HP IRF Teknolojisi ve Konfigürasyonu

Bu yazımda HP’nin (A serisi ürünler) router ve switchlerinde kullandığı IRF teknolojisi, ne işe yaradığı ve konfigürasyonu üzerine konuşacağım. IRF (Intelligent Resilient Framework), switch platformlarında kullanılan bir sanallaştırma teknolojisidir. Amaç 2 veya daha fazla cihazı birleştirip tek bir cihaz gibi kullanma, yönetme ve çalıştırmayı hedeflemektedir. Benzer teknolojileri isim aynı olmasa bile cisco VSS , juniper Virtual Switch ile sunmaktadır. Cisco VSS ile ilgili detaylı bilgi ve örnekleri şurada inceleyebilirsiniz.

Faydalarını anlaşılır bir dille şu şekilde sıralayabiliriz.

  • Spanning-Tree bağımlılığını ortadan kaldırarak loop’tan bağımsız bir yol sunar ve hiç bir link blocked moda geçmez (IRF + LACP teknolojisi ile)
  • 2’den fazla cihazı tek bir IP adresi ile  tek cihaz olarak yönetmeye olanak sağlar.
  • Pasif cihazlar ve linkler yerine tüm cihazların aktif olarak çalıştığı bir network sunar.
  • STP bağımlılığı ortadan kalktığından düşük hızlı network convergence sürelerinden kurtarır.
  • Failover durumunda çok hızlı aksiyon alır.

IRF02

 

Şurada STP ile IRF arasındaki farklılık gayet güzel bir şekilde belirtilmiştir.

IRF01

Şimdi de 2 switch arasında IRF konfigürasyonunun nasıl yapıldığına bakalım. Switchleri alttaki gibi bağlayacağız.

IRF03

1- Öncelikle kullanacağımız switchleri factory-reset etmemiz gerekiyor. Bu sayede sıkıntısız bir yapı kurabilmek için ilk adımı atmış olacağız. Switchimize konsol kablosu ile bağlandığımızda EXEC modda “reset saved-configuration” ve “reboot” diyoruz ve süreci takip ediyoruz.

<TEST-SW>reset saved-configuration
The saved configuration file will be erased. Are you sure? [Y/N]:y
Configuration file in flash is being cleared.
Please wait ...
.....
MainBoard:
Configuration file is cleared.

<TEST-SW>reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:n
This command will reboot the device. Continue? [Y/N]:y
#Apr 26 14:02:05:860 2000 GMZeminKat DEVM/1/REBOOT:
Reboot device by command.

%Apr 26 14:02:05:960 2000 GMZeminKat DEVM/5/SYSTEM_REBOOT: System is rebooting now.
Starting......
********************************************************************************
* *
* HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607 *
* *
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation date : May 16 2011, 19:07:36
CPU Clock Speed : 264MHz
BUS Clock Speed : 33MHz
Memory Size : 128MB
Mac Address : d07e28b08ec4
Press Ctrl-B to enter Boot Menu... 0
Auto-booting...
Decompress Image....................................................................................
<HP>
#Apr 26 12:07:10:253 2000 HP SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1: login from Console

%Apr 26 12:07:10:384 2000 HP SHELL/5/SHELL_LOGIN: Console logged in from aux0.

Dikkat ettiysek cihazın hostname’i de <HP> oldu, bu da bize işlemin başarılı olduğunu gösteriyor.

NOT: IRF’i eğer cihaz destekliyor ise çoğunlukla 10G portlar üzerinden yapıyoruz. Hatta 5120EI ve üzerinde 10G kullanmamız bizim için olmazsa olmaz bir şart haline geliyor. Cihazımız üzerinde 10G port yok ise uygun modülü ve SFP’yi almamız gerekiyor. Hangi cihaz, kaç adet cihazla, hangi portlar üzerinden ne şekilde IRF yapılandırır soruları için her zaman alttaki tabloyu (varsa güncellenmişini) kullanabiliriz.

Bu yazıda 5120EI serisi switch kullanılmıştır. Bu switch 10G modül üzerine takılı DAC kablolar ile IRF yapılandırabilmektedir.

IRF yapılacak cihazları hiçbir şekilde birbirine bağlamadan öncelikle konfigürasyonlarının tamamlanması gerekiyor. Bu IRF yapılandırması sırasında karşılaşılabilecek problemleri en aza indirgeyecektir.

İlk ve bundan sonraki switchte şu ayarları yapacağız:

– Cihaza düzgün hostname atamak (Örneğin: DataCenter-SW01)
– IRF aktifleştirme komutlarını girmek (irf member 1 renumber 1)

Switch factory-default olarak IRF member 1 olduğundan üstteki komutu girmemize gerek yok, fakat 1 hariç hepsinde bunu yapılandırıp; kaydedip reboot etmemiz gerekiyor.

<HP>system-view
System View: return to User View with Ctrl+Z.
[HP]sysname SW2
[SW2]
[SW2]irf member 1 renumber 2
Warning: Renumbering the switch number may result in configuration change or loss. Continue?[Y/N]y
[SW2]
[SW2]
[SW2]
[SW2]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW2]quit
<HP>reboot
 Start to check configuration with next startup configuration file, please wait.........DONE!
 This command will reboot the device. Continue? [Y/N]:y
#Apr 26 12:11:39:832 2000 SW2 DEVM/1/REBOOT:
 Reboot device by command.
%Apr 26 12:11:39:923 2000 SW2 DEVM/5/SYSTEM_REBOOT: System is rebooting now.
Starting......

********************************************************************************
* *
* HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607 *
* *
********************************************************************************
Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
Creation date : May 16 2011, 19:07:36
CPU Clock Speed : 264MHz
BUS Clock Speed : 33MHz
Memory Size : 128MB
Mac Address : d07e28b08ec4

Press Ctrl-B to enter Boot Menu... 0
Auto-booting...

User interface aux0 is available.

Press ENTER to get started.

Artık diğer komutlara geçebiliriz. Switch1 ile başlıyoruz.

[SW1]irf member 1 priority 32
[SW1]
[SW1]interface  Ten-GigabitEthernet1/1/1
[SW1-Ten-GigabitEthernet1/1/1]shutdown
[SW1-Ten-GigabitEthernet1/1/1]interface  Ten-GigabitEthernet1/1/2
[SW1-Ten-GigabitEthernet1/1/2]shutdown
[SW1-Ten-GigabitEthernet1/1/2]quit 
[SW1]
[SW1]irf-port 1/1
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet1/1/1
 Info: You are recommended to save the configuration after completing your IRF configuration; 
 otherwise, it may be lost after system reboot.
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet1/1/2
[SW1-irf-port1/1]quit 
[SW1]
[SW1]interface Ten-GigabitEthernet1/1/1
[SW1-Ten-GigabitEthernet1/1/1]undo shutdown
[SW1-Ten-GigabitEthernet1/1/1]interface Ten-GigabitEthernet1/1/2
[SW1-Ten-GigabitEthernet1/1/2]undo shutdown
[SW1-Ten-GigabitEthernet1/1/2]quit 
[SW1]
[SW1]
[SW1]irf-port-configuration active
[SW1]
[SW1]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW1]
[SW1]
[SW1]

2. switch ile devam ediyoruz.

[SW2]
[SW2]interface Ten-GigabitEthernet2/1/1
[SW2-Ten-GigabitEthernet2/1/1]shutdown
[SW2-Ten-GigabitEthernet2/1/1]interface Ten-GigabitEthernet 2/1/2
[SW2-Ten-GigabitEthernet2/1/2]shutdown
[SW2-Ten-GigabitEthernet2/1/2]
[SW2-Ten-GigabitEthernet2/1/2]irf-port 2/2
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet2/1/1
 Info: You are recommended to save the configuration after completing your IRF configuration; 
 otherwise, it may be lost after system reboot.
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet2/1/2
[SW2-irf-port2/2]quit 
[SW2]
[SW2]
[SW2]interface Ten-GigabitEthernet2/1/1
[SW2-Ten-GigabitEthernet2/1/1]undo shutdown
[SW2-Ten-GigabitEthernet2/1/1]interface Ten-GigabitEthernet2/1/2
[SW2-Ten-GigabitEthernet2/1/2]undo shutdown
[SW2-Ten-GigabitEthernet2/1/2]quit 
[SW2]irf-port-configuration active
[SW2]
[SW2]save
 The current configuration is saved to the active main board successfully.
 Configuration is saved to device successfully.
[SW2]
[SW2]

Dikkatinizi 1. switchte olup 2.de olmayan alttaki komutun çekmiş olması lazım

irf member 1 priority 32

Eğer bu komut girilmezse switch üzerinde o değer “1” dir. Switchler bu değere göre aralarında IRF master’ı belirlerler. Hangi switchin priority değeri büyük ise o master seçilir. Diğer kalanlar ise slave ‘dir.

2 switch üzerinde tüm komutları girdikten sonra IRF bağlantısı yapılacak portlar arasındaki fiziksel bağlantıyı yapabiliriz. 1. Switch’in 10G port 1’i ile 2. Switch’in 10G port 2’si arasında  ve yine tersi olmak üzere 2 switchi birbirine bağlıyoruz.
Portlar “UP” olduktan sonra 2. switch!in (slave) kendiliğinden reboot olması gerekiyor. Switch üzerindeki değişimler konsol bağlantısı üzerinden takip edilebilir.

[SW2]
%Apr 26 12:08:46:726 2000 SW2 IFNET/3/LINK_UPDOWN: Ten-GigabitEthernet2/1/1 link status is UP.
#Apr 26 12:08:46:989 2000 SW2 STM/4/LINK STATUS CHANGE: 
 Trap 1.3.6.1.4.1.25506.2.91.6.0.1: Physical index of the member is 65536, member ID is 2. 
Link status of the IRF port with port index 2 and member ID 2 turned to 1.
Starting......


********************************************************************************
*                                                                              *
*   HP A5120-48G-PoE+ EI Switch with 2 Interface Slots BOOTROM, Version 607    *
*                                                                              *
********************************************************************************
       Copyright (c) 2010-2011 Hewlett-Packard Development Company, L.P.
       Creation date   : May 16 2011, 19:07:36
       CPU Clock Speed : 264MHz
       BUS Clock Speed : 33MHz
       Memory Size     : 128MB
       Mac Address     : d07e28b08ec4


Press Ctrl-B to enter Boot Menu... 0
Auto-booting...
Decompress Image..................................................................................................
..................................................................................................................
..................................................................................................................
..................................................................................................................
................OK!

<SW1>

SW2 de artık SW1 olarak geldi.

Peki yaptığımız konfigürasyon ne kadar çalışıyor?  Şu komutlarla IRF’in durumunu kontrol edebilirsiniz.

[SW1]display irf
MemberID  Slot  Role   Priority  CPU-Mac         Description
  +1      1    Master  32         00e0-fc0f-8c02  -----
  *2      2    Standby  1         00e0-fc0f-8c20  -----
--------------------------------------------------
 
 * indicates the device is the master.
 + indicates the device through which the user logs in.
 
 The Bridge MAC of the IRF is: 0023-895f-954f
 Auto upgrade                : yes
 Mac persistent              : always
 Domain ID                   : 1
 Auto merge                  : no

[SW1]display irf topology
                           Topology Info
 -------------------------------------------------------------------------
               IRF-Port1                IRF-Port2
 MemberID    Link       neighbor      Link       neighbor    Belong To
 2           DOWN       --            UP         1           00e0-fc0f-8c02
 1           UP         2             DIS        --          00e0-fc0f-8c02  

Ayrıca şu komutları da test ederken kullanabilirsiniz.

[SW1]display irf configuration
[SW1]display devices

Tabi yine tüm konfigürasyonu görüntüleyip SW2 interface’lerinin de SW1 üzerinde olduğunu görmek başarılı olduğumuzu gösterir.

[SW1]display interface brief 
The brief information of interface(s) under route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface            Link Protocol Main IP         Description
NULL0                UP   UP(s)    --
Vlan1                DOWN DOWN     1.1.1.1

The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Speed or Duplex: (a)/A - auto; H - half; F - full
Type: A - access; T - trunk; H - hybrid
Interface            Link Speed   Duplex Type PVID Description
GE1/0/1              DOWN auto    A      A    1
GE1/0/2              DOWN auto    A      A    1
GE1/0/3              DOWN auto    A      A    1
*
*
*
GE2/0/1              DOWN auto    A      A    1
GE2/0/2              DOWN auto    A      A    1
GE2/0/3              DOWN auto    A      A    1
*
*
*
XGE1/1/1             UP   --      --     --   --
XGE1/1/2             UP   --      --     --   --
XGE2/1/1             UP   --      --     --   --
XGE2/1/2             UP   --      --     --   --

NOT: Tüm bunların ardından konfigürasyonumuzu kaydetmeyi unutmayalım !

Konu önerisi ve sağladığı içerik için Barış Helvacıoğlu’na teşekkür ederim 🙂

Okuduğunuz için teşekkürler.

 

CUCM (Call Manager) LDAP Integration & Authentication

Ip Telephony çözümü olarak CUCM kullanılan networklerde kullanıcı yönetimi (user management), yaptığımız kurulumlarda üzerinden geçilecek konuların başında gelmektedir. Çoğunlukla şu amaçlar için kullanıyoruz:

  • Userları telefonlarla eşleştirme,
  • Lisans kullanımının hesaplanması,
  • jabber kullanımı,
  • Voicemail
  • Kullanıcıların enduser sayfasına girerek kısa kodla arama vs. işlerini tamamlamaları.

End user oluşturmak ve yönetibilmek için  2 alternatifimiz var:

1- Local user: bütün kullanıcı adı, şifre, PIN, DN(Directory Number) biz oluşturmalı, güncellemeli ve yönetmeliyiz.

2- LDAP Entegrasyonu: LDAP protokolü ile microsoft AD(Active Directory) üzerinden girili bilgileri çekme.

Bu yazımızda AD ortamında oluşturulmuş kullanıcıları entegre edip, authentication işleminin nasıl yapıldığını anlatacağım. AD günümüz IT dünyasında sistem, network, storage ve yazılım gibi bir çok ana sektörün dizin hizmetini alabilmek için kullandığı bir platformdur. Detaylı bilgi için şuraya bakabilirsiniz.

Şimdi CUCM üzerinde bu işlemleri nasıl yaptığımıza bakalım.

Öncelikle LDAP integration ve synchronization kavramlarının ne demek olduğunu açıklayalım.

LDAP Integration: CUCM, LDAP üzerinden kullanıcı adı, telefon numarası, mail adresi gibi bilgileri çeker. Password’ü her kullanıcı için tek tek admin girmelidir.

LDAP Authentication: LDAP Integration yapıldıktan sonra, authentication da yapılarak ayrıca ilgili kullanıcının password bilgileri de çekilir. CUCM admin’inin user’ların password’leri ile ilgili herhangi bir aksiyon almasına gerek kalmaz. Active directory’de o kullanıcı ile işlem yapıldığında nasıl bilgisayarında oturum açma, maillerine ulaşma gibi bir çok uygulama etkileniyor ise aynı şekilde call manager  tarafı da etkilenecektir.

Active Directory entegrasyonu ile başlayalım. CUCM Administration sayfasına girdiğimizde System –> LDAP altında alttaki seçenekleri göreceğiz.

cucm_ad11

1- Öncelikle System  –> LDAP –> LDAP System altına girerek bir LDAP sunucusundan senkronizasyon yapabilmeyi aktifleştiriyoruz.

cucm_ad1

2- Bu adımda ise bir LDAP sunucu tanımlayarak senkronizasyonu başlatıyoruz. Yapmamız gereken System –> LDAP  –> LDAP Directory altına girerek işaretli parametrelerin girişini yapmış olmak.

Bu noktada şunu belirtmekte fayda var. Kullanacağınız LDAP manager hesabının tüm kullanıcı ve dizinleri okuma yetkisinin olması gereklidir. Fakat ayrı bir kullanıcı açıp, local-admin yetkisi vererek yapmanız bence daha uygun olur.

cucm_ad2

 

cucm_ad3Daha sonra perform full sync now diyerek User Management  –> End User’ a bakıyoruz.

cucm_ad6

 

 

 

cucm_ad4

İlgili OU altındaki tüm kullanıcıların gelmiş olması gerekiyor. Eğer gelmiyorsa,

  • – LDAP manager name/password,
  • – User search base,
  • – LDAP server ip address

kontrol edilmelidir.

Aşağıda örnek bir end user bulunuyor.  Dikkat: Password’ün  kontrolü buradan yapılıyor!

 cucm_ad5

LDAP Directory altında daha sonra yapılan tüm işlemler sonrası perform full sync now dememiz gerekiyor.

cucm_ad6

3- LDAP senkronizasyonu bittikten sonra bu adımda authentication’ı da LDAP sunucu üzerinden yapacağız. System –> LDAP  –> LDAP Authentication altına gelerek LDAP directory için kullandığımız parametreleri burada da kullanıyoruz. Verileri girdikten sonra Save butonuna tıklamamız yeterlidir.

cucm_ad7

User Management  –> End User ’ a baktığımızda ise password yönetiminin artık LDAP sunucuya (AD) geçtiğini görebiliriz.

cucm_ad8

4- Son olarak System –> LDAP –> LDAP Custom Filter ‘ın ne işe yaradığını anlatacağım. Bu zamana kadar bir OU’nun altında ne kadar kullanıcı var ise çektik. Sizden telefon kullanan 15 kullanıcının, 150 kullanıcılık bir OU içerisinden çekilmesi istense ne yapardınız? Cevap: LDAP ipPhone Filter.

Bunun için  System –> LDAP –> LDAP Custom Filter altına girip filtremizi oluşturmamız gerekiyor. Altta ipPhone için örnek bir filtre bulunmaktadır.

cucm_ad9

Bu filtre tabiki tek başına yeterli değil. Bunu LDAP directory altında enable etmek gerekiyor.

cucm_ad10

 

Bu filtre ile artık sadece ipPhone kısmına telefon numarası girilmiş kullanıcıları çekeceğiz.

Okuduğunuz için teşekkürler.