ProCurve Manager und HP2524 - Probleme

[Millers Ralle]

Hallo zusammen,

für eine Technikerprojektarbeit arbeite ich zurzeit mit dem ProCurve Manager 3.1 und 2 HP2524 Switches. Aufgabe ist es mit dem PCM 2 VLAN´s zu konfigurieren und zu überwachen.

Zuerst haben wir per CLI zugriffsberechtigte Manager IP´s vergeben und 2 VLAN´s eingerichtet.

Am ersten Switch sind Port 1 bis 12 VLAN 1 mit der IP 192.168.2.1 und Port 13 bis 23 ist VLAN 2 mit der IP 192.168.3.1. Port 24 dient als Trunk.

Das gleiche am zweiten Switch, nur das eben die IP´s 192.168.2.2 und 192.168.3.2 sind.
Die Ports sind jeweils Untagged bzw. Forbidden um die VLAN´s auf den dafür bestimmten Ports zu belassen.

Funktioniert alles einwandfrei. Auch lässt sich das Port- und VLAN Mirroring/Monitoring per CLI oder Weboberfläche aktivieren und mit Wireshark der Traffic auslesen.

Gleiches gilt für das erlernen und begrenzen von zugelassenen MAC-Adressen, auch das automatische deaktivieren der Ports bei unerlaubtem Eindringen funktioniert.

Als nächstes installierte ich den PCM. Dabei habe ich SNMP V1/V2 als Standardprotokoll ausgewählt und Benutzername und Passwort für eben dieses eingegeben.

Mit dem PCM kann man nun wunderbar per Autodiscovery das Netz erkunden usw...

Mein Problem liegt darin, dass es mir nach intensivem (exzessivem) rumkonfigurieren im PCM nicht gelungen ist, weder Monitoring noch Mirroring zu aktivieren. PCM sagt dieses wird vom Switch nicht unterstützt. Eben so wenig ist es mir gelungen, dem PCM auch nur irgendeine Art von Fehlermeldung/Alarmmeldung zu entlocken.

Ziel soll es sein, das der PCM den Administrator sofort alamiert welche MAC mit welcher IP sich an welchen Port gesteckt hat.

Sollte sich jemand mit dieser Kombination (PCM + HP2524) auskennen und mir bei diesem Problem helfen können, wäre ich sehr dankbar.

Ich kann noch detailliertere Informationen bieten, das würde hier aber vorläufig den Rahmen sprengen.

Vielen Dank
Ralle

 

[iGDark]

hi,

ich kenne mich nur mit cisco und alcatel-switches aus. aber letzten endes wird HP wohl genauso funktionieren.

bei alcatel muss man auf den switches z.B. erst einen User anlegen, und diesem SNMP rechte geben (read/write in diesen fall). wenn ich dann omnivista verwende (entspricht deinem PCM) kann ich dort beim discovery die daten der switches eingeben (snmp, telnet-login, etc.).

leider weiß ich wie gesagt nicht, ob die procurves ähnlich arbeiten.
aber hast du auf den switches die jeweiligen SNMP-User mit r/w-access eingerichtet die du im Programm angegeben hast? kannst du alles andere (ausser port mirroring oder so) an dem switch bearbeiten vom pcm aus (z.b. interfaces, hostname, vlan, usw...)

denn wenn das schon nicht geht, scheint irgend ein verbindungsproblem vorzuliegen (sprich access denied).

Ziel soll es sein, das der PCM den Administrator sofort alamiert welche MAC mit welcher IP sich an welchen Port gesteckt hat.

überwachung ftw würd ich da sagen *lach*

 

[Millers Ralle]

Hi,

schonmal danke für die Antwort. Also SNMP arbeitet einwandfrei. Ich kann über den PCM per TelNet auf den Switch zugreifen. Beim Autodiscovery checkt er auch die SNMP Verbindung, ohne funktionierende quitiert er mit einer Fehlermeldung und findet den Switch nicht (z.B. testweise falsches pw oder falsche SNMP Group).
Hab auch per Wireshark den SNMP Verkehr beobachtet, sprich PCM fragt und der Switch antwortet.
Würde ja ein anderes "Tool" nutzen, leider gestatten die ProCurve Switches SNMP write nur per PCM (meines Wissens).
Das Konfigurieren von VLAN´s uns Subnets funzt per PCM. Auch diverse Porteinstellungen wie Tagging usw. RMON habe ich auch zum Laufen gebracht, das bringt mir aber "nur" Meldungen wenn z.B. der eingestellte Transferpeak überschritten ist, also nichts sicherheitsrelevantes.

Ziel ist es nicht Mitarbeiter zu überwachen, sondern nur Schutz zu bieten, ehrlich !!!
Habe ich etwas falsch ausgedrückt.

Ralle

 

[iGDark]

okay nächster step wäre, zu überprüfen, ob der version von PCM mit dem Software-Release deiner ProCurves 100% kompatibel ist (ich denke zwar mal schon, aber man weiß es ja nie).

Hat HP eine Bug-Datenbank? Vielleicht lässt sich dort etwas heraus finden.

Zudem kannst du probieren, die HP-Procurves mal zu updaten.

Eben so wenig ist es mir gelungen, dem PCM auch nur irgendeine Art von Fehlermeldung/Alarmmeldung zu entlocken.

musst du hierfür eventuell dem PCM sagen, welche Traps er überhaupt als alarm aufnehmen soll? Wieder mal beispiel alcatel: ich kann einen Switch in die Überwachung nehmen. Allerdings liefert mir das OmniVista (==PCM) keine Traps. Diese muss ich erst für das Gerät konfigurieren (sprich dem PCM sagen, dass er alle Traps auffassen soll, oder das er nur ein Event zeigt, wenn ein Port Up oder Down gegangen ist).

Wie gesagt, tut mir leid, aber ich kenne PCM nicht. Ich kann dir daher nur Vergleichsfragen von anderen Herstellern fragen, mit denen ich schon konfrontiert wurde

 

[Millers Ralle]

Also die Firmware haben wir auch schon auf den aktuellen Stand gebracht. Auch haben wir die HP Specs verglichen und sind zum Schluss gekommen das alles kompatibel ist (PCM+HP2524).
Per Webinterface haben wir die Violation Actions der Switches auf send trap gestellt und dem PCM gesagt das jede Komponente die Traps an den AgentManager (PCM) sendet. Ich bin keine Netzwerkprofi, aber ich bin ganz fest der Meinung, mich auch an das PCM Handbuch gehalten zu haben, das das so richtig sein sollte.

Bin für Feedback sehr dankbar, sitze schon seit Wochen am Konfiggen und verliere so langsam die Lust. Natürlich wäre es ratsam einen PCM-Kurs zu machen, nur den kann ich mir leider nicht leisten.

 

[Masamune2]

Die 2524er Switche sind nicht mehr die neusten und einige Funktionen funktionieren hier zusammen mit dem PCM leider einfach nicht: http://cdn.procurve.com/training/Manuals/PCM_Supported_Devices.pdf

Mirroring wirst du vergessen können und auch das MAC Lockout wird nicht unterstützt. Warum du keine Meldungen vom Event Log bekommst kann ich mir jetzt allerdings spontan nicht erklären.

Schau mal auf dem Switch per CLI ob du im Menü (einfach "menu" auf dem CLI) dir das Log anschauen kannst. Hast du den PCM als Trapreceiver eingetragen? ("snmp-server host $PCM-IP all $trap-community" und "logging $PCM-IP")

 

[Millers Ralle]

Hi,

die "lustige Tabelle" hab ich auch schon gecheckt. Da steht sogar das die Switches QoS können sollen...aber im PCM steht dann "not supported"...

Ich bekomme schon Event-Meldungen wie "Link active on port number 14"... die kann ich auch quittieren.

Ich habe im AgentManager-Discovery-General-"Automatically register as trap receiver for new devices" aktiviert.

Ich habe mir jetzt die SNMP MIBS runtergeladen, dachte es könnte daran liegen. Wo werden diese MIBS installiert?

Ich würde gerne Alarmmeldungen über Eindringle etc... erhalten, ich verzweifle hier langsam, findet man eine Option vergisst man schon wieder wo die andere war...

Wo gebe ich diesen String ein snmp-server host $PCM-IP all $trap-community" und "logging $PCM-IP "

 

[Masamune2]

Die MIBs für die Switche bringt der PCM eignetlich mit, die liegen in nem Unterordner wenn ich mich richtig erinnere. Hab zur Zeit leider keinen Zugriff auf unseren ums nachzuschauen...

Poste doch mal deine Switchkonfig ("show run")

 

[Millers Ralle]

J4813A Configuration Editor; Created on release #F.05.72

hostname "HP ProCurve Switch 2524_2"
snmp-server contact "Max.Mustermann@email.de"
snmp-server location "Technikerschule"
max-vlans 2
cdp run
mirror-port 13
interface 1
unknown-vlans Block
no lacp
exit
interface 2
unknown-vlans Block
no lacp
exit
interface 3
unknown-vlans Block
no lacp
exit
interface 4
unknown-vlans Block

-- MORE --, next page: Space, next line: Enter, quit: Control-C
no lacp
exit
interface 5
unknown-vlans Block
no lacp
exit
interface 6
unknown-vlans Block
no lacp
exit
interface 7
no lacp
exit
interface 8
no lacp
exit
interface 9
no lacp
exit
interface 10
no lacp
exit
interface 11

-- MORE --, next page: Space, next line: Enter, quit: Control-C
no lacp
exit
interface 12
no lacp
exit
interface 13
no lacp
exit
interface 14
no lacp
exit
interface 15
no lacp
exit
interface 16
no lacp
exit
interface 17
no lacp
exit
interface 18
no lacp
exit

-- MORE --, next page: Space, next line: Enter, quit: Control-C
interface 19
no lacp
exit
interface 20
no lacp
exit
interface 21
no lacp
exit
interface 22
no lacp
exit
interface 23
no lacp
exit
interface 24
no lacp
exit
interface 25
no lacp
exit
interface 26
no lacp

-- MORE --, next page: Space, next line: Enter, quit: Control-C
exit
trunk 24 Trk1 Trunk
ip default-gateway 192.168.2.1
no timesync
snmp-server community "public" Unrestricted
snmp-server host 192.168.56.1 "public" All
snmp-server host 192.168.2.12 "public" All
snmp-server host 192.168.3.11 "public" All
snmp-server host 192.168.2.11 "public" All
snmp-server host 192.168.2.11 "public"
snmp-server host 192.168.3.11 "public"
vlan 1
name "VLAN-1"
forbid 13-23
untagged 1-12,25-26
ip address 192.168.2.2 255.255.255.0
tagged Trk1
no untagged 13-23
ip igmp
exit
vlan 2
name "VLAN-2"
forbid 1-12

-- MORE --, next page: Space, next line: Enter, quit: Control-C
untagged 13-23
ip address 192.168.3.2 255.255.255.0
tagged Trk1
ip igmp
exit
fault-finder bad-driver sensitivity high
fault-finder bad-transceiver sensitivity high
fault-finder bad-cable sensitivity high
fault-finder too-long-cable sensitivity high
fault-finder over-bandwidth sensitivity high
fault-finder broadcast-storm sensitivity high
fault-finder loss-of-link sensitivity high
ip authorized-managers 192.168.2.12
ip authorized-managers 192.168.2.11
ip authorized-managers 192.168.2.10
ip authorized-managers 192.168.3.10
ip authorized-managers 192.168.3.11
ip authorized-managers 192.168.3.12
gvrp
stack commander "Rudi"
stack auto-grab
stack member 1 mac-address 00088349d400
aaa authentication port-access eap-radius

-- MORE --, next page: Space, next line: Enter, quit: Control-C
port-security 1 action send-alarm mac-address 00c09a2a2be8
port-security 2 action send-alarm
port-security 3 action send-alarm
port-security 4 action send-alarm
port-security 5 action send-alarm
port-security 6 action send-alarm

port-security 7 action send-alarm
port-security 8 action send-alarm
port-security 9 action send-alarm
port-security 10 action send-alarm
port-security 11 action send-alarm
port-security 12 action send-alarm
port-security 13 action send-alarm
port-security 14 learn-mode static action send-alarm mac-address 0018d3873a43
port-security 15 action send-alarm
port-security 16 action send-alarm
port-security 17 action send-alarm
port-security 18 action send-alarm
port-security 19 action send-alarm
port-security 20 action send-alarm
port-security 21 action send-alarm
port-security 22 action send-alarm
port-security 23 action send-alarm
port-security 25 action send-alarm
port-security 26 action send-alarm
no aaa port-access authenticator active
spanning-tree Trk1 priority 4
password manager

 

[Masamune2]

Schau mal was es für Möglichkeiten beim Befehle "logging" gibt. Laut Handbuch lassen sich die Events bei dem Modell nicht an den PCM weiterleiten, bei den 2600ern z.B. geht das.

max-vlans solltest du immer auf dem höchsten Wert den diese Firmware unterstützt lassen da zum Ändern ein Neustart des Switches nötig ist.
Der Trunk der auf Port 24 eingerichtet ist gibt keinen wirklichen Sinn da er nur einen Member hat. Vorsicht hier bei den Bezeichnungen: Bei Procurve (und den meisten anderen Herstellern) bezeichnet ein Trunk das zusammenfassen mehrerer Leitungen zu einer logischen Leitung um die Bandbreite und die Ausfallsicherheit zu erhöhen. Bei Cisco bezeichnet ein Trunk einen Port der auf allen VLANs tagged ist. Eine Verbindung von mehreren Leitungen ist hier ein Channel.

 

[Millers Ralle]

Danke für den Tip mit den max VLANS, werde ich ändern. Zum Trunk muss ich sagen, dass dieser funktioniert, d.h. VLAN 1 oder 2 werden durchgeschaltet an den anderen Switch.
Unser Trunk ist getagged weil wir über eine physikalische Leitung mehrere VLANS schicken.

Die Eventweiterleitung funktioniert auch, habe eine fault MAC angeschlossen und prompt einen Eventeintrag im PCM erzeugt, inkl. Trap-Report.

Ich finde das aber etwas zu konfus, sich dort Informationen über "Eindringlinge" zu holen.
Ich hoffe eben Alarme auf dem "Network Immunity Manager" erzeugen zu können.

RMON funktioniert auch insofern, dass ich bei Über- oder Unterschreitung der gewählten Parameter einen Event (critical) erzeugen kann.

Leider haben meine Kollegen die Switches über das WE mitgenommen.
Schonmal vielen Dank für die Mühe, ich werde mich wieder melden sobald mir wieder ein Switch zur Verfügung steht.

Grüße
Ralle

 

[Masamune2]

Solange der Port in allen VLANs tagged ist funktioniert er auch, es muss aber kein Trunk sein, das funktioniert mit jedem Port. Einen Trunk macht man dann wenn man zwei Switches mit einer höheren Bandbreite verbinden will oder bei Ausfall einer Leitung die Verbindung bestehen bleiben soll. Dazu müssen in dem Trunk aber ja mindestens zwei Leitungen zusammengefasst werden.