Cet article vise à réduire le temps nécessaire pour comprendre les principes de travail avec ExtremeXOS (XOS) . Quand j'ai commencé à connaître XOS, je manquais vraiment d'un tel article sur Habré.
Ci-dessous, je parlerai de la configuration d'Extremes et des problèmes que j'ai rencontrés. J'espère que cela aidera les ingénieurs réseau qui commencent tout juste à travailler avec XOS. Quel que soit le modèle de commutateur, la syntaxe CLI est exactement la même.
Support de commutateur extrême
Aux entreprises
Pour la virtualisation matérielle, j'utilise Eve-Ng et une image Virtual ExtremeOS ( XOS ) . Vous pouvez également utiliser GNS3.
À quoi ressemble la configuration du commutateur Dans XOS, il n'est pas nécessaire de changer de mode de fonctionnement, toutes les commandes sont entrées à partir du mode normal, marquées d'un # dans le cas du compte administrateur; et > en cas d'utilisateur.
Pour commencer, je voudrais souligner les principes "de base" des équipes dans EOS. Tout est construit sur trois commandes et leurs antonymes: créer , configurer , activer ( supprimer , déconfigurer , désactiver, respectivement). C'est-à-dire: nous créons, configurons, activons. Cela semble logique.
create vlan 10 configure vlan 10 ipaddress 192.168.1.1/24
Il faut également comprendre que la plupart des configurations sont configurées sur un VLAN . Autrement dit, dans XOS, presque tout est lié aux VLAN. Même l'affectation de VLAN à un port se produit dans la configuration VLAN, c'est-à-dire que le port est suspendu sur le vlan.
Je voudrais prêter une attention particulière aux routeurs virtuels ( VR ), qui sont par défaut dans le commutateur. Il y a VR-Default, qui possède tous les ports, et VR-mgmt, qui possède mgmt. port Dans XOS, pour toutes les commandes qui envoient du trafic quelque part (ping, ssh, telnet, téléchargement, etc.), vous devez spécifier VR.
ping vr "VR-Default" 192.168.1.1
Mise à jour du commutateur XOS
XOS a deux partitions sous le système d'exploitation: primaire et secondaire. Fonctionnellement, ils ne diffèrent en rien, seulement en noms. Vous ne pouvez installer des mises à jour que dans la section actuellement inactive. Vous pouvez utiliser l'argument inactif pour cela. Après la mise à jour, un redémarrage est nécessaire et le commutateur démarre à partir d'une autre partition (juste mise à jour). Cela permet de revenir rapidement en arrière, en cas de problème, simplement en choisissant une partition différente au démarrage (celle où l'ancien OS était resté). Je note également que toutes les images avec des correctifs représentent une image à part entière, c'est-à-dire que vous n'avez pas besoin de mettre la version principale, puis quelques versions mineures. Lors du téléchargement, tftp est utilisé:
download image 192.168.1.1 summitX-21.1.4.4-patch1-3.xos vr "VR-Default" inactive
Pour savoir quelle section est actuellement utilisée, utilisez:
show system … Image Selected: primary Image Booted: secondary Primary ver: 22.3.1.4 Secondary ver: 21.1.1.4
Switch Stacking
Pour empiler les commutateurs XOS, vous devez activer la prise en charge de l'empilement et redémarrer le commutateur:
enable stacking-support reboot
Il est très pratique que les commutateurs de différents modèles puissent être combinés en une pile, tandis que le commutateur avec les performances les plus élevées sera le maître. Par exemple, cela peut être nécessaire pour une pile de commutateurs 10G avec 16 ports pour serveurs, à laquelle est ajouté un commutateur 1G à 48 ports, qui inclut mgmt.interfaces.
Pour être empilés, les commutateurs doivent avoir la même version de système d'exploitation. L'empilement se fait via certains ports Ethernet, pour chaque modèle différent, qui se trouvent dans la documentation. Si vous assemblez les commutateurs selon le schéma de ports 1 en 2, 2 en 1, les commutateurs Extreme peuvent être empilés selon la procédure simplifiée de pile facile, qui elle-même liera les adresses mac au numéro d'emplacement et à d'autres paramètres. Dans ce cas, le premier sera le commutateur sur lequel vous activez l'activation de l'empilement, les autres recevront des numéros le long de la chaîne. C'est un moyen assez pratique pour gagner beaucoup de temps. Après l'empilement, les ports ressembleront à SLOT: PORT (1: 1, 2:35).
X440G2-48p-10G4.1 # show stacking Stack Topology is a Ring This node is not in an Active Topology Node MAC Address Slot Stack State Role Flags
La mise à jour de la pile signifie que le maître est mis à jour, puis lui-même verse à son tour la nouvelle version dans les emplacements restants. Le redémarrage est requis .
Licence
Chaque commutateur est livré avec une licence préinstallée (Edge, Advanced Edge, Core, etc.). Chaque licence possède son propre ensemble de fonctions qui peuvent être activées sur le commutateur, par exemple, le nombre de ports pouvant être utilisés dans OSPF. Il existe également des licences pour des fonctionnalités individuelles. Plus de détails peuvent être lus ici .
L'une des licences les plus courantes est la fonctionnalité: licence Dual-10GB-Uplink . Cette licence pour le commutateur Edge-1G permet l'utilisation de 2x ports 10GbE. Par exemple, sur le X440-G2-48p.
Les licences sont disponibles dans votre compte personnel sur le site Extreme, après quoi elles sont activées (sans redémarrage) et vérifiées par l'équipe.
enable license XXXX-XXXX show licenses
Si différentes licences sont utilisées dans la pile de commutateurs, la plus petite sera utilisée.
Personnalisation
Une petite digression: pour voir les résultats des commandes qui seront inférieures, ainsi que toute autre information, dans la plupart des cas, vous pouvez utiliser show, en remplaçant create et configure. Par exemple, affichez vlan.
Astuce: Lors de l'utilisation de show ports - XOS créera une table mise à jour toutes les quelques secondes, ce qui permet une surveillance en temps réel de l'état des interfaces. Afin d'obtenir une sortie sans mise à jour, vous devez utiliser «show ports no-refresh».
La première chose qui me vient à l'esprit est de configurer ce nom d'hôte . Il semblerait que ce soit quelque chose comme ceci:
configurer le nom d'hôte Ex_sw_1
Mais tout n'est pas si simple, en fait cela se fait comme ceci:
configure snmp sysName Ex-sw-1
Créez un VLAN:
create vlan My_Vlan_Five tag 5
Ou alors, et c'est exactement comme cela qu'il sera affiché dans la configuration:
create vlan My_Vlan10 configure vlan My_Vlan10 tag 10
Compte tenu de l'expérience pratique et des réalités de la sortie de commande et des paramètres XOS, j'ai créé une règle pour moi-même: dans le nom vlan, ajoutez sa balise à la fin, ce qui facilite la compréhension et la configuration:
create vlan users-10 tag 10
XOS n'a pas de ports de jonction et d'accès en soi. Au lieu de cela, des concepts sont utilisés: le trafic balisé et non balisé sur une interface liée au vlan. Il peut y avoir un vlan non balisé et plusieurs vlan balisés. Les ports sont numérotés en nombre (ou slot: port sur la pile), tout est très simple.
configure vlan My_Vlan-5 add ports 1 tagged configure vlan My_Vlan1 add ports 1 untagged
Par conséquent, tout le trafic sans qu'une balise arrive à l'interface sera marqué comme « My_Vlan1 ».
En même temps, vlan peut être spécifié à la fois via < Nom > et via < tag >, et dans n'importe quelle combinaison (en utilisant vlan_list , c'est-à-dire numérique par balises). Sans attribut à la fin, < non balisé > est utilisé:
onfigure vlan 1,5-10,15-20 add ports 1-8, 48 tagged configure vlan web-110 add ports 5 onfigure vlan 20 add ports 30-40,45 untagged
Étant donné que la plupart des commutateurs de la série SummitX sont des commutateurs L3 , voici comment SVI est configuré:
configure vlan 125 ipaddress 192.168.125.1/24
Après cela, vous devez appliquer cette commande, sinon vlan restera non routable:
enable ipforwarding vlan 125 enable ipforwarding vlan 10-50,60
Pour voir ce que vlan est sur l'interface, vous pouvez utiliser la commande:
show ports 2 vlan
Pour afficher et enregistrer la configuration, les commandes suivantes sont utilisées et il existe des fichiers de configuration principaux et secondaires:
save save secondary show configuration
Agrégation de liens
L'un des moments inconfortables que j'ai rencontrés est l'agrégation de canaux. (canal de port). Le point général est le suivant: vous lui affectez un port maître et jusqu'à sept interfaces secondaires. De plus, tous les réglages sont effectués uniquement sur un port maître spécifique, il n'y a pas d'interfaces logiques de la forme po1 . L'inconvénient est que si vous souhaitez modifier le port maître, vous devez transférer manuellement tous les paramètres vers un autre port, car lorsque vous supprimez un canal agrégé, toute la configuration y passe . Il existe une solution à cet inconvénient dans cet article , mais cela ne fonctionne toujours pas parfaitement. Dans XOS, l'agrégation est appelée partage .
Pour activer un tel port, vous devez utiliser une commande du formulaire:
enable sharing [MASTER_PORT] grouping [PORT_LIST] [lacp] enable sharing 1 grouping 1-2 lacp
Sur la version inférieure à 22.X, il est nécessaire d'ajouter l'algorithme de "balancing":
enable sharing 1 grouping 1-2 algorithm address-based L2 lacp
Protection de boucle de couche 2 OSI
Sur les commutateurs Summit-X en version principale C 22.2, le protocole de protection contre les boucles de deuxième niveau était désactivé par défaut. (STP et autres). Au moment de la rédaction, le logiciel recommandé par le vendeur est 21.1.5.2.
ELRP
Dans l'un de mes projets, j'ai utilisé le protocole ELRP propriétaire, qui est conçu pour détecter et empêcher les boucles. Lors des tests, il a montré de bons résultats (vitesse d'arrêt du port avec une boucle, etc.). Ce protocole envoie une PDU de multidiffusion, et si l'expéditeur la reçoit à nouveau, alors il y a une boucle.
L'intervalle est responsable de la fréquence de distribution des PDU, dans ce cas - 2 secondes. Dans le cas d'une boucle, le port sera bloqué pendant 180 secondes, après quoi la PDU sera renvoyée. Options d'alerte: log, trap, log-and-trap. Dans le cas de trap, le trap snmp est envoyé en conséquence.
Ce protocole per-vlan est configuré, ainsi que la plupart des configurations dans XOS.
enable elrp-client configure elrp-client periodic Buh-123 ports all interval 2 log disable-port ingress duration 180
Pour empêcher le protocole ELRP de bloquer les liaisons montantes des commutateurs d'accès ou des connexions critiques, la commande pour supprimer les ports du blocage est utilisée.
configure elrp-client disable-port exclude 35 configure elrp-client disable-port exclude 1:1
STP
STP est configuré un peu plus délicat, mais en général il n'y a pas de problèmes particuliers. Dans XOS, ce protocole est appelé «stpd», dans toutes les commandes de configuration de STP, il est utilisé. Vous pouvez le faire per-vlan en utilisant différents domaines STP. «Domain-id» et «vlan-id» doivent correspondre. Les ports dans STP peuvent être ajoutés manuellement ou en utilisant la liaison automatique vlan. Dès qu'un port est ajouté à vlan, ce port est automatiquement ajouté à STP. Telle est la logique. Réglage du mode: dot1d STP, dot1w - RSTP:
configure stpd "s0" priority 4096 configure stpd s0 mode dot1w enable stpd s0 enable stpd "s0" auto-bind "VLAN_0005"
VRRP
VRRP est un type de FHRP , un analogue de HSRP dans Cisco. Pour chaque réseau (vlan), il est nécessaire d'utiliser un vrid, qui peut être compris entre 1 et 255. J'ai été satisfait de la possibilité d'acheminer le trafic à partir du commutateur backup-vrrp-L3 en utilisant l'option de routage de structure. Par défaut, la priorité est 100. Lequel des commutateurs a la priorité la plus élevée, il devient «Maître».
create vrrp vlan test1 vrid 125 configure vrrp vlan test1 vrid 125 priority 50 configure vrrp vlan test1 vrid 125 fabric-routing on enable vrrp vlan test1 vrid 125
MLAG
À propos de ce que c'est et pourquoi, il est très bien décrit ici : il s'agit en fait d'un analogue de Cisco VPC. ISC - connexion entre les commutateurs mlag-pair.
Dans mon cas, le schéma suivant était généralement utilisé:
Il est nécessaire de créer un voisin (homologue) afin de pouvoir attribuer des ports spécifiques avec mlag à un voisin spécifique, car Extreme prend en charge la possibilité d'utiliser plusieurs voisins. Pour ISC, vous avez besoin d'un vlan utilisé uniquement pour ISC et doté d'une adresse IP. En conséquence, peer pour X670-1, nous aurons X670-2, et les ports mlag seront x440. Pour fonctionner, il est nécessaire de créer un canal d'agrégation, et sur x670 pour un port vers x440, et un canal agrégé vers X670-2, dans lequel TOUS les Vlan participeront à mlag.
Sur x670:
Enable sharing 1 grouping 1 lacp create mlag peer "mlag1" configure mlag peer "mlag1" ipaddress 10.255.255.2 vr VR-Default enable mlag port 1 peer "mlag1" id 1
Sur pile x440:
enable sharing 1:51 grouping 1:51,2:51 lacp
MLAG + VRRP
Lors des tests des tableaux sur le stand, un problème a été constaté que VRRP supprime le rôle de maître avant que toutes les autres interfaces ne montent (ISC va en premier) et les protocoles, ce qui a entraîné des temps d'arrêt du réseau de l'ordre d'une minute.
Ce problème a été résolu par les commandes suivantes, mais elles ne sont disponibles qu'avec "EXOS 21.1.3.7-patch1-4" et "EXOS 22.3":
configure mlag ports reload-delay 60 enable mlag port reload-delay
Acheminement
Les routes statiques sont définies comme suit, il ne devrait y avoir aucun problème. Vous pouvez définir le masque dans n'importe quelle version.
configure iproute add 10.0.66.0 255.255.255.0 172.16.1.1 configure iproute add 10.0.0.1/32 10.255.255.255 configure iproute add default 172.16.0.1
OSPF
Pour le routage, dans ma pratique, OSPF avec une seule zone a été utilisé. Pour garantir l'opérabilité, il est nécessaire de définir un routeur-id, et également d'ajouter chaque vlan qui doit être annoncé (comme dans Cisco: réseau).
configure ospf routerid 192.168.1.1 enable ospf configure ospf add vlan routing-5 area 0.0.0.0 configure ospf add vlan Voip-32 area 0.0.0.0 passive
D'autres petites choses
Relais DHCP
Configuré comme suit:
configure bootprelay add 192.168.12.5 vr VR-Default enable bootprelay ipv4 vlan servers-500
Lors de la création d'un nouveau vlan, vous devez l'ajouter manuellement à la liste des vlan avec DHCP Relay.
SSH + ACL pour SSH
Ssh est activé comme suit:
enable ssh2
Pour limiter l'accès à ssh, vous devez créer un fichier de stratégie distinct du formulaire NAME.pol et le bloquer sur SSH.
vi ssh.pol
Politique:
Entry AllowTheseSubnets { if match any { source-address 192.168.0.0 /16; source-address 10.255.255.34 /32; } Then { permit; } }
La commande pour appliquer la politique:
enable ssh2 access-profile ssh.pol
Description + chaîne d'affichage
Pour faciliter la configuration et les opérations ultérieures, vous pouvez définir le "nom" et la "description" de l'interface.
onfigure port 1 description “this is port number one”
La description de l'interface ne sera affichée que dans les commandes du formulaire:
show ports description
Un nom d'interface remplacera presque partout son numéro dans la sortie des commandes. Le nom ne doit pas contenir d'espace et est limité à une longueur de 20 caractères.
onfigure port 1 display-string UserPort EXOS-VM.8 # sh port vlan Untagged Port /Tagged VLAN Name(s)
Conclusion
XOS vous permet également d'automatiser de nombreuses actions et d'adapter le système à vos besoins, car il prend en charge nativement Python et le mécanisme intégré de création et d'exécution de scripts à l'aide des commandes CLI-Scripting .
Je suis ouvert aux suggestions pour améliorer l'article et corriger les inexactitudes / erreurs, ainsi qu'aux questions.
UPD : LLDP pour les téléphones IP est configuré à l'aide des commandes de ce commentaire .