Hvordan sette en switch i produksjon

Intro, litt grunnleggende

Hvis switchen ikke har ssh satt opp, så må man koble seg direkte i switchen med en datamaskin via consoleporten. Koble en ethernet til usb-kabel mellom en datamaskin og console-porten på switchen. For å snakke med switchen trenger du et lite program som heter minicom, installer dette på selvalgt måte. Minicom krever litt konfigurasjon for å fungere, konfigurer med «minicom -s». Gå på «Serial port setup» og endre instillingene slik at de ser ut som under.

        A -    Serial Device      : /dev/ttyUSB0
        B - Lockfile Location     : /var/lock
        C -   Callin Program      :
        D -  Callout Program      :
        E -    Bps/Par/Bits       : 9600 8N1
        F - Hardware Flow Control : No
        G - Software Flow Control : No

I tillegg må «Init string», under «Modem and dialing», være satt til «~^M~».

Når det ser likt ut, så går du på «Save setup as dfl». Kjør så «sudo minicom». Med litt flaks skal du nå ha fungerende terminal på switchen.

Hvis switchen er helt ny, behøver du bare skrive «enable», og du vil få adminrettigheter. Hvis switchen er gammel, eller av annen grunn har konfig på seg fra før, så kan det hende at switchen har et passord på seg. Forsøk med diverse standardpassord og gamle høysikkerhetspassord. Hvis du har adminrettigheter på switchen, så kjennetegnes det av «Switch#», hvis ikke står det «Switch>» i terminalen

For å se på konfigen som switchen kjører, så skriver du «sh run». Tips, bruk space for å hoppe og / for å søke.

For å konfigurere skriver du «conf t», en konfigmal finner du i bunnen av dette dokumentet. Husk å lagre! Dette gjøres med «wr», hvis ikke slettes konfigurasjonen når du restarter switcher. For å restarte switchen skriver du «reload»

Hvis du får feilmeldingen "minicom: cannot open /dev/ttyUSB0: No such file or directory" kan dette være fordi du bruker en adapter og du kan kjøre "ls /dev/tty*" i terminalen og prøve å finne det riktige enhetsnavnet. Burde være noe "/dev/tty.usbserial"-lignende.

Fremgangsmåte

1. Legg til switchen i DNS

Dette gjøres på cirkus. Legg til switchen i /etc/bind/pz/0.0.0.0.4.f.9.2.c.7.6.0.1.0.0.2.ip6.arpa og /etc/bind/pz/samfundet.no. Bare følg malen, unngå syntaksfeil. Husk å oppdatere seriellen i toppen av hver fil og commit i git. Hvis switchen ikke støtter at den har en IPv6-adresse, blir du nødt til å gi den IPv4 i stedet. Da må /etc/bind/pz/52.35.193 oppdateres istedenfor /etc/bind/pz/0.0.0.0.4.f.9.2.c.7.6.0.1.0.0.2.ip6.arpa. Reload så bind med systemctl reload bind9

2. Konfigurering av switchen

Koble til switchen via consoleporten, hvordan du gjør dette kan du se over. Konfigurer switchen, bruk gjerne konfigmalen i bunnen av denne noden. Egentlig kan du bare kopiere inn malen under, men pass for all del på at du bytter ut det som trengs i malen, se over et par-tre ganger, og bruk hodet. Se også på konfigen som kjører på de andre switchene i produksjon. Test switchen godt før du går videre, både om ipv4 og ipv6 fungerer.

3. Legge til switchen i PST

Dette gjøres rett i device-tabellen i databasen pst. Du må sette hostname, community, snmpv3_username, snmpv3_password, snmpv3_privacy_key og snmpv3_privacy_proto. Resten skjer med magi!

4. Sett switchen i produksjon!

Hvis arbeidet med å sette switchen i produksjon vil medføre nedetid (typisk hvis du bytter en switch), meld nedetid, legg ikke nedetid på ett tidspunkt når andre gjenger har arbeidskveld eller på andre dumme tidspunkter. Så er det bare å sette switchen der den skal stå. Gjør kabling så fint som mulig, det gjør det mye lettere for den som kommer etter deg! Husk å sette en navnelapp på switchen. Husk for all del å teste switchen, både om ipv4 og ipv6 fungerer. Hvis du har byttet ut en kritisk switch, og ting ikke fungerer, så bør du ikke nøle med å gå tilbake til den gamle switchen. Husk også å registrere lisensen til svitsjen hvis den krever det.

5. Oppdater nagios!

Nagios kjører på nagios.samfundet.no, og login er med høysikkerhet (ikke din vanlige konto). Nagios sine konfigfiler finner du i /etc/icinga2/conf.d/, bare følg malen, og bruk gjerne grep for å se om du har fått med deg alle stedene som skal oppdateres. Restart nagios med systemctl reload icinga2. Et tips er å se i nagios om alle ting som er koblet i switchen kommer på nett, hvis ikke bør du finne ut hvorfor.

Konfigmal

Bruk gjerne denne som utgangspunkt, men pass på at du bytter ut alt skal byttes!

!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname <Navnet på ny switch>
!
boot-start-marker
boot-end-marker
!
enable secret 0 <nåværende høysikkerhet>
!
username admin privilege 15 secret 0 <nåværende høysikkerhet>
aaa new-model
!
aaa session-id common
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip domain-name samfundet.no
ip name-server 2001:67C:29F4::30
ip device tracking
ipv6 mld snooping
!
mls qos srr-queue output cos-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 3 8 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 4 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 4 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 4 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 4 threshold 3 56 57 58 59 60 61 62 63
mls qos queue-set output 1 threshold 2 1600 1600 100 1600
mls qos queue-set output 1 buffers 0 5 0 95
mls qos   
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
port-channel load-balance src-dst-ip
!
crypto key generate rsa
!         
!         
vlan internal allocation policy ascending
!         
ip ssh version 2
lldp run  
!         
interface Port-channel1
 switchport mode trunk
 load-interval 30
!
int range Gi1/0/1 - 48
 switchport access vlan 10
 ipv6 traffic-filter ra-guard in
 spanning-tree portfast
!
interface GigabitEthernet1/0/49
 description uplink-1
 switchport mode trunk
 channel-group 1 mode active
!         
interface GigabitEthernet1/0/50
 description uplink-2
 switchport mode trunk
 channel-group 1 mode active
!         
interface Vlan10
 no ip address
 ipv6 address <en ipv6-adresse>
!
no ip http server
no ip http secure-server
ipv6 route ::/0 2001:67C:29F4::1
!
!
snmp-server view V3Read iso included
snmp-server group V3Group v3 auth read V3Read
snmp-server group V3Group v3 auth context vlan- match prefix read V3Read
snmp-server user admin V3Group v3 auth sha <passord, finner det på det vanlige stedet> priv aes 128 <passord2, finner det på det vanlige stedet>
snmp-server view V3Write ccdTdrIfAction include
snmp-server group V3Group v3 auth read V3Read write V3Write
!         
!
!
vlan 4
 name ARX
vlan 5
 name Kasselan
vlan 10
 name Klientnett
vlan 15
 name WLAN
vlan 17
 name Sceneteknisk
vlan 20
 name RSPAN
 remote-span
vlan 30
 name UNINETT-backup
!         
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 exec-timeout 120 0
 privilege level 15
 transport input ssh
line vty 5 14
 exec-timeout 120 0
 privilege level 15
 transport input ssh
line vty 15
 privilege level 15
 transport input ssh
!     
ntp server 2001:67C:29F4::29
end       

Lenker: Start, ios

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2024-09-04 16:41 | Revisjon: 19 (historie, blame) | Totalt: 1905 kB | Rediger