Изоляция портов на Alcatel

Управление файлами конфигурации

Alcatel Omniswitchs могут работать в двух режимах: working и certified. Чтобы узнать в каком режиме загрузился ваш свитч используйте команду:
-> show running-directory

В режиме working конфигурацию можно изменять, в режиме certified — нет. При загрузке свитч сравнивает файлы в директориях working и certified если они не идентичны — загрузка производится из директории certified

Кстати здесь и рожден основной глюк этих свитчей и их не любовь к перебоям питания. Если при сбое повреждается файл в каталоге certified:
файлы становятся неидентичны и свитч пытается загрузиться из certified
файлы в certified повреждены и загрузка не будет произведена
Свою конфигурацию свитч хранит в двух файлах: certifed/boot.cfg и working/boot.cfg (они должны быть идентичны) их можно вручную редактировать встроенным в ОС редактором «vi».
Процедура сохранения конфигурации на Alcatel Omniswitch:

  1. Сохраняем running в working: write memory
  2. Копируем working в certified: copy working certified [flash-synchro], Параметр flash-synchro синхронизирует конфигурацию во всех ячейках flash (на Alcatel их несколько)

Дополнительные команды работы с конфигурацией:

  • Сохранение текущего конфига(running) если вы находитесь в режиме certified: configuration snapshot all . Затем полученный файл копируем в working/boot.cfg
  • Перезагрузка в режиме working без «отката»: reload working no rollback-timeout
  • Просмотр работающей конфигурации: show configuration snapshot [all|vlan|ip|…] или write terminal

Если вы решите «поиграться» с конфигурацией удаленного свитча можно перегрузить его в режиме certified и запрограммировать на нем отложенную перезагрузку. Отложенная перзагрузка включается командой: reload in где n — число минут через которое свитч самостоятельно перезагрузится. Отменить отложенную перезагрузку можно командой: reload cancel. Команда show reload покажет через какое время свитч перезагрузится.

Настройка VLANов 802.1q и Layer 3 VLAN

  • VLANы 802.1q  создаются командой: vlan <vlan_number> enable name “VLAN name”
  • Удаляются: no vlan <vlan_number>.  
  • Команда show vlan  выдает список всех созданных на свитче вланов
  •  show vlan <vlan_number> выдает детальную информацию по конкретному <vlan_number>.

В зависимости от версии прошивки (microcode version — можно просмотреть командой: show microcode ), Вланы уровня 3 VLAN можно создать командами:

  • ip interface “interface name” vlan <vlan_number> address <address> mask <netmask>
  • vlan router “interface name” vlan <vlan_number> address <address> mask <netmask>

и удалить:

  • no ip interface “interface name”
  • no vlan router “interface name”

Для того что-бы привязать VLAN к порту используются команды:

  • Привязка не тегированного (access) VLANa: vlan <vlan_number> port default <slot>/<port>
  • Привязка тегированного (trunk) VLANa: vlan <vlan_number> 802.1Q <slot>/<port> [<“comment”>]
  • Удаление тегированного (trunk) VLANa: vlan <vlan_number> no 802.1Q <slot>/<port>
  • Чтобы просмотреть список привязок Port — VLAN : show vlan port
  • Чтобы посмотреть порты к которым привязан конкретный VLAN: show vlan <vlan_number> port
  • Чтобы просмотреть состояние конкретного порта: show vlan port <slot>/<port>

Агрегация каналов (Link aggregation/LAG)

 

  • Динамическая агрегация (Dynamic LAG):
    • Создаем группу LAG из N линков: lacp linkagg <id> size <N> admin state enable
    • Задаем для созданной группы ключ (admin key): lacp linkagg <id> actor admin key <key>
    • Связываем физический интерфейс с созданным ключом: lacp agg <slot/port> actor admin key <key>
  • Статическая агрегация (Static LAG):
    • Создаем группу LAG из N линков: static linkagg <id> size <nb_links> admin state enable
    • Привязываем группу к имени: static linkagg <id> name <name>
    • Связываем физический интерфейс с LAG по созданному имени:static agg <slot/port> agg num <id>

Состояние железа

  • Получить информацию о состоянии интерфейса (админ-статус, MAC, скорость, дуплекс, ошибки и.т.п.): show interface [port|status|<slot>/<port>|...]
  • Изменить параметры интерфейса: interface <slot>/<port> [speed <10_100_1000>|duplex <half_full>|autoneg <state>|flood rate <rate>](для того чтобы изменить скорость/дуплекс для порта в autonegotiate, сначала нужно сделать: autoneg off, и только потом задавать параметры скорости/дуплекса)
  • Выключить интерфейс: interface <slot>/<port> admin down
  • Очистить счетчики: interfaces <slot>[/port1-port2] no l2 statistics

Просмотреть общее состояние системы: show health all (cpu|memory)
Получить информацию CMM (Control Management Module): show cmm

Когда свитчи собраны в стек один их свитчей находится в состоянии primary, другой — secondary, остальные в состоянии idle. Если выпадает первичный свитч — secondary берет его работу на себя а один их idle становится secondary.
Чтобы получить информацию о шасси -используется команда: show chassis. А для просмотра топологии стека: show stack topology.

 

Система

Аптайм, дата, имя устройства и.т.д.: show system
Чтобы поменять:

  • system name <“name”>
  • system contact <“contact”>
  • system location <“location”>

Для изменения таймаута Telnet/SSH сессий: session timeout cli <timeout>

Системное время NTP

Привязка сервера NTP: ntp server <server_ip>.
Even if the DNS is configured, you can’t specify a name for the NTP server. Активация NTP клиента: ntp client enable.

Просмотр информации по запущенному NTP:

  • show ntp client: покажет включен ли NTP или нет и когда прошло последнее обновление 
  • show ntp server-list: покажет список доступных серверов NTP и с каким из них свитч синхронизирован

Логи

Логи наше все! Команда: show swlog выводит параметры сбора логов на свитче:
-> show swlog
Operational Status : On,
Log Device 1 : flash,
Log Device 2 : console,
Syslog FacilityID : local0(16),
Remote command-log : Disabled,
Console Display Level : info (6),
All Applications Trace Level : info (6)

Команды просмотра логов:

  • show log swlog: выводит все логи
  • show log swlog timestamp <mounth/day/year> <hour:minute>: только логи начиная с заданного времени
  • Удаление логов: swlog clear

Включение сбора логов на свитче: swlog output socket <syslog_server_ip>

STP

STP может работать в двух режимах: flat и1×1. В режиме flat на свитче создается единственный процесс STP для всех вланов, в режиме 1х1 для каждого VLAN создается свой процесс STP (PVSTP). На данный момент в свитчах Alcatel режим 1×1 включен по умолчанию. Для изменения режима STP: bridge mode (flat|1x1)
Просмотреть конфигурацию STP: show spantree
Для отключения STP на определенном vlan/port: vlan <vlan_number> stp (enable|disable) и bridge <vlan_number> <slot>/<port> (enable|disable)
Изменение алгоритма STP: bridge protocol (802.1D|STP|RTSP).
Например: bridge 1x1 <vlan_number> protocol (802.1D|STP|RTSP).

DNS

  • Определение DNS серверов: ip name-server <IP1> <IP2>
  • Привязка имени домена: ip domain-name <domain-name>
  • Включение DNS клиента: ip domain-lookup

Включение DHCP relay

  • ip service udp-relay
  • Включение DHCP только на заданных  VLANах: ip helper per-vlan only
  • Привязка адреса сервера DHCP: ip helper address <dhcp_server> vlan <vlan_number>
  • Включение DHCP relay: ip udp relay BOOTP

Службы (Services)

  • Включение/выключение определенных служб: [no] ip service (ftp|ssh|telnet|http|secure-http|udp-relay|snmp|all).
  • Список включенных служб: show ip service.

Например для включения HTTPS: ip http ssl

Аутентификация AAA

Аутентификация может быть локальной или через удаленный сервер Radius. Чтобы активировать локальную аутентификацию необходимо ввести команды:

aaa authentication default “local”
aaa authentication (console|ssh|ftp|802.1X|vlan|...) “local”

ARP

Просмотреть таблицу ARP: show arp
Просмотреть таблицу Mac-адресов: show mac-address-table
Создать статическую связку MAC/IP: arp <IP> <MAC>, no arp <IP> ее удалит.
Очистить динамическую таблицу ARP: clear arp-table
Чтобы поменять время жизни записи в ARP-таблице (по умолчанию: 300 секунд) используется команда: mac-address-table aging-time <seconds> [vlan <vlan_number>]

SNMP

Для начала необходимо создать пользователя с правами на SNMP:

  • user <“username”> read-only (all|ip|interface|...) password <password>

Затем настроить snmp сервер:

  • snmp security no security
  • Связываем community с созданным пользователем: snmp community map <“community”> user <“username”> on
  • Задаем сервер сбора событий SNMPr: snmp station <server_ip> [<port>] <“user”> (v1|v2c|v3) enable
  • Аутентификация SNMP ВКЛ/ВЫКЛ: snmp authentification trap (enable|disable)
  • Фильтрация отправляемых событий snmp trap filter <server_ip> <filter_code>

Зеркалирование портов (Port mirroring)

Зеркалирование (Port mirroring) работает только в диапазонах портов 1-12, 13-24 и.т.д. (по крайней мере в моделях до серии 6800). При попытке настроить зеркалирование с 1 на 12 порт выскочит ошибка:

 
-> port mirroring 1 source 1/1 destination 1/24
ERROR:  Tagged/Mobile/Aggregate Port can not be a Mirroring destination.
ERROR: Invalid Session Number.

-> port mirroring 1 source 1/1 destination 1/11
->

Существует возможность перенаправлять трафик с нескольких источников в один приемник и просматривать в одном порту трафик с нескольких портов.

  • show port mirroring status
  • port mirroring <session> source <slot>/<port> destination <slot>/<port> enable
  • no port mirroring <session>

POE

В коммутаторах Alcatel существует функция PoE — передача питания удаленному устройству по Ethernet кабелю По умолчанию POE отключено на всех портах.

  • Для включения POE на порту: lanpower start <slot>/<port>
  • Чтобы включит его на всех портах модуля: lanpower start <slot>
  • Для выключения POE, используется симметричная команда: lanpower stop (<slot>/<port>|<slot>)
  • Просмотр конфигурации POE: show lanpower <slot>
  • Существует возможность ограничить мощность отдаваемую в порт: lanpower <slot>/<port> power <milliwatts>
  • То же самое для всего модуля: lanpower <slot> maxpower <watts>

Мощности в 230W достаточно для питания полного модуля с подключенными IP телефонами. Но нужно помнить что свитч может питать подключенные устройства нестабильно, если подключенных устройств слишком много а мощности блока питания свитча (PSU) не достаточно.