前言 去年底的時候因為換工作的關係,現在的公司絕大多數的設備都是Aruba的Switch,因此為了方便查詢,把一些常見到的指令做了一些整理
Aruba switch 2930F 基礎指令 1.基本操作 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Aruba2930F#config t 進入config模式 Aruba2930F#system-view 進入config模式 Aruba2930F(config)#save 存檔 Aruba2930F(config)#quit 返回上一層 Aruba2930F(config)#ping 送出ICMP封包 Aruba2930F#reboot 重開機 Aruba2930F#reset saved-configuration 清除設定檔(reset) Aruba2930F(config)#menu 進入管理模式 <-非常方便的模式,可以做os的升級 Aruba2930F#show version 檢視版本 Aruba2930F#show system information 檢視系統資訊 Aruba2930F#show run 檢視config Aruba2930F#display cur 檢視config Aruba2930F(config)#sysname XXX 變更顯示名稱 Aruba2930F(config)#no XXXXX 移除指令 Aruba2930F(confif)#undo XXXXX 移除指令 Aruba2920# copy startup-config tftp 192.168.1.1 statupconfig 拷貝startup-config
2.設定Vlan IP與Gateway 1 2 3 4 5 Aruba2930F(config)#vlan 1 進入 vlan 1 Aruba2930F(vlan-1 )# ip address 192.168.1.1 255.255.255.0 設定IP Aruba2930F(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254 設定defaut route Aruba2930F(config)# vlan 20 創造vlan20 Aruba2930F(config)# vlan 20-100 創造vlan 20~100
3.讓Interface帶tagged or untagged 1 2 3 4 Aruba2930F(config)# interface ethernet 1/1 進入端口 Aruba2930F(eth-1 /1 )# untagged vlan 1 讓此端口untagged vlan 1 Aruba2930F(eth-1 /1 )# tagged vlan 1 讓此端口tagged vlan 1 Aruba2930F(config)#interface ethernet all 進入全部端口
4.NTP 1 2 3 4 5 6 7 8 9 10 Aruba2930F(config)#display clock 顯示時間 Aruba2930F(config)#npt server 192.168.1.50 設定NTP server Aruba2930F(config)#npt server 192.168.1.50 iburst 加速同步模式 Aruba2930F(config)#npt enable 啟用NTP Aruba2930F(config)# time time zone 480 設定時區台灣時區+8 (*60=480) Aruba2930F(config)#timesync ntp 改變timesync mode成ntp Aruba2930F(config)#show time顯示switch 當前的時間 Aruba2930F(config)#show ntp status顯示NTP的狀態 Aruba2930F(config)#time 設定時間,依循格式 MM/DD/YY or HH/MM/SS
5.Etherchannel (LACP and Trunk) EtherChannel是將多個實體介面綁在一個虛擬的port上,藉此達到高容錯與增加頻寬的一種技術。trunk(Static)、 LACP
ps:在此處的trunk只是Aruba OS對於綑綁端口技術的一種稱呼方式,與一般將Vlan帶上tag的trunk並無關係
檢視ether channel的設定 1 2 3 4 show trunks show lacp peer show lacp show lacp local
6.STP 一般2930F的Spanning Tree預設是關閉的,需要啟動才能使用
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 (config)# spanning-tree enable #啟用STP (config)# spanning-tree mode mstp 或是 (config)# spanning-tree mode rapid-pvst 選擇 spanning tree的模式 預設啟用是mstp,若對接的設備支援rapid-pvst,可切換成RPVST (config)# spanning-tree priority 0-15 調整priority(0*4096-15*4096) (config)# spanning-tree root primary 調整primary or seconary 可以設定該spanning的priority決定是否來當root或是backup 啟用edge-port,省略當介接到非switch 的設備時,所進行不必要的收斂運算 (config)# spanning-tree ethernet all auto-edge-port 此為啟用所有PORT為auto -edge-port. port會聆聽3 秒的BPDU封包, 若3 秒內沒有任何的BPDU封包,將會變成edge-port.若有則不會 (config)# spanning-tree ethernet all admin-edge-port 直接把所有port改成edge-port # show spanning-tree 顯示spanning-tree是否有啟動,使用的模式為何 # show spanning-tree config 顯示spanning-tree較詳細的設定 Spanning Tree - BPDU Protection 當端口啟用了BPDU-Protction後,如果接收到spanning-tree所發出的BPDU封包,會將端口disable掉 (config)# spanning-tree ethernet all bpdu-protection 在所有的port上啟用bpdu protection # show spanning-tree bpdu-protection 檢視bpdu-protection的情況 PS:STP要是Enable的狀態底下,BPDU Protection才有作用,無法單純啟用BPDU Protection 備註: #spanning-tree bpdu-throttle 64-254 限制每秒送到Switch的CPU的BPDU封包數量,預防switch 的CPU因為loop而高速運轉 # spanning-tree bpdu-protection-timeout 修改BPDU-protection發生作用時,disable端口的時間,單位是秒,如果設定零是永遠disable
7.Telnet & SSH
Aruba OS的telnet預設是啟用的,遠端使用Telnet連線之後,可以直接敲Enter進入
1 2 3 4 5 6 使用password指令來設定使用者帳號 #password manager/operator(指定權限) user-name XXX(設定帳號) plaintext XXX(設定密碼) 新增一個帳號admin密碼admin的maneger指令如下, #password manager user-name admin plaintext admin 如果不指定user-name,便會使用manager與operator當作預設的帳號 #password manager plaintext admin
新增的帳號可以用來登入Telnet、SSH
產生SSH的金鑰
1 2 3 4 後面可以選擇用dsa或是rsa加密,選定之後可以再選擇位元長度(optional) 如果不想指定的話 #crypto key generate ssh rsa 就可以產生
啟用SSH
SSH也需要設定帳號密碼才能夠連入,請參考Telnet的部份創造帳號密碼
8.關於log 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 Aruba2930F#show logging 檢視log 可以附加參數做過濾 Aruba2930F#log 檢視log 可以附加參數做過濾 Aruba2930F(config)#logging command 使用指令開啟log紀錄指令的功能 -a 顯示全部的log -b 顯示log ,但是用開機到現在的排列方式來取代原本的時間排列方式 -r 顯示log ,但是最近的先顯示(最近的顯示在最上面) -s 顯示commander log 與standby commander log (做stacking的時候主要那台是commander,次要的是standby) -t 顯示log ,時間的最小單位改為百分之一秒 command 顯示輸入的指令的log -m 顯示主要事件的log -e 顯示錯誤(error) 事件的log -p 顯示performance的log -w 顯示警告訊息(warning) 的log -i 顯示information的log -d 顯示Debug的log option-str 自定義要搜尋的字詞,像是輸入vlan會顯示訊息帶有vlan的log Aruba2930F (config) # logging XXX.XXX.XXX.XXX 將log丟到log server Aruba2930F (config) #logging severity major/error /warning /info/debug指定送出的log類型 Aruba2930F (config) #logging filter 過濾掉不想要送的log
9.DHCP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Aruba2920(config)# dhcp-server pool 1 進入DHCP pool 1 Aruba2920(1 )# network 192.168.10.0 255.255.255.0 要發的網段 Aruba2920(1 )# dns-server 8.8.8.8 設定DNS server Aruba2920(1 )# domain-name 設定domain name Aruba2920(1 )# range 192.168.10.10 192.168.10.50 設定range Aruba2920(1 )# default-router 192.168.10.254 設定default route Aruba2920(vlan-10 )# dhcp-server enable DHCP relay #vlan X進入vlanX (vlanX)#ip helper-address 9.9.9.9 為此vlan指定DHCP server DHCP snooping 啟用之後會只接受設定的port或server傳來的DHCP封包,其他來源的DHCP封包會drop掉 #dhcp-snooping 啟用dhcp-snooping #dhcp-snooping trust ethernet 24 信任port24傳來的dhcp封包 #dhcp-snooping authorized-server 192.168.100.10 信任特定DHCP server (vlan-1 ) #dhcp-snooping 在vlan1裏頭啟用dhcp-snooping 或者是 #dhcp-snooping vlan 1 在vlan 1裏頭啟用dhcp-snooping #show dhcp-snooping 查詢dhcp-snooping狀態 PS:如果DHCP server是DHCP agent的話,有時候會帶上DHCP option82,因為Aruba switch 預設會把DHCP-option82的封包drop掉,這時可以嘗試以下兩個指令關閉此功能 #dhcp-snooping option 82 untrusted-policy keep 不drop掉option82,keep它 #no dhcp-snooping option 82 關閉option82
10. port security 在CLI模式底下,可以使用port-security功能來設定端口安全選項與編輯安全設定,從一個或多個端口添加或刪除來自認證清單的設備。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 檢視狀態指令 #show port-security 檢視所有端口的port security設定 #show port-security 1 檢視端口1 的port security設定 #show port-security intrusion-log 檢視侵入的MAC log 如何設定 首先鍵入port-security 接著指定端口單個端口(1 )、範圍端口(1 -5 )、或全部端口(all),之後接續想要修改的設定,可以做的設定如下 1. 可以修改action來定義有設備入侵時switch 要執行的動作action參數說明 none 預設,不會送出snmp trap send-alarm 會送出snmp trap send-disable 會送出snmp trap並disable端口 2. address-limit 定義允許連入設備的數量3. mas-address設定允許連入的設備(輸入MAC)4.l earn-mode 可以設定五種不同的學習狀態(設定port是如何學到MAC的)continuous 預設值,只要是接入的設備,port都學習的到mac static 設定固定的數值的已認證設備才能使用,如果沒有定義完所有的認證設備,也可以學習到接入設備的MAC,但是有固定數值的限制configured 不會學習,只有設定進去的mac才能使用 port-access 802.1 x認證過的才會學習到 limited-continuous 學習規定數量的mac 範例: 設定端口1 只允許一台設備連入 port-security 1 learn-mode limited-continuous address-limit 1 設定端口1 只允許一個特定的設備連入 port-security 1 learn-mode configured mac-address XXXXXX-XXXXXX
11.VSF Virtual Switching Framework 是一種堆疊(stacking)技術,可以使用copper線或fibber線連接,設定好之後可以將兩台switch視為一台switch
設定時,首先決定要使用1G還是10G port做VSF
使用vsf port-speed修改數值(每台要做VSF的switch都要進行修改)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 接下來,先在member1上設定VSF VSF1 (config) #vsf member 1 link 1 1/1 (member1、link1、在port1/1做) VSF1 (config) #vsf enable domain 2 (為了預防與其他不相干的switch做出VSF,需指定domain) 之後系統會要求重開,按y讓他重開 再來在member2上設定VSF VSF1 (config) #vsf member 2 link 1 2/1 (member2、link1、在port2/1做 ps:因為做完VSF,member2的port會變成2/X,所以此處使用2/X來設定) VSF1 (config) #vsf enable domain 2 之後系統會要求重開,按y讓他重開 在開機循環完成之前接上member1的switch 與member2的switch 等待開完機後,使用以下指令檢測 #show vsf #show vsf detail #show vsf link #show vsf link detail #show running-config show vsf底下的清單上要出現兩台才算成功 附錄: 添加額外的port給VSF VSF允許多個port被分配在同一個邏輯vsf link下 1.在member 1分配port給link VSF1 (config) #vsf member 1 link 1 1/17 2.在member 2分配port給link VSF2 (config) #vsf member 2 link 1 2/17
12.Banner 有兩種不同的Banner可以設定
【exec】 使用者登入”後 “會顯示,自定義內容前 “會顯示,自定義內容前 “會顯示上一次登入資訊
設定方式如下
1 2 3 4 5 6 7 8 #banner exec 後接一個自定義的字元 就會進入編輯模式,可以自由的輸入文字換行,按下一開始自定義的字元就會結束編輯模式 motd 也是相同的設定方式 使用指令檢視banner的狀態 #show banner exec #show banner motd #show banner last-login
13.SNMP SNMP v1/v2設定方式如下:
先設定community的數值(自定義,但必須與SNMP server相同)
1 2 3 4 5 6 7 8 9 假裝SNMP的community為public,可以接受所有MIB物件,也可以被設定的話,指令如下 #snmp-server community public manager unrestricted 也可以一起指定snmp server的IP與community #snmp-server host 9.9.9.9 coummunity public 檢視snmp指令如下 #show snmp-server #display snmp-agent ?
14.Port Mirroring Traffic mirroring 可以將switch介面上傳送與接收的封包複製一份給local或是 remote destination,其功能就像是 traffic analyzer或者是intrusion detection system (IDS)
Aruba OS裡有四個mirror群組,分別是mirror1~mirror4
設定指令如下
1 2 3 4 5 6 7 8 9 10 11 #mirror 1 port 2 將port 2 綁入mirror1 #interface 1 monitor all both mirror1 指定interface 1 流出與流入的封包全都複製到mirror1裡 之後就可以經由觀察port2的封包來得知interface 1 的封包狀態 PS:port2的Link Status要是UP的狀態才會有封包進出的資訊 檢視monitor設定 #show monitor #show monitor 1
