Podkast 21T50 Aruba CX LLDP [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to LLDP na przełącznikach Aruby serii CX. Najpierw dwa słowa, po co LLDP, dla tych, którzy nie mieli okazji z tym się zetknąć. Protokół sąsiedzki L2 do wykrywania sąsiadów po to, żeby zobaczyć na danym urządzeniu co jest podłączone na porcie, jeżeli protokół LLDP jest na danym porcie, na obu sąsiadujących urządzeniach włączony. Typowe informacje, które możemy zebrać, to jest informacja o nazwie systemu, o numerze portu, do którego jesteśmy podłączeni zarówno lokalnie, jak i zdalnie. Dzięki temu możemy dostać dodatkowe informacje i rozwiązywać pewne problemy.

Typowy przykład, który ostatnio miałem, z życia wzięty, polegał na tym, że do routera, do którego nie miałem dostępu był podłączony przełącznik, który konfigurowałem, a ten przełącznik był podłączony do złego portu na routerze. W związku z tym, nie działa pełna komunikacja, na właściwym porcie były tagowane i nietagowane VLAN-y włączone, a na porcie, na którym był aktualnie podłączony, sąsiednim porcie, był tylko Akcess VLAN, czyli VLAN podstawowy. Część ruchu działała, część nie działała a nie mogłem sprawdzić konfiguracji na routerze, ponieważ nie miałem do niego dostępu. Jedyne co mogłem odczytać, to pewne podstawowe dane, po SNMP. Mając taki protokół LLDP, działający pomiędzy urządzeniami, mogłem sprawdzić, na którym porcie jestem podłączony na urządzeniu zdalnym i od razu wiedziałem, jaką akcję należy zalecić, żeby problem łączności rozwiązać.

Nie tylko funkcjonalność wykrywania urządzeń jest dostępna i atrakcyjna, drugą połowę tej wartości można by dodać poprzez profilowanie. Na przełącznikach Aruby serii CX wprowadzono taką funkcjonalność, że przełącznik lokalnie może sprofilować urządzenie, które jest do niego podpięte i dzięki temu przypisać pewien profil. W profilu możemy powiedzieć, jakie parametry PoE mają być, jakie VLAN-y tagowane, jakie VLAN-y nietagowane i bazując na lokalnym profilowaniu, odpowiedni typ dostępu przypisać do urządzenia. Zastosowałem to w jednym ze swoich projektów i działa to bardzo dobrze, mogę spokojnie polecić dla rozwiązań, które nie mają możliwości zastosowania pełnego uwierzytelniania, np 802.1x, bo przełączniki w zależności od serii, modelu często mają możliwość uwierzytelniania się do innego urządzenia. Wtedy oczywiście też możemy właściwy profil przypisać. Jeśli taki pełen schemat uwierzytelniania RADIUSowego nie jest dostępny, to przynajmniej to profilowanie lokalne na przełączniku daje nam wyższy poziom bezpieczeństwa.

Porównując serię Aruba CX do serii Aruba OS Switch, czyli poprzedniej serii przełączników znanych też jako ProCurve i jeszcze dostępnych za czasów HP, to w serii CX wprowadzono rozbudowany bardziej mechanizm. Można sobie definiować konfiguracyjnie trzy obszary, na podstawie których będziemy określać, jaki typ profilu stosujemy. Czyli mamy możliwość wpisania, że jeżeli wystąpi ciąg znaków, np w nazwie przełącznika, to przypisujemy dany profil. Jeśli wystąpi np część MAC adresu związanego z danym producentem, to przypisujemy dany profil, lub też jeśli w opisie do danego urządzenia wystąpi jakiś ciąg znaków, przez nas zdefiniowany, to również zastosujemy dany profil. Dzięki temu mamy możliwość granularnego rozróżniania co będziemy kwalifikować do danego profilu a potem z tym profilem będzie można przypisać parametry związane z dostępem (Access Listy, profil PoE czy też parametry tagowanych, czy nietagowanych VLAN-ów). Połączenie tych dwóch rzeczy jest bardzo przydatne i mocno ułatwia cały schemat planowania implementacji.

Wyobraź sobie teraz, że planujesz 802.1x, lub planujesz podłączenie jakieś standardowe Access VLAN-u, nawet bez 802.1x na wszystkich portach dostępowych, ale na porcie up-linkowym chciałbyś, żeby każdy przełącznik, który jest podłączony do Aruba CX, powodował, że ten port ma profil tagowanych i nietagowanych VLAN-ów, to jest najczęstszy przypadek, który ja stosuję. Jeśli mamy up-linkowy port, to żeby tam były tagowane i nietagowane, natomiast jeżeli jest to port dostępowy, to żeby to były po prostu Access VLAN-y. Gdy stosujesz taki automatyczny tryb wykrywania, to zawsze podłączając taki zdefiniowany przełącznik Arubowy bądź inny po LLDP, będziesz na Arubie CX mógł przypisać port UP-linkowy. Masz jedną konfigurację dla wszystkich portów, plus dodatkowa możliwość dynamizacji profilu portu, w zależności od opisu jaki otrzymujesz poprzez protokół LLDP.

Jest to niewątpliwie duże ułatwienie w takich scenariuszach automatycznej implementacji. Jeśli chcesz zobaczyć, jak taki protokół można włączyć, zobaczyć jakie dane są prezentowane przez urządzenie sąsiedzkie, to już w poniedziałkowym odcinku, będziesz mógł to zrobić. Jest również na moim blogu dostępny artykuł pokazujący, jak te automatyczne profile tworzyć i jak można z nich korzystać i ich używać. W razie pytań pisz w komentarzu. Dziękuję Ci za dziś i do usłyszenia już za tydzień.