Konfiguracja przełączników HP ProCurve Cz. III – IP i Autoryzacja

  Konfiguracja adresu IP i Autoryzacja Adres IP Konfiguracji adresu IP nie można w pełni opisać bez wcześniejszego wprowadzenia tematu VLAN’ów dlatego pisze o tym dopiero teraz. Lepiej późno niż […]

 

Konfiguracja adresu IP i Autoryzacja

Adres IP
Konfiguracji adresu IP nie można w pełni opisać bez wcześniejszego wprowadzenia tematu VLAN’ów dlatego pisze o tym dopiero teraz. Lepiej późno niż wcale 😉
Aby móc zdalnie zarządzać przełącznikiem, należy skonfigurować adres IP urządzenia.
W tym celu z głównego menu „Switch Configuration” wybieramy opcję „IP Configuration” (wybieramy opcję Edit i uzupełniamy konfigurację:

ds5-hp1 serwerownia                                        25-Sep-2012  15:55:39
===========================- TELNET - MANAGER MODE -============================
                  Switch Configuration - Internet (IP) Service

  IP Routing : Disabled

  Default Gateway :
  Default TTL     : 64
  Arp Age         : 20

          VLAN           IP Config     IP Address       Subnet Mask
  -------------------- + ----------  ---------------  ---------------
  coś                  | Disabled
  coś2                 | Disabled
  serwery              | Disabled
  przełaczniki         | Manual      a.b.c.d          255.255.0.0

 Actions->   Cancel     Edit     Save     Help

Select the method to enable IP access for switch management.
Use arrow keys to change field selection, <Space> to toggle field choices,
and <Enter> to go to Actions.

 

Zaleca się przenieść komunikację z przełącznikami do odrębnego VLANu w celu izolacji ruchu. Wskazaną rzeczą jest również używanie statycznej adresacji IP,a by zapewnić wysoką dostępność. W czasie awarii ważna jest możliwość szybkiego i niezawodnego zarządzania.

Aby możliwe było zdalne połączenie się przełącznikiem należy ustawić jeszcze „IP Authorized Managers”, czyli zakresów IP z których można się połączyć.

hp1                                                       25-Sep-2012  16:06:10
===========================- TELNET - MANAGER MODE -============================
                       Switch Configuration - IP Managers

  Authorized Manager IP          IP Mask          Access Level  Access Method
  ----------------------  ----------------------  ------------  -------------
  a.b.0.0                 255.255.0.0             Manager       all


 Actions->   Back     Add     Edit     Delete     Help

Return to previous screen.
Use up/down arrow keys to change record selection, left/right arrow keys to
change action selection, and <Enter> to execute action.

Autoryzacja
Wszytko ładnie pięknie. Przełącznik ma IP i jest widoczny w sieci.
Pora wybrać metodę autoryzacji i włączyć SSH.
Prokury pozwalają wybierać. Autoryzacja może się odbywać za pomocą:

  • lokalnych kont(na przełączniku),
  • RADIUSa,
  • TACACSa (tylko niektóre modele),
  • nie odbywać się wcale.

Z racji powszechności poleca się RADIUSa. By zwiększyć niezawodność, użyjemy RADIUSa wraz z lokalnymi kontami. Lokalne konta przydają się w sytuacji gdy wszystko leży i kwiczy oraz gdy jesteśmy odcięci od reszty świata.
Jeszcze raz zwracam uwagę na fakt, że przełączniki powinny być dostępne nawet w czasie awarii (diagnoza awarii i jej usuwanie), czy wizyty Czerwonych.
 
Zaczynamy od konfiguracji połączenia z serwerem RADIUSa i odpalenia serwera SSH.

(config)# radius-server key niebieski7
(oczywiście można podać inny łańcuch znaków, który jest secretem)
(config)# radius-server host a.b.c.d
(config)# radius-server host a.b.c.f
(config)# crypto key generate ssh rsa
(config)# ip ssh

Podczas podawania adresów serwerów RADIUSa, należy zwrócić uwagę by były w tej samej podsieci co przełączniki i dostępne w tym samym VLANie.
Koleiną kwestą jest określenie określonego sposobu autoryzacji dla konkretnych metod.
Dla połączenia przez RSa proponujemy autoryzacje via RADIUs, a w przypadku braku odpowiedzi serwera, lokalną. Identycznie w przypadku SSH. W tym celu wykonujemy:

(config)# aaa authentication console login radius local
(config)# aaa authentication console enable radius local
(config)# aaa authentication ssh login radius local
(config)# aaa authentication ssh enable radius local

Proszę zauważyć, że powyższy sposób autoryzacji odnosi się zarówno do logowania na przełącznik, jak i do przełączania CLI w tryb managera.
 
Jest dobrze. Gdy nie mamy dostępu do serwera RADIUSa, nadal można się zalogować do przełącznika. Ale nie jest idealnie. Wyobraźmy sobie sytuację, gdy nasz serwer AAA ulega awarii i odpowiada dalej, ale nie autoryzuje lub zostaje przejęty przez intruza.(Tym razem Żółtych.) Z tego powodu zostawiamy sobie furtkę np po telnecie z autoryzacją tylko i wyłącznie za pośrednictwem konta lokalnego.

(config)# aaa authentication telnet login local
(config)# aaa authentication telnet enable local

 
Brakuje nam jeszcze lokalnych kont. Zakładamy konto operatora wykonują komendę:

(config)# password operator user-name operator
password <access level> user-name <username>

Po wciśnięciu enter wprowadzamy hasło. access level – manager, operator, all. Podobnie dla Managera, ale tym razem nie podajemy nazwy użytkownika. Łatwiej będzie się połapać, że coś jest nie tak, gdy przełącznik zapyta od razu o hasło. Oczywiście, expect też będzie mieć łatwiej.

(config)# password manager

Na koniec kilka linijek do zbierania logów. Informacje o logowaniu, to co przełacznik chciałby nam powiedzieć i wyniki działania komend. Nie zapominajmy, że monitoring podstawą zaufania.

(config)# aaa accounting exec start-stop radius
(config)# aaa accounting system stop-only radius
(config)# aaa accounting commands stop-only radius
(config)# logging a.b.c.d

Ostatnia komenda wskazuje serwer sysloga na który będą trafiać logi 🙂

Na razie to tyle. Lece na piwko. AVE LAMA!

P.S Nie zapomnijcie że write memory zapisuje ustawienia, a write terminal wyświetla bieżącą konfiguracje 🙂