Здравствуйте! Около года назад, столкнувшись впервые с железом бывшего Nortel'a, а ныне Avaya, я обнаружил отсутствие в сети какой-либо вменяемой информации по настройке и траблшутингу этого оборудования. Только официальную документацию, из которой не всегда можно явно получить нужную информацию.
Поэтому, сегодня я представляю вашему вниманию, в качестве знакомства с вендором и синтаксисом CLI, разбор конфигурации коммутатора уровня доступа Avaya 4850GTS-PWR+, которая заточена под обслуживание доступа в сеть обычных жилых квартир.
Синтаксис Avaya, на первый взгляд, очень напоминает Cisco, однако сам принцип подхода к реализации некоторых возможностей сильно отличается. Итак, распакуем наш коммутатор, включим его в розетку и воткнём консольный кабель.
Сразу первый совет: обращайте внимание на разъем кабеля питания. У некоторых моделей он поставляется с небольшим вырезом. Если в вашем случае это так — берегите как зеницу ока, чтобы не пришлось думать как же вас угораздило его потерять, вырезая ножом такую-же выемку у стандартного кабеля питания.
В процессе первой загрузки, будет предложено запустить автоконфигурацию. Я рекомендую пропускать этот шаг, особенно в тех случаях, когда настраивать надо не один и не два коммутатора. Вместо этого намного проще заливать конфигурацию из шаблона, что сводится в конечном итоге к ctrl-C ctrl-V.
По окончании загрузки, видим баннер вендора и предложение нажать ctrl+Y для продолжения, что и сделаем.
4850GTS-PWR+>
Переходим в привелегированный режим командой enable и сразу же в конфигурацию configure terminal. На этом, возникшее у многих «Дежавю» можно считать практически исчерпанным.
4850GTS-PWR+>enable
4850GTS-PWR+#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
4850GTS-PWR+(config)#
Первое, что стоит сделать, это отключить такую «полезную» функцию, как autosave, которая периодически сохраняет конфигурацию, даже если оная ведет к недоступности коммутатора извне. Чем это грозит, думаю, понимаете сами. Поэтому просто отключаем.
4850GTS-PWR+(config)#no autosave enable
Далее сразу сделаем две вещи, которые применяются только после перезагрузки, чтобы более не отвлекаться в процессе конфигурации.
Во-первых, выберем режим работы Spanning-tree. В моём случае, это RSTP:
4850GTS-PWR+(config)#spanning-tree mode rstp
New operational mode RSTP will take effect upon reset
4850GTS-PWR+(config)#
Во-вторых режим работы QoS. QoS на Avaya это тема отдельной немаленькой статьи, пока же скажу только, что методом научного тыка проб и ошибок, было установлено, что оптимальное решение для коммутатора уровня доступа такое:
4850GTS-PWR+(config)#qos agent aq-mode mixed
4850GTS-PWR+(config)#qos agent buffer maximum
QoS buffer setting isn't effective until after reset.
4850GTS-PWR+(config)#
Можно, конечно, настроить очереди и руками, но, опять-же, смысла в этом на уровне доступа нет (если, конечно, на всех портах у вас не висят хардкорные пользователи, круглосуточно выкачивающие Терабайты торрентов).
Кстати о второй команде. Avaya рекомендует использовать максимальный буффер, если в вашей сети предоставляются такие сервисы, как потоковое вещание видео (банальный IP_TV под это тоже подпадает). Если буфер настроен, например, на regular, телевидение работать будет ровно до того момента, пока оно предоставляется на отдельном от доступа в сеть порту. Например, если на том конце стоит маленький, но очень гордый D-Link, в который воткнут домашний компьютер и телевизор, то картинка на телевизоре с большой долей вероятности будет «рассыпаться».
Создадим группы и назначим интерфейсы для использования QoS:
4850GTS-PWR+(config)#qos if-group name UPLINK class trusted
4850GTS-PWR+(config)#qos if-group name USER class untrusted
4850GTS-PWR+(config)#qos if-assign port 1-48 name USER
4850GTS-PWR+(config)#qos if-assign port 49-50 name UPLINK
4850GTS-PWR+(config)#
После вышеуказанного, сохраняем конфигурацию до боли знакомым write memory (кстати copy running-config startup-config здесь не работает. Этой командой можно скопировать конфигурацию только на USB, FTP и т.п.)
И перезагружаемся командой boot.
4850GTS-PWR+(config)#write memory
4850GTS-PWR+(config)#boot
Reboot the unit(s) (y/n) ? y
Пока наш коммутатор тестирует память и вентиляторы, расскажу, что команда boot может применяться и для сброса на заводские настройки. В этом случае она будет выглядеть как boot default. Будьте аккуратней с этой командой. Если на коммутаторе установлены дополнительные лицензии, при сбросе они слетят, поэтому если под рукой нет файла с лицензией для этого коммутатора, лучше ее не использовать.
Итак. Наш коммутатор загрузился, продолжим.
займемся вопросом безопасности и установим пароли. Требования к сложности пароля у Avaya практически идентичны, например, требованиям в домене Windows. Если это противоречит чьим-то представлениям о прекрасном, можно отключить их командой
4850GTS-PWR+(config)#no password security
Создадим пользователя:
4850GTS-PWR+(config)#username avaya avaya1 rw
где avaya — имя, avaya1 — пароль, rw — уровень доступа. Можно поставить ro, тогда этот пользователь дальше просмотра состояния портов и текущей конфигурации не заберется.
Установим режим аутентификации на устройстве:
4850GTS-PWR+(config)#cli password serial local
4850GTS-PWR+(config)#cli password telnet local
Тоже, думаю, почти всё понятно. Local означает, что проверяться данные будут по локальной базе данных пользователей.
Так-как локально можно создать только по одному пользователю на чтение и полный доступ, что для меня лично мало, перенастроим аутентификацию на использование сервера Radius.
4850GTS-PWR+(config)#username admin admin1 rw
4850GTS-PWR+(config)#username user user1 ro
4850GTS-PWR+(config)#radius-server password fallback
4850GTS-PWR+(config)#radius-server host 192.168.1.2
4850GTS-PWR+(config)#radius-server key avaya
Поля «Username» необходимо установлить в любом случае, они используются, если сервер Radius недоступен.
Установим использование Radius для аутентификации:
4850GTS-PWR+(config)#cli password serial radius
4850GTS-PWR+(config)#cli password telnet radius
Кстати, к теме настройки радиуса. Перед внесением любых изменений в настройки подключения к Radius, необходимо изменить аутентификацию на локальную, иначе ничего кроме ошибки в выводе консоли, вы не увидите.
Далее установим имя коммутатора:
4850GTS-PWR+(config)#snmp-server name Avaya_4850_test
Avaya_4850_test(config)#
Ну и заодно включим snmp-server для последующего мониторинга:
Avaya_4850_test(config)#snmp-server community Public rw
Avaya_4850_test(config)#snmp-server host 192.168.1.2 v2c Public
Avaya_4850_test(config)#snmp-server enable
snmp-server host в данном случае — адрес удаленного сервера, с которого будет осуществляться мониторинг, версия и community.
Теперь займёмся, собственно, Vlan. У нас в сети довольно много вланов, поэтому я покажу сам принцип их настройи на устройстве.
Для начала включим автоматическое назначение PVID интерфейсов (опять-же, если это не противоречит Вашим представлениям о прекрасном).
Avaya_4850_test(config)#vlan configcontrol automatic
Теперь создадим необходимые Vlan:
Avaya_4850_test(config)#Vlan create 3 name Data type port
Avaya_4850_test(config)#vlan create 4 name TV type port
Avaya_4850_test(config)#Vlan create 5 name Management type port
Определимся с транками:
Avaya_4850_test(config)#vlan ports 1-48 tagging unTagAll
Avaya_4850_test(config)#vlan ports 49-50 tagging tagAll
И раскидаем Vlan по портам, удалив все порты из Vlan 1
Avaya_4850_test(config)#vlan members remove 1 ALL
Avaya_4850_test(config)#vlan members add 3 1-20,49-50
Avaya_4850_test(config)#vlan members add 4 20-40,49-50
Avaya_4850_test(config)#vlan members add 5 49-50
Определим Vlan для управления коммутатором и ограничим доступ к нему, например, офисной сетью 192.168.2.0/24
Avaya_4850_test(config)#vlan mgmt 5
Avaya_4850_test(config)#ipmgr source-ip 1 192.168.2.0 mask 255.255.255.0
Включим отслеживание мультикаст пакетов во всех Vlan и назначим, наконец, ip-адрес нашему коммутатору:
Avaya_4850_test(config)#interface vlan 3
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit
Avaya_4850_test(config)#interface vlan 4
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit
Avaya_4850_test(config)#interface vlan 5
Avaya_4850_test(config-if)#ip address 192.168.5.4 255.255.255.0
Avaya_4850_test(config-if)#ip default-gateway 192.168.5.1
Avaya_4850_test(config-if)#ip igmp snooping
Avaya_4850_test(config-if)#exit
Так как на другом конце у меня установлена Avaya VSP 7024XLS, соберем транки в MLT (в принципе те же Ether-Channel от Cisco только в профиль).
Avaya_4850_test(config)#mlt 1 name UPLINK member 49-50 learning disable
Avaya_4850_test(config)#mlt 1 enable
И напоследок настроим еще пару полезностей:
Разрешим получать DHCP-OFFER только со стороны транка:
Avaya_4850_test(config)#ip dhcp-snooping enable
Avaya_4850_test(config)#ip dhcp-snooping vlan 3
Avaya_4850_test(config)#ip dhcp-snooping vlan 4
Avaya_4850_test(config)#interface FastEthernet ALL
Avaya_4850_test(config-if)#ip dhcp-snooping port 49-50 trusted
Avaya_4850_test(config-if)#ip dhcp-snooping port 1-48 untrusted
Avaya_4850_test(config-if)#exit
И обезопасим себя от петель:
Avaya_4850_test(config)#interface FastEthernet all
Avaya_4850_test(config-if)#slpp-guard port 1-48 enable
Avaya_4850_test(config-if)#exit
Включим SSH и сохраним нашу конфигурацию:
Avaya_4850_test(config)#ssh
Avaya_4850_test(config)#write memory
Вот примерная работоспособная конфигурация на коммутаторах Avaya. Она равно может применяться для всей линейки ERS 4000, частично справедлива и для 5000 и для 7000.
В качестве пост-скриптум пара часто возникающих проблем и методы их устранения:
1) Долго получаются ip-адреса по DHCP и/или подтягивается вещание TV потока.
На этом моменте вспоминаем о существовании Spanning-tree, хватаемся за голову и быстро всё исправляем определением оконечных портов:
Avaya_4850_test#conf t
Avaya_4850_test(config)#Inter fa all
Avaya_4850_test(config-if)#spanning-tree rstp port 1-40 learning enable
Avaya_4850_test(config-if)#spanning-tree rstp port 1-40 edge-port true
Не забудьте обезопасить себя от различных умных пользователей со своими железками. Включим фильтрацию BPDU пакетов (не совместимо с некоторыми моделями домашних роутеров Linksys):
Avaya_4850_test(config)#spanning-tree bpdu-filtering port 1-48 enable timeout 300
2) TV поток работает с перебоями (справедливо для любого широковещательного потока).
Проверяйте такую прекрасную опцию как rate-limit. Если в сети присутствует широковещательный поток, выключайте на транках, иначе часть потока будет постоянно рубиться, особенно при высокой загрузке.
Вот, наверное, и всё. Буду рад любым вашим вопросам и комментариям.
Автор: Rodjer-m