin - zobrazí řádky začínající výrazem

Režimy User a system view, display this

Režimy, výpisy
[h3c]system-view
System View: return to User View with Ctrl+Z.
[H3C]return

sys
System View: return to User View with Ctrl+Z.
[H3C]int vlan 1
[H3C-Vlan-interface1]quit
[H3C]quit

[H3C-GigabitEthernet1/0/1]dis this
#
interface GigabitEthernet1/0/1
description s4net mikrotik
stp edged-port enable

Při práci se switchem se přepínáte mezi různými view. Každé nabízí rozdílné konfigurační možnosti a přiakazy. Po přihlášení se dostanete do USER VIEW. Poznáte to podle promptu - špičaté závorky.

Pro SYSTEM VIEW, kde se provádí většina konfigurace, použijte přikaz sys. Pro návrat zpět do USER VIEW použijte klávesovou zkratku ctrl + z nebo příkaz return.

Příkazem quit je možné se vrátit vždy o jednu úroveň

Velmi užitečný může být příkaz display this, který vypíše pouze aktuální view, pokud jsme např. v nějakém interface, vypíše pouze informace o něm

Pokud víte, co přesně chcete zobrazit, lze použít např. i display current int gigabit 1/0/1

Klávesové zkratky

Kláveosové zkratky, vlastní zkratky

[H3C]hotkey CTRL_O display interface gigabitethernet 1/0/1

[H3C]display hotkey
----------------- HOTKEY -----------------

 =Defined hotkeys=
Hotkeys Command
CTRL_G display current-configuration
CTRL_L display ip routing-table
CTRL_O dis int gi 1/0/1

 =Undefined hotkeys=
Hotkeys Command
CTRL_T NULL
CTRL_U NULL

 =System hotkeys=
Hotkeys Function
CTRL_A Move the cursor to the beginning of the current line.
CTRL_B Move the cursor one character left.
CTRL_C Stop current command function.
CTRL_D Erase current character.
CTRL_E Move the cursor to the end of the current line.
CTRL_F Move the cursor one character right.
CTRL_H Erase the character left of the cursor.
CTRL_K Kill outgoing connection.
CTRL_N Display the next command from the history buffer.
CTRL_P Display the previous command from the history buffer.
CTRL_R Redisplay the current line.
CTRL_V Paste text from the clipboard.
CTRL_W Delete the word left of the cursor.
CTRL_X Delete all characters up to the cursor.
CTRL_Y Delete all characters after the cursor.
CTRL_Z Return to the User View.
CTRL_] Kill incoming connection or redirect connection.
ESC_B Move the cursor one word back.
ESC_D Delete remainder of word.
ESC_F Move the cursor forward one word.
ESC_N Move the cursor down a line.
ESC_P Move the cursor up a line.
ESC_< Specify the beginning of clipboard.
ESC_> Specify the end of clipboard.

? + hotkey CTRL_O dis int gi 1/0/1
Pro usnadnění práce je možné používat a nastavit hotkeys. Nastavení hotkey ctrl + o na výpis stavu interface gig 1/0/1

Vypíše seznam všech (systémových i námi nastavených). Některé jsou přednastavené a nejdou změnit, jiné si můžete změnit ať již nějaký příkaz mají (ctrl + G, L, O) nebo nemaji (ctrl + T, U).

Základní konfigurace switche

Pojmenování/sysname
[H3C]sysname nove_jmeno 
[nove_jmeno]
Debug a monitor v terminálu
terminal monitor

terminal debugging

debugging arp status

undo debugging all

Info hlášky do aktuální konzole

Zapnutí debug

Vybrání jedné kategorie, co chceme debugovat

Vypnutí všech debugging kategorií
Bannery
[H3C]header incoming
Please input banner content, and quit with the character '%'.
Incoming text 1
%

[H3C]header shell
Please input banner content, and quit with the character '%'.
text 5
%

[H3C]header legal
Please input banner content, and quit with the character '%'.
text 4
%

[H3C]header motd
Please input banner content, and quit with the character '%'.
text 5
%

[H3C]header login
Please input banner content, and quit with the character '%'.
text 5
%

[H3C]header shell x ja jsem nejaky banner x

Nastaví banner pro uživatele hlásící se přes modem

Nastaví banner po přihlášení (vstup do user-view)

Zobrazí tuto hlášku před přihlášením a je nutné potvrdit Y/N

Nastaví message of the day banner před loginem

Banner zobrazený před loginem

Bannery lze zadávat i jako jeden příkaz a rovnou ukončit zadávání
Logování do syslogu
[H3C] info-center loghost source Vlan-interface1
[H3C] info-center loghost 192.168.222.1

Pokud má switch více IP adres, můžeme nastavit, z které se budou zprávy odesílat
Nastavíme, kam se budou zprávy odesílat (dále si je možné nastavit třeba facility, ale pro tento příklad to není nutné).

v /etc/syslogd.conf přidat: (192.168.222.10 je switch)
+192.168.222.10
*.* /var/log/pokus_switch.log

v /etc/rc.conf přidat IP adresu switche (:* je důležitá, FreeBSD syslog hlídá i zdrojový port):
syslogd_flags="-a 192.168.222.10:*"

Založit logový soubor:
touch /var/log/pokus_switch.log

A vyrestartovat syslog:
root@gate ~ # /etc/rc.d/syslogd restart
Starting syslogd.

V logu pak bude:

May 23 11:58:03 192.168.222.10 2000 H3C %%10SHELL/4/LOGOUT(t): -DevIP=192.168.222.10; Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.2:admin logout from VTY
May 23 11:58:03 192.168.222.10 2000 H3C %%10SHELL/6/SHELL_CMD(l): -DevIP=192.168.222.10-Task=vt0-IPAddr=192.168.222.52-User=admin; Command is quit
May 23 11:58:03 192.168.222.10 2000 H3C %%10SHELL/5/SHELL_LOGOUT(l): -DevIP=192.168.222.10; admin logged out from 192.168.222.52.
Plánované úlohy
[hp1920] job shutdown_port
[hp1920-job-shutdown_port]view GigabitEthernet1/0/3
[hp1920-job-shutdown_port]time 1 repeating at 14:20 command shutdown
[hp1920-job-shutdown_port]quit

[hp1920]display job
Job name: shutdown_port
Specified view: GigabitEthernet1/0/3
Time 1: Execute command shutdown at 14:20 every day

[hp1920] undo job shutdown_port

I levný switch 1920 umí naplávovat úlohu, ukážeme si vypnutí portu ve stanovený čas. V jobu se dá nastavit jednorázévá akce, opakování i pozdžení. Příkazů může být více, jejich priorita se udává číslem za time (může jich být až 10). Příkaz při zadání není kontrolován, je to jen na vás.

Výpis jobů

Zrušení jobu

IP, DNS, statické routování

IP - nastavení, výpis
[H3C]interface vlan 1
[H3C-Vlan-interface1]ip address dhcp-alloc
[H3C-Vlan-interface1]ip address 192.168.1.1 255.255.255.0

[H3C]display ip interface brief
*down: administratively down
(s): spoofing
Interface                     Physical Protocol IP Address      Description
Vlan-interface1               up       up       192.168.222.10 Vlan-inte...
Vlan-interface2               up       up       192.168.111.1   Vlan-inte...

[H3C]display ip interface
Vlan-interface1 current state :UP
Line protocol current state :UP
Internet Address is 192.168.222.10/24 Primary
Broadcast address : 192.168.222.255
The Maximum Transmit Unit : 1500 bytes
input packets : 225020, bytes : 21858291, multicasts : 0
output packets : 217154, bytes : 25135359, multicasts : 0
ARP packet input number:    50388947
Request packet:           50019487
Reply packet:               369460
Unknown packet:                  0
TTL invalid packet number:         0
ICMP packet input number:      58155
Echo reply:                      0
Unreachable:                     1
Source quench:                   0
Routing redirect:                0
Echo request:                58152
Router advert:                   0
Router solicit:                  0
Time exceed:                     0
IP header bad:                   0
Timestamp request:               0
Timestamp reply:                 0
Information request:             0
Information reply:               0
Netmask request:                 0
Netmask reply:                   0
Unknown type:                    2

Nastavení IP adresy na VLAN 1
adresa z DHCP serveru
adresa statická

Výpis všech IP switche

Pokud vynecháte slovo brief, získáte kompletní výpis včetně statistik, je možné vypsat třeba jen jeden interface pomoci display ip interface vlan 3

DNS - nastavení, testy

[HP1920_24p_sklep] dns domain firma.cz
[HP1920_24p_sklep] dns resolve
[HP1920_24p_sklep] dns server 8.8.8.8
[HP1920_24p_sklep] dns server 8.8.4.4

[HP1920_24p_sklep] ping www.seznam.cz
 Trying DNS resolve, press CTRL_C to break 
 Trying DNS server (192.168.11.250) 
  PING www.seznam.cz (77.75.78.3):
  56  data bytes, press CTRL_C to break
    Reply from 77.75.78.3: bytes=56 Sequence=1 ttl=249 time=8 ms
    Reply from 77.75.78.3: bytes=56 Sequence=2 ttl=249 time=6 ms
  ....

[HP1920_24p_sklep] dis dns host
No.  Host                       TTL  Type  Reply Data
1    www.seznam.cz              92   IP    77.75.78.3

 reset dns host

Nastavní výchozí domény
zapnutí resolvování
nastavení serveru/ů

Test

Výpis lokální cache

Vyčištění cache

Policy based routing
acl basic 2000

rule 5 permit source 192.168.0.0 0.0.0.255

policy-based-route muj_routing permit node 10

if-match acl 2000

apply next-hop 192.168.2.2

vlan 200

ip policy-based-route muj_routing

Routování podle zdrojové IP adresy

Tady je mozna int vlan 200, ted z hlavy nevim
Statické routování
[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.222.1
[H3C]ip route-static 0.0.0.0 0 192.168.222.1
[H3C]ip route-static 192.168.5.0 24 Vlan-interface 3
[H3C]ip route-static default-preference 20

[H3C]dis ip routing-table
Routing Tables: Public
    Destinations : 7    Routes : 7

Destination/Mask    Proto Pre Cost         NextHop         Interface

0.0.0.0/0           Static 60   0            192.168.222.1   Vlan1
127.0.0.0/8         Direct 0    0            127.0.0.1       InLoop0
127.0.0.1/32        Direct 0    0            127.0.0.1       InLoop0
192.168.111.0/24    Direct 0    0            192.168.111.1   Vlan2
192.168.111.1/32    Direct 0    0            127.0.0.1       InLoop0
192.168.222.0/24    Direct 0    0            192.168.222.10 Vlan1
192.168.222.10/32   Direct 0    0            127.0.0.1       InLoop0

Nastavení výchozí brány
U novějších firmwarů je možné psát zkráceně
Routování do interface
Změna preference routy

Výpis routovací tabulky

Služby

Konfigurace a omezení služeb
[H3C]ip https acl_číslo
[H3C]ip https certificate
[H3C]ip https port

Přístup definovaný pomocí ACL, ve výchozím stavu neomezený. Certifikát port
Služby www, ftp, ...
[H3C]ip https enable
Info: HTTP server has been started!

[H3C]ftp server enable

[H3C]telnet server enable

[H3C]undo telnet server enable

Zapnutí www managementu. U některých HP switchů je zapnuté ve výchozím stavu, u H3C ne.

Zapnutí ftp serveru. Je nutné nastavit i uživatele. Bližší informace v odkazovaném článku

Zapnutí telnet serveru, pro uživatele platí podobná pravidla jako výše pro FTP
Vypnutí telnet serveru

DHCP

DHCP server
vlan 20
name branchvlan

dhcp server ip-pool branchvlan extended
network ip range 10.1.1.31 10.1.1.130
network mask 255.255.255.0
gateway-list 10.1.1.254
dns-list 10.2.2.10 10.2.2.11
domain-name domain.local
expired day 8

option 43 ip-address 10.3.3.20 10.3.3.21

interface Vlan-interface20
ip address 10.1.1.1 255.255.255.0
dhcp server apply ip-pool branchvlan
DHCP relay
[switch] dhcp enable

[switch] int vla 1

[switch] ip add 192.168.1.2 24

[switch] vlan 203

[switch] int vla 203

[switch-vlan-interface203] ip add 192.168.203.1 24

[switch-vlan-interface203] dhcp select relay

[switch-vlan-interface203] dhcp relay server-address 192.168.1.1

[switch] dis dhcp relay statistics

Comware 7, ale asi stejne i na 5

ve vlan 1 je dhcp server 192.168.1.1 a ma nastaveny obor pro vlan 203

Flash, práce se soubory

Správa flash paměti
<5500-EI>dir
Directory of unit3>flash:/

 1 -rw- 194937 Jun 11 2014 13:14:21 s4e04_06.btm
 3 -rw- 7325 Aug 25 2006 12:00:00 3comoscfg.def
 5 -rw- 4606710 Apr 02 2000 00:58:21 s4m03_03_02s56ep05.app
 7 (*) -rw- 4699542 Jun 11 2014 13:21:30 s4m03_03_02s168ep22.app

15367 KB total (3922 KB free)

(*) -with main attribute (b) -with backup attribute
(*b) -with both main and backup attribute

<5500-EI>delete s4m03_03_02s56ep05.app
Delete unit3>flash:/s4m03_03_02s56ep05.app?[Y/N]:y
.
%Delete file unit3>flash:/s4m03_03_02s56ep05.app...Done.

<5500-EI>undelete unit3>flash:/s4h04_04.web
Undelete unit3>flash:/s4h04_04.web?[Y/N]:y
...
%Undeleted file unit3>flash:/s4h04_04.web.

<5500-EI>reset recycle-bin
Clear flash:/s4m03_03_02s56ep05.app ?[Y/N]:y
Clearing files from flash may take a long time. Please wait...
..........................................................
%Cleared file unit3>flash:/~/s4m03_03_02s56ep05.app.

<5500-EI>delete /unreserved s4m03_03_02s56ep05.app
The contents cannot be restored!!! Delete unit3>flash:/s4m03_03_02s56ep05.app?[Y/N]:y
Deleting a file permanently will take a long time. Please wait...
............................................................
%Delete file unit3>flash:/s4m03_03_02s56ep05.app...Done.

<5500-EI>copy 3comoscfg.cfg zaloha.cfg
Copy unit3>flash:/3comoscfg.cfg to unit3>flash:/zaloha.cfg?[Y/N]:y
....
%Copy file unit3>flash:/3comoscfg.cfg to unit3>flash:/zaloha.cfg...Done.

<5500-EI>copy unit1>flash:/3comoscfg.cfg unit2>flash:/zaloha.cfg
Copy unit1>flash:/3comoscfg.cfg to unit2>flash:/zaloha.cfg?[Y/N]:y
./
%Copy file unit1>flash:/3comoscfg.cfg to unit2>flash:/zaloha.cfg...Done.

Výpis flash:

Rychlé mazání. V tomto případě se maže pouze do koše a místo na flash se neuvolní.

Obnova z koše. Pokud nevíte název, pomocí otazníku se doptejte.

Smazání koše:

Mazání bez koše:

Kopírování souboru v rámci jednoho switche:

Kopírování mezi switchi ve stohu

Konfigurační soubory

Konfigurace - uložení, výpis, smazání

<5500-EI>display current-configuration
#
sysname 5500-EI
#
undo password-control aging enable
undo password-control length enable

<5500-EI>display startup
UNIT1:
Current Startup saved-configuration file: flash:/3comoscfg.cfg
Next main startup saved-configuration file: flash:/3comoscfg.cfg
Next backup startup saved-configuration file: flash:/3comoscfg.cfg
Bootrom-access enable state: enabled

<5500-EI>save
The configuration will be written to the device.
Are you sure?[Y/N]y
Please input the file name(*.cfg)(To leave the existing filename
unchanged press the enter key):
Now saving current configuration to the device.
Saving configuration. Please wait...
................
Unit1 save configuration flash:/3comoscfg.cfg successfully
Unit2 save configuration flash:/3comoscfg.cfg successfully

<5500-EI>save unit2>flash:/pokus2.cfg
The current configuration will be saved to unit2>flash:/pokus2.cfg [Y/N]:y
Now saving current configuration to the device.
Saving configuration. Please wait...
|
Unit2 save configuration unit2>flash:/pokus2.cfg successfully

reset saved-configuration
The saved configuration file will be erased. Are you sure? [Y/N]:y
Configuration file in flash is being cleared.
Please wait ...
Configuration file does not exist!

<5500-EI>startup saved-configuration unit2>flash:/3comoscfg.cfg
Please wait..............Done!

Tento popis rozhodně neobsahuje všechny možnosti - konfiguraci je samozřejmě možné downloadovat a uploadovat přes FTP, TFTP.
Některé switche mohou mít main (primary) a backup (secondary) kofigurační soubory případně bootloader. Pokud vynecháte slovíčko main/backup, bude se jednat o main. Tato funkcionalita umožňuje start switche např. při poškození main konfiguračního souboru.

Vypíše aktuální kofiguraci

Vypíše používané konfigurační soubory

Uloží aktuální kofiguraci do cfg souboru (main)

Uloží aktuální konfiguraci na námi zvolenou flash paměť (switch ve stohu)

Smazání uložené konfigurace. Druhá metoda je pomocí příkazu delete odmazat postupně všechny cfg soubory.

Nastaví konfigurační soubor jako výchozí pro příští start switche

SNMP monitoring

Monitorování CPU. paměť, IRF, ...
Vytizeni CPU a pameti - pro nektere comware switche switche jde snadneji: 
CPU v % 
root@kaktus ~ # snmpwalk  -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.8.35.18.1.3 
SNMPv2-SMI::enterprises.25506.8.35.18.1.3.0 = INTEGER: 17 
 
Pamet v bajtech a pak v procentech 
SNMPv2-SMI::enterprises.25506.8.35.18.1.14.0 = Gauge32: 72949200 
SNMPv2-SMI::enterprises.25506.8.35.18.1.15.0 = Gauge32: 43946864 
SNMPv2-SMI::enterprises.25506.8.35.18.1.16.0 = Gauge32: 60 
 
 
U nekterych switchu je to slozitejsi a musim nejprve najit, jaka soucast je CPU. Proto si vypiseme vse a najdem CPU. 
To je oznacene jako CPU nebo Board: 
 
snmpwalk -Of -v1 -c public 192.168.222.10 1.3.6.1.2.1.47.1.1.1.1.7 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.1 = STRING: "Stack" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.2 = STRING: "S5120-EI" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.6 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.7 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.8 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.9 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.10 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.11 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.30 = STRING: "Board" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.31 = STRING: "PowerSupply" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.33 = STRING: "Fan1" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.34 = STRING: "Sensor1" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.54 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.55 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.56 = "" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.66 = STRING: "SubCard0" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.78 = STRING: "GigabitEthernet1/0/1" 
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.79 = STRING: "GigabitEthernet1/0/2" 
 
Zajima me Board, id=30, pak dotaz s 30 a mam CPU utilizaci 
 
root@kaktus ~ # snmpwalk  -v1 -c public 192.168.222.10 1.3.6.1.4.1.25506.2.6.1.1.1.1.6.30 
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.6.30 = INTEGER: 17 
 
 
Celkova velikost pameti 
root@kaktus ~ # snmpwalk  -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.10.30 
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.10.30 = INTEGER: 72949200 
 
vyuziti pameti v % 
root@kaktus ~ # snmpwalk  -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.8.30 
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.8.30 = INTEGER: 59 
 
 
Nejake drobnosti: 
 
Teplota switche 
root@kaktus ~ # snmpwalk  -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.12.30 
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.12.30 = INTEGER: 41 
 
 
Celkovy pocet nejakych dropu, jde i pres snmp 
.1.3.6.1.2.1.17.1.4.1.4.15 = Counter32: 11235 
 
IRF 
zmena stavu IRF portu 
.1.3.6.1.4.1.25506.2.91.6.0.1 
Zmena IRF topologie 
.1.3.6.1.4.1.25506.2.91.6.0.2 
 

Vytizeni CPU a pameti - pro nektere comware switche switche jde snadneji:
CPU v %
root@kaktus ~ # snmpwalk -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.8.35.18.1.3
SNMPv2-SMI::enterprises.25506.8.35.18.1.3.0 = INTEGER: 17

Pamet v bajtech a pak v procentech
SNMPv2-SMI::enterprises.25506.8.35.18.1.14.0 = Gauge32: 72949200
SNMPv2-SMI::enterprises.25506.8.35.18.1.15.0 = Gauge32: 43946864
SNMPv2-SMI::enterprises.25506.8.35.18.1.16.0 = Gauge32: 60

U nekterych switchu je to slozitejsi a musim nejprve najit, jaka soucast je CPU. Proto si vypiseme vse a najdem CPU.
To je oznacene jako CPU nebo Board:

snmpwalk -Of -v1 -c public 192.168.222.10 1.3.6.1.2.1.47.1.1.1.1.7
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.1 = STRING: "Stack"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.2 = STRING: "S5120-EI"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.6 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.7 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.8 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.9 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.10 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.11 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.30 = STRING: "Board"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.31 = STRING: "PowerSupply"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.33 = STRING: "Fan1"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.34 = STRING: "Sensor1"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.54 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.55 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.56 = ""
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.66 = STRING: "SubCard0"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.78 = STRING: "GigabitEthernet1/0/1"
.iso.org.dod.internet.mgmt.mib-2.47.1.1.1.1.7.79 = STRING: "GigabitEthernet1/0/2"

Zajima me Board, id=30, pak dotaz s 30 a mam CPU utilizaci

root@kaktus ~ # snmpwalk -v1 -c public 192.168.222.10 1.3.6.1.4.1.25506.2.6.1.1.1.1.6.30
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.6.30 = INTEGER: 17

Celkova velikost pameti
root@kaktus ~ # snmpwalk -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.10.30
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.10.30 = INTEGER: 72949200

vyuziti pameti v %
root@kaktus ~ # snmpwalk -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.8.30
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.8.30 = INTEGER: 59

Nejake drobnosti:

Teplota switche
root@kaktus ~ # snmpwalk -v1 -c public 192.168.222.10 .1.3.6.1.4.1.25506.2.6.1.1.1.1.12.30
SNMPv2-SMI::enterprises.25506.2.6.1.1.1.1.12.30 = INTEGER: 41

Celkovy pocet nejakych dropu, jde i pres snmp
.1.3.6.1.2.1.17.1.4.1.4.15 = Counter32: 11235

IRF
zmena stavu IRF portu
.1.3.6.1.4.1.25506.2.91.6.0.1
Zmena IRF topologie
.1.3.6.1.4.1.25506.2.91.6.0.2
Nastavení SNMP
 snmp-agent 
snmp-agent community read nazev_komunity 
snmp-agent sys-info version all 


Zapnutí snmp a nastavení komunity, povolení vševh verzí snmp

Práce s časem

NTP čas

[4210]ntp-service unicast-server 192.168.1.254
%Mar 3 22:26:54:011 2003 4210 NTP/5/NTP_LOG:- 1 -
NTP service enable

[4210]ntp-service source-interface Vlan-interface 1

[4210]dis ntp-service status
Clock status: synchronized
Clock stratum: 4
Reference clock ID: 192.168.1.254
Nominal frequency: 100.0000 Hz
Actual frequency: 100.0000 Hz
Clock precision: 2^18
Clock offset: 0.0000 ms
Root delay: 33.84 ms
Root dispersion: 0.80 ms
Peer dispersion: 72.19 ms
Reference time: 12:58:56.500 UTC Mar 13 2015(D8AD5D90.802C5E2C)

[4210]dis ntp-service sessions
       source          reference       stra reach poll now offset delay disper
********************************************************************************
[12345]192.168.1.254   147.251.48.140     3     3   64   30    0.0   10.6    0.5
    [5]192.168.1.1     0.0.0.0           16     0   64    -    0.0    0.0    0.0
note: 1 source(master),2 source(peer),3 selected,4 candidate,5 configured
Total associations : 2

Vše se prování v system-view, narozdíl od lokálního času!

Nastavení NTP serveru. Je možné mít více NTP serverů

Můžeme určit adresu (vlan interfacu), která se k dotazování použije, pokud jich máme víc.

Stav NTP
Nesynchronizovaný čas

<4210>clock datetime 22:22:22 03/03/2003

<4210>clock timezone plus1 add 01:00:00

<4210>clock summer-time letni repeating 03:00:00 03/29/2015 02:00:00 10/25/2015 01:00:00

<4210>dis clock
22:22:25 plus1 Mon 03/03/2003
Time Zone : plus1 add 01:00:00

U některých switchů se nastavuje v user-view!
Nastavení času a data

Nastavení časové zóny

Nastavení letního času

Výpis aktuálního
Časová zóna a letního času
[HP1920_24p_sklep] clock timezone z_plus_1 add 1

[HP1920_24p_sklep] dis clock
12:54:13 z_plus_1 Fri 09/18/2015
Time Zone : z_plus_1 add 01:00:00

<5500-opticka-pater>clock summer-time cz one-off 03:00:00 03/27/2016 03:00:00 10/30/2016 01:00:00

<5500-opticka-pater>dis clock
09:53:03 cz Fri 06/17/2016
Time Zone : z_plus_1 add 01:00:00
Summer-Time : cz one-off 03:00:00 03/27/2016 03:00:00 10/30/2016 01:00:00

Nastavení časové zóny, název je pouze na vás

Výpis času včetně časové zóny

Letní čas (u některých verzí se nastavuje v user view)

Vytížení CPU a paměti

CPU, RAM
<h3c><h3c></h3c><h3c></h3c><H3C>display cpu-usage 
Slot 1 CPU usage: 
      16% in last 5 seconds 
      16% in last 1 minute 
      17% in last 5 minutes 
 
 
<h3c><h3c></h3c><h3c></h3c><H3C>display memory 
System Total Memory(bytes): 72949200 
Total Used Memory(bytes): 44102676 
Used Rate: 60% 
 </h3c></h3c>

<h3c><h3c></h3c><H3C>display cpu-usage history 
100%| 
 95%| 
 90%| 
 85%| 
 80%| 
 75%| 
 70%| 
 65%| 
 60%| 
 55%| 
 50%| 
 45%| 
 40%| 
 35%| 
 30%| 
 25%| 
 20%|############################################################ 
 15%|############################################################ 
 10%|############################################################ 
  5%|############################################################ 
     ------------------------------------------------------------ 
              10        20        30        40        50        60  (minutes) 
                      cpu-usage last 60 minutes(SYSTEM)</h3c>

Uživatelé a autentizace

Druhy autentizace
Autentizace uživatelů může být řešena několika způsoby:
a) vůbec - přístup bez hesla
b) heslem - jedno heslo pro všechny přístupy
c) schema - lokální nebo radius uživatelé

Switch vždy zabezpečte! Pokud by někdo získal přístup na switch, může si např. mirrorovat port a provádět odposlech. Možnost b) a c) mají své výhody a nevýhody, např. b) je jednodušší na nastavení, ale nemáte takovou kontrolu a pro telnet/ssh už je nutné mít uživatele. Možnost c) s radiusem je konfiguračně nejsložitější.

Příkazy samotné spadají do 4 levelů:
0 visitor - např. ping, traceroute
1 monitor - display a debug
2 system - routing, síťové příkazy
3 manager - ftp, tftp, správa uživatelů, ...
Příkaz super
[AA]super password level 1 cipher heslo1
[AA]super password level 2 cipher heslo2
[AA]super password level 3 cipher heslo3

Username:admin2
Password:
<H3C>super 3

nastaví heslo pro level 1
nastaví heslo pro level 2
nastaví heslo pro level 3

Přepnutí na příslušný level
Autentizace heslem, využití příkazu super

[H3C]user-interface vty 0
[H3C-ui-vty0]set authentication password cipher pokus
[H3C-ui-vty0]protocol inbound telnet
[H3C-ui-vty0]quit

[H3C]super password level 3 cipher pokus

Uživatel se bude hlásit přes telenet nebo cli s heslem a pak se pomocí příkazu super může přepnout na manager level. Používejte šifrovaná hesla, plaintext je vidět např. při výpisu celé konfigurace.

Nastavíme na virtuální terminál heslo a povolíme telnet. Stejný postup můžete provést i pro fyzickou konzoli (aux). Je tedy možné mít různá hesla pro různé druhy přístupů.

Nastavíme heslo pro přepnutí na level 3
Autentizace pomocí schéma, zabezpečení vzdál. přístupu i fyzické konzole

[H3C]local-user admin
[H3C-luser-admin]password cipher heslo
[H3C-luser-admin]authorization-attribute level 3
[H3C-luser-admin]service-type ssh telnet terminal
[H3C-luser-admin]service-type ftp

[H3C]user-interface vty 0 4
[H3C]authentication-mode scheme
[H3C]protocol inbound telnet
[H3C]user-interface aux 0
[H3C]uthentication-mode scheme

Osobně používám pouze tento způsob zabezpečení. Level si nese uživatel a není nutné jej nikde jinde nastavovat.

Založení uživatele
heslo je možné uložit i nešifrovaně příkazem password simple heslo, ale nedoporučuji to
nastavení úrovně, 3 má oprávnění pro FTP, TFTP apod.
povolení služeb
ftp se zadává zvláš't

Zabezpečení fyzické konzole a virt. terminálů - v podstatě jen řekneme "použij scheme"

Nakonec je nutné spustit si telnet server (odkaz níže)
Zapnutí SSH, vygenerování klíčů a nastavení uživatele na ssh
[comware] ssh server enable
[comware]public-key local create rsa

[comware] local-user uzivatel
[comware] service type ssh terminal telnet
[comware] password cipher moje_tajne_heslo

[comware] user-interface vty 0 4
[comware] authentification-mode scheme
[comware] protocol inbound ssh

zapnutí ssh serveru
generování klíčů

přepnutí na uživatele
povolení ssh, terminálu a telnetu
vytvoření hesla

přepnutí na terminál
nastavení přihlašování na uživatele a heslo
omezení přihlášení pouze na ssh
Přehled přihlášených uživatelů, jejich vynucené odhlášení
[H3C]display users all
The user application information of all user interfaces:
Idx UI Delay Type Userlevel
0 AUX 0
+ 20 VTY 0 00:00:00 TEL 3
+ 21 VTY 1 00:00:04 TEL 1

Following are more details.
VTY 0 :
 User name: admin
 Location: 192.168.222.52
VTY 1 :
 User name: manager
 Location: 192.168.222.1
+ : User-interface is active.
F : User-interface is active and work in async mode.

<H3C>free user-interface vty 1
Are you sure to free user-interface vty1? [Y/N]:y
[OK]

Je vidět, odkud se uživatel hlásí a jak (TEL = telnet), vidíme u userlevel

A takto odhlásíme uživatele na virtuálním terminálu 1:

Porty

Zapnutí a vypnutí portu
[AA]interface GigabitEthernet 1/0/2
[AA-GigabitEthernet1/0/2]shutdown
[AA-GigabitEthernet1/0/2]undo shutdown

nejprve zvolíme port
vypnutí
zapnutí
Nastavení výchozích hodnot
[AA-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/2
[AA-GigabitEthernet1/0/2]default
This command will restore the default settings. Continue? [Y/N]:y

zvolíme port

potvrdit
Nastavení popisu portu, rychlosti, duplexu
[AA]interface GigabitEthernet 1/0/2
[AA-GigabitEthernet1/0/2]description popis_portu
[AA-GigabitEthernet1/0/2]duplex ?
auto Enable port's duplex negotiation automatically
full Full-duplex
half Half-duplex
[AA-GigabitEthernet1/0/2]duplex full
[AA-GigabitEthernet1/0/2]speed ?
10 Specify speed as 10 Mbps
100 Specify speed as 100 Mbps
1000 Specify speed as 1000 Mbps
auto Enable port's speed negotiation automatically

Zvolit port
Každý port může mít vlastní popisek
Možnosti duplex

Nastavení full duplex
Možnosti rychlostí portu
Zobrazení informací o portu
[H3C]display interface GigabitEthernet 1/0/10
GigabitEthernet1/0/10 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 3822-d65f-7289
Description: GigabitEthernet1/0/10 Interface
Loopback is not set
Media type is twisted pair
Port hardware type is 1000_BASE_T
100Mbps-speed mode, full-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation
Flow-control is not enabled
The Maximum Frame Length is 9216
Broadcast MAX-ratio: 100%
Unicast MAX-ratio: 100%
Multicast MAX-ratio: 100%
Allow jumbo frame to pass
PVID: 1
Mdi type: auto
Link delay is 0(sec)
Port link-type: access
Tagged   VLAN ID : none
Untagged VLAN ID : 1
Port priority: 0
Peak value of input: 3172540 bytes/sec, at 2000-09-20 12:39:54
Peak value of output: 79862 bytes/sec, at 2000-07-29 09:38:52
Last 300 seconds input: 658 packets/sec 965985 bytes/sec 8%
Last 300 seconds output: 342 packets/sec 22299 bytes/sec 0%
Input (total): 4084047861 packets, 6033150048737 bytes
    4079897891 unicasts, 4149963 broadcasts, 6 multicasts, 0 pauses
Input (normal): 4084047860 packets, - bytes
    4079897891 unicasts, 4149963 broadcasts, 6 multicasts, 0 pauses
Input: 1 input errors, 0 runts, 0 giants, 0 throttles
    0 CRC, 0 frame, - overruns, 1 aborts
    - ignored, - parity errors
Output (total): 2077764186 packets, 136405239679 bytes
    1997662989 unicasts, 48216739 broadcasts, 31884458 multicasts, 0 pauses
Output (normal): 2077764186 packets, - bytes
    1997662989 unicasts, 48216739 broadcasts, 31884458 multicasts, 0 pauses
Output: 0 output errors, - underruns, - buffer failures
    0 aborts, 0 deferred, 0 collisions, 0 late collisions
    0 lost carrier, - no carrier

Dostupné informace o portu včetně počtu paketů a chyb
Vypis informaci o všech portech
[H3C]display interface GigabitEthernet brief
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Speed or Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface            Link Speed   Duplex Type PVID Description
GE1/0/1              UP   1G(a)   F(a)   A    1    mikrotik
GE1/0/2              DOWN auto    A      A    1
GE1/0/3              DOWN auto    A      A    1
GE1/0/4              UP   1G(a)   F(a)   A    1
GE1/0/5              DOWN auto    A      A    1
GE1/0/6              DOWN auto    A      A    1
GE1/0/7              UP   1G(a)   F(a)   A    1
GE1/0/8              DOWN auto    A      A    1
GE1/0/9              UP   100M(a) F(a)   A    1
GE1/0/10             UP   100M(a) F(a)   A    1
GE1/0/11             UP   1G(a)   F(a)   T    1    wifi AP 1 patro
GE1/0/12             UP   100M(a) F(a)   A    1
GE1/0/13             DOWN auto    A      A    1
GE1/0/14             UP   1G(a)   F(a)   T    1
GE1/0/15             UP   1G(a)   F(a)   A    1    backup
GE1/0/16             DOWN auto    A      A    1

Je vidět rychlost, duplex, stav portu, VLAN PVID a popisek
Konfigurace více portů najednou
[5120_48p_serverovna]interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/5
[5120_48p_serverovna-if-range]undo shutdown
Interface GigabitEthernet1/0/1 is not shut down
Interface GigabitEthernet1/0/2 is not shut down
Interface GigabitEthernet1/0/3 is not shut down
Interface GigabitEthernet1/0/4 is not shut down
Interface GigabitEthernet1/0/5 is not shut down

[H3C]port-group manual 1
[H3C-port-group-manual-1]group-member GigabitEthernet 1/0/5 to GigabitEthernet 1/0/10
[H3C-port-group-manual-1]undo shutdown

Pokud chceme konfigurovat stejně více portů najednou, slouží k tomu příkaz interface range
příkaz se provede na všech portech v dané skupině

U starších switchů funguje obdoba pomocí port-group

A u úplně starých switchů nefunguje ani to, nejsnažší cesta potom asi je si část týkající se konfigurace portu nakopírovat v textovém editoru, rozkopírovat si ji dle počtu portů, upravit čísla portu a pak vložit zpět
MIrroring portů - lokální
[5500-EI]int eth 3/0/2
[5500-EI]stp disable
[5500-EI]monitor-port
[5500-EI]int eth 1/0/2
[5500-EI]mirroring-port both

[5500-EI]mirroring-group 1 local
[5500-EI]mirroring-group 1 mirroring-port Ethernet 1/0/2 both
[5500-EI]mirroring-group 1 monitor port Ethernet 3/0/1

[5500-EI]mirroring-group 1 mirroring-port eth 1/0/3 to Ethernet 1/0/10

[5500-EI]dis mirroring-group all
mirroring-group 1:
    type: local
    status: active
    mirroring port:
        Ethernet3/0/2 both
    monitor port: Ethernet1/0/2

[5500-EI]undo mirrorring-group 1

Základní mirroring v rámci switche nebo stohu je jednoduchý. Budeme zrcadlit data z portu eth 1/0/2 do portu 3/0/2 (monitor). Na monitor portu je nutné vypnout spannig tree. Můžeme si zvolit, zda budeme zrcadlit jeden směr nebo oba. Na monitor port si připojte wireshark a můžete poslouchat

Starší způsob s mirror-group. Výsledek je stejný jako v prvním ukázce, tam totiž mirroring-group vznikne automaticky.

Snadno můžeme nastavit zrcadlení více portů najednou:

Výpis mirroru:

Jeho zrušení:
Monitoring na IRF
traffic classifier mirror-class operator and
if-match acl 2000
#
traffic behavior mirror-behavior
mirror-to interface gi 1/0/1
#
qos policy mirror-policy
classifier mirror-class behavior mirror-behavior
#
interface range gi 1/0/2 to gi 1/0/48
qos apply policy mirror-policy inbound
qos apply policy mirror-policy outbound
#
acl number 2000
rule 10 permit source 192.168.0.0 0.0.255.255
rule 20 permit source 172.16.0.0 0.0.255.255
rule 30 deny

nebo proste
acl number 2000
rule 10 permit

qos vlan-policy QOS_MIR vlan 1 11 100 101 103 104 105 106 inbound
qos vlan-policy QOS_MIR vlan 1 11 100 101 103 104 105 106 outbound

Pokud je IRF, nejde udelat mirror vlan (zadny virtual interface). Jsou dve cesty:

- mirror kazdeho portu v te vlane

- pomoci QOS

gi 1/0/1 je port, kam je vse posilano, monitorovat budeme porty 2-48. Monitorovane bude vsechny IP site 192.168/16 a 172.16/16 a nezalezi na vlan

Dalsi moznosti je mirror primo na urovni vlan. Pozor, lze zadat pouze 8 vlan, dalsi se musi na samostatnem radku
Izolace portů
[port-isolate ena]int gi 1/0/13
[port-isolate ena-GigabitEthernet1/0/13]port-isolate ena
[port-isolate ena-GigabitEthernet1/0/13]int gi 1/0/22
[port-isolate ena-GigabitEthernet1/0/22]port-isolate ena
[port-isolate ena-GigabitEthernet1/0/22]quit

[port-isolate ena]dis port-isolate group
Port-isolate group information:
Uplink port support: NO
Group ID: 1
Group members:
GigabitEthernet1/0/13 GigabitEthernet1/0/22

[port-isolate ena]int gi 1/0/13
[port-isolate ena-GigabitEthernet1/0/13]undo port-isolate enable

Může nastat situace, kdy máme porty v jedné VLAN, ale nechceme, aby na sebe na L2 viděly. K tomu slouží port isolation. U levnějsích HP switchů (např. 1910) je pouze jedna skupina, která vzniká automaticky (to si ukážeme), jiných si můžeme definovat více skupin. Na portu gig 1/0/1 je gateway. Na portech 1/0/13 a 1/0/22 jsou zařízení, která mohou komunikovat s gateway, ale ne mezi sebou. Nastavení izolace je jednoduché.

Teď můžete otestovat ping mezi zařízeními na portech 13 a 22. Ping by neměl projjít, ale zařízení se přes gateway dostanou na internet.

Výpis izolace.

Vypnutí izolace na portu
Informace o SFP
<5500-EI>dis transceiver interface
GigabitEthernet1/0/25 transceiver information:
Transceiver Type : 1000_BASE_T_AN_SFP
Connector Type : RJ45
Wavelength(nm) : UNKNOWN
Transfer Distance(m) : 100(TP)
Digital Diagnostic Monitoring : NO
Vendor Name : FINISAR CORP.
Ordering Name : N/A

GigabitEthernet1/0/26 transceiver information:
Error: The transceiver is absent.

GigabitEthernet1/0/27 transceiver information:
Transceiver Type : 1000_BASE_SX_SFP
Connector Type : LC
Wavelength(nm) : 850
Transfer Distance(m) : 300(50um),150(62.5um)
Digital Diagnostic Monitoring : NO
Vendor Name : OEM
Ordering Name : N/A

GigabitEthernet1/0/28 transceiver information:
Transceiver Type : 1000_BASE_SX_SFP
Connector Type : LC
Wavelength(nm) : 850
Transfer Distance(m) : 550(50um),270(62.5um)
Digital Diagnostic Monitoring : NO
Vendor Name : OEM
Ordering Name : N/A

<SYS>dis transceiver manuinfo

Je možné si zjistit detailnější informace o SFP modulech, např. typ vlakna a konektoru.

U některých (většinou originál HP a ne OEM) se ještě můžete dozvědět více

LLDP

Zapnutí LLDP protokolu a základní nastavení
[H3C]lldp enable
[H3C]lldp ?
compliance       Enable compliance with another link layer discovery protocol
enable           Enable capability
fast-count       The fast-start times of transmitting frames
hold-multiplier Hold multiplicator for TTL
timer            Timer of LLDP

Na někteých HP prvcích není LLDP zapnuté. Je možné nastavovat lldp per port, ale nejprve se musí globálně zapnout tímto příkazem. Je možné měnit konfiguraci lldp, ale většinou to není potřeba.
Výpis okolních zařízení - krátký
[H3C]display lldp neighbor-information brief

LLDP neighbor-information of port 18[GigabitEthernet1/0/18]:
Neighbor 1:
ChassisID/subtype: 0012-a98d-d1c0/MAC address
PortID/subtype   : GigabitEthernet2/0/25/Interface name
Capabilities     : Bridge,Router

LLDP neighbor-information of port 14[GigabitEthernet1/0/14]:
Neighbor 1:
ChassisID/subtype: 001b-216d-7620/MAC address
PortID/subtype   : em0/Interface name
Capabilities     : StationOnly

Vidíme lokální i vzdálený port + MAC adresa protistrany
Vypis okolnich zarizeni dlouhy
[H3C]display lldp neighbor-information

LLDP neighbor-information of port 11[GigabitEthernet1/0/11]:
Neighbor index   : 1
Update time      : 77 days,18 hours,45 minutes,48 seconds
Chassis type     : MAC address
Chassis ID       : 2c41-3828-a882
Port ID type     : MAC address
Port ID          : 2c41-3828-a882
Port description : Port 1
System name        : H3C-wifi AP 1 p>-CN32B011BZ
System description : AP_Autonomous,CN32B011BZ,29-76-3501-01,5.4.1.1-01-11416
System capabilities supported : WlanAccessPoint
System capabilities enabled   : WlanAccessPoint

Management address type           : ipv4
Management address                : 192.168.222.14
Management address interface type : IfIndex
Management address interface ID   : Unknown
Management address OID            : 0

Auto-negotiation supported : Yes
Auto-negotiation enabled   : Yes
OperMau                    : speed(1000)/duplex(Full)

V plném výpisu je i IP adresa, uptime a rychlost
LLDP na konkrétním portu - vypnutí, zapnutí a další konfigurace
[H3C]interface gigabitEthernet 1/0/20
[H3C-GigabitEthernet1/0/20]undo lldp enable
[H3C-GigabitEthernet1/0/20]lldp enable
[H3C-GigabitEthernet1/0/20]lldp ?
admin-status               Specify transmit/receive mode of LLDP on the port
check-change-interval      Specify interval of checking system changes
compliance                 Specify the mode for transmitting/receiving frames
...

[H3C-GigabitEthernet1/0/20]lldp admin-status ?
disable The port can neither transmit nor receive LLDP frames
rx       The port can only receive LLDP frames
tx       The port can only transmit LLDP frames
txrx     The port can both transmit and receive LLDP frames

Nejprve vybereme port
vypnutí
zapnutí
Je možné měnit i další parametry, které se budou týkat pouze konkrétního portu.

Je možné i nakonfigurovat port tak, že bude LLDP přijímat a zpracovávat, ale nebude vysílat.

DHCP snooping

Úvod
Zabezpečení sítě proti cizím DHCP serverům. Princip je jednoduchý - port switche, kde je připojen DHCP server se nastaví jako důvěryhodný, ostatním se nevěří a pokud se na nich objeví DHCP komunikace (konkrétně DHCP-OFFER nebo DHCP-ACK), jsou takové nabídky cizího DHCP serveru zahozené.

V případě sítě, kde je více než jeden switch je nutné nastavit jako důvěryhodné i porty, kterými jsou switche propojené (viz obr. T = trusted port). Pokud jsou propojené pomocí link agregace, snooping se nastavuje na interface bridgeAggregation a ne na samostatných portech!

 

DHCP server 
    | 
    |                          T 
---------- 
|            | 
---------- 
      | 
      |                         T 
---------- 
|            | 
---------- 
       | 
     client
Kompletní způsob ochrany na comware7
system-view
dhcp snooping enable
vlan 155
    arp detection enable

int range Gigabitethernet 1/0/2 to gi 1/0/24
   dhcp snooping binding record
    port access vlan 155
    ip verify source ip-address mac-address
    dhcp snooping information enable
    arp rate-limit 200
    stp edged-port

inte gi 1/0/1
arp detection trustdhcp snooping trust

Způsob ochrany - klient získá IP z DHCP serveru a vytovří se jeho IP-MAC záznam ve snooping table. Pak jsou arp pakety kontrolovány proti této databázi

arp detection enable - toto způsobí. že se kontrroluje vazba IP-MAC dle dhcp snooping table pro každý port v této vlan

dhcp snooping binding record - na comware 5 nebylo nutne, jinak je tabulka prázdná a není proti čemu kontrolovat.

ip verify source ip-address mac-address - co se ma kontrolovat

Uplink port
Zapnutí snoopingu a určení správného DHCP serveru
[H3C]dhcp-snooping
DHCP Snooping is enabled.
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dhcp-snooping trust

Zapnutí funkce DHCP snooping

Na portu 1/0/1 je náš DHCP server a nastavíme mu důvěu
Snooping na dhcp relay
[AA]vlan 100
[AA]interface vlan 100
[[AA-Vlan-interface100]] ip verify source ip-address mac-address
[[AA-Vlan-interface100]]quit
[AA]dhcp enable
[AA]dhcp relay server-groups 1 ip x.x.x.x
[AA]interface vlan 100
[AA-Vlan-interface100]select relay
[AA-Vlan-interface100]server-select 1
[AA-Vlan-interface100]quit

!!!! Tohle jeste okomentovat
Statistiky a přehled nastavení DHCP snoopingu
[H3C]dis dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static , R--Recovering
Type IP Address         MAC Address Lease        VLAN   SVLAN   Interface
==== =============== ============== ============ ==== ===== =================
D    192.168.224.226 b498-4283-ce63   42996                 2        N/A      GE1/0/11
---   1 dhcp-snooping item(s) found   ---

[H3C]dis dhcp-snooping trust
DHCP Snooping is enabled.
DHCP Snooping trust becomes active.
Interface                                                                  Trusted
=========================                       ============
GigabitEthernet1/0/14                                          Trusted

[H3C]dis dhcp-snooping packet statistics
DHCP packets received                  : 42
DHCP packets sent                      : 39
Packets dropped due to rate limitation : 0
Dropped invalid packets                : 0

Vypíše seznam hostů, kteří korektně získali IP přes náš DHCP server. Je zde vidět IP, MAC, VLAN i port.

Výpis trust portů

Výpis statistiky DHCP snoopingu
IP filtering (IP check) - zabezpečení portů Switche pomocí DHCP snoopingu
Pokud je DHCP snooping zapnutý a plní se nám tabulka přidělených adres (client binding table), je možné ji využít proti útokům jako podvrhování adres, připojení cizích zařízení apod. Princip je v tom, že při příchodu paketu je zkontrolováno, zda tato IP (případně i MAC) je v client binding table. Pokud ano, je paket zpracován, jinak je zahozen. Nebude tedy fungovat ani zařízení, které někdo zapojí do sítě a nastaví mu ručně IP adresu, protože pro takové zařízení není záznam v client binding table. Funkční budou zařízení, která získaly IP adresu z našeho DHCP serveru.

Problém může nastat se zařízeními, které mají adresu nastavenou ručně, např. servery. Pro takové případy existuje možnost vytvoření statického záznamu.
- Zapnutí ochrany na portu
  [H3C]int GigabitEthernet 1/0/2
  [H3C-GigabitEthernet1/0/2]ip check source ip-address mac-address
  [H3C-GigabitEthernet1/0/2]undo ip check source
  
  zvolíme port nebo rozsah portů
  zapneme ochranu
  vypnutí
- Statické záznamy pro IP filtering
  [H3C]interface gigabitethernet 1/0/2
  [H3C-GigabitEthernet1/0/2] ip source static binding ip-address 1.1.1.1 mac-address 0001-0001-0001
  
  [5500-EI-Ethernet1/0/2]display ip source static binding
  Type IP Address      MAC Address     Remaining VLAN Interface
                                        lease
  ==== =============== =============== ========= ==== =================
  S    1.1.1.1         0001-0001-0001 infinite 1    Ethernet1/0/2
  ---   1 static binding item(s) found   ---
  
  Problém může nastat se zařízeními, které mají adresu nastavenou ručně, např. servery. Pro takové případy existuje možnost vytvoření statického záznamu.
  
  Výpis statických záznamů

ACL a filtrovani

Filtrovani provozu mezi VLANy

[switch] packet-filter filter route

[switch] acl number 3001
[switch] permit tcp source 192.168.200.0 0.0.0.255 destination 192.168.222.0 0.0.0.255 destination-port eq 80
[switch] deny ip

[switch] int vlan 11
[switch] packet-filter 3001 inbound
[switch] packet-filter filter route

[switch] int vlan 1
[switch] packet-filter 3001 outbound
[switch] packet-filter filter route

Z vlany 11 (192.168.200.0/24) chceme povolit provoz do VLAN 1 (192.168.222.0/24) pouze port 80

Pro comware 7 pozor. Ve starsich verzich se filtroval provoz routovany mezi VLANY.
U teto verze se ale ve vychozim stavu filtruje i komunikace "uvnitr" vlany.
Pokud chcete u comware 7 chovani jako u starsich verzi, je nutne pri aplikaci packet filteru na vlane
pridat i toto.

Vytvorime si ACL, povolime jen www sluzbu z 192.68.200.0/24 (vlan 11) do 192.168.222.0/24 (vlan 1)

ACL se musi aplikovat na interface vlan. Jsou dve moznosti. ACL filtr je relativni k vlan interface.
Prvni moznost filtruje provoz ve chvili cesty paketu z PC k vlan iface (send from vlan)

V tomto pripade se filtruje pri odchodu paketu z vlan interface na cilovy host v teto vlane (send to vlan)

Verze firmwaru a informace o zařízení (sériové číslo, partnumber, firmware)

Zjištění informací o SFP modulu
[4210-GigabitEthernet1/0/20]dis transceiver interface GigabitEthernet 1/0/20
GigabitEthernet1/0/20 transceiver information:
Transceiver Type              : 1000_BASE_SX_SFP
Connector Type                : LC
Wavelength(nm)                : 850
Transfer Distance(m)          : 550(50um),550(62.5um)
Digital Diagnostic Monitoring : YES
Vendor Name                   : 3Com
Ordering Name                 : N/A

[4210-GigabitEthernet1/0/20]dis int gi 1/0/20
GigabitEthernet1/0/20 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 001a-c1ef-faa4
Media type is optical fiber, loopback not set
Port hardware type is 1000_BASE_SX_SFP
1000Mbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is autonegotiation
Flow-control is not enabled
The Maximum Frame Length is 1522
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto

[4210-GigabitEthernet1/0/20]dis transceiver manuinfo int gi 1/0/20
Error: The transceiver does not support this function.

[4210-GigabitEthernet1/0/20]dis transceiver diagnosis int gi 1/0/20
Error: The transceiver does not support this function.

[4210-GigabitEthernet1/0/20]dis transceiver alarm in gi 1/0/20
GigabitEthernet1/0/20 transceiver current alarm information:
Transceiver info checksum error

Typ vlákna

I ze základního výpisu o port se dá něco dozvědět

Všechny moduly toto nemusí podporovat

VLAN

Voice VLAN
vlan 90
desc telefony

!teoreticky zde byt nemusi, data muzou byt treba netagovane ve vlan 1
vlan 100
desc dalsi sit

int gi 1/0/1
port link-type trunk
! u nekterych switchu (asi comware 3) musela byt vlan 90 i v permit vlanach
port trunk permit vlan 100
voice vlan 90 enable

! toto je definice OUI
voice vlan mac-address a425-1b00-0000 mask ffff-ff00-0000 description avaya phone

Zakladni konfigurace

Na portu je zapojeny telefon a za nim PC. Neresim, ze by na portu byl samotny telefon (vlastne dole trosku resim), pak staci access vlan 90.

Voice VLANa nezaridi (jak jsem si dlouho myslel a nebyl jsem sam) tagovani provozu z telefonu do site. Je to slozitejsi a zalezi na
dalsich vecech (LLDP, moznost nastaveni tagovani na tlf. apod. Samotny voice VLAN vlastne udela tri funkce:
a) kdyz rozpozna voice zarizeni, nastavi pro nej lepsi QoS
b) kdyz se zapne "voice vlan security enable", tak i podle OUI overuje, ze toto zarizeji je voicove
c) povoli vlan 90 na tomto portu. Do te doby display vlan 90 tento port neukazoval jako clen teto vlan. Tam je mala vyhoda, ze
na ten port tedy nejdou voice data, kdyz tam neni tlf.

U 802.1x je situace take slozitejsi. Pokud je zapnute overovani a na portu je telefon a za nim PC, mel by byt problem, ze telefon bez 802.1x
(nejcasteji overeni MAC, protoze 802.1x telefon asi podporovat nebude) by nemel do site videt. Ale neni to tak. Toto by mela prave obchazet
Voice VLAN - pokud je telefon rozpoznan, jeho provoz je propusten dal do site. Praktickym vyzkousenim jsme ale zjistili, ze nastaveni voice vlan
neni nutne. Staci, pokud telefon svuj provoz taguje do jine vlan nez je quest, default nebo auth-fail. To by se dalo rict, ze snizuje zabezpeceni,
pokud bych napr. nastavil me PC, aby tagovalo provoz v teto VLANe, dostanu se do site. Tomu se da castecne zabranit pomoci voice vlan security enable
(kdyz vim, ktere tlf. se pouzivaji, tak si muzu zmenit MAC adresu jako ma telefon a obrana je neucinna).
Spravnym resenim by bylo asi nastavit port tak, aby radius overoval dle seznamu MAC adres telefony a po overeni jim posilal informaci o VLANe.
To, ze staci tagovat provoz telefonu a funguje to se na HP moc nedoctete. Naznak jsem nasel v H3C dokumentaci
"If the voice traffic transmitted by an IP voice device carries VLAN tags, and 802.1x authentication and guest VLAN is enabled on the port which
the IP voice device is connected to, assign different VLAN IDs for the voice VLAN, the default VLAN of the port, and the 802.1x guest VLAN to
ensure the effective operation of these functions."

Pro vhodnou konfiguraci se musi rozlisit, jestli zarizeni (telefon) umi LLDP (a LLDP-MED) nebo ne a zda je na prepinaci LLDP zapnute:
1) obe zarizeni podporuji LLDP, nastavena voice VLAN:
- voice vlan zapnout dle prikladu vyse. O vse se postara LLDP. Zjednodusene tam komunikace vypada tak, ze telefon rekne, ze je telefon a switch
mu rekne, pouzivej tuhle VLANu a taguj. Informace vi prave z nastaveni voice VLAN. 802.1x tedy bude fungovat bez problemu. Vyhodou je to, ze na telefonu
se nemusi nic nastavovat, vlanu se dozvi od switche.

2) obe zarizeni podporuji LLDP, neni nastavena voice VLAN:
- toto jsem netestoval, ale predpokladam, ze to nepujde, protoze switch nevi, kterou VLANu mu ma rict. Dle OUI muze poznat zarizeni, ale to je tak vse.
Musime tedy pro spravnou funkci na telefonech nastavit vlan a tagovani.

3) switch nebo telefon nepodporuje nebo je vypnuto LLDP
- V tomto pripade muzete nastavit voice vlan kvuli vyhodam popsanym vyse, ale musite telefonum nastavit VLAN 90 tagged. Bez toho tlf. komunikuji
v nativni vlane. Pokud je na portu jen telefon nebo nelze na nem nastavit tagovani, je resenim nastavit normalne port access vlan 90

Zminka k ciscu - to pouziva tzv. Multi-domain authentication host mode, tedy telefon i pc overuje nezavisle na sobe. To v podstate odpovida tomu, ze bych
u HP overoval telefony pres MAC adresy na radiusu. Toto jsem netestoval.

Zminka k HP 1920 - pro voice VLAN je pripraveno pouze 128 ACL (voice vlan resi Qos, tak proto ACL). Pokud mame dve OUI, tak zabereme u 48 portoveho switche 2x48 ACL
pravidel. Takze tri OUI uz jsou problem. Pokud nastavime tri, tak pujde voice vlana zapnout jen na 42 portech, pokud 4, tak na 36 atd. Switch v defaultni konfiguraci
uz 2 OUI obsahuje, pres CLI nejsou videt, je nutne je smazat pres web. Pokud tedy mate dve OUI a voice VLAN zapnuty na vsech portech a zkusite pridat 3 OUI, dostane
chybu: Failed to set OUI address.
Vytvoření a zrušení VLAN
[H3C]vlan 4
[H3C-vlan4]name ctyrka
[H3C]undo vlan 4

vytvoří VLAN 4
pojmenujeme VLAN 4 jako ctyrka
zrušení VLAN 4
Zařazení portu do VLAN

[H3C]int GigabitEthernet 1/0/5
[H3C-GigabitEthernet1/0/5]port access vlan 4

[H3C]vlan 4
[H3C-vlan4]port GigabitEthernet 1/0/16 to GigabitEthernet 1/0/17

Je více způsobů jak takovou věc udělat:
Přiřazení jednoho portu

Přiřazení jednoho nebo více portů přes view vlan

K přiřazení více portů najednou lze použít například i interface range, odkaz níže
Vypis VLAN
[H3C]dis vlan 4
VLAN ID: 4
VLAN Type: static
Route Interface: not configured
Description: VLAN 0004
Name: VLAN 0004
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/0/5 GigabitEthernet1/0/16 GigabitEthernet1/0/17

Místo čísla vlan jde použít slovo ALL pro vypsání všech vlan
Přepnutí portu do trunk nebo access
[AA]interface GigabitEthernet 1/0/2
[AA-GigabitEthernet1/0/3]port link-type trunk
[AA-GigabitEthernet1/0/3]port trunk permit vlan 1 2
[AA-GigabitEthernet1/0/3]port trunk permit vlan all
[AA-GigabitEthernet1/0/3]port trunk permit vlan 1 to 20

[AA]interface GigabitEthernet 1/0/2
[AA-GigabitEthernet1/0/3]port link-type access
[AA-GigabitEthernet1/0/3]port access vlan 5

[H3C-GigabitEthernet1/0/5]undo port access vlan

Přepnutí portu do režimu trunk
Několik možností povolení VLAN na trunk portu.
POZOR! Při přepnutí z access na trunk jsou zakázány všechny VLANy kromě čisla 1. Pokud se tedy přes takový port připojujete a konfigurujete a máte management není ve VLAN 1, odřiznete se. Lze to řešit např. dočasnou IP adresou na VLAN 1, na kterou se po konfiguraci switche přihlásíte a provedete povolení příslušných VLANů.

Přepnutí na access vlan 5

Přepnutí na výchozí VLAN 1 z jiného VLANu

Agregace

Teorie
Spojení více portů do jednoho logického. Porty musí být stejného typu a konfigurace (rychlost, link-type, vlan,...). Ideální mít porty ve výchozí konfiguraci, pak si ušetříte spoustu problému při agregování. Věci jako VLAN se stejně nastavují až na vytvořenou agregaci. Je několik typů agregací, je možné např. některé porty nechat jako zalohu a jsou použité až při výpadku aktivních. Běžně se agreguje mezi 2 přepínači, HP provision umí agregovat i na 2 switche (distributed agregation). Agregaci lze tvořit také proti serveru s více kartami, to se většinou nazýva NIC bonding nebo NIC teaming. Agregaci je možné rozdělit na statickou a dynamickou: statická - port, který nastavíme jako agregovaný se použije. Není zde žádná kontrola, když je třeba nějaký problém na protistraně, port se nadále používá a může docházet ke ztrátovosti dynamická - Používá se protokol LACP (802.3ad). Port se v agregaci použije až ve chvíli, kdy si s protistranou vymění LACP informace. Unselected port se nazývá port, kde tato komunikace ještě neproběhla, selected naopak používaný. A zde se ještě řeší static/dynamic LACP a jeho režimy (A-A,A-P)
Statická agregace (bez LACP)
chybí - jedoducha, max. 8 portu
Dynamická agreagace (LACP)
[AA]interface Bridge-Aggregation3

[AA-Bridge-Aggregation3]link-aggregation mode dynamic

[AA]interface range GigabitEthernet 1/0/6 to GigabitEthernet 1/0/7
[AA-if-range]port link-aggregation group 3
[AA-if-range]quit

[AA]interface Bridge-Aggregation 3
[AA-Bridge-Aggregation3]port link-type trunk
[AA-Bridge-Aggregation3]port trunk permit vlan 1 2
Please wait... Done.
Configuring GigabitEthernet1/0/6... Done.
Configuring GigabitEthernet1/0/7... Done.

dis link-aggregation ver

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
 D -- Synchronization, E -- Collecting, F -- Distributing,
 G -- Defaulted, H -- Expired

Aggregation Interface: Bridge-Aggregation1
Aggregation Mode: Dynamic
Loadsharing Type: Shar
System ID: 0x8000, 3822-d65f-7278
Local:
Port Status Priority Oper-Key Flag
--------------------------------------------------------------------------------
GE1/0/18 S 32768 1 {ACDEF}
GE1/0/19 S 32768 1 {ACDEF}
Remote:
Actor Partner Priority Oper-Key SystemID Flag
--------------------------------------------------------------------------------
GE1/0/18 77 32768 1 0x8000, 0012-a98d-d1c0 {ACDEF}
GE1/0/19 25 32768 1 0x8000, 0012-a98d-d1c0 {ACDEF}

<H3C>dis link-aggregation summ
Aggregation Interface Type:
BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation
Aggregation Mode: S -- Static, D -- Dynamic
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Actor System ID: 0x8000, 3822-d65f-7278

AGG AGG Partner ID Select Unselect Share
Interface Mode Ports Ports Type
-------------------------------------------------------------------------------
BAGG1 D 0x8000, 0012-a98d-d1c0 2 0 Shar
BAGG2 S none 4 0 Shar
BAGG3 D 0x8000, bcea-fa4c-163c 2 0 Shar
BAGG4 D 0x8000, 0000-0000-0000 1 1 Shar

Nejprve vytvoříme interface

Takto je možné spojit až 8 portů + 8 jako založních. Využívá se protokol LACP (802.3ad), kterým si domlouvají.
Tímto se říká, že se jedná o dynamickou agr. s LACP. Tady je trochu zmatek, protože ve skutečnosti je to konfigurace LACP static. Comware ji ale takto nazývá a dynamickou neumí. Obě strany posílají LACP (režim active-active - tedy obě strany mohou začít LACP komunikaci). LACP dynamic (comware neumí) může fungovat v active-active nebo active-passive, chybou by bylo passive-passive, protože pak se nikdy nedomluví (oba čekají)

Pak do agregace přidáme porty. Musí mít stejnou konfiguraci, vč. VLAN, pokud je jiná, nepoužijí se.

Až na vytvořené agregaci nastavíme VLANy, je vidět, jak je sám propaguje na jednotlivé porty.

Výpis agregace, porty by měly být selected a FLAGS - ACDEF

Rychlý výpis agregace

Spanning tree protocol

Edge port
[HP1920_poe_telefony]int gi 1/0/7
[HP1920_poe_telefony-GigabitEthernet1/0/7]stp edged-port ena
Warning: Edge port should only be connected to terminal. It will cause temporary loops if port GigabitEthernet1/0/7 is connected to bridges. Please use it carefully!

Port po zapojení prochází několika fázemi (listening, learning, ...) a to nějakou chvíli trvá. V této fázi port neforwarduje, ale pouze naslouchá a případně se učí. To může způsobit problém například při dhcp získávání adresy (požadavek nebude odeslán). Porty, kde jsou zapojené PC, tiskárny apod. je možné nastavit tzv. edge port. Tím je řečeno, že se jedná o koncový port, kde není žádný switch, proto není potřeba tam naslouchat kvůli BPDU a je možno rovnou dát port do forward stavu.

Pokud ale na takový port připojíme switch se zapnutým STP, tak se vypne tato vlastnost a port se stane součástí STP. To může být problém, např. smyčku, změnu STP root bridge apod. Proto jste při nastavování edge portu upozorněni.

U cisca se tato vlastnost nazývá portfast
Úvod
Na internetu je toho o STP dostatek. Popíšu spíš ochrany. Pozor - na portu lze nastavit pouze jeden typ ochrany.
BPDU protection
[HP1920_poe_telefony]stp bpdu-protection
```
[HP1920_poe_telefon]display stp down-port
Down Port                Reason
GigabitEthernet1/0/7     BPDU-Protected

[HP1920_poe_telefony]int gi 1/0/7
[HP1920_poe_telefony-GigabitEthernet1/0/7]undo shutdown
```
BPDU protection (U cisca BPDU guard) - tato ochrana platí pro edge porty, takže by neměl být edge port nikdy nastaven na portech, které propojuní přepínače (došlo by k zablokování takových portů).

Princip fungování: při normálním provozu s nastaveným stp edge port - pokud se zde objeví BPDU a port se začne podílet na vyjednávání STP. Po zapnutí bpdu protection (globálně) se chování mění. Pokud se na edge portu objeví BPDU, port je automaticky zablokován (neforwarduje data, pouze naslouchá).

Výpis zablokovaných portů

Odblokování se provádí klasicky
Root protection
[H3C]int Bridge-Aggregation 1
[H3C-Bridge-Aggregation1]stp root-protection

[H3C-Bridge-Aggregation1]stp priority 40960

Root bridge v STP se volí dle MAC adresy a priority. Priorita má krok 4096, čím nižší číslo, tím vyšší priorita. Ve výchozí konfiguraci má switch většinou prioritu 32768 nebo nižší, aby neovlivnil funkční STP. Není úplně ideální nastavit si prioritu root bridge na 0, když později přidáme switch, který se má stát novým rootem, tak musíme konfigurovat i starší switch. Já rootu běžně dávám 4096. Pokud by někdo zapojil switch s prioritou 0 a zároveň by měla jeho MAC adresa nižší hodnotu než má root, stal by se takový přepínač rootem. To může způsobit třeba to, že k rozpojení smyčky dojde někde jinde než chceme, třeba na rychlých linkách mezi páteřními switchi a data pak tečou mezi pomalejšími apod. Ochranou je právě root protection. Nastavuje se na root přepínači nebo i dalších přepínačích níže na portech (designated), které připojují další segmenty sítě. Pokud se na portu s root protection objeví BPDU s nižší prioritou (což by znamenalo nový root bridge), je tento port zablokován (neforwarduje, pouze naslouchá). Pokud po 2 dobu dvou forward delay žádné další BPDU s vyšší prioritou nepřijde, port opět vrátí do původního stavu.

Nevím, zda to je nutné (ale přijde mi to tak logické, jen se mi to teď nechce zkoušet), ale pro switch v nižších vrstvách nastavuji prioritu zase o řád nebo dva vyšší číslo (nižší priorita). Pokud totiž nastavíte stejnou prioritu, mohlo by se stát, že switch o jednu úroveň níže má nižsí MAC adresu a pak by takto mohl být zablokován.
Loop protection
[HP1920_poe_telefony]int gi 1/0/7
[HP1920_poe_telefony-GigabitEthernet1/0/7]stp loop-protection

%May 24 12:07:47:848 2000 HP1920_poe_telefony MSTP/6/MSTP_DISCARDING: Instance 0's port GigabitEthernet1/0/7 has been set to discarding state.

%May 24 12:09:36:354 2000 HP1920_poe_telefony MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/7 has been set to forwarding state

[HP1920_poe_telefony-GigabitEthernet1/0/7]dis stp abnormal-port
MSTID Blocked Port Reason
0 GigabitEthernet1/0/7 LOOPBACK-Protected

Další způsob ochrany před smyčkou, který lze použít na ne edge portech. Nastavuje se na root portu a případně na alternativním root portu. Na edge portech byt nemuze, protoze pokud na portu neslysi BPDU, port přepne do stavu listening a už ne forwarding.

Výpis zablokovaných portů

A device that keeps receiving BPDUs from the upstream device can maintain the state of the root port and blocked ports. However, link congestion or unidirectional link failures may cause these ports to fail to receive BPDUs from the upstream devices. The device will reselect the port roles: Those ports in forwarding state that failed to receive upstream BPDUs will become designated ports, and the blocked ports will transition to the forwarding state, resulting in loops in the switched network. The loop guard function can suppress the occurrence of such loops.

The initial state of a loop guard-enabled port is discarding in every MSTI. When the port receives BPDUs, its state transitions normally. Otherwise, it stays in the discarding state to prevent temporary loops.
detekce smycky
 

http://www.h3c.com.hk/Technical_Support___Documents/Technical_Documents/Switches/H3C_S9500E/H3C_S9500E_Series_Switches/Configuration/Operation_Manual/H3C_S9500E_CG-Release1728-6W170/04/201211/761545_1285_0.htm

Stohování

Stohování XRN

[5500] change unit-id 1 to 2

[5500] fabric-port giga 2/0/28 enable

[5500-EI] dis xrn-fabric
Fabric name is 5500-EI, system mode is L3.
Unit Name                                 Unit ID
First                                     1(*)
First                                     2

[5500-EI]dis xrn port

GigabitEthernet1/0/28
Fabric peer: GigabitEthernet2/0/27
Fabric Status: Active
Fabric mode: Auto-speed(1000M), Auto-duplex(Full)
input:   138551599 packets, 124510116978 bytes, 0 input errors
output: 304244275 packets, 329394082725 bytes, 0 output errors

GigabitEthernet1/0/27
Fabric peer: GigabitEthernet2/0/28
Fabric Status: Standby
Fabric mode: Auto-speed(1000M), Auto-duplex(Full)
input:   2238648 packets, 232819312 bytes, 0 input errors
output: 2234472 packets, 232384772 bytes, 0 output errors

Sestohování starším způsobem (např. 3Com 5500). Pro úspěšné sestohování je nutné, aby prvky měly stejnou konfiguraci (včetně výchozí). Proto je nejlepší před stohováním switche nahrát na všechny prvky stejný soubor 3comoscfg.def, smazat konfiguraci a pak nastavit stoh. Je nutné provést na všech prvcích.

Nejprve si musíme nastavit různá ID switchů. Není podmínkou, že musí číslování začínat od 1

Potom nastavíme porty, přes které budou prvky propojené jako fabric. Číslování portů už se změnilo

Po zapojení kabelů kabelů (typicky port 27 do portu 28, jak je to na prvcích i značené) se vytvoří stoh a dojde k restartu.

Výpis stavu stohu

Výpis stavu fabric portů
IRF
irf member 1

irf priority 4

irf-port 1

port group interface gig 4/0/1

port group interface gig 4/0/2

save

quit

chassis convert mode irf

irf member X description popis

display irf topology

U IRF se virtualni IRF port 1 musí zapojovat do portu 2 dalšího switche. Do virtuílního IRF portu se pak přiřazují fyzické 10GB interface (u vybraných switchů je možné i 1GB porty). Je tedy možné zapojit kruh nebo daisy chain.
- IRF - detekce rozpojeni IRF
  vlan 1008
  
  int range gi 1/0/52 gi 2/0/52
  
  desc MAD detection
  
  port acc vlan 1008
  
  undo stp enable
  
  int vlan 1008
  
  mad bfd enable
  
  mad ip add 10.10.10.1 mask 255.255.255.252 member 1
  
  mad ip add 10.10.10.2 mask 255.255.255.252 member 2
  
  Pokud by doslo k rozpojeni IRF portu, jednotlive switche nevi, jak je na tom druha cast stohu a tak jsou v siti oba switche se stejnou IP adresou a mohou vznikat smycky. Tomu brani MAD. Pokud je nakonfigurovany a switche zjisti, ze protistrana zije, tak switch s nizsi prioritou odpoji sve porty od site, aby nevznikal tento problem. Asi nejsnazsi cesta je pres BFD MAD, staci prime propojeni switchu libovolnym portem (rezim bridge, ne routing) Po zapojeni po chvili prikaz dis mad verbose ohlasi status ok na obou portech

802.1x

Kompletní konfigurace
dot1x authentication-method eap
dot1x timer offline-detect 3600

port-security enable
port-security mac-move permit

interface GigabitEthernet5/0/1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 11 untagged
port hybrid pvid vlan 11
mac-vlan enable
stp edged-port
undo dot1x handshake
undo dot1x multicast-trigger
dot1x critical vlan 666
dot1x re-authenticate server-unreachable keep-online
mac-authentication re-authenticate server-unreachable keep-online
mac-authentication guest-vlan 11
mac-authentication critical vlan 666
mac-authentication host-mode multi-vlan
port-security port-mode userlogin-secure-or-mac-ext

radius scheme muj_radius
primary authentication 192.168.199.251 key cipher $c$...==
primary accounting 192.168.199.251 key cipher $c$3...==
secondary authentication 192.168.199.250 key cipher $c$3$....==
secondary accounting 192.168.199.250 key cipher $c$3$..==
accounting-on enable
user-name-format without-domain

radius dynamic-author server
client ip 192.168.199.250 key cipher $c$3$...==

domain me_overovani
authentication lan-access radius-scheme muj_radius
authorization lan-access radius-scheme muj_radius
accounting lan-access radius-scheme muj_radius

domain default enable me_overovani

základní parametry pro 802.1x ověřování, první určuje metodu, druhý říká, po jaké době má být port označen jako neautorizovaný, pokud tam netečou žádná data Musí být zapnuté Konfigurace ověřovaného portu - zároveň 802.1x i MAC Definice radius serverů a PSK CoA Co čím budeme ověřovat výchozí ověřování

Může se hodit

Zajímavost - zapnutí full managementu u 1910, 1920 a 1950
<1910G> _cmdline-mode on
All commands can be displayed and executed. Continue? [Y/N]Y
Please input password:

<1950>xtd-cli-mode
...

The Pass is the following: "foes-bent-pile-atom-ship"

Switche 1910G a 1920G mají web based management, na konzoli je jen asi 10 příkazů pro změnu IP adresy nebo smazání konfigurace. Jde u nich ale zapnout plný management. Tato úprava není trvalá, po restartu máte opět jen základní management. Ale když si zapnete telnet, tak po restartu to znamená pouze jeden přikaz navíc. Switch 1910 ma heslo 512900, 1920 má Jinhua1920unauthorized

U 1950 to bude s heslem asi slozitejsi, ma byt ruzne podle verze firmware. U verze 1950-cmw710-boot-r3109p05 je to foes-bent-pile-atom-ship
Zajímavost - jak se nabourat do switchů V1905 (JD990A) a Baseline 2250
http://IP.SW.IT.CH/switchdata.cfg

Tyto switche nemají ošetřen výpis kompletní konfigurace, takže stačí zadat tuto adresu a zobrazí se celá konfigurace. A to včetně admin hesla a hesel dalších uživatelů! Pokud máte starší firmware, tak budou hesla v plaintextu. Šifrování hesel řeší až firmware 02.00.02:

SYS_USERINFO1:BEGIN
level=1
name=admin
pswd=heslo
END
LDB_USR_ENTRY1=pokus;pokus

Ale i s novějšími firmwary (včetně posledního 02.00.03) lze zobrazit kompletní konfiguraci. Je použita slabá šifra, takže lze heslo i zpětně zjistit. Nástroj pro to je např. zde:
https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py

V konfiguraci stačí najít tento řádek a šifrované heslo nechat zpracovat python skriptem.
SYS_USERINFO_CIPHER_PWD1=Z;@)m!X#SF7Q=^Q`MAF4<1!!

Aktualizace

Aktualizace sw switche přes FTP, firmware v jednom souboru z konzole (nový switch) - KOMPLETNÍ POSTUP
[H3C]interface vlan 1
[H3C-Vlan-interface1]ip address dhcp-alloc
[H3C-Vlan-interface1]quit
[H3C]ftp server enable
[H3C]local-user admin
New local user added.
[H3C-luser-admin]service-type ftp
[H3C-luser-admin1]password cipher heslo
[H3C-luser-admin1]authorization-attribute level 3
[H3C-luser-admin1]quit
[H3C]quit

// zde nahrát přes FTP příslušný soubor nebo soubory
//zde konkrétně a5800_5820x-cmw520-r1808p11.bin

bootrom update file a5800_5820x-cmw520-r1808p21.bin slot 1
This command will update bootrom file on the specified board(s), Continue? [Y/ N]:y
Now updating bootrom, please wait....
display boot-loader Slot 1
The current boot app is: flash:/a5800_5820x-cmw520-r1808p11.bin
The main boot app is: flash:/a5800_5820x-cmw520-r1808p11.bin
The backup boot app is: flash:/.
reboot

Vycházím ze stavu, že switch nemá žádnou konfiguraci, nastavíme získání IP z DHCP, založíme uživatele s možností přístupu přes FTP. Firmware nahrajeme právě pomocí ftp a aktualizujeme. Je více způsobů (při bootu switche, pomocí xmodemu, ..), ale tohle mi přijde jako nejsnažší. Přihlášení je přes konzoli. Tento postup je pro případ, že je pouze jeden aktualizační soubor. Zjištění přidělenou adresu lze např. příkazem display ip interface brief.

Po restartu příkaz display version již ukáže novou verzi
Aktualizace sw stohu switchů přes FTP, firmware ve více souborech - KOMPLETNI POSTUP
<5500-EI>dir unit1>flash:/
Directory of unit1>flash:/

 1 -rw- 194937 Jun 11 2014 13:09:19 s4e04_06.btm
 2 -rw- 1083788 Jun 11 2014 13:10:05 s4h05_01.web
 3 -rw- 6748 Jan 01 2004 00:00:00 3comoscfg.def
 4 (*) -rw- 6179 May 22 2013 11:11:29 3comoscfg.cfg
 5 -rw- 4699542 Jun 11 2014 13:12:56 s4m03_03_02s168ep22.app

15367 KB total (8570 KB free)

(*) -with main attribute (b) -with backup attribute
(*b) -with both main and backup attribute

<5500-EI>copy unit1>flash:/s4e04_06.btm unit2>flash:/
Copy unit1>flash:/s4e04_06.btm to unit2>flash:/s4e04_06.btm?[Y/N]:y
.....\
%Copy file unit1>flash:/s4e04_06.btm to unit2>flash:/s4e04_06.btm...Done.
....

<5500-EI>boot bootrom unit1>flash:/s4e04_06.btm
This will update Bootrom on unit 1. Continue? [Y/N] y
<5500-EI>boot boot-loader unit1>flash:/s4m03_03_02s168ep22.app
The specified file will be booted next time on unit 1!
<5500-EI>boot web-package s4h05_01.web main
Your web package is incompatible with the APP you are running.
The released package is s4h04_04.web
Do you want to continue?[Y/N]y

<5500-EI>boot bootrom unit2>flash:/s4e04_06.btm
This will update Bootrom on unit 2. Continue? [Y/N] y
Upgrading Bootrom, please wait...
Upgrade Bootrom succeeded!

<5500-EI>reboot
Start to check configuration with next startup configuration file,
please wait......
This command will reboot the device. Continue? [Y/N]:y

Postup je podobný prvnímu s jedním switchem (odkaz dole). Vynechám konfiguraci IP, FTP a uživatele. Firmware je ve třech souborech:
s4e04_06.btm, s4h05_01.web a s4m03_03_02s168ep22.app. Soubory nahrajeme přes FTP a budou na switchi s unitID 1

Je nutné je rozkopírovat na ostatní switche. Některé řady switchů si toto umí řešit:

Po zkopírování je nutné na všech switchích zvolit tyto soubory jako výchozí!

A nakonec reboot

Úkoly