gigacampus » start page » ufs111
Table of Contents

UFS 111: Oppskrift for konfigurasjon av HP svitsjer i campusnett

UFS nr 111
Status Utkast
Dato 1.2.2007
Tittel Oppskrift for konfigurasjon av HP svitsjer i campusnett
Arbeidsgruppe Nettarkitektur
Forfattere Knut-Helge Vindheim, Roar Pettersen, Vidar Faltinsen
Ansvarlig Knut-Helge Vindheim
Kategori Oppskrift

Sammendrag

Dette dokumenter gir en oppskrift for konfigurasjon av cisco IOS svitsjer. Dokumentet understøtter UFS105 som er en generell anbefaling for konfigurasjon av svitsjer i campusnett.

Vi følger samme struktur som UFS105, samt at vi gir en komplett konfigurasjon tilslutt.

1. Introduksjon

2. Definisjoner

3. Fysiske krav

4 Programvare

4.1 Programvareoppgradering

 Switch# copy tftp flash <IP adr. til tftpserver> <navn på fil>

5. Navning

5.1 Sett navn på svitsjen

 Switch(config)# hostname svitsjens-navn

5.2 DNS-oppsett

FIXME Mangler info

5.3 Konfigurer portnavn

 Switch(config)# interface 1
 Switch(eth-1)# name Test

6. Administrasjon av svitsjen

6.1 Managementadresse

Vlan nn bør være et managementnett dedikert for nettelektronikk:

 Switch(config)# vlan nn
 Switch(vlan-nn)# ip address 10.20.30.101 255.255.255.0 

 Switch(config)# ip default-gateway 10.20.30.1

6.2 Fjernpålogning

Sett passord for operator (første nivå) og manager (andre nivå, adgang til konfigurering):

 Switch(config)# password operator 
 New password for Operator: 
 Switch(config)# password manager 
 New password for Manager: 

ssh konfigurasjon:

 Switch(config)# ip ssh
 Switch(config)# ip ssh key-size 1024

Skru på/av telnet innlogging:

 telnet-server     Enable/disable remote nodes to Telnet into the switch.

Banner:

 banner        Define a login banner.  

6.3 Autentisering ved fjernpålogning

Radius oppsett:

 Switch(config)# radius-server key felles-kjent-hemmelighet
 Switch(config)# radius-server host 10.20.30.10
 Switch(config)# aaa authentication console login radius local 
 Switch(config)# aaa authentication telnet login radius local 
 Switch(config)# aaa authentication ssh login radius local 

6.4 Lagring av konfigurasjon

Switch# copy running-config tftp 10.20.30.10 switch-confg unix

6.5 SNMP tilgang

Switch(config)# snmp-server community din-les-community Operator 
Switch(config)# snmp-server community din-skriv-community Unrestricted manager

6.6 Naboskapsoppdagelse - LLDP/ CDP el.

CDP (Nyere firmware enn H.08.77 (Procurve 2600) er det kun mottak av cdp pakker)

 Switch# sh cdp neighbors

LLDP

 Switch# sh lldp info remote-device

eller hvis en ønsker mer info fra port nr 50

 Switch# sh lldp info remote-device 50

6.7 Syslogging

 Switch(config)# logging facility local7
 Switch(config)# logging 10.20.30.10

6.8 NTP

 Switch(config)# time timezone 60 
 Switch(config)# time daylight-time-rule User-defined begin-date 3/25 end-date 10/25 
 Switch(config)# sntp server 128.39.109.1
 Switch(config)# timesync sntp 
 Switch(config)# sntp unicast 

6.9 Øvrige servertjenester på svitsjen

auto-tftp       Enable/disable automatic OS image download via TFTP
           during boot.
front-panel-security Enable/disable the ability to clear the password(s)
tftp         Enable/disable TFTP, trivial file transfer protocol.
web-management    Enable/disable the device web server.

6.10 Stacking

Vlan nn er managementnett vlanet:

 Switch(config)# primary-vlan nn
 Switch(config)# stack commander "svitsjens-navn"
 Switch(config)# stack member 1 mac-address <mac-member-1>
 Switch(config)# stack member 2 mac-address <mac-member-2>
 [...]
 Switch(config)# stack member n mac-address <mac-member-n>

6.11 Fjernkonsol, konsollogg

 Switch(config)# console inactivity-timer 120

7. Vlankonfigurasjon

Terminologi

HP og Cisco har ikke samme terminologi for VLAN. Derfor har vi med en liten oversikt her:

Cisco HP
Native VLAN untagged
mode access untagged
trunk tagged
channel group trunk

7.1 Tagged vlan oppsett

 Switch(config)# max-vlans 250
 Switch(config)# vlan 1
  Switch(vlan-1)# name "DEFAULT_VLAN"
  Switch(vlan-1)# no ip address
  Switch(vlan-1)# tagged 50
  Switch(vlan-1)# no untagged 1-49
  Switch(vlan-1)# exit
 vlan nn
  Switch(vlan-nn)# name "Admin_Vlan"
  Switch(vlan-nn)# ip address 10.20.30.101 255.255.255.0 
  Switch(vlan-nn)# tagged 50
  Switch(vlan-nn)# ip igmp
  Switch(vlan-nn)# exit
 vlan 30
  Switch(vlan-30)# name "ansatt_Vlan"
  Switch(vlan-30)# untagged 1-26
  Switch(vlan-30)# no ip address
  Switch(vlan-30)# tagged 50
  Switch(vlan-30)# ip igmp
  Switch(vlan-30)# exit
 vlan 20
  Switch(vlan-20)# name "student_Vlan"
  Switch(vlan-20)# untagged 27-45
  Switch(vlan-20)# no ip address
  Switch(vlan-20)# tagged 50
  Switch(vlan-20)# ip igmp
  Switch(vlan-20)# exit

Disabler lacp på alle portene:

 Switch(config)# interface 1-50
  Switch(eth-1-50)# no lacp

7.2 Administrasjonsløsning for vlan

FIXME Mangler info - eksisterer kanskje ikke?

7.3 Vlan på ubrukte porter / vlan 1

 vlan 666
  Switch(vlan-666)# name "Vlan666"
  Switch(vlan-666)# untagged 46-49
  Switch(vlan-666)# no ip address
  Switch(vlan-666)# exit

8. Spanningtree konfigurasjon

8.1 Rapid spanningtree / MSTP

 Switch(config)# spanning-tree protocol-version mstp

8.2 Root i spanningtree

FIXME Mangler info

8.3 Portfast

 Switch(config)# spanning-tree 1-49 edge-port

8.4 BPDU guard/filter

Settes på alle porter unntatt uplinkporter:

Switch(config)# spanning-tree 1-49 bpdu-filter edge-port  

9. Trafikkegenskaper

9.1 Hastighet, dupleks, autokryssing

 Switch(eth-1)# mdix-mode [mdi, mdix, automdix]
 Switch(eth-1)# speed-duplex [10-half, 100-half, 10-full, 100-full, 1000-full, auto, auto-10, auto-100, auto-1000]

9.2 Jumboframes

Støttes ikke på 2600 svitsjene, ellers:

 vlan nn
  Switch(vlan-nn)# jumbo

9.3 Bundling av porter (FEC/HPT) /lastbalansering

 Switch(config)# interface 1-4 no lacp  
 Switch(config)# trunk 1-4 Trk1 Trunk  

Dersom dette skal brukes mot Cisco IOS må følgende settes på Cisco-switchen:

 interface FastEthernet0/1
 
 port group 1 distribution destination
 
 !
 
 interface FastEthernet0/2
 
 port group 1 distribution destination
 
 !
 
 interface FastEthernet0/3
 
 port group 1 distribution destination
 
 !
 
 interface FastEthernet0/4
 
 port group 1 distribution destination

9.4 Trafikkadministrasjon / tjenestekvalitet

FIXME Mangler info.

9.5 Strøm over ethernet

FIXME Mangler info

9.6 Beskyttelse av kontrollplanet

FIXME Mangler info

9.7 Fysisk link monitorering

FIXME Mangler info

10. Multicast snooping

Se under vlan oppsett (kap 7).

11. Sikkerhetsfunksjoner

11.1 Port security

 Switch(config)# port-security 1-49 learn-mode limited-continuous address-limit 5

11.2 IEE 802.1x

FIXME Mangler info

11.3 Traffic storm control

 Switch(config)# broadcast-limit 10
 Switch(config)# ip icmp reply-limit

11.4 DHCP snooping

 Switch(config)# no dhcp-snooping option 82
 Switch(config)# dhcp-snooping vlan 20
 Switch(config)# interface 50
  Switch(eth-50)# dhcp-snooping trust
  Switch(eth-50)# exit

11.5 IP source guard / dynamic IP lockdown

 ip-lockdown      Configure an IP address and subnet that is allowed access to a port.

Dynamisk IP-lockdown er ikke implementert i firmware enda kommer i nov/des 06

11.6 Dynamic arp inspection

Ikke implementert i firmware enda kommer i nov/des 06

11.7 Port unicast og multicast port blocking

Ikke støttet på de små svitsjene til HP

11.8 Mac address notification

FIXME Mangler info

12. Nyttige funksjoner for daglig drift

12.1 Portspeiling

Med denne kommando beskriver man hvor man skal speile til, altså hvilken port nr. Switch(config)#mirror-port 1 Med denne kommando beskriver man hvilken port det skal speiles fra. Switch(config)# interface 2 Switch(eth-2)# monitor

12.2 Sperre en mac adresse

Sperre ute en mac adresse med denne kommando :

 Switch(config)# lockout-mac 001201-78dc83

Og fjernes med denne kommando :

 Switch(config)# no lockout-mac 001201-78dc83

12.3 Statisk binding av mac adresse til port

Legg inn en gitt mac-adresse på port 1

 Switch(config)# port-security 1 address-limit 1 mac-address 001201-78dc83 action send-alarm

Eller la switchen lese den første som registreres på porten

 Switch(config)# port-security 1 learn-mode static address-limit 1 action send-alarm

13. Komplett konfigurasjon

13.1 Globale kommandoer

FIXME Mangler info

13.2 interface / line kommandoer

FIXME Mangler info

14. Intellektuelt eierskap

Forfatter med arbeidsgruppe står ansvarlig for innholdet i dette dokument. UNINETT eller NTNU står ikke anvarlig for innholdet.

15. Forfatterenes adresse

  Knut-Helge Vindheim
  IT-seksjonen (ITEA)
  NTNU
  7491 Trondheim
  Telefon: 73597610
  Epost: knut-helge.vindheim@ntnu.no
 
  Roar Pettersen
  IT-avdelingen,
  Universitetet i Bergen
  5020 Bergen
  Telefon: 55 58 40 55
  Epost: Roar.Pettersen@it.uib.no

  Vidar Faltinsen
  UNINETT
  Abels gt 5 - Teknobyen
  7465 Trondheim
  Norway
  Telefon: 735 57825
  Epost : faltin@uninett.no
 
 
gigacampus/ufs111.txt · Last modified: 2010/02/08 14:27 (external edit)

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups