Базовая архитектура и настройка сети передачи данных на базе оборудования Alcatel OmniSwitch
Ожидает приглашения
Здравствуйте, уважаемые Хабравчане. В статье я хочу рассмотреть использование оборудования Alcatel OmniSwitch (OmniSwitch 6850E — в качестве коммутатора уровня доступа и 9702E — в качестве уровня ядра/распределения) в корпоративной сети.
Предлагается следующий порядок ввода в действие ЛВС:
1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства
2. Включаем udld на портах (оптических) направленных на коммутаторы
3. Агрегируем каналы, там, где в этом есть необходимость
4. Создаем транки и VLAN. MVRP.
5. Настраиваем STP(MSTP). Проверяем что включен режим 802.1w, иначе сходимость сети будет очень медленная
6. Настраиваем расширения для STP (root-guard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort) Настраиваем Port-Security — максимальное количество маков на пользовательских портах — 5
1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства
Управление счетчиками интерфейса
Сброс статистики порта:
-> interfaces 2/3 no l2 statistics
Сброс статистики на модуле:
-> interfaces 2 no l2 statistics
Сброс статистики на группе портов:
-> interfaces 2/1-3 no l2 statistics
Сброс статистики порта только для CLI, SNMP статистика сохраняется:
-> interfaces 2/1-3 no l2 statistics cli
Просмотр статистики по порту:
-> show interfaces
-> show interfaces accounting
-> show interfaces counters
-> show interfaces capability
-> show interfaces status
Включение и отключение интерфейса
Отключение всех интерфейсов модуля
-> interfaces 2 admin down
Отключение интерфейса
-> interfaces 2/3 admin down
Включение группы интерфейсов
-> interfaces 2/1-3 admin down
Просмотр
-> show interfaces 1/1 port
-> show interfaces 1 port
Описания интерфейса
Добавление
-> interfaces 3/1 alias switch_port
-> interfaces 2/2 alias «IP Phone»
Удаление
-> interfaces 3/1 alias ""
Настройка параметров порта
Скорость
interfaces {slot | slot/port[-port2]} speed {auto | 10| 100 | 1000 | 10000 | max {100 | 1000}}
-> interfaces 2 autoneg disable
-> interfaces 2 speed 100
-> interfaces 2/3 speed 100
-> interfaces 2/1-3 speed 100
Дуплекс
interfaces {slot | slot/port[-port2]} duplex {full | half | auto}
-> interfaces 2 autoneg disable
-> interfaces 2 duplex full
-> interfaces 2/3 duplex full
-> interfaces 2/1-3 duplex full
Автосогласование скорости и дуплекса
-> interfaces 2 autoneg enable
-> interfaces 2/3 autoneg enable
-> interfaces 2/3 autoneg disable
Выбор типа MDI
interfaces {slot | slot/port[-port2]} crossover {auto | mdix | mdi}
• mdix – типичный режим работы для концентраторов и коммутаторов;
• mdi – типичный режим работы для хостов.
-> interfaces 3 crossover mdi
-> interfaces 3/1 crossover mdix
-> interfaces 3/1-4 crossover auto
Просмотр
-> show interfaces 5/1
-> show interfaces 5/1 capability
-> show interfaces 1/2 status
Диагностика кабельного соединения
Запуск теста
-> interfaces 2/1 tdr-test-start
Отображение результатов теста
-> show interfaces 1/3 tdr-statistics
Legend: Pair 1 — green and white
Pair 2 — orange and white
Pair 3 — brown and white
Pair 4 — blue and white
Slot/ No of Cable Fuzzy Pair1 Pair1 Pair2 Pair2 Pair3 Pair3 Pair4 Pair4 Test
port pairs State Length State Length State Length State Length State Length Result
-----+-----+------+-----+-----+-----+------+------+-----+------+-----+------+------
1/3 4 ok 0 ok 3 ok 3 ok 3 ok 3 success
Расшифровка результатов теста:
• OK—Wire is working properly
• Open—Wire is broken
• Short—Pairs of wire are in contact with each other
• Crosstalk—Signal transmitted on one pair of wire creates an undesired effect in another wire.
• Unknown—Cable diagnostic test unable to find the state of a cable.
Сброс результатов теста
-> interfaces 2/1 no tdr-statistics
Violation Recovery
Определение портов в состоянии violation-disabled
-> show interfaces 1/1 port
Legends: WTR — Wait To Restore
# — WTR Timer is Running & Port is in wait-to-restore state
* — Permanent Shutdown
Slot/ Admin Link Violations Recovery Recovery WTR Alias
Port Status Status Time Max (sec)
------+----------+---------+----------+----------+----------+----------+--------
1/1 enable down none 300 1 0 ""
Разблокировка портов
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
Устанавливаем на оборудование ip адреса для удаленного управления, присваиваем оборудованию его имя, разрешаем удаленный доступ к коммутаторам, для чего необходимо включить локальную аутентификацию:
9702-gu-1
system name os9702-1
system timezone ZP4
system daylight savings time disable
vlan 15 enable name " MANAGEGU"
ip interface «Mng» address 10.8.128.160 mask 255.255.255.0 vlan 15
aaa authentication telnet «local»
9702-gu-2
system name os9702-2
system timezone ZP4
system daylight savings time disable
vlan 15 enable name " MANAGEGU"
ip interface «Mng» address 10.8.128.161 mask 255.255.255.0 vlan 15
9702-RC-1
system name os9702-gu-2
system timezone ZP4
system daylight savings time disable
vlan 5 enable name " MANAGER"
ip interface «Mng» address 10.9.128.87 mask 255.255.255.128 vlan 15
aaa authentication telnet «local»
9702-RC-2
system name os9702-gu-2
system timezone ZP4
system daylight savings time disable
vlan 5 enable name " MANAGER"
ip interface «Mng» address 10.8.129.88 mask 255.255.255.128 vlan 15
aaa authentication telnet «local»
По умолчанию для входа на коммутатор необходимо использовать следующие данные:
Login – admin;
Password – switch.
2. Включаем udld на портах (оптических) направленных на коммутаторы
Включение UDLD:
udld enable
включение UDLD на определенном порту:
udld port 3/2 enable
просмотр общей конфигурации:
show udld configuration
Global UDLD Status: enabled,
Global UDLD Mode: normal,
Global UDLD Probe Timer (Sec): 15,
Global UDLD Echo-Wait Timer (Sec): 8
просмотр состояния порта:
show udld status port 3/3
Admin State: enabled,
Operational State: bidirectional
просмотр информации о соседе на определенном порту:
show udld neighbor port 3/23
Neighbor Id Device Id Port Id
-----------------+-------------------+--------------------
1 00:e0:b1:cc:46:38 00:e0:b1:ca:41:8a
Разблокировка порта UDLD
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
UDLD должен быть включен только между портами соединяющими активное оборудования ЛВС (коммутаторы), или говоря по-другому только на оптических портах соединяющих оборудование уровня доступа с оборудованием уровня ядра. UDLD может работать в двух режимах normal и aggressive, в режиме работы normal порт будет заблокирован только в случае, если из обмена и обработки UDLD-PDU явно следует, что канал между коммутаторами неисправен. В режиме работы UDLD aggressive порт будет блокирован и в случае отсутствия обмена UDLD-PDU между устройствами. Разумно выбрать режим работы UDLD – aggressive для работы на уровне распределения и режим работы UDLD – normal для уровня доступа.
Следует обратить внимание, что протокол UDLD не включен между оборудованием Cisco и ALU, связано это с несовместимостью реализаций данного протокола между этими производителями. Следует быть особенно внимательными при коммутации соединений между оборудованием Cisco и ALU
show udld status port
Slot/Port Admin State Operational State
-------------+---------------+---------------------
2/2 enabled bidirectional
show udld configuration port 2/2
Global UDLD Status: enabled,
Port UDLD Status: enabled,
Port UDLD State: bidirectional,
UDLD Op-Mode: aggressive,
Probe Timer (Sec): 15,
Echo-Wait Timer (Sec): 8
Разблокировать заблокированный порт можно командой:
interfaces 2/2 clear-violation-all
-> udld mode aggressive
-> udld mode normal
-> udld port 1/3 mode aggressive
-> udld port 2/4 mode normal
-> udld port 2/9-18 mode aggressive
3. Агрегируем каналы, там, где в этом есть необходимость
Статическая агрегация
Создание linkagg группы 1 с возможным количеством в два порта:
static linkagg 1 size 2 admin state enable
добавление портов в linkagg группу:
static agg 3/23 agg num 1
static agg 13/3 agg num 1
Динамическая агрегация (LACP)
Создание linkagg группы 1 с возможным количеством в два порта:
lacp linkagg 11 size 2 admin state enable
lacp linkagg 11 actor admin key 11
добавление портов в linkagg группу:
lacp agg 1/1 actor admin key 11
lacp agg 2/1 actor admin key 11
Просмотр информации об агрегированных соединениях
просмотр общей информации о всех созданный группах на устройстве:
show linkagg
Number Aggregate SNMP Id Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+------------+--------------+-------------
1 Static 40000001 2 ENABLED UP 1 2
2 Static 40000002 4 ENABLED UP 2 4
просмотр конфигурации определенной группы:
show linkagg 1
Static Aggregate
SNMP Id: 40000001,
Aggregate Number: 1,
SNMP Descriptor: Omnichannel Aggregate Number 1 ref 40000001 size 2,
Name:,
Admin State: ENABLED,
Operational State: UP,
Aggregate Size: 2,
Number of Selected Ports: 2,
Number of Reserved Ports: 2,
Number of Attached Ports: 1,
Primary Port: 3/23
-> show linkagg 2
Dynamic Aggregate
SNMP Id: 40000002,
Aggregate Number: 2,
SNMP Descriptor: Dynamic Aggregate Number 2 ref 40000002 size 4,
Name: AGG 2,
Admin State: ENABLED,
Operational State: DOWN,
Aggregate Size: 4,
Number of Selected Ports: 0,
Number of Reserved Ports: 0,
Number of Attached Ports: 0,
Primary Port: NONE,
LACP
MACAddress: [00:1f:cc:00:00:00],
Actor System Id: [00:20:da:81:d5:b0],
Actor System Priority: 50,
Actor Admin Key: 120,
Actor Oper Key: 0,
Partner System Id: [00:20:da:81:d5:b1],
Partner System Priority: 70,
Partner Admin Key: 220,
Partner Oper Key: 0
Pre-emption: ENABLED
Pre-empt Value: 250
просмотр информации об определенном порту:
show linkagg port 3/13
Static Aggregable Port
SNMP Id: 3013,
Slot/Port: 3/13,
Administrative State: ENABLED,
Operational State: DOWN,
Port State: SELECTED,
Link State: DOWN,
Selected Agg Number: 2,
Port position in the aggregate: 3,
Primary port: NO
Для соединений используется статическая агрегация каналов, так как неисправность оптических каналов диагностируется оборудованием на аппаратном уровне.
9702:
static linkagg 13 size 2 admin state enable
static agg 2/1 agg num 13
static agg 4/1 agg num 13
9702:
static linkagg 13 size 2 admin state enable
static agg 2/1 agg num 13
static agg 4/1 agg num 13
Настройка DHL
Создаем группу DHL:
dhl num 1 name DHL_TO_CORE
dhl num 1 mac-flushing RAW
добавляем порты и включаем группу:
dhl num 1 linka port 1/49 linkb port 1/50
dhl num 1 admin-state enable
проверяем состояние:
show dhl num 1
DHL session name: DHL_TO_CORE
Admin state: up,
Operational state: up,
Pre-emption time(sec): 30,
Mac Flushing: raw,
Active MAC flushing: raw,
LinkB Vlan Map: none,
Protected Vlans: 1-13 15
LinkA:
Port: 1/49,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: 1-13 15
LinkB:
Port: 1/50,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: none
Механизм DHL служит для обеспечения резервных подключений к уровню распределения, с момента появления у оборудования ALU режима работы DHL Active-Active разумного использовать именного его, так как предыдущая реализация не позволяла балансировать нагрузкой между каналами и сложнее настраивалась. Фактически использовался механизм LACP с искаженными параметрами, который обманывал коммутатор уровня доступа и заставлял его объединить в единый канал соединения, ведущие к разным коммутаторам уровня распределения. Режим DHL Active-Active по своему поведению похоже на аналогичную технологию у Cisco — FlexLink. В данной реализации, как у Cisco один линк активен, а второй блокирован, поскольку пропускная способность в настоящий момент между доступом и распределением составляет от 1 до 10 Гб/сек, то для простоты и логичности восприятия настроек балансировать нагрузкой не будем.
dhl num 1 name DHL_TO_CORE
dhl num 1 mac-flushing RAW
dhl num 1 linka port 1/49 linkb port 1/50
dhl num 1 admin-state enable
show dhl num 1
DHL session name: DHL_TO_CORE
Admin state: up,
Operational state: up,
Pre-emption time(sec): 30,
Mac Flushing: raw,
Active MAC flushing: raw,
LinkB Vlan Map: none,
Protected Vlans: 1-13 15
LinkA:
Port: 1/49,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: 1-13 15
LinkB:
Port: 1/50,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: none
А также FlexLink:
`
Switch# configure terminal
Switch(conf)# interface gigabitethernet0/17
Switch(conf-if)#switchport backup interface gigabitethernet0/18
Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption mode forced
Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption delay 30
Switch(conf-if)# end
Switch# show interfaces switchport backup detail
Active Interface Backup Interface State
—
GigabitEthernet0/17 GigabitEthernet0/18 Active Up/Backup Standby
Interface Pair: Gi0/1, Gi0/2
Preemption Mode: forced Preemption
Delay: 30 seconds
Bandwidth: 100000 Kbit (Gi0/1), 100000 Kbit (Gi0/2)
Mac Address Move Update Vlan: auto
Настройка технологии Dual-HomeLinkAggregation позволяет поддерживать соединение коммутаторов уровня доступа с коммутаторами уровня ядра-распределения в ситуации, когда один из коммутаторов уровня ядра-распреледения выходит из строя. Эта технология функционирует без протокола STP, что позволяет значительно уменьшить время простоя.
4. Создаем транки и VLAN
Создание VLAN
Допустимый диапазон для VLAN 2-4094:
-> vlan 75 enable name “IP Finance Network”
-> vlan 10-15 100-105 200
Удаление VLAN
При удаления VLAN одновременно удаляются все ip-интерфейсы связанные с этими VLAN, одновременно удаляются все ассоциации портами и транками.
-> no vlan 75
-> no vlan 100-105
-> no vlan 10-15 200
Изменение состояние VLAN
Если административный статус VLAN== DISABLE то трафик для этого VLAN передаваться не будет.
-> vlan 755 disable
-> vlan 255 enable
Назначение/изменение описания VLAN
-> vlan 455 name “Marketing IP Network”
-> vlan 455 name Marketing-IP-Network
Просмотр информации о VLAN на коммутаторе
-> show vlan
stree mble src
vlan type admin oper 1x1 flat auth ip ipx tag lrn name
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
1 std on on on on off on NA off on VLAN 1
2 std on on on on off on NA off on Ljalkov
-> show vlan 100
Name: VLAN 100,
Administrative State: enabled,
Operational State: disabled,
1x1 Spanning Tree State: disabled,
Flat Spanning Tree State: enabled,
Authentication: disabled,
IP Router Port: off,
IP MTU: 1500,
IPX Router Port: none,
Mobile Tag: off,
Source Learning: disabled,
Traffic-Type: ethernet-service Customer SVLAN,
Priority-Map: x->0
Размещение порта в VLAN
Размещение порта в vlan:
-> vlan 755 port default 3/2
Размещение агрегированного канала в vlan:
-> vlan 6 port default 2
Где 2 – номер агрегированного канала
Просмотр информации о портах, размещенных в VLAN
-> show vlan 10 port
port type status
+------+--------+------------+
1/1 default forwarding
1/2 qtagged forwarding
1/3 mobile forwarding
-> show vlan 500 port 8/16
type :default
status :blocking
vlan admin :on
vlan oper :off
port admin :on
port oper :off
-> show vlan port
vlan port type status
+-----+-------+---------+------------+
1 1/1 default inactive
2 1/2 default blocking
1/3 mobile forwarding
11/4 qtagged forwarding
3 1/2 qtagged blocking
11/4 default forwarding
2/5 dynamic forwarding
Управление транками
Включение меток 802.1q на порту:
-> vlan 5 802.1q 3/4
-> vlan 5 802.1q 3/4 “port tag”
-> vlan 2-13 15 802.1q 3/1
Включение меток 802.1q на агрегированном канале:
-> vlan 5 802.1q 8
-> vlan 5 802.1q 8 “agg port tag”
-> vlan 2-13 15-22 101 802.1q 3
Просмотр информации о транках
-> show 802.1q 3
Tagged VLANS Internal Description
-------------+------------------------------------------+
15 TAG AGGREGATE 3 VLAN 15
22 TAG AGGREGATE 3 VLAN 22
30 TAG AGGREGATE 3 VLAN 30
31 TAG AGGREGATE 3 VLAN 31
-> show vlan port 1
vlan type status
--------+---------+--------------
1 default forwarding
2 qtagged forwarding
3 qtagged forwarding
9702-1 и 9702-RC-1
vlan 81 enable name " Link1-rc-nb"
vlan 81 port default 5/1
9702-2 и 9702-RC-2
vlan 82 enable name " Link2-rc-nb"
vlan 82 port default 5/1
802.1q
Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения.
vlan 2 802.1q 13 «TAG AGGREGATE 10 VLAN 2»
vlan 3 802.1q 13 «TAG AGGREGATE 10 VLAN 3»
vlan 4 802.1q 13 «TAG AGGREGATE 10 VLAN 4»
vlan 5 802.1q 13 «TAG AGGREGATE 10 VLAN 5»
vlan 6 802.1q 13 «TAG AGGREGATE 10 VLAN 6»
Vlan
Настройку (создание) ВЛВС необходимо произвести на каждом коммутаторе. Поэтому в соответствии разделом 1 создаем ВЛВС на всех устройствах.
Например:
vlan 14 enable name «VLAN 14»
vlan 15 enable name «VLAN 15»
vlan 24 enable name «VLAN 24»
show vlan
802.1q
Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения, все ВЛВС в соответствии с разделом 1
vlan 14 802.1q 1/49
vlan 15 802.1q 1/49
vlan 24 802.1q 1/49
vlan 14 802.1q 2/49
vlan 15 802.1q 2/49
vlan 24 802.1q 2/49
show vlan port 1/49
vlan type status
--------+---------+--------------
1 default forwarding
14 qtagged forwarding
15 qtagged forwarding
24 qtagged forwarding
Помещение пользовательских портов в VLAN
Добавление пользователей ВЛВС необходимо произвести на каждом коммутаторе. Работа довольно нудная, но никаких сложностей в ней нет. Проще всего сделать, создав в текстовом редакторе скрипт, который через вставку затем добавляется во все устройства. Далее на необходимо распределить пользователей по ВЛВС, наверное, это самая кропотливая и механическая работа. Требует внимательности, но никаких других сложностей не представляет.
vlan 2 port default 3/1
show vlan port 3/1
vlan type status
--------+---------+--------------
2 default forwarding
MVRP:
MVRP даёт возможность:
• Динамически конфигурировать и распределять информацию о принадлежности VLAN через механизмы MVRP.
• Статически конфигурировать информацию о принадлежности VLAN посредством механизмов менеджмента, которые позволяют управлять регистрационными данными о статических записях регистраций VLAN.
• Поддерживать комбинированные статические и динамические конфигурации, при которых некоторые VLAN конфигурируются посредством механизмов менеджмента, а для других VLAN сохраняется возможность динамической конфигурации средствами MVRP.
Включени MVRP
mvrp enable
добавление в MVRP порта или linkagg группы:
mvrp linkagg 1 enable – linkagg группа
mvrp port 3/1 enable – порт
запрещение объявления данного vlan через определенную linkagg группу:
mvrp linkagg 1 restrict-vlan-advertisement vlan 2161
включение режима participant на порту/linkagg группе, который отвечает за изменение MVRP PDU в зависимости от роли порта в STP:
mvrp linkagg 1 applicant participant
mvrp port 1/6 applicant participant
просмотр общей конфигурации MVRP:
SWR-1# show mvrp configuration
MVRP Enabled: yes,
Transparent Switching Enabled: no,
Maximum VLAN Limit: 256
Просмотр настроек MVRP на данной linkagg группе:
SWR-1# show mvrp linkagg 1
MVRP Enabled: yes,
Registrar Mode: normal,
Applicant Mode: participant,
Join Timer (msec): 600,
Leave Timer (msec): 1800,
LeaveAll Timer (msec): 30000,
Periodic Timer (sec): 1,
Periodic Tx status: disabled
Просмотр полученных vlan через MVRP:
SWR-1# show vlan mvrp
stree mble
vlan type admin oper 1x1 flat auth ip ipx tag name
-----+-----+------+------+------+------+----+-----+-----+-----+----------
2162 mvrp on on off on off off NA off VLAN 2162
Добавленные vlan через MVRP на транке выглядят следующим образом:
SWR-1# show 802.1q 1
Tagged VLANS Internal Description
-------------+------------------------------------------+
2162 Dyn VPA
5. Настраиваем STP(MSTP)
Переход в режим одного дерева:
bridge mode flat
включение протокола mstp:
bridge cist protocol mstp
присвоение revision level:
bridge mst region revision level 1
создание региона rci:
bridge mst region name rci
присвоение приоритета:
bridge cist priority 4096
включение root-guard на данной linkagg группе:
bridge cist 2 root-guard enable
просмотр общей информации о STP:
SWR-1# show spantree cist
Spanning Tree Parameters for Cist
Spanning Tree Status: ON,
Protocol: IEEE Multiple STP,
mode: FLAT (Single STP),
Auto-Vlan-Containment: Enabled,
Priority: 4096 (0x1000),
Bridge ID: 1000-00:e0:b1:cc:46:58,
CST Designated Root: 1000-00:e0:b1:cc:46:58,
Cost to CST Root: 0,
Next CST Best Cost: 0,
Designated Root: 1000-00:e0:b1:cc:46:58,
Cost to Root Bridge: 0,
Root Port: None,
Next Best Root Cost: 0,
Next Best Root Port: None,
TxHoldCount: 3,
Topology Changes: 6,
Topology age: 03:54:16,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
просмотр роли портов:
show spantree ports
Msti Port Oper Status Path Cost Role
-----+------+------------+---------+-------
0 1/1 DIS 0 DIS
0 3/24 FORW 200000 DESG
0 0/1 FORW 12000 ROOT
0 0/2 BLK 8000 ALT
просмотр информации о регионе:
show spantree mst region
Configuration Name = rci,
Revision Level = 1,
Configuration Digest = 0xac36177f 50283cd4 b83821d8 ab26de62,
Revision Max hops = 20,
Cist Instance Number = 0
На оборудовании уровня доступа основным инструментом обеспечения резервных подключений к уровню доступа является механизм DHL (или flexlink в терминологии Cisco), потому можно использовать любой режим работы STP однако для унификации с оборудованием уровня доступа выбран режим работы STP – 802.1w flat.
Для оборудования ALU настройка выглядит следующим образом:
bridge mode flat
show spantree 1
Spanning Tree Parameters
Spanning Tree Status: ON,
Protocol: IEEE Rapid STP,
mode: FLAT (Single STP),
Auto-Vlan-Containment: Enabled,
Priority: 8192 (0x2000),
Bridge ID: 2000-e8:e7:32:16:ec:80,
Designated Root: 1000-e8:e7:32:16:ec:40,
Cost to Root Bridge: 1,
Root Port: Slot 0 Interface 1,
Next Best Root Cost: 0,
Next Best Root Port: None,
TxHoldCount: 3,
Topology Changes: 3,
Topology age: 1 days and 22:41:02,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
6. Настраиваем расширения для STP (rootguard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort)
BPDU-guard
Добавление портов в группу UserPorts:
policy port group UserPorts 1/3-48 2/3-48
Изменение портов входящих в группу UserPorts:
no policy port group UserPorts
policy port group UserPorts 1/3-9 11-48 2/3-48
выключение портов при получении BPDU:
qos user-port shutdown bpdu
qos apply
просмотр портов входящих в UserPorts
-> show policy port group
просмотр конфигурации qos:
SWR-1# show qos config
QoS Configuration:
Enabled: Yes
Pending changes: None
DEI:
Mapping: Disabeled
Marking: Disabeled
Classifier:
Default queues: 8
Default queue service: strict-priority
Trusted ports: No
NMS Priority: Yes
Phones: trusted
Default bridged disposition: accept
Default routed disposition: accept
Default IGMP/MLD disposition: accept
Logging:
Log lines: 256
Log level: 6
Log to console: No
Forward log: No
Stats interval: 60 seconds
Userports:
Filter: spoof
Shutdown: bpdu
Quarantine Manager:
Quarantine MAC Group: Quarantined
Quarantined Page: Yes
Remediation URL:
Debug: info
Автоматичное отключение блокировки портов:
interfaces violation-recovery-time { секунд }
interface violation-recovery-trap {enable | disable}
Разблокировка порта
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
Настройка Port security
Включение port security на порту:
port-security 1/3 enable
установка максимального количества MAC адресов:
port-security 1/3 maximum 5
port-security 1/3 max-filtering 0
при достижении ограничения в количестве МАС адресов порт выключается:
port-security 1/3 VIOLATION SHUTDOWN
Просмотр информации о PortSecurity
-> show port-security brief
OS6850gu-48-ink-1-> show port-security brief
Legend: enable * = Learning Window has expired
Slot/ Nb Macs Nb Macs Nb Macs
Port Status Max Max-Filter Bridged Filtered Static
------+------------+--------+----------+-----------+-----------+--------
1/3 ENABLED 5 0 0 0 0
1/4 ENABLED 5 0 0 0 0
1/5 ENABLED 5 0 1 0 0
1/6 ENABLED 5 0 1 0 0
1/7 ENABLED 5 0 1 0 0
1/8 ENABLED 5 0 0 0 0
…
-> show port-security
SHUTDOWN BRIEF <slot/port1-port2>
<slot/port> -> show port-security 1/3
Legend: Mac Address: * = Duplicate Static
Mac Address: # = Pseudo Static
Port: 1/3
Operation Mode: ENABLED,
Max MAC bridged: 5,
Trap Threshold: DISABLED,
Max MAC filtered: 0,
Low MAC Range: 00:00:00:00:00:00,
High MAC Range: ff:ff:ff:ff:ff:ff,
Violation: SHUTDOWN,
Violating MAC: NULL
MAC Address VLAN TYPE
-------------------+------+--------
Разблокировка порта
-> port-security 2/14 release
-> port-security 4/10-15 release
Edge-Port
Также нужно включить на всех пользовательских портах, но нам делать ничего не надо. Данная опция включения по умолчанию. Функционал данного расширения STP аналогичен portfast у Cisco.
BPDU-guard
Здесь все просто, включаем на всех пользовательских портах. Для автоматической разблокировки портов выбираем 10 минут.
qos user-port shutdown bpdu
policy port group UserPorts 1/1-48 2/1-48
qos apply
interfaces violation-recovery-time 600
Разблокировать заблокированный порт можно командой:
interfaces 2/2 clear-violation-all
Port-Security
Также, включаем на всех пользовательских портах. В качестве разумного ограничения видится не более 5 mac адресов за пользовательским портом, в случае превышения данного количества mac адресов порт будет заблокирован.
port-security 1/1-48 admin-status enable
port-security 1/1-48 maximum 5
port-security 1/1-48 max-filtering 0
port-security 1/1-48 VIOLATION SHUTDOWN
Здесь приведена конфигурация для одного коммутатора в стеке, к сожалению, для включения данной функции на всех пользовательских портов набор команд придется повторить для каждого из них. Разблокировать заблокированный порт можно командами:
-> interfaces 2/2 clear-violation-all
-> port-security 2/14 release
-> port-security 4/10-15 release
На этом пока все, спасибо за внимание В дальнейшем планирую описать настроуйку маршрутизации, PBR, VRRP, NTP, DHCP, VRF, AMAP, бэкап и восстановление конфигов и паролей.
Предлагается следующий порядок ввода в действие ЛВС:
1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства
2. Включаем udld на портах (оптических) направленных на коммутаторы
3. Агрегируем каналы, там, где в этом есть необходимость
4. Создаем транки и VLAN. MVRP.
5. Настраиваем STP(MSTP). Проверяем что включен режим 802.1w, иначе сходимость сети будет очень медленная
6. Настраиваем расширения для STP (root-guard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort) Настраиваем Port-Security — максимальное количество маков на пользовательских портах — 5
1. Раздаем IP адреса, настраиваем интерфейсы и именуем устройства
Управление счетчиками интерфейса
Сброс статистики порта:
-> interfaces 2/3 no l2 statistics
Сброс статистики на модуле:
-> interfaces 2 no l2 statistics
Сброс статистики на группе портов:
-> interfaces 2/1-3 no l2 statistics
Сброс статистики порта только для CLI, SNMP статистика сохраняется:
-> interfaces 2/1-3 no l2 statistics cli
Просмотр статистики по порту:
-> show interfaces
-> show interfaces accounting
-> show interfaces counters
-> show interfaces capability
-> show interfaces status
Включение и отключение интерфейса
Отключение всех интерфейсов модуля
-> interfaces 2 admin down
Отключение интерфейса
-> interfaces 2/3 admin down
Включение группы интерфейсов
-> interfaces 2/1-3 admin down
Просмотр
-> show interfaces 1/1 port
-> show interfaces 1 port
Описания интерфейса
Добавление
-> interfaces 3/1 alias switch_port
-> interfaces 2/2 alias «IP Phone»
Удаление
-> interfaces 3/1 alias ""
Настройка параметров порта
Скорость
interfaces {slot | slot/port[-port2]} speed {auto | 10| 100 | 1000 | 10000 | max {100 | 1000}}
-> interfaces 2 autoneg disable
-> interfaces 2 speed 100
-> interfaces 2/3 speed 100
-> interfaces 2/1-3 speed 100
Дуплекс
interfaces {slot | slot/port[-port2]} duplex {full | half | auto}
-> interfaces 2 autoneg disable
-> interfaces 2 duplex full
-> interfaces 2/3 duplex full
-> interfaces 2/1-3 duplex full
Автосогласование скорости и дуплекса
-> interfaces 2 autoneg enable
-> interfaces 2/3 autoneg enable
-> interfaces 2/3 autoneg disable
Выбор типа MDI
interfaces {slot | slot/port[-port2]} crossover {auto | mdix | mdi}
• mdix – типичный режим работы для концентраторов и коммутаторов;
• mdi – типичный режим работы для хостов.
-> interfaces 3 crossover mdi
-> interfaces 3/1 crossover mdix
-> interfaces 3/1-4 crossover auto
Просмотр
-> show interfaces 5/1
-> show interfaces 5/1 capability
-> show interfaces 1/2 status
Диагностика кабельного соединения
Запуск теста
-> interfaces 2/1 tdr-test-start
Отображение результатов теста
-> show interfaces 1/3 tdr-statistics
Legend: Pair 1 — green and white
Pair 2 — orange and white
Pair 3 — brown and white
Pair 4 — blue and white
Slot/ No of Cable Fuzzy Pair1 Pair1 Pair2 Pair2 Pair3 Pair3 Pair4 Pair4 Test
port pairs State Length State Length State Length State Length State Length Result
-----+-----+------+-----+-----+-----+------+------+-----+------+-----+------+------
1/3 4 ok 0 ok 3 ok 3 ok 3 ok 3 success
Расшифровка результатов теста:
• OK—Wire is working properly
• Open—Wire is broken
• Short—Pairs of wire are in contact with each other
• Crosstalk—Signal transmitted on one pair of wire creates an undesired effect in another wire.
• Unknown—Cable diagnostic test unable to find the state of a cable.
Сброс результатов теста
-> interfaces 2/1 no tdr-statistics
Violation Recovery
Определение портов в состоянии violation-disabled
-> show interfaces 1/1 port
Legends: WTR — Wait To Restore
# — WTR Timer is Running & Port is in wait-to-restore state
* — Permanent Shutdown
Slot/ Admin Link Violations Recovery Recovery WTR Alias
Port Status Status Time Max (sec)
------+----------+---------+----------+----------+----------+----------+--------
1/1 enable down none 300 1 0 ""
Разблокировка портов
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
Устанавливаем на оборудование ip адреса для удаленного управления, присваиваем оборудованию его имя, разрешаем удаленный доступ к коммутаторам, для чего необходимо включить локальную аутентификацию:
9702-gu-1
system name os9702-1
system timezone ZP4
system daylight savings time disable
vlan 15 enable name " MANAGEGU"
ip interface «Mng» address 10.8.128.160 mask 255.255.255.0 vlan 15
aaa authentication telnet «local»
9702-gu-2
system name os9702-2
system timezone ZP4
system daylight savings time disable
vlan 15 enable name " MANAGEGU"
ip interface «Mng» address 10.8.128.161 mask 255.255.255.0 vlan 15
9702-RC-1
system name os9702-gu-2
system timezone ZP4
system daylight savings time disable
vlan 5 enable name " MANAGER"
ip interface «Mng» address 10.9.128.87 mask 255.255.255.128 vlan 15
aaa authentication telnet «local»
9702-RC-2
system name os9702-gu-2
system timezone ZP4
system daylight savings time disable
vlan 5 enable name " MANAGER"
ip interface «Mng» address 10.8.129.88 mask 255.255.255.128 vlan 15
aaa authentication telnet «local»
По умолчанию для входа на коммутатор необходимо использовать следующие данные:
Login – admin;
Password – switch.
2. Включаем udld на портах (оптических) направленных на коммутаторы
Включение UDLD:
udld enable
включение UDLD на определенном порту:
udld port 3/2 enable
просмотр общей конфигурации:
show udld configuration
Global UDLD Status: enabled,
Global UDLD Mode: normal,
Global UDLD Probe Timer (Sec): 15,
Global UDLD Echo-Wait Timer (Sec): 8
просмотр состояния порта:
show udld status port 3/3
Admin State: enabled,
Operational State: bidirectional
просмотр информации о соседе на определенном порту:
show udld neighbor port 3/23
Neighbor Id Device Id Port Id
-----------------+-------------------+--------------------
1 00:e0:b1:cc:46:38 00:e0:b1:ca:41:8a
Разблокировка порта UDLD
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
UDLD должен быть включен только между портами соединяющими активное оборудования ЛВС (коммутаторы), или говоря по-другому только на оптических портах соединяющих оборудование уровня доступа с оборудованием уровня ядра. UDLD может работать в двух режимах normal и aggressive, в режиме работы normal порт будет заблокирован только в случае, если из обмена и обработки UDLD-PDU явно следует, что канал между коммутаторами неисправен. В режиме работы UDLD aggressive порт будет блокирован и в случае отсутствия обмена UDLD-PDU между устройствами. Разумно выбрать режим работы UDLD – aggressive для работы на уровне распределения и режим работы UDLD – normal для уровня доступа.
Следует обратить внимание, что протокол UDLD не включен между оборудованием Cisco и ALU, связано это с несовместимостью реализаций данного протокола между этими производителями. Следует быть особенно внимательными при коммутации соединений между оборудованием Cisco и ALU
show udld status port
Slot/Port Admin State Operational State
-------------+---------------+---------------------
2/2 enabled bidirectional
show udld configuration port 2/2
Global UDLD Status: enabled,
Port UDLD Status: enabled,
Port UDLD State: bidirectional,
UDLD Op-Mode: aggressive,
Probe Timer (Sec): 15,
Echo-Wait Timer (Sec): 8
Разблокировать заблокированный порт можно командой:
interfaces 2/2 clear-violation-all
-> udld mode aggressive
-> udld mode normal
-> udld port 1/3 mode aggressive
-> udld port 2/4 mode normal
-> udld port 2/9-18 mode aggressive
3. Агрегируем каналы, там, где в этом есть необходимость
Статическая агрегация
Создание linkagg группы 1 с возможным количеством в два порта:
static linkagg 1 size 2 admin state enable
добавление портов в linkagg группу:
static agg 3/23 agg num 1
static agg 13/3 agg num 1
Динамическая агрегация (LACP)
Создание linkagg группы 1 с возможным количеством в два порта:
lacp linkagg 11 size 2 admin state enable
lacp linkagg 11 actor admin key 11
добавление портов в linkagg группу:
lacp agg 1/1 actor admin key 11
lacp agg 2/1 actor admin key 11
Просмотр информации об агрегированных соединениях
просмотр общей информации о всех созданный группах на устройстве:
show linkagg
Number Aggregate SNMP Id Size Admin State Oper State Att/Sel Ports
-------+----------+---------+----+------------+--------------+-------------
1 Static 40000001 2 ENABLED UP 1 2
2 Static 40000002 4 ENABLED UP 2 4
просмотр конфигурации определенной группы:
show linkagg 1
Static Aggregate
SNMP Id: 40000001,
Aggregate Number: 1,
SNMP Descriptor: Omnichannel Aggregate Number 1 ref 40000001 size 2,
Name:,
Admin State: ENABLED,
Operational State: UP,
Aggregate Size: 2,
Number of Selected Ports: 2,
Number of Reserved Ports: 2,
Number of Attached Ports: 1,
Primary Port: 3/23
-> show linkagg 2
Dynamic Aggregate
SNMP Id: 40000002,
Aggregate Number: 2,
SNMP Descriptor: Dynamic Aggregate Number 2 ref 40000002 size 4,
Name: AGG 2,
Admin State: ENABLED,
Operational State: DOWN,
Aggregate Size: 4,
Number of Selected Ports: 0,
Number of Reserved Ports: 0,
Number of Attached Ports: 0,
Primary Port: NONE,
LACP
MACAddress: [00:1f:cc:00:00:00],
Actor System Id: [00:20:da:81:d5:b0],
Actor System Priority: 50,
Actor Admin Key: 120,
Actor Oper Key: 0,
Partner System Id: [00:20:da:81:d5:b1],
Partner System Priority: 70,
Partner Admin Key: 220,
Partner Oper Key: 0
Pre-emption: ENABLED
Pre-empt Value: 250
просмотр информации об определенном порту:
show linkagg port 3/13
Static Aggregable Port
SNMP Id: 3013,
Slot/Port: 3/13,
Administrative State: ENABLED,
Operational State: DOWN,
Port State: SELECTED,
Link State: DOWN,
Selected Agg Number: 2,
Port position in the aggregate: 3,
Primary port: NO
Для соединений используется статическая агрегация каналов, так как неисправность оптических каналов диагностируется оборудованием на аппаратном уровне.
9702:
static linkagg 13 size 2 admin state enable
static agg 2/1 agg num 13
static agg 4/1 agg num 13
9702:
static linkagg 13 size 2 admin state enable
static agg 2/1 agg num 13
static agg 4/1 agg num 13
Настройка DHL
Создаем группу DHL:
dhl num 1 name DHL_TO_CORE
dhl num 1 mac-flushing RAW
добавляем порты и включаем группу:
dhl num 1 linka port 1/49 linkb port 1/50
dhl num 1 admin-state enable
проверяем состояние:
show dhl num 1
DHL session name: DHL_TO_CORE
Admin state: up,
Operational state: up,
Pre-emption time(sec): 30,
Mac Flushing: raw,
Active MAC flushing: raw,
LinkB Vlan Map: none,
Protected Vlans: 1-13 15
LinkA:
Port: 1/49,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: 1-13 15
LinkB:
Port: 1/50,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: none
Механизм DHL служит для обеспечения резервных подключений к уровню распределения, с момента появления у оборудования ALU режима работы DHL Active-Active разумного использовать именного его, так как предыдущая реализация не позволяла балансировать нагрузкой между каналами и сложнее настраивалась. Фактически использовался механизм LACP с искаженными параметрами, который обманывал коммутатор уровня доступа и заставлял его объединить в единый канал соединения, ведущие к разным коммутаторам уровня распределения. Режим DHL Active-Active по своему поведению похоже на аналогичную технологию у Cisco — FlexLink. В данной реализации, как у Cisco один линк активен, а второй блокирован, поскольку пропускная способность в настоящий момент между доступом и распределением составляет от 1 до 10 Гб/сек, то для простоты и логичности восприятия настроек балансировать нагрузкой не будем.
dhl num 1 name DHL_TO_CORE
dhl num 1 mac-flushing RAW
dhl num 1 linka port 1/49 linkb port 1/50
dhl num 1 admin-state enable
show dhl num 1
DHL session name: DHL_TO_CORE
Admin state: up,
Operational state: up,
Pre-emption time(sec): 30,
Mac Flushing: raw,
Active MAC flushing: raw,
LinkB Vlan Map: none,
Protected Vlans: 1-13 15
LinkA:
Port: 1/49,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: 1-13 15
LinkB:
Port: 1/50,
Operational State: up,
Unprotected Vlans: none,
Active Vlans: none
А также FlexLink:
`
Switch# configure terminal
Switch(conf)# interface gigabitethernet0/17
Switch(conf-if)#switchport backup interface gigabitethernet0/18
Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption mode forced
Switch(conf-if)#switchport backup interface gigabitethernet0/18 preemption delay 30
Switch(conf-if)# end
Switch# show interfaces switchport backup detail
Active Interface Backup Interface State
—
GigabitEthernet0/17 GigabitEthernet0/18 Active Up/Backup Standby
Interface Pair: Gi0/1, Gi0/2
Preemption Mode: forced Preemption
Delay: 30 seconds
Bandwidth: 100000 Kbit (Gi0/1), 100000 Kbit (Gi0/2)
Mac Address Move Update Vlan: auto
Настройка технологии Dual-HomeLinkAggregation позволяет поддерживать соединение коммутаторов уровня доступа с коммутаторами уровня ядра-распределения в ситуации, когда один из коммутаторов уровня ядра-распреледения выходит из строя. Эта технология функционирует без протокола STP, что позволяет значительно уменьшить время простоя.
4. Создаем транки и VLAN
Создание VLAN
Допустимый диапазон для VLAN 2-4094:
-> vlan 75 enable name “IP Finance Network”
-> vlan 10-15 100-105 200
Удаление VLAN
При удаления VLAN одновременно удаляются все ip-интерфейсы связанные с этими VLAN, одновременно удаляются все ассоциации портами и транками.
-> no vlan 75
-> no vlan 100-105
-> no vlan 10-15 200
Изменение состояние VLAN
Если административный статус VLAN== DISABLE то трафик для этого VLAN передаваться не будет.
-> vlan 755 disable
-> vlan 255 enable
Назначение/изменение описания VLAN
-> vlan 455 name “Marketing IP Network”
-> vlan 455 name Marketing-IP-Network
Просмотр информации о VLAN на коммутаторе
-> show vlan
stree mble src
vlan type admin oper 1x1 flat auth ip ipx tag lrn name
-----+------+------+------+------+------+----+-----+-----+-----+-----+----------
1 std on on on on off on NA off on VLAN 1
2 std on on on on off on NA off on Ljalkov
-> show vlan 100
Name: VLAN 100,
Administrative State: enabled,
Operational State: disabled,
1x1 Spanning Tree State: disabled,
Flat Spanning Tree State: enabled,
Authentication: disabled,
IP Router Port: off,
IP MTU: 1500,
IPX Router Port: none,
Mobile Tag: off,
Source Learning: disabled,
Traffic-Type: ethernet-service Customer SVLAN,
Priority-Map: x->0
Размещение порта в VLAN
Размещение порта в vlan:
-> vlan 755 port default 3/2
Размещение агрегированного канала в vlan:
-> vlan 6 port default 2
Где 2 – номер агрегированного канала
Просмотр информации о портах, размещенных в VLAN
-> show vlan 10 port
port type status
+------+--------+------------+
1/1 default forwarding
1/2 qtagged forwarding
1/3 mobile forwarding
-> show vlan 500 port 8/16
type :default
status :blocking
vlan admin :on
vlan oper :off
port admin :on
port oper :off
-> show vlan port
vlan port type status
+-----+-------+---------+------------+
1 1/1 default inactive
2 1/2 default blocking
1/3 mobile forwarding
11/4 qtagged forwarding
3 1/2 qtagged blocking
11/4 default forwarding
2/5 dynamic forwarding
Управление транками
Включение меток 802.1q на порту:
-> vlan 5 802.1q 3/4
-> vlan 5 802.1q 3/4 “port tag”
-> vlan 2-13 15 802.1q 3/1
Включение меток 802.1q на агрегированном канале:
-> vlan 5 802.1q 8
-> vlan 5 802.1q 8 “agg port tag”
-> vlan 2-13 15-22 101 802.1q 3
Просмотр информации о транках
-> show 802.1q 3
Tagged VLANS Internal Description
-------------+------------------------------------------+
15 TAG AGGREGATE 3 VLAN 15
22 TAG AGGREGATE 3 VLAN 22
30 TAG AGGREGATE 3 VLAN 30
31 TAG AGGREGATE 3 VLAN 31
-> show vlan port 1
vlan type status
--------+---------+--------------
1 default forwarding
2 qtagged forwarding
3 qtagged forwarding
9702-1 и 9702-RC-1
vlan 81 enable name " Link1-rc-nb"
vlan 81 port default 5/1
9702-2 и 9702-RC-2
vlan 82 enable name " Link2-rc-nb"
vlan 82 port default 5/1
802.1q
Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения.
vlan 2 802.1q 13 «TAG AGGREGATE 10 VLAN 2»
vlan 3 802.1q 13 «TAG AGGREGATE 10 VLAN 3»
vlan 4 802.1q 13 «TAG AGGREGATE 10 VLAN 4»
vlan 5 802.1q 13 «TAG AGGREGATE 10 VLAN 5»
vlan 6 802.1q 13 «TAG AGGREGATE 10 VLAN 6»
Vlan
Настройку (создание) ВЛВС необходимо произвести на каждом коммутаторе. Поэтому в соответствии разделом 1 создаем ВЛВС на всех устройствах.
Например:
vlan 14 enable name «VLAN 14»
vlan 15 enable name «VLAN 15»
vlan 24 enable name «VLAN 24»
show vlan
802.1q
Надо помнить, что на оборудовании ALU по умолчанию VLAN в транки не добавляются, это надо делать в ручном режиме. Для каждого транка необходимо прописать все ВЛВС, которые будут передаваться через каждый транк. Таким образом, на коммутаторах доступа добавляем VLAN в транки, связывающие их с коммутаторами уровня распределения, все ВЛВС в соответствии с разделом 1
vlan 14 802.1q 1/49
vlan 15 802.1q 1/49
vlan 24 802.1q 1/49
vlan 14 802.1q 2/49
vlan 15 802.1q 2/49
vlan 24 802.1q 2/49
show vlan port 1/49
vlan type status
--------+---------+--------------
1 default forwarding
14 qtagged forwarding
15 qtagged forwarding
24 qtagged forwarding
Помещение пользовательских портов в VLAN
Добавление пользователей ВЛВС необходимо произвести на каждом коммутаторе. Работа довольно нудная, но никаких сложностей в ней нет. Проще всего сделать, создав в текстовом редакторе скрипт, который через вставку затем добавляется во все устройства. Далее на необходимо распределить пользователей по ВЛВС, наверное, это самая кропотливая и механическая работа. Требует внимательности, но никаких других сложностей не представляет.
vlan 2 port default 3/1
show vlan port 3/1
vlan type status
--------+---------+--------------
2 default forwarding
MVRP:
MVRP даёт возможность:
• Динамически конфигурировать и распределять информацию о принадлежности VLAN через механизмы MVRP.
• Статически конфигурировать информацию о принадлежности VLAN посредством механизмов менеджмента, которые позволяют управлять регистрационными данными о статических записях регистраций VLAN.
• Поддерживать комбинированные статические и динамические конфигурации, при которых некоторые VLAN конфигурируются посредством механизмов менеджмента, а для других VLAN сохраняется возможность динамической конфигурации средствами MVRP.
Включени MVRP
mvrp enable
добавление в MVRP порта или linkagg группы:
mvrp linkagg 1 enable – linkagg группа
mvrp port 3/1 enable – порт
запрещение объявления данного vlan через определенную linkagg группу:
mvrp linkagg 1 restrict-vlan-advertisement vlan 2161
включение режима participant на порту/linkagg группе, который отвечает за изменение MVRP PDU в зависимости от роли порта в STP:
mvrp linkagg 1 applicant participant
mvrp port 1/6 applicant participant
просмотр общей конфигурации MVRP:
SWR-1# show mvrp configuration
MVRP Enabled: yes,
Transparent Switching Enabled: no,
Maximum VLAN Limit: 256
Просмотр настроек MVRP на данной linkagg группе:
SWR-1# show mvrp linkagg 1
MVRP Enabled: yes,
Registrar Mode: normal,
Applicant Mode: participant,
Join Timer (msec): 600,
Leave Timer (msec): 1800,
LeaveAll Timer (msec): 30000,
Periodic Timer (sec): 1,
Periodic Tx status: disabled
Просмотр полученных vlan через MVRP:
SWR-1# show vlan mvrp
stree mble
vlan type admin oper 1x1 flat auth ip ipx tag name
-----+-----+------+------+------+------+----+-----+-----+-----+----------
2162 mvrp on on off on off off NA off VLAN 2162
Добавленные vlan через MVRP на транке выглядят следующим образом:
SWR-1# show 802.1q 1
Tagged VLANS Internal Description
-------------+------------------------------------------+
2162 Dyn VPA
5. Настраиваем STP(MSTP)
Переход в режим одного дерева:
bridge mode flat
включение протокола mstp:
bridge cist protocol mstp
присвоение revision level:
bridge mst region revision level 1
создание региона rci:
bridge mst region name rci
присвоение приоритета:
bridge cist priority 4096
включение root-guard на данной linkagg группе:
bridge cist 2 root-guard enable
просмотр общей информации о STP:
SWR-1# show spantree cist
Spanning Tree Parameters for Cist
Spanning Tree Status: ON,
Protocol: IEEE Multiple STP,
mode: FLAT (Single STP),
Auto-Vlan-Containment: Enabled,
Priority: 4096 (0x1000),
Bridge ID: 1000-00:e0:b1:cc:46:58,
CST Designated Root: 1000-00:e0:b1:cc:46:58,
Cost to CST Root: 0,
Next CST Best Cost: 0,
Designated Root: 1000-00:e0:b1:cc:46:58,
Cost to Root Bridge: 0,
Root Port: None,
Next Best Root Cost: 0,
Next Best Root Port: None,
TxHoldCount: 3,
Topology Changes: 6,
Topology age: 03:54:16,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
просмотр роли портов:
show spantree ports
Msti Port Oper Status Path Cost Role
-----+------+------------+---------+-------
0 1/1 DIS 0 DIS
0 3/24 FORW 200000 DESG
0 0/1 FORW 12000 ROOT
0 0/2 BLK 8000 ALT
просмотр информации о регионе:
show spantree mst region
Configuration Name = rci,
Revision Level = 1,
Configuration Digest = 0xac36177f 50283cd4 b83821d8 ab26de62,
Revision Max hops = 20,
Cist Instance Number = 0
На оборудовании уровня доступа основным инструментом обеспечения резервных подключений к уровню доступа является механизм DHL (или flexlink в терминологии Cisco), потому можно использовать любой режим работы STP однако для унификации с оборудованием уровня доступа выбран режим работы STP – 802.1w flat.
Для оборудования ALU настройка выглядит следующим образом:
bridge mode flat
show spantree 1
Spanning Tree Parameters
Spanning Tree Status: ON,
Protocol: IEEE Rapid STP,
mode: FLAT (Single STP),
Auto-Vlan-Containment: Enabled,
Priority: 8192 (0x2000),
Bridge ID: 2000-e8:e7:32:16:ec:80,
Designated Root: 1000-e8:e7:32:16:ec:40,
Cost to Root Bridge: 1,
Root Port: Slot 0 Interface 1,
Next Best Root Cost: 0,
Next Best Root Port: None,
TxHoldCount: 3,
Topology Changes: 3,
Topology age: 1 days and 22:41:02,
Current Parameters (seconds)
Max Age = 20,
Forward Delay = 15,
Hello Time = 2
Parameters system uses when attempting to become root
System Max Age = 20,
System Forward Delay = 15,
System Hello Time = 2
6. Настраиваем расширения для STP (rootguard, bpduguard, portfast соответственно в терминологии алкателя — Restricted Role, BPDU Shutdown Ports, EdgePort)
BPDU-guard
Добавление портов в группу UserPorts:
policy port group UserPorts 1/3-48 2/3-48
Изменение портов входящих в группу UserPorts:
no policy port group UserPorts
policy port group UserPorts 1/3-9 11-48 2/3-48
выключение портов при получении BPDU:
qos user-port shutdown bpdu
qos apply
просмотр портов входящих в UserPorts
-> show policy port group
просмотр конфигурации qos:
SWR-1# show qos config
QoS Configuration:
Enabled: Yes
Pending changes: None
DEI:
Mapping: Disabeled
Marking: Disabeled
Classifier:
Default queues: 8
Default queue service: strict-priority
Trusted ports: No
NMS Priority: Yes
Phones: trusted
Default bridged disposition: accept
Default routed disposition: accept
Default IGMP/MLD disposition: accept
Logging:
Log lines: 256
Log level: 6
Log to console: No
Forward log: No
Stats interval: 60 seconds
Userports:
Filter: spoof
Shutdown: bpdu
Quarantine Manager:
Quarantine MAC Group: Quarantined
Quarantined Page: Yes
Remediation URL:
Debug: info
Автоматичное отключение блокировки портов:
interfaces violation-recovery-time { секунд }
interface violation-recovery-trap {enable | disable}
Разблокировка порта
-> interfaces 1/3 clear-violation-all
-> interfaces 1 clear-violation-all
-> interfaces 1/3-7 clear-violation-all
Или
-> interfaces 2/3 admin down
-> interfaces 2/3 admin up
Настройка Port security
Включение port security на порту:
port-security 1/3 enable
установка максимального количества MAC адресов:
port-security 1/3 maximum 5
port-security 1/3 max-filtering 0
при достижении ограничения в количестве МАС адресов порт выключается:
port-security 1/3 VIOLATION SHUTDOWN
Просмотр информации о PortSecurity
-> show port-security brief
OS6850gu-48-ink-1-> show port-security brief
Legend: enable * = Learning Window has expired
Slot/ Nb Macs Nb Macs Nb Macs
Port Status Max Max-Filter Bridged Filtered Static
------+------------+--------+----------+-----------+-----------+--------
1/3 ENABLED 5 0 0 0 0
1/4 ENABLED 5 0 0 0 0
1/5 ENABLED 5 0 1 0 0
1/6 ENABLED 5 0 1 0 0
1/7 ENABLED 5 0 1 0 0
1/8 ENABLED 5 0 0 0 0
…
-> show port-security
SHUTDOWN BRIEF <slot/port1-port2>
<slot/port> -> show port-security 1/3
Legend: Mac Address: * = Duplicate Static
Mac Address: # = Pseudo Static
Port: 1/3
Operation Mode: ENABLED,
Max MAC bridged: 5,
Trap Threshold: DISABLED,
Max MAC filtered: 0,
Low MAC Range: 00:00:00:00:00:00,
High MAC Range: ff:ff:ff:ff:ff:ff,
Violation: SHUTDOWN,
Violating MAC: NULL
MAC Address VLAN TYPE
-------------------+------+--------
Разблокировка порта
-> port-security 2/14 release
-> port-security 4/10-15 release
Edge-Port
Также нужно включить на всех пользовательских портах, но нам делать ничего не надо. Данная опция включения по умолчанию. Функционал данного расширения STP аналогичен portfast у Cisco.
BPDU-guard
Здесь все просто, включаем на всех пользовательских портах. Для автоматической разблокировки портов выбираем 10 минут.
qos user-port shutdown bpdu
policy port group UserPorts 1/1-48 2/1-48
qos apply
interfaces violation-recovery-time 600
Разблокировать заблокированный порт можно командой:
interfaces 2/2 clear-violation-all
Port-Security
Также, включаем на всех пользовательских портах. В качестве разумного ограничения видится не более 5 mac адресов за пользовательским портом, в случае превышения данного количества mac адресов порт будет заблокирован.
port-security 1/1-48 admin-status enable
port-security 1/1-48 maximum 5
port-security 1/1-48 max-filtering 0
port-security 1/1-48 VIOLATION SHUTDOWN
Здесь приведена конфигурация для одного коммутатора в стеке, к сожалению, для включения данной функции на всех пользовательских портов набор команд придется повторить для каждого из них. Разблокировать заблокированный порт можно командами:
-> interfaces 2/2 clear-violation-all
-> port-security 2/14 release
-> port-security 4/10-15 release
На этом пока все, спасибо за внимание В дальнейшем планирую описать настроуйку маршрутизации, PBR, VRRP, NTP, DHCP, VRF, AMAP, бэкап и восстановление конфигов и паролей.