21T35 Aruba Device Profile w 10 min. [Konfiguracja]

Wykrywanie Urządzeń Na Porcie

Więcej miejsc do posłuchania:

Spotify

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

0:13 Topologia

0:30 Konfiguracja

1:40 Definicja roli

4:34 Stworzenie Device Profile

9:10 Parametry DSCP

9:32 Podsumowanie

Cześć! Chciałbyś się dowiedzieć, jak skonfigurować Device Profile na przełącznikach Aruby w serii CX? Jeżeli tak, to w tym odcinku pokażę,
jak to zrobić.

Zacznijmy od topologii. Mamy tutaj bardzo prostą topologię. Jeden przełącznik ArubaCX po lewej stronie, jeden przełącznik ArubaCX po prawej stronie. Pomiędzy nimi jeden link, port 1/1/1 z lewej strony i port 1/1/1 z drugiej strony.

Jeżeli chodzi o konfigurację, to zaczynamy od zalogowania się oczywiście do przełączników. Mamy przełącznik pierwszy CX1 po lewej stronie, CX2 po prawej stronie. Jeżeli chodzi o interfejs, to potrzebujemy tutaj zmienić podstawową rzecz, czyli tryb pracy portu.

Tutaj przypomnę, że seria CX ma domyślnie pracę portu interfejsu fizycznego
w L3, czyli zmieniamy na tryb L2 i uruchamiamy no shutdown dany port. Robimy podobną konfigurację po prawej stronie.

Jeżeli chodzi o konfigurację, którą będziemy tu robić, to na przełączniku CX2 wystarczy nam tylko podniesienie interfejsu i przełączenie w tryb L2. Całą
resztę konfiguracji będziemy robić po lewej stronie, czyli na przełączniku CX1. CX2 będzie nam służyło tylko jako sąsiad, żebyśmy mogli po LLDP rozpoznać, co mamy podłączone do naszego przełącznika pierwszego.

Zaczynamy od definicji roli. Czyli mamy tutaj rolę, nazwa roli: NAP-CX-role. Tutaj mam podstawowe parametry, które do tej roli możemy sobie wpisać,
czyli description. Co ważniejsze możemy dodać pewne profile, czy parametry. dotyczące POE, dotyczące DSCP, czyli zmieniamy, że jeżeli port będzie w roli NAP-CX-role, będzie miał priorytet POE high i będzie akceptował przychodzące pakiety i znaczniki DSCP w tych pakietach. Następnie dodamy VLAN natywny
dla połączenia trunkowego, bo ten port, jeżeli przyjmie rolę NAP-CX-role, będzie portem typu trunk, będzie miał native VLAN 11 i vlan trunk around, czyli VLAN-y, które będą akceptowane na tym trunku od 11 do 13. Rolę mamy zdefiniowaną, to jest pierwszy profil, który potrzebujemy zrobić.

Kolejny profil, będzie się już wiązał z LLDP. Najpierw sprawdźmy, co po LLDP widzimy na przełączniku pierwszym. Czyli: show lldp neighbor-info detail-i na tym przełączniku widzimy sąsiada, który ma chassis-description, zawierający nazwę ABC123. To jest ważne, będziemy to wykorzystywać. Możemy również wykorzystywać takie rzeczy, jak MAC adres i tę część MAC adresu, która jest związana z identyfikacją producenta. Możemy również wykorzystywać chassis-name, czyli nazwę przełącznika, to jest ta sama nazwa, którą po prawej stronie możemy skonfigurować poprzez polecenie host name. Okej, mamy już informację, co widzimy po LLDP.

Teraz sobie konfigurujemy, jakie parametry będziemy używać do matchowania,
czyli do identyfikacji, czy nam wykrywa właściwie sąsiada w tej konfiguracji LLDP. Zaczynam tę konfigurację od port-access lldp-group, nazwa profilu, czyli w tej grupie LLDP tworzymy sobie zasady matchowania, co będzie nam
spełniało to kryterium, czyli jeżeli sys-desc (system description) będzie ABC 123, tak jak w naszym przykładzie, wtedy będzie urządzenie sąsiednie zakwalifikowane do profilu lldp-group o nazwie NAP-CX-group.

Czyli to jest nasza zasada powiązania. Mamy już dwa profile, czyli co ma być za tryb portu i parametry portu, jeżeli profil LLDP będzie się zgadzał i jak będziemy sprawdzać to zgadzanie się profilu.

Na koniec został nam trzeci, ostatni profil do stworzenia, profil Device Profile. Czyli w tym profilu wskazujemy, jakie wiążemy ze sobą profile roli, czyli tryb pracy portu i wiążemy profil LLDP, czyli powiązanie, co nam spełnia kryterium LLDP. Mając już te dwa profile dodane do profilu urządzenia, czyli Device Profile, możemy włączyć ten profil i możemy teraz sobie przejrzeć konfigurację running-config.

W tej konfiguracji mamy trzy najważniejsze rzeczy dla nas, czyli port-access lldp-group, profil do stworzenia jest potrzebny. Ta kolejność, o której tutaj rozmawiamy, też jest istotna, więc zwróć uwagę, że jeżeli będziesz sam konfigurował, żeby robić to w podobnej kolejności.

Mamy profile role NAP-role. Jest cały profil stworzony i na końcu wiążemy powyżej dwa stworzone profile w profilu Device Profile. Teraz możemy sobie wyświetlić informację o portach. Widzimy, że mamy jeden port podniesiony, jest to port 1/1/1. Natywny VLAN dla tego portu to jest tryb portu access i natywny VLAN to jest pierwszy, czyli to jest tryb access w VLAN-ie pierwszym. Tak mamy obecnie skonfigurowany ten port.

Sprawdźmy teraz, jak wygląda Device Profile, czyli mamy włączony profil wykrywania urządzeń, mamy podpięte profile zarówno roli, jak i profil… Tu mamy rolę, a tu mamy profil LLDP. Sprawdźmy sobie sąsiada, jest wykrywany po LLDP. I teraz możemy zobaczyć urządzenia na wszystkich portach, które są powiązane z tym Device Profile. Widzimy na porcie 1/1/1 sąsiada o takim MAC adresie. Mamy tutaj profile odpowiednie przypięte na tym interfejsie. Okej, zgodnie z naszym oczekiwaniem. Jedna rzecz tutaj się nie zgadza i nie zgadza się celowo. Zauważ, że jest napisane: state, czyli stan zastosowania tego profilu, application-failed, czyli nie udało się tego profilu zastosować. Dlaczego? Poniżej jest napisane: powód błędu, failed to assign VLAN, czyli nie był w stanie przypisać VLAN-u, który jest skonfigurowany w tym profilu. W związku z tym
ten profil nie mógł zostać użyty.

Okej, to jest zgodne z oczekiwaniem, dlatego że my w profilu, jeżeli pamiętasz, wpisaliśmy VLAN od 11 do 13 jako zezwolony na trunku, a tych VLAN-ów jeszcze nie zdefiniowaliśmy w naszej konfiguracji. Teraz możemy dodać VLAN od 11 do 13 w konfiguracji globalnej. Sprawdźmy ponownie.

Port-access device-profile interface all-i teraz widzimy, że status jest applied,
czyli nasz profil został zastosowany do portu na podstawie wykrycia informacji po LLDP i przypisania roli NAP-CX-role.

Dobrze, sprawdźmy teraz interfejsy. Mamy tutaj interfejs 1/1/1, natywny VLAN tym razem już jest 11, zgodnie z naszym profilem, tryb pracy portu jest trunk, czyli widać, że profil działa. Możemy sobie zobaczyć, porównać to, co wcześniej było, przewinięte jest do góry. Natywny VLAN był pierwszy, a obecnie natywny VLAN jest jedenasty i tryb pracy trunk.

Sprawdźmy, jakie ma przypisanie profilu POE, ponieważ w roli umieściliśmy
priorytet high dla roli przypisanej do portu w ramach POE, ponieważ na porcie 1/1/1 ta rola jest przypisana, to mamy power priority: high, czyli zgodnie
z oczekiwaniem.

Co jeszcze konfigurowaliśmy? Ufanie do DSCP, czyli zobaczmy sobie parametry DSCP, możemy tu zobaczyć w poleceniu show interface 1/1/1, czyli parametry interfejsu. I sprawdźmy tutaj poziom qos, jest wpisany trust (qos trust dscp), czyli zgodnie z oczekiwaniem wszystkie atrybuty danej roli są przypisane.

To jest wszystko, jeżeli chodzi o dzisiejszy odcinek i konfigurację. Jak widzisz, jest kilka kroków do wykonania. Jeżeli masz jakieś pytania co do tej konfiguracji, to oczywiście pisz w komentarzu.

Jeżeli jesteś chętny dowiedzieć się więcej na temat teoretycznej strony: po co się stosuje, kiedy się stosuje, jak nam ułatwia używanie profili, naszą codzienną pracę administratora, to zapraszam Cię do mojego podcastu, tam tę część teoretyczną bardziej rozwinę i opowiem, kiedy ja stosuję tego typu profile i dlaczego warto to robić.

Na dzisiaj to tyle. Dziękuję Ci za uwagę i do zobaczenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.