Comware 7: ACL para gerenciamento Telnet

A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.

Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL  ao acesso Telnet e SSH.

#
acl basic 2000
 rule 0 permit source 192.168.11.1 0
 rule 5 permit source 192.168.11.12 0
 rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
 telnet server enable
 telnet server acl 2000
! Habilitando o serviço Telnet e aplicando  a ACL 2000
#

Para filtrar o acesso via SSH utilize a mesma lógica.

ssh server enable
ssh server acl 2000

Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/

Até logo

Switches Procuve – Comando ‘comware-help-display’

Para aqueles que estão acostumados a gerenciar Switches 3Com/H3C/HP baseados no Comware e precisam administrar switches em ambientes multivendor, com equipamentos HP Procurve, podem utilizar o comando comware-help-display para habilitar alguns comandos do Comware no Provision.

Habilite a feature com o comando

HP-5406zl(config)# comware-help-display

Exemplo de configuração

HP-5406zl(config)# interface vlan 32
HP-5406zl(vlan-32)# display this
vlan 1
name "default"
no untagged A1,A3-A4,A7-A8,A10,A14-A16,A20
untagged A2,A5-A6,A9,A13,A17-A19,A21-A22,Trk1-Trk2
ip address dhcp-bootp
ip igmp
dhcp-snooping
exit
vlan 10
name "RH"
untagged A1
no ip address
exit
vlan 31
!saída omitida

HP-5406zl(vlan-32)# display current-configuration
; J8697A Configuration Editor; Created on release #K.15.17.0008
hostname "HP-5406zl"
module 1 type j8702a
comware-help-display enable
console idle-timeout 7200
console idle-timeout serial-usb 7200
dhcp-snooping
no telnet-server
time timezone -200
no web-management
!saída omitida

Abraços

Comware 7: Autenticação com FreeRADIUS

A autenticação em Switches e Roteadores para fins de administração dos dispositivos pode ser efetuada com uma base de usuários configurados localmente ou em uma base de usuários remota que pode utilizar servidores RADIUS ou TACACS.

No exemplo abaixo montamos um ‘How to’ com o auxílio do Derlei Dias, utilizando o FreeRADIUS no Slackware para autenticação em um roteador HP VSR1000 que possui como base o Comware 7.

topologia freeRADIUS

Instalando Freeradius no Slackware

1 – Baixe os pacotes do slackbuilds.org e instale normalmente;

2 – Após instalação vá na pasta /etc/raddb/certs e execute o bootstrap;

3 – Usando de forma simples sem base de dados, abra o arquivo /etc/raddb/users;

4 – Adicione na primeira linha: student1   Cleartext-Password := “labhp”
! Usaremos como exemplo o usuário ‘student1’ com a senha ‘labhp’

5 – Depois use o comando a seguir para testar: radtest student1 labhp localhost 0 testing123
! O ‘testing123’ servirá como chave para autenticação entre o Switch/Roteador e o Radius

6 – A resposta deverá ser essa, se a autenticação ocorrer com sucesso:

Sending Access-Request of id 118 to 127.0.0.1 port 1812
User-Name = "student1"
User-Password = "labhp"
NAS-IP-Address = 10.12.0.102
NAS-Port = 0
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=118, length=20

7 – Lembre-se que ao inserir usuários no arquivo você deverá reiniciar o RADIUS.

8 – Editar o arquivo clients.conf e permitir a rede que fará acesso ao servidor.

10 – Alguns dispositivos requerem uma configuração especial no clients.conf e no users:

Configuração no RADIUS para Switches/Roteadores HP baseados no Comware7

Arquivo Clients.conf

client ip_do_device/máscara {
        secret          = testing123
}

ou

client vr1000 {
       ipaddr = ip_do_roteador
       secret          = testing123
}

Arquivo users

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-admin\"",

nome_usuario    Cleartext-Password := "senha"
                Service-Type = NAS-Prompt-User,
                Cisco-AVPair = "shell:roles=\"network-operator\""

Após ocorrer a autenticação do usuário com sucesso, o servidor RADIUS irá retornar uma das CiscoAVPairs para a autorização da ‘role’ que o usuário deve obter quando autentica no dispositivo. Você pode usar o network-admin, ou o network-operator, ou alguma role criada para RBAC.

Configurando o Comware7

#
interface GigabitEthernet1/0
 ip address 10.12.0.102 255.255.255.0
#
radius scheme rad
 primary authentication 10.12.0.100 key cipher $c$3$5mQHlUeQbVhRKAq3QxxN0NiB0Sc8jbyZFKyc3F0=
 primary accounting 10.12.0.100 key cipher $c$3$Q12zYBjRIkRGeQQL6gYm4wofbMfjDl/Cqalc17M=
 accounting-on enable
 user-name-format without-domain
! É possível enviar o usuário com ou sem o formato @dominio 
nas-ip 10.12.0.102
#
domain bbb
 authentication login radius-scheme rad
 authorization login radius-scheme rad
 accounting login radius-scheme rad
#
 domain default enable bbb
#
user-vty 0 63
authentication-mode scheme

Referências e observações

Após quebrar bastante a cabeça com diversos parâmetros e alguns dias de teste, usamos o documento http://h30499.www3.hp.com/hpeb/attachments/hpeb/switching-a-series-forum/5993/1/Freeradius%20AAA%20Comware%207.pdf como referência que cita a conexão do simulador HCL com FreeRADIUS no Ubuntu. 😉

Autoconfiguração (Autodeploy) com DHCP no Comware

Esses dias pesquisando na web sobre protocolos de autoconfiguração para Roteadores HP achei dois artigos bem legais no site abouthpnetworking.com. O site é tão bacana que tenho as vezes vontade e traduzir todos os posts. 😛

A autoconfiguração (autodeploy) descrita nos 2 artigos do abouthpnetworking utilizará as configurações de fábrica do dispositivo que via DHCP irá procurar por um arquivo de configuração e tentar executa-lo.

Apesar dos textos estarem escritos em inglês vale a pena a consulta:

1 – utilizando as opções do DHCP para autoconfiguração com um servidor TFTP:
http://abouthpnetworking.com/2013/12/31/comware-config-autodeploy/

2- Autoconfiguração com scripts em Python para equipamentos baseados no comware 7
http://abouthpnetworking.com/2015/08/12/comware-7-autodeploy-supports-python-scripts/

Até logo

Utilizando o NDP para descoberta de Switches 3COM

O protocolo NDP pode ser utilizado em alguns Switches 3Com (geralmente com o Comware na versão 3) para descoberta de vizinhos, assim como o CDP e o LLDP em outros equipamentos.

O Neighbor Discover Protocol ( NDP ) detecta informações sobre o dispositivo diretamente conectado, incluindo o tipo, versão do software / hardware, porta conectada , ID , endereço de porta , e etc.

No exemplo abaixo habilitamos o processo globalmente entre dois Switch 3Com modelo 4500.

[4500_Core]ndp enable
! habilitando o processo Globalmente
[4500_Core]

[4500_Core]display ndp
Neighbor Discovery Protocol is enabled.
Neighbor Discovery Protocol Ver: 1, Hello Timer: 60(s), Aging Timer: 180(s)
Interface: Ethernet1/0/1
Status: Enabled, Pkts Snd: 92638, Pkts Rvd: 92807, Pkts Err: 0
Neighbor 1: Aging Time: 144(s)
MAC Address : 0022-57a5-9999
Host Name : 4500_Administrativo
Port Name : Ethernet1/0/23
Software Ver: 3Com OS V3.03.00s56
Device Name : Switch 4500 26-Port
Port Duplex : AUTO
Product Ver : 4500-1601P05
BootROM Ver : 3.00

Os testes também funcionaram entre Switches HP 1910 e um 3Com 4500. Para a detecção de vizinhos de Switches 3Com/HP/H3C com o Comware versão 5 para cima, sugiro a utilização do protocolo LLDP que é o padrão de mercado.

Abração

Comware: Envie mensagens de teste de SYSLOG e traps SNMP

Galera, o post abaixo foi originalmente escrito no blog http://abouthpnetworking.com/2014/12/16/comware5-send-test-snmp-traps-and-syslog-messages/ e eu fiz uma versão livre do artigo em português sobre a configuração para gerar logs de testes para servidores NMS.

Em cenários que Switches que são gerenciados por ferramentas de monitoração (como o HP IMC ou qualquer NMS), as vezes é necessário testar as mensagens de traps SNMP e SYSLOG para validar as configurações do equipamento e a rede entre os dispositivos.

Com os comandos abaixo é possível gerar traps e logs de teste em alguns Switches HP, que rodam o Comware5.

Teste de traps SNMP

Digite o comando ‘hidden’ no modo system-view e execute o comando _test

Obs: tenha bastante cautela ao executar os comandos liberados com o ‘_hidecmd’. Após digitar o comando é gerado um warning avisando que o uso incorreto poderá afetar a operação dos serviços no equipamento. Use em equipamentos fora de produção.

<HP>system-view
 System View: return to User View with Ctrl+Z.
 [HP] _hidecmd
 Now you enter a hidden command view for developer's testing, some commands may
 affect operation by wrong use, please carefully use it with our engineer's
 direction.
 [HP-hidecmd] _test trap
Test trap have Sended!
 #Nov  9 22:34:29:593 2014 HP DEVM/1/BOARD INSERTED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.9: chassisIndex is 0, slotIndex 0.4
 #Nov  9 22:34:29:613 2014 HP DEVM/1/BOARD REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.8: chassisIndex is 0, slotIndex 0.
#Nov  9 22:34:29:633 2014 HP DEVM/1/BOARD STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.11: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:653 2014 HP DEVM/1/BOARD STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.10: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:674 2014 HP DEVM/1/BOARD TEMPERATURE NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.15: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:694 2014 HP DEVM/1/BOARD TEMPERATURE LOWER:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.14: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:714 2014 HP DEVM/1/BOARD TEMPERATURE UPPER:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.16: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:735 2014 HP DEVM/1/BOARD REQUEST LOADING:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.18: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:755 2014 HP DEVM/1/LOAD FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.19: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:775 2014 HP DEVM/1/LOAD FINISHED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.20: chassisIndex is 0, slotIndex 0.4
#Nov  9 22:34:29:796 2014 HP DEVM/1/SUB CARD INSERTED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.13: chassisIndex is 0, slotIndex 0.0, subslotIndex 0.0.1
#Nov  9 22:34:29:816 2014 HP DEVM/1/SUB CARD REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.12: chassisIndex is 0, slotIndex 0.0, subslotIndex 0.0.1
#Nov  9 22:34:29:836 2014 HP DEVM/1/FAN STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.6: fan ID is 1
#Nov  9 22:34:29:856 2014 HP DEVM/1/FAN STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.7: fan ID is 1
#Nov  9 22:34:29:877 2014 HP DEVM/1/POWER STATE CHANGES TO FAILURE:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.1: power ID is 1
#Nov  9 22:34:29:897 2014 HP DEVM/1/POWER STATE CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.2: power ID is 1
#Nov  9 22:34:29:917 2014 HP DEVM/1/MASTER POWER CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.3: power ID is 1
#Nov  9 22:34:29:937 2014 HP DEVM/1/SLAVE POWER CHANGES TO NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.4: power ID is 1
#Nov  9 22:34:29:958 2014 HP DEVM/1/POWER INSERT:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.23: power ID is 1
#Nov  9 22:34:29:978 2014 HP DEVM/1/POWER REMOVED:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.5: power ID is 1
#Nov  9 22:34:29:999 2014 HP DEVM/1/BOARD TEMPERATURE NORMAL:
 Trap 1.3.6.1.4.1.11.2.14.11.15.8.35.12.1.17: chassisIndex is 4294967295, slotIndex 4294967295.429496729
#Nov  9 22:34:30:019 2014 HP DEVM/4/SYSTEM COLD START:
 Trap 1.3.6.1.4.1.11.2.14.11.15.6.8.4: system cold start.
#Nov  9 22:34:30:039 2014 HP DEVM/4/SYSTEM WARM START:
 Trap 1.3.6.1.4.1.11.2.14.11.15.6.8.5: system warm start.
#Nov  9 22:34:30:059 2014 HP DEVM/1/REBOOT:
 Reboot device by command.

Testando as mensagens de syslog

[HP-hidecmd]_test log
[HP-hidecmd]
%Nov  9 22:34:37:632 2014 HP DEVM/5/SYSTEM_REBOOT: System is rebooting now.
%Nov  9 22:34:37:642 2014 HP DEVM/5/BOARD_REBOOT: Board is rebooting on Chassis 0 Slot 1.
%Nov  9 22:34:37:652 2014 HP DEVM/5/SUBCARD_REBOOT: SubCard is rebooting on Chassis 0 Slot 1 SubSlot 1.
%Nov  9 22:34:37:662 2014 HP DEVM/5/BOARD_STATE_NORMAL: Board state changes to NORMAL on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:683 2014 HP DEVM/2/BOARD_STATE_FAULT: Board state changes to FAULT on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:703 2014 HP DEVM/3/BOARD_REMOVED: Board is removed from Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:723 2014 HP DEVM/4/SUBCARD_INSERTED: SubCard is inserted in Chassis 0 Slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:743 2014 HP DEVM/3/SUBCARD_REMOVED: SubCard is removed from Chassis 0 Slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:764 2014 HP DEVM/2/SUBCARD_FAULT: SubCard state changes to FAULT on Chassis 0 slot 1 SubSlot 1, type is OnlyTest.
%Nov  9 22:34:37:784 2014 HP DEVM/5/FAN_RECOVERED: Fan 1 recovered.
%Nov  9 22:34:37:794 2014 HP DEVM/2/FAN_FAILED: Fan 1 failed.
%Nov  9 22:34:37:804 2014 HP DEVM/3/FAN_ABSENT: Fan 1 is absent.
%Nov  9 22:34:37:814 2014 HP DEVM/5/POWER_RECOVERED: Power OnlyTest recovered.
%Nov  9 22:34:37:825 2014 HP DEVM/5/MPOWER_RECOVERED: Master power recovered.
%Nov  9 22:34:37:835 2014 HP DEVM/5/SPOWER_RECOVERED: Slave power recovered.
%Nov  9 22:34:37:845 2014 HP DEVM/2/POWER_FAILED: Power OnlyTest failed.
%Nov  9 22:34:37:855 2014 HP DEVM/3/POWER_ABSENT: Power OnlyTest is absent.
%Nov  9 22:34:37:866 2014 HP DEVM/5/BOARD_TEMP_NORMAL: Board temperature changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:886 2014 HP DEVM/4/BOARD_TEMP_TOOLOW: Board temperature is too low on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:906 2014 HP DEVM/4/BOARD_TEMP_TOOHIGH: Board temperature is too high on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:37:926 2014 HP DEVM/5/RPS_NORMAL: RPS 1 is normal.
%Nov  9 22:34:37:937 2014 HP DEVM/3/RPS_ABSENT: RPS 1 is absent.
%Nov  9 22:34:37:947 2014 HP DEVM/4/CFCARD_INSERTED: Compact Flash Card is inserted in Chassis 0 Slot 1 Compact Flash Slot 1.
%Nov  9 22:34:37:967 2014 HP DEVM/3/CFCARD_REMOVED: Compact Flash Card is removed from Chassis 0 Slot 1 Compact Flash Slot 1.
%Nov  9 22:34:37:987 2014 HP DEVM/5/BOARD_CURRENT_NORMAL: Board current changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:008 2014 HP DEVM/4/BOARD_CURRENT_TOOSMALL: Board current is too small on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:028 2014 HP DEVM/4/BOARD_CURRENT_TOOBIG: Board current is too big on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:048 2014 HP DEVM/5/BOARD_VOLTAGE_NORMAL: Board voltage changes to normal on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:068 2014 HP DEVM/4/BOARD_VOLTAGE_TOOLOW: Board voltage is too low on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:089 2014 HP DEVM/4/BOARD_VOLTAGE_TOOHIGH: Board voltage is too high on Chassis 0 Slot 1, type is OnlyTest.
%Nov  9 22:34:38:109 2014 HP DEVM/3/LOAD_NOMEMORY: Chassis 0 Slot 1 has not enough memory to load file.
%Nov  9 22:34:38:119 2014 HP DEVM/3/LOAD_REQUEST_ILLEGAL: The loading request of Chassis 0 Slot 1 is invalid, please check the bootrom version.
%Nov  9 22:34:38:139 2014 HP DEVM/4/BOARD_LOADING: Board is loading file on Chassis 0 Slot 1.
%Nov  9 22:34:38:150 2014 HP DEVM/3/LOAD_FAILED: Board failed to load file on Chassis 0 Slot 1.
%Nov  9 22:34:38:160 2014 HP DEVM/5/LOAD_FINISHED: Board has finished loading file on Chassis 0 Slot 1.
%Nov  9 22:34:38:170 2014 HP DEVM/3/LOAD_READ_FILE_FAILED: Driver failed to read file.
%Nov  9 22:34:38:180 2014 HP DEVM/4/BOARD_START_FROM_SELF_SYSTEM: Chassis 0 Slot 1 starts from self file system.
%Nov  9 22:34:38:200 2014 HP DEVM/3/LOAD_OPEN_FILE_FAILED: Cannot open the file, Chassis 0 Slot 1 will request load again!
%Nov  9 22:34:38:221 2014 HP DEVM/4/LOAD_TOO_MANY_RESEND: Too many resent frames, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:241 2014 HP DEVM/4/LOAD_TOO_MANY_INVALID: Too many invalid frames, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:261 2014 HP DEVM/4/LOAD_CHECKSUM_ERROR: Checksum error, Chassis 0 Slot 1 will request load again.
%Nov  9 22:34:38:281 2014 HP DEVM/5/CHASSIS_REBOOT: Chassis 0 is reboot now.
[HP-hidecmd]
[HP-hidecmd]
[HP-hidecmd]quit
[HP]

Até logo 😉

Comandos Secretos para os Switches HP 1920

Essa semana recebi uma dica bem bacana do Leonardo Soares para a administração dos Switches HP 1920. Foi publicada nos comentários do post: http://www.comutadores.com.br/comandos-secretos-para-os-switches-3com-baseline-e-hp-v1910/

Ainda não pude testar a dica em equipamentos em produção, então tomem todo o cuidado antes de executar o procedimento abaixo (prestem bastante atenção no warning exibido após a execução do comando) 😉 . De resto, assim como o post anterior curtam e simulem a dica em laboratório e depois comentem aqui no blog!!!

O comando “_cmdline-mode on” no modo user-view libera a configuração “avançada” do Switch via CLI.

<HP 1920G Switch>_cmdline-mode on

Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: Jinhua1920unauthorized

HP 1920 cmdline-mode on

Ps: Há também referências do comando no fórum: http://www.reddit.com/r/networking/comments/2nl4g9/hp_1920_cmdlinemode_password/

abração

 

Trabalhando com syslog em Switches HP

Galera, o post abaixo foi gentilmente cedido pelo Leonardo Ortiz do blog http://killingyournetwork.blogspot.com.br/search/label/3Com .

Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog.

O syslog é uma ótima forma para monitorar e descobrir problemas na rede, com ele podemos receber alertas do switch em um servidor syslog e tomar as ações necessárias em caso de problemas.

A RFC do syslog é a RFC 3164. Há vários níveis do syslog que documentam desde problemas a um simples login no equipamento.

Vamos as configurações!

No modo system inserir os seguintes comandos:

info-center enable
info-center loghost [ip do servidor syslog]
info-center source default channel 2 log level error trap state off

Explicação dos comandos.

1 – info-center enable

Habilita o info-center, feature dos Switches 3com para logs do sistema, por padrão já vem habilitado nos switchs.

2- info-center loghost [ip do servidor syslog]

Configura o servidor para envio dos logs.

3- info-center source default channel 2 log level error trap state off

Com esse cara você define o nível do log.

Existem 8 niveis de erros conforme imagem abaixo:

Fonte: http://www.ietf.org/rfc/rfc3164.txt
Fonte: http://www.ietf.org/rfc/rfc3164.txt

Nesse caso ativei o nivel “erros”.
O parâmetro “trap state” define se será enviado ou não traps para o syslog server, essas são as traps SNMP, que enviam alertas como UP/DOWN de interfaces e problemas em geral. Outro parâmetro que poderia ser configurado é o “debug state” que envia informações de debug, por padrão já vem desabilitado.

A forma que os logs serão recebidos será dessa forma:

<priority>timestamp sysname module/level/digest:content

Exemplo:

<185>Aug 10 07:36:40 2013 Switch STP/2/SPEED:- 1 -Ethernet1/0/17’s speed changed!

1 – Prioridade(priority): Prioridade do log, existe uma formula para o seu calculo:

facility*8+severity-1

facility, o valor padrão é 23 – O facility define o que gerou o log no sistema, em sistemas unix o valor vai de 0 a 15, do 16 ao 23 é reservado.

Severity é o nivel do log conforme a imagem acima, no nosso caso, o nível configurado foi o 3 porém essa é uma mensagem de nível critico, que seria o valor 2.

No exemplo acima, a formula ficaria assim:

23*8+2-1=185.

2 – Timestamp: O horário no qual o sistema gerou o log, esse horário é o horário que está no Switch.

3 – Sysname:  Nome do switch

4 – Modulo do syslog/Nivel/alerta(resumido).

5 – O alerta em si, mostrando a mensagem do alerta.

Esse procedimento se aplica para os Comware, já para os switches Procurve mudam alguns comandos conforme abaixo:

1- logging severity warning

Define nivel dos logs

2-  logging [ip do servidor syslog]

Configura o servidor para envio dos logs.

E é isso.

Obrigado pela leitura e boa configuração a todos!

Fonte: Foram verificados os manuais dos equipamentos 3com 4210 e 5500.

Multitenant Device Context (MDC)

O Multitenant Device Context (MDC) é uma tecnologia que permite o particionamento de um dispositivo  em diversos equipamentos lógicos (Switches ou Roteadores HP baseado no Comware).

Cada MDC utilizará uma porção do hardware e os seus recursos, rodando os processos de forma independente dos outros MDCs. Uma simples ação de criar, iniciar, reiniciar ou deletar um MDC não afeta outros MDCs.

Da perspectiva do cliente, o MDC é um equipamento individual.

MDC 1

IRF e o MDC

A tecnologia IRF permite agregarmos 2 ou mais equipamentos em um único dispositivo lógico facilitando assim a administração dos equipamentos.

Já o MDC permite que diferentes clientes utilizem os recursos do equipamento de forma independente. Features como VLAN IDs, roteamento e protocolos  de gerenciamento atuam de forma isolada dentro do “contexto”. Gerando assim economia na venda de serviços, espaço em rack, energia eletrica, etc.

Para permitir a comunicação entre MDCs é necessário conectar um cabo entre os MDCs.

O gerenciamento dos MDCs que estão no mesmo equipamento é efetuado pelo MDC default (admin MDC). É possível logar  individualmente e diretamente nos MDCs com protocolos como SSH ou telnet.

Diferente de VRFs (vpn-instances) que apenas virtualizam a tabela de roteamento sobre uma única administração, o MDC permite a separação do gerenciamento e processos.

Arquitetura e Features MDC

Um MDC pode ser considerado um equipamento individual baseando-se no conceito de container para virtualização do SO(sistema operacional) Comware 7. Um container é uma forma de virtualização no nível do SO, um ambiente totalmente isolado, simulando um sistema independente no mesmo host.

Cada MDC é um equipamento lógico definido em um equipamento fisico. O equipamento físico pode ser um único Switch ou um par de Switches em IRF.

Cada MDC tem também o data plane isolado, permitindo que o ID das VLAN sejam definidos e repetidos em cada MDC mas funcionando de maneira independente. As portas são reservadas ao nivel de cada ASICs por MDC, já a CPU é compartilhada e concorre por recursos. A documentação diz que se um MDC necessita de recursos enquanto um segundo MDC está ocioso, o primeiro MDC pode alocar mais recursos de CPU.

MDC 2

 

A configuração do MDC só é possível até o momento em Switches modulares com o suporte ao Comware7. A quantidade de MDCs pode variar dependendo da capacidade computacional do Main Process Unit (MPU) do Switch Chassis.

Os Switches com a feature MDC tem um admin MDC (MDC número 1) que pode gerenciar todos os recursos de hardware dos outros MDCs, permitindo a criação e a remoção do MDC. O mesmo não pode ser removido.

Mesmo com a utilização de diversos MDCs em um device, apenas um kernel é inicializado e por isso os MDCs precisam executar a mesma versão de firmware. A documentação diz que o equipamento que suporta os MDCs é chamado de Admin MDC e é o MDC 1 e por padrão quando o kernel é iniciado, o MDC 1 é  o utilizado para administrar os outros MDCs.

Na definição de um MDC é possível a alocação de peso para de uso de CPU por MDC afim de priorizar MDCs especificos, é possível também definir a alocação de disco, uso de memória, grupos de processos restritos, etc. Para o MDC admin não há limitação de recursos.

Para a alocação de interfaces, é necessario a reserva por grupo de ASICs. Em um Switch modular cada modulo/cartão (LPUs) tem um ou mais ASICs. Quando um frame chega ao Switch funções como analise de VLANs, endereços MAC são executados pelos ASICs e um ASIC pode ter diversas interfaces físicas.

No exemplo abaixo, durante a alocação de apenas uma porta para o MDC2, o switch apresenta  a mensagem que a interface FortyGigE 1/1/0/1 participa do mesmo port-group que as interfaces listadas.

[Switch-mdc-2-mdc2]allocate interface FortyGigE 1/1/0/1
Configuration of the interfaces will be lost. Continue? [Y/N]:y
Group error: all interfaces of one group must be allocated to the same mdc.
FortyGigE1/1/0/1
Port list of group 5:
FortyGigE1/1/0/1 FortyGigE1/1/0/2
FortyGigE1/1/0/3 FortyGigE1/1/0/4
FortyGigE1/1/0/5 FortyGigE1/1/0/6
FortyGigE1/1/0/7 FortyGigE1/1/0/8

A tabela abaixo apresenta o grupo de portas de alguns módulos nos Switches 12500.

MDC 3

Configurando um MDC

  1. Defina o MDC com o ID e nome
  2. Configure a autorização de alocação da line card (LPU)
  3. Aloque as interfaces por grupo baseado no ASIC
  4. Inicie o MDC
  5. Acesse o MDC utilizando o comando switchto

 

[Switch] mdc clientex id 2
! criando o MDC clientec com o id 2
[Switch-mdc-2-clientex] location slot 2
!  autorizando o uso da LPU no slot 2
[Switch-mdc-2-clientex] allocate interface giga 2/0/1 to 2/0/48
! alocando as interfaces na LPU no slot 2
!
[Switch-mdc-2-clientex] mdc start
! iniciando o mdc
[Switch-mdc-2-clientex] quit
!
[Switch] switchto mdc clientex
! conectando no mdc clientex

Validando as portas reservadas por MDC no admin MDC

[Switch]display  mdc interface
 MDC Admin's interface(s):
  M-Ethernet0/0/0

 MDC clientex's interface(s):
  GigabitEthernet2/0/1                 GigabitEthernet2/0/2                 
  GigabitEthernet2/0/3                 GigabitEthernet2/0/4
  GigabitEthernet2/0/5                 GigabitEthernet2/0/6
  GigabitEthernet2/0/7                 GigabitEthernet2/0/8

!output omitido

Até logo

Referência

Building HP FlexFabric Data Centers student guide – HP Expert one – Rev14.41

Dicionário de comandos HP Networking comparados com Cisco CLI – versão 3

A HP Network disponibilizou a terceira versão do guia de referência de comandos como um dicionário para comparação de features dos Switches HP, H3C/3Com (Comware), HP Provision e IOS Cisco. Dessa vez foram adicionados comandos para o Comware 7.

Dicionario HPN v3

Para visualização ou download baixe do site da HP Press https://h30590.www3.hp.com/product/HP+Networking+and+Cisco+CLI+Reference+Guide+-+Version+3-PDF-15901

Se o link estiver quebrado, deixe um comentário…

Abração