Знакомство с Avaya ERS 4000

в 8:14, , рубрики: Avaya, конфигурация, Сетевое оборудование

Здравствуйте! Около года назад, столкнувшись впервые с железом бывшего Nortel'a, а ныне Avaya, я обнаружил отсутствие в сети какой-либо вменяемой информации по настройке и траблшутингу этого оборудования. Только официальную документацию, из которой не всегда можно явно получить нужную информацию.

Поэтому, сегодня я представляю вашему вниманию, в качестве знакомства с вендором и синтаксисом CLI, разбор конфигурации коммутатора уровня доступа Avaya 4850GTS-PWR+, которая заточена под обслуживание доступа в сеть обычных жилых квартир.

Синтаксис Avaya, на первый взгляд, очень напоминает Cisco, однако сам принцип подхода к реализации некоторых возможностей сильно отличается. Итак, распакуем наш коммутатор, включим его в розетку и воткнём консольный кабель.

Сразу первый совет: обращайте внимание на разъем кабеля питания. У некоторых моделей он поставляется с небольшим вырезом. Если в вашем случае это так — берегите как зеницу ока, чтобы не пришлось думать как же вас угораздило его потерять, вырезая ножом такую-же выемку у стандартного кабеля питания.

В процессе первой загрузки, будет предложено запустить автоконфигурацию. Я рекомендую пропускать этот шаг, особенно в тех случаях, когда настраивать надо не один и не два коммутатора. Вместо этого намного проще заливать конфигурацию из шаблона, что сводится в конечном итоге к ctrl-C ctrl-V.

По окончании загрузки, видим баннер вендора и предложение нажать ctrl+Y для продолжения, что и сделаем.

4850GTS-PWR+>

Переходим в привелегированный режим командой enable и сразу же в конфигурацию configure terminal. На этом, возникшее у многих «Дежавю» можно считать практически исчерпанным.

4850GTS-PWR+>enable
4850GTS-PWR+#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
4850GTS-PWR+(config)#

Первое, что стоит сделать, это отключить такую «полезную» функцию, как autosave, которая периодически сохраняет конфигурацию, даже если оная ведет к недоступности коммутатора извне. Чем это грозит, думаю, понимаете сами. Поэтому просто отключаем.

4850GTS-PWR+(config)#no autosave enable

Далее сразу сделаем две вещи, которые применяются только после перезагрузки, чтобы более не отвлекаться в процессе конфигурации.
Во-первых, выберем режим работы Spanning-tree. В моём случае, это RSTP:

4850GTS-PWR+(config)#spanning-tree mode rstp
New operational mode RSTP will take effect upon reset
4850GTS-PWR+(config)#

Во-вторых режим работы QoS. QoS на Avaya это тема отдельной немаленькой статьи, пока же скажу только, что методом научного тыка проб и ошибок, было установлено, что оптимальное решение для коммутатора уровня доступа такое:

4850GTS-PWR+(config)#qos agent aq-mode mixed
4850GTS-PWR+(config)#qos agent buffer maximum
QoS buffer setting isn't effective until after reset.
4850GTS-PWR+(config)#

Можно, конечно, настроить очереди и руками, но, опять-же, смысла в этом на уровне доступа нет (если, конечно, на всех портах у вас не висят хардкорные пользователи, круглосуточно выкачивающие Терабайты торрентов).

Кстати о второй команде. Avaya рекомендует использовать максимальный буффер, если в вашей сети предоставляются такие сервисы, как потоковое вещание видео (банальный IP_TV под это тоже подпадает). Если буфер настроен, например, на regular, телевидение работать будет ровно до того момента, пока оно предоставляется на отдельном от доступа в сеть порту. Например, если на том конце стоит маленький, но очень гордый D-Link, в который воткнут домашний компьютер и телевизор, то картинка на телевизоре с большой долей вероятности будет «рассыпаться».

Создадим группы и назначим интерфейсы для использования QoS:

4850GTS-PWR+(config)#qos if-group name UPLINK class trusted
4850GTS-PWR+(config)#qos if-group name USER class untrusted
4850GTS-PWR+(config)#qos if-assign port 1-48 name USER
4850GTS-PWR+(config)#qos if-assign port 49-50 name UPLINK
4850GTS-PWR+(config)#

После вышеуказанного, сохраняем конфигурацию до боли знакомым write memory (кстати copy running-config startup-config здесь не работает. Этой командой можно скопировать конфигурацию только на USB, FTP и т.п.)
И перезагружаемся командой boot.

4850GTS-PWR+(config)#write memory
4850GTS-PWR+(config)#boot
Reboot the unit(s) (y/n) ? y

Пока наш коммутатор тестирует память и вентиляторы, расскажу, что команда boot может применяться и для сброса на заводские настройки. В этом случае она будет выглядеть как boot default. Будьте аккуратней с этой командой. Если на коммутаторе установлены дополнительные лицензии, при сбросе они слетят, поэтому если под рукой нет файла с лицензией для этого коммутатора, лучше ее не использовать.

Итак. Наш коммутатор загрузился, продолжим.

займемся вопросом безопасности и установим пароли. Требования к сложности пароля у Avaya практически идентичны, например, требованиям в домене Windows. Если это противоречит чьим-то представлениям о прекрасном, можно отключить их командой

4850GTS-PWR+(config)#no password security

Создадим пользователя:

4850GTS-PWR+(config)#username avaya avaya1 rw

где avaya — имя, avaya1 — пароль, rw — уровень доступа. Можно поставить ro, тогда этот пользователь дальше просмотра состояния портов и текущей конфигурации не заберется.

Установим режим аутентификации на устройстве:

4850GTS-PWR+(config)#cli password serial local
4850GTS-PWR+(config)#cli password telnet local

Тоже, думаю, почти всё понятно. Local означает, что проверяться данные будут по локальной базе данных пользователей.
Так-как локально можно создать только по одному пользователю на чтение и полный доступ, что для меня лично мало, перенастроим аутентификацию на использование сервера Radius.

4850GTS-PWR+(config)#username admin admin1 rw
4850GTS-PWR+(config)#username user user1 ro
4850GTS-PWR+(config)#radius-server password fallback
4850GTS-PWR+(config)#radius-server host 192.168.1.2
4850GTS-PWR+(config)#radius-server key avaya

Поля «Username» необходимо установлить в любом случае, они используются, если сервер Radius недоступен.

Установим использование Radius для аутентификации:

4850GTS-PWR+(config)#cli password serial radius
4850GTS-PWR+(config)#cli password telnet radius

Кстати, к теме настройки радиуса. Перед внесением любых изменений в настройки подключения к Radius, необходимо изменить аутентификацию на локальную, иначе ничего кроме ошибки в выводе консоли, вы не увидите.

Далее установим имя коммутатора:

4850GTS-PWR+(config)#snmp-server name Avaya_4850_test
Avaya_4850_test(config)#

Ну и заодно включим snmp-server для последующего мониторинга:

Avaya_4850_test(config)#snmp-server community Public rw
Avaya_4850_test(config)#snmp-server host 192.168.1.2 v2c Public
Avaya_4850_test(config)#snmp-server enable

snmp-server host в данном случае — адрес удаленного сервера, с которого будет осуществляться мониторинг, версия и community.

Теперь займёмся, собственно, Vlan. У нас в сети довольно много вланов, поэтому я покажу сам принцип их настройи на устройстве.
Для начала включим автоматическое назначение PVID интерфейсов (опять-же, если это не противоречит Вашим представлениям о прекрасном).

Avaya_4850_test(config)#vlan configcontrol automatic

Теперь создадим необходимые Vlan:

Avaya_4850_test(config)#Vlan create 3 name Data type port
Avaya_4850_test(config)#vlan create 4 name TV type port
Avaya_4850_test(config)#Vlan create 5 name Management type port

Определимся с транками:

Avaya_4850_test(config)#vlan ports 1-48 tagging unTagAll
Avaya_4850_test(config)#vlan ports 49-50 tagging tagAll

И раскидаем Vlan по портам, удалив все порты из Vlan 1

Avaya_4850_test(config)#vlan members remove 1  ALL
Avaya_4850_test(config)#vlan members add 3 1-20,49-50
Avaya_4850_test(config)#vlan members add 4 20-40,49-50
Avaya_4850_test(config)#vlan members add 5 49-50

Определим Vlan для управления коммутатором и ограничим доступ к нему, например, офисной сетью 192.168.2.0/24

Avaya_4850_test(config)#vlan mgmt 5
Avaya_4850_test(config)#ipmgr source-ip 1 192.168.2.0 mask 255.255.255.0 

Включим отслеживание мультикаст пакетов во всех Vlan и назначим, наконец, ip-адрес нашему коммутатору:

Avaya_4850_test(config)#interface vlan 3
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit
Avaya_4850_test(config)#interface vlan 4
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit
Avaya_4850_test(config)#interface vlan 5
Avaya_4850_test(config-if)#ip address 192.168.5.4 255.255.255.0
Avaya_4850_test(config-if)#ip default-gateway 192.168.5.1
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit

Так как на другом конце у меня установлена Avaya VSP 7024XLS, соберем транки в MLT (в принципе те же Ether-Channel от Cisco только в профиль).

Avaya_4850_test(config)#mlt 1 name UPLINK member 49-50 learning disable
Avaya_4850_test(config)#mlt 1 enable

И напоследок настроим еще пару полезностей:
Разрешим получать DHCP-OFFER только со стороны транка:

Avaya_4850_test(config)#ip dhcp-snooping enable
Avaya_4850_test(config)#ip dhcp-snooping vlan 3
Avaya_4850_test(config)#ip dhcp-snooping vlan 4
Avaya_4850_test(config)#interface FastEthernet ALL
Avaya_4850_test(config-if)#ip dhcp-snooping port 49-50 trusted
Avaya_4850_test(config-if)#ip dhcp-snooping port 1-48 untrusted
Avaya_4850_test(config-if)#exit

И обезопасим себя от петель:

Avaya_4850_test(config)#interface FastEthernet all
Avaya_4850_test(config-if)#slpp-guard port 1-48 enable
Avaya_4850_test(config-if)#exit

Включим SSH и сохраним нашу конфигурацию:

Avaya_4850_test(config)#ssh
Avaya_4850_test(config)#write memory

Вот примерная работоспособная конфигурация на коммутаторах Avaya. Она равно может применяться для всей линейки ERS 4000, частично справедлива и для 5000 и для 7000.
В качестве пост-скриптум пара часто возникающих проблем и методы их устранения:

1) Долго получаются ip-адреса по DHCP и/или подтягивается вещание TV потока.

На этом моменте вспоминаем о существовании Spanning-tree, хватаемся за голову и быстро всё исправляем определением оконечных портов:

Avaya_4850_test#conf t
Avaya_4850_test(config)#Inter fa all
Avaya_4850_test(config-if)#spanning-tree rstp port 1-40 learning enable
Avaya_4850_test(config-if)#spanning-tree rstp port 1-40 edge-port true

Не забудьте обезопасить себя от различных умных пользователей со своими железками. Включим фильтрацию BPDU пакетов (не совместимо с некоторыми моделями домашних роутеров Linksys):

Avaya_4850_test(config)#spanning-tree bpdu-filtering port 1-48 enable timeout 300

2) TV поток работает с перебоями (справедливо для любого широковещательного потока).

Проверяйте такую прекрасную опцию как rate-limit. Если в сети присутствует широковещательный поток, выключайте на транках, иначе часть потока будет постоянно рубиться, особенно при высокой загрузке.

Вот, наверное, и всё. Буду рад любым вашим вопросам и комментариям.

Автор: Rodjer-m

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js