Artikel ini bertujuan untuk mengurangi jumlah waktu yang dibutuhkan untuk memahami prinsip-prinsip bekerja dengan ExtremeXOS (XOS) . Ketika saya mulai berkenalan dengan XOS, saya benar-benar tidak memiliki artikel tentang HabrΓ©.
Di bawah ini saya akan berbicara tentang konfigurasi Extremes dan masalah yang saya temui. Saya harap ini membantu insinyur jaringan yang baru mulai bekerja dengan XOS. Terlepas dari model sakelar, sintaksis CLI persis sama.
Extreme Switch Stand
Untuk bisnis
Untuk virtualisasi perangkat keras, saya menggunakan Eve-Ng dan gambar Virtual ExtremeOS ( XOS ) . Anda juga dapat menggunakan GNS3.
Seperti apa konfigurasi switch ? Dalam XOS tidak perlu beralih mode operasi, semua perintah dimasukkan dari mode normal, ditandai dengan # dalam kasus akun admin; dan > dalam hal pengguna.
Untuk mulai dengan, saya ingin menguraikan prinsip-prinsip "dasar" tim di EOS. Semuanya dibangun di atas tiga perintah dan antonimnya: buat , konfigurasi , aktifkan ( hapus , hapus konfigurasi , nonaktifkan, masing-masing). Yaitu: kita membuat, mengkonfigurasi, mengaktifkan. Itu terlihat logis.
create vlan 10 configure vlan 10 ipaddress 192.168.1.1/24
Juga harus dipahami bahwa sebagian besar konfigurasi dikonfigurasikan pada VLAN . Artinya, di XOS, hampir semuanya terkait dengan VLAN. Bahkan penugasan VLAN ke port terjadi dalam konfigurasi VLAN, yaitu port digantung di vlan.
Saya ingin memberikan perhatian khusus pada router virtual ( VR ), yang secara default di saklar. Ada VR-Default, yang memiliki semua port, dan VR-mgmt, yang memiliki mgmt. pelabuhan Di XOS, untuk semua perintah yang mengirim lalu lintas di suatu tempat (ping, ssh, telnet, unduh, dll.), Anda harus menentukan VR.
ping vr "VR-Default" 192.168.1.1
XOS Beralih Pembaruan
XOS memiliki dua partisi di bawah OS: primer dan sekunder. Secara fungsional, mereka tidak berbeda dalam apa pun, hanya dalam nama. Anda dapat menginstal pembaruan hanya di bagian yang saat ini tidak aktif. Anda dapat menggunakan argumen tidak aktif untuk ini. Setelah pembaruan, diperlukan boot ulang dan sakelar boot dari partisi lain (yang baru saja diperbarui). Ini memungkinkan untuk dengan cepat memutar kembali, jika ada masalah, hanya dengan memilih partisi yang berbeda saat boot (yang mana OS lama ditinggalkan). Saya juga mencatat bahwa semua gambar dengan tambalan mewakili gambar penuh, yaitu, Anda tidak perlu meletakkan versi utama, dan kemudian beberapa yang kecil. Saat mengunduh, tftp digunakan:
download image 192.168.1.1 summitX-21.1.4.4-patch1-3.xos vr "VR-Default" inactive
Untuk mengetahui bagian mana yang sedang digunakan, gunakan:
show system β¦ Image Selected: primary Image Booted: secondary Primary ver: 22.3.1.4 Secondary ver: 21.1.1.4
Beralih susun
Untuk menumpuk sakelar XOS, Anda harus mengaktifkan dukungan susun dan mem-boot ulang sakelar:
enable stacking-support reboot
Sangat nyaman bahwa sakelar model yang berbeda dapat digabungkan ke dalam tumpukan, sedangkan sakelar dengan kinerja tertinggi akan menjadi master. Sebagai contoh, ini mungkin diperlukan untuk tumpukan 10G switch dengan 16 port untuk server, yang ditambahkan switch 1G 48-port, yang mencakup antarmuka mgmt.
Untuk menumpuk, sakelar harus memiliki versi OS yang sama. Penumpukan dilakukan melalui port Ethernet tertentu, untuk setiap model yang berbeda, yang dapat ditemukan dalam dokumentasi. Jika Anda memasang switch sesuai dengan skema port 1 in 2, 2 in 1, maka Extreme switch dapat ditumpuk sesuai dengan prosedur stack yang mudah, yang dengan sendirinya akan mengikat alamat mac ke nomor slot dan pengaturan lainnya. Dalam hal ini, yang pertama akan menjadi saklar yang Anda aktifkan memungkinkan penumpukan, sisanya akan diberikan nomor di sepanjang rantai. Ini adalah cara yang cukup mudah untuk menghemat banyak waktu. Setelah menumpuk, port akan terlihat seperti SLOT: PORT (1: 1, 2:35).
X440G2-48p-10G4.1 # show stacking Stack Topology is a Ring This node is not in an Active Topology Node MAC Address Slot Stack State Role Flags
Memperbarui tumpukan adalah bahwa master diperbarui, dan kemudian dia sendiri pada gilirannya menuangkan versi baru ke dalam slot yang tersisa. Reboot diperlukan .
Perizinan
Setiap sakelar dilengkapi dengan lisensi pra-instal (tepi, tepi lanjut, inti, dll.). Setiap lisensi memiliki serangkaian fungsi sendiri yang dapat diaktifkan pada sakelar, misalnya, jumlah port yang dapat digunakan dalam OSPF. Ada juga lisensi untuk fitur individual. Lebih detail bisa dibaca di sini .
Salah satu lisensi yang paling umum adalah fitur: Lisensi Dual-10GB-Uplink . Lisensi ini untuk sakelar tepi-1G memungkinkan penggunaan port 2x 10GbE. Misalnya, pada X440-G2-48p.
Lisensi tersedia di akun pribadi Anda di situs web Extreme, setelah itu diaktifkan (tanpa me-reboot) dan diperiksa oleh tim.
enable license XXXX-XXXX show licenses
Jika lisensi yang berbeda digunakan dalam tumpukan switch, yang terkecil akan digunakan.
Kustomisasi
Penyimpangan kecil: Untuk melihat hasil dari perintah yang akan lebih rendah, serta informasi lainnya, dalam kebanyakan kasus Anda dapat menggunakan show, mengganti create dan mengkonfigurasi. Misalnya, tampilkan vlan.
Petunjuk: Saat menggunakan show ports - XOS akan membuat tabel yang diperbarui setiap beberapa detik, yang memungkinkan pemantauan waktu-nyata dari status antarmuka. Untuk mendapatkan output tanpa memperbarui, Anda harus menggunakan "show ports no-refresh".
Hal pertama yang terlintas dalam pikiran adalah mengkonfigurasi nama host ini. Tampaknya menjadi seperti ini:
konfigurasikan nama host Ex_sw_1
Tapi tidak semuanya begitu sederhana, sebenarnya itu dilakukan seperti ini:
configure snmp sysName Ex-sw-1
Buat VLAN:
create vlan My_Vlan_Five tag 5
Atau lebih, dan inilah tepatnya yang akan ditampilkan di konfigurasi:
create vlan My_Vlan10 configure vlan My_Vlan10 tag 10
Mempertimbangkan pengalaman praktis dan kenyataan dari output perintah dan pengaturan XOS, saya membuat aturan untuk diri saya sendiri: dalam nama vlan, tambahkan tagnya di bagian akhir, yang membuatnya lebih mudah untuk memahami dan mengonfigurasi:
create vlan users-10 tag 10
XOS tidak memiliki trunk dan akses port per se. Sebagai gantinya, konsep digunakan: lalu lintas yang ditandai dan tidak ditandai pada antarmuka yang terikat vlan. Mungkin ada satu vlan yang tidak ditandai dan banyak yang ditandai. Port diberi nomor dalam angka (atau slot: port pada tumpukan), semuanya sangat sederhana.
configure vlan My_Vlan-5 add ports 1 tagged configure vlan My_Vlan1 add ports 1 untagged
Dengan demikian, semua lalu lintas tanpa tag yang datang ke antarmuka akan ditandai sebagai " My_Vlan1 ".
Pada saat yang sama, vlan dapat ditentukan baik melalui < Name > dan melalui < tag >, dan dalam kombinasi apa pun (menggunakan vlan_list , yaitu numerik dengan tag). Tanpa atribut di akhir, < untagged > digunakan:
onfigure vlan 1,5-10,15-20 add ports 1-8, 48 tagged configure vlan web-110 add ports 5 onfigure vlan 20 add ports 30-40,45 untagged
Karena sebagian besar sakelar seri SummitX adalah sakelar L3 , beginilah konfigurasi SVI:
configure vlan 125 ipaddress 192.168.125.1/24
Setelah itu, Anda perlu menerapkan perintah ini, jika tidak vlan akan tetap non-routable:
enable ipforwarding vlan 125 enable ipforwarding vlan 10-50,60
Untuk melihat apa vlan pada antarmuka, Anda dapat menggunakan perintah:
show ports 2 vlan
Untuk melihat dan menyimpan konfigurasi, perintah berikut digunakan dan ada file konfigurasi primer dan sekunder:
save save secondary show configuration
Agregasi Tautan
Salah satu momen tidak nyaman yang saya temui adalah agregasi saluran. (port-channel). Poin umum adalah ini: Anda menetapkan port master dan hingga tujuh antarmuka sekunder untuk itu. Selanjutnya, semua pengaturan dibuat hanya pada port master tertentu, tidak ada antarmuka logis dari bentuk po1 . Kelemahannya adalah jika Anda ingin mengubah port master, Anda harus mentransfer semua pengaturan secara manual ke port lain, karena ketika Anda menghapus saluran yang diagregasi, seluruh konfigurasi di dalamnya akan terbang . Ada solusi untuk ketidaknyamanan ini dalam artikel ini , tetapi masih belum berhasil dengan sempurna. Dalam XOS, agregasi disebut berbagi .
Untuk mengaktifkan port seperti itu, Anda perlu menggunakan perintah dari form:
enable sharing [MASTER_PORT] grouping [PORT_LIST] [lacp] enable sharing 1 grouping 1-2 lacp
Pada versi yang lebih rendah dari 22.X, perlu menambahkan algoritma "balancing":
enable sharing 1 grouping 1-2 algorithm address-based L2 lacp
Perlindungan Lingkaran 2 Lapisan OSI
Pada sakelar Summit-X dalam versi C mayor 22.2, protokol perlindungan loop kedua dinonaktifkan secara default. (STP dan lainnya). Pada saat penulisan, perangkat lunak yang direkomendasikan oleh vendor adalah 21.1.5.2.
ELRP
Dalam salah satu proyek saya, saya menggunakan protokol ELRP berpemilik, yang dirancang untuk mendeteksi dan mencegah loop. Selama pengujian, ia menunjukkan hasil yang baik (kecepatan penutupan port dengan loop, dll.). Protokol ini mengirimkan PDU multicast, dan jika pengirim menerimanya lagi, maka ada loop.
Interval bertanggung jawab atas frekuensi distribusi PDU, dalam hal ini - 2 detik. Dalam kasus loop, port akan diblokir selama 180 detik, setelah itu PDU akan dikirim lagi. Opsi peringatan: log, trap, log-and-trap. Dalam kasus jebakan, jebakan snmp dikirim sesuai.
Protokol per-vlan ini dikonfigurasi, serta sebagian besar konfigurasi dalam XOS.
enable elrp-client configure elrp-client periodic Buh-123 ports all interval 2 log disable-port ingress duration 180
Untuk mencegah protokol ELRP dari memblokir uplink switch akses atau koneksi kritis, perintah untuk menghapus port dari pemblokiran digunakan.
configure elrp-client disable-port exclude 35 configure elrp-client disable-port exclude 1:1
STP
STP dikonfigurasi sedikit lebih rumit, tetapi secara umum tidak ada masalah khusus. Dalam XOS, protokol ini disebut "stpd", di semua perintah untuk mengkonfigurasi STP, digunakan. Anda dapat melakukannya per-vlan menggunakan berbagai domain STP. "Domain-id" dan "vlan-id" harus cocok. Port di STP dapat ditambahkan secara manual atau menggunakan vlan auto-bind. Segera setelah port ditambahkan ke vlan, port ini secara otomatis ditambahkan ke STP. Begitulah logikanya. Pengaturan mode: dot1d STP, dot1w - RSTP:
configure stpd "s0" priority 4096 configure stpd s0 mode dot1w enable stpd s0 enable stpd "s0" auto-bind "VLAN_0005"
VRRP
VRRP adalah jenis FHRP , analog dari HSRP di Cisco. Untuk setiap jaringan (vlan) perlu menggunakan vrid, yang bisa dari 1 hingga 255. Saya senang dengan kemampuan untuk mengarahkan lalu lintas dari cadangan-vrrp-L3 menggunakan opsi fabric-routing. Secara default, prioritasnya adalah 100. Manakah dari switch yang memiliki prioritas lebih tinggi, itu menjadi "Master".
create vrrp vlan test1 vrid 125 configure vrrp vlan test1 vrid 125 priority 50 configure vrrp vlan test1 vrid 125 fabric-routing on enable vrrp vlan test1 vrid 125
MLAG
Tentang apa itu dan mengapa, itu dijelaskan dengan sangat baik di sini : ini sebenarnya adalah analog dari Cisco VPC. ISC - koneksi antara sakelar pasangan mlag-pair.
Dalam kasus saya, skema berikut biasanya digunakan:
Penting untuk membuat tetangga (peer) agar dapat menetapkan port tertentu dengan mlag ke tetangga tertentu, karena Extreme mendukung kemampuan untuk menggunakan banyak tetangga. Untuk ISC, Anda memerlukan vlan yang hanya digunakan untuk ISC dan memiliki alamat IP. Dengan demikian, peer untuk X670-1 kita akan memiliki X670-2, dan port mlag akan menjadi x440. Untuk berfungsi, perlu membuat saluran agregasi, dan pada x670 untuk satu port menuju x440, dan saluran agregat menuju X670-2, di mana akan ada SEMUA Vlan yang berpartisipasi dalam mlag.
Pada x670:
Enable sharing 1 grouping 1 lacp create mlag peer "mlag1" configure mlag peer "mlag1" ipaddress 10.255.255.2 vr VR-Default enable mlag port 1 peer "mlag1" id 1
Pada x440-stack:
enable sharing 1:51 grouping 1:51,2:51 lacp
MLAG + VRRP
Selama pengujian switchboards di stand, ditemukan masalah bahwa VRRP menghilangkan peran Master sebelum semua antarmuka lainnya naik (ISC berjalan terlebih dahulu) dan protokol, yang menyebabkan jaringan downtime dalam urutan satu menit.
Masalah ini diselesaikan dengan perintah berikut, namun hanya tersedia dengan "EXOS 21.1.3.7-patch1-4" dan "EXOS 22.3":
configure mlag ports reload-delay 60 enable mlag port reload-delay
Routing
Rute statis didefinisikan sebagai berikut, seharusnya tidak ada masalah. Anda dapat mengatur topeng di versi apa pun.
configure iproute add 10.0.66.0 255.255.255.0 172.16.1.1 configure iproute add 10.0.0.1/32 10.255.255.255 configure iproute add default 172.16.0.1
OSPF
Untuk routing, dalam praktek saya, OSPF dengan zona tunggal digunakan. Untuk memastikan operabilitas, perlu untuk mengatur router-id, dan juga menambahkan setiap vlan yang perlu diumumkan (mirip dengan di Cisco: network).
configure ospf routerid 192.168.1.1 enable ospf configure ospf add vlan routing-5 area 0.0.0.0 configure ospf add vlan Voip-32 area 0.0.0.0 passive
Hal-hal kecil lainnya
Relay DHCP
Dikonfigurasi sebagai berikut:
configure bootprelay add 192.168.12.5 vr VR-Default enable bootprelay ipv4 vlan servers-500
Saat membuat vlan baru, Anda harus menambahkannya secara manual ke daftar vlan dengan DHCP Relay.
SSH + ACL untuk SSH
Ssh diaktifkan sebagai berikut:
enable ssh2
Untuk membatasi akses ke ssh, Anda perlu membuat file kebijakan terpisah dari formulir NAME.pol dan menggantungnya di SSH.
vi ssh.pol
Kebijakan:
Entry AllowTheseSubnets { if match any { source-address 192.168.0.0 /16; source-address 10.255.255.34 /32; } Then { permit; } }
Perintah untuk menerapkan kebijakan:
enable ssh2 access-profile ssh.pol
Deskripsi + display-string
Untuk kemudahan pengaturan dan operasi selanjutnya, Anda dapat mengatur "nama" dan "deskripsi" antarmuka.
onfigure port 1 description βthis is port number oneβ
Deskripsi antarmuka hanya akan ditampilkan dalam perintah formulir:
show ports description
Nama antarmuka akan menggantikan hampir semua nomornya di output perintah. Nama tidak boleh mengandung spasi dan dibatasi hingga 20 karakter.
onfigure port 1 display-string UserPort EXOS-VM.8 # sh port vlan Untagged Port /Tagged VLAN Name(s)
Kesimpulan
XOS juga memungkinkan Anda untuk mengotomatiskan banyak tindakan dan menyesuaikan sistem dengan kebutuhan Anda, karena secara native mendukung Python dan mekanisme bawaan untuk membuat dan menjalankan skrip menggunakan perintah CLI-Scripting .
Saya terbuka untuk saran untuk memperbaiki artikel dan memperbaiki ketidakakuratan / kesalahan, serta pertanyaan.
UPD : LLDP untuk telepon IP dikonfigurasi menggunakan perintah dari komentar ini .