Beiträge

Aruba NetEdit – Grafische Geräteorchestrierung für ArubaOS-CX

Zusammen mit den ArubaOS-CX Switches bietet Aruba mit NetEdit eine Software an, die die klassische CLI-basierte Switchkonfiguration weiterentwickelt. Noch immer ist diese Art der Verwaltung für die meisten professionellen Netzwerk Admins Mittel der Wahl. Ein wichtiger Kritikpunkt am CLI ist jedoch die mangelnde Skalierbarkeit, welche sich vor allem in größeren Switchumgebungen nachteilig auswirkt. Das Ausrollen von Änderungen auf einer großen Anzahl Switches kann hierdurch zu einer langwierigen und fehleranfälligen Angelegenheit werden. Hier setzt NetEdit an, indem es ermöglicht, Konfigurationen auf Switches parallel und entlang eines standardisierten Workflows vorzunehmen.

Es lassen sich Konfigurationsregeln festlegen, Switches anhand von Topologiedarstellungen beobachten, ausgerollte Konfigurationen automatisierten Tests unterziehen, damit Sie eine korrekte Funktion sicher stellen können. Darüber hinaus glänzt NetEdit mit vielen weiteren Features. Und bei all diesen Funktionen und der modernen grafischen Benutzeroberfläche schafft es Aruba dennoch ein wenig von dem guten alten CLI-Gefühl aufrecht zu erhalten. Wir wollen euch Aruba NetEdit in diesem Blogbeitrag vorstellen und auf die wesentlichen Features des Programms eingehen.

NetEdit Geräteverwaltung

Die von NetEdit verwalteten Geräte werden in der Benutzeroberfläche entweder tabellarisch oder in einer grafischen Darstellung der physikalischen Netzwerktopologie angezeigt.

Aruba NetEdit Topologie

Abbildung 1: Physikalische Netzwerktopologie in Aruba NetEdit

Abbildung 1 stellt die Topologieansicht mit zwei Switches dar. Die Ansichten liefern neben der reinen Anzeige eine Reihe an Filterfunktionen, um nur bestimmte Geräte anzeigen zu lassen. Den Filter können Sie dafür mit logischen Ausdrücken oder anhand grafisch dargestellter Auswahlmöglichkeiten beschreiben. Die von NetEdit verwalteten Geräte können Sie entweder einzeln hinzufügen oder sogar einen Netzabschnitt bestimmen, welcher von NetEdit in regelmäßigen Abständen durchsucht wird. In dem Netzabschnitt gefundenen Geräte werden so automatisch hinzugefügt. So behalten Sie immer den Überblick über Ihr Netzwerk. Die Stärken der Topologiedarstellung werden insbesondere in sehr großen Netzwerkumgebungen deutlich. Tabellarische Darstellungen bilden im Gegensatz zu grafischen Darstellungen häufig nur Teilinformationen ab. Einfache Zusammenhänge wie Clusterzugehörigkeiten oder nicht vorgesehene Unterschiede in der Konfiguration sind durch die Linienführung und farbliche Gestaltung in der topologischen Darstellung einfacher zu erfassen.

Häufig genutzte Teilabschnitte des Netzwerks können Sie über die Filterfunktion abspeichern und so in wenigen Schritten exklusiv im Fenster darstellen. Den Filter beschreiben Sie mithilfe von Key-Value-Paaren, welche Sie beliebig mit den Operatoren “AND”, “OR” und “NOT” verketten können. Ein Filter für alle Geräte aus dem Netzwerk 10.1.1.0/24 würde ausgedrückt als “ip:10.1.1.*”. Das * ist eine sogenannte Wildcard und steht für eine nicht definierte Anzahl beliebiger Zeichen. Neben der IP-Adresse existieren zahlreiche weitere Label, auf Basis derer das Netzwerk nach konkreten Switches durchsucht werden kann.

NetEdit Gerätekonfiguration

Mit Netedit sind Sie in der Lage, nicht nur Gerätekonfigurationen für einzelne Switches zu tätigen, sondern direkt für mehrere Geräte gleichzeitig oder gar den kompletten Netzabschnitt.

Abbildung 2: Editor von Aruba NetEdit

Der dafür zur Verfügung gestellte Editor befindet sich mit in der Browseroberfläche, wie in Abbildung 2 zu sehen ist. Dieser stellt Ihnen ganz im Stile der CLI-Konfiguration eine Befehlsvervollständigung zur Verfügung. Darüber hinaus schlägt er Ihnen auch alle weiteren Befehlsmöglichkeiten vor und markiert eventuelle Fehler. Sollten Sie mehr als nur einen Switch konfigurieren wollen, bietet der Editor ebenso die Möglichkeit, die eingegebenen Wert pro Switch zu variieren. Werte, bei denen eine solche Möglichkeit besteht, highlightet der Editor, um Ihnen den Umgang mit diesem Feature zu erleichtern. Des Weiteren werden im sogenannten Insights-Fenster kontextbasierte Informationen zu den einzelnen Konfigurationsmöglichkeiten dargestellt. Konfigurieren Sie z.B Einstellungen für ein Interface, werden im Insights-Fenster per LLDP Informationen zu den am Interface angeschlossenen Geräten dargestellt.

NetEdit Gerätekonformität

Mithilfe der Konformitätskriterien, die Sie mit NetEdit definieren können, vereinfacht NetEdit die Pflege einer homogenen Konfigurationsstruktur. So können Sie beispielsweise Mindestanforderungen für getätigte Konfigurationen schaffen, welche Sie vor dem Ausrollen einer neuen Konfiguration automatisch überprüfen lassen. Alle von NetEdit verwalteten Switches werden auf Basis dieser Kriterien beobachtet. Erfüllt ein Switch ein Kriterium nicht, alarmiert Sie NetEdit. Durch homogene Konfigurationsstrukturen behalten Sie einfacher den Überblick über ihre Switch-Konfigurationen. Das kommt besonders dann zum Tragen, wenn Ihre Switches durch mehr als eine Person verwaltet werden. Die daraus folgende Zeitersparnis wirkt sich besonders positiv während des Troubleshootings aus.

NetEdit Konfigurationsvalidierung

Nachdem Sie eine Konfiguration getätigt haben, kann NetEdit das Netz durch automatisierte Tests überprüfen. So sind Sie in der Lage, mithilfe von NetEdit sicherzustellen, dass durch die veränderte Konfiguration noch alle Funktionen im Netzwerk verfügbar sind.

Aruba NetEdit Dashboard ArubaOS-CX

Abbildung 3: Plandetails in Aruba NetEdit

Abbildung 3 zeigt das Kontextmenü eines Plans, indem Sie die Validierungsergebnisse betrachten können und Aktionen wie Ausrollen, rückgängig Machen und Abschließen des Plans tätigen können. Die Konfigurationsvalidierung erfolgt in dem Zusammenhang, noch bevor die Konfiguration komplett ausgerollt wurde. So ist es möglich, ein Troubleshooting zu betreiben, noch bevor es zu den eigentlichen Problemen kommt. Als Validierung lassen sich beliebige Befehle auf allen ssh-fähigen Geräten ausführen. Auf diese Art können Shellskripte auf Server ausgeführt werden oder beispielsweise Routingstrecken überprüft werden. Die Validierungen werden jeweils vor und nach dem Ausrollen der Konfigurationen ausgeführt, sodass Sie im Anschluss die jeweiligen Ausgabewerte miteinander vergleichen können.

 

 

NetEdit arbeitet neben den Konfigurationsfeatures Hand in Hand mit Aruba NAE und ist so in der Lage, auf Basis von Python-Skripten System- und Netzwerkdaten zu sammeln, auf deren Basis es automatisierte Fehlerbehebungen ausführen kann. Entstehen Fehlersituation kann NetEdit auf Basis der jeweiligen Fehler den Operator mittels Tools wie ServiceNow oder Slack informieren.

NetEdit wird von Aruba in Form einer virtuellen Maschine angeboten, welche bis zu einer Zahl von 25 verwalteten Geräten mit vollem Funktionsumfang kostenlos nutzbar ist. Bei mehr als 25 verwalteten Geräte fallen pro Gerät Kosten an.

Haben wir Ihr Interesse an Aruba NetEdit wecken können? Unser Team freut sich schon drauf, Sie bei Ihren Projekten mit ArubaOS-CX und NetEdit unterstützen zu können. NetEdit ist unter anderem Bestandteil unserer ArubaOS-CX Schulungen. Alle aktuellen Schulungen finden Sie hier.

Arubas offizielles Datenblatt zu NetEdit finden Sie hier.

 

Sicherheitskritisches ArubaOS CX Firmwareupdate

Achtung dringendes ArubaOS CX Firmwareupdate!

ArubaOS-CX Switch 8325

ArubaOS-CX Switch 8325

Für alle Betreiber von ArubaOS CX Switches mit Firmware Version 10.04.3021 oder 10.04.1000 und älter empfiehlt sich dringend ein Firmwareupdate. Betroffen sind die Serien:

  • 8400
  • 8325
  • 8320
  • 6400
  • 6300
  • 6200

Bei den angegebenen Firmwareversionen wurden Memory Corruption Vulnarabilities gefunden. Gelingt es Angreifern diese auszunutzen, können sie dadurch Ausfälle der Protokolle LLDP (Link Layer Discovery Protocol) und CDP (Cisco Discovery Protocol) produzieren.

LLDP ist ein Protokoll, das es Netzwerkkomponenten erlaubt, Informationen übereinander auszutauschen. So können Sie beispielsweise die am Switch direkt verbundenen Access-Points und deren IP- und MAC-Adressen ermitteln. CDP ist ein von Cisco entwickeltes Protokoll, das ähnliche Funktionalität bietet wie LLDP.

Unter speziellen Umständen können die Angreifer sogar eine Remote Code Execution erwirken, sodass die Kontrolle über die angegriffenen Geräte übernommen werden kann. Grundsätzlich müssen sich die Angreifer dafür aber im gleichen Layer-2 Netzwerk befinden wie die Switches. Wer seine Netzwerk-Ports und seine SSIDs also abgesichert hat, kann in Ruhe die Updates planen und einspielen. Wenn Sie dies noch nicht getan haben und Unterstützung bei den Updates und/oder der Absicherung der Netzwerkinfrastruktur benötigen, können Sie sich gerne bei uns melden. Wir freuen uns schon auf Ihren Anruf.

Wenn Sie uns kontaktieren möchten finden Sie nähere Informationen hier: https://www.ingentive.net/kontakt/kontaktformular/

Falls Ihre Systeme im VSX-Cluster laufen, können Sie ein ArubaOS CX Firmwareupdate ohne Ausfall ihrer Switches durchführen. Mehr Informationen zum VSX-Software-Upgrade finden Sie unter: https://www.ingentive.net/blog/beitraege/arubaos-cx-vsx-software-upgrade/

Originaler Aruba Beitrag: https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-009.txt

Aruba 6405 CX Switch

ArubaOS-CX Unterbrechungsfreie Firmware-Updates

Die ArubaOS-CX Switches der Serien 6400, 8300 und 8400 bringen das Feature VSX (Virtual Switching Extension) mit, bei der zwei Switches in einem Cluster eingesetzt werden können. Im Gegensatz zu den aus der Aruba-Welt bekannten Clustertechnologien wie IRF (Comware Switches) und VSF (ArubaOS-S Switches) bilden die Komponenten dabei nicht vollständig eine logische Einheit, sondern erscheinen nur auf Layer 2 als solche. Dies ermöglicht beispielsweise die redundanztechnisch wichtige Multichassis Link Aggregation (MLAG, auch VSX LAG genannt). Control- und Management Planes der Switches bleiben jedoch getrennt. Hierdurch sind insbesondere beide Switches separat zu verwalten, was durchaus als Nachteil dieser Lösung gegenüber den oben genannten Technologien betrachtet werden kann. Einer der wichtigsten Vorteile der geringeren Integration zwischen Komponenten ist jedoch, dass sich im ArubaOS-CX Cluster unterbrechunsfreie Firmware Updates deutlich einfacher umsetzen lassen als man es beispielsweise von IRF her kennt.

Mit ISSU (In Service Software Upgrade) hat man bei IRF bereits ein Upgradeverfahren, welches die Aktualisierung von Switches in einem Cluster im laufenden Betrieb ohne Unterbrechung produktiver Datenströme ermöglicht. Dies ist technisch nicht trivial, da für einen Clusterbetrieb immer auch eine identische Softwareversionen Voraussetzung sind. Diese Bedingung muss im Rahmen eines Upgrades jedoch zwangsläufig zumindest temporär verletzt werden. ISSU ermöglicht ein solches Upgrade, jedoch sind die Prozeduren dahinter kompliziert und, insbesondere im Fall eines incompatible ISSU, fehleranfällig.

VSX ermöglicht nun eine viel einfachere Vorgehensweise, da hier nicht die Notwendigkeit gemeinsamer Control- und Managementplanes besteht. Vielmehr sind diese logischen Einheiten vor, während und nach einem Upgrade jeweils ohnehin separiert. Für das Upgrade wurde ein einfaches CLI-Kommando vorgesehen, der Rest geschieht automatisch.

Wir wollen hier einen Überblick über ArubaOS-CX Firmware Updates geben und überprüfen, inwieweit man dabei wirklich von einem “hitless” Upgrade, also ohne den Verlust produktiver Daten während des Upgrades, sprechen kann.

Hierzu haben wir zwei Aruba 8325 Switches in ein VSX Setup gebracht. An die 8325 wurden zwei Aruba 2930F-8G als Access Switches für den Test angeschlossen.

In der folgenden Darstellung ist der Versuchsaufbau zu sehen:

Schematische Darstellung

Versuchsaufbau ArubaOS-CX Fimrware Update

VSX-Konfiguration auf den 8325:

8325-1(config)# interface lag 128
8325-1(config-lag-if)# no routing
8325-1(config-lag-if)# no shutdown
8325-1(config-lag-if)# lacp mode active
8325-1(config-lag-if)# exit
8325-1(config)# interface 1/1/47
8325-1(config-if)# no shutdown
8325-1(config-if)# lag 128
8325-1(config-if)# interface 1/1/48
8325-1(config-if)# no shutdown
8325-1(config-if)# lag 128

8325-2(config)# interface lag 128
8325-2(config-lag-if)# no routing
8325-2(config-lag-if)# no shutdown
8325-2(config-lag-if)# lacp mode active
8325-2(config-lag-if)# exit
8325-2(config)# interface 1/1/47
8325-2(config-if)# no shutdown
8325-2(config-if)# lag 128
8325-2(config-if)# interface 1/1/48
8325-2(config-if)# no shutdown
8325-2(config-if)# lag 128

8325-1(config)# vsx
8325-1(config-vsx)# inter-switch-link lag 128
8325-1(config-vsx)# role primary

8325-2(config)# vsx
8325-2(config-vsx)# inter-switch-link lag 128
8325-2(config-vsx)# role secondary

Auf einen Keepalive-Link haben wir verzichtet, da dieser keinen Einfluss auf die Versuchsanordnung bzw. den durchzuführenden Test hat.

Die 2930er wurden über die MLAGs LAG1 und LAG2 jeweils an beide Chassis angeschlossen. Hier zunächst die MLAG Konfiguration der 8325er:

8325-1(config)# interface lag 1 multi-chassis
8325-1(config-lag-if)# no routing
8325-1(config-lag-if)# no shutdown
8325-1(config-lag-if)# lacp mode active
8325-1(config-lag-if)# exit
8325-1(config)# interface 1/1/1
8325-1(config-if)# no shutdown
8325-1(config-if)# lag 1

8325-1(config)# interface lag 2 multi-chassis
8325-1(config-lag-if)# no routing
8325-1(config-lag-if)# no shutdown
8325-1(config-lag-if)# lacp mode active
8325-1(config-lag-if)# exit
8325-1(config)# interface 1/1/2
8325-1(config-if)# no shutdown
8325-1(config-if)# lag 2

8325-2(config)# interface lag 1 multi-chassis
8325-2(config-lag-if)# no routing
8325-2(config-lag-if)# no shutdown
8325-2(config-lag-if)# lacp mode active
8325-2(config-lag-if)# exit
8325-2(config)# interface 1/1/1
8325-2(config-if)# no shutdown
8325-2(config-if)# lag 1

8325-2(config)# interface lag 2 multi-chassis
8325-2(config-lag-if)# no routing
8325-2(config-lag-if)# no shutdown
8325-2(config-lag-if)# lacp mode active
8325-2(config-lag-if)# exit
8325-2(config)# interface 1/1/2
8325-2(config-if)# no shutdown
8325-2(config-if)# lag 2

Und hier die LACP Trunk Konfiguration der 2930er:

2930-1(config)# trunk 9,10 trk1 lacp

2930-2(config)# trunk 9,10 trk1 lacp

Allen Switches wurde im VLAN 1 eine IP Adresse im Bereich 192.168.1.0/24 zugeteilt:

8325-1(config)# interface vlan 1
8325-1(config-if-vlan)# 192.168.1.10/24

8325-2(config)# interface vlan 1
8325-2(config-if-vlan)# 192.168.1.11/24

2930-1(config)# vlan 1
2930-1(vlan-1)# ip address 192.168.1.1/24

2930-2(config)# vlan 1
2930-2(vlan-1)# ip address 192.168.1.2/24

An den 2930F Switch mit der IP Adresse 192.168.1.1 wurde dann ein PC mit TFTP Server mit der IP Adresse 192.168.1.100 angeschlossen.

Vorbereitung

In diesem Ausgangszustand liefen die ArubaOS-CX Switches mit der Softwareversion 10.04.0030.

Auf dem TFTP Server wurde die Softwareversion 10.05.0011 hinterlegt.

Auf dem Screenshot ist zu sehen, dass VSX In-Sync ist.

VSX Status

Um festzustellen, ob es während des Softwareupdates einen Verbindungsabbruch gibt, startet man von 2930-1 zu 2930-2 einen “Dauerping”.

ArubaOS-CX Fimrware Update

Während des laufenden “Pings” wird nun auf dem primären 8325 das “vsx update” Kommando gestartet:

8325-1# vsx update-software tftp://192.168.1.100/ArubaOS-CX-10-05-0011.swi

VSX Update Start

Nach dem Start ist zu sehen, dass beide Switches den Download der Datei gestartet haben. Außerdem sieht man, dass der Link zwischen beiden Switches noch aktiv ist.

VSX Update Status 1 ArubaOS-CX Fimrware Update

Nachdem beide Switches die Software heruntergeladen haben, initiiert der secondary VSX Switch einen Reboot.

VSX Update Status 2 ArubaOS-CX Fimrware Update

Während des Reboots sieht man, dass der Inter Switch Link auf „Down“ geht. Der Secondary ist nun im Boot Prozess. Es sind keine Ping Verluste zu beobachten.

ArubaOS-CX Fimrware Update

Nachdem der Secondary das Update erfolgreich durchgeführt hat, wartet der Primary auf einen abgeschlossenen VSX Sync.

VSX Update Status 3 ArubaOS-CX Fimrware Update

Nachdem der Sync erfolgreich beendet wurde, initiiert nun seinerseits der Primary Switch einen Reboot.

VSX Update Status 4 ArubaOS-CX Firmware Updates

VSX Update Status 5 ArubaOS-CX Firmware Updates

Während des Update Prozesses rebootet der Switch 3 Mal. Es sind leicht schwankende Antwortzeiten, aber nach wie vor keine Ping Verluste zu erkennen.

VSX Update Status 6

VSX Update Status 7 ArubaOS-CX Firmware Updates

Nach dem Reboot steht der Switch wieder zum Login zur Verfügung.

VSX Update Status 8 ArubaOS-CX Firmware Updates

VSX ist wieder im Sync und beide Switches sind voll einsatzbereit.

VSX Status nach ArubaOS-CX Firmware Updates

Ergebnis

VSX Upgrade stellt eine einfach anzuwendende Prozedur dar, um in einem VSX Cluster ein Upgrade durchzuführen. Wir konnten demonstrieren, dass ein Upgrade ohne Verlust produktiver Daten in einfachen Szenarien möglich ist.