HP in Service Software Upgrade (ISSU) eines FlexFabric IRF Clusters

Software Updates auf Netzwerk-Infrastruktur ist ein heikles Thema. Einerseits muss man aus Gründen der Sicherheit die Software stets aktuell halten, andererseits ist ein Update mit einem Reboot der Hardware verbunden und damit mit Unterbrechung der Anbindung.

Einen Branch-Switch, der nur PC, Telefonie und Drucker bedient, kann man außerhalb der Arbeitszeiten durchaus neu starten. Sogenannte Endpoint Geräte verkraften einen Kontaktverlust in der Regel problemlos. Schwieriger wird es bei Core-Komponenten oder Top-of-Rack (TOR) Switches. Diese versorgen Server, oder andere Infrastruktur Komponenten, welche sehr empfndlich auf Unterbrechungen reagieren. Aus diesem Grund werden Core- und TOR-Switches auch redundant ausgelegt, so dass der Ausfall einer Einheit nicht den 24/7/365 Betrieb der Serversysteme gefährdet.

In diesem Artikel behandle ich das Thema, wie man einen HPE IRF-Cluster der 5700er Serie mittels In Service Software Upgrades (ISSU) ohne Downtime aktualisieren kann.

Der große Vorteil der ISSU Funktion besteht darin, daß redundante Member eines IRF-Clusters nacheinander aktualisiert werden können, ohne die Funktion des Clusters zu unterbrechen.

Es gibt zwei ISSU Methoden:

  • Compatible upgrade: Beide Software Versionen können coexistieren. Die Funktion des Clusters bleibt beim Upgrade Prozess erhalten.
  • Incompatible upgrade: Alte und neue Software-Versionen sind nicht kompatibel. Das Verfahren erfordert einen Kaltstart und die Funktion des gesamten IRF-Clusters ist unterbrochen.

Ich werde hier das Szenario eines kompatiblen Upgrades schildern.

„HP in Service Software Upgrade (ISSU) eines FlexFabric IRF Clusters“ weiterlesen

IP subnet-based VLAN

Automatische VLAN Zuweisung auf Basis der IP Adresse

Ethernet ist ein gemeinsam genutztes Medium, das auf Basis des Carrier Sense Multiple Access/Collision Detection (CSMA/CD) Verfahrens funktioniert. Kollisionen und Broadcasts sind im Medium Ethernet allgegenwärtig. Mit Hilfe von virtuellen LANs (VLAN) kann ein Layer2 Switch das LAN in kleinere Broadcast-Domänen unterteilen. Durch VLANs wird das physische LAN somit in logische Einheiten unterteilt. Teilnehmer des selben VLAN können miteinander kommunizieren. Damit Teilnehmer unterschiedlicher VLAN miteinander in Kontakt treten können, bedarf es eines Layer3 Switches oder Routers. Broadcasts werden dabei nicht übertragen.
Typischerweise werden Ports an einem Switch einem VLAN zugeordnet. Standard ist das VLAN1. Die manuelle Zuweisung erfordert jedoch viel Disziplin und Dokumentation, um nicht Geräte versehentlich dem falschen VLAN zuzuordnen.
Ein fortschrittlicherer Ansatz ist die dynamische Zuordnung zum VLANs anhand der Subnetz-Zugehörigkeit. Hier hilft das Subnet based VLAN. „IP subnet-based VLAN“ weiterlesen

Firmware Upgrade HP 5700 Serie

Die HP Enterprise Switch-Serie 5700 bietet neben der herkömmlichen Upgrade Methode über serielle Verbindung oder FTP auch die Möglichkeit, das Firmware Image über den USB Port bereitzustellen.

USB Sticks im FAT32 Format werden erkannt und automatisch eingebunden (mount). Der Inhalt lässt sich in der CLI Session (seriell oder SSH) durchsuchen.

<HP> cd usba0:/
<HP> dir

Directory of usba0:

   0 drw-     -Jan 13 2016 12:52:04    5700_7.10.R2418P06

<HP> cd 5700_7.10.R2418P06/ 
<HP> dir
Directory of usba0:/5700_7.10.R2418P06

 0 -rw- 77973504 Aug 31 2015 08:06:54 5700-CMW710-R2418P06.ipe
 1 -rw- 12679168 Aug 31 2015 08:08:32 5700-cmw710-packet-capture-r2418p06.bin
 2 drw- - Jan 13 2016 12:52:02 5700_R2418P06_Netconf
 3 -rw- 3939272 Oct 22 2015 16:44:50 5700_R2418P06_Release-Notes-Portfolio.pdf

7835044 KB total (7713596 KB free)

Das Verzeichnis enthält ein .bin und ein .ipe File für das Upgrade. Für die Aktualisierung wird die ipe Datei in das Flash-Verzeichnis des Switches kopiert. Der Kopiervorgang wird aus dem Verzeichnis flash:/ gestarte (flashroot).

<HP> cd flash:/

Pfad und Filename können abweichen je nach Image. Hier 5700-CMW710-R2418P06.ipe im Ordner 5700_7.10.R2418P06.

Wichtig ist das Leerzeichen und der Punkt am Ende des Kommandos!

<HP> copy slot1#usba0:/5700_7.10.R2418P06/5700-CMW710-R2418P06.ipe .
<HP> Copy usba0:/5700_7.10.R2418P06/5700-CMW710-R2418P06.ipe to flash:/5700-CMW710-R2418P06.ipe?[Y/N]:

Dialog mit Y bestätigen und den Kopiervorgang abwarten.

Update

Das Update erfolgt mit dem Kommando:

<HP> boot-loader file flash:/5700-CMW710-R2418P06.ipe slot 1 main
Verifying image file............Done.

Images in IPE:

 5700-cmw710-boot-r2418p06.bin

 5700-cmw710-system-r2418p06.bin

This command will set the main startup software images. Continue? [Y/N]:

Die Abfrage mit Y bestätigen. Nach Abschluss des Updates kann der Bootloader kontrolliert werden.

Add images to target slot.
Decompressing file 5700-cmw710-boot-r2418p06.bin to flash:/5700-cmw710-boot-r2418p06.bin........................Done.
Decompressing file 5700-cmw710-system-r2418p06.bin to flash:/5700-cmw710-system-r2418p06.bin.......................................................................................................................................Done.
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.
<HP> display boot-loader
Software images on slot 1:

Current software images:

 flash:/5700-cmw710-boot-r2311p05.bin

 flash:/5700-cmw710-system-r2311p05.bin

Main startup software images:

 flash:/5700-cmw710-boot-r2418p06.bin

 flash:/5700-cmw710-system-r2418p06.bin

Backup startup software images:

 None

Nach dem Neustart ist das neue Image aktiv.

<HP> reboot

 

 

 

HP 5130 – Zugriff auf WEB-GUI einschränken

Der HP 5130 ist ein Layer 3 Switch und als solcher hat er nicht nur Switch-, sondern auch Routingfähigkeiten. Die einfachste Art des Routings erfolgt intern zwischen definierten VLANs. Sobald dem VLAN eine IP Adresse auf dem Switch definiert wurde, erhält dieser automatisch einen Eintrag in der Routingtabelle, welcher die Kommunikation zwischen den Subnetzen bzw. VLANs ermöglicht.

Was zunächst sehr komfortabel ist, mag aber aus Sicherheitsaspekten nicht unbedingt gewünscht sein. So erreicht man aus jedem VLAN die Management GUI des Switches oder die Konsole per SSH.

„HP 5130 – Zugriff auf WEB-GUI einschränken“ weiterlesen