Dieser Artikel zielt darauf ab, den Zeitaufwand für das Verständnis der Prinzipien der Arbeit mit ExtremeXOS (XOS) zu verringern. Als ich anfing, XOS kennenzulernen, fehlte mir wirklich ein solcher Artikel über Habré.
Im Folgenden werde ich über die Konfiguration von Extremes und die Probleme sprechen, auf die ich gestoßen bin. Ich hoffe, es hilft Netzwerkingenieuren, die gerade erst anfangen, mit XOS zu arbeiten. Unabhängig vom Switch-Modell ist die CLI-Syntax genau gleich.
Extremer Schalterständer
Zum Geschäft
Für die Hardwarevirtualisierung verwende ich Eve-Ng und ein Virtual ExtremeOS ( XOS ) -Image. Sie können auch GNS3 verwenden.
Wie sieht die Switch-Konfiguration aus ? In XOS muss der Betriebsmodus nicht gewechselt werden. Alle Befehle werden aus dem normalen Modus eingegeben und im Fall des Administratorkontos mit # gekennzeichnet. und > im Falle des Benutzers.
Zunächst möchte ich die "Grundprinzipien" von Teams in EOS skizzieren. Alles basiert auf drei Befehlen und ihren Antonyme: Erstellen , Konfigurieren , Aktivieren ( Löschen , Dekonfigurieren , Deaktivieren ). Das heißt: Wir erstellen, konfigurieren, aktivieren. Es sieht logisch aus.
create vlan 10 configure vlan 10 ipaddress 192.168.1.1/24
Es versteht sich auch, dass die meisten Konfigurationen in einem VLAN konfiguriert sind. Das heißt, in XOS ist fast alles an VLANs gebunden. Sogar die Zuweisung von VLANs zu einem Port erfolgt in der VLAN-Konfiguration, dh der Port hängt am VLAN.
Ich möchte besonders auf virtuelle Router ( VR ) achten, die standardmäßig im Switch enthalten sind. Es gibt VR-Default, dem alle Ports gehören, und VR-mgmt, dem mgmt gehört. Hafen In XOS müssen Sie für alle Befehle, die Datenverkehr irgendwohin senden (Ping, SSH, Telnet, Download usw.), VR angeben.
ping vr "VR-Default" 192.168.1.1
XOS Switch Update
XOS hat unter dem Betriebssystem zwei Partitionen: primäre und sekundäre. Funktionell unterscheiden sie sich in nichts, nur in Namen. Sie können Updates nur im derzeit inaktiven Bereich installieren. Sie können hierfür das inaktive Argument verwenden. Nach dem Update ist ein Neustart erforderlich und der Switch startet von einer anderen (gerade aktualisierten) Partition. Auf diese Weise können Sie bei Problemen schnell zurücksetzen, indem Sie beim Booten einfach eine andere Partition auswählen (die, auf der das alte Betriebssystem belassen wurde). Ich stelle auch fest, dass alle Bilder mit Patches ein vollwertiges Bild darstellen, dh Sie müssen nicht die Hauptversion und dann einige Nebenbilder einfügen. Beim Herunterladen wird tftp verwendet:
download image 192.168.1.1 summitX-21.1.4.4-patch1-3.xos vr "VR-Default" inactive
Um herauszufinden, welcher Abschnitt derzeit verwendet wird, verwenden Sie:
show system … Image Selected: primary Image Booted: secondary Primary ver: 22.3.1.4 Secondary ver: 21.1.1.4
Stapel stapeln
Um XOS-Switches zu stapeln, müssen Sie die Stapelunterstützung aktivieren und den Switch neu starten:
enable stacking-support reboot
Es ist sehr praktisch, dass Switches verschiedener Modelle zu einem Stapel kombiniert werden können, während der Switch mit der höchsten Leistung der Master ist. Dies kann beispielsweise für einen Stapel von 10G-Switches mit 16 Ports für Server erforderlich sein, zu denen ein 1G-Switch mit 48 Ports hinzugefügt wird, der mgmt.interfaces enthält.
Zum Stapeln müssen Switches dieselbe Betriebssystemversion haben. Das Stapeln erfolgt über bestimmte Ethernet-Ports für jedes Modell anders, die in der Dokumentation zu finden sind. Wenn Sie die Switches nach dem 1-in-2, 2-in-1-Port-Schema zusammenbauen, können Extreme-Switches mithilfe des vereinfachten Easy-Stack-Verfahrens gestapelt werden, bei dem die Mohnadressenadressen an die Steckplatznummer und andere Einstellungen gebunden werden. In diesem Fall ist der erste der Schalter, an dem Sie das Aktivieren des Stapelns aktivieren. Dem Rest werden Nummern entlang der Kette zugewiesen. Dies ist eine ziemlich bequeme Möglichkeit, viel Zeit zu sparen. Nach dem Stapeln sehen die Ports wie SLOT: PORT (1: 1, 2:35) aus.
X440G2-48p-10G4.1 # show stacking Stack Topology is a Ring This node is not in an Active Topology Node MAC Address Slot Stack State Role Flags
Beim Aktualisieren des Stapels wird der Master aktualisiert, und dann schüttet er selbst die neue Version in die verbleibenden Slots. Ein Neustart ist erforderlich .
Lizenzierung
Jeder Switch wird mit einer vorinstallierten Lizenz geliefert (Edge, Advanced Edge, Core usw.). Jede Lizenz verfügt über eigene Funktionen, die auf dem Switch aktiviert werden können, z. B. die Anzahl der Ports, die in OSPF verwendet werden können. Es gibt auch Lizenzen für einzelne Funktionen. Weitere Details finden Sie hier .
Eine der häufigsten Lizenzen ist die Funktion: Dual-10GB-Uplink- Lizenz. Diese Lizenz für den Edge-Switch-1G ermöglicht die Verwendung von 2x 10-GbE-Ports. Zum Beispiel auf dem X440-G2-48p.
Lizenzen sind in Ihrem persönlichen Konto auf der Extreme-Website verfügbar. Anschließend werden sie aktiviert (ohne Neustart) und vom Team überprüft.
enable license XXXX-XXXX show licenses
Wenn im Switch-Stack unterschiedliche Lizenzen verwendet werden, wird die kleinste verwendet.
Anpassung
Ein kleiner Exkurs: Um die Ergebnisse der Befehle zu sehen, die niedriger sind, sowie andere Informationen, können Sie in den meisten Fällen show verwenden, create und configure ersetzen. Zeigen Sie beispielsweise vlan an.
Hinweis: Bei Verwendung von show-Ports erstellt XOS alle paar Sekunden eine aktualisierte Tabelle, mit der der Status der Schnittstellen in Echtzeit überwacht werden kann. Um eine Ausgabe ohne Aktualisierung zu erhalten, müssen Sie "show ports no-refresh" verwenden.
Das erste, was mir in den Sinn kommt, ist die Konfiguration dieses Hostnamens . Es scheint ungefähr so zu sein:
Konfigurieren Sie den Hostnamen Ex_sw_1
Aber nicht alles ist so einfach, tatsächlich wird es so gemacht:
configure snmp sysName Ex-sw-1
Erstellen Sie ein VLAN:
create vlan My_Vlan_Five tag 5
Oder so, und genau so wird es in der Konfiguration angezeigt:
create vlan My_Vlan10 configure vlan My_Vlan10 tag 10
In Anbetracht der praktischen Erfahrung und der Realität der Befehlsausgabe und der XOS-Einstellungen habe ich eine Regel für mich erstellt: Fügen Sie im vlan-Namen das Tag am Ende hinzu, um das Verständnis und die Konfiguration zu vereinfachen:
create vlan users-10 tag 10
XOS verfügt per se nicht über Trunk- und Access-Ports. Stattdessen werden Konzepte verwendet: Tagged und Untagged Traffic auf einer vlan-gebundenen Schnittstelle. Es kann einen nicht getaggten und viele getaggten VLAN geben. Die Ports sind in Zahlen nummeriert (oder Steckplatz: Port auf dem Stapel), alles ist sehr einfach.
configure vlan My_Vlan-5 add ports 1 tagged configure vlan My_Vlan1 add ports 1 untagged
Dementsprechend wird der gesamte Datenverkehr ohne ein Tag, das an die Schnittstelle gelangt, als " My_Vlan1 " gekennzeichnet.
Gleichzeitig kann vlan sowohl über < Name > als auch über < Tag > und in beliebiger Kombination (unter Verwendung von vlan_list , dh numerisch nach Tags) angegeben werden. Ohne ein Attribut am Ende wird <ohne Tags > verwendet:
onfigure vlan 1,5-10,15-20 add ports 1-8, 48 tagged configure vlan web-110 add ports 5 onfigure vlan 20 add ports 30-40,45 untagged
Da die meisten Switches der SummitX-Serie L3- Switches sind, wird SVI folgendermaßen konfiguriert:
configure vlan 125 ipaddress 192.168.125.1/24
Danach müssen Sie diesen Befehl anwenden, sonst bleibt vlan nicht routbar:
enable ipforwarding vlan 125 enable ipforwarding vlan 10-50,60
Um zu sehen, was vlan auf der Schnittstelle ist, können Sie den folgenden Befehl verwenden:
show ports 2 vlan
Zum Anzeigen und Speichern der Konfiguration werden die folgenden Befehle verwendet und es gibt primäre und sekundäre Konfigurationsdateien:
save save secondary show configuration
Link-Aggregation
Einer der unangenehmen Momente, die ich getroffen habe, ist die Ansammlung von Kanälen. (Port-Kanal). Der allgemeine Punkt ist folgender: Sie weisen ihm einen Master-Port und bis zu sieben sekundäre Schnittstellen zu. Außerdem werden alle Einstellungen nur an einem bestimmten Master-Port vorgenommen, es gibt keine logischen Schnittstellen der Form po1 . Der Nachteil ist, dass Sie, wenn Sie den Master-Port ändern möchten, alle Einstellungen manuell auf einen anderen Port übertragen müssen, da beim Löschen eines aggregierten Kanals die gesamte Konfiguration darauf fliegt . In diesem Artikel gibt es eine Lösung für diese Unannehmlichkeiten, die jedoch immer noch nicht perfekt funktioniert. In XOS wird Aggregation als Freigabe bezeichnet .
Um diesen Port zu aktivieren, müssen Sie einen Befehl des Formulars verwenden:
enable sharing [MASTER_PORT] grouping [PORT_LIST] [lacp] enable sharing 1 grouping 1-2 lacp
Bei einer Version unter 22.X muss der Ausgleichsalgorithmus hinzugefügt werden:
enable sharing 1 grouping 1-2 algorithm address-based L2 lacp
OSI Layer 2-Schleifenschutz
Auf Summit-X-Switches in C-Dur Version 22.2 war das Schleifenschutzprotokoll der zweiten Ebene standardmäßig deaktiviert . (STP und andere). Zum Zeitpunkt des Schreibens ist die vom Hersteller empfohlene Software 21.1.5.2.
ELRP
In einem meiner Projekte habe ich das proprietäre ELRP- Protokoll verwendet, mit dem Schleifen erkannt und verhindert werden sollen. Während der Tests zeigte er gute Ergebnisse (Port-Shutdown-Geschwindigkeit mit einer Schleife usw.). Dieses Protokoll sendet eine Multicast- PDU , und wenn der Absender sie erneut empfängt, gibt es eine Schleife.
Das Intervall ist für die Häufigkeit der PDU-Verteilung verantwortlich, in diesem Fall - 2 Sekunden. Im Falle einer Schleife wird der Port für 180 Sekunden blockiert, wonach die PDU erneut gesendet wird. Warnoptionen: Protokoll, Trap, Log-and-Trap. Im Falle eines Traps wird der snmp-Trap entsprechend gesendet.
Dieses Per-VLAN-Protokoll sowie die meisten Konfigurationen in XOS sind konfiguriert.
enable elrp-client configure elrp-client periodic Buh-123 ports all interval 2 log disable-port ingress duration 180
Um zu verhindern, dass das ELRP-Protokoll Uplinks von Zugriffsschaltern oder kritischen Verbindungen blockiert, wird der Befehl zum Entfernen von Ports aus der Blockierung verwendet.
configure elrp-client disable-port exclude 35 configure elrp-client disable-port exclude 1:1
STP
STP ist etwas kniffliger konfiguriert, aber im Allgemeinen gibt es keine besonderen Probleme. In XOS heißt dieses Protokoll "stpd", in allen Befehlen zur Konfiguration von STP wird es verwendet. Sie können dies per VLAN mit verschiedenen STP-Domänen tun. "Domain-ID" und "VLAN-ID" müssen übereinstimmen. Ports in STP können entweder manuell oder mithilfe der automatischen VLAN-Bindung hinzugefügt werden. Sobald ein Port zu vlan hinzugefügt wird, wird dieser Port automatisch zu STP hinzugefügt. Das ist die Logik. Moduseinstellung : dot1d STP, dot1w - RSTP:
configure stpd "s0" priority 4096 configure stpd s0 mode dot1w enable stpd s0 enable stpd "s0" auto-bind "VLAN_0005"
VRRP
VRRP ist eine Art von FHRP , ein Analogon von HSRP in Cisco. Für jedes Netzwerk (vlan) muss ein vrid verwendet werden, das zwischen 1 und 255 liegen kann. Ich war mit der Möglichkeit zufrieden, den Datenverkehr vom Backup-vrrp-L3-Switch mithilfe der Fabric-Routing-Option weiterzuleiten. Standardmäßig ist die Priorität 100. Welcher der Schalter eine höhere Priorität hat, wird zu „Master“.
create vrrp vlan test1 vrid 125 configure vrrp vlan test1 vrid 125 priority 50 configure vrrp vlan test1 vrid 125 fabric-routing on enable vrrp vlan test1 vrid 125
MLAG
Was es ist und warum, wird hier sehr gut beschrieben: Es ist in der Tat ein Analogon von Cisco VPC. ISC - Verbindung zwischen mlag-Pair-Schaltern.
In meinem Fall wurde normalerweise das folgende Schema verwendet:
Es ist erforderlich, einen Nachbarn (Peer) zu erstellen, um einem bestimmten Nachbarn bestimmte Ports mit mlag zuweisen zu können, da Extreme die Verwendung mehrerer Nachbarn unterstützt. Für ISC benötigen Sie ein VLAN, das nur für ISC verwendet wird und eine IP-Adresse hat. Dementsprechend haben wir für X670-1 Peer X670-2 und mlag-Ports sind x440. Für das Funktionieren ist es erforderlich, einen Aggregationskanal und auf x670 einen Port in Richtung x440 und einen aggregierten Kanal in Richtung X670-2 zu erstellen, an dem ALLE Vlans an mlag teilnehmen.
Auf x670:
Enable sharing 1 grouping 1 lacp create mlag peer "mlag1" configure mlag peer "mlag1" ipaddress 10.255.255.2 vr VR-Default enable mlag port 1 peer "mlag1" id 1
Auf x440-Stack:
enable sharing 1:51 grouping 1:51,2:51 lacp
MLAG + VRRP
Beim Testen von Schalttafeln am Stand wurde ein Problem festgestellt, dass VRRP die Master-Rolle entfernt, bevor alle anderen Schnittstellen (ISC wird zuerst hochgefahren) und Protokolle aktiviert werden, was zu Netzwerkausfallzeiten in der Größenordnung von einer Minute führte.
Dieses Problem wurde durch die folgenden Befehle gelöst, die jedoch nur mit „EXOS 21.1.3.7-patch1-4“ und „EXOS 22.3“ verfügbar sind:
configure mlag ports reload-delay 60 enable mlag port reload-delay
Routing
Statische Routen sind wie folgt definiert, es sollte keine Probleme geben. Sie können die Maske in jeder Version einstellen.
configure iproute add 10.0.66.0 255.255.255.0 172.16.1.1 configure iproute add 10.0.0.1/32 10.255.255.255 configure iproute add default 172.16.0.1
OSPF
Für das Routing wurde in meiner Praxis OSPF mit einer einzelnen Zone verwendet. Um die Funktionsfähigkeit sicherzustellen, müssen Sie eine Router-ID festlegen und außerdem jedes VLAN hinzufügen, das angekündigt werden muss (ähnlich wie in Cisco: Netzwerk).
configure ospf routerid 192.168.1.1 enable ospf configure ospf add vlan routing-5 area 0.0.0.0 configure ospf add vlan Voip-32 area 0.0.0.0 passive
Andere kleine Dinge
DHCP-Relais
Wie folgt konfiguriert:
configure bootprelay add 192.168.12.5 vr VR-Default enable bootprelay ipv4 vlan servers-500
Wenn Sie ein neues VLAN erstellen, müssen Sie es manuell mit VHCP Relay zur VLAN-Liste hinzufügen.
SSH + ACL für SSH
Ssh ist wie folgt aktiviert:
enable ssh2
Um den Zugriff auf ssh zu beschränken, müssen Sie eine separate Richtliniendatei des Formulars NAME.pol erstellen und an SSH hängen.
vi ssh.pol
Richtlinie:
Entry AllowTheseSubnets { if match any { source-address 192.168.0.0 /16; source-address 10.255.255.34 /32; } Then { permit; } }
Der Befehl zum Anwenden der Richtlinie:
enable ssh2 access-profile ssh.pol
Beschreibung + Anzeigezeichenfolge
Zur Vereinfachung der Einrichtung und des anschließenden Betriebs können Sie den "Namen" und die "Beschreibung" der Schnittstelle festlegen.
onfigure port 1 description “this is port number one”
Die Beschreibung der Schnittstelle wird nur in Befehlen des Formulars angezeigt:
show ports description
Ein Schnittstellenname ersetzt fast überall seine Nummer in der Ausgabe von Befehlen. Der Name darf kein Leerzeichen enthalten und ist auf eine Länge von 20 Zeichen begrenzt.
onfigure port 1 display-string UserPort EXOS-VM.8 # sh port vlan Untagged Port /Tagged VLAN Name(s)
Fazit
Mit XOS können Sie auch viele Aktionen automatisieren und das System an Ihre Anforderungen anpassen, da Python und der integrierte Mechanismus zum Erstellen und Ausführen von Skripten mithilfe von CLI-Scripting- Befehlen nativ unterstützt werden.
Ich bin offen für Vorschläge zur Verbesserung des Artikels und zur Korrektur von Ungenauigkeiten / Fehlern sowie für Fragen.
UPD : LLDP für IP-Telefone wird mithilfe der Befehle aus diesem Kommentar konfiguriert.