aos training

7/15/2019 Aos Training

http://slidepdf.com/reader/full/aos-training 1/40

All rights reserved © 2007, Alcatel


AOS Training(R6)




Table of Contents

Part 1 : Switch기본 설정

Part 2 : Switch Booting Part 3 : Alcatel Operating System

Part 4 : Hardware정보 확인

Part 5 : AOS Upgrade

Part 6 : Switch보안

Part 7 : VLAN

Part 8 : 802.1q

Part 9 : Spanning Tree

Part 10 : Link Aggregation

Part 11 : VRRP

Part 12 : Routing Protocol

Part 13 : Access Control List Part 14 : SNMP Configuration

Part 15 : Network Security

Part 16 : Switch Check

Part 17 : Virus Check




Ethernet Cable Requirements

Component LEDs


EMP to a Switch Straight-

through

EMP to a Computer or

Workstation

Crossover

ENI Port to a Switch Crossover

ENI Port to a Computer or

Workstation

Straight-

through

CMM OK1 녹색 On

CMM OK2 녹색 깜박임

CMM TEMP 녹색 On

CMM FAN 녹색 On

NI OK1 녹색 On

NI OK2 녹색 깜박임

Power Supply AC OK 녹색 On

Power Supply DC OK 녹색 On

Power Supply OVER TEMP Off

DB9 RJ45

1 n/c

2 6

3 3

4 n/c

5 5

6 n/c

7 8

8 1

9 n/c

DB-9(Null) to RF-45




-> show systemDescription: 6.1.1.671.R01 Service Release, April 04, 2006.,

Object ID: 1.3.6.1.4.1.6486.800.1.1.2.1.8.1.1,

Up Time: 68 days 20 hours 32 minutes and 20 seconds,

Contact: Alcatel Internetworking, www.alcatel.com/enterprise/en,

Name: ,

Location: Unknown,

Services: 72,Date & Time: FRI DEC 29 2006 10:12:54 (GMT)

Flash Space:

Primary CMM:

Available (bytes): 80773120,

Comments : None

Secondary CMM:

Available (bytes): 81371136,

Comments : None

Switch 기본 설정

1. 기본 계정과 password

User = admin

Password = switch

2. Switch system time과 timezone설정

->system timezone kst->system time HH:MM:SS

->system time-and-date synchro

: CMM redundancy 구성인 경우

->show system

3. Switch의 Reboot

->reload working no rollback-timeout

4. AAA 설정 - web, telnet, ftp, ssh, etc.

->aaa authentication default local

5.Save configuration

->write memory

->copy working certified





- Switch를 설정하는 방법은 SNMP, CLI, Webview의 3가지 방법이 있고 그 중에서 CLI에 관하여 알아본다.

CLI help- ‘ ? ’ 를 이용하면 사용 가능한 명령어가 표시된다.

- ‘ vlan ? ’와 같이 입력하면 다음에 사용 가능한 명령어가 표시된다.

- ‘ po? ’와 같이 입력하면 po로 시작하는 모든 명령어를 표시한다.

- <TAB>를 이용하면 중복되는 명령어가 없다면 자동으로 명령어를 채운다.

CLI Line Editor & History

- ‘ !! ’의 명령어는 마지막에 사용한 명령어를 표시 해준다.

- 여러 개의 명령어는 편집해서 한꺼번에 적용 가능하다.

- ‘ show history ’로 전에 사용한 명령어의 List를 출력한다.

- ‘ !# ’ (‘#’ = command number)로 전에 사용한 명령어를 선택할 수 있다.

Directory Structure

- Switch는 Unix의 기본 command가 사용 가능하다.

pwd – show current directory. mv – move a file.

cd – change directory. cp – copy a file.

mkdir – create a new directory. rm – remove a file

ls – list contents of a directory.

Part 2 : Switch Booting




Directory 구성

1. 총 256MB의 Memory를 지원하며 /flash에는 /working, /certified 두개의 directory를 포함하고 Image rollback

기능을 위해 동시에 작동한다. (OS9000 : 128M flash memory)

2. /flash/working과 /flash/certified가 완전하게 동일하다면, 스위치는 두 directory를 모두 신뢰할 수 있다고 판단하고 Switch는 /flash/working에서 작동한다

3. Switch가 /flash/working directory에서 작동할 때, 변경된 설정 값은 write memory 명령으로 /flash/working

/boot.cfg에 저장한다.

4. Booting 시 /flash/working와 /flash/certified가 조금이라도 다르면, 스위치는 자동적으로 /flash/certified에서 작동하게

된다.

Directory구조

Part 3 : Alcatel Operating System


http://slidepdf.com/reader/full/aos-training 7/40 All rights reserved © 2007, Alcatel

What

safe upgrade mechanism multiple images와 configurations의 제공 가능

Certified directory - “Certified” default config files이 있는 Directory

Working directory - 작동중인 configuration files이 있는 Directory

Working directory의 failure시 Certified directory의 revision 과

configuration으로

Automatic rollback

L2

L3

L2

L3

Certified Directory

Working Directory

OS/Config

OS/Config

Flash Memory


Benefits Reconfigration time 최소화

구성파일 실행전 Test Configuration 구성 가능

Multiple resident files이 탑재 될 수 있으므로 빠르고 유연하게 network 구성 가능




Directory 확인

-> show running-directory

CONFIGURATION STATUS

Running CMM : PRIMARY,

CMM Mode : DUAL CMMs,

Current CMM Slot : A,

Running configuration : WORKING,

Certify/Restore Status : CERTIFIED

SYNCHRONIZATION STATUSFlash Between CMMs : SYNCHRONIZED,

Running Configuration : SYNCHRONIZED,

NIs Reload On Takeover : NONE

Configuration 초기화

/flash/working 디렉토리에서 boot.cfg를 삭제 후 아래의 명령어로 reload한다.

-> reload working no rollback-timeout

CMM의 동기화

Working directory와 certified directory의 동기화

-> copy working certified

Primary CMM과 Secondary CMM의 동기화

-> copy working certified flash-synchro

-> show running-directoryCONFIGURATION STATUS

Running CMM : PRIMARY,CMM Mode : DUAL CMMs,Current CMM Slot : A,Running configuration : WORKING,Certify/Restore Status : CERTIFY NEEDED

SYNCHRONIZATION STATUSFlash Between CMMs : NOT SYNCHRONIZED,Running Configuration : SYNCHRONIZED,NIs Reload On Takeover : ALL NIs

CMM동기화 확인




Configuration Basic

- Omniswitch의 Configuration은 3개의 다른 version이 있다. 그것은 Working, Certified, 그리고 Runningversion이다.

- Switch가 boot parameter에 의해 부팅할 때 그것은 working 혹은 certified directory로부터 부팅 할 것이다.

- 일단 Directory로 중 한가지로 부팅하면 Configuration은 Running Configuration이 된다.

Running Configuration

- ‘ vlan 2 ’, ‘ vlan 3 ’, ‘ vlan 4 ’등 몇 개의 vlan을 생성하면 그 것은 Running Configuration에 만들어 진 것이다.

- 변경된 설정은 바로 적용된다. 그러나 완전히 저장된 것은 아니다.- ‘ reload working no rollback-timeout ’으로 reboot 한 후에 ‘ show vlan ’으로 확인 해보면 vlan은 생성되지

않았다. 왜냐하면 Running Configuration에서 변경된 설정은 저장되지 않았기 때문이다.

Working Directory

- ‘ vlan 2 ’, ‘ vlan 3 ’, ‘ vlan 4 ’를 생성하고 ‘ configuration snapshot all snap1 ’을 이용해서 Running

Configuration 전체를 snap1이라는 ascii file로 저장할 수 있다.

- ‘ write memory ’를 이용해서 Running Configuration을 Working Directory의 boot.cfg에 저장한다.같은 명령어로 ‘ copy running-config working ’ 사용 가능하다.

- ‘ cp snap1 /flash/working/boot.cfg ’의 명령어로 미리 저장한 Running Configuration file을 boot.cfg에 저장

할 수 있다.




Certified Directory

- ‘ reload ’의 명령어로 reboot하면 Switch는 certified directory로 부팅한다.

- 변화된 설정을 certified directory로 저장하지 않았기 때문에 Certified로 부팅한 것이다.

- Certified로 부팅한 상태에서는 설정한 내용이 저장되지 않는다. 이 경우에는 Running directory를 working

Directory로 만들어야 write memory의 명령어로 통해서 변경된 설정을 저장할 수 있다.

- Running directory를 working directory로 만들려면 ‘ reload working no rollback-time ’를 이용해서

Working directory로 부팅한 다음 ‘ copy working certified ’로 두 Directory를 동기화 시킨다.

Configuration Snapshot- ‘ show configuration snapshot all ’의 Snapshot 기능을 이용해서 전체 Current running configuration을

확인 가능하다.

- ‘ configuration snapshot all snapall ’로 snapall이라는 file로 전체 configuration을 저장하고 snapall이라는

file을 view에서 확인하고 그리고 vi를 이용해서는 편집이 가능하다.

Configuration Apply- ‘ configration apply [file name]l ’의 Snapshot 기능을 이용해서 저장된 file을 실시간 적용할 수 있다.



Part 4 : Hardware 정보 확인

Gathering Switch Information

- show hardware info : Information on CPU, Memory, Miniboot.

- show microcode : Code descriptions and versions.

- show microcode history : List of upgrade path.

- show chassis : Chassis type and part numbers.

- show cmm : Processor and fabric board information.

- show ni : Networking interface information.

- show power : Power supply information.

- show fan : Fan Information.

- show temperature : Temperature and temperature threshold.

CMM Redundancy

- show cmm

- reload primary

- reload secondary

- Primary CMM의 failover 시 실제 사용중인 Packet에 영향은 없다.

- ‘ copy flash-synchro ’의 명령어로 Primary CMM의 Working, Certified directory를 Secondary CMM의 Working,

Certified directory로 동기화 시킬 수 있다.



Part 4 : Hardware 정보 확인

Ethernet Port Configuration

- show interfaces slot/port : Tells whether the port is active or not.

- interfaces slot/port duplex [half,full,auto] : Sets the duplex mode.

- interfaces slot/port speed [10,100,1000,auto] : Sets the speed.

- interfaces slot/port admin [up,down] : enable or disable a port.

- show interfaces slot/port accounting : gather frame statistics.

- show interfaces slot/port counters : gather error and frame counts.

- interfaces slot/port no l2 statistics : interface count clear.

Hot swap / Reset

- 전체 Module은 Hot swap 가능하다.

Ni Power

- no power ni [slot #] : NI module의 power down.

- power ni [slot #] : NI module의 power restore.





AOS Upgarde

- Ominswitch는 zmodem과 ftp 두가지 방법으로 switch로 Image를 복사할 수 있다.

- Ftp는 EMP port와 IP 설정한 NI에서 가능하다.

- 다음의 명령어로 Version을 확인한다.

-> show microcode loaded

-> show microcode working

-> show microcode certified

- show microcode working ’의 출력은 아래와 같다.

-> show microcode working

Package Release Size Description

-----------------+---------------+--------+-----------------------------------

Fadvrout.img 5.1.5.126.R02 953887 Alcatel Advanced Routing

Fbase.img 5.1.5.126.R02 3892124 Alcatel Base Software

Fdiag.img 5.1.5.126.R02 331039 Alcatel Diagnostics Archive

Feni.img 5.1.5.126.R02 1211272 Alcatel NI Software

Fl2eth.img 5.1.5.126.R02 892734 Alcatel Layer 2, Ethernet

Fos.img 5.1.5.126.R02 987068 Alcatel Operating System

Fqos.img 5.1.5.126.R02 345300 Alcatel Quality of Service

Frout.img 5.1.5.126.R02 648326 Alcatel Routing

:

:





아래는Omniswitch 7800/7700

에 대한

image목록이다

.- OS9800은 Jos.img, OS8800은 Eos.Img, OS6600은 Hos.img, OS6800은 Kos.img로 시작한다.

Fos.img OmniSwitch 7700/7800 오퍼레이팅 시스템 소프트웨어를 포함.

Fbase.img 스위치에 대한 기본 코드를 포함.

Frelease.img 시스템 소프트웨어 package에 대한 release number 정보를 포함.

Fl2eth.img Layer2 스위칭 기능의 지원을 제공.

Frout.img Layer3 라우팅 기능의 지원을 제공.

Fqos.img Quality of Service (QoS) 기능 제공.

Feni.img 10/100, Fast Ethernet, Gigabit Ethernet에 대한 지원 제공.

Fdiag.img 스위치에 대한 확장된 하드웨어 진단 기능 제공.

Fadv rout.img Alcatel의 Advanced Routing 소프트웨어 package.(option)

Fsecu.img 스위치에 대한 확장 보안 기능 제공.

Fweb.img WebView 소프트웨어 어플리케이션에 대한 지원 제공.

Fwebl2eth. img Layer2의 WebView 설정 기능 제공.

Fwebrout. img 기본 라우팅에 대한 WebView 설정 기능 제공.

Frelease.img Quality of Service (QoS)에 대한 WebView 설정 기능 제공.

Fwebadvrout. img Alcatel Advanced Routing에 대한 WebView 설정 기능 활성화.

Fwebsecu. img 스위치의 확장 보안 기능에 대한 WebView 설정 기능 제공.





EMP Port Parameter 변경

- EMP Port의 Default IP Address는 192.168.1.1 / 255.255.255.0 이다.

- VLAN IP address는 EMP IP Address와 동일 한 IP를 설정할 수 없다.

- EMP Port의 IP 변경 시에는 아래의 순서로 진행한다.

modify boot parameters : modify boot parameter menu로 들어간다.

boot empipaddr 10.1.1.1 : EMP IP address 설정

boot empnetmask ffffff00 : Mask 설정

show : 현재 설정 값 확인

commit system : Running system에 설정 값을 저장

commit file : NVRAM에 설정 값을 저장해서 reboot시에도 저장 가능하게 한다.

exit : System prompt로 나간다.

- IP 설정을 PC와 맞춘 다음 EMP Port와는 crossover cable로 연결한다.

- EMP로 PC 연결 시 ACL의 Policy에 영향 받지 않는다.




Part 5 : AOS Upgrade(software)

Console / zmodem

- Switch의 Console에 PC를 연결 후 ‘ cd ’를 이용해서 원하는 Directory로 이동한다.

- Prompt에서 ‘ rz ’ 입력 후 PC의 Terminal Program에서 zmodem을 이용해서 file을 전송한다.

- zmodem을 이용 하는 것 보다는 FTP를 이용하는 것이 보다 빠르게 Image를 전송할 수 있다.

AOS upgrade- FTP를 이용한 upgrade 방식(EMP 사용가능)

- 아래의 순서로 upgrade 진행

-> show system : version 확인

-> cd working : working directory로 이동

-> ls : file 확인

-> rm *.img : 전체 image 삭제, boot.cfg는 삭제하지 않음

PC에서 switch로 ftp 접속, binary로 /flash/ working로 전송

-> install *.img : 새로운 image install

-> reload working no rollback-timeout : working directory로 reload

-> copy working certified : version 및 정상동작 확인 후 동기화




Part 5 : AOS Upgrade(firmware)

H/W upgrade(bootrom, miniboot, FPGA)

- 514에서 515로 upgrade할 경우 bootrom, miniboot, FPGA를 upgrade 해야함

- 515 version에서 CLI upgrade 지원

- 아래의 순서로 upgrade 진행

먼저 /flash에 bootrom.bin, miniboot.default,

miniboot.backup을 ftp로 전송한다

FPAG를 upgrade 할 경우에는 /flash/working에

Efpga.upgrade_kit를 전송한다 -> show hardware info : H/W version 확인

-> ls : /flash에file 확인

-> update bootrom : bootrom upgrade

-> update miniboot default : miniboot upgrade

-> update miniboot backup: miniboot upgrade

-> update fpga cmm : FPGA upgrade

-> show hardware info : upgrade된 H/W version 확인

-> show hardware info

CPU Type : UltraSPARC IIe (SPARC-V9),

Flash Manufacturer : AMD,

Flash size : 33554432 bytes (32 MB),

RAM Manufacturer : Micron,

RAM size : 134217728 bytes (128 MB),

NVRAM Battery OK : YES,

Interrupt Boot Jumper : OFF,

Force UART Defaults Jumper : OFF,

Run Extended Memory Diags Jumper : OFF,

Spare Jumper : OFF,

BootROM Version : 5.1.5.340.R01,

Backup Miniboot Version : 5.1.5.340.R01,

Default Miniboot Version : 5.1.5.340.R01,

FPGA (1) Version : 44,

FPGA (2) Version : 44





Switch Login 계정의 확인 및 생성

- ‘ show user ’로 Switch에 생성된 계정을 확인 할 수 있다.

- 기본적으로 admin, default 두 개의 계정이 생성되어 있고 그 중에 default 계정은 기본적으로는

Switch에 접속할 수 없는 Permission이다.

-> show user

User name = admin

Read right = 0xffffffff 0xffffffff,Write right = 0xffffffff 0xffffffff,

Read for domains = All ,

Write for domains = All ,

Snmp not allowed

User name = default

Read right = 0x00000000 0x00000000,Write right = 0x00000000 0x00000000,

Read for domains = None ,

Write for domains = None ,

Snmp authentication = NONE, Snmp encryption = NONE

FullRead/WritePermission

NoRead/WritePermission





- 다음과 같이 사용자 계정을 추가할 수 있다.

-> user userread password userread read-only all : Read 권한만 가진 User ‘userread’ 생성

-> user userwrite password userwrite read-write all : Read-write 권한을 가진 User ‘userwrite’ 생성

Partition Management

- Partition Management User 별로 Access 할 수 있는 기능을 제한 할 수 있다.

-> user userread read-only domain-layer2 : User ‘userread’는 Layer2 기능만 Read 할 수 있다.

-> user userwrite read-write vlan : User ‘userwrite’는 Vlan에 대해서만 Read-write할 수 있다.

-> user userwrite read-write ? : Option을 ?로 확인하면 많은 Option을 확인 가능하다.

Authenticated Switch Access

- ASA가 Switch를 설정 가능한 사용자들을 제한할 수 있는 능력을 제공한다.

- Switch Longin인 시도는 RADIUS, LDAP, 또는 ACE-서버와 같은 Local database 또는 remote database를

경유하여 인증 받을 수 있습니다.

- ASA는 Telnet, FTP, SNMP, SSH, HTTP, 그리고 console과 modem port들에 적용됩니다.

- show aaa authentication : Switch internal database authentication 확인

- no aaa authentication telnet : Telnet access의 disable




Part 7 : VLAN

Vlan Configuration

- show vlan : Vlan basic information.

-> show vlan

vlan admin oper stree auth ip ipx name

----+-----+----+-----+----+--+---+-----

1 on on on off off off VLAN 1

- show vlan 1 : Vlan 1의 information.

-> show vlan 1

Name : VLAN 1,

Administrative State: enabled,

Operational State : enabled,

Spanning Tree State : enabled,

Authentication : disabled,

IP Router Port : none,

IPX Router Port : none

- show vlan port : Vlan에 assign된 port list

-> show vlan 1 port

vlan port type status

----+-----+----+-------

1 2/1 default forwarding

1 2/2 default inactive


:

:





Part 7 : VLAN

Vlan Configuration – Multinetting

- 516 code에서부터 Multinetting 기능 지원

- 기존의 vlan [num] router ip의 명령어가 변경 됨

- 한 개의 vlan에 여러 개의 ip interface를 적용가능(최대 8개)

- vlan 생성

-> vlan 10

- vlan에 ip 할당

-> ip interface vlan-10 address 10.10.10.1/24 vlan 10

: vlan-10(index)이라는 name으로 해당 ip를 지정하고 vlan10에 할당

- vlan에 다른 ip 할당



- vlan에 port assign

-> vlan 10 port default slot/port

- vlan에 할당된 ip 확인

-> show ip interface Total 9 interfaces

Name IP Address Subnet Mask Status Forward Device-----------+-------------+-------- ---+-----+------+--------EMP 192.168.1.1 255.255.255.0 DOWN NO EMPLoopback 127.0.0.1 255.0.0.0 UP NO Loopbackvlan-10 10.10.10.1 255.255.255.0 DOWN NO vlan 10vlan-11 10.10.11.1 255.255.255.0 DOWN NO vlan 10

vlan-12 10.10.12.1 255.255.255.0 DOWN NO vlan 10




Part 7 : VLAN

Group Mobility - Group Mobility란 port가 한 개의 Vlan에 Assign되는것이

아니라 처음에는 default vlan에 속해 있다가 사용자가

설정한 Network에 의해서 해당 Vlan으로 Dynamic하게

이동하는 기술이다.

- 사용자는 이동 시 IP를 변경하지 않고 Network이 사용이 가능하다.

- Port에 대해서 mobile port로 설정

-> vlan port mobile slot/port

-> show vlan port mobile 2/24

Mobility : on,

Dynamic Default Vlan: 0,

Config Default Vlan: 2,

Default Vlan Enabled: on,

Default Vlan Perm : off,

Default Vlan Restore: on,

Authentication : off,

Ignore BPDUs : off

- show vlan port 로 확인하면 G.M 사용 시 type이 mobile로 표시되고 한 개의 mobile port에서 여러 개의

Vlan이 올라 오는것을 확인할 수 있다.

-> show vlan port


---+-----+------+-------

1 3/1 default forwarding1 3/2 default inactive

3 9/3 mobile forwarding



- Network Rule 설정

-> vlan 2 ip 192.168.10.0 255.255.255.0-> show vlan rule

Legend: type: * = binding rule

type vlan rule

---------+------+----------------------

ip-net 2 192.168.11.0, 255.255.255.0




Part 7 : VLAN

- vlan port mobile 1/1 bpdu ignore enable

: bpdu ignore 설정 필요(STP 사용시)

- vlan port 9/1 default vlan restore disable

: mobile port에 Switch 연결 시 위의 설정 필요

- Group Mobility 사용 시 제한 사항

: mobile port 사용자가 IP Address 변경 시 Switch에서 해당 PC의 Mac-address가 Aging out 되기 전에는

사용이 불가능하다. 이 때는 Link & NIC 제거 후 Aging time 300초(5분) 동안 대기 후 다시 연결해야 한다.

Default Aging time을 짧게 변경 하려면 ‘ mac-address-table aging-time 120 ’과 같이 설정한다.




Part 8 : 802.1q

- 802.1q란 한 개의 물리적 Link 에 Multiple broadcast domain을 실어 여러 Vlan을 사용 할 수 있게 하는 기술이다.

- 각각의 Switch에서 같은 Vlan을 사용하고자 할 경우 사용한다.

802.1q 설정

-> vlan 4 802.1q 3/4 : vlan 4,5를 3/4에 설정

-> vlan 50 no 802.1q 3/1 : 802.1q삭제

-> show vlan port : type이 qtagged인지 확인

->반대쪽 Switch에도 같은 설정을 해야 한다.

-> show vlan port : Vlan port 확인 시 type이 qtagged로 표시된다.


----+-------+---------+------

50 3/1 qtagged forwarding


-> 802.1q Network 도 STP에 포함된다.




Part 9 : Spanning Tree

Spanning Tree Protocol

- Default로Multiple STP enable

- 802.1D와 802.1W(fast spantree), 802.1s지원

-> bridge mode 1x1 : Multiple STP

-> bridge mode FLAT : Single STP

-> bridge 101 priority 1 : root bridge로 지정

-> bridge 101 protocol 1d : Default상태

-> bridge 101 protocol 1w : 802.1w설정 -> bridge 101 1/1 path cost 100 : path cost수정

-> show spantree

- Default path cost값

: 10Gbps = 2

: 1Gbps = 4

: 100Mbps = 19: 10Mbps = 100

-> show vlan port


----+----+------+------

10 1/2 default forwarding

10 2/1 default blocking

-> show spantree 10

Spanning Tree Parameters for Vlan 10Spanning Tree Status : ON,Protocol : IEEE 802.1D,mode : 1X1 (1 STP per Vlan),Priority : 32768 (0x0001),Bridge ID : 0001-00:d0:95:8e:46:a2,Designated Root : 0001-00:d0:95:4d:02:84,

Cost to Root Bridge : 4,Root Port : 1/1,Next Best Root Cost : 23,Next Best Root Port : 1/24,Hold Time : 1,Topology Changes : 21,Topology age : 3:35:54

Current Parameters (seconds)Max Age = 20,Forward Delay = 15,

Hello Time = 2Parameters system uses when attempting to become

rootSystem Max Age = 20,System Forward Delay = 15,System Hello Time = 2




Part 10 : Link Aggregation

- Link Aggregation은 회선의 Bandwidth 확장 및 회선 장애 시 신속한 takeover가 가능하다.

- Omni switch의 Link Aggregation은 Omnichannel(static)과 LACP(802.3ad) 두 가지를 지원한다.

- OS8800, 7000은 최대 16 port를 지원하고 OS6600은 최대 8 port의 Aggregation은 지원한다.

Link Aggregation – Static

-> static linkagg 5 size 2 admin state enable : linkagg ID는 5이고 port 2개를 Aggregation한다.

-> static agg 1/1 agg num 5 : 1/1과 1/2를 Aggregation한다. Switch상에서는 5 port라고 한 개의 Port로 인식한다.

-> static agg 1/2 agg num 5

-> show linkagg

-> show linkagg 5

-> show linkagg port

Link Aggregation – Dynamic

-> lacp linkagg 5 size 2 admin state enable

-> lacp agg 1/1 actor admin key 0

-> lacp agg 1/2 actor admin key 0

-> show linkagg port

-> show linkagg

-> show linkagg 5




VRRP설정

- Active switch에서 다음과 같이 설정한다.

-> vrrp 1 200 : VRRP ID,VLAN ID설정

-> vrrp 1 200 ip 200.200.200.1 : Virtual IP설정

-> vrrp 1 200 priority 200 : Priority가 높으면 VRRP Master 가 된다.

-> vrrp 1 200 enable : VRRP enable

-> show vrrp 1 : VRRP상태 확인

-> show vrrp statistics

- Backup switch에서 다음과 같이 설정한다.

-> vrrp 1 200 : VRRP ID,VLAN ID설정

-> vrrp 1 200 ip 200.200.200.1 : Virtual IP설정

-> vrrp 1 200 priority 100 : Priority가 낮으면 VRRP Backup이 된다.

-> vrrp 1 200 enable : VRRP enable

f

Part 11 : VRRP




Part 12 : Routing Protocol

Static Routing 설정

- Static Routing은 다음과 같이 설정한다.

-> ip static-route 192.168.10.0 mask 255.255.255.0 gateway 10.10.10.1

- Default gateway은 다음과 같이 설정한다.

-> ip static-route 0.0.0.0 mask 0.0.0.0 gateway 203.229.229.1

- Routing table을 확인하는 명령어는 다음과 같다.

: Protocol이 NETMGMT라고 표시되는 경우가 static routing을 설정한 경우이다.

-> show ip route

+ = Equal cost multipath routes

Total 7 routes

Dest Address Subnet Mask Gateway Addr Age Protocol------------------+--------+-------------+---------+-----------

0.0.0.0 0.0.0.0 203.229.229.1 16:32:51 NETMGMT

10.10.10.0 255.255.255.0 10.10.10.2 4d22h LOCAL

127.1.0.0 255.255.0.0 127.1.65.0 6d 1h LOCAL

192.168.10.0 255.255.255.0 10.10.10.1 00:00:02 NETMGMT




Part 13 : Access Control List

- ACL의 적용은 condition, action, rule의 순서로 적용한다.그리고 반드시 마지막에 qos apply해 주어야 적용된다.

-전체 qos config삭제시는 qos flush후 qos apply

- ACL의 삭제는 rule, action, condition의 순서로 삭제한다.

Layer2 ACLpolicy condition toMAC3 destination mac 00:00:00:00:00:03

policy action deny disposition drop

policy rule r1 condition toMAC3 action deny

qos apply

Layer3 ACLpolicy condition fromIP1toIP3 source ip 10.0.0.100 destination ip 192.0.0.0 mask 255.0.0.0

policy action deny disposition deny

policy rule r1 condition fromIP1toIP3 action deny

qos apply

Layer4 ACLpolicy service t445 destination tcp port 445

policy service t135 destination tcp port 135

policy service group tcp_group t445 t135

policy condition c1 service group tcp_group


policy rule r1 condition c1 action deny

qos apply





- NEW ACL Features

UserPorts Group Policy

- IP address spoofing 방지

- Uplink & Rouing 구간에는 적용 불가

- policy port group UserPorts 1/1-12

-> show ip traffic

Datagrams received

------------------------+------------

Total 9260274IP header error 0

Destination IP error 0

:

:

Fragment failed 0

Fragments generated 0

Event Source Total Last 1 seconds

---------------------------+------------------------

spoof 1/2 2538258 1223 last mac 00:10:a4:97:d0:e8





DropServices Group ACL


policy service group DropServices t445

policy port group portgroup 1/1-12

policy condition c1 source port group portgroup service group DropServices

policy action drop disposition drop

policy rule r1 condition c1 action drop

qos apply

ICMP Drop Rules

policy condition ping10 ip protocol 1

policy action drop disposition drop

policy rule noping10 condition ping10 action drop





Switch access control sample(특정한 IP)

policy service t1 protocol 6 destination tcp port 23



policy service group g_1 t1 t2 t3

policy condition drop destination network group Switch service group g_1

policy condition ok_c1 source ip 10.10.10.100 destination network group Switch service group g_1

policy action accept disposition accept


policy rule r1 precedence 100 condition ok_c1 action accept

policy rule drop condition drop action deny

qos apply





Switch access control sample(특정한 Network)




policy service group tcp_group t21 t23 t80

policy condition drop destination network group Switch service group tcp_group

policy condition ok_access source ip 10.10.10.0 mask 255.255.255.0 destination network group Switch service group tcp_group

policy action accept


policy rule r1 precedence 10 condition ok_access action accept

policy rule deny condition drop action deny

qos apply




Part 14 : SNMP Configuration

SNMP Configuration

-> aaa authentication snmp "local"

: SNMP access 허용

-> snmp security no security

: security level을 정하는 command

BOP는 all SNMP(v1, v2, v3) 사용 가능

-> snmp community map mode enable

: access을 위한 local user database enable

-> user "a12345" read-write all password "a1234567" no auth

: SNMP query를 위한 read-write권한의 사용자 생성

-> snmp community map "public" user "a12345" on

: snmp community map과 사용자 설정

-> snmp station 156.146.93.100 162 "a12345" v3 enable

: account에 대한 snmp station 설정

-> snmp trap absorption enable

: trap table들의 activity을 위한 설정

-> snmp trap to webview enable

: Webview에서 참조하기 위해 trap설정




AVLAN 인증방식

- Telnet 인증 : Telnet program에서 ‘ telnet 192.168.12.253 259 ’으로 요청하면 login 절차를 진행한다.- HTTP 인증 : Web brower에서 URL을 다음과 같이 입력하면 " https://192.168.12.253

요청하면 login 절차를 진행한다.- Software 인증 : Alcatel Avlan client S/W를 이용한 login 절차를 진행한다.

802.1x- Port 기반의 Authentication Network

Binding Rule- Network 사용자에게 Rule을 적용해서 요건이 충족 할 시에만 Network 사용 가능하다.- Rule의 종류 : PORT-PROTOCOL, MAC-PORT-PROTOCOL, MAC-PORT, MAC-IP-PORT,

MAC-IP ,IP-PORT- 마찬가지로 G.M 기반의 기술이다.- 설정방법은 아래와 같다.

-> vlan 2 binding ip-port 192.168.11.200 slot/port : ip-port rule 적용하여 rule에 만족할 시 사용가능

-> show vlan rule : rule 설정확인 -> vlan 2 no binding ip-port 192.168.11.200 : binding rule의 삭제`


https://192.168.12.253/

https://192.168.12.253/




- Omniswitch에서는 Network Security를 위하여 802.1x 와 AVLAN, Binding rule을 지원한다.

Authentication VLAN- Authentication Sever에서 인증된 사용자에 한해서 Network 자원 접근이 가능하다.- Group Mobility 기술을 근간으로 처음에 사용자들은 Default Vlan에 속해 있다가 인증절차를 거치게 되면

해당 Vlan으로 이동하고 Network 접속이 가능하다.- 설정 순서는 아래와 같다.

-> vlan 99 : Vlan 생성 -> vlan 99 router ip 192.168.11.1 : Vlan 99 IP 설정 : VLAN 99에 RADIUS server를 연결

-> vlan 2 : authentication을 위한 VLAN 생성 -> ip interface vlan2 address 192.168.12.1 mask 255.255.255.0 vlan 2 : vlan 2 IP 설정 -> vlan port mobile slot/port : AVLAN 사용자들 port를 mobile port로 enable-> vlan port slot/port authenticate enable : AVLAN 사용자들 port를 Authenticated port로 enable-> vlan 2 authentication enable : Vlan 2를 authenticated Vlan으로 enable-> aaa radius-server "rserver" host 200.5.1.100 key 43b85916020505fe retransmit 4 timeout 2

auth-port 1812 acct-port 1813 : Switch에서 Radius server에 대한 설정 -> aaa authentication vlan single-mode rad1 : Single mode로 AVLAN 설정 -> aaa accounting vlan rad1 : Accounting 설정 : VLAN 2 사용자는 인증 절차를 거친 후에 Network에 접속가능






Switch의 점검 순서

1) Switch의 H/W 상태를 점검한다.

- show module, show cmm, show fan, show fabric(OS8800), show power

- Switch 외관상 LED 상태 점검(황색 LED 점등 여부)

2) Switch의 S/W 상태를 점검한다.

- show system : switch uptime, code version 확인

- ls로 /flash에 dump file 생성여부(PMD, Error)- show running-directory로 CMM의 동기화 여부 및 Running configuration이 working인지 확인

- show health, show health [slot#], show health all cpu등으로 Switch의 health 상태를 점검한다.

3) show log swlog를 이용해서 log를 확인한다.

4) show configuration snapshot으로 전체 config의 변화 유무를 확인한다.

5) Low Layer에서 High Layer로의 순서로 장애 원인을 찾는다.

- show interfaces slot/port로 해당 port에서 inbound/outbound packet이 증가하는지 또는

broadcast, unicast, multicast등의 증가 여부 등을 점검한다.

- show interfaces status로 Interface autonego/duplex등을 확인한다.

- show interfaces counters errors를 이용해서 Interface의 error등이 발생하는지 확인한다.

6) STP의 상태를 확인한다.

- show vlan port/show spantree port등을 통해서 정상적으로 blocking port가 생겼는지

- show spantree [num]을 이용해서 topology change, topology age등을 점검한다.

6 S i h Ch k





7) Routing table을 확인한다.

- Static routing : routing path 설정 확인

- RIP : rip version, rip router table확인

- OSPF : DR, BDR선정여부, Neighbor, LSDB등을 확인한다.

Switch에서 Packet Debug(Part 19 참조) 을 이용해서 Hello packet들의 상태를 점검한다.

8) 만약 S/W 문제라면 Up/downgrade를 신속하게 실시한다.

- 먼저 working directory에만 Up/downgrade를 실시해서 상태를 확인 후 정상적이면

working에서 certified로 복사하고 같은 증상이면 다시 원상 복귀 시킨다.

9) Virus의 영향인지 확인한다(Part 17 참조)

P 17 Vi Ch k





Switch에서의 Virus Check

1) ‘ show health ’를 이용한 전체 health와 ‘ show health all cpu ’을 이용한 module별 확인한다.

2) 만약 module 1에 CPU utilization이 높다면 ‘ show hre pcam utilization 1/0 ’명령어로

NI 1 module의 pcam utilization을 확인한다.

3) 각 mode에서 hash inuse와 coll inuse의 합이 pcam total인 16k에 network에 영향을 줄 수 있다.

-> show hre pcam utilization 1/0

HRE PCAM Utilization

Slot/ PCAM Hash Coll Max Avg

Slice Mode Total Inuse Inuse Depth Depth

-------+------+-------+-------+-------+-------+-------

1/0 0 16384 10574 5668 6 2

1/0 1 16384 2472 9830 19 5

1/0 2 16384 0 0 0 0

1/0 3 16384 1 0 1 1

P t 17 Vi Ch k




4) Switch의 packet debug을 이용해서 해당 packet을 확인한다.

아래의 명령에 의해서 10초간 packet을 Capture한다.

/flash에 test.txt란 file은 생성된다.

-> debug ip packet board all output file test.txt start timeout 10 (전체 CMM & NI)

-> debug ip packet board ni 1 output file test.txt start timeout 10 (NI 1 module)

5) ftp로 test.txt file을 PC로 가져와 확인한다.

아래에 sample을 보시면 실제로 445 port를 이용한 패턴임을 알 수 있다.

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.176.37.227 TCP 3577,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.176.37.227 TCP 3577,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.181.193.22 TCP 3578,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.181.193.22 TCP 3578,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.230.206.226 TCP 3582,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.230.206.226 TCP 3582,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.54.65.199 TCP 3579,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.54.65.199 TCP 3579,445

aos training

Documents