TFTP
Выгружаем файлы (в данном случае дампы) из директории на удаленный сервер:
copy tftp root: /flash/techspt/techspt_service-info.txt //<remote_ip>/techspt_service-info.txt
Перепрошивка ZTE ZXR10 5928E-FI
- Опционально: если настраиваем через mgmt-интерфейс, а не удаленно, то выставляем ему удобный для нас IP на интерфейсе mgmt_eth и заливаем локальную авторизацию.
conf t interface mgmt_eth ip address 192.168.1.254 255.255.255.0 exit system-user user-name admin password admin bind authentication-template 1 bind authorization-template 1 exit authentication-template 1 bind aaa-authentication-template 2001 exit authorization-template 1 bind aaa-authorization-template 2001 local-privilege-level 15 exit exit aaa-authentication-template 2001 aaa-authentication-type local exit aaa-authorization-template 2001 aaa-authorization-type none exit enable secret level 15 0 admin end
- Включаем ssh/ftp сервера для загрузки прошивки по SFTP, выставляем название backup файла прошивки.
ssh server enable ftp-server enable nvram backup-imgfile HMPU.old
- Подключаемся по SFTP (например, используя WinSCP), загружаем файл с актуальной прошивкой. Использовать tftp можно, но нежелательно т.к. по TFTP может выдать при заливке unknown error и после этого в файл HMPU.set невозможно удалить и придется изменять загрузчик.
- Копируем старый образ как бекап. Удаляем старый файл (если не удалить файл ранее, то будет ругаться %Error 29: Invalid directory or filename). Делаем rename нового. Можно все это и через WinSCP сделать, не вводя команд.
cp HMPU.set HMPU.old delete HMPU.set rename FW_NAME.set HMPU.set dir
- Сохраняемся, перезагружаемся, смотрим версию софта.
write reload show version
Другие полезные команды
copy tftp /<ip>/HMPU.set root: HMPU.set # TFTP copy ftp //<ip>/HMPU.set@<ftp_login>:<ftp_pass> root: HMPU1.set # FTP nvram imgfile-location local flash HMPU1.set # Change primary FW path
функционал cpu-guard на коммутаторах ZTE ZXR10 5928E-FI и 5960-32DL
Функционал очень полезный, делает прекрасную вещь – защищает CPU от всякого рода паразитного трафика (CoPP/CPP в терминологии Cisco), но из-за включения по умолчанию и отсутствия нормальной инфы в документации мы первично сталкивались с довольно большим количеством проблем.
Во первых, настройки cpu-guard, которые установлены по умолчанию почему то скрыты в конфиг-файле коммутатора и не показываются через команду show running-config all или show running-config cpu-guard all, которая показывает default’ы для других настроек. В ходе экспериментов выяснилось, что cpu-guard работает для всех протоколов из огромного списка с rate 100.
ZTE-5928(config)#cpu-guard pp interface gei-0/1/1/1 rate mode ? arp ARP protocol arp-vrrp ARP-VRRP protocol bpdu BPDU protocol dot1x DOT1X protocol group-mng Group manage icmp ICMP protocol igmp IGMP protocol ipv4-bgp IPv4 BGP protocol ipv4-dhcp IPv4 DHCP protocol ipv4-isis IPv4 ISIS protocol ipv4-ldp IPv4 LDP protocol ipv4-ospf IPv4 OSPF protocol ipv4-pim IPv4 PIM protocol ipv4-rip IPv4 RIP protocol ipv6-bgp IPv6 BGP protocol ipv6-dhcp IPv6 DHCP protocol ipv6-isis IPv6 ISIS protocol ipv6-ldp IPv6 LDP protocol ipv6-nd IPv6 ND protocol ipv6-ospf IPv6 OSPF protocol ipv6-pim IPv6 PIM protocol ipv6-rip IPv6 RIP protocol isis2 ISIS2 protocol lacp LACP protocol lldp LLDP protocol mac-ping MAC-PING protocol mld MLD protocol msdp MSDP protocol ntp NTP protocol ptp PTP protocol radius RADIUS protocol snmp SNMP protocol ssh SSH protocol tacacs TACACS protocol telnet TELNET protocol ttl TTL protocol udld UDLD protocol untrust UNTRUST protocol vbas VBAS protocol vrrp VRRP protocol
Во вторых, сам функционал cpu-guard перехватывает не только пакеты, которые направляются на CPU нашего устройства, но и обычные транзитные пакеты к другим destination. Поэтому даже если на коммутаторе нет dhcp_relay, но он является транзитным для нижестоящих, откуда идет много запросов (к примеру, после дерганья питания в районе) – наш корневой свич может дропать dhcp трафик, не давая клиентам быстро получить IP.
- cpu-guard pp interface xgei-0/1/2/1 rate mode telnet/ipv4-dhcp/ipv4-pim/igmp 1000 – выставляем повышенный порог для telnet/ipv4-dhcp/ipv4-pim/igmp трафика.
- cpu-guard pp interface xgei-0/1/1/16 mode ipv4-rip disable – отключаем cpu-guard для rip.
- show cpu-guard-log shelf 0 panel 1 level 1 – статистика дропов cpu-guard.
ZTE-5928#show cpu-guard-log shelf 0 panel 1 level 1 !<CPU GUARD LOG> [2017- 4-29 20:58:50] LIMIT SW(type:v4_mutilcast;port:28;MP:24;NP:28;passby:410)[FROM_BROADCOM] [2017- 4-29 20:59:41] RECOVER(type:v4_mutilcast;port:28;MP:20;NP:28) [2017- 4-29 21:31: 1] DETECT GLOBAL ATTACK(type:arp_request;MP:22;NP:27;passby:340)[FROM_BROADCOM] [2017- 4-29 21:31: 1] LIMIT HW(type:arp_request;port:8;MP:22;NP:27;passby:180)[FROM_BROADCOM] [2017- 4-29 21:31: 2] DETECT GLOBAL ATTACK(type:arp_request;MP:22;NP:27;passby:340)[FROM_BROADCOM] [2017- 4-29 21:31: 2] LIMIT HW(type:arp_request;port:7;MP:22;NP:27;passby:130)[FROM_BROADCOM] [2017- 4-29 21:31: 7] RECOVER(type:arp_request;port:8;MP:21;NP:31) [2017- 4-29 21:31: 7] RECOVER(type:arp_request;port:7;MP:21;NP:31) [2017- 4-29 21:33: 2] LIMIT SW(type:v4_mutilcast;port:28;MP:21;NP:28;passby:640)[FROM_BROADCOM] [2017- 4-29 21:33:22] LIMIT HW(type:arp_request;port:7;MP:23;NP:27;passby:210)[FROM_BROADCOM] [2017- 4-29 21:33:56] RECOVER(type:v4_mutilcast;port:28;MP:18;NP:27) [2017- 4-29 21:33:56] RECOVER(type:arp_request;port:7;MP:18;NP:27)
Настройка и проверка работы SNMP на ZTE ZXR10 5928E-FI
ОПРОС
Global
snmp-server view zte iso included snmp-server version v1 enable snmp-server version v2c enable
Location, syscontact, sysname
location <location> contact <contact> hostname ZTE-5928
Community
snmp-server community <name> view zte rw snmp-server community <name> view zte ro
Указываем ACL (policy) для ограничения доступа только с определенных IP.
snmp-server access-list ipv4 management
TRAP/INFORM
Trap. Обязательно отключаем трапы на каждую введенную команду т.к. ZTE отправляет каждую команду трапом – если сделать 10 раз show команду он отошлет 10 трапов.
snmp-server trap-source <ip> snmp-server enable trap no snmp-server enable trap system
Перенастраиваем с Trap на Inform. Отправляется 3 повторных inform в случае отсутствия ответа, таймаут между информами 3 секунды. В отличии от Extreme и Cisco поменять эти настройки нельзя 🙁
no snmp-server enable trap no snmp-server host <ip> trap <community> snmp-server enable inform snmp-server host <ip> inform version 2c <community> no snmp-server enable inform system
ZTE-5928#show snmp 23 SNMP packets input 0 Bad SNMP version errors 0 Unknown community name 0 Illegal operation for community name supplied 137 Number of requested variables 0 Number of altered variables 23 Get-request PDUs 0 Get-next PDUs 0 Set-request PDUs 69 SNMP packets output 0 Too big errors (Maximum packet size 8192) 0 No such name errors 0 Bad values errors 0 General errors 23 Response PDUs 46 Trap PDUs SNMP
Баги
При запуске железок ZTE-5928 сталкивались с багом OSPF при запущенном MPLS – падали даже крупные объекта (овер 50к пользователей), хотя маршрутов было всего чуть больше 1к. Первоначально решалось перезагрузкой, окончательно решилось новой прошивкой вендора. Передавали вендору techsup basic_info + cpu_info + mpls + l2vpn (один разом со всем в нем – нет такой команды..). После этой баги так же начали создавать отдельный routing process для каждого сегмента ДС на магистрали, чтобы флапы в одном сегменте не влияли на другие.
ZTE-5960#cd techspt ZTE-5960#dir Directory of MP-0/T1/0: /flash/techspt 512000 KB total (252168 KB free) attribute size date time name 1 <DIR> 2048 03-11-2016 20:56 . 2 <DIR> 2048 03-11-2016 20:56 .. 3 ---- 30486 03-11-2016 20:56 techspt_l2vpn.txt 4 ---- 4002 03-11-2016 20:56 techspt_mpls.txt 5 ---- 57348 03-11-2016 20:55 techspt_cpu-info.txt 6 ---- 484436 03-11-2016 20:55 techspt_basic-info.txt 7 ---- 14727 01-24-2016 20:09 techspt_service-info.txt