Turime naują 6000 12G CL4 2SFP 139W (R8N89A) Aruba kompanijos komutatoriaus modelį, kurį paruošime darbui tinkle. Paruošiamas tinklo įrenginys tarnaus prieigos lygio (angl. Access) duomenų perdavimui.
Kad pasiekti konfigūravimo langą naudosime USB-C laidą, kurį prijungsime prie komutatoriuje esančio USB-C prievado. Prie šio modelio dėžutėje laido nerasite, todėl teks įsigyti vieną iš jų. Sujungus laidą su tinklo įrenginiu ir kompiuteriu, Windows OS (tokia naudojome konfigūracijos metu) sistema sukurs COMX (X atitinkamas skaičius) prievadą. Jo pagalba pasieksime įrenginio konfigūracijos įvedimo pradinį langą, naudodami terminalines programas.
Kaip visada laukiame kada startuos komutatoriaus programinė įranga. Reikia paminėti – įkrova trunka gana ilgai, o įkrovos pradžioje matome AOS-CX 10.X servisų startavimą, panašiai kaip Linux OS sistemose (jau prisijungtu su USB-C)
Komutatoriui pilnai užsikrovus išvysite konfigūravimo komandinę eilutę. Suvedus vartotoją admin be prisijungimo slaptažodžio paprašys pridėti naują slaptažodį. Po to bus galima konfigūruoti naują komutatorių.
Pradiniai nustatymai
Suteiksime pavadinimą komutatoriui „SW1“
hostname SW1
Kad matyti įvykių pranešimus su teisingais laikais, reikia nustatyti laiko zonas ir darbo stotį iš kurios komutatorius sinchronizuos laiką automatiškai.
ntp enable
ntp server 185.177.150.95 prefer burst
ntp vrf default
Nustatome laiko zoną Lietuvoje.
clock timezone europe/vilnius
Peržiūrime ar viskas veikia
show ntp servers
show ntp status
show clock
Taip pat reikia paminėti, kad šis komutatorius turi virtualias maršrutizavimo lenteles VRF (anlg. Virtual Routing and Forwarging ). Todėl visa IP konfigūracija turi būti atliekama „vrf default” prievade. Apie tai daugiau aprašysime L3 nustatymuose.
Prisijungimo antraštės, kurias gaunate tik prisijungią į įrenginį galima aprašyti ir tiesiogiai panaudoti informacijai suteikti apie sistemą. Pridėsime tokią vieną informacinę antraštę. Po komandos, kad nutraukti duomenų įvedimą reikia paspausti ^ klaviatūros derinį.
banner motd ^
>> Sveiki prisijunge prie SW1.
^
Jei prireikia perkrauti komutatorių iš naujo tiesiog suvedame komandą.
boot system
L2 nustatymai
Aprašome mums reikalingus virtualius tinklus (angl. VLAN). Pirmiausia apsirašome tinklo įrenginių administravimo potinklį, iš kurio valdome visus tinkle esančių įrenginius.
vlan 10
description Valdymas
Jei tinkle naudojama telefonija, sukuriame telefonijos perdavimo potinklį (angl. VOIP).
vlan 101
description Telefonija
voice
Priskiriame VLAN prie komutatoriaus prievadų. Pirmiausia priskirsime VLAN 100 kaip prieigos (angl. Access) potinklį prievadui 1/1/1.
interface 1/1/1
no shutdown
vlan access 100
Magistralinio tipo prievadas (angl. Trunk) sukuriamas įprastai. Kaip pavyzdį pateiksiu VLAN 10, VLAN 100, VLAN 101 – kaip perdavimo, o VLAN 1 bus numatytasis (anlg. Native).
interface 1/1/16
vlan trunk native 1
vlan trunk allowed 10,100,101
Jei norite, kad numatytasis būtų ne VLAN 1 (pagal nutylėjimą) galima pakeisti į VLAN 99. Tada magistralinio prievado konfigūracija atrodytų taip.
interface 1/1/16
vlan trunk native 99
vlan trunk allowed 10,100,101
Elektros energijos tiekimas per tinklo prievadą POE
Kadangi turimas komutatorius palaiko elektros padavimo opciją per tinklo prievadus, todėl aprašysime kaip juos valdyti.
Pirmiausia patikriname statusus – išjungtus prievadus rodys „No“, o įjungtus „Yes“ stulpelyje „Pwr Ena“.
show power-over-ethernet brief
Mūsų atveju nebus reikalinga, išjungiame visuose tinklo prievaduose.
interface 1/1/1-1/1/12
no power-over-ethernet
Jei prireiktų, galima nesunkiai įjungti atgal. Įjungiame elektros padavimą į tinklo prievadą 1/1/1.
interface 1/1/1
power-over-ethernet
Tinklo prievadų apjungimas (L2)
Apjungiant 2 ir daugiau tinklo prievadų sukuriamas loginis prievadas, dar kitaip vadinamas tinklo prievadų agregavimo grupe (LAG).
Jo pagalba gauname didesnį duomenų pralaidumą (duomenims perduoti naudojami visi apjungti tinklo prievadai vienu metu) ir patikimesnį sujungimą tarp įrenginių (jei vienas bent vienas tinklo prievado apjungimas nutrūksta, duomenys toliau siunčiame per likusiuosius).
Aruba 6000 modelio komutatoriai palaiko dvi apjungimo galimybes:
- Layer 2: tokio apjungimo grupei priklausantys tinklo įrenginio prievadai gali būti tik L2 Ethernet prievadai.
- Layer 3: tokio apjungimo grupei priklausantys tinklo įrenginio prievadai gali būti tik L3 Ethernet prievadai.
Toliau tinklo prievadų apjungimo režimai, kuriuos galima sukonfigūruoti:
- Statinis LAG: apjungti tinklo įrenginiai neapsikeičia tinklo prievadų būkle naudodami PDU informaciją, todėl gali negali aptikti pokyčių tinklo prievaduose (prarasas ar prijungtas naujas prievadas į grupę).
- Dinaminis (naudoja LACP protokolą): apjungti tinklo įrenginiai apsikeičia tinklo prievadų būkle naudodami PDU informaciją, todėl gali greitai aptikti pokyčius tinklo prievaduose (prarasas ar prijungtas naujas prievadas į grupę). Apjungimas naudodamas LACP tinklo protokolą sumažiną konfigūracijos klaidas bei užtikrina tinklo prievadų grupės stabilų veikimą.
Aprašysime tik L2 tinklo prievadų apjungimo konfigūraciją, nes turimas modelis nepalaiko L3. Pirmiausia sukuriame statinę lag1 grupę, priskirsime numatytąjį VLAN 1.
interface lag 1
vlan trunk native 1
description LAG L2 TRUNK
no shutdown
Įtrauksime norimus komutatoriaus prievadus į mūsų sukurtą grupę:
interface 1/1/2-1/1/3
no shutdown
lag 1
Kad peržiūrėti naujai sukurtą grupę galite naudoti komandas:
show lag brief
show intterfaces brief
REKOMENDUOJAMA: Jei norime tinklo grupės lag1 veikimo režimą padaryti dinaminiu reikia aktyvuoti LACP protokolą. Taip pat įjungiame greitesnį grupės atsistatymo ir trūkio detekcijos režimą.
interface lag 1
vlan trunk native 1
lacp mode active
lacp rate fast
description LAG L2 TRUNK
no shutdown
Peržiūrime pakeitimus ir jei viskas gerai turite matyti Mode: active .
show lag 1
show lacp aggregates
L3 nustatymai
Kad galėtume komutatorių valdyti per kompiuterių tinklą, priskirtą administravimui, suteiksime IP 172.16.10.100/24 adresą VLAN 10 potinklyje.
interface vlan 10
ip address 172.16.10.100/24
no ip dhcp
no shutdown
Virtualus maršrutizavimas ir paketų persiuntimas (VRF)
Šiek tiek informacijos apie patį VRF – tai technologija, kuri leidžia turėti atskiras maršrutizavimo lenteles (anlg. routing tables) viename įrenginyje. Kadangi maršrutizavimo lentelės skirtingos, galima naudoti net sutampančius IP potinklius.
Aruba 6000, 6100, 6200 modelio komutatoriai pagal numatytąjį nustatymą gali turėti tokius VRF:
- mgmt: būna priskirtas tinklo įrenginio valdymui ir perduodamu tinklo įrenginio valdymo duomenų atskyrimui.
- default: visi tinklo įrenginyje esantys tinklo prievadai priskiriami šiam VRF.
PASTABA: Konfigūruojamas komutatorius daugiau VRF nepalaiko.
Numatytasis statinis maršrutas sukuriamas valdymo potinkliui VLAN 10.
ip route 0.0.0.0/0 172.16.10.254/24
Tinklo įrenginio veikimo stebėjimas
SNMP
Pagal nutylėjimą SNMP veikia numatytame VRF „default”. Todėl pradžiai apsirašome pagrindinius parametrus ir sukuriame SNMP bendriją „prieiga”
snmp-server vrf default
snmp-server system-contact IT skyrius
snmp-server system-location Duomenu centras, spinta 1
snmp-server system-description Prieigai skirtas komutatorius
snmp-server community prieeiga
Pagal poreikį naudosime saugią SNMPv3 versiją, todėl reikia sukurti vartotoją „vartotojas_prieiga”. Autentifikacijai panaudosime „md5” šifravimo protokolą su slaptažodžių „slapta”, o saugumui parinksime „aes” su slaptažodžiu „privatu”. Priskirsime naują kontekstą sukurtam vartotojui.
snmpv3 user vartotojas_prieiga auth md5 auth-pass plaintext slapta priv aes priv-pass plaintext privatu
snmpv3 user vartotojas_prieiga context snmpv3cont
Saugumas
Pirmiausia, kad nenaudoti standartinio komutatoriaus administratoriaus vartotojo sukuriame naują vartotoją „manager“ , kurį priskirsime „administrators“ grupei.
user manager group administrators plaintext S1@pt@z0d1s
Toliu sukūrus naują vartotoją, rekomenduotina vartotojui „admin“ uždėti kuo sudėtingesnį slaptažodį ir daugiau šio vartotojo prisijungimui nebenaudoti.
user admin password plaintext SL@ptaz0D133Q#@-x%%%
Komutatorius turi galimybę konfigūracijas atlikti naudojantis interneto naršyklės pagalbą. Ši funkcija yra įjungta pagal nutylėjimą. Tačiau yra rekomenduojama išjungti, jei nesinaudojama arba perjungti į skirtingą VRF.
Kad išjungti prieigą prie šios funkcijos.
no https-server vrf default
Sustipriname SSH tinklo serviso saugumą.
ssh maximum-auth-attempts 3
ssh login-grace-time
no ssh ciphers aes128-cbc
no ssh ciphers aes192-cbc
no ssh ciphers aes256-cbc
no ssh ciphers aes128-ctr
no ssh ciphers aes192-ctr
no ssh macs hmac-sha1
no ssh macs hmac-sha1-96
Aruba Central
Jei nenaudosite Aruba Central, galime šią paslaugą išjungti.
aruba-central
disable
