Alcatel-Lucent OS6900 Virtual Chassis aktivieren

Mit dem neuen Firmware Release 7.3.1.632 kann man jetzt 2* 6900er oder 2* OS10k stacken.
Das ganze nennt sich dann Virtual Chassis und funktioniert (erstmal) nur für 2 Chassis.

Im Vergleich zu MC-LAG sollte das eine deutlich einfachere Konfiguration mit sich bringen, da man nur noch ein logisches Gerät hat und z.B. einen LACP agg nur noch da konfiguriert (statt vorher auf beiden Geräten identisch).

Vergleichbar also mit Cisco VSS bei den 6500 (und bald 4500).

Was ist notwendig?
1. eine Advanced Licence (zum testen kann man auch die 5 Tage Lizenz mittels

debug demo-license

einspielen.
Ein paar Zeilen Konfiguration.

Sinnvollerweise macht man sich ein Testverzeichnis und macht die Experimente da drinnen.

mkdir v_chassis
cp /working/* v_chassis

Man braucht natürlich das richtige AOS in dem Verzeichnis (7.3.1.632) und startet dann den Switch mit der 7.3.1.632
reload from v_chassis no rollback-timeout

Auf dem 1.Chassis gibt man als Chassis-ID die eins, auf dem zweiten die 2.
Plant man mehrere solcher Konstrukte sollte man unterschiedliche Gruppen wählen, damit die Split Brain Detection funktioniert (muss man ja bei MC-LAG auch)

Sinnvollerweise vergibt man auch gleich EMP Adressen – darüber wird später eine Split-Brain Detection gemacht, falls der VF-Link mal weg ist. Die Chassis müssen sich also über das EMP Interface gegenseitig erreichen können, eine 1:1 Direktverbindung ist aber nicht sinnvoll/machbar (zumindest nicht wenn man man mehr CMMs z.B. OS10k) verbinden muß.

1.Chassis

virtual-chassis configured-chassis-id 1
virtual-chassis vf-link 0 create
virtual-chassis vf-link 0 member-port 1/1
virtual-chassis chassis-group 2
ip interface emp address 192.168.252.1/24
write memory
convert-configuration to v_chassis

2.Chassis

virtual-chassis configured-chassis-id 2
virtual-chassis chassis-group 2
virtual-chassis vf-link 0 create
virtual-chassis vf-link 0 member-port 1/1
ip interface emp address 192.168.252.2/24
write memory
convert-configuration to v_chassis

Danach startet man beide Chassis mit der neu erstellten Virtual Chassis Konfiguration (siehe vcboot.cfg/vcsetup.cfg im v_chassis Ordner)

Auf beiden Chassis:

reload from v_chassis no rollback-timeout

Nach dem booten sieht man auf dem primären (Master) das andere Chassis Ports des anderen Gerätes und kann wie in einem gewöhnlichen Stack damit hantieren.

 show virtual-chassis topology 
Local Chassis: 1
                                        Config 
 Chas  Role         Status              Chas ID  Pri   Group  MAC-Address      
-----+------------+-------------------+--------+-----+------+------------------
 1     Master       Running             1        100   2      e8:e7:32:XX:XX:69
 2     Slave        Running             2        100   2      e8:e7:32:XX:XX:89

 show chassis 
Local Chassis ID 1 (Master)
  Model Name:                    OS6900-X40,
  Module Type:                   0x5062202,
  Description:                   Chassis,
  Part Number:                   902910-90,
  Hardware Revision:             B08,
  Serial Number:                 M366XXXX,
  Manufacture Date:              Sep 11 2011,
  Admin Status:                  POWER ON,
  Operational Status:            UP,
  Number Of Resets:              29,
  MAC Address:                   e8:e7:32:XX:XX:69

Remote Chassis ID 2 (Slave)
  Model Name:                    OS6900-X40,
  Module Type:                   0x5062202,
  Description:                   Chassis,
  Part Number:                   902910-90,
  Hardware Revision:             B08,
  Serial Number:                 M366XXXX,
  Manufacture Date:              Sep 11 2011,
  Admin Status:                  POWER ON,
  Operational Status:            UP,
  Number Of Resets:              42,
  MAC Address:                   e8:e7:32:XX:XX:89


->show interfaces status 
 Chas/                   DETECTED-VALUES         CONFIGURED-VALUES    
 Slot/    Admin  Auto  Speed   Duplex  Pause   Speed   Duplex  Pause  Link
 Port     Status Nego  (Mbps)                  (Mbps)                 Trap
---------+------+----+--------+------+-------+--------+------+-------+-----
  1/1/1      en   dis   10000   Full     -     10000    Full     -     dis
  1/1/2      en   dis     -      -       -     10000    Full     -     dis
  1/1/3      en   dis     -      -       -     10000    Full     -     dis
 [.. snip ..]
 1/1/40     en   dis     -      -       -     10000    Full     -     dis
  2/1/1      en   dis   10000   Full     -     10000    Full     -     dis
  2/1/2      en   dis     -      -       -     10000    Full     -     dis
 [.. snip ..] 
 2/1/40     en   dis     -      -       -     10000    Full     -     dis

Will man LACPs anlegen geht das „wie immer“:

linkagg lacp agg 1 size 2 admin-state enable name "To_DC" actor admin-key 1 
linkagg lacp agg 2 size 2 admin-state enable name "To_RZ" actor admin-key 2
linkagg lacp port 1/1/31 actor admin-key 1
linkagg lacp port 2/1/31 actor admin-key 1
linkagg lacp port 2/1/39 actor admin-key 2
linkagg lacp port 1/1/39 actor admin-key 2

->show linkagg port 

Chassis/Slot/Port  Aggregate   SNMP Id   Status    Agg  Oper   Link Prim
-------------------+----------+--------+----------+----+-----+-----+----
         1/1/31     Dynamic      1031   ATTACHED      1  UP   UP    YES
         1/1/39     Dynamic      1039   ATTACHED      2  UP   UP    NO 
         2/1/31     Dynamic    101031   ATTACHED      1  UP   UP    NO 
         2/1/39     Dynamic    101039   ATTACHED      2  UP   UP    YES

Alcatel Command-log aktivieren

Manchmal ist es recht spannend zu wissen, wer, wann was für Befehle eingegeben hat.

Bei Cisco gibt es dafür archive log, bei Alcatel heißt das ganze command-log.
Da man hin und wieder das auch am Syslog Server haben möchte kann man auch ein remote command-log aktivieren.

die notwendigen Befehle dafür sind:

swlog output socket 192.168.1.70 remote command-log
swlog remote command-log enable
swlog console level info
command-log enable

anschauen kann man das command-log mit:

show command-log

Command : command-log enable
  UserName : admin
  Date     : THU DEC 20 13:38:49 
  Ip Addr  : 192.168.1.11
  Result   : SUCCESS

Das beim Syslog die IP Adresse nicht mitgesendet wird ist ein bekannter Bug, der in einer der nächsten Maintanance Releases behoben wird.

Alcatel OmniSwitch 6250/6450 Password Recovery

Man verbindet sich mit der Konsole,

Unterbricht die boot Squence boot sequence indem man „s“ drückt.

Danach löscht man die Datei UserTable5 im Verzeichnis /networks

[Miniboot]->cd "network"
value = 0 = 0x0
[Miniboot]->ls
.
..
userTable5
lockoutSetting
policy.cfg
ssh_host_dsa_key
ssh_host_dsa_key.pub
value = 0 = 0x0
[Miniboot]->xdelete "userTable5"
value = 0 = 0x0
[Miniboot]->reboot
mgi0 Interface Down
mgi0 Interface Stopped
WARNING: "sysResetHardwareFlag" flag is SET, forcing CMM board reset.

Danach gibt es keine User mehr, d.h. mit admin/switch kann man sich einloggen, man muss aber sämtliche user neu anlegen, z.B. für SNMP o.ä.

Alcatel QoS als Dreizeiler

Um ein Voice VLAN auf Alcatel Switchen zu priorisieren reicht ein Dreizeiler:
Beispiel: Source VLAN 33, dscp soll auf 46 gesetzt werden.

policy condition from_voip_vlan source vlan 33
policy action set_dscp dscp 46
policy rule prio_voip condition from_voip_vlan action set_dscp
qos apply

DSCP 46 heißt bei Alcatel Queue 5.

Befehle zum überprüfen:

show active policy rules
show qos port
show qos queue X/Y show qos queue statistics X/Y

letztere Befehl zeigt bei mir nur auf nem 6250/6450 etwas auf 6850 war da immer 0…

Hat man nen Uplink (z.B. Leased Line) die nur 20 Mbit/s verkraftet kann es sinnvoll sein den letzten Port auf der eigenen Seite zu beschränken (wenn der Providerrouter kein QoS macht):

qos port 1/20 maximum egress-bandwidth 20M

oder

qos port 1/20 maximum bandwidth 20M

zurücksetzen mit

qos port 1/20 reset

User Authentifizierung gegen Radius – Cisco

Nach dem die Fortigates schon gegen Radius Authentifizieren (Link)

Liegt es nahe das auch auf andere Geräte auszuweiten.

Cisco ist da auch ein Kandidat. Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

# nicht im Privilege Modus, enable noetig
"iosread" Cleartext-Password := "iosread"
        Service-Type = NAS-Prompt-User
# priv 15
"iosadmin" Cleartext-Password := "iosadmin"
        Service-Type = NAS-Prompt-User,
        cisco-avpair = "shell:priv-lvl=15"

Alternativ geht auch folgendes:

"catosadmin" Cleartext-Password := "catosadmin"
        Service-Type = Administrative-User

Das ist wenn ich mich recht erinnere für CatOS devices auch zwingend notwendig -funktioniert bei IOS praktischerweise auch.

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erlegt:

!Falls Radiusserver tot ist einen lokalen Account haben
username localadmin privilege 15 secret Rettemich

! aaa aktivieren, primär radius fallback auf local
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local

!Radiusserver:
radius-server host 172.16.1.32 auth-port 1812 acct-port 1813 key 12345678

Damit kann sich ein catosadmin oder iosadmin im priviledge Modus anmelden, ein iosread kommt in den unpriveligierten modus, darf ein paar „show“ Befehle. Für weitere Untaten muss er erst in den enable Modus.

SNMPv3 mit Alcatel Lucent Omniswitch

Will man SNMP auf einem Alcatel OmniSwitch nutzen sind die Befehle uU.. nicht völlig eingängig.

Will man einen v2 user zum lesen und einen v3 user zum schreibenden Zugriff haben ist folgendes nötig:


aaa authentication snmp local
user snmpv2user password 111222333 read-only all no auth
user snmpv3user password abcd1234 md5+des read-write all
snmp community map "public" user "snmpv2user" on
snmp security authentication set

– Zum authentifizieren nutzen wir die lokale Datenbank.
– Der User „snmpv2user“ angelegt und darf dank no auth auch snmp.
– Die SNMP community „public“ wird auf den user gemappt. Dank „no auth“ darf dieser snmp machen, fehlt das geht es nicht.
– Der User „snmpv3user“ darf dank „md5+des“ snmpv3 machen und nutzt auch die Privacy Extension -> Verschlüsselt.
– Mit „snmp security authentication set“ sagt man snmpv1/2c ist mit „get“ erlaubt für „set“ braucht man mindestens v3 gesigned.

Kontrolle:
>show snmp community map
Community mode : enabled
status community string user name
--------+--------------------------------+--------------------------------
enabled public snmpv2user
>show user
[..]
User name = snmpv3user,
Password expiration = None,
Password allow to be modified date = None,
Account lockout = None,
Password bad attempts = 0,
Read Only for domains = None,
Read/Write for domains = All ,
Snmp allowed = YES,
Snmp authentication = MD5,
Snmp encryption = DES,
Console-Only = Disabled
User name = snmpv2user,
Password expiration = None,
Password allow to be modified date = None,
Account lockout = None,
Password bad attempts = 0,
Read Only for domains = None,
Read/Write for domains = All ,
Snmp allowed = YES,
Snmp authentication = NONE,
Snmp encryption = NONE,
Console-Only = Disabled

Mit dem SNMP Tester von Paessler kann man schön überprüfen, ob man mit v2c/public oder dem v3 User reinkommt.

Zumindest im Paessler muss man wenn der user mit md5+des angelegt ist sowohl bei v3 Password und v3 encryption key das user Passwort angeben, nur eins reicht nicht.

Dank hierfür geht an Klaus Peras, der hat viel davon schon gewußt.

Im OmniVista macht man zur Nutzung für auto discovery folgendes
Discovery ->Ping Sweep -> Next
[New] SNMP Setup
Hier einen Namen angeben auf dem zweiten Reiter SNMPv3 angeben und auf dem letzten Reiter den Usernamen „Auth Method = MD5“ und Auth/Priv Password angeben.
Auf der nächsten Seite (Next) macht man eine Range und wählt das grade angelegte Setup.
Fertig.
Unter ->Toplogy -> Switches sollten die Geräte dann vorhanden sein.