manualsw5950 Stacking Dos puertos a la metro
MANUAL DE CONFIGURACIÓN DE LOS EQUIPOS ZTE MODELO ZXR10 5950-36TM-H DE LA RED DE CANTV Manual de configuración SW ZTE
Views 146 Downloads 89 File size 572KB
Recommend stories
- Author / Uploaded
- Juan Francisco Urriola Romero
Citation preview
MANUAL DE CONFIGURACIÓN DE LOS EQUIPOS ZTE MODELO ZXR10 5950-36TM-H DE LA RED DE CANTV
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
TABLA DE CONTENIDOS 1. ALCANCE .............................................................................................................................. 4 2. CONTENIDO DE LA MEMORIA FLASH ................................................................................ 4 3. STACKING ............................................................................................................................ 5 4. SISTEMA OPERATIVO ......................................................................................................... 9 5. INFORMACIÓN DEL EQUIPO ............................................................................................. 10 6. CONEXIONES REMOTAS Y USUARIO LOCAL.................................................................. 12 7. PUERTO DE CONSOLA...................................................................................................... 14 8. BANNER DEL EQUIPO ....................................................................................................... 15 9. AAA/TACACS ...................................................................................................................... 15 10. LOGGING Y SYSLOG ......................................................................................................... 19 11. TEMPERATURA .................................................................................................................. 20 12. LINK-AGGREGATION ......................................................................................................... 21 13. VERIFICACIÓN DEL LAG ................................................................................................... 22 14. LISTAS DE ACCESO .......................................................................................................... 23 15. VLAN`s ................................................................................................................................ 25 16. INTERFAZ DE GESTION .................................................................................................... 26 17. CONFIGURACIÓN DE PUERTOS ...................................................................................... 26 17.1.
PUERTOS PARA LA ME .............................................................................................. 26
17.2.
MONITOREO DEL RESTO DE PUERTOS. .................................................................. 27
17.3.
MONITOREO DE POTENCIA DE PUERTOS ............................................................... 31
17.4.
CONFIGURACION DE LA INTERFAZ MGMT_ETH ..................................................... 32
17.5.
VERIFICACION DE LA INTERFAZ MGMT_ETH .......................................................... 33
18. SNMP .................................................................................................................................. 33 19. NTP ..................................................................................................................................... 34 19.1.
CONFIGURACIÓN NTP................................................................................................ 34 Página 2 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
19.2.
SINCRONIZACIÓN NTP ............................................................................................... 35
19.3.
ZONA HORARIA ........................................................................................................... 35
20. FTP ...................................................................................................................................... 35 21. AUTENTICACIÓN PARA USUARIOS SSH ......................................................................... 36 22. RESPALDO DEL ARCHIVO DE CONFIGURACIÓN. .......................................................... 37 23. RECUPERACIÓN DE LOS ARCHIVOS DE CONFIGURACIÓN Y VERSIONES DEL SW .. 37
Página 3 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
1. ALCANCE El presente documento tiene la intención de explicar de manera resumida los comandos de configuración implementados en los Equipos ZTE ZXR10 5950-36TM-H. El documento va dirigido a aquellas personas que realizan configuraciones del modelo instalados en los diferentes clientes de CANTV; todos estos equipos tienen una configuración similar en donde se manejan ciertas funciones y parámetros que se repiten en cada uno de ellos, por lo tanto, se da una orientación sobre qué debe estar configurado, cómo se configura, con qué parámetros, las posibles variaciones en estos; y con el fin de poder comprender qué cambios pudieran ser factibles sin afectar las solicitudes del cliente, se explican brevemente cómo funcionan algunos protocolos y los parámetros asociados que pudieran ser necesarios para su configuración. A lo largo del documento se mostrarán secciones extraídas de un show running-config ejecutado en uno de los SW ZXR10 5950-36TM-H, esto con el fin de mostrar el tipo de configuración que se presenta en este modelo de equipo. 2.
CONTENIDO DE LA MEMORIA FLASH Al iniciar el switch el archivo de configuración que el equipo entiende está alojada en el directorio de la memoria flash “DATA0” y nombrado como “startrun.dat”, sin embargo, inicialmente no posee ninguna configuración, por lo que el archivo de configuración startrun.dat todavía no existe. A su vez debe la memoria flash debe contener el archivo del sistema operativo HMPU.set el cual posee las versiones utilizadas por el equipo: ZXR10#dir Directory of MP-0/T1/0: /flash 356352 KB total (289888 KB free)
1 2 3 4 5 6 7 8
attribute
---
size 2048 2048 10 2048 10 2048 65630475 2048
date 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015
time 16:52 16:52 16:52 16:52 16:52 16:52 16:50 16:49
name . .. 1_1_2_0 641 255_1_65535_255 256 HMPU.set img
Página 4 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
9 10 11 12 13 14 15
2048 2048 2048 2048 2048 2048 2048
08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015 08-19-2015
16:49 16:49 16:49 16:51 16:52 16:52 16:49
usrcmd_log syscmd_log ssh run_log lost+found LOG DATA0
ZXR10#dir DATA0 Directory of MP-0/T1/0: /flash/DATA0 356352 KB total (289844 KB free)
1 2
attribute
size 2048 2048
date time 08-19-2015 16:49 08-19-2015 16:49
name . ..
3. STACKING La funcionalidad de apilamiento o stacking en el conmutador viene por defecto desactivada, dado estas circunstancias es necesario establecer este modo de operación en el switch. La funcionalidad permitirá futuras ampliaciones sin la necesidad de crear ventanas de mantenimiento para ejecutar el procedimiento y realizar nuevamente las configuraciones en el equipo. Esta condición se acredita a la forma de lectura de la configuración del conmutador. Se debe establecer el modo de operación en stacking mediante los siguientes pasos: a) Desde el modo configuración global, ingresar al modo de configuración de stacking (modo VSC) (config)# vsc b) Habilitar la función de stacking en el conmutador. (config-vsc)# vsc mode vsc c) Una vez habilitada la función de stacking debemos habilitar el puerto de servicio que tiene la tarjeta 59-2L-SK, asignarle al conmutador una prioridad y por ultimo un id, para un primer switch o conmutador el id será de 1 y la priorishow dad estará establecida en 255, a través Página 5 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
de las siguientes sentencias:
(config-vsc)# vsc memberid 1 (config-vsc)# vsc domain 1 (config-vsc)# vsc priority 255 d) Configurar la interfaz a conectar con el otro SW (config-vsc)# vsc port-group 1 add xlgei-1/1/3/1 e) Salvar y verificar la configuración con la que iniciará el SW (config-vsc)# vsc write (config-vsc)# show vsc next Mode : cluster Memberid :1 Domain :1 Priority : 255 Mad port1 : none Mad port2 : none Vsc group number : 1 Groupid :1 Group name : vsc group 1 Port number :1 Port list : Shelf Slot Subslot Port ----------------------------------1 1 3 1 f)
Reiniciar el Switch (config-vsc)# end # reload Proceed with reload? [yes/no]:yes
Página 6 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
g) Verificar la configuración de stacking # show vsc config Mode : cluster Memberid :1 Domain :1 Priority : 255 Mad port1 : none Mad port2 : none Vsc group number : 1 Groupid :1 Group name : vsc group 1 Port number :1 Port list : Shelf Slot Subslot Port ----------------------------------1 1 3 1
h) Realizar los pasos desde el a al g para un segundo switch que trabajara como esclavo (config)# vsc (config-vsc)# vsc mode vsc (config-vsc)# vsc memberid 2 (config-vsc)# vsc domain 1 (config-vsc)# vsc priority 250 (config-vsc)# vsc port-group 1 add xlgei-2/1/3/1 (config-vsc)# vsc write (config-vsc)# show vsc next (config-vsc)# end # reload Proceed with reload? [yes/no]:yes # show vsc config i)
Conectar el cable de stacking entre los switches, conectarse al Switch maestro, y verificar la creación del Stack con el comando: Página 7 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
# show vsc information
Para conectar un segundo cable de Stacking en el puerto 2 de uno de los Switches, con otro Switch de un grupo diferente, se debe confirmar que el Switch maestro sea el de mayor prioridad.
Página 8 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
NOTA: Los módulos de expansión para las tarjetas 59-2L-SK (Stacking) se encuentran identificadas de la siguiente manera: en la parte posterior izquierda se encuentra el puerto Nro. 1 (interface xlgei-0/1/3/1) y el puerto Nro. 2 (interface xlgei-0/1/3/2)
4.
SISTEMA OPERATIVO Se usa el comando show version para verificar la versión correcta del sistema operativo, la ubicación de los archivos de memoria y los componentes de cada subtarjeta. cnt-provi-02#show version 5950-36TM-H Software, 5900 Version: V3.00.11.B27, Copyright (c) 2010-2020 by ZTE Corporation. Compiled 2015-07-16, 21:54:21 System image files are: System uptime is 0 days, 1 hours, 7 minutes
RELEASE SOFTWARE
[MP(M) , shelf 1 ,panel 1] cpu 0 Main processor : ARM MV78230 Processor Bootrom Version : V2.05 Memory : 2042 Mbytes System Flash : 512 Mbytes System baud : 9600 baud System nvram : 8 kbytes CPUcard CPLD : N/A CPLD1 Version : V1.50 CPLD2 Version : V1.40 Board Name : 5950-36TM-H Board PCB : V1.00 [Subcard , shelf 1 ,panel 2] Board Type : EQFDC Board Name : 59-4GE-SF Serial Number : N/A
Página 9 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
[Subcard , shelf 1 ,panel 3] Board Type : EDFXS Board Name : 59-2L-SK Serial Number : N/A [MP(M) , shelf 2 ,panel 1] cpu 0 Main processor : ARM MV78230 Processor Bootrom Version : V2.05 Memory : 2042 Mbytes System Flash : 512 Mbytes System baud : 9600 baud System nvram : 8 kbytes CPUcard CPLD : N/A CPLD1 Version : V1.50 CPLD2 Version : V1.40 Board Name : 5950-36TM-H Board PCB : V1.00 [Subcard , shelf 2 ,panel 2] Board Type : EQFDC Board Name : 59-4GE-SF Serial Number : N/A [Subcard , shelf 2 ,panel 3] Board Type : EDFXS Board Name : 59-2L-SK Serial Number : N/A 5. INFORMACIÓN DEL EQUIPO Al ejecutar show system-info en el equipo se desplegará información del mismo, entre ellas se encuentra el system name del ZXR10 5950-36TM-H; regido por el estándar establecido por Cantv según el siguiente formato: zxr10(config)#hostname xxx-zzz-00 xxx-zzz-00(config)#
Página 10 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
Donde: xxx = primeras tres letras del nombre de la central. Por ejemplo Trinidad “tri”. zzz = abreviatura de nombre del cliente 00 = numero ascendente en una unidad empezando con los 5950-36TM-H del cliente incrementándose así sucesivamente.
NOTA: Para el presente documento se utilizara como “hostname” el siguiente ejemplo: cnt-provi-02 zxr10(config)#hostname cnt-provi-02 cnt-provi-02(config)#exit cnt-provi-02# Otro parámetro a configurar es la ubicación del equipo y la información de contacto. Esto se hace mediante los siguientes comandos: cnt-provi-02(config)#location (UBICACIÓN DEL EQUIPO) cnt-provi-02(config)#contact (INFORMACIÓN DE CONTACTO) Estos parámetros se verifican de la siguiente manera: cnt-provi-02#show system-info System Description: ZXR10 ROSNG Version V2.00.31(4.2.24) ZTE ZXR10 5950-36TM-H Software, 5900 Version: V3.00.11.B27, RELEASE SOFTWARE Copyright (c) 2010-2020 by ZTE Corporation Compiled 2015-07-16, 21:54:21 System ObjectId: iso.org.dod.internet.private.enterprises.zte.zxr10.zxr10SwitchM ib.zxr10systemconfig.zxr10SystemID.zxr10Switch-5950-36TM-H Started before: 8833 Seconds Contact with: Datos Capital System name: cnt-provi-02 Location: TORRE MERCANTIL, AV. ANDRES BELLO. TORRE BANCO MERCANTIL. SAN BERNARDINO This system primarily offers a set of 79 services
Página 11 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
6. CONEXIONES REMOTAS Y USUARIO LOCAL El equipo utiliza 16 conexiones vty por defecto para el acceso remoto al SWITCH 5950-36TM-H vía SSH, con o sin Tacacs. En este bloque se configura: cnt-provi-02(config)#ssh server enable cnt-provi-02(config)# ssh server version 2 cnt-provi-02(config)#line telnet server disable cnt-provi-02(config)#line telnet max-link 5 ----------------> (Aplica para SSH) cnt-provi-02(config)#ssh server access-class ipv4 10 cnt-provi-02(config)#line telnet idle-timeout 15 ------------> (Aplica para SSH)
ssh server enable: Este comando se usa para setear el protocolo soportado por los usuarios al logearse en la interfaz vty. Por defecto soporta SSH y telnet. Al configurar protocol inbound ssh debe configurarse authetication mode tacacs o el acceso se denegaría. ssh server version2: Debe establecerse el protocolo SSH en versión 2 la cual tiene un algoritmo de intercambio de llaves mejorado con respecto a la versión1, evitando así la vulnerabilidad de permitir a un intruso insertar datos en la corriente de comunicación. line telnet server disable: Debe establecerse el protocolo SSH como único protocolo de acceso remoto. Por reglas de seguridad de CANTV no se debe configurar telnet, solo SSH. line telnet max-links 5: Indica las sesiones VTY para acceso al equipo comprendidas desde 0 a 4. (5 sesiones que aplica para conexiones SSH/Telnet) line telnet idle-timeout 15: Este valor se fija de manera de desconectar automáticamente la sesión remota si no se detecta ninguna operación una vez cumplido el tiempo de 15 minutos. El valor por defecto es 10 minutos (Aplica para conexiones SSH/Telnet). ssh server access-class ipv4 10: Esta línea de comando indica que el acceso al SW 5950-36TM-H se restringe a los valores especificados en la lista de acceso 10 (aplica para conexiones SSH/Telnet).
Solo debe existir un usuario local llamado admin que debe tener acceso vía SSH, con privilegios nivel 15 y password cifrado como se muestra en el siguiente ejemplo:
Página 12 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
ipv4-access-list 10 rule 1 permit 200.44.46.0 0.0.0.127 rule 2 permit 161.196.49.0 0.0.0.255 rule 3 permit 161.196.42.0 0.0.0.127 rule 4 permit 161.196.4.0 0.0.0.255 rule 5 permit 172.16.0.0 0.0.255.255 rule 6 permit 172.17.0.0 0.0.255.255 rule 7 permit 10.128.2.110 0.0.0.0 rule 8 permit 200.44.44.200 0.0.0.0 rule 9 permit 10.120.156.0 0.0.0.255 rule 10 permit 161.196.84.0 0.0.0.255 rule 11 permit 10.125.178.0 0.0.0.255 rule 12 deny any $ System-user user-name admin bind authentication-template 1 bind authorization-template 1 password zte $ authorization-template 1 access-only lct qx dcn -------------------------- Configuración por defecto bind aaa-authorization-template 2001 local-privilege-level 15 $ authentication-template 1 bind aaa-authentication-template 2001 authentication-method chap ! aaa-authentication-template 2001 aaa-authentication-type tacacs-local $ aaa-authorization-template 2001 aaa-authorization-type tacacs-local $ ssh server enable ssh server version 2 line telnet server disable Process will disable telnet server, Are you sure? [yes/no]:yes Página 13 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
line telnet max-link 5 ----> (Aplica para SSH) ssh server access-class ipv4 10 7. PUERTO DE CONSOLA El Puerto consola es el primer modo de configuración y por defecto ya viene habilitado. Por medio de los siguientes comandos se puede modificar ciertos parámetros correspondientes al puerto de consola. cnt-provi-02(config)#line console idle-timeout Este valor se fija de manera de desconectar automáticamente la sesión remota si no se detecta ninguna operación una vez cumplido el tiempo establecido. El valor máximo a configurar es de dos horas.
La configuración del puerto de consola se puede visualizar por el siguiente comando: cnt-provi-02(config-environ)#show terminal Line: 0, Location: , Type: "" Length: 24 lines, Width: 80 columns Console idle-timeout: 00:30:00 Console absolute-timeout: 1d00h00m Baud rate (TX/RX):9600/9600 Capabilities: none Time since activation: 01:42:59 Editing: enabled History: enabled, History size: 10 Telnet IPv4 ACL name: Telnet IPv6 ACL name: Telnet server: enable, Listen port: 23 Telnet DSCP value: Telnet max-link: 15
Página 14 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
8. BANNER DEL EQUIPO cnt-provi-02(config)#banner incoming @ ! !
_____ ____ _ ____ / /_ _ __ / ___// __ `// __ \ / __/ \ \/ / / /__ / /_/ // / / // /_ \ / \___/ \____//_/ /_/ \__/ \/ Mueve La Fibra Nacional ******** ZXR10 5950/ 2016 ! ! @ El banner muestra cierta información al logearse o configurar un SW 5950-36TM-H. Solo existen un tipo banner que será mostrado al ingresar al equipo. Este maneja hasta 250 caracteres incluyendo espacios. Esto es estándar para cualquier equipo ZTE. El mes es modificado por el cliente.
9. AAA/TACACS Tacacs es un protocolo de seguridad mejorado que implementa AAA para diferentes tipos de usuarios que se comunican con un servidor en un modelo cliente–servidor. Tanto para acceder al equipo con usuario local como a través de autenticación vía Tacacs, al equipo se debe configurar comandos de acceso dentro del grupo de configuración AAA. AAA puede proveer los siguientes servicios: Autenticación: autentica si el usuario puede acceder a la red del servidor. Autorización: autoriza al usuario con servicios específicos. Acounting: rastrea los recursos de red consumidos por el usuario.
Página 15 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
Cabe destacar que para el usuario local el proceso de acounting no es necesario; a su vez Cantv no lleva a cabo el proceso de acounting a través de su servidor Tacacs, por lo que las líneas de configuración de acounting no son necesarias en el equipo. La configuración AAA es la siguiente: tacplus group-server CANTV server 10.120.28.4 server 10.120.156.4 $ System-user user-name admin bind authentication-template 1 bind authorization-template 1 password zte $ authorization-template 1 bind aaa-authorization-template 2001 local-privilege-level 15 $ authentication-template 1 bind aaa-authentication-template 2001 authentication-method chap $ login ascii authentication-template 1 authortication-template 1 ! aaa-accounting-template 2001 aaa-accounting-type tacacs accounting-tacacs-group CANTV $ aaa-authentication-template 2001 aaa-authentication-type tacacs-local authentication-tacacs-group CANTV $ aaa-authorization-template 2001 aaa-authorization-type tacacs-local authorization-tacacs-group CANTV $
Página 16 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
Se debe cambiar los modos de autenticación en el conmutador: aaa-accounting-template 2001 aaa-accounting-type tacacs accounting-tacacs-group CANTV $ aaa-authentication-template 2001 aaa-authentication-type tacacs authentication-tacacs-group CANTV $ aaa-authorization-template 2001 aaa-authorization-type tacacs authorization-tacacs-group CANTV $ Las primeras líneas están asociadas con el servidor de Tacacs con el que se va a establecer comunicación: El nombre del grupo: cantv, definido por Cantv. Ip del servidor: 10.120.28.4 y 10.120.156.4, definidos por Cantv. Las siguientes líneas están asociadas al proceso AAA y especifican lo siguiente: Autenticación de los usuarios: autenticación de un usuario a través del servidor de Tacacs. En caso de fallas de comunicación con el servidor la autenticación se realizar vía local. Autorización de los usuarios: realizado a través del servidor de Tacacs. En caso de fallas de comunicación con el servidor la autenticación se realizar vía local. Proceso resumido: Cuando un usuario requiere acceso al equipo, el mismo trabaja como un cliente de Tacacs+ y envía paquetes para establecer la conexión con el servidor Tacacs hasta recibir una respuesta (modelo cliente-servidor). El servidor tacacs envía de regreso la respuesta para la autenticación requiriendo además el username. El Equipo requiere entonces al usuario el username; al recibir repuesta del usuario el Equipo envía nuevamente el paquete de autenticación llevando el username. El servidor tacacs responde a este paquete requiriendo el password. El Equipo le pregunta al usuario el password y al recibirlo envía otro paquete de autenticación con este dato. El Servidor tacacs envía la respuesta indicando que el usuario ha pasado la autenticación. El Equipo al recibir esta confirmación, muestra al usuario el promp de configuración. Página 17 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
La autorización se realiza después de haber sido aprobado la autenticación ya que los procesos están relacionados entre ellos. El nivel de servicio lo define el perfil del usuario en la base de datos del servidor Tacacs.
La configuración de Tacacs el SW 5950-36TM-H debe establecerse de la siguiente manera: tacacs enable tacplus group-server CANTV $ aaa-authentication-template 2001 aaa-authentication-type tacacs-local authentication-tacacs-group CANTV $ aaa-authorization-template 2001 aaa-authorization-type tacacs-local authorization-tacacs-group CANTV $ tacacs enable-packet authen-type arap tacacs author-packet authen-method tacplus tacacs author-packet authen-service login tacacs author-packet authen-type arap tacacs-server timeout 5 tacacs-server packet 1024 tacacs-client X.X.X.X ------------------------------------------------ tacacs-server key letmein tacacs-server host 10.120.28.4 key letmein tacacs-server host 10.120.156.4 key letmein tacplus group-server CANTV server 10.120.28.4 server 10.120.156.4
Ip del Equipo
Las direcciones IP de servidores primarios y secundarios para AAA son definidos por el cliente y son los que se observan implementados; 10.120.28.4 y 10.120.156.4. Estos Server están usando el puerto 49 por defecto.
Página 18 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
El comando tacacs-client X.X.X.X es la dirección fuente de donde se envían los paquetes Tacacs+, es decir, para el servidor es la única dirección fuente autorizada. La IP X.X.X.X viene siendo la IP del Switch del cliente. 10. LOGGING Y SYSLOG El comando logging permite tener monitoreado el estado del SW 5950-36TM-H en una red y puede ser usado para diagnosticar fallas. El logging está habilitado por defecto, sin embargo se debe revisar en el show logging configuration y en caso de ser necesario, habilitarlo. cnt-provi-02(config)#logging on cnt-provi-02(config)#logging trap-enable notifications cnt-provi-02(config)#syslog-server host 161.196.109.3 cnt-provi-02(config)#syslog-server facility local0 cnt-provi-02(config)#syslog-server source ipv4 X.X.X.X
Ip del Equipo
El logging puede informar sobre el sistema de los módulos de software a un servidor syslog. La dirección IP a configurar corresponde a la del loghost o server syslog. El valor de facility puede variar entre local 0 y local 7 dependiendo de los valores de prioridad que se requieran mostrar. Cuando la información es mostrada al Terminal o al logbuffer, se muestran con el siguiente formato: Level Timestamp Sysname Module: Content. El formato de timestamp es " hh:mm:ss mm dd yyyy timezone". El modulo name es el nombre del modulo el cual creo el log. La severidad indica que el grado de severidad del log siendo emergencies (1) el mayor y debuging (8) el menor. El log no será mostrado si su severidad no es mayor a el umbral seteado en el loghost; en este caso notifications (6). Al ejecutar el show logging alarm se debe mostrar como el siguiente ejemplo: cnt-provi-02(config)#show logging alarm An alarm 540103 ID 5 level 6 occurred at 15:23:50 08-19-2015 sent by SW1 MP-2/T1/0 %SYSTEM% start mode The device is undergoing a ColdStart send by MPC An alarm 400304 ID 3 level 3 cleared at 15:16:11 08-19-2015 sent by SW1 MP-2/T1/ 0 Página 19 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
%CHM% Power malfunction! Shelfnum =2 groupid =1 powerid =2 Power is online An alarm 500101 ID 4 level 3 occurred at 15:16:11 08-19-2015 sent by SW1 MP-2/T1 /0 %CHM% Power shutdown!
Shelfnum =2 groupid =1 powerid =1 Power is turned off
An alarm 400304 ID 2 level 3 cleared at 15:16:11 08-19-2015 sent by SW1 MP-2/T1/ 0 %CHM% Power malfunction! Shelfnum =2 groupid =1 powerid =1 Power is online An alarm 400304 ID 3 level 3 occurred at 15:16:01 08-19-2015 sent by SW1 MP-2/T1 /0 %CHM% Power malfunction! Shelfnum =2 groupid =1 powerid =2 Power is offline
11. TEMPERATURA La temperatura del equipo la podemos visualizar a través del comando: cnt-provi-02(config)#show temperature RENV : Remote environment temperature(Celsius degree) LENV : Local environment temperature(Celsius degree) TH : Threshhold temperature(Celsius degree) Shelf 1 2
Panel 1 1
RENV/TH 127/60 127/60
LENV/TH 26/72 53/72
Este es el valor del umbral de temperatura local que se considera aceptable para el funcionamiento del equipo y que viene por defecto configurado en el mismo. El valor lenv corresponde a la temperatura local mientras que el valor renv corresponde a la temperatura remota. Esta última no cumple función en la versión B27 por lo que no se toma en cuenta. Los valores de los umbrales no son modificables pero cuando la temperatura se acerque al rango que viene por defecto se activa la respectiva alarma de temperatura. Para visualizar la temperatura en los puertos de fibra se debe habilitar la función: optical-inform monitor enable, una vez habilitado se visualiza la temperatura y los valores de potencia en tx y rx (dbm), a través del comando: show optical-inform interface gei_1/1/21. (Ver también el punto 17.3 Monitoreo de los Puertos Ópticos). Página 20 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
12. LINK-AGGREGATION La configuración de link-aggregation en los equipos SW 5950-36TM-H, se lleva a cabo a través de la configuración de la interfaz Smartgroup y los puertos conectados a la Metro Alcatel, de la siguiente manera: cnt-provi-02(config)#interface smartgroup1 cnt-provi-02(config-smartgroup1)#exit cnt-provi-02(config)#interface gei-1/1/1/1 cnt-provi-02(config-gei-1/1/1/1)#no negotiation auto $ cnt-provi-02(config)#interface gei-2/1/1/1 cnt-provi-02(config-gei-1/1/1/2)#no negotiation auto $ cnt-provi-02(config)#lacp cnt-provi-02(config-lacp)#interface smartgroup1 cnt-provi-02(config-lacp-sg-if-smartgroup1)#lacp mode 802.3ad cnt-provi-02(config-lacp-sg-if-smartgroup1)#lacp minimum-member 1 $ cnt-provi-02(config-lacp)#interface gei-1/1/1/1 cnt-provi-02(config-lacp-member-if-gei-1/1/1/1)#smartgroup 1 mode active cnt-provi-02(config-lacp-member-if-gei-1/1/1/1)#lacp timeout short $ cnt-provi-02(config-lacp)#interface gei-2/1/1/1 cnt-provi-02(config-lacp-member-if-gei-2/1/1/1)#smartgroup 1 mode active cnt-provi-02(config-lacp-member-if-gei-2/1/1/1)#lacp timeout short $ $ cnt-provi-02(config)#switchvlan-configuration cnt-provi-02(config-swvlan)#interface smartgroup1 cnt-provi-02(config-swvlan-if-smartgroup1)#switchport mode trunk cnt-provi-02(config-swvlan-if-smartgroup1)#switchport trunk native vlan 1 cnt-provi-02(config-swvlan-if-smartgroup1)#switchport trunk vlan 32
Página 21 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
13. VERIFICACIÓN DEL LAG Para la verificación de la configuración del LAG se utiliza el siguiente comando, esperando el resultado: cnt-provi-02(config)#show lacp internal Smartgroup:1 Flags:
* - Port is Active member Port S - Port is requested in Slow LACPDUs F - Port is requested in Fast LACPDUs A - Port is in Active mode P - Port is in Passive mode Actor Agg LACPDUs Port Oper Port RX Port[Flags] State Interval Pri Key State Machine -------------------------------------------------------------------------------gei-1/1/1/1 active 1 32768 0x111 0x3f current gei-2/1/1/1 active 1 32768 0x111 0x3f current
Mux Machine distributing distributing
Para la verificación de la configuración del MC LAG se espera el siguiente resultado: cnt-provi-02(config)#show lacp internal Smartgroup:1 Flags:
* - Port is Active member Port S - Port is requested in Slow LACPDUs F - Port is requested in Fast LACPDUs A - Port is in Active mode P - Port is in Passive mode Actor Agg LACPDUs Port Oper Port RX Port[Flags] State Interval Pri Key State Machine -------------------------------------------------------------------------------gei-1/1/1/1 active 1 32768 0x111 0x3f current gei-2/1/1/1 passive 1 32768 0x111 0x3f current
Mux Machine distributing distributing
Página 22 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
En la configuración se observa que todas las vlans de servicio son configuradas dentro de la interfaz smartgroup, la cual a su vez está asociada a las dos interfaces físicas dispuesta para conexión al equipo Metro Ethernet. El equipo SW 5950-36TM-H PS soporta hasta un máximo de ocho interfaces asignadas a un mismo Smartgroup. El equipo lleva a cabo un balanceo de carga basado en:
Dirección MAC origen Dirección MAC destino Dirección MAC origen – dirección MAC destino Dirección IP origen Dirección IP destino Dirección IP origen – dirección IP destino
14. LISTAS DE ACCESO Existen diferentes tipos de listas de acceso para esta serie de Equipo: numeradas y nombradas; donde cada una puede ser a su vez básica, avanzada o de capa 2. Se usan listas avanzadas para bloquear puertos de acceso el SW 5950-36TM-H. En el caso de las listas numeradas básicas la numeración será entre 1 y 99. Para la lista avanzadas se utilizaran la numeración entre 100 y 199. Existen dos pasos para poner una lista de acceso en funcionamiento: la definición de la lista y la posterior activación de la misma en un puerto, aplicado a un comunidad SNMP o a la gestión remota a través de las conexiones vty 0-4. En la definición se crea la lista de acceso, una vez en el acl view se deben agregar las reglas a la lista. Cada regla está compuesta por un número, permiso o negación, la dirección ip y la máscara wildcard con la que se va a hacer el matching para tomar la decisión o un puerto opcional; también se especifica la dirección destino con su wildcard o un puerto opcional. A continuación se listan cada una de las listas de acceso con su respectivo uso:
Página 23 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
ACL 10 cnt-provi-02(config)#ipv4-access-list 10 cnt-provi-02 (config-ipv4-acl)#rule 1 permit 200.44.46.0 0.0.0.127 cnt-provi-02 (config-ipv4-acl)#rule 2 permit 161.196.49.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 3 permit 161.196.42.0 0.0.0.127 cnt-provi-02 (config-ipv4-acl)#rule 4 permit 161.196.4.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 5 permit 172.16.0.0 0.0.255.255 cnt-provi-02 (config-ipv4-acl)#rule 6 permit 172.17.0.0 0.0.255.255 cnt-provi-02 (config-ipv4-acl)#rule 7 permit 10.128.2.110 0.0.0.0 cnt-provi-02 (config-ipv4-acl)#rule 8 permit 200.44.44.200 0.0.0.0 cnt-provi-02 (config-ipv4-acl)#rule 9 permit 10.120.156.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 10 permit 161.196.84.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 11 permit 10.125.178.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 12 deny any Este acl es se asocia en la interfaz VTY 0 4 explicada anteriormente en el punto 5. Define las redes permitidas para acceso ssh al equipo.
Se coloca la configuración de la interfaz vty 0 4 para su referencia: cnt-provi-02(config)#ssh server enable cnt-provi-02(config)# ssh server version 2 cnt-provi-02(config)#line telnet server disable cnt-provi-02(config)#line telnet max-links 5 cnt-provi-02(config)#ssh server access-class ipv4 10 cnt-provi-02(config)#line telnet idle-timeout 15
ACL SNMP cnt-provi-02(config)#ipv4-access-list snmp cnt-provi-02 (config-ipv4-acl)#rule 1 permit 161.196.84.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 2 permit 161.196.4.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 3 permit 10.129.0.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 4 permit 10.128.0.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 5 permit 200.44.32.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 6 permit 200.44.46.0 0.0.0.127 Página 24 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
cnt-provi-02 (config-ipv4-acl)#rule 7 permit 200.109.127.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 8 permit 161.196.49.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 9 permit 161.196.42.0 0.0.0.127 cnt-provi-02 (config-ipv4-acl)#rule 10 permit 10.75.4.254 0.0.0.0 cnt-provi-02 (config-ipv4-acl)#rule 11 permit 10.75.5.254 0.0.0.0 cnt-provi-02 (config-ipv4-acl)#rule 12 permit 10.120.156.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 13 permit 10.125.178.0 0.0.0.255 cnt-provi-02 (config-ipv4-acl)#rule 14 deny any Este acl se utiliza para permitir snmp desde las direcciones IP de los servidores del cor y servidores de tráfico de datos con los cuales se monitorean el estado de las interfaces, estado de la memoria, CPU, se realizan graficas de tráfico, que luego son publicadas en scan.cantv.net y se realizan estadísticas de tráfico. Se coloca la configuración snmp asociada a la lista de acceso, para su referencia: snmp-server access-list ipv4 snmp
15. VLAN`s En el SW 5950-36TM-H se declararan las vlan de gestión, de acuerdo a la denominación del cliente, actualmente se tienen las que se indican a continuación: VLAN 38 VLAN 39 VLAN 40 VLAN 41 VLAN 42
Bancos Gobierno Defensa Movilnet Otros Clientes
Para el SW 5950-36TM-H todos los puertos vienen configurados en modo acceso con VLAN1 por defecto y la Native Vlan por defecto es 1, la misma puede ser modificada en caso de ser necesario. También se declaran otras Vlans para gestionar otros equipos, en caso de ser necesario, tales como para equipos de la red: Vlan 32.
Página 25 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
cnt-provi-02(config)#switchvlan-configuration cnt-provi-02 (config-swvlan)#vlan 32 cnt-provi-02 (config-swvlan-sub-32)#name Gestion cnt-provi-02(config)#exit 16. INTERFAZ DE GESTION Cada SW 5950-36TM-H tiene gestión a través de las Vlans (las asignadas según el cliente) y se le configura una IP dentro de esta misma vlan, esto es dentro de una interfaz virtual llamada Vlan-interfaceX. Debe existir solo una interface de Gestión en el switch: cnt-provi-02(config)#interface Vlan32 cnt-provi-02(config-if-vlan32)#description VLAN_GESTION cnt-provi-02(config-if-vlan32)#ip address < Mask x.x.x.x> Los valores de la IP y mascara son provistos por cantv. Se configura además una ruta por defecto de manera de enrutar todos los paquetes pertenecientes a la Vlan de gestión asociada. De esta manera el SW 5950-36TM-H puede tener acceso en capa 3. cnt-provi-02(config)#ip route-static 0.0.0.0 0.0.0.0 x.x.x.x Donde x.x.x.x es la dirección IP del próximo salto deseado, la dirección IP del router DCN. El resto de paquetes no pertenecientes a la Vlan de gestión serán transmitidos en capa 2 dependiendo de la tabla MAC obtenida vía ARP. Es de hacer notar que esta ruta estática es solo para la gestión del Equipo, por lo que si se intenta hacer ping a direcciones IP de servicio desde el equipo, no responderán, ya que la ruta default envía el trafico IP hacia la DCN. Solo debe tener una ruta estática, cualquier otra adicional debe ser eliminada. 17. CONFIGURACIÓN DE PUERTOS 17.1. PUERTOS PARA LA ME cnt-provi-02(config)#interface gei-1/1/1/1 cnt-provi-02(config-gei-1/1/1/1)#hybrid-attribute fiber cnt-provi-02(config-gei-1/1/1/1)#optical-inform monitor enable Página 26 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
cnt-provi-02(config-gei-1/1/1/1)#description conexión-a-Metro-Ethernet-mer-dsw-00-GE-1/2/6 cnt-provi-02(config-gei-1/1/1/1)#no negotiation auto cnt-provi-02(config-gei-1/1/1/1)#exit cnt-provi-02(config)#interface gei-2/1/1/1 cnt-provi-02(config-gei-1/1/1/2)#hybrid-attribute fiber cnt-provi-02(config-gei-1/1/1/2)#optical-inform monitor enable cnt-provi-02(config-gei-1/1/1/2)#description conexión-a-Metro-Ethernet-mer-dsw-00-GE-1/2/7 cnt-provi-02(config-gei-1/1/1/2)#no negotiation auto cnt-provi-02(config-gei-1/1/1/2)#exit
Los puertos GE 1/1/1/1-4 2/1/1/1-4 están destinados para la conexión a la Metro-Ethernet. La descripción del puerto, debe tener el hostname del Equipo metro y el puerto remoto.
17.2. MONITOREO DEL RESTO DE PUERTOS. Para la verificación de los puertos ópticos es necesaria la activación del siguiente parámetro dentro de las interfaces:
interface gei-1/1/1/1 hybrid-attribute fiber optical-inform monitor enable negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-1/1/1/2 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 Página 27 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
$ interface gei-1/1/1/3 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-1/1/1/4 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-1/1/1/5 negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-1/1/1/6 negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ . . . interface gei-1/1/1/28 negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface xlgei-1/1/3/1 negotiation auto broadcast-limit percent 10 Página 28 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
multicast-limit percent 100 unknowncast-limit percent 10 $ interface xlgei-1/1/3/2 negotiation auto broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/1 hybrid-attribute fiber optical-inform monitor enable negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/2 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/3 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/4 hybrid-attribute fiber negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/5 Página 29 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface gei-2/1/1/6 negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ . . . interface gei-2/1/1/28 negotiation auto disable broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface xlgei-2/1/3/1 negotiation auto broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ interface xlgei-2/1/3/2 negotiation auto broadcast-limit percent 10 multicast-limit percent 100 unknowncast-limit percent 10 $ lacp interface smartgroup1 lacp mode 802.3ad lacp minimum-member 1 $ interface gei-1/1/1/1 smartgroup 1 mode active Página 30 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
lacp timeout short $ interface gei-2/1/1/1 smartgroup 1 mode active lacp timeout short $ $ switchvlan-configuration interface smartgroup1 switchport mode trunk switchport trunk native vlan 1 switchport trunk vlan 32
NOTA: Todos los puertos sin uso, deberán estar en shutdown; por defecto el switch ZXR10 5950-36TM-H viene con todos sus puertos en modo up. Puertos Ethernet y GigabitEthernet deberán ser configurados: Full Duplex, speed 100 ó speed 1000 respectivamente. (No deben haber puertos configurados en: negotiation-auto, salvo sus excepciones bien justificadas)
17.3.MONITOREO DE POTENCIA DE PUERTOS Al ejecutar el comando show optical-inform interface gei-1/1/1/1 o show optical-inform brief shelf se desplegará la información necesaria para conocer los rangos de potencia que se generan en los puertos ópticos además de su temperatura y voltaje. cnt-provi-02#show optical-inform brief shelf 1 If device is externally calibrated, only calibrated values are printed. -Inf: not applicable, Tx: transmit, Rx: receive. Interface Name
Temperature (Celsius)
Voltage
Voltage
(3.3 Volts)
(5 Volts)
Optical
Optical
Current
Tx Power
Rx Power
(mA)
(dBm)
(dBm)
------------------------------------------------------------------------------------------------------- ----------------------------gei-1/1/1/1
33.22
3.23
N/A
4.73
-5.68
-6.24
Página 31 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
cnt-provi-02#show optical-inform brief shelf 2 If device is externally calibrated, only calibrated values are printed. -Inf: not applicable, Tx: transmit, Rx: receive. Optical Interface Name
Temperature (Celsius)
Voltage
Voltage
(3.3 Volts)
(5 Volts)
Current
Tx Power
(mA)
(dBm)
Optical Rx Power (dBm)
--------------------------------------------------------------------------------------------------------------------------gei-2/1/1/1
43.50
3.26
N/A
23.70
-5.22
6.30
A continuación se muestra una tabla de los rangos normales de potencia en tx que se deberían observar en el equipo al ejecutar el comando show optical-inform brief. La última fila representa el mínimo de potencia en RX, si la potencia del puerto en RX inferior al mostrado abajo, la interfaz se mostrara como caída.
Tabla 1. Rangos de potencia
MODEL 1000BASE-LH(SFP-S80K) 1000BASE-SX(SFP-M500) 1000BASE-LX(SFP-S10K)
SPEED 1000M 1000M 1000M
TRANSMISSION RANGE 80Km 500Km 10Km
TYPE
S/M
WAVELENGTH
LC LC LC
S M S
1550nm 850nm 1310nm
POWER RANGE (TX) [0 , 5]dbm [-9.5 , -4]dbm [-9.5 , -3]dbm
RECEIVING SENSITIBITY -22dbm -18dbm -20dbm
17.4.CONFIGURACION DE LA INTERFAZ MGMT_ETH Cada SW 5950-36TM-H tiene una interfaz local llamada mgmt_eth que permite establecer conexión hacia la consola del mismo y se le configura una IP dentro de la interfaz. Siempre se visualizara la dirección ip 192.168.0.1/24 para cada uno de los equipos dentro de la plataforma: cnt-provi-02(config)#interface mgmt_eth cnt-provi-02(config-if-vlan32)#ip address 192.168.0.1 255.255.255.0
Página 32 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
17.5.VERIFICACION DE LA INTERFAZ MGMT_ETH Al ejecutar el comando show ip interface brief include mgmt_eth se desplegará la información de la interfaz managemente ethernet para el dispositivo 5950. cnt-provi-02#show ip interface brief include mgmt Interface mgmt_eth
IP-Address 192.168.0.1
Mask 255.255.255.0
Admin Phy Prot up up up
Nota: durante la implementación se debe validar que el puerto pueda levantar sin inconvenientes, sin embargo después de la instalación el puerto permanecerá en un estado físico (Phy) down.
18. SNMP En términos de estructura SNMP se puede dividir en dos grupos llamadas: Network Management Station y Agent. Network Management Station es el PC que esta corriendo el programa cliente. Agent es el software operado en el equipo de red (Equipo). Network Management Station puede enviar GetRequest, GetNextRequest y SetRequest messages hacia el servidor. Una vez recibido el requerimiento, el servidor realizara la operación de lectura o grabado de acuerdo al mensaje tipo y generará de regreso una respuesta al Network Management Station. Otro modo de operación es que el servidor snmp envía mensajes Trap por su propia iniciativa para reportar eventos si el dispositivo encuentra alguna anormalidad. Para identificar los mensaje tipo se utiliza los MIB`s. El MIB (Management Information Base) es usado para describir la arquitectura jerárquica del árbol y su configuración define las variables estándar del monitoreo del equipo. cnt-provi-02(config)#snmp-server enable trap cnt-provi-02(config)#snmp-server version v2c enable cnt-provi-02(config)#snmp-server host 10.75.4.254 trap version 2c MeTalclientsw cnt-provi-02(config)#snmp-server host 10.75.5.254 trap version 2c MeTalclientsw cnt-provi-02(config)#snmp-server host 10.120.156.114 trap version 2c MeTalclientsw cnt-provi-02(config)#snmp-server host 10.120.156.117 trap version 2c MeTalclientsw cnt-provi-02(config)#snmp-server community MeTalclientsw view AllView rw cnt-provi-02(config)#snmp-server trap-source X.X.X.X---------------- Ip del Equipo cnt-provi-02(config)#snmp-server access-list ipv4 snmp Página 33 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
cnt-provi-02(config)#snmp-server packetsize 1400 cnt-provi-02(config)#snmp-server engine-id 830900020300010289d64401 Primero se debe habilitar el snmp-server y posteriormente agregar las comunidades con su respectivo nombre, tipo de acceso: si es de solo lectura o lectura y escritura; la comunidad con read solo tendrán la autoridad de requerir información del equipo mientras la que tengan write podrán también configurar el equipo. Las communidades SNMP configuradas en el switch ZTE modelo ZXR10 5950-36TM-H, deben ser de solo lectura (read only - ro). Se indica el número de la lista de acceso asociada a la comunidad SNMP de manera de delimitar que redes tienen acceso al trafico snmp. Por último se debe especificar la versión de SNMP que se correrá en el Equipo; las opciones son v1, v2c y v3. La SNMP v1 y v2c adoptan la autenticacion por el nombre de la comunidad. Las Community configuradas solo deben poseer acceso del modo lectura, por lo cual deben tener la palabra read. Por seguridad, no deben existir community con la palabra write, de modo escritura. 19. NTP 19.1. CONFIGURACIÓN NTP El servidor NTP (Network Time Protocol) trabaja en pro de mantener la sincronización entre los relojes de los equipos pertenecientes a una misma red. Existen diferentes modos de operación para este protocolo. En este caso se utilizará el NTP server donde se indica una dirección IP que no puede ser ni broadcast ni multicast. cnt-provi-02(config)# clock timezone VET -4 00 cnt-provi-02(config)#ntp enable cnt-provi-02(config)#ntp server 10.128.0.125 priority 1 cnt-provi-02(config)#ntp server 10.128.0.61 priority 2 La dirección configurada pertenece a un servidor remoto que sincroniza su reloj con el Equipo local y viceversa. Las direcciones IP son provistas por Cantv. Adicionalmente para que la hora arrojada en los log sea compatible con la Hora de Caracas Venezuela se debe hacer un ajuste en la vista usuario (-4 00). El tiempo de zona local ajusta la diferencia con tiempo del Standard Universal Time Coordinated (UTC).
Página 34 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
19.2.SINCRONIZACIÓN NTP Al ejecutar el comando show ntp status debe estar sincronizado como se muestra en el siguiente ejemplo: cnt-provi-02(config)# show ntp status Clock is synchronized, stratum 3, reference is 10.128.0.125 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**16 reference time is d3084da2.0 (05:11:57 Fri Mar 16 2012 VET) clock offset is 0.93 msec, root delay is 75.46 msec root dispersion is 20.72 msec, peer dispersion is 0.00 msec server in use is 10.128.0.125
19.3.ZONA HORARIA Al ejecutar el comando debe observarse la zona horaria en "GMT": cnt-provi-02(config)# show clock 12:15:09 VET Wed Aug 19 2015 20. FTP Al ejecutar el comando para la verificación del FTP se debe mostrar el procolo deshabilitado: cnt-provi-02(config)#show ftp-server
------------------------------------------------------------------------------------------------------------FTP server run state: disable FTP server listen port: FTP server user top directory : /flash/ FTP server user top directory access permissions: read-write copy FTP server IPv4 ACL name: FTP server IPv6 ACL name: FTP server max online user number: 40 FTP secure server run state: disable FTP secure server mode: all Página 35 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
FTP secure server explicit port: 21 FTP secure server implicit port: 990 User-ID Username Status IP-address Port -----------------------------------------------------------------------------------------------------------------------21. AUTENTICACIÓN PARA USUARIOS SSH Secure Shell (SSH) provee autenticación de segura información, evita ataques como IP spoofing e intercepción del password cuando un usuario se logeo en el Equipo remotamente. El proceso SSH de ingreso al ZXR10 5950-36TM-H sería: negociación de la versión, negociación de la clave, autenticación, requerimiento de sesión y sesión interactiva.
cnt-provi-02(config)#ssh server enable cnt-provi-02(config)# ssh server version 2 cnt-provi-02(config)#ssh server access-class ipv4 10
Para los usuarios locales definidos al principio, se debe especificar que la autenticación SSH es tipo password. En este caso al configurar esta línea el SW 5950-36TM-H validará los datos de username y password enviado con los configurados localmente en local-user. Cuando se activa Hwtacacs, el user default nos dice que el username podrá ser de cualquier usuario; la diferencia esta en que la validación no será local con los datos en loca-user sino con los datos de usuarios configurados en el servidor tacacs. Es decir tomara el username y password y lo enviara al server tacacs y este tomara la decisión de permitir o denegar el acceso al SW 5950-36TM-H. Por defecto requiere hasta 3 veces el password antes de cortar la conexión. cnt-provi-02(config)#ssh server generate-key NOTA: este comando es utilizado solo en ssh versión 1. Esta clave debe generarse en el SW 5950-36TM-H una sola vez. Este comando habilita una clave (key) que se utiliza en la negociación de acceso. El servidor aleatoriamente genera su Rsa key y envía la clave publica al cliente (en este caso el PC del usuario). El cliente empieza la negociación basado en la clave pública y aleatoriamente genera un número. Este Página 36 of 37
Manual de configuración SW ZTE Modelo ZXR10 5950-36TM-H Revisión 1-xx
número es encriptado con la clave y lo envía al servidor. El Server desencripta y es entonces cuando ambos usan el mismo algoritmo, para aceptar después los datos de autenticación. Esta opción es válida solo con la versión 1 de ssh. 22. RESPALDO DEL ARCHIVO DE CONFIGURACIÓN. El comando copy proporciona realizar copias de seguridad al archivo de configuración contenidos en los directorios DATA0. Para proceder a realizar los respaldos, contar previamente con un servidor ftp que tenga conectividad con el switch. De hacer la extracción del archivo por el puerto de gestión: cnt-provi-02#copy ftp vrf mng root: /flash/DATA0/startrun.dat //X.X.X.X/startrun.dat@ usuario-ftp:clave-ftp
23. RECUPERACIÓN DE LOS ARCHIVOS DE CONFIGURACIÓN Y VERSIONES DEL SW A través del comando copy se puede realizar la carga de las versiones o de archivos de configuración previamente respaldados en el switch. cnt-provi-02#copy ftp: //X.X.X.X/NOMBRE DEL ARCHIVO@usuario-ftp:clave-ftp root: NOMBRE DE LA CARPETA
Página 37 of 37