Hvordan sette en switch i produksjon
Intro, litt grunnleggende
Hvis switchen ikke har ssh satt opp, så må man koble seg direkte i switchen med en datamaskin via consoleporten. Koble en ethernet til usb-kabel mellom en datamaskin og console-porten på switchen. For å snakke med switchen trenger du et lite program som heter minicom, installer dette på selvalgt måte. Minicom krever litt konfigurasjon for å fungere, konfigurer med «minicom -s». Gå på «Serial port setup» og endre instillingene slik at de ser ut som under.
A - Serial Device : /dev/ttyUSB0 B - Lockfile Location : /var/lock C - Callin Program : D - Callout Program : E - Bps/Par/Bits : 9600 8N1 F - Hardware Flow Control : No G - Software Flow Control : No
I tillegg må «Init string», under «Modem and dialing», være satt til «~^M~».
Når det ser likt ut, så går du på «Save setup as dfl». Kjør så «sudo minicom». Med litt flaks skal du nå ha fungerende terminal på switchen.
Hvis switchen er helt ny, behøver du bare skrive «enable», og du vil få adminrettigheter. Hvis switchen er gammel, eller av annen grunn har konfig på seg fra før, så kan det hende at switchen har et passord på seg. Forsøk med diverse standardpassord og gamle høysikkerhetspassord. Hvis du har adminrettigheter på switchen, så kjennetegnes det av «Switch#», hvis ikke står det «Switch>» i terminalen
For å se på konfigen som switchen kjører, så skriver du «sh run». Tips, bruk space for å hoppe og / for å søke.
For å konfigurere skriver du «conf t», en konfigmal finner du i bunnen av dette dokumentet. Husk å lagre! Dette gjøres med «wr», hvis ikke slettes konfigurasjonen når du restarter switcher. For å restarte switchen skriver du «reload»
Hvis du får feilmeldingen "minicom: cannot open /dev/ttyUSB0: No such file or directory" kan dette være fordi du bruker en adapter og du kan kjøre "ls /dev/tty*" i terminalen og prøve å finne det riktige enhetsnavnet. Burde være noe "/dev/tty.usbserial"-lignende.
Fremgangsmåte
1. Legg til switchen i DNS
Dette gjøres på cirkus. Legg til switchen i /etc/bind/pz/0.0.0.0.4.f.9.2.c.7.6.0.1.0.0.2.ip6.arpa og /etc/bind/pz/samfundet.no. Bare følg malen, unngå syntaksfeil. Husk å oppdatere seriellen i toppen av hver fil og commit i git. Hvis switchen ikke støtter at den har en IPv6-adresse, blir du nødt til å gi den IPv4 i stedet. Da må /etc/bind/pz/52.35.193 oppdateres istedenfor /etc/bind/pz/0.0.0.0.4.f.9.2.c.7.6.0.1.0.0.2.ip6.arpa. Reload så bind med systemctl reload bind9
2. Konfigurering av switchen
Koble til switchen via consoleporten, hvordan du gjør dette kan du se over. Konfigurer switchen, bruk gjerne konfigmalen i bunnen av denne noden. Egentlig kan du bare kopiere inn malen under, men pass for all del på at du bytter ut det som trengs i malen, se over et par-tre ganger, og bruk hodet. Se også på konfigen som kjører på de andre switchene i produksjon. Test switchen godt før du går videre, både om ipv4 og ipv6 fungerer.
3. Legge til switchen i PST
Dette gjøres rett i device-tabellen i databasen pst. Du må sette hostname, community, snmpv3_username, snmpv3_password, snmpv3_privacy_key og snmpv3_privacy_proto. Resten skjer med magi!
4. Sett switchen i produksjon!
Hvis arbeidet med å sette switchen i produksjon vil medføre nedetid (typisk hvis du bytter en switch), meld nedetid, legg ikke nedetid på ett tidspunkt når andre gjenger har arbeidskveld eller på andre dumme tidspunkter. Så er det bare å sette switchen der den skal stå. Gjør kabling så fint som mulig, det gjør det mye lettere for den som kommer etter deg! Husk å sette en navnelapp på switchen. Husk for all del å teste switchen, både om ipv4 og ipv6 fungerer. Hvis du har byttet ut en kritisk switch, og ting ikke fungerer, så bør du ikke nøle med å gå tilbake til den gamle switchen. Husk også å registrere lisensen til svitsjen hvis den krever det.
5. Oppdater nagios!
Nagios kjører på nagios.samfundet.no, og login er med høysikkerhet (ikke din vanlige konto). Nagios sine konfigfiler finner du i /etc/icinga2/conf.d/, bare følg malen, og bruk gjerne grep for å se om du har fått med deg alle stedene som skal oppdateres. Restart nagios med systemctl reload icinga2. Et tips er å se i nagios om alle ting som er koblet i switchen kommer på nett, hvis ikke bør du finne ut hvorfor.
Konfigmal
Bruk gjerne denne som utgangspunkt, men pass på at du bytter ut alt skal byttes!
! version 15.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname <Navnet på ny switch> ! boot-start-marker boot-end-marker ! enable secret 0 <nåværende høysikkerhet> ! username admin privilege 15 secret 0 <nåværende høysikkerhet> aaa new-model ! aaa session-id common ! clock timezone CET 1 0 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ! ip domain-name samfundet.no ip name-server 2001:67C:29F4::30 ip device tracking ipv6 mld snooping ! mls qos srr-queue output cos-map queue 4 threshold 3 0 1 2 3 4 5 6 7 mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7 mls qos srr-queue output dscp-map queue 4 threshold 3 8 9 10 11 12 13 14 15 mls qos srr-queue output dscp-map queue 4 threshold 3 16 17 18 19 20 21 22 23 mls qos srr-queue output dscp-map queue 4 threshold 3 24 25 26 27 28 29 30 31 mls qos srr-queue output dscp-map queue 4 threshold 3 32 33 34 35 36 37 38 39 mls qos srr-queue output dscp-map queue 4 threshold 3 40 41 42 43 44 45 46 47 mls qos srr-queue output dscp-map queue 4 threshold 3 48 49 50 51 52 53 54 55 mls qos srr-queue output dscp-map queue 4 threshold 3 56 57 58 59 60 61 62 63 mls qos queue-set output 1 threshold 2 1600 1600 100 1600 mls qos queue-set output 1 buffers 0 5 0 95 mls qos ! spanning-tree mode rapid-pvst spanning-tree extend system-id ! port-channel load-balance src-dst-ip ! crypto key generate rsa ! ! vlan internal allocation policy ascending ! ip ssh version 2 lldp run ! interface Port-channel1 switchport mode trunk load-interval 30 ! int range Gi1/0/1 - 48 switchport access vlan 10 ipv6 traffic-filter ra-guard in spanning-tree portfast ! interface GigabitEthernet1/0/49 description uplink-1 switchport mode trunk channel-group 1 mode active ! interface GigabitEthernet1/0/50 description uplink-2 switchport mode trunk channel-group 1 mode active ! interface Vlan10 no ip address ipv6 address <en ipv6-adresse> ! no ip http server no ip http secure-server ipv6 route ::/0 2001:67C:29F4::1 ! ! snmp-server view V3Read iso included snmp-server group V3Group v3 auth read V3Read snmp-server group V3Group v3 auth context vlan- match prefix read V3Read snmp-server user admin V3Group v3 auth sha <passord, finner det på det vanlige stedet> priv aes 128 <passord2, finner det på det vanlige stedet> snmp-server view V3Write ccdTdrIfAction include snmp-server group V3Group v3 auth read V3Read write V3Write ! ! ! vlan 4 name ARX vlan 5 name Kasselan vlan 10 name Klientnett vlan 15 name WLAN vlan 17 name Sceneteknisk vlan 20 name RSPAN remote-span vlan 30 name UNINETT-backup ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 exec-timeout 120 0 privilege level 15 transport input ssh line vty 5 14 exec-timeout 120 0 privilege level 15 transport input ssh line vty 15 privilege level 15 transport input ssh ! ntp server 2001:67C:29F4::29 end
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2024-09-04 16:41 | Revisjon: 19 (historie, blame) | Totalt: 1905 kB | Rediger