Настройка Hp aruba 2530

Обновлено: 21.11.2024

Базовые, начальные и достаточно безопасные настройки коммутатора HP 2530

Мне нравятся коммутаторы HP (HPE/Aruba) серии 2530. В основном они не лишены смысла, и их довольно удобно настраивать из командной строки.

Вот (некоторые) настройки, которые я люблю копировать и вставлять на консоль HP 2530 при первом запуске. Пожалуйста, замените вещи в UPPER_CASE, чтобы они соответствовали вашей среде.

Если вы являетесь Другом Порядка, вы можете начать первоначальную настройку с помощью сброса . Я не включил это в приведенный ниже код на случай, если кто-то из нас использует его в сеансе ssh (что было бы… неудобно).

Используйте диспетчер паролей и создайте (отдельные) пароли для менеджера и оператора . Используйте диспетчер паролей команд и оператор паролей, чтобы установить их. Возможно, вы захотите использовать открытый текст YOUR_MANAGER_PASS менеджера паролей, если вы обещаете мне, что не будете использовать один и тот же пароль менеджера более чем на одном коммутаторе :)

Итак, вот краткий обзор настроек:

  • Укажите хорошее имя хоста для коммутатора.
  • Настройте маршрутизацию всего IP-трафика управления на ваш шлюз (VLAN управления)
  • Используйте зашифрованные протоколы (о SSL-сертификатах я пишу здесь)
  • Разрешить менеджеру и оператору входить в систему через ssh с помощью ключей (обратите внимание, что для работы открытый ключ должен быть заключен в одинарные кавычки)
  • Установите параметры ведения журнала; я использую объект local0
  • Разрешить доступ по протоколу snmp только для чтения (здесь может потребоваться более высокий уровень безопасности)
  • Используйте NTP для синхронизации времени (для использования ntp у вас должна быть довольно свежая прошивка)
  • Настройте VLAN управления и разрешите управление только из этой VLAN
  • Настройте телеметрию, чтобы она поступала из VLAN управления (или, если вы действительно хотите, из отдельной VLAN телеметрии)
  • Установите пароли для администратора и оператора.

Добавьте порт для управления VLAN, подключитесь и обновите прошивку. Я уверен, что вы могли бы сделать это и через командную строку, но мои навыки ограничены.

И это, я думаю, более или менее покрывает это. Я добавлю в этот пост, если я придумаю что-нибудь аккуратное или необходимое. Помимо этого сертификата.

У клиента есть старый коммутатор HP Aruba 2530 48G Switch. Мы находимся в процессе капитального ремонта их сети, чтобы разделить всех из текущей единственной подсети на их собственные VLAN. Маршрутизатор/брандмауэр и все новые коммутаторы HP 1920s готовы и работают, и все они доступны/управлены по IP-адресам в vlan, как и ожидалось, но у меня проблемы с Aruba.

На Aruba, начиная с конфигурации по умолчанию и работая в веб-интерфейсе, я редактировал vlan1 и потерял подключение. Все, что я сделал, это изменил настройку IP Config с DHCP/BOOTP на MANUAL и установил статический IP-адрес в подсети vlan1, затем пометил vlan1 на порту 48, а затем сохранил свои изменения. В этот момент я потерял связь с коммутатором и не смог найти способ вернуться, поэтому завтра утром я должен забрать его, чтобы восстановить заводские настройки и повторить попытку.

Дополнительный вопрос: если я правильно прочитал документацию HP для этого коммутатора, если я сбросил его до заводских настроек, он потеряет свой IP-адрес, и кажется, что они подразумевают, что он не получит новый от DHCP, чтобы я мог вернуться в веб-интерфейсе. Более старое сообщение на форуме, похоже, подтверждает это, им пришлось подключиться к своему коммутатору, чтобы установить на нем IP-адрес. Так ли обстоит дело с этим переключателем?

Джоннидотексе

Популярные темы об оборудовании HPE

Джерард Бикманс

Удобно ли вам пользоваться интерфейсом командной строки? Я не пользовался веб-интерфейсом HP(E)/Aruba уже несколько лет — все настройки делаю исключительно из командной строки. Иногда проще использовать консольный интерфейс, чтобы избежать блокировки в случае, если вы сделаете неправильную конфигурацию VLAN и порт, через который вы подключились, окажется отключенным.

Вы сказали, что ранее пометили порт 48 для vlan 1 и потеряли подключение. Я предполагаю, что вы сами были подключены к другому коммутатору, поэтому этот порт 48 был, так сказать, вашей «точкой входа». Если проблема была связана с пометкой порта 48 для vlan 1, то обычно это означает, что другой конец этого кабеля также не был помечен для vlan 1

Возможно, тот восходящий порт на другом конце все еще был непомеченным vlan 1? Или что-то совсем другое.

Проблема также может быть связана с маршрутизацией. Если вы изменили IP-адрес, вы изменили его на совершенно другую подсеть? Если да, то установили ли вы новый шлюз по умолчанию, соответствующий новой подсети, чтобы коммутатор знал, как подключиться к вам?

В подобных случаях было бы полезно знать подробности о сети, чтобы составить более полную картину, например:

* IP-адрес вашего собственного компьютера, который вы использовали для доступа к коммутатору
* Путь вашего соединения через любые промежуточные маршрутизаторы и коммутаторы
* IP-адреса всех задействованных устройств, особенно старый и новый IP-адрес переключателя

Это поможет немного сузить круг вопросов, если ваша проблема, скорее всего, связана с тегом/удалением тега VLAN или с подсетью/маршрутизацией.

14 ответов

Джерард Бикманс

Удобно ли вам пользоваться интерфейсом командной строки? Я не пользовался веб-интерфейсом HP(E)/Aruba уже несколько лет — все настройки делаю исключительно из командной строки. Иногда проще использовать консольный интерфейс, чтобы избежать блокировки в случае, если вы сделаете неправильную конфигурацию VLAN и порт, через который вы подключились, окажется отключенным.

Вы сказали, что ранее пометили порт 48 для vlan 1 и потеряли подключение. Я предполагаю, что вы сами были подключены к другому коммутатору, поэтому этот порт 48 был, так сказать, вашей «точкой входа». Если проблема была связана с пометкой порта 48 для vlan 1, то обычно это означает, что другой конец этого кабеля также не был помечен для vlan 1

Возможно, тот восходящий порт на другом конце все еще был непомеченным vlan 1? Или что-то совсем другое.

Проблема также может быть связана с маршрутизацией. Если вы изменили IP-адрес, вы изменили его на совершенно другую подсеть? Если да, то установили ли вы новый шлюз по умолчанию, соответствующий новой подсети, чтобы коммутатор знал, как подключиться к вам?

В подобных случаях было бы полезно знать подробности о сети, чтобы составить более полную картину, например:

* IP-адрес вашего собственного компьютера, который вы использовали для доступа к коммутатору
* Путь вашего соединения через любые промежуточные маршрутизаторы и коммутаторы
* IP-адреса всех задействованных устройств, особенно старый и новый IP-адрес переключателя

Это поможет немного сузить круг вопросов, если ваша проблема, скорее всего, связана с тегом/удалением тега VLAN или с подсетью/маршрутизацией.

ОП Джоннидотексе

На устройстве Watchguard настроены все вланы, для всех вланов включен DHCP, все вланы помечены на int1 рабочей группы. Соединительный кабель проходит от WG int1 до порта 48 1920-х годов, где все вланы помечены. На этом же коммутаторе у меня есть порт 47, помеченный всеми вланами, и здесь я подключил Aruba (порт 48). поэтому соединили два коммутатора в гирляндную цепь вместо того, чтобы давать каждому из них прямой патч для Watchguard.

Я подключен к Watchguard через VPN из домашнего офиса, и у меня есть полный доступ ко всем сетям за рабочей группой. Все другие конфигурации и развертывания коммутатора прошли успешно, потому что я привык работать с моделями 1920-х годов, но с этой моделью 2530 я работаю впервые.

VLAN1 = 192.168.0.1/24. Это IP-адрес, с которого я обращаюсь к Watchguard, и я установил статический IP-адрес в этой подсети на всех коммутаторах.
VLAN5 = 192.168.5.1/24. Это подсеть, в которой устройства, подключенные к портам коммутатора Aruba 1–47, должны получить IP-адрес.

Понятия не имею, почему aruba сломалась после того, как я просто изменил режим IP-адреса vlan1 на ручной / установил статический IP-адрес на vlan1 и пометил vlan1 на порту 48. Все, что приходит на ум, это то, что я должен был также установить флажок, чтобы сделать vlan1 управление vlan перед сохранением этих изменений? В любом случае, я взял Aruba и принесу его в офис завтра утром, чтобы восстановить заводские настройки, чтобы начать все сначала. У меня настроена тестовая среда, которая отражает конфигурацию сети на этом клиентском сайте, поэтому я могу протестировать конфигурацию Aruba, как только я решу, что разобрался с ней. CLI не будет проблемой, если до него не сложно добраться и использовать.

Редактировать: у меня есть 1920-е в другом месте на этом клиентском сайте, в той же физической сети, с конфигурацией, которую я хочу запустить на этом Арубе, и она работает, как и ожидалось.Так что я думаю, мы можем исключить проблему с сетью или маршрутизацией. Я почти уверен, что проблема была в том, что я что-то не так сделал на Арубе.

Патрик Фаррелл

Помечена ли сеть VLAN 1 на другом восходящем порту коммутатора, к которому подключен этот коммутатор? Я не сказал Trunk, потому что на HP 2530 Trunk — это агрегация каналов. Большинство людей оставляют VLAN 1 немаркированной (и вообще избегают ее использования) и помечают все остальные VLAN, которым необходимо пересечь восходящий канал.

ОП Джоннидотексе

PatrickFarrell написал:

Помечена ли VLAN 1 на восходящем порту других коммутаторов, к которому подключается этот коммутатор? Я не сказал Trunk, потому что на HP 2530 Trunk — это агрегация каналов. Большинство людей оставляют VLAN 1 немаркированной (и вообще избегают ее использования) и помечают все остальные VLAN, которым необходимо пересечь восходящий канал.

Да, порт другого коммутатора помечен как VLAN1.

Я всегда называю восходящие/нисходящие/доступные/тегированные/любые порты транковыми портами. Не знаю, откуда я это взял.

Джерард Бикманс

PatrickFarrell написал:

Помечена ли VLAN 1 на восходящем порту других коммутаторов, к которому подключается этот коммутатор? Я не сказал Trunk, потому что на HP 2530 Trunk — это агрегация каналов. Большинство людей оставляют VLAN 1 немаркированной (и вообще избегают ее использования) и помечают все остальные VLAN, которым необходимо пересечь восходящий канал.

Да, порт другого коммутатора помечен как VLAN1.

Я всегда называю восходящие/нисходящие/доступные/тегированные/любые порты транковыми портами. Не знаю, откуда я это взял.

Это просто фишка Cisco. Магистраль в Cisco и устройствах на базе Cisco относится к «помеченным VLAN на порту». У HP нет специального термина для этого. Вы просто помечаете группу VLAN на порту, и мы, люди, называем его портом восходящей связи, хотя это не официальный термин в самом коммутаторе.

Патрик наткнулся на хорошую мысль: проблема с VLAN 1. В некоторых устройствах VLAN 1 рассматривается как особая вещь при определенных обстоятельствах. Раньше это было проблемой, но даже сегодня это все еще происходит.

Я больше не уверен, работают ли сегодня HP 1920 и/или 2530 таким же образом, потому что я только что перестал использовать VLAN 1 как само собой разумеющееся на всем оборудовании, и у меня никогда больше не было таких проблем, и я использую модели 2530 почти теперь исключительно везде.

Примечание: несмотря на то, что все продукты под брендом HP, линейка 1xxx (т.е. ваш 1920) сильно отличается от линейки 25xx, такой как ваш 2530. Последняя основана на ProCurve и часто используется в более крупных или сложных средах. Все они обрабатывают VLAN немного по-разному. Таким образом, функциональная совместимость поставщиков применяется даже здесь, потому что вы, по сути, используете разные продукты (то, что HP/HPE/Aruba купили другие продукты, не означает, что они переработаны в идентичные кодовые базы).

Как ни странно, раньше у меня было несколько коммутаторов HP 1810 с похожими проблемами при подключении к коммутаторам 2510 и коммутаторам Cisco уровня 3 (не помню модели; это было более 10 лет назад). Как только я перестал использовать VLAN 1, все стало гораздо проще. Это сводится к таким концепциям, как «собственная VLAN», «VLAN по умолчанию» и «основная VLAN», и не все коммутаторы используют все эти концепции одинаково. Или один термин может означать что-то немного другое на другом устройстве, что сбивает с толку (например, этот термин «багажник» снова и снова).

Опция Management VLAN в вашем 2530 служит нескольким целям, одна из которых определяет, какая VLAN DHCP используется для получения собственного IP-адреса.

Дополнительная информация о специальных типах VLAN на линии 2530:

Этот конкретный документ устарел несколько лет назад, но по-прежнему актуален для современных версий прошивки.

Вы упомянули, что в другом месте у вас есть аналогичная установка, которая работает должным образом. Я бы вернулся и дважды проверил все настройки на каждом устройстве, чтобы убедиться, что все эти различные термины/понятия совпадают (основной vlan, vlan управления, default, native, идентификатор порта vlan id (pvid) и т. д.).

Систему 2530 проще настроить. Там не так много. Вы помечаете или снимаете теги с портов в VLAN, и это практически все, что вам нужно сделать, чтобы начать работу.

Я все еще думаю, что, возможно, это была проблема с порядком операций, когда вы отключились во время внесения изменений из-за изменения статуса tag/untag на том самом порту, через который вы были подключены. Вы одновременно меняли статус метки/снятия метки и IP-адрес? Возможно, одно из изменений не было отправлено из-за разрыва связи на полпути.

Вместо сброса настроек коммутатора к заводским настройкам, если у вас есть возможность и время, используйте консольный кабель (для более новых моделей 2530 подойдет обычный кабель micro USB) и подключитесь к нему с помощью такой программы, как Putty. USB-интерфейс коммутатора представлен как COM-порт. Убедитесь, что вы делаете это во время работы — не перезагружайте его, потому что, если вы еще не запустили сохранение изменений, он вернется к предыдущей конфигурации (т.е. до того, как вы внесли все изменения, так как есть шанс, что текущий режим работы находится только в памяти и не сохраняется во флэш-памяти).

Выполнение команды, например:

покажет вам его текущую настройку и не стесняется поделиться, очищая что-либо по мере необходимости.

Возможно, вы обнаружите, что отсутствуют некоторые изменения, которые вы хотели внести, что могло привести к отключению.

Это краткое руководство о том, как правильно настроить синхронизацию времени NTP на сетевых устройствах HP ProCurve / Aruba. Проницательные читатели этого блога, возможно, помнят, что я освещал эту тему еще в 2015 году, и вы были бы правы, это даже называлось так же. Однако тогда в прошивке v.15 устройства HP ProCurve поддерживали только SNTP, а не настоящий NTP. Но теперь, когда у нас есть v.16, наконец-то доступна нативная поддержка NTP. В этом руководстве я расскажу о настройках NTP, а также о некоторых более изящных вещах, которых нет в руководствах, но которые все же очень удобны. Синхронизация времени NTP позволяет поддерживать правильное время в вашей сети, что очень важно для устранения неполадок, например, при сравнении журналов между двумя коммутаторами.

Записать старый конфиг в память

Начните с ввода команды записи в память, прежде чем что-либо делать, чтобы вы могли загрузить коммутатор, чтобы восстановить предыдущие настройки, если вы что-то испортили.
Если вы делаете это через Telnet/SSH, а коммутатор находится далеко, вы можете рассмотреть возможность использования команды reload, чтобы указать коммутатору перезагрузиться через пару часов, если вы потеряете к нему доступ, см. мою статью о том, как это сделать.

Настройка общих параметров времени

Настройка синхронизации времени SNTP

Сначала мы настроим серверы. NTP наконец избавился от обмана приоритетов, который был у SNTP, поэтому все, что нам нужно сделать, это выполнить команду ntp server для каждого сервера, который мы хотим добавить

Описанное выше будет работать на любом коммутаторе с основной версией микропрограммы 16, однако, если ваш коммутатор работает с версией 16.05.xxxx или новее, серверы также можно настроить с помощью DNS, если вы добавите соответствующие настройки DNS

Как видите, я добавил DNS-серверы (допускается только 2), в данном случае DNS-серверы Google, а затем добавил доменные имена пула NTP. Это довольно удобно, так как пул NTP всегда дает вам NTP-серверы рядом с вами, и единственный (правильный) способ использования пула — настроить ваши устройства с доменными именами вместо IP-адресов серверов (как кому-то может понадобиться). когда-нибудь покинуть бассейн).

Помните, что нужно быть осторожным с параметрами Burst, iburst обычно подходит даже для общедоступных серверов NTP, но Burst следует использовать только против серверов, которыми вы управляете, и даже в этом случае он совершенно не нужен. iburst в основном позволяет клиенту NTP отправлять больше запросов при запуске, чтобы ускорить процесс начальной синхронизации, в то время как Burst просто отправляет очень много запросов NTP, что приводит к тому, что ваши общедоступные IP-адреса попадают в черный список.

Проверьте настройки

Проверьте настройки, чтобы они действительно работали:

Если время по-прежнему неверное или статус show ntp по-прежнему показывает «Не синхронизировано», вы можете подождать несколько минут, а если он по-прежнему не работает, проверьте настройки.

Записать новую конфигурацию в память

Не забудьте ввести команду «записать в память», чтобы сохранить новые настройки в памяти, когда убедитесь, что все работает.

Несколько советов;

Для некоторых NTP-серверов может потребоваться аутентификация, и все это можно настроить с помощью команды ntp.

Этот пост является частью новой серии под названием Network Friday, в которой я объясняю новую сетевую концепцию по пятницам и рассказываю, что вам нужно настроить ее (в основном) на оборудовании HP/Aruba. Серия будет в основном посвящена настройке, так как я чувствую, что есть много ресурсов, которые прекрасно объясняют сложные концепции, но очень мало тех, которые показывают вам, как это сделать на вашем конкретном оборудовании. Эта серия статей направлена ​​на решение этой проблемы, по крайней мере, со стороны HP/Aruba.

Коммутаторами Aruba Instant On также можно управлять с помощью локального веб-интерфейса коммутатора. Это можно сделать, когда коммутатор находится в состоянии по умолчанию и подключен к Интернету.

Следующая процедура описывает, как получить доступ к локальному веб-интерфейсу коммутатора:

  1. Введите IP-адрес коммутатора в веб-браузере и нажмите клавишу ввода. Отображается целевая страница локального веб-интерфейса.
  2. Перейдите на вкладку ПОДКЛЮЧЕНИЕ на стороне целевой страницы для локального управления.

Коммутатор нельзя подключить или управлять им из мобильного приложения или веб-интерфейса Instant On, если для коммутатора выбрано локальное управление. Переключатель необходимо сбросить до заводских значений по умолчанию из локального веб-интерфейса, чтобы переключиться в режим облачного управления.

Если ранее вы выбрали управление коммутаторами с помощью облачного режима (мобильное приложение Instant On или веб-приложение) и хотите переключиться на локальный веб-интерфейс:

  1. Нажмите плитку Инвентарь ( ) на главной странице Aruba Instant On или щелкните баннер Состояние сайта ( ), а затем нажмите Показать инвентарь .
  2. Нажмите стрелку ( ) рядом с переключателем в списке "Инвентарь", а затем перейдите на вкладку "Действия".
  3. Выберите Переключиться на локальное управление . При выборе этого параметра коммутатор и его конфигурация будут удалены из инвентаря.

    4. Инициализация коммутатора с помощью локального веб-интерфейса

    В локальном веб-интерфейсе можно настроить статический IP-адрес на переключателе Instant On. Коммутатор получает IP-адрес по умолчанию от DHCP-сервера. Следующая процедура настраивает статический IP-адрес и другую информацию об IP-адресации на коммутаторе с помощью локального веб-интерфейса:

    1. В локальном веб-интерфейсе нажмите ссылку «Изменить сетевое подключение» внизу страницы.
    2. В разделе "IP-адресация" выберите переключатель "Статический".
    3. Введите IP-адрес , маску сети , IP-адрес шлюза и информацию DNS.
    4. Нажмите "Применить" .

    Следующая процедура настраивает управляющую VLAN для коммутатора с помощью локального WebUI:

    Читайте также: