Este artículo tiene como objetivo reducir la cantidad de tiempo necesario para comprender los principios de trabajar con ExtremeXOS (XOS) . Cuando comencé a conocer XOS, realmente me faltaba un artículo sobre Habré.
A continuación hablaré sobre la configuración de Extremes y los problemas que encontré. Espero que ayude a los ingenieros de redes que recién comienzan a trabajar con XOS. Independientemente del modelo de conmutador, la sintaxis de la CLI es exactamente la misma.
Soporte de interruptor extremo
A los negocios
Para la virtualización de hardware, uso Eve-Ng y una imagen Virtual ExtremeOS ( XOS ) . También puedes usar GNS3.
¿Cómo se ve la configuración del interruptor? En XOS no hay necesidad de cambiar los modos operativos, todos los comandos se ingresan desde el modo normal, marcado con # en el caso de la cuenta de administrador; y > en caso de usuario.
Para empezar, me gustaría describir los principios "básicos" de los equipos en EOS. Todo se basa en tres comandos y sus antónimos: crear , configurar , habilitar ( eliminar , desconfigurar , deshabilitar, respectivamente). Es decir: creamos, configuramos, activamos. Se ve lógico.
create vlan 10 configure vlan 10 ipaddress 192.168.1.1/24
También debe entenderse que la mayoría de las configuraciones se configuran en una VLAN . Es decir, en XOS, casi todo está vinculado a las VLAN. Incluso la asignación de VLAN a un puerto ocurre en la configuración de VLAN, es decir, el puerto está bloqueado en el vlan.
Me gustaría prestar especial atención a los enrutadores virtuales ( VR ), que están por defecto en el conmutador. Hay VR-Default, que posee todos los puertos, y VR-mgmt, que posee mgmt. puerto En XOS, para todos los comandos que envían tráfico a algún lugar (ping, ssh, telnet, descarga, etc.), debe especificar VR.
ping vr "VR-Default" 192.168.1.1
Actualización del interruptor XOS
XOS tiene dos particiones en el sistema operativo: primaria y secundaria. Funcionalmente, no difieren en nada, solo en nombres. Puede instalar actualizaciones solo en la sección actualmente inactiva. Puede usar el argumento inactivo para esto. Después de la actualización, se requiere reiniciar y el conmutador se inicia desde otra partición (recién actualizada). Esto permite retroceder rápidamente, en caso de problemas, simplemente eligiendo una partición diferente en el arranque (aquella en la que se dejó el sistema operativo anterior). También noto que todas las imágenes con parches representan una imagen completa, es decir, no necesita poner la versión principal, y luego algunas menores. Al descargar, se usa tftp:
download image 192.168.1.1 summitX-21.1.4.4-patch1-3.xos vr "VR-Default" inactive
Para averiguar qué sección está actualmente en uso, use:
show system … Image Selected: primary Image Booted: secondary Primary ver: 22.3.1.4 Secondary ver: 21.1.1.4
Cambiar apilamiento
Para apilar conmutadores XOS, debe habilitar el soporte de apilamiento y reiniciar el conmutador:
enable stacking-support reboot
Es muy conveniente que los interruptores de diferentes modelos se puedan combinar en una pila, mientras que el interruptor con el rendimiento más alto será el maestro. Por ejemplo, esto puede ser necesario para una pila de conmutadores 10G con 16 puertos para servidores, a los que se agrega un conmutador 1G de 48 puertos, que incluye mgmt.interfaces.
Para apilar, los switches deben tener la misma versión del sistema operativo. El apilamiento se realiza a través de ciertos puertos Ethernet, para cada modelo diferente, que se pueden encontrar en la documentación. Si ensambla los conmutadores de acuerdo con el esquema de puertos 1 en 2, 2 en 1, los conmutadores Extreme se pueden apilar de acuerdo con el procedimiento simplificado de apilamiento fácil, que a su vez vinculará las direcciones mac con el número de ranura y otras configuraciones. En este caso, el primero será el interruptor en el que habilita habilitar el apilamiento, el resto se le asignarán números a lo largo de la cadena. Esta es una forma bastante conveniente de ahorrar mucho tiempo. Después de apilar, los puertos se verán como SLOT: PORT (1: 1, 2:35).
X440G2-48p-10G4.1 # show stacking Stack Topology is a Ring This node is not in an Active Topology Node MAC Address Slot Stack State Role Flags
La actualización de la pila es que el maestro se actualiza, y luego él mismo vierte la nueva versión en las ranuras restantes. Se requiere reiniciar .
Licencia
Cada conmutador viene con una licencia preinstalada (borde, borde avanzado, núcleo, etc.). Cada licencia tiene su propio conjunto de funciones que se pueden activar en el conmutador, por ejemplo, la cantidad de puertos que se pueden usar en OSPF. También hay licencias para funciones individuales. Más detalles se pueden leer aquí .
Una de las licencias más comunes es la característica: licencia Dual-10GB-Uplink . Esta licencia para el switch switch-1G permite el uso de 2 puertos de 10 GbE. Por ejemplo, en el X440-G2-48p.
Las licencias están disponibles en su cuenta personal en el sitio web de Extreme, después de lo cual son activadas (sin reiniciar) y verificadas por el equipo.
enable license XXXX-XXXX show licenses
Si se utilizan diferentes licencias en la pila de conmutadores, se utilizará la más pequeña .
Personalización
Una pequeña digresión: para ver los resultados de los comandos que serán más bajos, así como cualquier otra información, en la mayoría de los casos puede usar mostrar, reemplazar crear y configurar. Por ejemplo, muestre vlan.
Sugerencia: Al usar show ports, XOS creará una tabla actualizada cada pocos segundos, que permite el monitoreo en tiempo real del estado de las interfaces. Para obtener resultados sin actualizar, debe usar "show ports no-refresh".
Lo primero que viene a la mente es configurar este nombre de host . Parecería ser algo como esto:
configurar el nombre de host Ex_sw_1
Pero no todo es tan simple, de hecho se hace así:
configure snmp sysName Ex-sw-1
Crear una VLAN:
create vlan My_Vlan_Five tag 5
O así, y así es exactamente como se mostrará en la configuración:
create vlan My_Vlan10 configure vlan My_Vlan10 tag 10
Teniendo en cuenta la experiencia práctica y las realidades de la salida de comandos y la configuración de XOS, creé una regla para mí: en el nombre de vlan, agregue su etiqueta al final, lo que facilita la comprensión y configuración:
create vlan users-10 tag 10
XOS no tiene puertos troncales y de acceso per se. En cambio, se utilizan conceptos: tráfico etiquetado y sin etiquetar en una interfaz vinculada a vlan. Puede haber un vlan sin etiquetar y muchos etiquetados. Los puertos están numerados en números (o ranura: puerto en la pila), todo es muy simple.
configure vlan My_Vlan-5 add ports 1 tagged configure vlan My_Vlan1 add ports 1 untagged
En consecuencia, todo el tráfico sin una etiqueta que llegue a la interfaz se etiquetará como " My_Vlan1 ".
Al mismo tiempo, vlan puede especificarse tanto a través de < Nombre > como a través de < etiqueta >, y en cualquier combinación (usando vlan_list , es decir, numérico por etiquetas). Sin un atributo al final, se usa < sin etiquetar >:
onfigure vlan 1,5-10,15-20 add ports 1-8, 48 tagged configure vlan web-110 add ports 5 onfigure vlan 20 add ports 30-40,45 untagged
Como la mayoría de los interruptores de la serie SummitX son interruptores L3 , así es como se configura SVI:
configure vlan 125 ipaddress 192.168.125.1/24
Después de eso, debe aplicar este comando, de lo contrario, vlan seguirá siendo no enrutable:
enable ipforwarding vlan 125 enable ipforwarding vlan 10-50,60
Para ver qué vlan hay en la interfaz, puede usar el comando:
show ports 2 vlan
Para ver y guardar la configuración, se utilizan los siguientes comandos y hay archivos de configuración primarios y secundarios:
save save secondary show configuration
Agregación de enlaces
Uno de los momentos incómodos que conocí es la agregación de canales. (puerto-canal). El punto general es este: le asigna un puerto maestro y hasta siete interfaces secundarias. Además, todas las configuraciones se realizan solo en un puerto maestro específico, no hay interfaces lógicas de la forma po1 . La desventaja es que si desea cambiar el puerto maestro, debe transferir manualmente todas las configuraciones a otro puerto, ya que cuando elimina un canal agregado, la configuración completa vuela . Hay una solución a este inconveniente en este artículo , pero aún no funciona perfectamente. En XOS, la agregación se llama compartir .
Para habilitar dicho puerto, debe usar un comando del formulario
enable sharing [MASTER_PORT] grouping [PORT_LIST] [lacp] enable sharing 1 grouping 1-2 lacp
En la versión inferior a 22.X, es necesario agregar el algoritmo de "equilibrio":
enable sharing 1 grouping 1-2 algorithm address-based L2 lacp
OSI Layer 2 Loop Protection
En los conmutadores Summit-X en Do mayor versión 22.2, el protocolo de protección de bucle de segundo nivel estaba deshabilitado de forma predeterminada. (STP y otros). Al momento de escribir, el software recomendado por el proveedor es 21.1.5.2.
ELRP
En uno de mis proyectos, utilicé el protocolo ELRP patentado, que está diseñado para detectar y prevenir bucles. Durante las pruebas, mostró buenos resultados (velocidad de cierre del puerto con un bucle, etc.). Este protocolo envía una PDU de multidifusión, y si el remitente la recibe nuevamente, entonces hay un bucle.
El intervalo es responsable de la frecuencia de distribución de la PDU, en este caso, 2 segundos. En el caso de un bucle, el puerto se bloqueará durante 180 segundos, después de lo cual la PDU se enviará nuevamente. Opciones de alerta: log, trap, log-and-trap. En el caso de trap, snmp trap se envía en consecuencia.
Este protocolo por vlan está configurado, así como la mayoría de las configuraciones en XOS.
enable elrp-client configure elrp-client periodic Buh-123 ports all interval 2 log disable-port ingress duration 180
Para evitar que el protocolo ELRP bloquee los enlaces ascendentes de los conmutadores de acceso o las conexiones críticas, se utiliza el comando para eliminar los puertos del bloqueo.
configure elrp-client disable-port exclude 35 configure elrp-client disable-port exclude 1:1
STP
STP está configurado un poco más complicado, pero en general no hay problemas especiales. En XOS, este protocolo se llama "stpd", en todos los comandos para configurar STP, se utiliza. Puede hacerlo por vlan utilizando diferentes dominios STP. "Domain-id" y "vlan-id" deben coincidir. Los puertos en STP se pueden agregar manualmente o usando vlan auto-bind. Tan pronto como se agrega un puerto a vlan, este puerto se agrega automáticamente a STP. Tal es la lógica. Configuración del modo: dot1d STP, dot1w - RSTP:
configure stpd "s0" priority 4096 configure stpd s0 mode dot1w enable stpd s0 enable stpd "s0" auto-bind "VLAN_0005"
VRRP
VRRP es un tipo de FHRP , un análogo de HSRP en Cisco. Para cada red (vlan) es necesario usar un vrid, que puede ser de 1 a 255. Estaba satisfecho con la capacidad de enrutar el tráfico desde el switch backup-vrrp-L3 usando la opción de enrutamiento de estructura. Por defecto, la prioridad es 100. ¿Cuál de los interruptores tiene mayor prioridad? Se convierte en "Maestro".
create vrrp vlan test1 vrid 125 configure vrrp vlan test1 vrid 125 priority 50 configure vrrp vlan test1 vrid 125 fabric-routing on enable vrrp vlan test1 vrid 125
MLAG
Acerca de qué es y por qué, se describe muy bien aquí : de hecho, es un análogo de Cisco VPC. ISC : conexión entre conmutadores de par mlag.
En mi caso, se usó el siguiente esquema:
Es necesario crear un vecino (par) para poder asignar puertos específicos con mlag a un vecino específico, ya que Extreme admite la capacidad de usar múltiples vecinos. Para ISC, necesita un vlan que se use solo para ISC y que tenga una dirección IP. En consecuencia, para X670-1 tendremos X670-2, y los puertos mlag serán x440. Para funcionar, es necesario crear un canal de agregación, y en x670 para un puerto hacia x440, y un canal agregado hacia X670-2, en el que TODOS los Vlan participarán en mlag.
En x670:
Enable sharing 1 grouping 1 lacp create mlag peer "mlag1" configure mlag peer "mlag1" ipaddress 10.255.255.2 vr VR-Default enable mlag port 1 peer "mlag1" id 1
En x440-stack:
enable sharing 1:51 grouping 1:51,2:51 lacp
MLAG + VRRP
Durante las pruebas de los cuadros de distribución en el stand, se encontró un problema que VRRP quita el rol de Maestro antes de que se levanten todas las otras interfaces (ISC sube primero) y los protocolos, lo que condujo a un tiempo de inactividad de la red del orden de un minuto.
Este problema se resolvió con los siguientes comandos, sin embargo, solo están disponibles con "EXOS 21.1.3.7-patch1-4" y "EXOS 22.3":
configure mlag ports reload-delay 60 enable mlag port reload-delay
Enrutamiento
Las rutas estáticas se definen de la siguiente manera, no debería haber problemas. Puede configurar la máscara en cualquier versión.
configure iproute add 10.0.66.0 255.255.255.0 172.16.1.1 configure iproute add 10.0.0.1/32 10.255.255.255 configure iproute add default 172.16.0.1
OSPF
Para el enrutamiento, en mi práctica, se utilizó OSPF con una sola zona. Para garantizar la operatividad, es necesario establecer una identificación de enrutador y también agregar cada vlan que deba anunciarse (similar a Cisco: red).
configure ospf routerid 192.168.1.1 enable ospf configure ospf add vlan routing-5 area 0.0.0.0 configure ospf add vlan Voip-32 area 0.0.0.0 passive
Otras cositas
Retransmisión DHCP
Configurado de la siguiente manera:
configure bootprelay add 192.168.12.5 vr VR-Default enable bootprelay ipv4 vlan servers-500
Al crear un nuevo vlan, debe agregarlo manualmente a la lista de vlan con DHCP Relay.
SSH + ACL para SSH
Ssh se habilita de la siguiente manera:
enable ssh2
Para limitar el acceso a ssh, debe crear un archivo de política separado del formulario NAME.pol y colgarlo en SSH.
vi ssh.pol
Política:
Entry AllowTheseSubnets { if match any { source-address 192.168.0.0 /16; source-address 10.255.255.34 /32; } Then { permit; } }
El comando para aplicar la política:
enable ssh2 access-profile ssh.pol
Descripción + cadena de visualización
Para facilitar la configuración y la operación posterior, puede configurar el "nombre" y la "descripción" de la interfaz.
onfigure port 1 description “this is port number one”
La descripción de la interfaz se mostrará solo en comandos de la forma:
show ports description
Un nombre de interfaz reemplazará casi en todas partes su número en la salida de comandos. El nombre no debe contener un espacio y está limitado a una longitud de 20 caracteres.
onfigure port 1 display-string UserPort EXOS-VM.8 # sh port vlan Untagged Port /Tagged VLAN Name(s)
Conclusión
XOS también le permite automatizar muchas acciones y adaptar el sistema a sus necesidades, ya que es compatible de forma nativa con Python y el mecanismo incorporado para crear y ejecutar secuencias de comandos utilizando comandos CLI-Scripting .
Estoy abierto a sugerencias para mejorar el artículo y corregir imprecisiones / errores, así como preguntas.
UPD : LLDP para teléfonos IP se configura utilizando los comandos de este comentario .