FAQ Foundry Administration

User-Port einrichten

Zuweisen eines VLANs

Zuerst muss man in das gewünschte VLAN wechseln. Die ID ist die numerische dezimale ID des VLANs - z.B. 100:

(config)# vlan 100

Wenn das VLAN noch nicht existiert, kann man dem VLAN auch gleich einen Namen zuweisen - z.B. safe-net :

(config)# vlan 100 name safe-net

Jetzt kann man Ports (z.B. 0/1/48 ) in das VLAN packen. Standart ist dabei untagged - also normale Benutzerports, die dann in dem VLAN landen sollen:

(config-vlan-100)# untagged ethe 0/1/48

Mit folgender Syntax weisst man mehreren Ports das VLAN zu - z.B. die Ports 0/1/10 bis 0/1/20 :

(config-vlan-100)# untagged ethe 0/1/10 to 0/1/20

Einen Port wieder entfernen - z.B. 0/1/48 - geht so:

(config-vlan-100)# no untagged ethe 0/1/48

Loop-Detection

Um falsch gesteckte Kabel und wild gewordene Switches auszugrenzen, kann man pro Port eine Loop-Erkennung aktivieren. Im Beispiel werden alle 48 Ports gesichert:

(config)# interface ethernet 0/1/1 to 0/1/48

(config-mif-0/1/1-0/1/48)# loop-detection

Hinweis: Mit diesem Kommando kann man den Status der Loop-Detection des ganzen Switches anzeigen lassen:

(config)# show loop-detection status

(Erst-)Einrichtung eines Switches

Hostname des Switches

Dem Switch weisst man so einen Namen zu (z.B. switch100 ):

(config)# hostname switch100

interne Management-IP-Adresse

Hier wird eine interne Management-IP zugewiesen - also keine IP, die dann über die RJ-45-Ports der Management-Karten erreichbar wäre:

Eine interne Management-IP wird immer an ein gegebenes VLAN gebunden - z.B. an die 100 (alias safe-net ). Dazu muss man in die VLAN-Konfiguration wechseln:

(config)# vlan 100 name safe-net

Nur genau ein VLAN darf Management-VLAN für einen gegebenen Switch sein sein. So definiert man es:

(config-vlan-100)# management-vlan

Wenn man sich damit vertan hat, hilft no management-vlan in der Konfiguration des VLANs, das aktuell das Management-VLAN ist.

Für das Management-VLAN bietet sich ein default-gateway an. In der Annahme, dass das Management-VLAN 10.0.1.0/24 ist mit dem Gateway 10.0.1.1:

(config-vlan-100)# default-gateway 10.0.1.1

Als Adresse wird dem Switch jetzt z.B. 10.0.1.100 zugewiesen:

(config-vlan-100)# ip address 10.0.1.100 255.255.255.0

Absicherung

Im Beispiel wird ein lokaler Super-User (z.B. root ) mit einem Passwort ( geheim ) angelegt:

(config)# username root privilege 0 password geheim

Jetzt wird die Authentifikationsmethode festgelegt (das equivalent des Bearbeiten jeweils eines PAM-Dienst-Stacks). login ist für SSH und telnet zuständig:

(config)# aaa authentication login default local line

Der web-server -Dienst ist für das Web-Management zuständig:

(config)# aaa authentication web-server default local

Aktivierung der verschlüsselten Dienste, Deaktivierung der anderen

So schaltet man von telnet auf ssh um:

(config)# crypto key generate

(config)# no telnet server

Jetzt noch der Webserver:

(config)# web-management https

Jetzt für einen Edge-Switch:

(config)# crypto-ssl certificate generate default_cert

für einen Core jedoch das:

(config)# crypto-ssl certificate generate

Am Ende muss noch der HTTP-Server heruntergefahren werden:

(config)# no web-management http

Sichere Authentifikation

SSH ist zwar verschlüsselt - besser ist jedoch, auf Passwörter bei der Authentifikation verzichten zu können - z.B. per Public Key. Dem SSH-Server des Switches kann man ein Public-Key-File zur Verfügung stellen:

(config)# ip ssh pub-key-file tftp [tftp-server-ip] authorized_keys

Jetzt noch die Public-Key-Authentifikation einschalten:

(config)# ip ssh key-authentication yes

(config)# ip ssh permit-empty-passwd yes

DNS konfigurieren

Der DNS-Domainname meinedomain.de wird festgelegt:

(config)# ip dns domain-name meinedomain.de

Der DNS-Server 10.0.1.2 wird hier eingetragen.

(config)# ip dns server-address 10.0.1.2

Zeitkonfiguration

So stellt man die Zeitzone ein:

(config)# clock summer-time

(config)# clock timezone gmt GMT+1

Jetzt noch einen Zeitserver - z.B. 10.0.1.10 :

(config)# sntp server 10.0.1.10

Man kann auch weitere Server angeben - einer pro sntp server -Kommando.

Syslog konfigurieren

So definiert man den Syslog-Host im Netzwerk - z.B. 10.0.1.11:

(config)# logging host 10.0.1.11

Trunks einrichten (per LACP - also eigentlich Link-Aggregation, nicht Trunk)

Hier wird ein Trunk eingerichtet. Zwei Switches sind daran beteiligt, wobei sich die Konfiguration je nach Typ (Edge oder Core) unterscheidet.

Core

Die Link-Aggregation-Group (also die Gruppe der daran beteiligten Interfaces) bekommt einen Namen - z.B. lag1 :

(config)# lag lag1 dynamic

Die dynamic -Option bedeutet, dass eine Link-Aggregation via LACP und kein wirklich Trunk erzeugt wird.

Jetzt werden Ports - z.B. 3/1 und 7/1 - der Gruppe zugewiesen:

(config-lag-lag1)# port eth 3/1 eth 7/1

Es gibt diverse Regeln für das Slot-Übergreifende zusammenfassen von Ports. Mehr dazu im Handbuch.

Ein beliebiger Port wird jetzt als primärer Port definiert. Konfiguriert man später den Primären Port, so wird dann eigentlich der Trunk konfiguriert.

(config-lag-lag1)# primary-port 3/1

Um sich mit einem Edge-Switch zu verbinden, benötigt man den LACP-Key, der sich nicht explizit setzen läßt. Herraus findet man ihn mit:

(config)# show lag lag1

Jetzt muss man den Trunk noch hochfahren - zeitgleich mit dem anderen Switch oder Computer:

(config-lag-lag1)# deploy

Edge

Man wähle die Interfaces für die Link-Aggregation - z.B. 0/1/1 und 0/1/2 :

(config)# interface ethernet 0/1/1 to 0/1/2

Der für jeden Trunk (auf beiden Switches!) eindeutige LACP-Key (eine Dezimalzahl - z.B. 100) wird definiert:

(config-mif-0/1/1-0/1/2)# link-aggregate configure key 100

Jetzt muss man den Trunk noch hochfahren - zeitgleich mit dem anderen Switch oder Computer:

(config-mif-0/1/1-0/1/2)# link-aggregate active

Redundantes Routing auf dem Switch (VRRP)

Redundantes Switching ist immer mit dem Quell-VLAN der Pakete verknüpft. Dabei wird eine virtuelle MAC- sowie IP-Adresse einem Dou aus zwei Switchen (beides Cores, Edge-Switche routen nicht) zugewiesen. VRRP muss für jedes VLAN einzeln definiert werden.

(config)# router vrrp-extended

Im Beispiel soll das Quell-VLAN die 100 sein:

(config-vrrpe-router)# vlan 100

Man benötigt ein virtuelles Interface - als Nummer nimmt man z.B. die VLAN-Nummer:

(config-vlan-100)# router-interface ve 100

Jetzt in die Interface-Konfiguration wechseln:

(config-vlan-100)# interface ve 100

Dem virtuellen Interface wird eine Adresse aus dem Bereich des VLANs zugewiesen - z.B. 10.0.1.254 . Diese müssen die Clients später nicht kennen, könnten aber theoretisch auch diese als Gateway nutzen - wenn auch nicht mit Redundanz.

(config-vif-1)# ip address 10.0.1.254

Jetzt wird das Redundanz-Protokoll konfiguriert. Dafür ist ein Passwort (im Beispiel geheim ) nötig. Dieses "Passwort" wird später im Klartext regelmäßig per Multicast im ganzen VLAN verteilt!

(config-vif-1)# ip vrrp-extended auth-type simple-text-auth geheim

Eine ID für das vrrp-Router-Paar wird definiert - es bietet sich die VLAN-ID an:

(config-vif-1)# ip vrrp-extended vrid 100

Die Priorität des Routers (Dezimalzahl) wird definiert - die höhere gewinnt, wenn beide Router arbeiten:

(config-vif-1-vrid-100)# backup priority 1

Die Virtuelle IP wird dem virtuellen Interface zugewiesen - im Falle des VLAN 100 sei das die 10.0.1.1:

(config-vif-1-vrid-100)# ip-address 10.0.1.1

Man muss nun den anderen Router entsprechend vorbereitet, wobei natürlich Priorität und reale IP abweichen müssen. Anschliessend fährt man beide mit folgendem Kommando

(config-vif-1-vrid-100)# activate

DHCP-Konfiguration

DHCP-Relay-Konfiguration

DHCP-Relays werden virtuellen Interfaces der Router-Komponenten eines Cores zugeordnet - man muss es also pro Router-Bein auf jedem Core definieren. Diese hat man z.B. während der Konfiguration des virtuellen Routings angelegt. Im Beispiel wird dem virtuellen Interface 100 der DHCP-Server 10.0.1.4 zugeordnet.

(config)# interface ve 100

Jetzt wird der DHCP-Server definiert:

(config-vif-1)# ip helper-address 10.0.1.4

DHCP-Snooping

Mit DHCP-Snooping verhindert man IP/MAC-Spoofing anhand der per DHCP gelernten für einen Port gültigen IP/MAC-Kombination. Das ist pro Port auf den Edge-Switches zu konfigurieren.

Im Beispiel wird das für alle RJ-45-Ports eines FLS im VLAN 200 gemacht:

(config)# ip dhcp snooping vlan 200

(config)# interface ethernet 0/1/1 to 0/1/48

(config-mif-0/1/1-0/1/48)# dhcp snooping trust

Hinweis: Mit diesem Befehl kann man sich gelernte IP/MAC-Tupels anzeigen lassen:

(config)# show ip dhcp snooping

Mehrere VLANs ungetaggt über einen "dummen" Switch zur Verfügung stellen

(config)# mac-authentication mac-vlan-dyn-activation

Damit definiert man ein Fallback-VLAN, in dem alle nicht authentifizierbare MACs landen - im Beispiel VLAN 300:

(config)# mac-authentication auth-fail-vlan-id 300

Pro Port kann man jetzt die Benutzung von mehreren authentifizierten MACs aktivieren. Das geht natürlich auch mit Port-Ranges, jedoch wird man meist nur einen Switch an genau einen Port anschliessen wollen:

(config)# interface ethernet 0/1/10

(config-if-e1000-0/1/10)# mac-authentication enable-dynamic-vlan

(config-if-e1000-0/1/10)# dot1x port-control auto

Die maximale Größe der Authentifikationstabelle der einzelnen Ports wird festgelegt:

(config-if-e1000-0/1/10)# mac-authentication mac-vlan max-mac-entries 32

So definiert man, dass alle nicht authentifizierten MAC-Adressen im vorher definierten restricted VLAN landen:

(config-if-e1000-0/1/10)# mac-authentication auth-fail-action restrict-vlan

Man kann auch am Ende des Befehls eine VLAN-ID angeben und damit das Switch-weite default-restricted-VLAN übersteuern.

Hinweis: Mit folgenden Kommando zeigt man die derzeitig authentifizierten MACs auf den diversen Ports:

(config)# show table-mac-vlan

(config)# show mac-address

Spanning Tree Prioritaeten

• Geringste Root Bridge ID
• Geringste Pfadkosten
• Geringste Sender Bridge ID
• Geringste Port ID

Multicast vorbereiten

IGMP-Snooping muss aktiviert werden, damit ein Multicast im geswitchten Netz nicht zum Broadcast wird:

(config)# ip multicast passive

Automatisierung

Wie kommt man in eine definierte Ebene im CLI eines Switches?

Der Befehl exit ist wie cd .. und ist wenig hilfreich, wenn man eine Mehrstufige Konfigurationsebene z.B. während eines Batch-Jobs - wieder verlassen will. Besser geht's so:

(config-vlan-51)# end

# config t

(config)#

Troubleshooting

Zerflashten Switch starten

Da man üblicherweise im zweiten Flash-Teil noch ein bootfähiges Image hat, sollte es reichen, sich mit der Seriellen Schnittstelle zu verbinden. Dort unterbricht man mit Strg+B den Bootvorgang und definiert dann eine neue "Quelle" für die Firmware. Das wäre im einfachsten Fall der andere Flash-Teil:

# boot system flash [primary|secondary]

Alternativ kann man auch eine IP-Adresse vergeben und per TFTP booten.
[Zurück zum Start]