Profi switch Dell Force10 S55T

Chtěl jsem si koupit switch. Trochu lepší switch, což znamená:

• Nastavování přes příkazovou řádku.
• Pořádný chassis, aby se switch moc nekroutil. Opravdu nemám rád levný switche, kdy při manipulaci máte pocit, že se ta krabice musí brzo rozpadnout.
• Switch musí být stohovatelný. Pravda, pro kancelář je to trochu zbytečný, ale člověk nikdy neví.
• Hot-swap větráky a redundantní zdroj.
• Tichý a malá spotřeba.
• Nesmí stát pomalu stejně jako ojetý Rapid.

Vybírání nebylo jednoduché, strávil jsem u toho několik večerů. Nakonec se mi podařilo najít na Ebayi úplně nový kousek Dell Force10 S55T za 4 000 Kč i s dopravou z USA a poplatky. No nekupte to!

Switch přišel asi za 10 dní po objednání zabalený v originální krabici. V krabici byl ještě samostatně zabalený zdroj, montážní úchytky do racku a seriový kabel s RJ-45 konektorem. Zdrojový kabel nebyl součástí balení. Switch je kvalitně vyrobený a působí opravdu bytelným dojmem.

Nastavení a zprovoznění switche

Switch se nastavuje jenom přes příkazový řádek (CLI) a v úvodu konfigurace se lze k němu připojit pouze přes seriové rozhraní. Operační systém se jmenuje FTOS (Force10 Operating System) a je založený na NetBSD. V mém případě jde o verzi 8.3.5.3 z 30. listopadu 2012.

Na seriový port switche se přihlásíte pomocí příkazu cu ve FreeBSD následovně:

# cu -l /dev/cuau0

Doporučuju se přihlásit k seriové konzoli ještě před tím, než pustíte samotný switch. Uvidíte tak nabíhání operačního systému. Po naběhnutí systému se zobrazí příkazová řádka FTOS>.

Zadávání příkazů a získání nápovědy

Všechny příkazy můžete buď kompletně napsat, nebo je zadávat zkráceně – stačí napsat pár jednoznačnýh znaků a zmáčknout tabulátor. Příkaz by se měl doplnit automaticky.

Zadáním znaku ? (otazník) se zobrazí seznam dostupných příkazů s popisem, které můžete v daném místě použít. Výstup příkazu otazník je totožný s příkazem help.

FTOS#?
start                           Start shell
calendar                        Manage the hardware calendar
capture                         Capture packet
cd                              Change current directory
clear                           Reset functions
clock                           Manage the system clock
configure                       Configuring from terminal
--More--

Také zadáním otazníku za neúplným příkazem získáte seznam všech dostupných klíčových slov, které začínají na stejné písmena.

FTOS#cl?
clear
clock
FTOS#cl

Poslední možnost je příkaz následovaný mezerou a otazníkem. Vypíše se seznam všech klíčových slov, které můžou pokračovat za příkazem.

FTOS#clock ?
read-calendar           Read the hardware calendar into the clock
set                     Set the time and date
update-calendar         Update the hardware calendar from the clock
FTOS#clock

Módy příkazového řádku

Operační systém FTOS používá několik úrovní příkazové řádky, kde v každé úrovni můžete provádět jiné činnosti. Hlavní módy jsou tři:

• EXEC mode – FTOS> – je výchozí mód, který se zobrazí hned po příhlášení do systému. Má velmi omezené možnosti co se týče správy a slouží spíše k monitorování zařízení.
• EXEC Privilege mode – FTOS# – do tohoto módu se dostaneme pomocí příkazu enable. Zde si můžete prohlížet nastavení switche, pracovat se soubory, spouštět diagnostiku, ukládat nastavení a hlavně slouží k přestupu do konfiguračního módu.
• CONFIGURATION mode – FTOS(conf)# – v této úrovni můžete nastavovat veškeré parametry switche. Sem se dostanete z EXEC Privilege mode pomocí příkazu configure.

Pro přestup z vyšší úrovně do nižší slouží příkaz exit případně příkaz end, pokud chceme přeskočit několik úrovni najednou.

Uložení konfigurace

Veškeré nastavení se neukládá do flash paměti, takže po znovunačtení operačního systému je konfigurace ztracená. To se hodí, když nastavujeme různé parametry switche a nechceme je ukládat. V opačném případě musíme konfigurační soubor nahrát do flash paměti příkazem

FTOS#copy running-config startup-config

nebo alternativně příkazem write memory.

Resetování switche do továrního nastavení

Restartovat switch do továrního nastavení lze několika způsoby. Nejsnadnější je vymazat soubor startup-config příkazem delete v EXEC Privilege módu.

Force10#delete flash://startup-config
Proceed to delete startup-config [confirm yes/no]: yes

Restartování switche samotného se provádí příkazem reload.

Základní nastavení

První věc, kterou nastavíme, je hostname. Hodí se to v případě, když člověk spravuje více switchů, tak aby byly jednoznačně pojmenované.

FTOS(conf)#hostname Force10

V dalším kroku nastavíme IP adresu, abychom se mohli vzdáleně přihlašovat bez použití seriové linky. Pro tyto účely má switch jeden vyhrazený servisní port.

Force10#configure 
Force10(conf)#interface managementethernet 0/0
Force10(conf-if-ma-0/0)#ip address 192.168.1.11/24
Force10(conf-if-ma-0/0)#no shutdown
Force10(conf-if-ma-0/0)#exit
Force10(conf)#management route 0.0.0.0/0 192.168.1.1

Nastavení hesla pro uživatele admin vypadá následovně:

Force10#configure 
Force10(conf)#username admin password 0 YourPassword privilege 15
Force10(conf)#enable password 0 YourPassword
Force10(conf)#exit

Zrušení hesla provedete příkazem no enable password v konfiguračním módu.

Pro vzdálené připojování kromě seriové konzoly lze použít i SSH. FTOS podporuje protokol verze 1.5 a 2.0.

Force10(conf)#ip ssh server enable
Force10(conf)#ip ssh server version 2
Force10(conf)#ip ssh password-authentication enable
Force10(conf)#exit
Force10#show ip ssh
SSH server                : enabled.
SSH server version        : v2.
Password Authentication   : enabled.
Hostbased Authentication  : disabled.
RSA       Authentication  : enabled.
   Vty          Encryption      Remote IP
   2            3DES            192.168.1.111

Zákázat SSH server lze příkazem no ip ssh server enable v konfiguračním módu. Při přihlašování nezná SSH server na switchi typ šifry. Je proto nutné přesně specifikovat šifru 3DES-CBC.

tonda@client:~ % ssh admin@IPswitch -c 3des-cbc

Nastavení DNS resolverů.

Force10(conf)#ip domain-lookup 
Force10(conf)#ip name-server 104.238.186.189
Force10(conf)#ip name-server 172.104.136.243                                 
Force10(conf)#exit
Force10#ping seznam.cz
Translating "seznam.cz"
...domain server () [OK]

Type Ctrl-C to abort.

Sending 5, 100-byte ICMP Echos to 77.75.75.176, timeout is 2 seconds:
!!!!!
Success rate is 100.0 percent (5/5), round-trip min/avg/max = 0/12/20 (ms)

Nastavení synchronizace času pomocí NTP serverů. Timezone na switchi nechávám na UTC.

Force10(conf)#ntp server 0.cz.pool.ntp.org
Force10(conf)#ntp server 1.cz.pool.ntp.org
Force10(conf)#ntp server 2.cz.pool.ntp.org
Force10(conf)#ntp server 3.cz.pool.ntp.org

Zobrazení časových údajů.

Force10#show ntp status
Clock is synchronized, stratum 3, reference is 195.113.144.201
frequency is 0.000 ppm, stability is 16.614 ppm, precision is 4294967279
reference time is E06DB0D0.73FDD000 (16:31:12.453 UTC Tue Apr 23 2019)
clock offset is 514.538072 msec, root delay is 0.01123 sec
root dispersion is 0.49422 sec, peer dispersion is 6.012 msec
peer mode is client
Force10#
Force10#show ntp associations
   remote        ref clock     st when poll reach   delay   offset    disp
==========================================================================
-109.224.76.139  217.30.75.147    2   54  512  377    64.00  -503.98   23.44
+83.167.252.118  147.231.2.6      2   11   16  377     9.84  -495.88    2.61
+89.221.212.46   10.5.1.26        2   15   16  377    13.89  -493.99    2.98
*195.113.144.201 195.113.144.238  2   11   16  377    12.89  -494.63    3.07
* master (synced), # master (unsynced), + selected, - candidate

Kromě automatické synchronizace času pomocí NTP protokolu můžeme nastavit čas ručně. To je vhodné, pokud nechceme přidělovat pro switch IP adresu, bránu a DNS. Příkaz na ruční nastavení času potom vypadá následovně:

Force10#calendar set 10:00:00 Apr 26 2019

Porty fyzického rozhraní

Ve výchozím nastavení má switch všechny porty vypnutý a nachází se ve třetí vrstvě síťového modelu, tzn. lze mu přiřadit IP adresu.

Povolení portu na linkové vrstvě:

Force10#configure
Force10(conf)#interface gigabitethernet 0/0
Force10(conf-if-gi-0/0)#switchport
Force10(conf-if-gi-0/0)#no shutdown
Force10(conf-if-gi-0/0)#show config
!
interface GigabitEthernet 0/0
 no ip address
 switchport
 no shutdown
Force10(conf-if-gi-0/0)#exit
Force10(conf)#exit

Nastavení více portů najednou:

Force10#configure 
Force10(conf)#interface range gigabitethernet 0/0 - 47
Force10(conf-if-range-gi-0/0-47)#switchport
Force10(conf-if-range-gi-0/0-47)#no shutdown
Force10(conf-if-range-gi-0/0-47)#exit

Někdy se hodí spojit více portů do jednoho virtuálního za účelem větší propustnosti, případně kvůli zabezpečení proti výpadkům. Vytvoření virtuálního portu provedeme následovně:

Force10#configure 
Force10(conf)#interface port-channel 1
Force10(conf-if-po-1)#switchport 
Force10(conf-if-po-1)#no shutdown 
Force10(conf-if-po-1)#exit

Přiřazení jednotlivých fyzických rozhraní a nastaveni protokolu LACP:

Force10(conf)#interface range gigabitethernet 0/22 - 23
Force10(conf-if-range-gi-0/22-23)#no switchport 
Force10(conf-if-range-gi-0/22-23)#port-channel-protocol lacp 
Force10(conf-if-range-gi-0/22-23-lacp)#port-channel 1 mode active 
Force10(conf-if-range-gi-0/22-23-lacp)#exit
Force10(conf-if-range-gi-0/22-23)#no shutdown 
Force10(conf-if-range-gi-0/22-23)#exit
Force10(conf)#

Teď se port-channel 1 skládá ze dvou fyzických rozhraní o teoretické propustnosti 2 Gb/s.

VLAN

Virtuální LAN slouží k rozdělení sítě na podsítě na jednom (více) fyzickém přepínači. Switch Dell Force10 S55T umožňuje nastavit až 4093 a má jedno výchozí VLAN 1, do které jsou přiřazený všechny fyzické porty po použití příkazu switchport. VLAN 1 by se neměla používat.

Vytvoříme VLAN 10:

Force10(conf)#interface vlan 10
Force10(conf-if-vl-10)#description "NAS Server"
Force10(conf-if-vl-10)#end

Nyní přiřadíme porty do VLANy:

Force10(conf)#interface vlan 10
Force10(conf-if-vl-10)#untagged gigabitethernet 0/18
Force10(conf-if-vl-10)#untagged gigabitethernet 0/19
Force10(conf-if-vl-10)#untagged gigabitethernet 0/20
Force10(conf-if-vl-10)#tagged gigabitethernet 0/21  
Force10(conf-if-vl-10)#end

Pouze porty na L2 vrstvě síťového modelu mohou být přiřazený do VLANy. Tagged port vkládá do linkového rámce informaci a tom, v jaké VLANě se rámec nachází (standard IEEE 802.1Q). Tento port může být ve více virtuálních sítí najednou. Untagged port může být pouze v jedné virtuální síti.

Přidělení IP adresy do VLAN:

Force10(conf)#interface vlan 10
Force10(conf-if-vl-10)#ip address 192.168.10.254/24

IP adresa slouží ke komunikaci fyzických rozhraní v různých VLANách mezi sebou. Tyto VLANy musí být propojené pomocí L3 switche nebo routeru přes tagged port (router-on-a-stick).

Nyní je switch připraven k běžnému provozu. Lze samozřejmě nastavit víc věcí, ale to není předmětem tohoto článku. Zájemce odkazuju na manuál, který najdete v odkazech níže.

Zdroje:

• DELL Support for Force10 S55T
• DELL Force10 : Interface Configuration and VLANs
• Dell Force10 Part 1: Initial Configuration
• Configure a Dell S55 FTOS switch from scratch