HPE Aruba switchek alapvető konfigurációs és biztonsági beállításai

Ebben a bejegyzésben a HPE Aruba switchek alapvető konfigurációs és biztonsági beállításai vannak részletezve példákkal.

Billentyűparancsok

  • Utasítások kiegészítése: Tab
  • Több részből álló utasítások bevitel közbeni paraméterei vagy a kiadható parancsok listájának megtekintéséhez a Tab billentyű egymás utáni kétszeri lenyomása szükséges
  • Előzőleg kiadott utasítások közötti lépegetés: ,
  • Utasítás bevitele után Enter billentyűt kell nyomni.

Jogosultsági szintek parancsai

  • A csatlakozás utáni jogosultsági szint az Operátori szint (Operator level). Magasabb szintre való lépés esetén felhasználónév és jelszó megadása szükséges. Terminálban a jelölése az eszköz neve után található Nagyobb relációs jel: HP-Switch>
  • Az alapértelmezett bejelentkezési adatok az alábbiak.
    Felhasználónév: manager
    Jelszó: Nincs
  • Menedzser (Manager) konfigurációs szintre való lépés: enable
    Akár ennyire is le lehet rövidíteni: en
    Ezen a szinten általában információkat lehet lekérdezni. Terminálban a jelölése az eszköz neve után található kettős kereszt: HP-Switch#
  • Globális konfigurációs (Global configuration) szintre való lépés: configure terminal
    Akár ennyire is le lehet rövidíteni: con
    A nevéből eredendően a beállítások és konfigurálások lényegi részét itt lehet elvégezni. Terminálban a jelölése az eszköz neve után a zárójelben található config szó, a végén egy kettős kereszttel: HP-Switch(config)#
  • Kilépés valamelyik jogosultsági vagy kontextus konfigurációs (Context configuration) szintből: exit
  • Bármelyik szintről a Menedzser (Manager) szintre való lépés: end
  • További információk a HPE hivatalos támogatási oldalán találhatóak angol nyelven.

Utasítások és konfigurálások

A szögletes zárójeleket [ ] a kiadott utasításokban el kell hagyni! Ha egy már kiadott parancsot vissza kell vonni (törölni a konfiguráció egy sorát), akkor ugyanazon utasítást szükséges kiadni, csak a no szót elé kell írni.
Bizonyos utasítások csak a 16.01-es firmware verziótól érhetőek el.

  • Konfiguráció mentése az eszköz memóriájába

    Érdemes akár minden egyes beállítás után menteni.
    HP-Switch#write memory
    HP-Switch(config)#write memory


  • Konfigurációk megtekintése

    Éppen futásban lévő konfiguráció (running configuration):
    HP-Switch#show running-config
    Indítási konfiguráció (startup configuration):
    HP-Switch#show config


  • Eszköz hosztnevének megadása

    HP-Switch(config)#hostname "[név]"
    Példa:
    HP-Switch(config)#hostname "IrodaSwitch"
    IrodaSwitch(config)#


  • Felhasználók és jelszavak kezelése

    Jelszó és felhasználónév (ami opcionális, de ajánlott) megadása a manager és operator felhasználóknak.
    HP-Switch(config)#password manager user-name "[felhasználónév]" plaintext "[jelszó]"
    HP-Switch(config)#password operator user-name "[felhasználónév]" plaintext "[jelszó]"
    Bár a jelszó olvasható szövegként (plaintext) lesz megadva, ez a konfigurációs fájlban nem fog látszódni, mivel az eszköz külön helyen tárolja a jelszavakat.


  • IP-cím megadása

    Minden porthoz alapértelmezetten az 1-es azonosítójú (DEFAULT_VLAN) VLAN van hozzárendelve, így kezdésként annak is lehet IP-címet adni az eszköz hálózatban való elérése érdekében.
    HP-Switch(config)#vlan 1
    IPv4-es cím beállítása:
    HP-Switch(vlan-1)#ip address [IP-cím] [Maszk]
    IPv6-os cím beállítása:
    HP-Switch(vlan-1)#ipv6 address [IP-cím prefix hosszal]
    Példa:
    HP-Switch(config)#vlan 1
    HP-Switch(vlan-1)#ip address 192.168.10.10 255.255.255.0
    HP-Switch(vlan-1)#ipv6 address fd6d:8d64:af0c::10/64
    Ha már lettek korábban létrehozva VLAN-ok, akkor akár azoknak is lehet adni IPv4-es és IPv6-os címet is.


  • Alapértelmezett átjáró megadása

    HP-Switch(config)#ip default-gateway [IP-cím]
    Példa:
    HP-Switch(config)#ip default-gateway 192.168.1.1


  • DNS-szerverek megadása

    HP-Switch(config)#ip dns server-address priority 1 [IP-cím]
    HP-Switch(config)#ip dns server-address priority 2 [IP-cím]
    Példa:
    HP-Switch(config)#ip dns server-address priority 1 192.168.1.254
    HP-Switch(config)#ip dns server-address priority 2 8.8.8.8


    Szükséges megadni a tartománynevet (doménnevet) is, ha a belső hálózatban hosztneveket kell feloldani (nem pedig FQDN-t).
    HP-Switch(config)#ip dns domain-name "[tartománynév]"
    Példa:
    HP-Switch(config)#ip dns domain-name "cegnev.local"


  • VLAN-ok létrehozása és portok hozzárendelése

    A VLAN-nak kell adni egy azonosítót:
    HP-Switch(config)#vlan [azonosító]
    Majd ajánlott neki adni egy nevet is a könnyebb beazonosíthatóság érdekében:
    HP-Switch(vlan-[azonosító])#name "[VLAN neve]"
    Példa:
    HP-Switch(config)#vlan 5
    HP-Switch(vlan-5)#name "Szerverek"


    VLAN-on belül kell megadni, hogy az eszköz mely fizikai portjai tartozzanak hozzá. Egy porthoz csak egy untagged VLAN tartozhat.
    Untagged (access) port esetén:

    HP-Switch(vlan-[azonosító])#untagged [tól/től]-[ig]
    Tagged (trunk) port esetén:
    HP-Switch(vlan-[azonosító])#tagged [tól/től]-[ig]
    Példa:
    HP-Switch(vlan-5)#untagged 1-22
    HP-Switch(vlan-5)#tagged 23-24


    VLAN információk megtekintése:
    HP-Switch#show vlans
    Egy adott VLAN információi:
    HP-Switch#show vlans [VLAN azonosító]
    Példa:
    HP-Switch#show vlans 5


  • SSL (HTTPS) webmenedzsment beállítása

    Önmagával aláírt tanúsítvány profiljának (self-signed certificate) létrehozása.
    HP-Switch(config)#crypto pki identity-profile "[Profil neve]" subject
    Tanúsítvány tényleges létrehozása.
    HP-Switch(config)#crypto pki enroll-self-signed certificate-name "[Tanúsítvány neve]"
    HTTPS elérés bekapcsolása.
    HP-Switch(config)#web-management ssl
    HTTP elérés kikapcsolása.
    HP-Switch(config)#no web-management
    Webmenedzsment tétlenségi idejének megadása (automatikus kijelentkeztetés).
    HP-Switch(config)#web-management idle-timeout [másodperc]
    Példa:
    HP-Switch(config)#crypto pki identity-profile "Profil" subject
    Enter Common Name(CN) : IrodaSwitch
    Enter Org Unit(OU) : Egyseg
    Enter Org Name(O) : Szervezet
    Enter Locality(L) : Hely
    Enter State(ST) : Megye
    Enter Country(C) : HU

    HP-Switch(config)#crypto pki enroll-self-signed certificate-name "Tanusitvany"
    HP-Switch(config)#web-management ssl
    HP-Switch(config)#no web-management
    HP-Switch(config)#web-management idle-timeout 300


  • NTP szerver és időzóna beállítása

    NTP kiszolgáló beállítása
    HP-Switch(config)#ntp unicast
    Ha már előzetesen lett beállítva DNS szerver a névfeloldásokhoz, akkor akár az NTP szerver doménnevét is meg lehet adni.
    HP-Switch(config)#ntp server-name "[doménnév vagy IP-cím]" iburst
    HP-Switch(config)#ntp enable
    HP-Switch(config)#timesync ntp
    Idő és dátum megtekintése:
    HP-Switch#show time
    NTP szerver szinkronizálási állapotinformációinak megtekintése:
    HP-Switch#show ntp status
    Beállított NTP szerverek megtekintése:
    HP-Switch#show ntp servers
    Példa:
    HP-Switch(config)#ntp unicast
    HP-Switch(config)#ntp server-name "time.windows.com" iburst
    HP-Switch(config)#ntp enable
    HP-Switch(config)#timesync ntp


    Időzóna megadása az óra pontos egyezése miatt.
    time daylight-time-rule [időszámítási terület]
    time timezone [perc]
    Példa:
    Magyarország esetén:
    HP-Switch(config)#time daylight-time-rule western-europe
    HP-Switch(config)#time timezone 60


  • SNMPv3 beállítása

    Az SNMPv3 engedélyezésekor automatikusan létrejön egy SNMP felhasználó (initial), aminek a jelszavát és a titkosítási jelszavát meg kell adni. Ez a felhasználó törölve lesz a következő lépések egyikében, így nem szükséges erős jelszavakat megadni.
    HP-Switch(config)#snmpv3 enable

    Mind a két jelszó “12345678” lesz jelen példában.

    SNMPv3 Initialization process.

    Creating user ‘initial’
    Authentication Protocol: MD5
    Enter authentication password: 12345678
    Privacy protocol is DES
    Enter privacy password: 12345678

    ‘initial’ has been created

    A feltett kérdésre, miszerint létrehozunk egy új (SHA-t használó) felhasználót, nemmel kell válaszolni, így az “n” betüt (mint no) kell beírni. A következő lépések egyikében kézzel létre lesz hozva egy új SNMP felhasználó.

    Would you like to create a user that uses SHA? [y/n] n
    User creation is done.
    SNMPv3 is now functional.

    A következő kérdésre, miszerint az SNMPv1 és SNMPv2 üzenetek csak olvasásra legyenek korlátozva, igennel kell válaszolni, így az “y” betüt (mint yes) kell beírni. Az következő lépések egyikében tiltva lesz az SNMPv1 és SNMPv2, így ezen kérdésre adott válasz abban az esetben nem fog számítani.

    Would you like to restrict SNMPv1 and SNMPv2c messages to have read only access (you can set this later by the command ‘snmp restrict-access’): y

    Új SNMP felhasználó létrehozása:
    HP-Switch(config)#snmpv3 user "[felhasználónév]" auth sha "[hitelesítési jelszó]" priv aes "[titkosítási jelszó]"
    Példa:
    HP-Switch(config)#snmpv3 user "snmpuser" auth sha "[hitelesítési jelszó]" priv aes "[titkosítási jelszó]"

    A létrehozott SNMP felhasználó hozzáadása a megfelelő privilegizált csoporthoz:
    HP-Switch(config)#snmpv3 group managerpriv user "[username]" sec-model ver3
    Példa:
    HP-Switch(config)#snmpv3 group managerpriv user "snmpuser" sec-model ver3

    A feleslegesen létrejött “initial” SNMP felhasználó törlése:
    HP-Switch(config)#no snmpv3 user initial

    SNMP korlátozása SNMPv3-ra (v1 és v2 letiltása):
    HP-Switch(config)#snmpv3 only
    HP-Switch(config)#snmpv3 restricted-access

    SNMPv3 felhasználók megjelenítése:
    HP-Switch#show snmpv3 user


  • További biztonsági beállítások megadása

    Telnet-en keresztüli elérés kikapcsolása:
    HP-Switch(config)#no telnet-server
    SFTP fájlátvitel bekapcsolása:
    HP-Switch(config)#ip ssh filetransfer
    A fentebbi utasítás kikapcsolja a TFTP szervert, de ez külön is megtehető:
    HP-Switch(config)#no tftp server
    SNMP kikapcsolása, ha nincs rá szükség:
    HP-Switch(config)#no snmp-server community public
    HP-Switch(config)#no snmp-server enable
    Konzol (terminál) SSH/Telnet tétlenségi idejének megadása:
    HP-Switch(config)#console idle-timeout [másodperc]
    Konzol (terminál) Soros (Serial) és USB tétlenségi idejének megadása:
    HP-Switch(config)#console idle-timeout serial-usb [másodperc]
    Ha 0 másodperc van megadva, az azt eredményezi, hogy nincs tétlenségi idő.
    Példa:
    HP-Switch(config)#console idle-timeout 120
    HP-Switch(config)#console idle-timeout serial-usb 300

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük