gigacampus » start page » ufs111
Table of Contents

UFS 111: Oppskrift for konfigurasjon av HP svitsjer i campusnett

UFS nr 111
Status Utkast
Dato 1.2.2007
Tittel Oppskrift for konfigurasjon av HP svitsjer i campusnett
Arbeidsgruppe Nettarkitektur
Forfattere Knut-Helge Vindheim, Roar Pettersen, Vidar Faltinsen
Ansvarlig Knut-Helge Vindheim
Kategori Oppskrift

Sammendrag

Dette dokumenter gir en oppskrift for konfigurasjon av cisco IOS svitsjer. Dokumentet understøtter UFS105 som er en generell anbefaling for konfigurasjon av svitsjer i campusnett.

Vi følger samme struktur som UFS105, samt at vi gir en komplett konfigurasjon tilslutt.

1. Introduksjon

2. Definisjoner

3. Fysiske krav

4 Programvare

4.1 Programvareoppgradering

 Switch# copy tftp flash <IP adr. til tftpserver>  <navn på fil>

5. Navning

5.1 Sett navn på svitsjen

 Switch(config)# hostname svitsjens-navn

5.2 DNS-oppsett

FIXME Mangler info

5.3 Konfigurer portnavn

 Switch(config)# interface 1
 Switch(eth-1)# name Test

6. Administrasjon av svitsjen

6.1 Managementadresse

Vlan nn bør være et managementnett dedikert for nettelektronikk:

 Switch(config)# vlan nn
 Switch(vlan-nn)# ip address 10.20.30.101 255.255.255.0 

 Switch(config)# ip default-gateway 10.20.30.1

6.2 Fjernpålogning

Sett passord for operator (første nivå) og manager (andre nivå, adgang til konfigurering):

 Switch(config)# password operator 
 New password for Operator: 
 Switch(config)# password manager 
 New password for Manager: 

ssh konfigurasjon:

 Switch(config)# ip ssh
 Switch(config)# ip ssh key-size 1024

Skru på/av telnet innlogging:

 telnet-server         Enable/disable remote nodes to Telnet into the switch.

Banner:

 banner                Define a login banner.   

6.3 Autentisering ved fjernpålogning

Radius oppsett:

 Switch(config)# radius-server key felles-kjent-hemmelighet
 Switch(config)# radius-server host 10.20.30.10
 Switch(config)# aaa authentication console login radius local 
 Switch(config)# aaa authentication telnet login radius local 
 Switch(config)# aaa authentication ssh login radius local 

6.4 Lagring av konfigurasjon

Switch# copy running-config tftp 10.20.30.10 switch-confg unix

6.5 SNMP tilgang

Switch(config)# snmp-server community din-les-community Operator 
Switch(config)# snmp-server community din-skriv-community Unrestricted manager

6.6 Naboskapsoppdagelse - LLDP/ CDP el.

CDP (Nyere firmware enn H.08.77 (Procurve 2600) er det kun mottak av cdp pakker)

 Switch# sh cdp neighbors

LLDP

 Switch# sh lldp info remote-device

eller hvis en ønsker mer info fra port nr 50

 Switch# sh lldp info remote-device 50

6.7 Syslogging

 Switch(config)# logging facility local7
 Switch(config)# logging 10.20.30.10

6.8 NTP

 Switch(config)# time timezone 60 
 Switch(config)# time daylight-time-rule User-defined begin-date 3/25 end-date 10/25 
 Switch(config)# sntp server 128.39.109.1
 Switch(config)# timesync sntp 
 Switch(config)# sntp unicast 

6.9 Øvrige servertjenester på svitsjen

auto-tftp             Enable/disable automatic OS image download via TFTP
                      during boot.
front-panel-security  Enable/disable the ability to clear the password(s)
tftp                  Enable/disable TFTP, trivial file transfer protocol.
web-management        Enable/disable the device web server.

6.10 Stacking

Vlan nn er managementnett vlanet:

 Switch(config)# primary-vlan nn
 Switch(config)# stack commander "svitsjens-navn"
 Switch(config)# stack member 1 mac-address <mac-member-1>
 Switch(config)# stack member 2 mac-address <mac-member-2>
 [...]
 Switch(config)# stack member n mac-address <mac-member-n>

6.11 Fjernkonsol, konsollogg

 Switch(config)# console inactivity-timer 120

7. Vlankonfigurasjon

Terminologi

HP og Cisco har ikke samme terminologi for VLAN. Derfor har vi med en liten oversikt her:

Cisco HP
Native VLAN untagged
mode access untagged
trunk tagged
channel group trunk

7.1 Tagged vlan oppsett

 Switch(config)# max-vlans 250
 Switch(config)# vlan 1
    Switch(vlan-1)# name "DEFAULT_VLAN"
    Switch(vlan-1)# no ip address
    Switch(vlan-1)# tagged 50
    Switch(vlan-1)# no untagged 1-49
    Switch(vlan-1)# exit
 vlan nn
    Switch(vlan-nn)# name "Admin_Vlan"
    Switch(vlan-nn)# ip address 10.20.30.101 255.255.255.0 
    Switch(vlan-nn)# tagged 50
    Switch(vlan-nn)# ip igmp
    Switch(vlan-nn)# exit
 vlan 30
    Switch(vlan-30)# name "ansatt_Vlan"
    Switch(vlan-30)# untagged 1-26
    Switch(vlan-30)# no ip address
    Switch(vlan-30)# tagged 50
    Switch(vlan-30)# ip igmp
    Switch(vlan-30)# exit
 vlan 20
    Switch(vlan-20)# name "student_Vlan"
    Switch(vlan-20)# untagged 27-45
    Switch(vlan-20)# no ip address
    Switch(vlan-20)# tagged 50
    Switch(vlan-20)# ip igmp
    Switch(vlan-20)# exit

Disabler lacp på alle portene:

 Switch(config)# interface 1-50
    Switch(eth-1-50)# no lacp

7.2 Administrasjonsløsning for vlan

FIXME Mangler info - eksisterer kanskje ikke?

7.3 Vlan på ubrukte porter / vlan 1

 vlan 666
    Switch(vlan-666)# name "Vlan666"
    Switch(vlan-666)# untagged 46-49
    Switch(vlan-666)# no ip address
    Switch(vlan-666)# exit

8. Spanningtree konfigurasjon

8.1 Rapid spanningtree / MSTP

 Switch(config)# spanning-tree protocol-version mstp

8.2 Root i spanningtree

FIXME Mangler info

8.3 Portfast

 Switch(config)# spanning-tree 1-49 edge-port

8.4 BPDU guard/filter

Settes på alle porter unntatt uplinkporter:

Switch(config)# spanning-tree 1-49 bpdu-filter edge-port   

9. Trafikkegenskaper

9.1 Hastighet, dupleks, autokryssing

 Switch(eth-1)# mdix-mode [mdi, mdix, automdix]
 Switch(eth-1)# speed-duplex [10-half, 100-half, 10-full, 100-full, 1000-full, auto, auto-10, auto-100, auto-1000]

9.2 Jumboframes

Støttes ikke på 2600 svitsjene, ellers:

 vlan nn
    Switch(vlan-nn)# jumbo

9.3 Bundling av porter (FEC/HPT) /lastbalansering

  Switch(config)# interface 1-4 no lacp   
  Switch(config)# trunk 1-4 Trk1 Trunk   

Dersom dette skal brukes mot Cisco IOS må følgende settes på Cisco-switchen:

  interface FastEthernet0/1
  
  port group 1 distribution destination
  
  !
  
  interface FastEthernet0/2
  
  port group 1 distribution destination
  
  !
  
  interface FastEthernet0/3
  
  port group 1 distribution destination
  
  !
  
  interface FastEthernet0/4
  
  port group 1 distribution destination

9.4 Trafikkadministrasjon / tjenestekvalitet

FIXME Mangler info.

9.5 Strøm over ethernet

FIXME Mangler info

9.6 Beskyttelse av kontrollplanet

FIXME Mangler info

9.7 Fysisk link monitorering

FIXME Mangler info

10. Multicast snooping

Se under vlan oppsett (kap 7).

11. Sikkerhetsfunksjoner

11.1 Port security

 Switch(config)# port-security 1-49 learn-mode limited-continuous address-limit 5

11.2 IEE 802.1x

FIXME Mangler info

11.3 Traffic storm control

 Switch(config)# broadcast-limit 10
 Switch(config)# ip icmp reply-limit

11.4 DHCP snooping

 Switch(config)# no dhcp-snooping option 82
 Switch(config)# dhcp-snooping vlan 20
 Switch(config)# interface 50
    Switch(eth-50)# dhcp-snooping trust
    Switch(eth-50)# exit

11.5 IP source guard / dynamic IP lockdown

 ip-lockdown           Configure an IP address and subnet that is allowed access to a port.

Dynamisk IP-lockdown er ikke implementert i firmware enda kommer i nov/des 06

11.6 Dynamic arp inspection

Ikke implementert i firmware enda kommer i nov/des 06

11.7 Port unicast og multicast port blocking

Ikke støttet på de små svitsjene til HP

11.8 Mac address notification

FIXME Mangler info

12. Nyttige funksjoner for daglig drift

12.1 Portspeiling

Med denne kommando beskriver man hvor man skal speile til, altså hvilken port nr. Switch(config)#mirror-port 1 Med denne kommando beskriver man hvilken port det skal speiles fra. Switch(config)# interface 2 Switch(eth-2)# monitor

12.2 Sperre en mac adresse

Sperre ute en mac adresse med denne kommando :

 Switch(config)# lockout-mac 001201-78dc83

Og fjernes med denne kommando :

 Switch(config)# no lockout-mac 001201-78dc83

12.3 Statisk binding av mac adresse til port

Legg inn en gitt mac-adresse på port 1

 Switch(config)# port-security 1 address-limit 1 mac-address 001201-78dc83 action send-alarm

Eller la switchen lese den første som registreres på porten

 Switch(config)# port-security 1 learn-mode static address-limit 1 action send-alarm

13. Komplett konfigurasjon

13.1 Globale kommandoer

FIXME Mangler info

13.2 interface / line kommandoer

FIXME Mangler info

14. Intellektuelt eierskap

Forfatter med arbeidsgruppe står ansvarlig for innholdet i dette dokument. UNINETT eller NTNU står ikke anvarlig for innholdet.

15. Forfatterenes adresse

   Knut-Helge Vindheim
   IT-seksjonen (ITEA)
   NTNU
   7491 Trondheim
   Telefon: 73597610
   Epost: knut-helge.vindheim@ntnu.no
 
   Roar Pettersen
   IT-avdelingen,
   Universitetet i Bergen
   5020 Bergen
   Telefon: 55 58 40 55
   Epost: Roar.Pettersen@it.uib.no

   Vidar Faltinsen
   UNINETT
   Abels gt 5 - Teknobyen
   7465 Trondheim
   Norway
   Telefon: 735 57825
   Epost  : faltin@uninett.no
 
 
gigacampus/ufs111.txt · Last modified: 2010/02/08 14:27 (external edit)

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups