Ebben a bejegyzésben a HPE Aruba switchek alapvető konfigurációs és biztonsági beállításai vannak részletezve példákkal.
Billentyűparancsok
- Utasítások kiegészítése:
Tab - Több részből álló utasítások bevitel közbeni paraméterei vagy a kiadható parancsok listájának megtekintéséhez a
Tab billentyű egymás utáni kétszeri lenyomása szükséges - Előzőleg kiadott utasítások közötti lépegetés:
, - Utasítás bevitele után
Enter billentyűt kell nyomni.
Jogosultsági szintek parancsai
- A csatlakozás utáni jogosultsági szint az Operátori szint (Operator level). Magasabb szintre való lépés esetén felhasználónév és jelszó megadása szükséges. Terminálban a jelölése az eszköz neve után található Nagyobb relációs jel:
HP-Switch>
- Az alapértelmezett bejelentkezési adatok az alábbiak.
Felhasználónév:manager
Jelszó: Nincs - Menedzser (Manager) konfigurációs szintre való lépés:
enable
Akár ennyire is le lehet rövidíteni:en
Ezen a szinten általában információkat lehet lekérdezni. Terminálban a jelölése az eszköz neve után található kettős kereszt:HP-Switch#
- Globális konfigurációs (Global configuration) szintre való lépés:
configure terminal
Akár ennyire is le lehet rövidíteni:con
A nevéből eredendően a beállítások és konfigurálások lényegi részét itt lehet elvégezni. Terminálban a jelölése az eszköz neve után a zárójelben található config szó, a végén egy kettős kereszttel:HP-Switch(config)#
- Kilépés valamelyik jogosultsági vagy kontextus konfigurációs (Context configuration) szintből:
exit
- Bármelyik szintről a Menedzser (Manager) szintre való lépés:
end
- További információk a HPE hivatalos támogatási oldalán találhatóak angol nyelven.
Utasítások és konfigurálások
A szögletes zárójeleket [ ]
a kiadott utasításokban el kell hagyni! Ha egy már kiadott parancsot vissza kell vonni (törölni a konfiguráció egy sorát), akkor ugyanazon utasítást szükséges kiadni, csak a no
szót elé kell írni.
Bizonyos utasítások csak a 16.01-es firmware verziótól érhetőek el.
-
Konfiguráció mentése az eszköz memóriájába
Érdemes akár minden egyes beállítás után menteni.
HP-Switch#
write memory
HP-Switch(config)#
write memory
-
Konfigurációk megtekintése
Éppen futásban lévő konfiguráció (running configuration):
HP-Switch#
show running-config
Indítási konfiguráció (startup configuration):
HP-Switch#
show config
-
Eszköz hosztnevének megadása
HP-Switch(config)#
hostname "[név]"
Példa:
HP-Switch(config)#
hostname "IrodaSwitch"
IrodaSwitch(config)#
-
Felhasználók és jelszavak kezelése
Jelszó és felhasználónév (ami opcionális, de ajánlott) megadása a manager és operator felhasználóknak.
HP-Switch(config)#
password manager user-name "[felhasználónév]" plaintext "[jelszó]"
HP-Switch(config)#
password operator user-name "[felhasználónév]" plaintext "[jelszó]"
Bár a jelszó olvasható szövegként (plaintext) lesz megadva, ez a konfigurációs fájlban nem fog látszódni, mivel az eszköz külön helyen tárolja a jelszavakat. -
IP-cím megadása
Minden porthoz alapértelmezetten az 1-es azonosítójú (DEFAULT_VLAN) VLAN van hozzárendelve, így kezdésként annak is lehet IP-címet adni az eszköz hálózatban való elérése érdekében.
HP-Switch(config)#
vlan 1
IPv4-es cím beállítása:
HP-Switch(vlan-1)#
ip address [IP-cím] [Maszk]
IPv6-os cím beállítása:
HP-Switch(vlan-1)#
ipv6 address [IP-cím prefix hosszal]
Példa:
HP-Switch(config)#
vlan 1
HP-Switch(vlan-1)#
ip address 192.168.10.10 255.255.255.0
HP-Switch(vlan-1)#
ipv6 address fd6d:8d64:af0c::10/64
Ha már lettek korábban létrehozva VLAN-ok, akkor akár azoknak is lehet adni IPv4-es és IPv6-os címet is. -
Alapértelmezett átjáró megadása
HP-Switch(config)#
ip default-gateway [IP-cím]
Példa:
HP-Switch(config)#
ip default-gateway 192.168.1.1
-
DNS-szerverek megadása
HP-Switch(config)#
ip dns server-address priority 1 [IP-cím]
HP-Switch(config)#
ip dns server-address priority 2 [IP-cím]
Példa:
HP-Switch(config)#
ip dns server-address priority 1 192.168.1.254
HP-Switch(config)#
ip dns server-address priority 2 8.8.8.8
Szükséges megadni a tartománynevet (doménnevet) is, ha a belső hálózatban hosztneveket kell feloldani (nem pedig FQDN-t).
HP-Switch(config)#
ip dns domain-name "[tartománynév]"
Példa:
HP-Switch(config)#
ip dns domain-name "cegnev.local"
-
VLAN-ok létrehozása és portok hozzárendelése
A VLAN-nak kell adni egy azonosítót:
HP-Switch(config)#
vlan [azonosító]
Majd ajánlott neki adni egy nevet is a könnyebb beazonosíthatóság érdekében:
HP-Switch(vlan-[azonosító])#
name "[VLAN neve]"
Példa:
HP-Switch(config)#
vlan 5
HP-Switch(vlan-5)#
name "Szerverek"
VLAN-on belül kell megadni, hogy az eszköz mely fizikai portjai tartozzanak hozzá. Egy porthoz csak egy untagged VLAN tartozhat.
Untagged (access) port esetén:
HP-Switch(vlan-[azonosító])#
untagged [tól/től]-[ig]
Tagged (trunk) port esetén:
HP-Switch(vlan-[azonosító])#
tagged [tól/től]-[ig]
Példa:
HP-Switch(vlan-5)#
untagged 1-22
HP-Switch(vlan-5)#
tagged 23-24
VLAN információk megtekintése:
HP-Switch#
show vlans
Egy adott VLAN információi:
HP-Switch#
show vlans [VLAN azonosító]
Példa:
HP-Switch#
show vlans 5
-
SSL (HTTPS) webmenedzsment beállítása
Önmagával aláírt tanúsítvány profiljának (self-signed certificate) létrehozása.
HP-Switch(config)#
crypto pki identity-profile "[Profil neve]" subject
Tanúsítvány tényleges létrehozása.
HP-Switch(config)#
crypto pki enroll-self-signed certificate-name "[Tanúsítvány neve]"
HTTPS elérés bekapcsolása.
HP-Switch(config)#
web-management ssl
HTTP elérés kikapcsolása.
HP-Switch(config)#
no web-management
Webmenedzsment tétlenségi idejének megadása (automatikus kijelentkeztetés).
HP-Switch(config)#
web-management idle-timeout [másodperc]
Példa:
HP-Switch(config)#
crypto pki identity-profile "Profil" subject
Enter Common Name(CN) : IrodaSwitch
Enter Org Unit(OU) : Egyseg
Enter Org Name(O) : Szervezet
Enter Locality(L) : Hely
Enter State(ST) : Megye
Enter Country(C) : HU
HP-Switch(config)#
crypto pki enroll-self-signed certificate-name "Tanusitvany"
HP-Switch(config)#
web-management ssl
HP-Switch(config)#
no web-management
HP-Switch(config)#
web-management idle-timeout 300
-
NTP szerver és időzóna beállítása
NTP kiszolgáló beállítása
HP-Switch(config)#
ntp unicast
Ha már előzetesen lett beállítva DNS szerver a névfeloldásokhoz, akkor akár az NTP szerver doménnevét is meg lehet adni.
HP-Switch(config)#
ntp server-name "[doménnév vagy IP-cím]" iburst
HP-Switch(config)#
ntp enable
HP-Switch(config)#
timesync ntp
Idő és dátum megtekintése:
HP-Switch#
show time
NTP szerver szinkronizálási állapotinformációinak megtekintése:
HP-Switch#
show ntp status
Beállított NTP szerverek megtekintése:
HP-Switch#
show ntp servers
Példa:
HP-Switch(config)#
ntp unicast
HP-Switch(config)#
ntp server-name "time.windows.com" iburst
HP-Switch(config)#
ntp enable
HP-Switch(config)#
timesync ntp
Időzóna megadása az óra pontos egyezése miatt.
time daylight-time-rule [időszámítási terület]
time timezone [perc]
Példa:
Magyarország esetén:
HP-Switch(config)#
time daylight-time-rule western-europe
HP-Switch(config)#
time timezone 60
-
SNMPv3 beállítása
Az SNMPv3 engedélyezésekor automatikusan létrejön egy SNMP felhasználó (initial), aminek a jelszavát és a titkosítási jelszavát meg kell adni. Ez a felhasználó törölve lesz a következő lépések egyikében, így nem szükséges erős jelszavakat megadni.
HP-Switch(config)#
snmpv3 enable
Mind a két jelszó „12345678” lesz jelen példában.
SNMPv3 Initialization process.
Creating user ‘initial’
Authentication Protocol: MD5
Enter authentication password: 12345678
Privacy protocol is DES
Enter privacy password: 12345678
‘initial’ has been createdA feltett kérdésre, miszerint létrehozunk egy új (SHA-t használó) felhasználót, nemmel kell válaszolni, így az „n” betüt (mint no) kell beírni. A következő lépések egyikében kézzel létre lesz hozva egy új SNMP felhasználó.
Would you like to create a user that uses SHA? [y/n] n
User creation is done.
SNMPv3 is now functional.A következő kérdésre, miszerint az SNMPv1 és SNMPv2 üzenetek csak olvasásra legyenek korlátozva, igennel kell válaszolni, így az „y” betüt (mint yes) kell beírni. Az következő lépések egyikében tiltva lesz az SNMPv1 és SNMPv2, így ezen kérdésre adott válasz abban az esetben nem fog számítani.
Would you like to restrict SNMPv1 and SNMPv2c messages to have read only access (you can set this later by the command ‘snmp restrict-access’): yÚj SNMP felhasználó létrehozása:
HP-Switch(config)#
snmpv3 user "[felhasználónév]" auth sha "[hitelesítési jelszó]" priv aes "[titkosítási jelszó]"
Példa:
HP-Switch(config)#
snmpv3 user "snmpuser" auth sha "[hitelesítési jelszó]" priv aes "[titkosítási jelszó]"
A létrehozott SNMP felhasználó hozzáadása a megfelelő privilegizált csoporthoz:
HP-Switch(config)#
snmpv3 group managerpriv user "[username]" sec-model ver3
Példa:
HP-Switch(config)#
snmpv3 group managerpriv user "snmpuser" sec-model ver3
A feleslegesen létrejött „initial” SNMP felhasználó törlése:
HP-Switch(config)#
no snmpv3 user initial
SNMP korlátozása SNMPv3-ra (v1 és v2 letiltása):
HP-Switch(config)#
snmpv3 only
HP-Switch(config)#
snmpv3 restricted-access
SNMPv3 felhasználók megjelenítése:
HP-Switch#
show snmpv3 user
-
További biztonsági beállítások megadása
Telnet-en keresztüli elérés kikapcsolása:
HP-Switch(config)#
no telnet-server
SFTP fájlátvitel bekapcsolása:
HP-Switch(config)#
ip ssh filetransfer
A fentebbi utasítás kikapcsolja a TFTP szervert, de ez külön is megtehető:
HP-Switch(config)#
no tftp server
SNMP kikapcsolása, ha nincs rá szükség:
HP-Switch(config)#
no snmp-server community public
HP-Switch(config)#
no snmp-server enable
Konzol (terminál) SSH/Telnet tétlenségi idejének megadása:
HP-Switch(config)#
console idle-timeout [másodperc]
Konzol (terminál) Soros (Serial) és USB tétlenségi idejének megadása:
HP-Switch(config)#
console idle-timeout serial-usb [másodperc]
Ha 0 másodperc van megadva, az azt eredményezi, hogy nincs tétlenségi idő.
Példa:
HP-Switch(config)#
console idle-timeout 120
HP-Switch(config)#
console idle-timeout serial-usb 300
Hasznos volt ez a bejegyzés?
0 / 0