HP 2510-24 (J901B) komutatoriaus paruošimas darbui

Mindaugas Dovidaitis DovidaviciusAruba, Hardware, HP, Infrastructure, Monitoring, Network

Pakliuvo į rankas senesnis HP 2510-24 J901B komutatoriaus, kurį reikėjo paruošti darbui kompiuterių tinkle. Buvo atnaujinta programinė įranga iki naujausios versijos Q.11.79. Toliau trumpai aprašysime kaip reikia sukonfigūruoti, kad būtų galima naudoti kompiuterių tinkle.

Pradiniai nustatymai

Pirmiausia suteiksime pavadinimą komutatoriui „SW1“

hostname SW1

Kad matyti įvykių pranešimus su teisingais laikais, reikia nustatyti laiko zonas ir darbo stotį iš kurios komutatorius sinchronizuos laiką automatiškai.
Nustatome laiko zoną, kuri Lietuvoje pagal HP yra 120. Taip pat reikia nustatyti pakeitimus, kada būna vasaros ar žiemos laikas.


time timezone 120
time daylight-time-rule user-defined begin-date 03/27 end-date 10/30

Taip pat paleidžiame ir nustatome NTP servisus, kad komutatorius sinchronizuotųsi laiką iš vidiniame tinkle esančių darbinių stočių, kuriose veikia NTP servisas. Naudosime kelias darbines stotis, kurių IP adresai 192.168.100.100 ir 192.168.100.200. Naudosime srauto transliavimo būdą (anlg. Unicast), o informacija atnaujinsime kas 5 minutes.


sntp server 192.168.100.100
sntp server 192.168.100.200
timesync sntp
sntp unicast
sntp 30

Laiką galima patikrinti taip:

show time

Suteikiame komutatoriui informacijos.


snmp-server contact "IT skyrius" location "Duomenu centras 1"

L2 nustatymai

Nustatome normalų transliavimo (anlg. Broadcast) srauto kiek iki 20%.


interface 1-24
broadcast-limit percent 20

Pagal poreikį, galima komutatoriaus tinklo prievadui suteikti pavadinimą (jei reikia prisiminti kas prijungta prie jo).


int 2
name ValdiklisA

Apsirašome reikalingus virtualius tinklus (angl. VLAN). Pirmiausia apsirašome tinklo įrenginių administravimo potinklį, iš kurio valdome visus tinkle esančių įrenginius.


vlan 10 name Valdymas
management-vlan 10

Komutatorius bus jungiamas prieigos lygyje (angl. Access layer) prie kito paskirstomojo lygio (anlg. Distribution layer) komutatoriaus. Sujungimui naudosime komutatoriaus prievadą 10 ir priskirsime jį prie magistralinio tipo prievado (anlg. Trunk) su galimybė ateityje prijungti kitą komutatoriaus prievadą, į tą patį magistralinį prievadą. Kad apjungti ir paskirstyti duomenų srautus bus panaudotas LCAP protokolas.

Sukuriame magistralinį tinklo prievadų apjugimą.


trunk 25-26 Trk1 LACP

Pasižiūrime ką sukūrėme.


show trunk
show lacp

Priskiriame prievadus prie sukurtų virtualių potinklių. Šiek tiek apie prievadų priskyrimą ir (802.1Q).
Aruba (HP) komutatoriuose galimos IP etiketės (802.1Q) yra šios: untagged, tagged, no tagged, forbid.

  • untagged – etiketė reiškia, kad į/iš prievado patenka tik priskirto virtualaus potinklio IP paketai. Prie šių prievadų jungiami vartotojų tinklo įrenginiai.
  • tagged – etiketė reiškia, kad į/iš prievado patenka 2 ir daugiau priskirtų virtualių potinklių IP paketų. Prie šių prievadų jungiama tinklo įranga, kurios prievaduose taip pat yra aprašytos tokios etiketės. Dažniausiai tokie prievadai vadinami magistralinio tipo prievadais (anlg. Trunk), o prie jungiami komutatoriai, AP ar VOIP telefonai.
  • no tagged – etiketė reiškia, kad prievadas nepriskirtas jokiam virtualiam potinkliui.
  • forbid – etiketė reiškia, kad prievadas negali būti priskirtas nurodytame virtualiame potinklyje.

    • Mano sukurtu magistralinio tipo prievadu Trk1 (anlg. Trunk) turės keliauti kelių virtualių potinklių IP paketai. Todėl reikia priskirti atitinkamų virtualių potinklių etiketes vlan 20, 30.


    vlan 20 tagged trk1
    vlan 30 tagged trk1

    Toliau šių potinklių IP paketai turės nukeliauti į jiems priskirtus komutatorius prievadus. Mes aktyvuosime 1-4 prievadus ir išeinantiems IP paketams pašalinsime 802.1Q etiketes. Taip leisime galiniai įrangai gauti tik jiems skirtus duomenų paketus.


    vlan 20 untagged 1-2
    vlan 30 untagged 3

    L3 nustatymai

    Komutatoriui suteiksime IP 192.168.100.100 adresą iš tinklo įrenginių administravimo potinklio.


    vlan 10
    ip address 192.168.100.100 255.255.255.0

    Dažniausiai tinklų sąsajos (angl. gateway) IP adresas priskiriamas iš tinklo įrenginių administravimo potinklio.


    ip default-gateway 192.168.100.254

    Saugumas

    Kad niekas negalėtų panaudotų laisvų prievadų komutatoriuje, visus prievadus išjungiame. Aktyvuosime tik tada, kada prijungsime tinklo įrenginius.


    interface 1-10 disable

    Dar verta užsiminti yra galimybė įjungti prievadų saugumą (anlg. port security) ir nustatytį kokius ir kiek MAC adresų leisti, o esant pažeidimui, kada išjungti prievadą. Ši saugumo priemonė yra efektyvi, ten kur yra numatyti ir žinomi, kokie bus prijungiami į komutatorių įrenginiai.
    Pavyzdys leidžiame tik vieną MAC adresą tinklo prievade 5.


    port-security 5 learn-mode limited-continuous
    port-security 5 action send-disable

    Uždraudžiame SNMP grupę „Public“.


    snmp-server community "public" restricted

    Jei nesiruošiate naudoti, galima tiesiog pašalinti.

    no snmp-server community "public"

    Leidžiame tik SNMPv3.


    snmpv3 only
    snmpv3 restricted-access

    Išjungsime komutatoriaus paslaugas (angl. services), kurių mes nenaudosime. Tarp jų Telnet, TFTP ir galimybė keisti įrenginio nustatymus naudojantis interneto naršykle.


    no telnet-server
    no tftp server
    no tftp client
    no web-management

    Išjungiame žemo lygio protokolus, jei nenaudojami.


    no cdp run
    no lldp run

    Priskirsime slaptažodį tiek „operator“, tiek „manager“ varototojams tą patį.


    password all

    Jei yra poreikis galima priskirti skirtingus slaptažodžius.


    password operator
    password manager

    Nustatysime, kad po 2 minučių neaktyvus susijungimas būtų automatiškai nutrauktas visose įrenginio valdymo terminaluose (anlg. console).


    console inactivity-timer 120

    Išjungiame IP stack palaikymą, jei nanaudojame.


    no stack

    Trumpai SNMP nustatymai

    Pabaigai, šiek tiek informacijos apie SNMP konfigūravimą. Šiame komutatoriuje įjugsime SNMP v3 versiją ir sukursime atitinkamai benriją, vartotoją ir slaptažodžius.

    Aktyvuojame SNMPv3 palaikymą Aruba/HP komutatoriuje.


    snmpv3 enable
    Creating user 'initial'
    Authentication Protocol: MD5
    Enter authentication password: 123456789
    Enter privacy password: 123456789
    User 'initial' has been created
    Would you like to create a user that uses SHA? [y/n] n
    Would you like to restrict SNMPv1 and SNMPv2c messages to have read only
    access (you can set this later by the command 'snmpv3 restricted-access')? [y/n]n

    Sukuriame vartotoją vartotojas su pilna autorizacija ir žinučių šifravimu authPriv. SNMPv3 turi 3 saugumo lygius:

    • noAuthNoPriv: authentifikuojama pagal vartotojo vardą nešifruotu duomenų paketu
    • authNoPriv: authentifikuojama pagal MD5 ar SHA žinučių rinkinį nešifruotu duomenų paketu
    • authPriv: authentifikuojama pagal MD5 ar SHA žinučių rinkinį DES šifruotu duomenų paketu

    Sukuriame vartotoją „vartotojas”.

    snmpv3 user vartotojas auth md5 slaptazodis priv slaptazodis2

    Priskiriame vartotojas į nauja saugumo grupę su grupės teisėmis managerpriv (kad pasiekti visus MIB objektus reikalauja šifruoto kanalo ir autentifikacijos) ir parinksime saugumo modelį v3 (nes tik šį modelį reikia naudoti su SNMPv3).

    Peržiūrime sukurtą vartotoją


    show snmpv3 user


    snmpv3 group managerpriv user vartotojas sec-model ver3

    Peržiūrime sukurtą saugumo grupę


    show snmpv3 group

    Toliau priskirsime SNMPv3 bendriją (angl. community) prie sukurtos grupės teisių.


    snmpv3 community index 11 name dudeV3sec sec-name dudeMon tag dudevm

    Peržiūrime sukurtą bendriją


    show snmpv3 community

Publikavo: 

Padedame prisijungti prie pasaulio ipv4/ipv6 lygio tinklų pagalba. ITIL, CISCO, Mikrotik, MCP, CompTIA, LPI