HPE製L2スイッチの構築メモ(Part.2)
はじめに
前回記事の続きです。
概要
■流れ
1.準備
1-1.電源ケーブル接続、起動
1-2.ログインプロンプト起動
1-3.ログイン情報を入力
2.IRF(Intelligent Resilient Framework)設定(今回はここまで)
2-1.IRF設定
2-2.2台目のスイッチをシャットダウン
2-3.1台目と2台目をケーブルで接続する
2-4.2台目のスイッチを起動する
2-5.設定の確認
3.認証設定
3-1.SSHサービスの有効化
3-2.ssh接続のアクセス制限
3-3.ローカルキーの作成
3-4.vtyユーザインタフェースの設定
3-5.auxユーザインタフェースの設定
3-6.ユーザに対するssh接続権限の付与
4.システム設定(今回はここまで)
4-1.ホスト名
4-2.タイムゾーン設定
4-3.NTPサーバ設定
4-4.ファンの風向変更
4-5.パスワード変更
4-6.デフォルトルートの設定
5.STPの無効化
6.リングアグリゲーションの設定
6-1.インターフェースを作成する(static,dynamic共通)
6-2.LACPの有効化(dynamicの設定のみ実施)
6-3.リングアグリゲーションインタフェースへ物理ポートの追加
6-4.リングアグリゲーション情報の表示
7.VLAN設定
7-1.VLANの作成
7-2.ポートへのVLANアサイン
7-3.VLANインターフェースの作成
本題
3.認証設定
3-1.SSHサービスの有効化
これまでコンソールケーブルで接続していましたが、
SSH接続できるように設定を変更します。
なお、telnetはセキュリティ面の懸念もあり、無効化したままとします。
<HPE> system-view
[HPE] ssh server enable
3-2.ssh接続のアクセス制限
セキュリティ面に配慮し、特定のセグメントのみssh接続できるようにします。
最初にACL(Access Control List)で許可(拒否の)対象を設定し、
適用するようなイメージです。
[HPE]acl number 2000
※末尾の「2000」という数字はACL番号です。
2000~2999がBasic ACL番号となるのですが、特に他の値を割り振る理由がないため、一番小さい2000を設定します。
下記コマンドで、許可対象のIPアドレスを指定し、
他のIPは拒否するように設定します。
[HPE-acl-ipv4-basic-2000] rule permit source 192.168.2.10 0.0.0.255 (※192.168.2.10/24 の場合)
[HPE-acl-ipv4-basic-2000] rule deny
[HPE-acl-ipv4-basic-2000] quit
最後に、設定したaclを適用します。
[HPE]ssh server acl 2000
3-3.ローカルキーの作成
[HPE]public-key local create rsa
=============================================================
(出力内容)
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:2048 ←「2048」を入力
Generating Keys...
.......
Create the key pair successfully.
=============================================================
3-4.vtyユーザインタフェースの設定
「vty」とは、Telnet/SSH接続用のインターフェースを指します。
最大64セッション接続できるということですので、その辺りは環境に応じて変更してください。
(例は一応最大想定での設定です。)
[HPE]line vty 0 63
[HPE-line-vty0-63] quit
3-5.auxユーザインタフェースの設定
「aux」とは、コンソール接続用のインターフェースを指します。
IRFのMenber ID -1がインターフェース番号になります。
今回の例では、2台でIRFを組んでいるため、「0 1」ですね
[HPE]line aux 0 1
[HPE-line-aux0-1] quit
3-6.ユーザに対するssh接続権限の付与
sshでログインする場合は、ログインするユーザに対し、権限を付与する必要があります。
下記例では、「admin」ユーザに対し、権限を付与しています。
[HPE]local-user admin class manage
[HPE-luser-manage-admin]service-type ssh
[HPE-luser-manage-admin]quit
4.システム設定
4-1.ホスト名
下記コマンドで設定します。
[HPE] sysname <ホスト名>
4-2.タイムゾーン設定
初期時間はUTC時間ですので、JSTに変更する必要があります。
「JST」の部分はタイムゾーンの名前を指定可能(任意の名前)
{add/minus 時差}の部分で、UTCからどの程度時差があるか設定します。
[HPE] clock timezone JST add 9
4-3.NTPサーバ設定
[HPE]ntp-service unicast-server <NTPサーバのIPアドレス>
設定後、以下コマンドと実行例のようになれば動機が出来ていることが確認できます。
[HPE]display ntp-service status
=================================================
(出力結果)
Clock status: synchronized
(略)
=================================================
4-4.ファンの風向変更
ファンのモジュールによっては、排気の向きが機器の推奨の向きとマッチしていないパターンがあります。
その場合、以下のメッセージが出ます。
%Jan 1 00:11:10:189 2011 HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 1 airflow direction is not preferred on slot 1, please check it.
%Jan 1 00:11:10:190 2011 HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 2 airflow direction is not preferred on slot 1, please check it.
%Jan 1 00:11:10:191 2011 HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 3 airflow direction is not preferred on slot 1, please check it.
%Jan 1 00:11:10:192 2011 HPE DEV/1/FAN_DIRECTION_NOT_PREFERRED: Fan 4 airflow direction is not preferred on slot 1, please check it.
このメッセージ、何もしなくてもプロンプト上に頻繁に出てくるので、鬱陶しいです。
(今回はこのタイミングで設定変更しますが、もっと早く実施しても問題ないかと思います。)
まず、設定変更前の状態を確認します。
注目すべきところは「Airflow Direction」と「Prefer Airflow Direction」の部分です。
この値を合わせる必要があります。
<HPE>display fan
=============================================================
Slot 1:
Fan 1:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port
Fan 2:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port
Fan 3:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port
Fan 4:
State : FanDirectionFault
Airflow Direction: Port-to-power
Prefer Airflow Direction: Power-to-port
=============================================================
以下のように、修正します。
※ちなみに、誤った方向(power-to-port)に設定すると、エラーが出ます。
[HPE]fan prefer-direction slot 1 port-to-power
[HPE]fan prefer-direction slot 2 port-to-power
[HPE]display fan
=============================================================
Slot 1:
Fan 1:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 2:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 3:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 4:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Slot 2:
Fan 1:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 2:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 3:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
Fan 4:
State : Normal
Airflow Direction: Port-to-power
Prefer Airflow Direction: Port-to-power
=============================================================
※余談ですが、前回の記事で参考にしたコマンドリファレンスには、
このこと書いてなかったんですよね・・・。
4-5.パスワード変更
sshでのログインを許可した時と同じように、Viewに移行します。
[HPE]local-user admin class manage
passwordコマンドを用いることで、対話式でパスワードを変更します。
[HPE-luser-manage-admin]password
Password:
Confirm:
Updating user information. Please wait ... ...
[HPE-luser-manage-admin]quit
4-6.デフォルトルートの設定
[HPE] ip route-static 0.0.0.0 0.0.0.0 <デフォルトゲートウェイのIP>
おわりに
今回はシステム設定までを書きました。
次は、リングアグリゲーションやVLANの設定を書いていこうと思います。
Discussion