AOS Training - netbuysell.co.kr slot/port no l2 statistics: interface count clear. Hot swap / Reset ... Jbase.img 6.1.1.534.R01 10927002 Alcatel Base Software

AOS Training

Alcatel-Lucent - Enterprise Solutions Division

All Rights Reserved © Alcatel-Lucent 2007, #####Alcatel-Lucent - Enterprise Solutions Division 2

Agenda

Part 1 : Switch 기본 설정Part 2 : Switch Booting Part 3 : Alcatel operating systemPart 4 : Hardware 정보 확인Part 5 : AOS UpgradePart 6 : Switch 보안Part 7 : VLANPart 8 : 802.1qPart 9 : Spanning TreePart 10 : Link AggregationPart 11 : VRRPPart 12 : Routing ProtocolPart 13 : Access Control ListPart 14 : QoSPart 15 : SNMP ConfigurationPart 16 : Network SecurityPart 17 : Switch CheckPart 18 : LAB


Part 1 : Switch 기본 설정

Switch 기본 설정

1. 기본 계정과 password

User = adminPassword = switch

2. Switch system time과 timezone 설정

->system timezone kst->system time HH:MM:SS->system time-and-date synchro

: CMM redundancy 구성인 경우->show system

3. Switch의 Reboot

->reload working no rollback-timeout

4. AAA 설정 - Web, telnet, ftp, etc.

->aaa authentication default local

5. Save configuration

->write memory

-> show system

System:Description: 6.1.1.645.R01 GA, February 02, 2006.,Object ID: 1.3.6.1.4.1.6486.800.1.1.2.1.8.1.1,Up Time: 1 days 14 hours 6 minutes and 45 seconds,Contact: Alcatel Internetworking, www.alcatel.com/enterprise/en,Name: ,Location: Unknown,Services: 72,Date & Time: WED MAR 14 2012 13:33:26 (GMT)

Flash Space:Primary CMM:Available (bytes): 79794176,Comments : None

Secondary CMM:Available (bytes): 76961792,Comments : None


Serial Connection Default Settings

Console Cable Pinouts ( DB-9 to DB-9 Serial Cable)


baud rate 9600

parity none

data bits (word size) 8

stop bits 1

Console Port PC Com Port

DB-9(male) DB-9(female)

Pins Signals Direction Pins Signals

not used 1

TXD 2

3

4

5

6

7

8

9

RXD

not used

Ground

not used

not used

not used

not used

8 not used

1 not used

2 TXD

3 RXD

4 not used

5 Ground

6 not used

7 not used

9 not used

n/c9

18

87

n/c6

55

n/c4

33

62

n/c1

RJ45DB9

DB-9 to RJ-45

(OS9000, OS6800, OS6602)


Ethernet Cable Requirements

Component LEDs


EMP to a Switch Straight-

through

EMP to a Computer or

Workstation

Crossover

ENI Port to a Switch Crossover

ENI Port to a Computer or

Workstation

Straight-

through

CMM OK1 녹색 On

CMM OK2 녹색 깜박임

CMM TEMP 녹색 On

CMM FAN 녹색 On

NI OK1 녹색 On

NI OK2 녹색 깜박임

Power Supply AC OK 녹색 On

Power Supply DC OK 녹색 On

Power Supply OVER TEMP Off


CMM Module Status LEDs

- OK1 : Hardware Status.

- OK2: Software Status.

- CONTROL : Solid green – Active, blinking green - standby

- FABRIC : solid green - active

- TEMP : green at 0-40°C, blinking amber at 40-45°C, and solid amber at over 45°C.

- FAN : Solid green All fan tray OK

- PSU : Solid green power OK

- LINK : EMP port Link/Activity Status



Directory 구성

1. OS9000은 128MB의 flash Memory를 지원하며 /flash에는 /working, /certified 두개의 directory를 포함하고 Image rollback 기능을 위해 동시에 작동한다. (OS8800,OS7000, OS6600 : 32M OS6800 : 64M flash memory)

2. /flash/working과 /flash/certified가 완전하게 동일하다면, 스위치는 두 directory를 모두 신뢰할 수 있다고 판단하고Switch는 /flash/working에서 작동한다

3. Booting 시 /flash/working와 /flash/certified가 조금이라도 다르면, 스위치는 자동적으로 /flash/certified에서 작동하게된다.

3. Switch가 /flash/working directory에서 작동할 때, 변경된 설정 값은 write memory 명령으로 /flash/working/boot.cfg에 저장한다.

Directory 구조

Part 2 : Switch Booting


Part 2 : Switch Booting

Directory 확인

-> show running-directoryCONFIGURATION STATUS

Running CMM : PRIMARY,CMM Mode : DUAL CMMs,Current CMM Slot : A,Running configuration : WORKING,Certify/Restore Status : CERTIFIED

SYNCHRONIZATION STATUSFlash Between CMMs : SYNCHRONIZED,Running Configuration : SYNCHRONIZED,NIs Reload On Takeover : NONE

Configuration 초기화

/flash/working 디렉토리에서 boot.cfg를 삭제 후 아래의 명령어로 reload한다.

-> reload working no rollback-timeout

CMM의 동기화

Working directory와 certified directory의 동기화

-> copy working certified

Primary CMM과 Secondary CMM의 동기화

-> copy working certified flash-synchro

-> show running-directoryCONFIGURATION STATUS

Running CMM : PRIMARY,CMM Mode : DUAL CMMs,Current CMM Slot : A,Running configuration : WORKING,Certify/Restore Status : CERTIFY NEEDED

SYNCHRONIZATION STATUSFlash Between CMMs : NOT SYNCHRONIZED,Running Configuration : SYNCHRONIZED,NIs Reload On Takeover : ALL Nis (RUNNING

Directories OUT-OF-SYNC)


Part 3 : Alcatel operating system

- Switch를 설정하는 방법은 SNMP, CLI, Webview의 3가지 방법이 있고 그 중에서 CLI에 관하여 알아본다.

CLI help

- ‘ ? ’ 를 이용하면 사용 가능한 명령어가 표시된다.- ‘ vlan ? ’와 같이 입력하면 다음에 사용 가능한 명령어가 표시된다. - ‘ po? ’와 같이 입력하면 po로 시작하는 모든 명령어를 표시한다.- <TAB>를 이용하면 중복되는 명령어가 없다면 자동으로 명령어를 채운다.

CLI Line Editor & History

- ‘ !! ’의 명령어는 마지막에 사용한 명령어를 표시 해준다.- 여러 개의 명령어는 편집해서 한꺼번에 적용 가능하다.- ‘ show history ’로 전에 사용한 명령어의 List를 출력한다.- ‘ !# ’ (‘#’ = command number)로 전에 사용한 명령어를 선택할 수 있다.

Directory Structure

- Switch는 Unix의 기본 command가 사용 가능하다.

pwd – show current directory.

cd – change directory.

mkdir – create a new directory.

ls – list contents of a directory.

mv – move a file.

cp – copy a file.

rm – remove a file.

rls /flash – SecCMM의 list확인

rcp /flash/file name /flash/file name

– SecCMM의 file을 PriCMM으로 copy



Configuration Basic

- Omniswitch의 Configuration은 3개의 다른 version이 있다. 그것은 Working, Certified, 그리고 Runningversion이다.

- Switch가 boot parameter에 의해 부팅할 때 그것은 working 혹은 certified directory로부터 부팅 할 것이다.- 일단 Directory로 중 한가지로 부팅하면 Configuration은 Running Configuration이 된다.

Running Configuration

- ‘ vlan 2 ’, ‘ vlan 3 ’, ‘ vlan 4 ’등 몇 개의 vlan을 생성하면 그 것은 Running Configuration에 만들어 진 것이다. - 변경된 설정은 바로 적용된다. 그러나 완전히 저장된 것은 아니다.- ‘ reload working no rollback-timeout ’으로 reboot 한 후에 ‘ show vlan ’으로 확인 해보면 vlan은 생성되지

않았다. 왜냐하면 Running Configuration에서 변경된 설정 flash memory에 저장되지 않았기 때문이다.

Working Directory

- ‘ vlan 2 ’, ‘ vlan 3 ’, ‘ vlan 4 ’를 생성하고 ‘ configuration snapshot all snap1 ’을 이용해서 Running Configuration 전체를 snap1이라는 ascii file로 저장할 수 있다.

- ‘ write memory ’를 이용해서 Running Configuration을 Working Directory의 boot.cfg에 저장한다.같은 명령어로 ‘ copy running-config working ’ 사용 가능하다.

- ‘ cp snap1 /flash/working/boot.cfg ’의 명령어로 미리 저장한 Running Configuration file을 boot.cfg에 저장할 수 있다.



Certified Directory

- ‘ reload ’의 명령어로 reboot하면 Switch는 certified directory로 부팅한다.- 변화된 설정을 certified directory로 저장하지 않았기 때문에 Certified로 부팅한 것이다.- Certified로 부팅한 상태에서는 설정한 내용이 저장되지 않는다. 이 경우에는 Running directory를 working

Directory로 만들어야 write memory의 명령어로 통해서 변경된 설정을 저장할 수 있다.- Running directory를 working directory로 만들려면 ‘ reload working no rollback-time ’를 이용해서

Working directory로 부팅한 다음 ‘ copy working certified ’로 두 Directory를 동기화 시킨다.- 만약 certified의 설정이 문제가 없다면 ‘ copy certified working ’으로 동기화도 가능하다

Configuration Snapshot

- ‘ show configuration snapshot all ’의 Snapshot 기능을 이용해서 전체 Current running configuration을확인 가능하다.

- ‘ configuration snapshot all snapall ’로 snapall이라는 file로 전체 configuration을 저장하고 snapall이라는file을 view에서 확인하고 그리고 vi를 이용해서는 편집이 가능하다.


Part 4 : Hardware 정보 확인

Gathering Switch Information

- show hardware info : Information on CPU, Memory, Miniboot.

- show microcode : Code descriptions and versions.

- show microcode history : List of upgrade path.

- show chassis : Chassis type and part numbers.

- show cmm : Processor and fabric board information.

- show ni : Networking interface information.

- show power : Power supply information.

- show fan : Fan Information.

- show temperature : Temperature and temperature threshold.

CMM Redundancy

- show cmm

- reload secondary

- reload primary

- Primary CMM의 failover 시 실제 사용중인 Packet에 영향은 없다.

- ‘ copy flash-synchro ’의 명령어로 Primary CMM의 Working, Certified directory를 Secondary CMM의 Working,

Certified directory로 동기화 시킬 수 있다.


Part 4 : Hardware 정보 확인

Ethernet Port Configuration

- Show interfaces slot/port : Tells whether the port is active or not.

- Interfaces slot/port duplex [half,full,auto] : Sets the duplex mode.

- Interfaces slot/port speed [10,100,1000,auto] : Sets the speed.

- Interfaces slot/port admin [up,down] : enable or disable a port.

- Show interfaces slot/port accounting : gather frame statistics.

- Show interfaces slot/port counters : gather error and frame counts.

- interfaces slot/port no l2 statistics : interface count clear.

Hot swap / Reset

- 전체 Module은 Hot swap 가능하다.

Ni Power

- no power ni [slot #] : NI module의 power down.

- power ni [slot #] : NI module의 power restore.


Part 5 : AOS Upgrade

AOS Upgarde

- Ominswitch는 zmodem과 ftp 두가지 방법으로 switch로 Image를 복사할 수 있다.

- Ftp는 EMP port와 IP 설정한 NI에서 가능하다.

- 다음의 명령어로 Version을 확인한다.

-> show microcode loaded

-> show microcode working

-> show microcode certified

- ‘ show microcode working ’의 출력은 아래와 같다.

-> show microcode working

Package Release Size Description

---------+--------------+--------+-----------------------------------

Jbase.img 6.1.1.534.R01 10927002 Alcatel Base Software

Jos.img 6.1.1.534.R01 1843725 Alcatel OS

Jadvrout.img 6.1.1.533.R01 1383444 Alcatel Advanced Routing

Jeni.img 6.1.1.534.R01 3625441 Alcatel NI software



아래는 Omniswitch OS9000에 대한 image 목록이다.- OS9000(Fuji)은 Jos.img로 OS8800(Eagle)은 Eos.Img, OS7000(Falcon)은 Fos.img

OS6600(Hawk)은 Hos.img, OS6800(Kite)은 Kos.img로 시작한다



EMP Port Parameter 변경

- EMP Port의 Default IP Address는 192.168.1.1 / 255.255.255.0 이다.

- Vlan router ip는 EMP IP Address와 동일 한 IP를 설정할 수 없다.

- EMP Port의 IP 변경 시에는 아래의 순서로 진행한다.

modify boot parameters : modify boot parameter menu로 들어간다.

boot empipaddr 10.1.1.1 : EMP IP address 설정

boot empnetmask ffffff00 : Mask 설정

Show : 현재 설정 값 확인

commit system : Running system에 설정 값을 저장

commit file : NVRAM에 설정 값을 저장해서 reboot시에도 저장 가능하게 한다.

Exit : System prompt로 나간다.

- IP 설정을 PC와 맞춘 다음 EMP Port와는 crossover cable로 연결한다.

- EMP로 PC 연결 시 ACL의 Policy에 영향 받지 않는다.



Console / zmodem

- Switch의 Console에 PC를 연결 후 ‘ cd ’를 이용해서 원하는 Directory로 이동한다.

- Prompt에서 ‘ rz ’ 입력 후 PC의 Terminal Program에서 zmodem을 이용해서 file을 전송한다.

- zmodem을 이용 하는 것 보다는 FTP를 이용하는 것이 보다 빠르게 Image를 전송할 수 있다.

AOS upgrade

- FTP를 이용한 upgrade 방식(EMP 사용가능)- 아래의 순서로 upgrade 진행

-> show system : version 확인-> cd working : working directory로 이동-> ls : file 확인-> rm *.img : 전체 image 삭제, boot.cfg는 삭제하지 않음

PC에서 switch로 ftp 접속, binary로 /flash/ working로 전송

-> install *.img : 새로운 image install-> reload working no rollback-timeout : working directory로 reload-> copy working certified : version 및 정상동작 확인 후 동기화-> copy flash-synchro : CMM간의 동기화


Part 6 : Switch 보안

Switch Login 계정의 확인 및 생성

- ‘ show user ’로 Switch에 생성된 계정을 확인 할 수 있다.- 기본적으로 admin, default 두 개의 계정이 생성되어 있고 그 중에 default 계정은 기본적으로는

Switch에 접속할 수 없는 Permission이다.

-> show userUser name = adminRead right = 0xffffffff 0xffffffff,Write right = 0xffffffff 0xffffffff,Read for domains = All ,Write for domains = All ,Snmp not allowed

User name = defaultRead right = 0x00000000 0x00000000,Write right = 0x00000000 0x00000000,Read for domains = None ,Write for domains = None ,Snmp authentication = NONE, Snmp encryption = NONE

Full Read/Write Permission

No Read/Write Permission


Part 6 : Switch 보안

- 다음과 같이 사용자 계정을 추가할 수 있다.

-> user userread password 123456 read-only all : Read 권한만 가진 User ‘userread’ 생성-> user userwrite password 123456 read-write all : Read-write 권한을 가진 User ‘userwrite’ 생성

Partition Management

- Partition Management User 별로 Access 할 수 있는 기능을 제한 할 수 있다.

-> user userread read-only domain-layer2 : User ‘userread’는 Layer2 기능만 Read 할 수 있다.

-> user userwrite read-write vlan : User ‘userwrite’는 Vlan에 대해서만 Read-write할 수 있다.

-> user userwrite read-write ? : Option을 ?로 확인하면 많은 Option을 확인 가능하다.

Authenticated Switch Access

- ASA가 Switch를 설정 가능한 사용자들을 제한할 수 있는 능력을 제공한다.

- Switch Longin인 시도는 RADIUS, LDAP, 또는 ACE-서버와 같은 Local database 또는 remote database를

경유하여 인증 받을 수 있습니다.

- ASA는 Telnet, FTP, SNMP, SSH, HTTP, 그리고 console과 modem port들에 적용됩니다.

- ‘ show aaa authentication ’ : Switch internal database authentication 확인- ‘ no aaa authentication telnet ’ : Telnet access의 disable


Part 7 : VLAN

Vlan Configuration

- 처음에는 Default vlan1만 존재하며 모든 port는 vlan1에

할당되어 있음

- ' show vlan ' : Vlan basic information

-> show vlan

vlan admin oper stree auth ip ipx name

----+-----+----+-----+----+--+---+-----

1 on on on off off off VLAN 1

- ' show vlan 1 ' : Vlan 1의 information

-> show vlan 1

Name : VLAN 1,

Administrative State: enabled,

Operational State : enabled,

Spanning Tree State : enabled,

Authentication : disabled,

IP Router Port : none,

IPX Router Port : none

- ' show vlan port ' : Vlan에 assign된 port list

-> show vlan port

vlan port type status

----+-----+----+-------

1 2/1 default forwarding

1 2/2 default inactive


:

:


- 새로운 vlan 생성

-> vlan 2

- vlan에 port assign (untag frame)

-> vlan 2 port default slot/port


Vlan IP Configuration

- Multi-netting 기능 지원

- 한 개의 vlan에 여러 개의 ip interface를 적용가능(최대 8개)

- vlan 생성

-> vlan 10

- vlan에 ip 할당

-> ip interface vlan-10 address 10.10.10.1/24 vlan 10

: vlan10이라는 name으로 해당 ip를 지정하고 vlan10에 할당

- vlan에 다른 ip 할당

-> ip interface vlan-11 address 10.10.11.1/24 vlan 10-> ip interface vlan-12 address 10.10.12.1/24 vlan 10

- vlan에 할당된 ip 확인

-> show ip interfaceTotal 9 interfaces

Name IP Address Subnet Mask Status Forward Device-----------+-------------+-------- ---+-----+------+--------EMP 192.168.1.1 255.255.255.0 DOWN NO EMP Loopback 127.0.0.1 255.0.0.0 UP NO Loopbackvlan-10 10.10.10.1 255.255.255.0 DOWN NO vlan 10 vlan-11 10.10.11.1 255.255.255.0 DOWN NO vlan 10 vlan-12 10.10.12.1 255.255.255.0 DOWN NO vlan 10

- vlan에 port assign

-> vlan 10 port default slot/port

Part 7 : VLAN


Group Mobility

- Group Mobility란 port가 한 개의 Vlan에 Assign되는것이

아니라 처음에는 default vlan에 속해 있다가 사용자가

설정한 Network에 의해서 해당 Vlan으로 Dynamic하게

이동하는 기술이다.

- 사용자는 이동 시 IP를 변경하지 않고 Network이 사용이

가능하다.

- Port에 대해서 mobile port로 설정

-> vlan port mobile slot/port

-> show vlan port mobile 2/24

-> show vlan port mobile 2/24

Mobility : on,

Dynamic Default Vlan: 0,

Config Default Vlan: 2,

Default Vlan Enabled: on,

Default Vlan Perm : off,

Default Vlan Restore: on,

Authentication : off,

Ignore BPDUs : off

- ‘show vlan port ’로 확인하면 G.M 사용 시 type이

mobile로 표시되고 한 개의 mobile port에서 여러 개의

Vlan이 올라 오는것을 확인할 수 있다.

-> show vlan port


---+-----+------+-------

1 3/1 default forwarding


3 9/3 mobile forwarding



- Network Rule 설정

-> vlan 2 ip 192.168.10.0 255.255.255.0

-> show vlan rule

Legend: type: * = binding rule

type vlan rule

---------+------+----------------------

ip-net 2 192.168.11.0, 255.255.255.0

Part 7 : VLAN


- vlan port mobile 1/1 bpdu ignore enable

: bpdu ignore 설정 필요

- vlan port 9/1 default vlan restore disable

: mobile port에 Switch 연결 시 위의 설정 필요

Part 7 : VLAN


Part 8 : 802.1q

- 802.1q란 한 개의 물리적 Link에 Multiple broadcast domain(Tag frame)을 실어 여러 Vlan을 사용하는

기능이다.

- 각각의 Switch에서 같은 Vlan을 사용하고자 할 경우 사용한다.

802.1q 설정

-> vlan 4 802.1q 3/4 : vlan 4를 3/4 에 설정

-> vlan 50 no 802.1q 3/1 : 802.1q 삭제

-> show vlan port : type이 qtagged인지 확인

-> 반대쪽 Switch에도 같은 설정을 해야 한다.

-> show vlan port : Vlan port 확인 시 type이 qtagged로 표시된다.


----+-------+---------+------

50 3/1 qtagged forwarding


-> 802.1q Network도 STP에 포함된다.


Part 9 : Spanning Tree

Spanning Tree Protocol

- Default로 Multiple STP enable- 802.1D와 802.1W(fast spantree), 802.1s 지원

-> bridge mode 1x1 : Multiple STP-> bridge mode FLAT : Single STP-> bridge 101 priority 1 : root bridge로 지정-> bridge 101 protocol 1d : Default 상태-> bridge 101 protocol 1w : 802.1w 설정-> bridge 101 1/1 path cost 100 : path cost 수정-> show spantree

- Default path cost 값: 10Gbps = 2: 1Gbps = 4: 100Mbps = 19: 10Mbps = 100

-> show vlan port vlan port type status

----+----+------+------10 1/2 default forwarding10 2/1 default blocking

-> show spantree 10

Spanning Tree Parameters for Vlan 10 Spanning Tree Status : ON,Protocol : IEEE 802.1D,mode : 1X1 (1 STP per Vlan),Priority : 32768 (0x0001),Bridge ID : 0001-00:d0:95:8e:46:a2,Designated Root : 0001-00:d0:95:4d:02:84,Cost to Root Bridge : 4,Root Port : 1/1,Next Best Root Cost : 23,Next Best Root Port : 1/24, Hold Time : 1,Topology Changes : 21,Topology age : 3:35:54Current Parameters (seconds)

Max Age = 20,Forward Delay = 15,Hello Time = 2

Parameters system uses when attempting to become root

System Max Age = 20, System Forward Delay = 15, System Hello Time = 2


Part 10 : Link Aggregation

- Link Aggregation은 회선의 Bandwidth 확장 및 회선 장애 시 신속한 takeover가 가능하다.

- Omni switch의 Link Aggregation은 Omnichannel(static)과 LACP(802.3ad) 두 가지를 지원한다.

- OS9000은 최대 32 Group, Group당 최대 8 port의 Aggregation은 지원한다.

Link Aggregation – Static

-> static linkagg 1 size 2 admin state enable : linkagg ID는 1이고 port 2개를 Aggregation한다.

-> static agg 1/1 agg num 1 : 1/1과 1/2를 Aggregation한다. Switch상에서는 0/1으로 한 개의 Port로 인식한다.

-> static agg 1/2 agg num 1

-> vlan 2 port default 1

-> show linkagg

-> show linkagg 5

-> show linkagg port

Link Aggregation – Dynamic

-> lacp linkagg 1 size 2 actor admin key 1

-> lacp agg 1/1 actor admin key 1

-> lacp agg 1/2 actor admin key 1

-> vlan 2 port default 1


Part 11 : VRRP

VRRP 설정

- Active switch에서 다음과 같이 설정한다.

-> vrrp 1 200 : Vrrp ID,Van ID 설정

-> vrrp 1 200 ip 200.200.200.1 : Virtual IP 설정

-> vrrp 1 200 priority 200 : Priority가 높으면 VRRP Master가 된다.

-> vrrp 1 200 enable : VRRP enable

-> show vrrp 1 : VRRP 상태 확인

-> show vrrp statistics

- Backup switch에서 다음과 같이 설정한다.

-> vrrp 1 200 : Vrrp ID,Van ID 설정

-> vrrp 1 200 ip 200.200.200.1 : Virtual IP 설정

-> vrrp 1 200 priority 100 : Priority가 낮으면 VRRP Backup이 된다.

-> vrrp 1 200 enable : VRRP enable


Part 12 : Routing Protocol

Static Routing 설정

- Static Routing은 다음과 같이 설정한다.

-> ip static-route 192.168.10.0 mask 255.255.255.0 gateway 10.10.10.1

- Default gateway은 다음과 같이 설정한다.

-> ip static-route 0.0.0.0 mask 0.0.0.0 gateway 203.229.229.1

- Routing table을 확인하는 명령어는 다음과 같다.

: Protocol이 NETMGMT라고 표시되는 경우가 static routing을 설정한 경우이다.

-> show ip route

+ = Equal cost multipath routesTotal 7 routes

Dest Address Subnet Mask Gateway Addr Age Protocol ------------------+--------+-------------+---------+-----------

0.0.0.0 0.0.0.0 203.229.229.1 16:32:51 NETMGMT10.10.10.0 255.255.255.0 10.10.10.2 4d22h LOCAL127.1.0.0 255.255.0.0 127.1.65.0 6d 1h LOCAL192.168.10.0 255.255.255.0 10.10.10.1 00:00:02 NETMGMT


Dynamic Routing – RIP 설정

- Omniswitch는 RIP V1과 RIP V2를 지원한다.

-> ip load rip : RIP Demon을 load한다.

-> ip rip interface 104.2.71.4 : RIP Interface 설정

-> ip rip interface 104.2.71.4 status enable : RIP Interface Status enable

-> ip rip interface 10.10.10.1 send-version v1(v2) : RIP Send Version 설정

-> ip rip interface 10.10.10.1 recv-version v1(v2) : RIP Receive Version 설정

-> ip rip redist LOCAL : Local Network에 대한 Redist 설정

-> ip rip redist STATIC : Static Network에 대한 Redist 설정

-> ip rip redist-filter LOCAL 0.0.0.0 0.0.0.0 : Local Network 전체를 Redist으로 설정

-> ip rip redist-filter STATIC 0.0.0.0 0.0.0.0 : Static Network 전체를 Redist으로 설정

-> ip rip status enable : RIP Status enable

-> ip rip redist status enable : RIP Redist Status enable



-> show ip route : Protocol이 Rip으로 올라 오는지 확인

+ = Equal cost multipath routes

Total 70 routes

Dest Address Subnet Mask Gateway Addr Age Protocol

-------------+---------------+-----------------+--------+-----------

0.0.0.0 0.0.0.0 166.104.192.254 00:14:15 NETMGMT

127.0.0.1 255.255.255.255 127.0.0.1 00:15:50 LOCAL

166.104.0.6 255.255.255.255 166.104.192.252 00:14:10 RIP

166.104.184.0 255.255.255.0 166.104.192.8 00:12:10 RIP

-> show ip rip interface : RIP Interface 확인

-> show ip rip route : RIP Route 확인



- OSPF Routing은 다음과 같이 설정한다.

-> ip router router-id 200.200.200.200 : Router ID가 가장높은 것이 DR이 된다.

-> ip load ospf : OSPF Demon enable

-> ip ospf area 0.0.0.0 : OSPF area ID 설정

-> ip ospf area 0.0.0.0 status enable : OSPF area status eable

-> ip ospf interface 100.100.100.1 : ospf interface 생성

-> ip ospf interface 100.100.100.1 area 0.0.0.0 : 각 Interface에 OSPF area 설정

-> ip ospf interface 100.100.100.1 status enable : ospf interface status eable

-> ip ospf asbr : asbr설정(redist router에 설정)

-> ip ospf redist LOCAL : Local Network에 대한 redist

-> ip ospf redist STATIC : Static Network에 대한 Redist 설정

-> ip ospf redist-filter LOCAL 0.0.0.0 0.0.0.0 : Local Network 전체를 Redist으로 설정

-> ip ospf redist-filter STATIC 0.0.0.0 0.0.0.0 : Static Network 전체를 Redist으로 설정

-> ip ospf redist status enable

-> ip ospf status enable



-> show ip route : ECMP 생성의 예

+ = Equal cost multipath routes

Total 26 routes

Dest Address Subnet Mask Gateway Addr Age Protocol

-------------+----------- -+-------------+------+-----------

158.44.3.0 255.255.255.0 +158.44.4.4 1d23h OSPF

+158.44.9.1 1d23h OSPF

158.44.4.0 255.255.255.0 158.44.4.1 1d23h LOCAL

-> show ip ospf interface : DR과 BDR 선정 확인

show ip ospf interface IP DR Backup DR Admin Oper

Address Address Address Vlan Status Status State------------+-------------+-------------+----+--------+------+-------

156.147.76.38 156.147.76.41 156.147.76.33 501 enabled up DRother156.147.76.70 156.147.76.65 156.147.76.73 502 enabled up DRother

-> show ip ospf neighbor : Neighbor 상태 확인

IP Address Area Id Router Id Vlan State Mode ------------+----------+----------------+----+-------+--------156.147.76.33 0.0.0.0 200.200.200.200 501 Full Slave 156.147.76.34 0.0.0.0 60.60.60.60 501 2way Slave



Part 13 : Access Control List

- ACL의 삭제는 rule, action condition의 순서로 삭제한다. 그리고 반드시 마지막에 qos apply 해 주어야 적용된다.

- 전체 qos config 삭제시는 qos flush후 qos apply

Layer2 ACL

policy condition toMAC3 destination mac 00:00:00:00:00:03

policy action deny disposition drop

policy rule r1 condition toMAC3 action deny

qos apply

Layer3 ACL

policy condition fromIP1toIP3 source ip 10.0.0.100 destination ip 192.0.0.0 mask 255.0.0.0

policy action deny disposition deny

policy rule r1 condition fromIP1toIP3 action deny

qos apply

Layer4 ACL

policy service t445 destination tcp port 445


policy service group tcp_group t445 t135

policy condition c1 service group tcp_group


policy rule r1 condition c1 action deny

qos apply


- NEW ACL Features

UserPorts Group Policy

- IP address spoofing 방지

- Uplink & Rouing 구간에는 적용 불가

- policy port group UserPorts 1/1-12

-> show ip traffic

Datagrams received

------------------------+------------

Total 9260274

IP header error 0

Destination IP error 0

:

:

Fragment failed 0

Fragments generated 0

Event Source Total Last 1 seconds

---------------------------+------------------------

spoof 1/2 2538258 1223 last mac 00:10:a4:97:d0:e8



DropServices Group ACL


policy service group DropServices t445

policy port group portgroup 1/1-12

policy condition c1 source port group portgroup service group DropServices

policy action drop disposition drop

policy rule r1 condition c1 action drop

qos apply

ICMP Drop Rules

policy condition ping10 source vlan 10 ip protocol 1

policy action drop disposition drop

policy rule noping10 condition ping10 action drop



Switch Access Control Sample

- IP가 10.10.10.100을 제외한 모든 IP에 대해서 Switch로 TCP 23,21,80 접속을 차단

policy service t1 protocol 6 destination tcp port 23



policy service group g_1 t1 t2 t3

policy condition drop destination network group Switch service group g_1

policy condition ok_c1 source ip 10.10.10.100 destination network group Switch service group g_1

policy action accept disposition accept


policy rule r1 precedence 100 condition ok_c1 action accept

policy rule drop condition drop action deny

qos apply



ACL과 마찬가지로 Condition, Action, Rule로 구성이 된다.

QoS Policies• Classification on L1/L2/L3/L4 (IPV6 support in future release)• Enqueuing in one of the 8 COS queues

Actions• Drop frames• Change queuing priority• Update TOS/Diffserv and/or 802.1P priority tags• 802.1p/TOS/Diffserv marking• 802.1p/TOS/Diffserv mapping• Per COS max bandwidth (64K bps)• Statistics (# of packets, # of bytes)• Ingress policing / Egress shaping• Multi-actions support

Part 14 : QoS


OS-9000 HW Classification- One Packet Processor per Module

- Ingress Port Bitmap- Src-port & Dest-port- TCP/UDP src & dst- Outer & inner VID- Ethertype & Outer VID- Ethertype & IP Protocol- Lookup Status

- IP-SA, IP-DA, IP-Prot, L4 src, L4 dst, DSCP, IP-Flag, TCP-Control, TTL- IP-SA, IP-DA, IP-Prot, L4 Range, L4 dst, DSCP, IP-Flag, TCP-Control, TTL- IP-SA, IP-DA, IP-Prot, L4 src, L4 Range, DSCP, IP-Flag, TCP-Control, TTL- IPv6-SA- IPv6-DA- IPv6-DA (64b prefix), NH, TC, FL, TTL, TCP Control- MAC-DA, MAC-SA, Ethertype, Outer VID- MAC-SA, IP-SA, Ethertype, Outer VID- MAC-DA, IP-DA, Ethertype, Outer VID- User Defined 1 (4 x 4 Bytes – among the 1st 128 Bytes)- User Defined 2 (4 x 4 Bytes – among the 1st 128 Bytes)

- IP-Info, Opcode, Format- Src-port- Dest-port- Lookup Status

Field-1

Field-3

Field-2

Part 14 : QoS


QoS Samplepolicy condition c_80 destination tcp port 80 policy condition c_dscp dscp 63 policy condition c_ip source ip 10.0.0.1 policy action a_80 tos 4 policy action a_dscp tos 5 policy action a_ip tos 6 policy rule r_ip condition c_ip action a_ippolicy rule r_dscp condition c_dscp action a_dscppolicy rule r_8- condition c_80 action a_80 qos port 5/1 trusted

Part 14 : QoS


Part 15 : SNMP Configuration

SNMP Configuration

-> aaa authentication snmp "local"

: SNMP access 허용

-> snmp security no security

: security level을 정하는 command

BOP는 all SNMP(v1, v2, v3) 사용 가능

-> snmp community map mode enable

: access을 위한 local user database enable

-> user "a12345" read-write all password "a1234567" no auth

: SNMP query를 위한 read-write 권한의 사용자 생성

-> snmp community map "public" user "a12345" on

: snmp community map과 사용자 설정

-> snmp station 156.146.93.100 162 "a12345" v3 enable

: account에 대한 snmp station 설정

-> snmp trap absorption enable

: trap table들의 activity을 위한 설정

-> snmp trap to webview enable

: Webview에서 참조하기 위해 trap 설정


Part 16 : Network Security

AVLAN 인증방식

- Telnet 인증 : Telnet program에서 ‘ telnet 192.168.12.253 259 ’으로 요청하면 login 절차를 진행한다.

- HTTP 인증 : Web brower에서 URL을 다음과 같이 입력하면 " https://192.168.12.253 "요청하면 login 절차를

진행한다.

- Software 인증 : Alcatel Avlan client S/W를 이용한 login 절차를 진행한다.

802.1x

- Port 기반의 Authentication Network

Binding Rule

- Network 사용자에게 Rule을 적용해서 요건이 충족 할 시에만 Network 사용 가능하다.

- Rule의 종류 : PORT-PROTOCOL, MAC-PORT-PROTOCOL, MAC-PORT, MAC-IP-PORT,

MAC-IP ,IP-PORT

- 마찬가지로 G.M 기반의 기술이다.

- 설정방법은 아래와 같다.

-> vlan 2 binding ip-port 192.168.11.200 slot/port : ip-port rule 적용하여 rule에 만족할 시 사용 가능

-> show vlan rule : rule 설정확인

-> vlan 2 no binding ip-port 192.168.11.200 : binding rule의 삭제


- Omniswitch에서는 Network Security를 위하여 802.1x 와 AVLAN, Binding rule을 지원한다.

Authentication VLAN

- Authentication Sever에서 인증된 사용자에 한해서 Network 자원 접근이 가능하다.

- Group Mobility 기술을 근간으로 처음에 사용자들은 Default Vlan에 속해 있다가 인증절차를 거치게 되면

해당 Vlan으로 이동하고 Network 접속이 가능하다.

- 설정 순서는 아래와 같다.

-> vlan 99 : Vlan 생성

-> vlan 99 router ip 192.168.11.1 : Vlan 99 IP 설정

-> VLAN 99에 RADIUS server를 연결

-> vlan 2 : authentication을 위한 VLAN 생성

-> vlan 2 router ip 192.168.12.1 : Vlan 2 IP 설정

-> vlan port mobile slot/port : Avlan 사용자들 port를 mobile port로 enable

-> vlan port slot/port authenticate enable : Avlan 사용자들 port를 Authenticated port 로 enable

-> vlan 2 authentication enable : Vlan 2를 authenticated Vlan으로 enable

-> aaa radius-server "rserver" host 200.5.1.100 key 43b85916020505fe retransmit 4 timeout 2

auth-port 1812 acct-port 1813 : Switch에서 Radius server에 대한 설정

-> aaa authentication vlan single-mode rad1 : Single mode로 Avlan 설정

-> aaa accounting vlan rad1 : Accounting 설정

-> Vlan 2 사용자는 인증 절차를 거친 후에 Network에 접속가능

Part 16 : Network Security


Part 17 : Switch Check

Switch의 점검 순서

1) Switch의 H/W 상태를 점검한다.

- show module, show cmm, show fan, show fabric(OS8800), show power

- Switch 외관상 LED 상태 점검(황색 LED 점등 여부)

2) Switch의 S/W 상태를 점검한다.- show system : switch uptime, code version 확인- ls로 /flash에 dump file 생성여부(PMD, Error)- show running-directory로 CMM의 동기화 여부 및 Running configuration 이

working인지 확인- show health, show health [slot#], show health all cpu등으로 Switch의 health

상태를 점검한다.

3) show log swlog를 이용해서 log를 확인한다.

4) show configuration snapshot으로 전체 config의 변화 유무를 확인한다.

5) 하위 Layer에서 상위Layer로의 순서로 장애 원인을 찾는다.- show interfaces slot/port로 해당 port에서 inbound/outbound packet이 증가하는지 또는broadcast, unicast, multicast등의 증가 여부 등을 점검한다.

- show interfaces status로 Interface autonego/duplex등을 확인한다.- show interfaces counters errors를 이용해서 Interface의 error등이 발생하는지 확인한다.

6) STP의 상태를 확인한다. - show vlan port/show spantree port등을 통해서 정상적으로 blocking port가 생겼는지- show spantree [num]을 이용해서 topology change, topology age등을 점검한다.


7) Routing table을 확인한다.

- Static routing : routing path 설정 확인

- RIP : rip version, rip router table확인

- OSPF : DR, BDR선정여부, Neighbor, LSDB등을 확인한다.

Switch에서 Packet Debug(Part 19 참조) 을 이용해서 Hello packet들의 상태를 점검한다.

8) 만약 S/W 문제라면 Up/downgrade를 신속하게 실시한다.

- 먼저 working directory에만 Up/downgrade를 실시해서 상태를 확인 후 정상적이면

working에서 certified로 복사하고 같은 증상이면 다시 원상 복귀 시킨다.

9) Virus의 영향인지 확인한다



1) Switch의 packet debug을 이용해서 해당 packet을 확인한다.

아래의 명령에 의해서 10초간 packet을 Capture한다.

/flash에 test.txt란 file은 생성된다.

-> debug ip packet board all output file test.txt start timeout 10 (전체 CMM & NI)

-> debug ip packet board ni 1 output file test.txt start timeout 10 (NI 1 module)

2) ftp로 test.txt file을 PC로 가져와 확인한다.

아래에 sample을 보시면 실제로 445 port를 이용한 패턴임을 알 수 있다.

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.176.37.227 TCP 3577,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.176.37.227 TCP 3577,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.181.193.22 TCP 3578,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.181.193.22 TCP 3578,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.230.206.226 TCP 3582,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.230.206.226 TCP 3582,445

8 R 8/20 (00508bad0d9a)->(00d0959e66d4) IP 203.232.212.2->218.54.65.199 TCP 3579,445

8 S 8/49 00d0959e66d4->00d095816c3c IP 203.232.212.2->218.54.65.199 TCP 3579,445



Part 18 : LAB - 1

Backbone#1

802.1qVlan10,20

VRRP10.10.10.25410.10.20.254

Workgroup

Backbone#2vlan 10

10.10.10.1/24

Linkagg2 port

vlan 1010.10.10.2

/24

vlan 2010.10.20.2

/24

vlan 2010.10.20.1

/24

802.1qVlan10,20

802.1qVlan10,20

LAB - 1 구성도

vlan 1010.10.10.3

/24

vlan 2010.10.20.3

/24

LAB – 1

1) Backbone#1과 Backbone#2 사이에는 Link aggregation을

구성하여 Bandwidth를 확장 시킨다.

2) Vlan 10, 20을 전체 Switch에서 사용 가능 해야 한다.

3) Vlan 10, 20은 VRRP로 구성하여 Gateway를 Backup한다.

4) Workgroup의 Traffic은 OS7800#1,2로 분산 시킨다.

5) STP는 802.1w로 구성한다.

6) Backbone#1 Power Down 후 VRRP 상태를 확인한다.


Part 18 : LAB - 2

Workgroup

vlan 1010.10.10.1

/24

Linkagg2 port

vlan 1010.10.10.2

/24

vlan 2010.10.20.2

/24

vlan 3010.10.30.2

/24

LAB - 2 구성도

vlan 3010.10.30.1

/24

vlan 2010.10.20.1

/24

LAB – 2

1) Backbone#1과 Backbone#2 사이에는 Link aggregation을

구성하여 Bandwidth를 확장 시킨다.

2) OSPF 구간은 각각 별도의 Network으로 구성한다.

3) OSPF Area는 Backbone Area로 구성한다.

4) Local Network은 Redistribution으로 구성한다.

5) OSPF Interface / Neighbor 상태를 확인한다.

5) Routing table을 확인한다.

Area 0.0.0.0

vlan 4010.10.40.1

/24

vlan 5010.10.50.1

/24

vlan 6010.10.60.1

/24

Backbone#1

Backbone#2

www.alcatel-lucent.com

Documents

AOS Training - netbuysell.co.kr slot/port no l2 statistics: interface count clear. Hot swap / Reset ... Jbase.img 6.1.1.534.R01 10927002 Alcatel Base Software