Switch HP 5120
-
- Dernière modification le il y a 2 années par Paf
-
Sommaire
- 1 Concepts
- 2 Connexion à l’équipement
- 3 Administration en CLI
- 4 Création d’un VLAN de niveau 2
- 5 Création d’un VLAN de niveau 3
- 6 Affectation d’une ACL a une interface VLAN
- 7 Visualisation des affectations d'ACL aux interfaces VLANce VLAN en entrée ou en sortie :
- 8 Désaffectation d’une ACL a une interface VLAN
- 9 Création d’une access-list
- 10 Modification d’une acl
- 11 Consulter la liste des ports
- 12 Modifier l’état d’un port
- 13 Vérifier le paramétrage d’un port dans la configuration
- 14 Modifier la vitesse d’un port
- 15 Basculer un port dans un VLAN (en mode access)
- 16 Afficher la liste des ports avec les erreurs et le trafic
- 17 Mise en stack IRF en cas de crash et remplacement de l'un des deux module
- 18 Ajouter une route
- 19 Supprimer une route
Concepts
Le cœur de réseau est constitué de deux switch 24 ports Giga stackés en IRF (par câble CX4 2x10Gbps).
Le protocole IRF permet de virtualiser ces deux switch en un seul, ce qui autorise ensuite à y connecter les équipements en LACP (double attachement) et assurer une haute disponibilité (partant du principe que les deux membres IRF ne tomberont pas simultanément en panne).
Ce switch étant de niveau 3 (IP), il permet également un routage inter-VLAN à très haute vitesse (Technologie ASIC – FPGA) : il faut pour cela que la passerelle des clients de chaque VLAN corresponde à l’adresse du VLAN routé.
Le switch commence donc par chercher l’adresse destination sur un de ses VLAN adjacents, et utilise ensuite sa table de routage interne s’il ne trouve pas de réseau correspondant.
Connexion à l’équipement
On peut se connecter au cœur de réseau de deux manières :
- SSH (sur l'@IP passerelle VLAN)* pour administration en CLI Comware (IOS 3Com)
- WWW (sur l'@IP passerelle VLAN)*
*
Utiliser l’@IP de la passerelle du VLAN dans lequel on se trouve. PuTTY nécessite un paramétrage particulier au niveau du clavier pour fonctionner correctement :Control-H)
Administration en CLI
Comme en CLI CISCO ou en CLI Procurve, il existe un mode privilège qui permet de modifier la configuration en temps réel (running-config).
Ce mode est accessible via la commande[system-view] équivalente à la commande [enable] de chez CISCO.
Voici un tableau des principales équivalences entre les 3 CLI :
Création d’un VLAN de niveau 2
[A5120-MAIN]vlan 666
[A5120-MAIN-vlan666]name DIABOLIQUE
[A5120-MAIN-vlan666]di th
#
vlan 1
name DEFAULT_VLAN
#
vlan 2
description Remote_Probe
#
vlan 5
name DMZ_PRESTA
#
……
#
vlan 666
name DIABOLIQUE
#
Création d’un VLAN de niveau 3
[A5120-MAIN]display current-configuration interface Vlan-interface
#
interface Vlan-interface1
description SERVEURS
ip address 192.168.2.146 255.255.255.0
#
interface Vlan-interface5
description DMZ-PRESTA
ip address 192.168.8.254 255.255.255.0
dhcp select relay
dhcp relay server-select 1
packet-filter 3010 inbound
#
interface Vlan-interface10
description VOIP
#
interface Vlan-interface13
description WORKSTATION
ip address 192.168.13.254 255.255.255.0
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface14
description IMPRIMANTES
ip address 192.168.14.254 255.255.255.0
#
interface Vlan-interface15
description VISIOCONF
ip address 192.168.15.254 255.255.255.0
dhcp select relay
dhcp relay server-select 1
#
Affectation d’une ACL a une interface VLAN
Une fois définie, une ACL est appliquée à une interface VLAN en entrée ou en sortie :
[A5120-MAIN]interface Vlan-interface5
[A5120-MAIN-Vlan-interface5]di this
#
interface Vlan-interface5
description DMZ-PRESTA
ip address 192.168.8.254 255.255.255.0
dhcp select relay
dhcp relay server-select 1
packet-filter 3010 inbound
#
return
[A5120-MAIN-Vlan-interface5]#
#
Visualisation des affectations d'ACL aux interfaces VLANce VLAN en entrée ou en sortie :
[A5120-MAIN]display packet-filter all
Désaffectation d’une ACL a une interface VLAN
[A5120-MAIN-Vlan-interface5]undo packet-filter 3010 inbound
[A5120-MAIN-Vlan-interface5]display this
#
interface Vlan-interface5
description DMZ-PRESTA
ip address 192.168.8.254 255.255.255.0
dhcp select relay
dhcp relay server-select 1
#
return
[A5120-MAIN-Vlan-interface5]
Création d’une access-list
#
acl number 3020 name VPNJN-IN
step 10
rule 0 permit icmp
rule 10 permit tcp established
rule 20 permit udp destination 192.168.2.247 0 destination-port gt 1023
rule 30 permit ip source 192.168.20.0 0.0.0.255
rule 40 permit ip source 192.168.21.0 0.0.0.255
rule 50 permit udp destination 192.168.2.155 0 destination-port eq bootpc
rule 60 permit udp destination 192.168.2.155 0 destination-port eq bootps
rule 70 permit udp source 192.168.5.0 0.0.0.255 destination-port eq tftp
rule 80 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.238 0
rule 90 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.239 0
rule 100 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.251 0
rule 110 permit udp source 192.168.5.0 0.0.0.255 destination-port eq ntp
rule 120 permit udp source 192.168.5.0 0.0.0.255 destination-port eq dns
rule 130 permit tcp source 192.168.5.0 0.0.0.255 destination-port eq www
rule 140 permit udp source 192.168.5.0 0.0.0.255 destination-port eq 443
rule 150 permit tcp source 192.168.5.0 0.0.0.255 destination-port eq 443
rule 160 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.1.5 0 destination-port eq smtp
rule 170 permit tcp source 192.168.5.0 0.0.0.255 destination-port eq 587
rule 180 permit tcp source 192.168.5.0 0.0.0.255 destination-port eq 465
rule 190 permit tcp source 192.168.5.0 0.0.0.255 destination-port eq 995
rule 200 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq 3389
rule 210 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.2.229 0 destination-port eq 8080
rule 220 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.2.229 0 destination-port eq 5274
rule 220 comment !!!!! TREND OFFICE SCAN !!!!!
rule 230 permit ip source 192.168.5.250 0 destination 192.168.2.0 0.0.0.255
rule 230 comment !!!!! AVAYA IPOFFICE !!!!!
rule 240 permit tcp source 192.168.5.0 0.0.0.255 destination 194.206.149.238 0 destination-port eq 6715
rule 240 comment !!!!! SFTP DECRARASSUR APRIA !!!!!
rule 250 permit udp source-port eq snmp destination 192.168.2.0 0.0.0.255 destination-port gt 1023
rule 260 deny ip
#
Modification d’une acl
Se positionner sur l'ACL (par son N° ou son nom) avant de la modifier.
[A5120-MAIN]acl number 3020
[A5120-MAIN-acl-adv-3020-VPNJN-IN]step 15
[A5120-MAIN-acl-adv-3020-VPNJN-IN]display this
#
acl number 3020 name VPNJN-IN
step 15
rule 0 permit icmp
rule 15 permit tcp established
rule 30 permit udp destination 192.168.2.247 0 destination-port gt 1023
rule 45 permit ip source 192.168.20.0 0.0.0.255
rule 60 permit ip source 192.168.21.0 0.0.0.255
rule 75 permit udp destination 192.168.2.155 0 destination-port eq bootpc
rule 90 permit udp destination 192.168.2.155 0 destination-port eq bootps
rule 105 permit udp source 192.168.5.0 0.0.0.255 destination-port eq tftp
rule 120 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.238 0
rule 135 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.239 0
rule 150 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.2.251 0
Pour suppression d’une règle : undo rule XXX
Pour insertion d’une règle : rule xxx permit …..
Pour afficher les modifications effectives : display this
Pour redéfinir le pas de numérotation des règles : step x (avec X = le pas souhaité)
Consulter la liste des ports
[display interface brief]
[E5120-48G]display interface brief
The brief information of interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Main IP Description
NULL0 UP UP(s) --
Vlan1 UP UP 192.168.2.155
Vlan10 UP UP --
Vlan20 UP UP 192.168.6.254
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Speed or Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface Link Speed Duplex Type PVID Description
BAGG1 DOWN auto A H 1 SW-EDGE-FDS-216
BAGG2 DOWN auto A H 1 SW-EDGE-FDS-217
BAGG3 DOWN auto A H 1 SW-EDGE-214
BAGG4 DOWN auto A H 1 SW-EDGE-215
BAGG5 DOWN auto A H 1 SW-EDGE-SERVEURS-127
BAGG6 UP 2G(a) F(a) H 1 SW-2810-24G
BAGG7 UP 2G(a) F(a) T 1 MSM720
BAGG8 UP 2G(a) F(a) A 10 VOIP-JN-SRX
BAGG9 DOWN auto A A 10 VOIP-AVAYA-IPOFFICE
BAGG10 UP 2G(a) F(a) A 500 MPLS-JN-SRX
BAGG11 UP 2G(a) F(a) A 400 WAN-JN-SRX
BAGG12 DOWN auto A H 1 SW-EDGE-161
BAGG13 DOWN auto A H 1 SW-EDGE-162
GE1/0/1 UP 100M F A 400
GE1/0/2 UP 1G(a) F(a) A 400
GE1/0/3 UP 100M F A 300
Modifier l’état d’un port
<E5120-48G>system-view
System View: return to User View with Ctrl+Z.
[E5120-48G]
[E5120-48G]interface GigabitEthernet 1/0/8
[E5120-48G-GigabitEthernet1/0/8]shutdown
[E5120-48G-GigabitEthernet1/0/8]display current-configuration interface GigabitEthernet 1/0/8
#
interface GigabitEthernet1/0/8
port access vlan 10
shutdown
#
return
[E5120-48G-GigabitEthernet1/0/8]
[E5120-48G-GigabitEthernet1/0/8]undo shutdown
[E5120-48G-GigabitEthernet1/0/8]display current-configuration interface GigabitEthernet 1/0/8
#
interface GigabitEthernet1/0/8
port access vlan 10
#
return
[E5120-48G-GigabitEthernet1/0/8]
Vérifier le paramétrage d’un port dans la configuration
[E5120-48G]display current-configuration interface GigabitEthernet 1/0/8
#
interface GigabitEthernet1/0/8
port access vlan 10
#
return
[E5120-48G]
Modifier la vitesse d’un port
[E5120-48G-GigabitEthernet1/0/8]speed ?
10 Specify speed as 10 Mbps
100 Specify speed as 100 Mbps
1000 Specify speed as 1000 Mbps
auto Enable port's speed negotiation automatically
[E5120-48G-GigabitEthernet1/0/8]duplex ?
auto Enable port's duplex negotiation automatically
full Full-duplex
half Half-duplex
[E5120-48G-GigabitEthernet1/0/8]duplex
Basculer un port dans un VLAN (en mode access)
[E5120-48G]interface GigabitEthernet1/0/8
[E5120-48G-GigabitEthernet1/0/8]port access vlan 20
[E5120-48G-GigabitEthernet1/0/8]quit
[E5120-48G]display current-configuration interface GigabitEthernet 1/0/8
#
interface GigabitEthernet1/0/8
port access vlan 20
#
return
[E5120-48G]
Afficher la liste des ports avec les erreurs et le trafic
[E5120-48G]display counters inbound interface
Interface Total(pkts) Broadcast(pkts) Multicast(pkts) Err(pkts)
GE1/0/1 606972484 0 0 0
GE1/0/2 536685621 139274 20039 0
GE1/0/3 339802644 596907 0 0
GE1/0/4 263801354 0 0 0
GE1/0/5 230354827 4527 20035 0
GE1/0/6 1112519886 857759 0 0
GE1/0/7 12211576 4082 0 0
GE1/0/8 0 0 0 0
GE1/0/9 82546 779 20035 0
GE1/0/10 1851881 101941 0 0
GE1/0/11 12874596 14436 0 0
GE1/0/12 0 0 0 0
GE1/0/13 0 0 0 0
GE1/0/14 0 0 0 0
GE1/0/15 66594675 127879 0 0
GE1/0/16 0 0 0 0
GE1/0/17 0 0 0 0
GE1/0/18 515727037 6366329 1948520 0
GE1/0/19 242544662
[E5120-48G]display counters outbound interface
Interface Total(pkts) Broadcast(pkts) Multicast(pkts) Err(pkts)
GE1/0/1 566863602 178484 100834 0
GE1/0/2 606484553 0 120876 0
GE1/0/3 447218314 146674 101414 0
GE1/0/4 248839546 4526 100834 0
GE1/0/5 263325849 0 120894 0
GE1/0/6 1100250363 13236149 4711127 0
GE1/0/7 9759799 40328 326457 0
GE1/0/8 0 0 0 0
GE1/0/9 275015 174831 100159 0
GE1/0/10 2470842 641625 101414 0
GE1/0/11 13441491 729152 101414 0
GE1/0/12 0 0 0 0
GE1/0/13 0 0 0 0
GE1/0/14 0 0 0 0
GE1/0/15
Mise en stack IRF en cas de crash et remplacement de l'un des deux module
Au niveau de la topologie IRF le master dispose de son esclave par défaut sur le port IRF-Port2 et l’esclave de son master sur le port IRF-Port1.
Il convient de ne pas utiliser le même port IRF entre deux Switch (exemple SWT1 vers SWT2 = IRF-Port1 & SWT2 vers SWT1 = IRF-Port1)
Voici les ensembles des commandes à exécuter pour mettre en place l’IRF entre deux switchs :
On supprime la configuration des deux switchs
<HP> reset saved-configuration
<HP> reboot
On renomme le switch 2 dans la partie IRF et on le redémarre
<HP> system-view
[HP] irf member 1 renumber 2
[HP] save main force
[HP] quit
<HP> reboot
On nomme le switch 1 et on le place à la plus haute priorité IRF
<HP> system-view
[HP] irf member 1 description Coeur1
[HP] irf member 1 priority 32
[HP] save main force
[HP] quit
<HP> reboot
On active maintenant l’IRF sur le port 10 Gb/s du switch 1 Ten-GigabitEthernet 1/1/2 et sur le port IRF ½
<HP> system-view
[HP] interface Ten-GigabitEthernet 1/1/2
[HP-Ten-GigabitEthernet1/1/2] shutdown
[HP-Ten-GigabitEthernet1/1/2] quit
[HP] irf-port 1/2
[HP-irf-port1/2] port group interface Ten-GigabitEthernet 1/1/2
[HP-irf-port1/2] quit
[HP] interface Ten-GigabitEthernet 1/1/2
[HP-Ten-GigabitEthernet1/1/2] undo shutdown
[HP-Ten-GigabitEthernet1/1/2] quit
[HP] save main force
On active maintenant l’IRF sur le port 10 Gb/s du switch 2 Ten-GigabitEthernet 2/1/2 et sur le port IRF ½
[HP] interface Ten-GigabitEthernet 2/1/2
[HP-Ten-GigabitEthernet2/1/2] shutdown
[HP-Ten-GigabitEthernet2/1/2] quit
[HP] irf-port 2/1
[HP-irf-port2/2] port group interface Ten-GigabitEthernet 2/1/2
[HP-irf-port2/2] quit
[HP] interface Ten-GigabitEthernet 2/1/2
[HP-Ten-GigabitEthernet2/1/2] undo shutdown
[HP-Ten-GigabitEthernet2/1/2] quit
[HP] save main force
Une fois que les deux configurations ont été sauvegardées, on active l’IRF sur le Switch 1
[HP] irf-port-configuration active
Le Switch 2 va automatiquement être redémarré et prendre en compte l’IRF
Dès que tout a été redémarré, on peut renommer le Switch 2 proprement et lui mettre une priorité si besoin :
<HP>system-view
[HP] irf member 2 description Coeur2
[HP] irf member 2 priority 30
Les deux switchs sont maintenant vu comme un seul. Si on se connecte en SSH sur un, les commandes
vont automatiquement à l’autre. De plus, si on se met en Console sur l’un, la configuration ira aussi sur
l’autre.
On peut si besoin afficher les configurations
[HP] display irf
Switch Role Priority CPU-Mac Description *+1 Master 32 7848-000c-e7c1 Coeur1
2 Slave 1 7848-000d-1c41 Coeur2
--------------------------------------------------
- indicates the device is the master.
+ indicates the device through which the user logs in. The Bridge MAC of the IRF is: 7848-0000-e7ae
Auto upgrade : yes Mac persistent : 6 min
Domain ID : 0 [HP] display irf configuration MemberID NewID IRF-Port1 IRF-Port2 1 1 disable Ten-GigabitEthernet1/1/2
2 2 Ten-GigabitEthernet2/1/2 disable
<HP>display device manuinfo
Slot 1:
DEVICE_NAME : A5500-24G-PoE+ EI JG241A
DEVICE_SERIAL_NUMBER : CB000000
MAC_ADDRESS : 7848-0000-E7AE
MANUFACTURING_DATE : 2014-06-10
VENDOR_NAME : HP
Slot 2:
DEVICE_NAME : A5500-24G-PoE+ EI JG241A
DEVICE_SERIAL_NUMBER : CB000002
MAC_ADDRESS : 7848-0000-1C2E
MANUFACTURING_DATE : 2014-06-10
VENDOR_NAME : HP
Ajouter une route
Exemple:
ip route-static 192.168.152.0 255.255.255.0 192.168.2.253
Supprimer une route
Exemple:
undo ip route-static 192.168.152.0 255.255.255.0 192.168.2.253