[Из песочницы] Знакомство с Avaya ERS 4000
Здравствуйте! Около года назад, столкнувшись впервые с железом бывшего Nortel’a, а ныне Avaya, я обнаружил отсутствие в сети какой-либо вменяемой информации по настройке и траблшутингу этого оборудования. Только официальную документацию, из которой не всегда можно явно получить нужную информацию.Поэтому, сегодня я представляю вашему вниманию, в качестве знакомства с вендором и синтаксисом CLI, разбор конфигурации коммутатора уровня доступа Avaya 4850GTS-PWR+, которая заточена под обслуживание доступа в сеть обычных жилых квартир.Синтаксис Avaya, на первый взгляд, очень напоминает Cisco, однако сам принцип подхода к реализации некоторых возможностей сильно отличается. Итак, распакуем наш коммутатор, включим его в розетку и воткнём консольный кабель.
Сразу первый совет: обращайте внимание на разъем кабеля питания. У некоторых моделей он поставляется с небольшим вырезом. Если в вашем случае это так — берегите как зеницу ока, чтобы не пришлось думать как же вас угораздило его потерять, вырезая ножом такую-же выемку у стандартного кабеля питания.
В процессе первой загрузки, будет предложено запустить автоконфигурацию. Я рекомендую пропускать этот шаг, особенно в тех случаях, когда настраивать надо не один и не два коммутатора. Вместо этого намного проще заливать конфигурацию из шаблона, что сводится в конечном итоге к ctrl-C ctrl-V.
По окончании загрузки, видим баннер вендора и предложение нажать ctrl+Y для продолжения, что и сделаем.
4850GTS-PWR+> Переходим в привелегированный режим командой enable и сразу же в конфигурацию configure terminal. На этом, возникшее у многих «Дежавю» можно считать практически исчерпанным.
4850GTS-PWR+>enable 4850GTS-PWR+#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 4850GTS-PWR+(config)# Первое, что стоит сделать, это отключить такую «полезную» функцию, как autosave, которая периодически сохраняет конфигурацию, даже если оная ведет к недоступности коммутатора извне. Чем это грозит, думаю, понимаете сами. Поэтому просто отключаем.
4850GTS-PWR+(config)#no autosave enable Далее сразу сделаем две вещи, которые применяются только после перезагрузки, чтобы более не отвлекаться в процессе конфигурации.Во-первых, выберем режим работы Spanning-tree. В моём случае, это RSTP:
4850GTS-PWR+(config)#spanning-tree mode rstp New operational mode RSTP will take effect upon reset 4850GTS-PWR+(config)# Во-вторых режим работы QoS. QoS на Avaya это тема отдельной немаленькой статьи, пока же скажу только, что методом научного тыка проб и ошибок, было установлено, что оптимальное решение для коммутатора уровня доступа такое:
4850GTS-PWR+(config)#qos agent aq-mode mixed 4850GTS-PWR+(config)#qos agent buffer maximum QoS buffer setting isn’t effective until after reset. 4850GTS-PWR+(config)# Можно, конечно, настроить очереди и руками, но, опять-же, смысла в этом на уровне доступа нет (если, конечно, на всех портах у вас не висят хардкорные пользователи, круглосуточно выкачивающие Терабайты торрентов).
Кстати о второй команде. Avaya рекомендует использовать максимальный буффер, если в вашей сети предоставляются такие сервисы, как потоковое вещание видео (банальный IP_TV под это тоже подпадает). Если буфер настроен, например, на regular, телевидение работать будет ровно до того момента, пока оно предоставляется на отдельном от доступа в сеть порту. Например, если на том конце стоит маленький, но очень гордый D-Link, в который воткнут домашний компьютер и телевизор, то картинка на телевизоре с большой долей вероятности будет «рассыпаться».
Создадим группы и назначим интерфейсы для использования QoS:
4850GTS-PWR+(config)#qos if-group name UPLINK class trusted 4850GTS-PWR+(config)#qos if-group name USER class untrusted 4850GTS-PWR+(config)#qos if-assign port 1–48 name USER 4850GTS-PWR+(config)#qos if-assign port 49–50 name UPLINK 4850GTS-PWR+(config)# После вышеуказанного, сохраняем конфигурацию до боли знакомым write memory (кстати copy running-config startup-config здесь не работает. Этой командой можно скопировать конфигурацию только на USB, FTP и т.п.)И перезагружаемся командой boot.
4850GTS-PWR+(config)#write memory 4850GTS-PWR+(config)#boot Reboot the unit (s) (y/n) ? y Пока наш коммутатор тестирует память и вентиляторы, расскажу, что команда boot может применяться и для сброса на заводские настройки. В этом случае она будет выглядеть как boot default. Будьте аккуратней с этой командой. Если на коммутаторе установлены дополнительные лицензии, при сбросе они слетят, поэтому если под рукой нет файла с лицензией для этого коммутатора, лучше ее не использовать.
Итак. Наш коммутатор загрузился, продолжим.
займемся вопросом безопасности и установим пароли. Требования к сложности пароля у Avaya практически идентичны, например, требованиям в домене Windows. Если это противоречит чьим-то представлениям о прекрасном, можно отключить их командой
4850GTS-PWR+(config)#no password security Создадим пользователя:
4850GTS-PWR+(config)#username avaya avaya1 rw где avaya — имя, avaya1 — пароль, rw — уровень доступа. Можно поставить ro, тогда этот пользователь дальше просмотра состояния портов и текущей конфигурации не заберется.
Установим режим аутентификации на устройстве:
4850GTS-PWR+(config)#cli password serial local 4850GTS-PWR+(config)#cli password telnet local Тоже, думаю, почти всё понятно. Local означает, что проверяться данные будут по локальной базе данных пользователей.Так-как локально можно создать только по одному пользователю на чтение и полный доступ, что для меня лично мало, перенастроим аутентификацию на использование сервера Radius.
4850GTS-PWR+(config)#username admin admin1 rw 4850GTS-PWR+(config)#username user user1 ro 4850GTS-PWR+(config)#radius-server password fallback 4850GTS-PWR+(config)#radius-server host 192.168.1.2 4850GTS-PWR+(config)#radius-server key avaya Поля «Username» необходимо установлить в любом случае, они используются, если сервер Radius недоступен.
Установим использование Radius для аутентификации:
4850GTS-PWR+(config)#cli password serial radius 4850GTS-PWR+(config)#cli password telnet radius Кстати, к теме настройки радиуса. Перед внесением любых изменений в настройки подключения к Radius, необходимо изменить аутентификацию на локальную, иначе ничего кроме ошибки в выводе консоли, вы не увидите.
Далее установим имя коммутатора:
4850GTS-PWR+(config)#snmp-server name Avaya_4850_test Avaya_4850_test (config)# Ну и заодно включим snmp-server для последующего мониторинга:
Avaya_4850_test (config)#snmp-server community Public rw Avaya_4850_test (config)#snmp-server host 192.168.1.2 v2c Public Avaya_4850_test (config)#snmp-server enable snmp-server host в данном случае — адрес удаленного сервера, с которого будет осуществляться мониторинг, версия и community.
Теперь займёмся, собственно, Vlan. У нас в сети довольно много вланов, поэтому я покажу сам принцип их настройи на устройстве.Для начала включим автоматическое назначение PVID интерфейсов (опять-же, если это не противоречит Вашим представлениям о прекрасном).
Avaya_4850_test (config)#vlan configcontrol automatic Теперь создадим необходимые Vlan:
Avaya_4850_test (config)#Vlan create 3 name Data type port Avaya_4850_test (config)#vlan create 4 name TV type port Avaya_4850_test (config)#Vlan create 5 name Management type port Определимся с транками:
Avaya_4850_test (config)#vlan ports 1–48 tagging unTagAll Avaya_4850_test (config)#vlan ports 49–50 tagging tagAll И раскидаем Vlan по портам, удалив все порты из Vlan 1
Avaya_4850_test (config)#vlan members remove 1 ALL Avaya_4850_test (config)#vlan members add 3 1–20,49–50 Avaya_4850_test (config)#vlan members add 4 20–40,49–50 Avaya_4850_test (config)#vlan members add 5 49–50 Определим Vlan для управления коммутатором и ограничим доступ к нему, например, офисной сетью 192.168.2.0/24
Avaya_4850_test (config)#vlan mgmt 5 Avaya_4850_test (config)#ipmgr source-ip 1 192.168.2.0 mask 255.255.255.0 Включим отслеживание мультикаст пакетов во всех Vlan и назначим, наконец, ip-адрес нашему коммутатору:
Avaya_4850_test (config)#interface vlan 3 Avaya_4850_test (config-if)#ip igmp snooping Avaya_4850_test (config-if)#exit Avaya_4850_test (config)#interface vlan 4 Avaya_4850_test (config-if)#ip igmp snooping Avaya_4850_test (config-if)#exit Avaya_4850_test (config)#interface vlan 5 Avaya_4850_test (config-if)#ip address 192.168.5.4 255.255.255.0 Avaya_4850_test (config-if)#ip default-gateway 192.168.5.1 Avaya_4850_test (config-if)#ip igmp snooping Avaya_4850_test (config-if)#exit Так как на другом конце у меня установлена Avaya VSP 7024XLS, соберем транки в MLT (в принципе те же Ether-Channel от Cisco только в профиль).
Avaya_4850_test (config)#mlt 1 name UPLINK member 49–50 learning disable Avaya_4850_test (config)#mlt 1 enable И напоследок настроим еще пару полезностей: Разрешим получать DHCP-OFFER только со стороны транка:
Avaya_4850_test (config)#ip dhcp-snooping enable Avaya_4850_test (config)#ip dhcp-snooping vlan 3 Avaya_4850_test (config)#ip dhcp-snooping vlan 4 Avaya_4850_test (config)#interface FastEthernet ALL Avaya_4850_test (config-if)#ip dhcp-snooping port 49–50 trusted Avaya_4850_test (config-if)#ip dhcp-snooping port 1–48 untrusted Avaya_4850_test (config-if)#exit И обезопасим себя от петель:
Avaya_4850_test (config)#interface FastEthernet all Avaya_4850_test (config-if)#slpp-guard port 1–48 enable Avaya_4850_test (config-if)#exit Включим SSH и сохраним нашу конфигурацию:
Avaya_4850_test (config)#ssh Avaya_4850_test (config)#write memory Вот примерная работоспособная конфигурация на коммутаторах Avaya. Она равно может применяться для всей линейки ERS 4000, частично справедлива и для 5000 и для 7000.В качестве пост-скриптум пара часто возникающих проблем и методы их устранения:
1) Долго получаются ip-адреса по DHCP и/или подтягивается вещание TV потока.
На этом моменте вспоминаем о существовании Spanning-tree, хватаемся за голову и быстро всё исправляем определением оконечных портов:
Avaya_4850_test#conf t Avaya_4850_test (config)#Inter fa all Avaya_4850_test (config-if)#spanning-tree rstp port 1–40 learning enable Avaya_4850_test (config-if)#spanning-tree rstp port 1–40 edge-port true Не забудьте обезопасить себя от различных умных пользователей со своими железками. Включим фильтрацию BPDU пакетов (не совместимо с некоторыми моделями домашних роутеров Linksys):
Avaya_4850_test (config)#spanning-tree bpdu-filtering port 1–48 enable timeout 300 2) TV поток работает с перебоями (справедливо для любого широковещательного потока).
Проверяйте такую прекрасную опцию как rate-limit. Если в сети присутствует широковещательный поток, выключайте на транках, иначе часть потока будет постоянно рубиться, особенно при высокой загрузке.
Вот, наверное, и всё. Буду рад любым вашим вопросам и комментариям.
