630 likes | 1.25k Views
AOS Training. Alcatel-Lucent - Enterprise Solutions Division. Agenda. Part 1 : Switch 기본 설정 Part 2 : Switch Booting Part 3 : Alcatel operating system Part 4 : Hardware 정보 확인 Part 5 : AOS Upgrade Part 6 : Switch 보안 Part 7 : VLAN Part 8 : 802.1q Part 9 : Spanning Tree
E N D
AOS Training Alcatel-Lucent - Enterprise Solutions Division
Agenda • Part 1 : Switch 기본 설정 • Part 2 : Switch Booting • Part 3 : Alcatel operating system • Part 4 : Hardware 정보 확인 • Part 5 : AOS Upgrade • Part 6 : Switch 보안 • Part 7 : VLAN • Part 8 : 802.1q • Part 9 : Spanning Tree • Part 10 : Link Aggregation • Part 11 : VRRP • Part 12 : Routing Protocol • Part 13 : Access Control List • Part 14 : QoS • Part 15 : SNMP Configuration • Part 16 : Network Security • Part 17 : Switch Check • Part 18 : LAB
Part 1 : Switch 기본 설정 • Switch 기본 설정 1. 기본 계정과 password User = admin Password = switch 2. Switch system time과 timezone 설정 ->system timezone kst ->system time HH:MM:SS ->system time-and-date synchro : CMM redundancy 구성인 경우 ->show system 3. Switch의 Reboot ->reload working no rollback-timeout 4. AAA 설정 - Web, telnet, ftp, etc. ->aaa authentication default local 5. Save configuration ->write memory -> show system System: Description: 6.1.1.645.R01 GA, February 02, 2006., Object ID: 1.3.6.1.4.1.6486.800.1.1.2.1.8.1.1, Up Time: 1 days 14 hours 6 minutes and 45 seconds, Contact: Alcatel Internetworking, www.alcatel.com/enterprise/en, Name: , Location: Unknown, Services: 72, Date & Time: WED MAR 14 2012 13:33:26 (GMT) Flash Space: Primary CMM: Available (bytes): 79794176, Comments : None Secondary CMM: Available (bytes): 76961792, Comments : None
Serial Connection Default Settings Console Cable Pinouts ( DB-9 to DB-9 Serial Cable) Part 1 : Switch 기본 설정 DB-9 to RJ-45 (OS9000, OS6800, OS6602)
Ethernet Cable Requirements Component LEDs Part 1 : Switch 기본 설정
Part 1 : Switch 기본 설정 CMM Module Status LEDs - OK1 : Hardware Status. - OK2: Software Status. - CONTROL : Solid green – Active, blinking green - standby - FABRIC : solid green - active - TEMP : green at 0-40°C, blinking amber at 40-45°C, and solid amber at over 45°C. - FAN : Solid green All fan tray OK - PSU : Solid green power OK - LINK : EMP port Link/Activity Status
Part 2 : Switch Booting • Directory 구성 • OS9000은 128MB의 flash Memory를 지원하며 /flash에는 /working, /certified 두개의 directory를 포함하고 Image rollback 기능을 위해 동시에 작동한다. (OS8800,OS7000, OS6600 : 32M OS6800 : 64M flash memory) • /flash/working과 /flash/certified가 완전하게 동일하다면, 스위치는 두 directory를 모두 신뢰할 수 있다고 판단하고 Switch는 /flash/working에서 작동한다 • Booting 시 /flash/working와 /flash/certified가 조금이라도 다르면, 스위치는 자동적으로 /flash/certified에서 작동하게 된다. • Switch가 /flash/working directory에서 작동할 때, 변경된 설정 값은 write memory 명령으로 /flash/working /boot.cfg에 저장한다. • Directory 구조
Part 2 : Switch Booting • Directory 확인 -> show running-directory CONFIGURATION STATUS Running CMM : PRIMARY, CMM Mode : DUAL CMMs, Current CMM Slot : A, Running configuration : WORKING, Certify/Restore Status : CERTIFIED SYNCHRONIZATION STATUS Flash Between CMMs : SYNCHRONIZED, Running Configuration : SYNCHRONIZED, NIs Reload On Takeover : NONE • Configuration 초기화 /flash/working 디렉토리에서 boot.cfg를 삭제 후 아래의 명령어로 reload한다. -> reload working no rollback-timeout • CMM의 동기화 Working directory와 certified directory의 동기화 -> copy working certified Primary CMM과 Secondary CMM의 동기화 -> copy working certified flash-synchro -> show running-directory CONFIGURATION STATUS Running CMM : PRIMARY, CMM Mode : DUAL CMMs, Current CMM Slot : A, Running configuration : WORKING, Certify/Restore Status : CERTIFY NEEDED SYNCHRONIZATION STATUS Flash Between CMMs : NOT SYNCHRONIZED, Running Configuration : SYNCHRONIZED, NIs Reload On Takeover : ALL Nis (RUNNING Directories OUT-OF-SYNC)
Part 3 : Alcatel operating system - Switch를 설정하는 방법은 SNMP, CLI, Webview의 3가지 방법이 있고 그 중에서 CLI에 관하여 알아본다. • CLI help - ‘? ’ 를 이용하면 사용 가능한 명령어가 표시된다. - ‘vlan ?’와 같이 입력하면 다음에 사용 가능한 명령어가 표시된다. - ‘po? ’와 같이 입력하면 po로 시작하는 모든 명령어를 표시한다. - <TAB>를 이용하면 중복되는 명령어가 없다면 자동으로 명령어를 채운다. • CLI Line Editor & History - ‘!! ’의 명령어는 마지막에 사용한 명령어를 표시 해준다. - 여러 개의 명령어는 편집해서 한꺼번에 적용 가능하다. - ‘show history’로 전에 사용한 명령어의 List를 출력한다. - ‘!# ’ (‘#’ = command number)로 전에 사용한 명령어를 선택할 수 있다. • Directory Structure - Switch는 Unix의 기본 command가 사용 가능하다. pwd– show current directory. cd– change directory. mkdir– create a new directory. ls– list contents of a directory. mv– move a file. cp– copy a file. rm– remove a file. rls /flash– SecCMM의 list확인 rcp /flash/file name /flash/file name – SecCMM의 file을 PriCMM으로 copy
Part 3 : Alcatel operating system • Configuration Basic - Omniswitch의 Configuration은 3개의 다른 version이 있다. 그것은 Working, Certified, 그리고 Running version이다. - Switch가 boot parameter에 의해 부팅할 때 그것은 working 혹은 certified directory로부터 부팅 할 것이다. - 일단 Directory로 중 한가지로 부팅하면 Configuration은 Running Configuration이 된다. Running Configuration - ‘vlan 2’, ‘vlan 3’, ‘vlan 4’등 몇 개의 vlan을 생성하면 그 것은 Running Configuration에 만들어 진 것이다. - 변경된 설정은 바로 적용된다. 그러나 완전히 저장된 것은 아니다. - ‘reload working no rollback-timeout’으로 reboot 한 후에 ‘show vlan’으로 확인 해보면 vlan은 생성되지 않았다. 왜냐하면 Running Configuration에서 변경된 설정 flash memory에 저장되지 않았기 때문이다. Working Directory - ‘vlan 2’, ‘vlan 3’, ‘vlan 4’를 생성하고 ‘configuration snapshot all snap1’을 이용해서 Running Configuration 전체를 snap1이라는 ascii file로 저장할 수 있다. - ‘write memory’를 이용해서 Running Configuration을 Working Directory의 boot.cfg에 저장한다. 같은 명령어로 ‘copy running-config working’사용 가능하다. - ‘cp snap1 /flash/working/boot.cfg’의 명령어로 미리 저장한 Running Configuration file을 boot.cfg에 저장 할 수 있다.
Part 3 : Alcatel operating system Certified Directory - ‘reload’의 명령어로 reboot하면 Switch는 certified directory로 부팅한다. - 변화된 설정을 certified directory로 저장하지 않았기 때문에 Certified로 부팅한 것이다. - Certified로 부팅한 상태에서는 설정한 내용이 저장되지 않는다. 이 경우에는 Running directory를 working Directory로 만들어야 write memory의 명령어로 통해서 변경된 설정을 저장할 수 있다. - Running directory를 working directory로 만들려면 ‘reload working no rollback-time’를 이용해서 Working directory로 부팅한 다음 ‘copy working certified’로 두 Directory를 동기화 시킨다. - 만약 certified의 설정이 문제가 없다면 ‘copy certified working ’으로 동기화도 가능하다 Configuration Snapshot - ‘show configuration snapshot all’의 Snapshot 기능을 이용해서 전체 Current running configuration을 확인 가능하다. - ‘configuration snapshot all snapall’로 snapall이라는 file로 전체 configuration을 저장하고 snapall이라는 file을 view에서 확인하고 그리고 vi를 이용해서는 편집이 가능하다.
Part 4 : Hardware 정보 확인 • Gathering Switch Information - show hardware info : Information on CPU, Memory, Miniboot. - show microcode : Code descriptions and versions. - show microcode history : List of upgrade path. - show chassis : Chassis type and part numbers. - show cmm : Processor and fabric board information. - show ni : Networking interface information. - show power : Power supply information. - show fan : Fan Information. - show temperature : Temperature and temperature threshold. • CMM Redundancy - show cmm - reload secondary - reload primary - Primary CMM의 failover 시 실제 사용중인 Packet에 영향은 없다. - ‘copy flash-synchro ’의 명령어로 Primary CMM의 Working, Certified directory를 Secondary CMM의 Working, Certified directory로 동기화 시킬 수 있다.
Part 4 : Hardware 정보 확인 • Ethernet Port Configuration - Show interfaces slot/port : Tells whether the port is active or not. - Interfaces slot/port duplex [half,full,auto] : Sets the duplex mode. - Interfaces slot/port speed [10,100,1000,auto] : Sets the speed. - Interfaces slot/port admin [up,down] : enable or disable a port. - Show interfaces slot/port accounting : gather frame statistics. - Show interfaces slot/port counters : gather error and frame counts. - interfaces slot/port no l2 statistics : interface count clear. • Hot swap / Reset - 전체 Module은 Hot swap 가능하다. • Ni Power - no power ni [slot #] : NI module의 power down. - power ni [slot #] : NI module의 power restore.
Part 5 : AOS Upgrade • AOS Upgarde - Ominswitch는 zmodem과 ftp 두가지 방법으로 switch로 Image를 복사할 수 있다. - Ftp는 EMP port와 IP 설정한 NI에서 가능하다. - 다음의 명령어로 Version을 확인한다. -> show microcode loaded -> show microcode working -> show microcode certified - ‘show microcode working’의 출력은 아래와 같다. -> show microcode working Package Release Size Description ---------+--------------+--------+----------------------------------- Jbase.img 6.1.1.534.R01 10927002 Alcatel Base Software Jos.img 6.1.1.534.R01 1843725 Alcatel OS Jadvrout.img 6.1.1.533.R01 1383444 Alcatel Advanced Routing Jeni.img 6.1.1.534.R01 3625441 Alcatel NI software
아래는 Omniswitch OS9000에 대한 image 목록이다. - OS9000(Fuji)은 Jos.img로 OS8800(Eagle)은 Eos.Img, OS7000(Falcon)은 Fos.img OS6600(Hawk)은 Hos.img, OS6800(Kite)은 Kos.img로 시작한다 Part 5 : AOS Upgrade
Part 5 : AOS Upgrade • EMP Port Parameter 변경 - EMP Port의 Default IP Address는 192.168.1.1 / 255.255.255.0 이다. - Vlan router ip는 EMP IP Address와 동일 한 IP를 설정할 수 없다. - EMP Port의 IP 변경 시에는 아래의 순서로 진행한다. modify boot parameters : modify boot parameter menu로 들어간다. boot empipaddr 10.1.1.1 : EMP IP address 설정 boot empnetmask ffffff00 : Mask 설정 Show : 현재 설정 값 확인 commit system : Running system에 설정 값을 저장 commit file : NVRAM에 설정 값을 저장해서 reboot시에도 저장 가능하게 한다. Exit : System prompt로 나간다. - IP 설정을 PC와 맞춘 다음 EMP Port와는 crossover cable로 연결한다. - EMP로 PC 연결 시 ACL의 Policy에 영향 받지 않는다.
Part 5 : AOS Upgrade • Console / zmodem - Switch의 Console에 PC를 연결 후 ‘cd ’를 이용해서 원하는 Directory로 이동한다. - Prompt에서 ‘rz ’입력 후 PC의 Terminal Program에서 zmodem을 이용해서 file을 전송한다. - zmodem을 이용 하는 것 보다는 FTP를 이용하는 것이 보다 빠르게 Image를 전송할 수 있다. • AOS upgrade - FTP를 이용한 upgrade 방식(EMP 사용가능) - 아래의 순서로 upgrade 진행 -> show system : version 확인 -> cd working : working directory로 이동 -> ls : file 확인 -> rm *.img : 전체 image 삭제, boot.cfg는 삭제하지 않음 PC에서 switch로 ftp 접속, binary로 /flash/ working로 전송 -> install *.img : 새로운 image install -> reload working no rollback-timeout : working directory로 reload -> copy working certified : version 및 정상동작 확인 후 동기화 ->copy flash-synchro : CMM간의 동기화
Part 6 : Switch 보안 • Switch Login 계정의 확인 및 생성 - ‘show user’로 Switch에 생성된 계정을 확인 할 수 있다. - 기본적으로 admin, default 두 개의 계정이 생성되어 있고 그 중에 default 계정은 기본적으로는 Switch에 접속할 수 없는 Permission이다. -> show user User name = admin Read right = 0xffffffff 0xffffffff, Write right = 0xffffffff 0xffffffff, Read for domains = All , Write for domains = All , Snmp not allowed User name = default Read right = 0x00000000 0x00000000, Write right = 0x00000000 0x00000000, Read for domains = None , Write for domains = None , Snmp authentication = NONE, Snmp encryption = NONE Full Read/Write Permission No Read/Write Permission
Part 6 : Switch 보안 - 다음과 같이 사용자 계정을 추가할 수 있다. -> user userread password 123456 read-only all : Read 권한만 가진 User ‘userread’생성 -> user userwrite password 123456 read-write all : Read-write 권한을 가진 User ‘userwrite’생성 • Partition Management - Partition Management User 별로 Access 할 수 있는 기능을 제한 할 수 있다. -> user userread read-only domain-layer2 : User ‘userread’는 Layer2 기능만 Read 할 수 있다. -> user userwrite read-write vlan : User ‘userwrite’는 Vlan에 대해서만 Read-write할 수 있다. -> user userwrite read-write ? : Option을 ?로 확인하면 많은 Option을 확인 가능하다. • Authenticated Switch Access - ASA가 Switch를 설정 가능한 사용자들을 제한할 수 있는 능력을 제공한다. - Switch Longin인 시도는 RADIUS, LDAP, 또는 ACE-서버와 같은 Local database 또는 remote database를 경유하여 인증 받을 수 있습니다. - ASA는 Telnet, FTP, SNMP, SSH, HTTP, 그리고 console과 modem port들에 적용됩니다. - ‘show aaa authentication’ : Switch internal database authentication 확인 - ‘no aaa authentication telnet’ : Telnet access의 disable
Part 7 : VLAN - ' show vlan port ' : Vlan에 assign된 port list -> show vlan port vlan port type status ----+-----+----+------- 1 2/1 default forwarding 1 2/2 default inactive 1 2/3 default inactive : : 1 2/24 default inactive - 새로운 vlan 생성 -> vlan 2 - vlan에 port assign (untag frame) -> vlan 2 port default slot/port • Vlan Configuration - 처음에는 Default vlan1만 존재하며 모든 port는 vlan1에 할당되어 있음 - ' show vlan ' : Vlan basic information -> show vlan vlan admin oper stree auth ip ipx name ----+-----+----+-----+----+--+---+----- 1 on on on off off off VLAN 1 - ' show vlan 1 ' : Vlan 1의 information -> show vlan 1 Name : VLAN 1, Administrative State: enabled, Operational State : enabled, Spanning Tree State : enabled, Authentication : disabled, IP Router Port : none, IPX Router Port : none
Part 7 : VLAN - vlan에 port assign -> vlan 10 port default slot/port • Vlan IP Configuration - Multi-netting 기능 지원 - 한 개의 vlan에 여러 개의 ip interface를 적용가능(최대 8개) - vlan 생성 -> vlan 10 - vlan에 ip 할당 -> ip interface vlan-10 address 10.10.10.1/24 vlan 10 : vlan10이라는 name으로 해당 ip를 지정하고 vlan10에 할당 - vlan에 다른 ip 할당 -> ip interface vlan-11 address 10.10.11.1/24 vlan 10 -> ip interface vlan-12 address 10.10.12.1/24 vlan 10 - vlan에 할당된 ip 확인 -> show ip interface Total 9 interfaces Name IP Address Subnet Mask Status Forward Device -----------+-------------+-------- ---+-----+------+-------- EMP 192.168.1.1 255.255.255.0 DOWN NO EMP Loopback 127.0.0.1 255.0.0.0 UP NO Loopback vlan-10 10.10.10.1 255.255.255.0 DOWN NO vlan 10 vlan-11 10.10.11.1 255.255.255.0 DOWN NO vlan 10 vlan-12 10.10.12.1 255.255.255.0 DOWN NO vlan 10
Part 7 : VLAN • - ‘show vlan port’로 확인하면 G.M 사용 시 type이 • mobile로 표시되고 한 개의 mobile port에서 여러 개의 • Vlan이 올라 오는것을 확인할 수 있다. • -> show vlan port • vlan port type status • ---+-----+------+------- • 1 3/1 default forwarding • 1 3/2 default inactive • 3 9/3 mobile forwarding • 4 9/3 mobile forwarding • 3 9/5 mobile forwarding • - Network Rule 설정 • -> vlan 2 ip 192.168.10.0 255.255.255.0 • -> show vlanrule • Legend: type: * = binding rule • type vlan rule • ---------+------+---------------------- • ip-net 2 192.168.11.0, 255.255.255.0 • Group Mobility - Group Mobility란 port가 한 개의 Vlan에 Assign되는것이 아니라 처음에는 default vlan에 속해 있다가 사용자가 설정한 Network에 의해서 해당 Vlan으로 Dynamic하게 이동하는 기술이다. - 사용자는 이동 시 IP를 변경하지 않고 Network이 사용이 가능하다. - Port에 대해서 mobile port로 설정 -> vlanport mobile slot/port -> show vlanport mobile 2/24 -> show vlan port mobile 2/24 Mobility : on, Dynamic Default Vlan: 0, Config Default Vlan: 2, Default Vlan Enabled: on, Default Vlan Perm : off, Default Vlan Restore: on, Authentication : off, Ignore BPDUs : off
Part 7 : VLAN - vlan port mobile 1/1 bpdu ignore enable : bpduignore 설정 필요 - vlan port 9/1 default vlan restore disable : mobile port에 Switch 연결 시 위의 설정 필요
Part 8 : 802.1q - 802.1q란 한 개의 물리적 Link에 Multiple broadcast domain(Tag frame)을 실어 여러 Vlan을 사용하는 기능이다. - 각각의 Switch에서 같은 Vlan을 사용하고자 할 경우 사용한다. • 802.1q 설정 -> vlan 4 802.1q 3/4 : vlan 4를 3/4에 설정 -> vlan 50 no 802.1q 3/1 : 802.1q 삭제 -> show vlanport : type이 qtagged인지 확인 -> 반대쪽 Switch에도 같은 설정을 해야 한다. -> show vlan port : Vlanport 확인 시 type이 qtagged로 표시된다. vlan port type status ----+-------+---------+------ 50 3/1 qtagged forwarding 203 1/21 default inactive -> 802.1q Network도 STP에 포함된다.
Part 9 : Spanning Tree • Spanning Tree Protocol - Default로 Multiple STPenable - 802.1D와 802.1W(fast spantree), 802.1s 지원 -> bridge mode 1x1 : Multiple STP -> bridge mode FLAT : Single STP -> bridge 101 priority 1 : root bridge로 지정 -> bridge 101 protocol 1d : Default 상태 -> bridge 101 protocol 1w : 802.1w 설정 -> bridge 101 1/1 path cost 100 : path cost 수정 -> show spantree - Default path cost 값 : 10Gbps = 2 : 1Gbps = 4 : 100Mbps = 19 : 10Mbps = 100 -> show vlan port vlan port type status ----+----+------+------ 10 1/2 default forwarding 10 2/1 default blocking -> show spantree 10 Spanning Tree Parameters for Vlan 10 Spanning Tree Status : ON, Protocol : IEEE 802.1D, mode : 1X1 (1 STP per Vlan), Priority : 32768 (0x0001), Bridge ID : 0001-00:d0:95:8e:46:a2, Designated Root : 0001-00:d0:95:4d:02:84, Cost to Root Bridge : 4, Root Port : 1/1, Next Best Root Cost : 23, Next Best Root Port : 1/24, Hold Time : 1, Topology Changes : 21, Topology age : 3:35:54 Current Parameters (seconds) Max Age = 20, Forward Delay = 15, Hello Time = 2 Parameters system uses when attempting to become root System Max Age = 20, System Forward Delay = 15, System Hello Time = 2
Part 10 : Link Aggregation - Link Aggregation은 회선의 Bandwidth 확장 및 회선 장애 시 신속한 takeover가 가능하다. - Omni switch의 Link Aggregation은 Omnichannel(static)과 LACP(802.3ad) 두 가지를 지원한다. - OS9000은 최대 32 Group, Group당 최대 8 port의 Aggregation은 지원한다. • Link Aggregation – Static -> static linkagg 1 size 2 admin state enable: linkagg ID는 1이고 port 2개를 Aggregation한다. -> static agg 1/1 agg num 1 : 1/1과 1/2를 Aggregation한다. Switch상에서는 0/1으로 한 개의 Port로 인식한다. -> static agg 1/2 agg num 1 -> vlan 2 port default 1 -> show linkagg -> show linkagg 5 -> show linkagg port • Link Aggregation – Dynamic -> lacp linkagg 1 size 2 actor admin key 1 -> lacp agg 1/1 actor admin key 1 -> lacp agg 1/2 actor admin key 1 -> vlan 2 port default 1
Part 11 : VRRP • VRRP 설정 - Active switch에서 다음과 같이 설정한다. -> vrrp 1 200 : Vrrp ID,Van ID 설정 -> vrrp 1 200 ip 200.200.200.1 : Virtual IP 설정 -> vrrp 1 200 priority 200 : Priority가 높으면 VRRP Master가 된다. -> vrrp 1 200 enable : VRRP enable -> show vrrp 1 : VRRP 상태 확인 -> show vrrp statistics - Backup switch에서 다음과 같이 설정한다. -> vrrp 1 200 : Vrrp ID,Van ID 설정 -> vrrp 1 200 ip 200.200.200.1 : Virtual IP 설정 -> vrrp 1 200 priority 100 : Priority가 낮으면 VRRP Backup이 된다. -> vrrp 1 200 enable : VRRP enable
Part 12 : Routing Protocol • Static Routing 설정 - Static Routing은 다음과 같이 설정한다. -> ip static-route 192.168.10.0 mask 255.255.255.0 gateway 10.10.10.1 - Default gateway은 다음과 같이 설정한다. -> ip static-route 0.0.0.0 mask 0.0.0.0 gateway 203.229.229.1 - Routing table을 확인하는 명령어는 다음과 같다. : Protocol이 NETMGMT라고 표시되는 경우가 static routing을 설정한 경우이다. -> show ip route + = Equal cost multipath routes Total 7 routes Dest Address Subnet Mask Gateway Addr Age Protocol ------------------+--------+-------------+---------+----------- 0.0.0.0 0.0.0.0 203.229.229.1 16:32:51 NETMGMT 10.10.10.0 255.255.255.0 10.10.10.2 4d22h LOCAL 127.1.0.0 255.255.0.0 127.1.65.0 6d 1h LOCAL 192.168.10.0 255.255.255.0 10.10.10.1 00:00:02 NETMGMT
Part 12 : Routing Protocol • Dynamic Routing – RIP 설정 - Omniswitch는 RIP V1과 RIP V2를 지원한다. -> ip load rip : RIP Demon을 load한다. -> ip rip interface 104.2.71.4 : RIP Interface 설정 -> ip rip interface 104.2.71.4 status enable : RIP Interface Status enable -> ip rip interface 10.10.10.1 send-version v1(v2) : RIP Send Version 설정 -> ip rip interface 10.10.10.1 recv-version v1(v2) : RIP Receive Version 설정 -> ip rip redist LOCAL : Local Network에 대한 Redist 설정 -> ip rip redist STATIC : StaticNetwork에 대한 Redist 설정 -> ip rip redist-filter LOCAL 0.0.0.0 0.0.0.0 : Local Network 전체를 Redist으로 설정 -> ip rip redist-filter STATIC 0.0.0.0 0.0.0.0 : StaticNetwork 전체를 Redist으로 설정 -> ip rip status enable : RIP Status enable -> ip rip redist status enable : RIP Redist Status enable
Part 12 : Routing Protocol -> show ip route : Protocol이 Rip으로 올라 오는지 확인 + = Equal cost multipath routes Total 70 routes Dest Address Subnet Mask Gateway Addr Age Protocol -------------+---------------+-----------------+--------+----------- 0.0.0.0 0.0.0.0 166.104.192.254 00:14:15 NETMGMT 127.0.0.1 255.255.255.255 127.0.0.1 00:15:50 LOCAL 166.104.0.6 255.255.255.255 166.104.192.252 00:14:10 RIP 166.104.184.0 255.255.255.0 166.104.192.8 00:12:10 RIP -> show ip rip interface : RIP Interface 확인 -> show ip rip route : RIP Route 확인
Part 12 : Routing Protocol - OSPF Routing은 다음과 같이 설정한다. -> ip router router-id 200.200.200.200 : Router ID가 가장높은 것이 DR이 된다. -> ip load ospf : OSPF Demon enable -> ip ospf area 0.0.0.0 : OSPF area ID 설정 -> ip ospf area 0.0.0.0 status enable : OSPF area status eable -> ip ospf interface 100.100.100.1 : ospf interface 생성 -> ip ospf interface 100.100.100.1 area 0.0.0.0 : 각 Interface에 OSPF area 설정 -> ip ospf interface 100.100.100.1 status enable : ospf interface status eable -> ip ospf asbr : asbr설정(redist router에 설정) -> ip ospf redist LOCAL : Local Network에 대한 redist -> ip ospfredist STATIC : StaticNetwork에 대한 Redist 설정 -> ip ospf redist-filter LOCAL 0.0.0.0 0.0.0.0 : Local Network 전체를 Redist으로 설정 -> ip ospf redist-filter STATIC 0.0.0.0 0.0.0.0 : StaticNetwork 전체를 Redist으로 설정 -> ip ospf redist status enable -> ip ospf status enable
Part 12 : Routing Protocol -> show ip route : ECMP 생성의 예 + = Equal cost multipath routes Total 26 routes Dest Address Subnet Mask Gateway Addr Age Protocol -------------+----------- -+-------------+------+----------- 158.44.3.0 255.255.255.0 +158.44.4.4 1d23h OSPF +158.44.9.1 1d23h OSPF 158.44.4.0 255.255.255.0 158.44.4.1 1d23h LOCAL -> show ip ospf interface : DR과 BDR 선정 확인 show ip ospf interface IP DR Backup DR Admin Oper Address Address Address Vlan Status Status State ------------+-------------+-------------+----+--------+------+------- 156.147.76.38 156.147.76.41 156.147.76.33 501 enabled up DRother 156.147.76.70 156.147.76.65 156.147.76.73 502 enabled up DRother -> show ip ospf neighbor: Neighbor 상태 확인 IP Address Area Id Router Id Vlan State Mode ------------+----------+----------------+----+-------+-------- 156.147.76.33 0.0.0.0 200.200.200.200 501 Full Slave 156.147.76.34 0.0.0.0 60.60.60.60 501 2way Slave
Part 13 : Access Control List - ACL의 삭제는 rule, action condition의 순서로 삭제한다. 그리고 반드시 마지막에 qosapply 해 주어야 적용된다. - 전체 qos config 삭제시는 qos flush후 qos apply • Layer2 ACL policy condition toMAC3 destination mac 00:00:00:00:00:03 policy action deny disposition drop policy rule r1 condition toMAC3 action deny qos apply • Layer3 ACL policy condition fromIP1toIP3 source ip 10.0.0.100 destination ip 192.0.0.0 mask 255.0.0.0 policy action deny disposition deny policy rule r1 condition fromIP1toIP3 action deny qos apply • Layer4 ACL policy service t445 destination tcp port 445 policy service t135 destination tcp port 135 policy service group tcp_group t445 t135 policy condition c1 service group tcp_group policy action deny disposition deny policy rule r1 condition c1 action deny qos apply
Part 13 : Access Control List - NEW ACL Features • UserPorts Group Policy - IP address spoofing 방지 - Uplink & Rouing 구간에는 적용 불가 - policy port group UserPorts 1/1-12 ->show ip traffic Datagrams received ------------------------+------------ Total 9260274 IP header error 0 Destination IP error 0 : : Fragment failed 0 Fragments generated 0 Event Source Total Last 1 seconds ---------------------------+------------------------ spoof 1/2 2538258 1223 last mac 00:10:a4:97:d0:e8
Part 13 : Access Control List • DropServices Group ACL policy service t445 destination tcp port 445 policy service group DropServices t445 policy port group portgroup 1/1-12 policy condition c1 source port group portgroup service group DropServices policy action drop disposition drop policy rule r1 condition c1 action drop qos apply • ICMP Drop Rules policy condition ping10 source vlan 10 ip protocol 1 policy action drop disposition drop policy rule noping10 condition ping10 action drop
Part 13 : Access Control List • Switch Access Control Sample - IP가 10.10.10.100을 제외한 모든 IP에 대해서 Switch로 TCP 23,21,80 접속을 차단 policy service t1 protocol 6 destination tcp port 23 policy service t2 protocol 6 destination tcp port 21 policy service t3 protocol 6 destination tcp port 80 policy service group g_1 t1 t2 t3 policy condition drop destination network group Switch service group g_1 policy condition ok_c1 source ip 10.10.10.100 destination network group Switch service group g_1 policy action accept disposition accept policy action deny disposition deny policy rule r1 precedence 100 condition ok_c1 action accept policy rule drop condition drop action deny qos apply
Part 14 : QoS • ACL과 마찬가지로 Condition, Action, Rule로 구성이 된다. • QoS Policies • Classification on L1/L2/L3/L4 (IPV6 support in future release) • Enqueuing in one of the 8 COS queues • Actions • Drop frames • Change queuing priority • Update TOS/Diffserv and/or 802.1P priority tags • 802.1p/TOS/Diffserv marking • 802.1p/TOS/Diffserv mapping • Per COS max bandwidth (64K bps) • Statistics (# of packets, # of bytes) • Ingress policing / Egress shaping • Multi-actions support
Part 14 : QoS • OS-9000 HW Classification - One Packet Processor per Module Field-1 Field-2 - Ingress Port Bitmap- Src-port & Dest-port- TCP/UDP src & dst- Outer & inner VID- Ethertype & Outer VID- Ethertype & IP Protocol- Lookup Status - IP-SA, IP-DA, IP-Prot, L4 src, L4 dst, DSCP, IP-Flag, TCP-Control, TTL- IP-SA, IP-DA, IP-Prot, L4 Range, L4 dst, DSCP, IP-Flag, TCP-Control, TTL- IP-SA, IP-DA, IP-Prot, L4 src, L4 Range, DSCP, IP-Flag, TCP-Control, TTL- IPv6-SA- IPv6-DA- IPv6-DA (64b prefix), NH, TC, FL, TTL, TCP Control- MAC-DA, MAC-SA, Ethertype, Outer VID- MAC-SA, IP-SA, Ethertype, Outer VID- MAC-DA, IP-DA, Ethertype, Outer VID- User Defined 1 (4 x 4 Bytes – among the 1st 128 Bytes)- User Defined 2 (4 x 4 Bytes – among the 1st 128 Bytes) Field-3 - IP-Info, Opcode, Format- Src-port- Dest-port- Lookup Status
Part 14 : QoS • QoS Sample policy condition c_80 destination tcp port 80 policy condition c_dscp dscp 63 policy condition c_ip source ip 10.0.0.1 policy action a_80 tos 4 policy action a_dscp tos 5 policy action a_ip tos 6 policy rule r_ip condition c_ip action a_ip policy rule r_dscp condition c_dscp action a_dscp policy rule r_8- condition c_80 action a_80 qos port 5/1 trusted
Part 15 : SNMP Configuration • SNMP Configuration -> aaa authentication snmp "local" : SNMP access 허용 -> snmp security no security : security level을 정하는 command BOP는 all SNMP(v1, v2, v3) 사용 가능 -> snmp community map mode enable : access을 위한 local user database enable -> user "a12345" read-write all password "a1234567" no auth : SNMP query를 위한 read-write 권한의 사용자 생성 -> snmp community map "public" user "a12345" on : snmp community map과 사용자 설정 -> snmp station 156.146.93.100 162 "a12345" v3 enable : account에 대한 snmp station 설정 -> snmp trap absorption enable : trap table들의 activity을 위한 설정 -> snmp trap to webview enable : Webview에서 참조하기 위해 trap 설정
Part 16 : Network Security • AVLAN 인증방식 - Telnet 인증 : Telnet program에서 ‘telnet 192.168.12.253 259’으로 요청하면 login 절차를 진행한다. - HTTP 인증 : Web brower에서 URL을 다음과 같이 입력하면 " https://192.168.12.253 "요청하면 login 절차를 진행한다. - Software 인증 : Alcatel Avlan client S/W를 이용한 login 절차를 진행한다. • 802.1x - Port 기반의 Authentication Network • Binding Rule - Network 사용자에게 Rule을 적용해서 요건이 충족 할 시에만 Network 사용 가능하다. - Rule의 종류 : PORT-PROTOCOL, MAC-PORT-PROTOCOL, MAC-PORT, MAC-IP-PORT, MAC-IP ,IP-PORT - 마찬가지로 G.M 기반의 기술이다. - 설정방법은 아래와 같다. -> vlan 2 binding ip-port 192.168.11.200 slot/port : ip-port rule 적용하여 rule에 만족할 시 사용 가능 -> show vlan rule : rule 설정확인 -> vlan 2 no binding ip-port 192.168.11.200 : binding rule의 삭제
Part 16 : Network Security - Omniswitch에서는 Network Security를 위하여 802.1x 와 AVLAN, Binding rule을 지원한다. • Authentication VLAN - Authentication Sever에서 인증된 사용자에 한해서 Network 자원 접근이 가능하다. - Group Mobility 기술을 근간으로 처음에 사용자들은 Default Vlan에 속해 있다가 인증절차를 거치게 되면 해당 Vlan으로 이동하고 Network 접속이 가능하다. - 설정 순서는 아래와 같다. -> vlan 99 : Vlan 생성 -> vlan 99 router ip 192.168.11.1 : Vlan 99 IP 설정 -> VLAN 99에 RADIUS server를 연결 -> vlan 2 : authentication을 위한 VLAN 생성 -> vlan 2 router ip 192.168.12.1 : Vlan 2 IP 설정 -> vlan port mobile slot/port : Avlan 사용자들 port를 mobile port로 enable -> vlan port slot/port authenticate enable : Avlan 사용자들 port를 Authenticated port 로 enable -> vlan 2 authentication enable : Vlan 2를 authenticated Vlan으로 enable ->aaa radius-server "rserver" host 200.5.1.100 key 43b85916020505fe retransmit 4 timeout 2 auth-port 1812 acct-port 1813 : Switch에서 Radius server에 대한 설정 -> aaa authentication vlan single-mode rad1 : Single mode로 Avlan 설정 -> aaa accounting vlan rad1 : Accounting 설정 -> Vlan 2 사용자는 인증 절차를 거친 후에 Network에 접속가능
Part 17 : Switch Check • Switch의 점검 순서 1) Switch의 H/W 상태를 점검한다. - show module, show cmm, show fan, show fabric(OS8800), show power - Switch 외관상 LED 상태 점검(황색 LED 점등 여부) 2) Switch의 S/W 상태를 점검한다. - show system : switch uptime, code version 확인 -ls로 /flash에 dump file 생성여부(PMD, Error) - show running-directory로 CMM의 동기화 여부 및 Running configuration 이 working인지 확인 - show health, show health [slot#], show health all cpu등으로 Switch의 health 상태를 점검한다. 3) show log swlog를 이용해서 log를 확인한다. 4) show configuration snapshot으로 전체 config의 변화 유무를 확인한다. 5) 하위 Layer에서 상위Layer로의 순서로 장애 원인을 찾는다. - show interfaces slot/port로 해당 port에서 inbound/outbound packet이 증가하는지 또는 broadcast, unicast, multicast등의 증가 여부 등을 점검한다. - show interfaces status로 Interface autonego/duplex등을 확인한다. - show interfaces counters errors를 이용해서 Interface의 error등이 발생하는지 확인한다. 6) STP의 상태를 확인한다. - show vlanport/show spantree port등을 통해서 정상적으로 blocking port가 생겼는지 - show spantree [num]을 이용해서 topology change, topology age등을 점검한다.
Part 17 : Switch Check 7) Routing table을 확인한다. - Static routing : routing path 설정 확인 - RIP : rip version, rip router table확인 - OSPF : DR, BDR선정여부, Neighbor, LSDB등을 확인한다. Switch에서 Packet Debug(Part 19 참조) 을 이용해서 Hello packet들의 상태를 점검한다. 8) 만약 S/W 문제라면 Up/downgrade를 신속하게 실시한다. - 먼저 working directory에만 Up/downgrade를 실시해서 상태를 확인 후 정상적이면 working에서 certified로 복사하고 같은 증상이면 다시 원상 복귀 시킨다. 9) Virus의 영향인지 확인한다
Part 17 : Switch Check 1) Switch의 packet debug을 이용해서 해당 packet을 확인한다. 아래의 명령에 의해서 10초간 packet을 Capture한다. /flash에 test.txt란 file은 생성된다. -> debug ip packet board all output file test.txt start timeout 10 (전체 CMM & NI) -> debug ip packet board ni 1 output file test.txt starttimeout 10 (NI 1 module) 2) ftp로 test.txt file을 PC로 가져와 확인한다. 아래에 sample을 보시면 실제로 445 port를 이용한 패턴임을 알 수 있다. 8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.176.37.227 TCP 3577,445 8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.176.37.227 TCP 3577,445 8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.181.193.22 TCP 3578,445 8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.181.193.22 TCP 3578,445 8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.230.206.226 TCP 3582,445 8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.230.206.226 TCP 3582,445 8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.54.65.199 TCP 3579,445 8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.54.65.199 TCP 3579,445
Part 18 : LAB - 1 • LAB – 1 1) Backbone#1과 Backbone#2 사이에는 Link aggregation을 구성하여 Bandwidth를 확장 시킨다. 2) Vlan 10, 20을 전체 Switch에서 사용 가능 해야 한다. 3) Vlan 10, 20은 VRRP로 구성하여 Gateway를 Backup한다. 4) Workgroup의 Traffic은 OS7800#1,2로 분산 시킨다. 5) STP는 802.1w로 구성한다. 6) Backbone#1 Power Down 후 VRRP 상태를 확인한다. Backbone#1 Backbone#2 vlan 10 10.10.10.1/24 Linkagg 2 port vlan 10 10.10.10.2/24 vlan 20 10.10.20.2/24 vlan 20 10.10.20.1/24 802.1q Vlan10,20 VRRP 10.10.10.254 10.10.20.254 802.1q Vlan10,20 802.1q Vlan10,20 vlan 10 10.10.10.3/24 vlan 20 10.10.20.3/24 Workgroup LAB - 1 구성도
Part 18 : LAB - 2 • LAB – 2 1) Backbone#1과 Backbone#2 사이에는 Link aggregation을 구성하여 Bandwidth를 확장 시킨다. 2) OSPF 구간은 각각 별도의 Network으로 구성한다. 3) OSPF Area는 Backbone Area로 구성한다. 4) Local Network은 Redistribution으로 구성한다. 5) OSPF Interface / Neighbor 상태를 확인한다. 5) Routing table을 확인한다. vlan 60 10.10.60.1/24 Workgroup vlan 20 10.10.20.1 /24 vlan 10 10.10.10.1/24 Area 0.0.0.0 vlan 10 10.10.10.2/24 vlan 20 10.10.20.2/24 Linkagg 2 port Backbone#1 Backbone#2 vlan 30 10.10.30.1/24 vlan 30 10.10.30.2/24 vlan 40 10.10.40.1/24 vlan 50 10.10.50.1/24 LAB - 2 구성도