Aruba スイッチ構築用メモ
スイッチの起動と停止
■スイッチの起動
電源ケーブルを機器に接続すると電源が入り、機器が起動する。
電源 ON 後の起動プロセス
- Boot ROM が起動
- ソフトウェアイメージをロード
- システムを初期化
- 設定ファイルを読み込み、設定をスイッチに反映
■スイッチの停止
電源ケーブルを抜いてスイッチを停止させる。
■スイッチの再起動
以下表に記載の3つのコマンドがあり、それぞれ動作が異なる。
操作\コマンド | boot | reboot | reload |
全ての設定内容の保存 | ● | ● | |
システムセルフテストの実行 | ● | ● | |
プライマリおよびセカンダリの指定 | ● | ● |
boot [ < set-default | system > flash < primary | secondary > config "Config-file" ]
Aruba# boot system flash primary
System will be rebooted from primary image. Do you want to continue [y/n]? y
Do you want to save current configuration [y/n/^C] y
Aruba# reboot
System will be rebooted from primary image. Do you want to continue [y/n]? y
Aruba# reload
System will be rebooted from primary image. Do you want to continue [y/n]? y
機器へのログインとログアウト
■CLI の構造
権限 | CLI のレベル(モード) | プロンプトの表示(例) | 下位からの移行コマンド |
オペレータ | オペレータ | Aruba> | – |
管理者 | 管理者 | Aruba# | enable |
〃 | グローバルコンフィグレーション | Aruba(Config)# | configure [ terminal ] |
〃 | コンテキストコンフィグレーション | Aruba(vlan-10)# | vlan 10 (例) |
※下位プロンプトへの移行はいずれのレベルからでも exit
※グローバルコンフィギュレーションへの移行コマンドについては terminal は省略可能
■ログイン
管理者パスワードが設定されていない場合(デフォルト)は管理者モードになる。
Press any key to continue (Enterキーを押す)
Aruba#
パスワードが設定されている場合は、オペレータまたは管理者としてユーザー名を指定してログインできる。
Username: operator
Password:********
~画面切り替え~
Your previous successful login (as manager) was on 1990-01-01 00:29:42 from 192.168.1.152
~プロンプトは画面最下部の表示になります~
Aruba>
■ログアウト
ログアウトは logout コマンドを実行して行う。
Aruba# logout
Do you want to log out (y/n)? y
Do you want to save the current configuration (y/n)? y
※ running-configuration に変更が無い場合は、設定を保存するかの確認はされない
オペレータモードで exit または quit を実行することでもログアウトできる。
Aruba# exit
Aruba> exit
Do you want to log out (y/n)? y
※ 管理者からオペレータに移ってから logout または exit コマンドを実行した場合は設定を保存するかの確認メッセージは表示されない
ログインユーザ設定
- ArubaOSスイッチでは、manager(管理者)とoperator(オペレータ)のユーザーが設定されている
- デフォルトではパスワードが設定されていない
■管理者およびオペレータパスワードの設定
[no] password < all | manager|operator | minimum-length > [ user-name User-Name ] [ plaintext Password ]
- no:設定内容をクリア
- manager:管理者レベルのパスワードを設定
- operator:オペレータレベルのパスワードを設定
- all:管理者とオペレータのパスワードを設定
- user-name:ログインユーザー名を変更
- plaintext:パスワードを引数で指定する場合指定(指定しないと対話的に設定)
全ユーザのパスワードを設定:
Aruba(config)# password all
New password for operator: ******** #オペレータのパスワード設定
Re-enter the new password for operator: ******** #パスワード再入力
New password for manager: ******* #管理者のパスワード設定
Re-enter the new password for manager:******* #パスワード再入力
Aruba(config)#
ユーザ名とパスワードを変更:
Aruba(config)# password manager user-name admin
New password for manager: *******
Please retype new password for manager:*******
Aruba(config)#
コンフィグについて
■コンフィグ表示
動作中のコンフィグ表示は show running-config または write terminal
Aruba(config)# show running-config
Running configuration:
J9727A Configuration Editor; Created on release #WB.16.04.0008
; Ver #11:01.9b.3f.b3.b8.ee.34.79.3c.29.eb.9f.fc.f3.ff.37.ef:55
hostname "Aruba"
module 1 type j9727a
no cdp run
filter source port "13" drop 1 12,15 22
logging 10.215.3.112
sflow 1 destinati on 10.215.3.114
〜以下略〜
フラッシュメモリに保存されている設定ファイル(startup-config)の表示は show config
Aruba# show config
; J9776A Configuration Editor; Created on release #YA.15.15.0006
; Ver #05:18.63.ff.37.27:91
hostname "Aruba2530"
console idle-timeout serial-usb 0
timesync sntp
sntp unicast
sntp server priority 1 192.168.1.10
~以降省略~
■コンフィグの保存
- フラッシュメモリへ動作中のコンフィグを保存する場合は write memory または save
- show running-config status でコンフィグが保存済みか確認できる
Aruba# show running-config status #設定が保存済みか確認
Running configuration has been changed and needs to be saved. #設定が保存されていない
Aruba# write memory #設定を保存
Aruba# show running-config status
Running configuration is same as the startup configuration. #設定が保存されている
■コンフィグの初期化
startup-config の初期化は erase startup-config または、erase config File-Name
Aruba# erase startup config
Configuration will be deleted and device rebooted, continue [y/n]? y
■その他
保存されているファイルの表示は show config file
Aruba# show config file
Configuration files:
id | act pri sec | name
---+---- ----- ----+------------------------------------------------
1 | * * * | config1
2 | | backup01
3 | | backup02
- 複数のコンフィグファイルを作成することができる
- 再起動時に使用するコンフィグファイルや startup-config として使用するコンフィグファイルを変更できる
- デフォルトのコンフィグファイル名は “startup.cfg”
- TFTP サーバを利用してコンフィグのバックアップ/リストアができる
詳細はメーカマニュアル参照
ホスト名設定
ホスト名の変更は hostname hostname
Aruba# configure
Aruba(config)# hostname 2930-01
2930-01(config)#
時刻設定
■日時の設定
time MM/DD/[YY]YY HH:MM
Aruba# configure
Aruba(config)# time 12/12/2017 10:00
■日時の表示
show time
Aruba# show time
Tue Dec 12 09:10:50 2017
■タイムゾーンの設定
time timezone Time-zone-number
Aruba# configure
Aruba(config)# time timezone +540
- 日本の Timezone にする場合はGMT +9なので、“+540”を指定
■NTP の設定
- timesync ntp
- ntp unicast
- ntp server ip-addr
- ntp enable
Aruba# configure
Aruba(config)# timesync ntp
Aruba(config)# ntp unicatst
Aruba(config)# ntp server 192.168.1.1
Aruba(config)# ntp enable
■NTP サーバとの同期確認
show ntp status
Aruba# show ntp status
NTP Status Information
NTP Status : Enabled NTP Mode : Unicast
Synchronization Status : Synchronized Peer Dispersion : 0.00000 sec
Stratum Number : 3 Leap Direction : 0
Reference Assoc ID : 0 Clock Offset : 0.11578 sec
Reference ID : 192.168.1.1 Root Delay : 0.02505 sec
Precision : 2**-18 Root Dispersion : 0.81580 sec
NTP Up Time : 115d 19h 14m Time Resolution : 1394 nsec
Drift : 0.00050 sec/se
System Time : Mon Dec 11 15:25:58 2017
Reference Time : Mon Dec 11 12:13:25 2017
show ntp associations
Aruba# show ntp associations
NTP Associations Entries
Remote St T When Poll Reach Delay Offset Dispersion
--------------- ---- ---- ------ ----- -------- -------- -------- ----------
10.100.10.5 2 u 23456 10 156 0.000 0.000 5.17147
ポート基本設定
■ポート番号について
Aruba 2930F 24G 4SFP+ Switch
■IP アドレス設定
ip address [ dhcp-bootp | IP-Address/mask-Length | IP-Address Network-mask ]
Aruba# configure
Aruba(config)# interface 1
Aruba(eth-1)# ip address 192.168.1.1/24
- アドレス表記方法はサブネット表記とプレフィックス表記のどちらでも良い
- 設定済みの IP アドレスを変更する場合は、最初に “no ip address” コマンドを実行して元の設定を削除してから設定しなおす
■ポートの速度とDuplex モードを設定する
speed-duplex < 10-half | 100-half | 10-full | 100-full | 1000-full | auto | auto-10 | auto-100 | auto-1000 | auto-10-100 | auto 10g >
Aruba# configure
Aruba(config)# interface 1
Aruba(eth-1)# speed-duplex 100-full
または以下でも可
Aruba# configure
Aruba(config)# interface 1 speed-duplex 100-full
- デフォルトは auto
■ポートの MDI/MDIX を設定する
mdix-mode [ auto | mdix | mdi ]
Aruba# configure
Aruba(config)# interface 1
Aruba(eth-1)# mdix-mode mdix
■ポートをシャットダウンする
disable
Aruba# configure
Aruba(config)# interface 1
Aruba(eth-1)# disable
シャットダウンを解除する場合は enable
Aruba# configure
Aruba(config)# interface 1
Aruba(eth-1)# enable
■インターフェースの範囲指定
ポート1-8をまとめてシャットダウンする場合
Aruba# configure
Aruba(config)# interface 1-8 disable
■ポート関連の確認コマンド
ポート情報の表示
- show interfaces [Port-Number]
Aruba# show interfaces
Status and Counters - Port Counters
Flow
Port Total Bytes Total Frames Errors Rx Drops Tx Ctrl
---------- -------------- -------------- ------------ ------------ ----
1 1,234,567,891 1,234,567 0 0 off
2 12,345,678 123,456 0 0 off
3 1,234,567,891 1,234,567 0 0 off
#以下略
- show interfaces brief
Aruba# show interfaces brief
Status and Counters - Port Status
| Intrusion MDI Flow
Port Type | Alert Enabled Status Mode Mode Ctrl
-------- ---------- + --------- ------- ------ ---------- ---- ----
1 100/1000T | No Yes Up 1000FDx MDI off
2 100/1000T | No Yes Up 1000FDx MDI off
3 100/1000T | No Yes Up 1000FDx MDI off
#以下略
ポート設定情報の表示
- show interfaces config
ポートステータスの表示
- show interfaces status
Aruba# show interfaces status
Port Name Status Config-mode Speed Type Tagged Untagged
-------- ---------- ------- ------------- -------- ---------- ------ --------
1 hoge_hoge Up Auto 1000FDx 100/1000T No 1
2 hoge_hoge Up Auto 1000FDx 100/1000T No 10
3 hoge_hoge Up Auto 1000FDx 100/1000T multi 1
#以下略
ポートの統計情報をクリアする
- clear statics Port-Number
VLAN 設定
■VLAN の作成
vlan vlan-id [ name vlan-name ]
- vlan-id: VLAN ID を 2〜4094 の範囲で指定
- VLAN 1 はデフォルトで作成済み
- vlan-name:VLAN名
Aruba# configure
Aruba(config)# vlan 20 name VLAN20
■VLAN の削除
no vlan vlan-id
Aruba# configure
Aruba(config)# no vlan 20
The following ports will be moved to the default VLAN:
1/1
Do you want to continue? [y/n] y
- 削除する VLAN にポートがアサインされているとデフォルト VLAN に戻ることが表示される
■VLAN に Untag ポートを追加
方法として以下がある:
- VLAN コンテキストでポートを追加する方法
- VLAN とポートを同時に指定する方法
- インターフェース(ポート)コンテキストで VLAN を指定する方法
- ポートと VLAN を同時に指定する方法
VLAN コンテキストでポート追加する方法
- vlan vlan-id
- untagged Port-List
Aruba# configure
Aruba (config)# vlan 20
Aruba (vlan-20)# untagged 1-2
VLAN とポートを同時に指定する方法
vlan vlan-id untagged Port-List
Aruba# configure
Aruba (config)# vlan 20 untagged 1-2
インターフェースコンテキストで VLAN を指定する方法
- interface Port-List
- untagged vlan vlan-id
Aruba# configure
Aruba (config)# interface 1-2
Aruba (eth-1-2)# untagged vlan 20
ポートと VLAN を同時に指定する方法
interface Port-List untagged vlan vlan-id
Aruba# configure
Aruba (config)# interface 1-2 untagged vlan 20
■VLAN に Tag ポートを追加する
方法として以下がある:
- VLAN コンテキストでポートを追加する方法
- VLANとポートを同時に指定する方法
- インターフェース(ポート)コンテキストでVLANを指定する方法
- ポートとVLANを同時に指定する方法
VLAN コンテキストでポート追加する方法
- vlan vlan-id
- tagged Port-List
Aruba# configure
Aruba (config)# vlan 20
Aruba (vlan-20)# tagged 1-2
VLAN とポートを同時に指定する方法
vlan vlan-id tagged Port-List
Aruba# configure
Aruba (config)# vlan 20 tagged 1-2
インターフェースコンテキストで VLAN を指定する方法
- interface Port-List
- tagged vlan vlan-id
Aruba# configure
Aruba (config)# interface 1-2
Aruba (eth-1-2)# tagged vlan 20
ポートと VLAN を同時に指定する方法
interface Port-List tagged vlan vlan-id
Aruba# configure
Aruba (config)# interface 1-2 tagged vlan 20
■VLAN 設定情報の表示
VLAN 一覧表示
- show vlan
Aruba# show vlan
Status and Counters = VLAN Information
VLAN support : Yes
Maximum VLANs to support : 9
Primary VLAN: DEFAULT_VLAN
802.1Q VLAN ID Name Status
-------------- ------------ ------
1 DEFAULT_VLAN Static
33 VLAN-33 Static
44 VLAN-44 Static
VLAN 詳細表示
- show vlan vlan-id
ポートのVLANアサイン確認
- show interface status
■VLAN の IP アドレス設定
- VLAN vlan-id ip address < IP-address/Mask-length | IP-address Netmask >
- VLAN vlan-id ip address dhcp-bootp
Aruba# configure
Aruba (config)# vlan 10 ip address 192.168.10.1 255.255.255.0
Aruba (config)# vlan 20 ip address dhcp-bootp
- Default VLAN の IP アドレス設定はデフォルト dhcp-Bootp の設定になっている
- Default VLAN 以外の IP アドレス設定はデフォルト(VLAN作成時)は無効になっている
- 設定済みの IP アドレスを変更する場合は、最初に VLAN IP address の設定削除を行ってから、変更後の IP アドレスを設定する
- VLAN コンテキストに入って設定する事も可能
■VLAN の IP アドレス設定削除
no vlan vlan-id ip address
Aruba# configure
Aruba (config)# no vlan 10 ip address
■VLAN の IP アドレス情報表示
show ip
Aruba# show ip
Internet (IP) Service
IP Routing : Disabled
Default Gateway : 192.168.1.254
Default TTL : 64
Arp Age : 20
Domain Suffix :
DNS server :
| Proxy ARP
VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
DEFAULT_VLAN | Manual 192.168.1.1 255.255.255.0 No No
VLAN10 | Disabled
VLAN20 | Manual 192.168.20.1 255.255.255.0 No No
VLAN30 | DHCP/Bootp
■Management VLAN の設定
management-vlan < vlan-id | vlan-name >
Aruba# configure
Aruba (config)# management-vlan 10
- デフォルトでは管理 VLAN は設定されていない
- Management VLAN の設定以後は、指定した VLAN 以外の VLAN から管理インターフェースへのアクセスはできなくなる
- Management VLAN 設定の確認のためには show running-config コマンドを使用する
リンクアグリゲーション設定
trunk Port-List < Trunk-Name > < trunk | lacp >
- Trunk-Name : リンクアグリゲーション(ポートトランク)インターフェースの名前を指定
- Aruba 2930F では trk1, trk2,…,trk60 から指定する
- trunk : LACP プロトコルを使用しない場合指定(デフォルト)
LACP を使用しない場合の設定例:
Aruba# configure
Aruba(config)# trunk 1-2 trk1
LACP を使用する場合の設定例:
Aruba# configure
Aruba(config)# trunk 1-2 trk1 lacp
■リンクアグリゲーション(ポートトランク)インターフェースからのポート削除
no trunk Port-List
Aruba# configure
Aruba(config)# no trunk 1
■ポートで LACP アクティブの有効化
lacp active
Aruba# configure
Aruba(config)# interface 3-4
Aruba(eth-3-4)# lacp active
■ポートで LACP パッシブの有効化
lacp passive
Aruba# configure
Aruba(config)# interface 3-4
Aruba(eth-3-4)# lacp passive
■LACP 設定の解除
no interface Port-List lacp
Aruba# configure
Aruba(config)# interface 3-4 disable
Aruba(config)# no interface 3-4 lacp
- ループを回避するため、上記の設定例のようにポートを一度無効化してから LACP を解除することが推奨
または、インターフェースコンテキストに移動して no lacp でも良い。
■リンクアグリゲーション確認コマンド
リンクアグリゲーション(ポートトランク)の一覧表示
- show trunks
LACP 情報の要約表示
- show lacp
Aruba# show lacp
LACP
LACP Trunk Port LACP Admin Oper
Port Enabled Group Status Partner Status Key Key
----- ------- ------- ------- ------- ------- ------ ------
23 Active Trk10 Up Yes Success 0 63
24 Active Trk10 Up Yes Success 0 63
LACP 統計情報の表示
- show lacp counters
LACP ローカル情報の表示
- show lacp local
LACP ピア情報の表示
- show lacp peer
スパニングツリー
■スパニングツリー状態確認
show spanning-tree
Aruba# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : No
ブロードキャストストーム検知設定
■ブロードキャストストーム検知の有効化とアクション設定
fault-finder broadcast-storm Port-List action [ warn | warn-and-disable ] < Seconds > [ pps Number | percent Number ]
- action:ブロードキャストを検知した際の動作
- warn ⇒ イベント通知のみ
- warn-and-disable ⇒ イベント通知とポートのシャットダウン
- Seconds → ポートをシャットダウンしてからシャットダウンを解除するまでの時間を指定(0-604800秒)。
- 0 にするとシャットダウンの自動解除は行われない
- デフォルト:0
- pps Number
- 1秒あたりのブロードキャストパケット数の上昇しきい値
- デフォルト?
- percent Number
- ポートの帯域幅の割合としての上昇しきい値。 割合は 64 バイトのパケットサイズで計算される
- デフォルト?
Aruba# configure
Aruba(config)# fault-finder broadcast-storm 1-10 action warm-and-disable 600 percent 80
■ブロードキャストストーム検知の情報表示
設定と検知状況の表示
- show fault-finder broadcast-storm
Aruba# show fault-finder broadcast-storm
Bcast | Port Rising Disable Disable Time
Port Storm | Status Threshold Action Timer Left
----- ----- + ------ --------- ---------------- ---------- ------------
1 Yes | Down 80% warn-and-disable 60 58 sec
2 Yes | Down 80% warn-and-disable 60 58 sec
UDLD 設定
■UDLD 設定の有効化/無効化
[no] interface port-list link-keepalive
- デフォルトでは UDLD は無効
- UDLD を有効化した場合は、対向ポートについても UDLD を有効化する必要がある
- リンクアグリゲーションポートで UDLD を設定する場合は、グループ内の個別のポートに対して UDLD 有効化の設定をする
■UDLD コントロールパケット送信間隔の設定
link-keepalive interval interval
- デフォルトでは 50 (5秒)
- 10 – 100 の範囲で指定
■UDLD コントロールパケット送信の最大リトライ数の設定
link-keepalive retries num
- デフォルトでは 5
- 3 – 10 の範囲で指定
■UDLD 関連の確認コマンド
UDLD 有効ポートのサマリ情報を表示
- show link-keepalive
UDLD 有効ポートの統計情報を表示
- show link-keepalive statistics
統計情報のクリア
- clear link-keepalive statistics
ポートミラーリング設定
■設定手順
- ミラーセッションの作成
- セッション番号とコピー先ポートの設定
- ポートでのモニタ設定
- モニタ対象トラフィックの設定
■ミラーセッションの作成
[no] mirror SESSION port EXIT_PORT_NUM [name NAME-STR]
- SESSION は 1 – 4 の範囲から指定
- EXIT_PORT_NUM はコピー先ポートの番号
switch(config)# mirror 1 port 23
■ポートでのモニタ設定
[no] [interface PORT | TRUNK | MESH] | vlan VID-#] monitor all in|out|both mirror SESSION [session …] [no-tag-added]
switch(config)# interface 1-4 monitor all out mirror 1
■ミラーセッションの確認
show monitor
スタティックルーティング設定
■ルーティングの有効化
ip routing
- デフォルトでは無効
Aruba# configure
Aruba (config)# ip routing
■デフォルトルートの設定
ip default-gateway Gateway-IP-Address
Aruba# configure
Aruba (config)# ip default-gateway 192.168.1.254
デフォルトルートを削除する場合は no ip default-gateway
Aruba# configure
Aruba (config)# no ip default-gateway
■スタティックルートの設定
ip route Dest-IP-Address/Mask-LENGTH Next-Hop-Address
Aruba# configure
Aruba (config)# ip route 192.168.2.0/24 192.168.1.1
■スタティックルートの削除
no ip route Dest-IP-Address/Mask-LENGTH Next-Hop-Address
Aruba# configure
Aruba (config)# no ip route 192.168.2.0/24 192.168.1.1
■ルーティングテーブルの表示
show ip route
Aruba# show ip route
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.20.31 1 static 250 1
2.0.0.25/32* aruba-vpn connected 1 0
2.0.0.199/32** aruba-vpn static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.20.0/24 DEFAULT_VLAN 1 connected 1 0
VSF 設定(スタック設定)
用語と概要
VSF 基本項目
VSF: Virtual Switching Framework
Member ID
- VSF ファブリックを構成するスイッチにつける ID
- Aruba 2930F の場合は 1,2,3,4 から設定
VSF Domain ID
- VSF ファブリックを識別するための ID
- 1 – 4,294,967,296 の範囲から設定
VSF Link
- VSFを構成するスイッチ間を接続するスタック用論理ポート
- link 1と link 2 の 2 つの論理ポートが用意されている
- link 1と link 2 に物理ポートをアサインしてスタックポートとして利用する
- 最大 8 つの物理ポートを VSF リンクにアサインできる
- ポートが VSF リンクにバインドされると、VLAN メンバーシップや速度など、ポートに関連付けられているすべての既存の構成が削除される
[ Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05 ] P.690 より
- VSF リンクは、VSF 仮想デバイスの内部接続専用の論理ポート
- VSF リンクは、物理ポートにバインドされた後でのみ有効
- イーサネットポートが VSF リンクにバインドされている場合、イーサネットポートは VSF データトラフィックと VSF プロトコルパケットを伝送する
[ Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05 ] P.696 より
- VSFリンクは、同じ速度のポートのみで構成できる
- VSF ポートは直接接続する必要があり、メンバー間に中継デバイスがあってはいけない
[ Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05 ] P.737 より
VSF メンバー
Commander
(コマンダー)- VSF ファブリク内で1台選出
- スタックのコントローラーとして動作する物理スイッチ
Standby
(スタンバイ)- VSF ファブリク内で1台選出
- Commanderのバックアップとして動作する物理スイッチ
Member
(メンバー)- 上 2 つ以外のスイッチ
Member Priority
- Commander として選出される際の優先度(値が大きいほど優先)
- デフォルト128で1〜255の間で設定可能
VSF 構成時のインターフェース名
- member ID / port-index
- 例: 1/1、2/24
[ Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05 ] P.691 より
MAD (Multiple Active Detection)
MAD (Multiple Active Detection)
- スタックリンク障害により、VSF ファブリックがスプリットした場合の対策機能
- スタックリンク障害時も、VSF ファブリックを構成していた機器が存在することを認識して、スプリットした片側のインターフェースを全てシャットダウンすることでスプリット時の通信への影響を防ぐ
- 次の 3 種類の実装方法がある
LLDP MAD
- VSF を構成するメンバが 2 台の場合のみに対応
- VSF ファブリックの 2台のメンバをまたいで LACP リンクアグリゲーション接続されたスイッチが必要(MAD アシストデバイスと呼ばれる)
- VSF ファブリック内の各メンバは、MAD アシストデバイスを経由して互いの存在を確認する
- MAD アシストデバイスに SNMP 問い合わせを行い、相手メンバ側ポートの状態を確認するという仕組み
- MAD アシストデバイス側に読み取り権限のある SNMP コミュニティ設定が必要
- LLDP MAD の設定がされる(MAD アシストデバイスの IP アドレスが設定される)と以下の点がチェックされ、満たさないものがあるとエラーとなる
- MAD アシストデバイスに到達可能か
- リンクアグリゲーション接続されているか
- リンクアグリゲーションがアップしているか
OOBM MAD
- Aruba 5400R の MPU にある OOBM ポートを使用
VLAN MAD
- MAD 専用の VLAN を用意し、その VLAN をアサインしたポートを接続することで互いの存在を確認する
- VLAN MAD で使用する VLAN は Telnet や SSH などの管理目的で使用できる
- VSF の各メンバについて 1 つのポートに MAD 用の VLAN が アサインされている必要があり、同じネットワーク内の MAD 相互接続デバイスに接続されている必要がある
- メンバが 2台なら MAD 用ポートを直接接続できる
VLAN MADの制限
- VLAN MAD の機能を変更する可能性のある他のプロトコルは、VLAN MAD で有効にしないこと
- 複数の障害が発生した場合、VLAN MAD の適切な機能を保証できない
- VLAN MAD に割り当てることができるのは、メンバごとに1つのポートだけ
- 送信元ポートフィルタは、VLAN MAD のメンバであるポートには構成できない
- VLAN MAD は、送信元ポートフィルタが有効なメンバポートを持つ VLAN 上では構成できない
- リンクアグリゲーションポートを VLAN MAD に割り当てることはできない
- デフォルト VLAN を VLAN MAD にすることはできない
- GVRP は、VLAN MAD メンバポートでは構成できない
- ポートの GVRP を無効にするには、interface level unknown-vlans コマンドを使用する
- MVRP は、VLAN MAD メンバポートでは有効にできない
- MACアドレス 0x00、0x12、0x79、0x4a、0xd5、および 0x82 に対してマルチキャストフィルターが有効になっている場合、VLAN MAD を構成できない
- LACP 対応ポートを MAD VLAN の一部にすることはできない
- BAD フィルタリングは MAD VLAN ポートでは無効にできない
[ Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05 ] P.739 より
VSF の設定コマンド
VSF 基本設定
■VSF Linkの設定
vsf member MEMBER-ID link LINK-ID [ethernet] PORT-LIST
Aruba# configure
Aruba (config)# vsf member 1 link 1 23-24
■Member Priorityの設定
vsf member MEMBER-ID priority PRIORITY
Aruba# configure
Aruba (config)# vsf member 1 priority 130
■VSF Domainの設定とVSFの有効化
vsf enable domain DOMAIN-ID
Aruba# configure
Aruba (config)# vsf enable domain 1
■VSF関連Trap送信の有効化
snmp-server enable traps vsf
Aruba# configure
Aruba (config)# snmp-server enable traps vsf
- デフォルトは無効
■VSFの確認コマンド
VSFの状態確認
- show vsf
- show vsf detail
VSF Linkの確認
- show vsf link detail
■VSF設定の削除
vsf disable
Aruba# configure
Aruba (config)# vsf disable
This will remove VSF-related configuration and reboot the switch.
Continue (y/n)? y
- VSF設定を削除するにはVSF Linkが全てダウンしている必要がある
MAD 設定
■LLDP MADの設定
vsf lldp-mad ipv4 IPV4_ADDR v2c COMMUNITY-STR
- IPV4_ADDR : MAD アシストデバイスの IP アドレス
- COMMUNITY-STR : MAD アシストデバイスの SNMP コミュニティ名
Aruba# configure
Aruba (config)# vsf lldp-mad ipv4 10.1.1.1 v2c public
LLDP MADの状態確認
show vsf lldp-mad [ parameters | status ]
Aruba# show vsf lldp-mad parameters
MAD device IP : 134.1.5.29
MAD readiness status : Success | Failure [21:49:45, 9/Jan/2015]
MAD device MAC : 08:12:2b:40:44:3a
Reachable via Vlan : 10
Local LAG interface : TRK5
MAD-probe portset : 1, 7, 23
LAG connectivity : Full | Partial
Aruba# show vsf lldp-mad status
MAD device IP : 134.1.5.29
MAD probe portset : 1, 7, 23
VSF split : Yes | No
MAD probe originator : Yes | No
Number of probe requests sent : 3
Number of probe responses received : 0
MAD Active Fragment : Yes | No
■VLAN MADの設定
vsf vlan-mad vlan-id
Aruba# configure
Aruba (config)# vsf vlan-mad 1000
VLAN MADの状態確認
show vsf vlan-mad
Aruba# show vsf vlan-mad
Multi-Active Detection VLAN status :
VLAN ID : 30
VLAN NAME : VLAN30
VLAN MAD Connectivity Status : Full
Port Status Member State
----- ------- ---------------
1/17 Up Commander
2/21 Up Standby
3/21 Up Member
4/17 Up Member
SNMP 設定
■SNMP コミュニティの設定
snmp-server community community-name [ < manager | operator > ] [ < restricted | unrestricted > ]
- community-name:コミュニティ名
- manager | operator:アクセス範囲を指定
- manager ⇒ 全ての MIB オブジェクトにアクセス可能
- operator (デフォルト) ⇒ CONFIG MIB を除く全ての MIB にアクセス可能
- restricted | unrestricted:権限を指定
- restricted (デフォルト) ⇒ read のみ
- unrestricted ⇒ read/write 可能
- デフォルトで unrestricted 権限の public コミュニティが存在している?
■SNMP Trap 送信先の設定
snmp-server host ip-address community community-name trap-level [ < none | debug | all | not-info | critical >] [ informs [ retries RETRY-COUNT ][ timeout Time ]]
- ip-address:SNMP Trap 送信先の IP アドレスを指定
- community-name:コミュニティ名を指定
- trap-level : イベントログメッセージを SNMP Trap として送信する場合の送信するログレベルを指定
- none(デフォルト) ⇒ イベントログメッセージは SNMP Trap として送信されない
- RETRY-COUNT:リトライ回数を指定(デフォルト 3 回)
- Time:でタイムアウト値を指定(デフォルト 15 秒)
■SNMP Trap の有効化/無効化
デフォルトではすべてのトラップが有効化されているが個別設定する場合は以下コマンドで設定。
snmp-server enable traps [trap]
- trap:以下の中からトラップを指定
- arp-protect
- ダイナミック ARP プロテクションの Trap
- auth-server-fail
- 認証サーバの接続障害
- dhcp-snooping
- DHCP v4 スヌーピングに関する Trap
- dhcpv6-snooping
- DHCP v6 スヌーピングに関する Trap
- dyn-ip-lockdown
- ダイナミック IP ロックダウンに関係する Trap。out-of-resource やviolations のオプション指定が可能
- dyn-ipv6-lockdown
- link-change
- インターフェースのリンクアップ/ダウンの Trap。設定する場合はポート範囲または all の指定が必要
- login-failure-mgr
- mac-count-notify
- mac-notify
- password-change-mgr
- port-security
- running-config-change
- snmp-authentication
- startup-config-change
- arp-protect
■SNMP 設定の表示
- show snmp-server
- show snmp-server trap
Aruba# show snmp-server traps
Trap Receivers
Link-Change Traps Enabled on Ports [All] : A1-A24
Traps Category Current Status
------------------------------ --------------------------
SNMP Authentication : Extended
Password change : Enabled
Login failures : Enabled
Port-Security : Enabled
Authorization Server Contact : Enabled
DHCP Snooping : Enabled
Dynamic ARP Protection : Enabled
Dynamic IP Lockdown : Enabled
Address Community Events Sent Notify Type Retry Timeout
---------------------- ---------- ----------- ----------- ----- -------
15.255.5.225 public All trap 3 15
2001:0db8:0000:0001
:0000:0000:0000:0121 user_1 All trap 3 15
Excluded MIBs
■SNMP 設定例
- 読み取り用コミュニティpublic を作成
- 書き込み用コミュニティprivate を作成
- トラップ送信先として public コミュニティの 192.168.1.10 を設定し、かつクリティカルイベントログを送信する
- 設定ファイル変更に関してのトラップを送信する
- インターフェースのリンク状態変更に関するトラップは送信しない
Aruba# configure
Aruba(config)# snmp-server community public operator restricted
Aruba(config)# snmp-server community private manager unrestricted
Aruba(config)# snmp-server host 192.168.1.10 public critical
Aruba(config)# snmp-server enable traps startup-config-change
Aruba(config)# no snmp-server enable traps link-change all
Syslog 設定
■Syslog サーバの設定
logging ip-address
Aruba# configure
Aruba(config)# logging 192.168.1.10
削除する場合は no logging [ip-address]
■送信するイベント重大度の設定
logging severity < major | error | warning | info | debug >
Aruba# configure
Aruba(config)# logging severity info
その他設定
■USB コンソールの有効化/無効化
console usb enable|disable
Aruba# configure
Aruba(config)# console usb disable
■USB コンソールタイムアウト値の変更
console idle-timeout serial-usb value
Aruba# configure
Aruba(config)# console idle-timeout serial-usb 0
- 0~7200 秒の範囲で設定可能
- 0 を指定するとタイムアウトが無効になる
- デフォルト 0
■Telnet サーバの有効化/無効化
[no] telnet-server
Aruba# configure
Aruba(config)# no telnet server
■SSH サーバの有効化/無効化
[no] ip ssh
Aruba# configure
Aruba(config)# no ip ssh
※ SSH 用の鍵の生成(デフォルトで生成済みなので普通はコマンド実行の必要はない)
crypto key generate ssh
Aruba(config)# crypto key generate ssh
Installing a new key pair. If the key/entropy cache is
depleted, this could take up to a minute.
The installation of a new key pair is successfully completed.
■Telnet/SSH/シリアル タイムアウト値の設定
console idle-timeout value
Aruba# configure
Aruba(config)# console idle-timeout 0
- 0~7200 秒の範囲で設定可能
- 0 を指定するとタイムアウトが無効になる
- デフォルト 0
■Web 管理インターフェースの有効化/無効化
[no] web-management
Aruba# configure
Aruba(config)# no web-management
■Web 管理インターフェースのタイムアウト値の設定
web-management idle-timeout value
■各種サーバの状態表示
show servers
Aruba# show servers
Server listen mode
Server Listen mode
-----------------------------
Telnet | both
Ssh | both
Tftp | both
Web-management | both
Snmp | both
※機種によってはこのコマンドは使用不可
各種確認コマンド
システムバージョン表示
show version
システム情報の表示
show system [ information ]
以下のような情報を確認可能。
- ホスト名
- タイムゾーン
- ソフトウェアバージョン
- シリアル番号
- アップタイム
- CPU 使用率、メモリ使用量
Aruba# show system
Status and Counters - General System Information
System Name : Aruba
System Contact :
System Location :
MAC Age Time (sec) : 300
Time Zone : 540
Daylight Time Rule : None
Software revision : YA.16.10.0015 Base MAC Addr : xxxxxx-xxxxxx
ROM Version : YA.15.20 Serial Number : CNXXXXXXXX
Up Time : 3 hours Memory - Total : 67,108,864
CPU Util (%) : 4 Free : 37,407,848
IP Mgmt - Pkts Rx : 12,345 Packet - Total : 3321
Pkts Tx : 10,123 Buffers Free : 2899
Lowest : 2658
Missed : 0
フラッシュのソフトウェアイメージの表示
show flash
CPU 使用率の表示
show cpu
Aruba# show cpu
6 percent busy, from 300 sec ago
1 sec ave: 6 percent busy
5 sec ave: 7 percent busy
1 min ave: 5 percent busy
温度状態の表示
show system temperture
※機種によっては このコマンドは 使用不可
ファン状態の表示
show system fan
Aruba# show system fan
Fan Information
Num | State | Failures | Location
-------+-------------+----------+----------
Fan-1 | Fan OK | 0 | Chassis
電源状態の表示
show system power-supply
※機種によってはこのコマンドは使用不可
ログの表示
show logging
ログの消去は clear logging
ケーブルの診断
test cable-diagnostics port-list
※一時的にリンクロスが発生するため運用中に使用する場合は注意
サポート用の診断情報の収集
show tech
表示内容
・イメージスタンプ(ソフトウェアバージョンデータ)
・実行中の設定
・イベントログの一覧
・ブート履歴
・ポート設定
・ステータスおよびカウンタ(ポートステータス)
・IP ルート
・ステータスおよびカウンタ(VLAN 情報)
・GVRP のサポート
・ロードバランス(トランクおよびLACP)
・スタックステータス(当該スイッチ)
・スタックステータス(すべて)
シャットダウン履歴の表示
show boothistory
スイッチ全体の PoE 情報の表示
show power-over-ethernet
各ポートの PoE 情報の一覧表示
show power-over-ethernet brief [Port-Number]
参考資料
【HPEサポートセンター】Aruba 2930F / 2930M Management and Configuration Guide for ArubaOS-Switch 16.05


ArubaOS-Switch Hardening Guide for 16.06 ArubaOS スイッチのセキュリティ強化
Common Criteria Configuration Guidance Network Device Collaboration Protection Profile