Обновление ПО на Cisco Catalyst 3750G

У нас на руках наиболее популярный представитель Cisco Catalyst, уверенно прописавшийся в офисах и даже в начинающих дата-центрах. Чего мы делать, кстати, не рекомендуем, а советуем смотреть на коммутаторы с cut-through switching, например серию Nexus 3000.

Вернёмся к нашему подопытному. Серия 3750 – наиболее востребована на рынке б/у, так как зачастую предоставляет возможности, что при той же цене очень проблематично найти в новых. Возможности  коммутатора, из-за которых его часто выбирают среди других претендентов:

1. Производительность: от 6.5 миллионов пакетов в секунду (младшие 24-портовые модели без приставки G) до 38 миллионов пакетов в секунду (3750G)

Такая производительность нужна особенно при объединении коммутаторов в один так называемый «стек» - для объединения коммутаторов используются специальные порты Stackwise, что даёт возможность сэкономить дорогие аплинковые порты. При объединении в один стек коммутатора 3750G-12S с другими моделями, учтите, что на нём нужно сначала изменить распределение tcam-ресурсов через команду sdm pref – на нём по умолчанию установлен  уникальный шаблон aggregate, который не поддерживается на других моделях.

• Мак-адреса. Поддерживается от 6 тысяч ( sdm prefer desktop default, пресет по умолчанию для всей линейки 3750-3750G, кроме модели 3750G-12S), до 12 тысяч мак-адресов (пресет sdm prefer vlan). Учтите, что распределение tcam-ресурсов может например не дать вам возможность использовать L3-маршрутизацию между терминированными на коммутаторе вланами.
• Поддержка мультикаста. Корректно работают любые протоколы для мультикаста, включая PIM. Без упирания в ресурсы удаётся передать транзитом порядка 900 мегабит мультикаста.
• Шейпинг и полисинг. Да, можно нарезать трафик на втором и третьем уровне. Однако не забывайте, что серия 3750 была выпущена в 2004м году, и в 2012 была объявлена как end-of-sale (прекращение продаж). А за это время требования к пропускной способности что в условиях офисах, что домашних выросли многократно, и ресурсов коммутатора может не хватить.
• QoS, как необходимая часть для корректной работы пунктов 3 и 4. Нельзя забывать, что в своё время буфер коммутатора 3750 в 12 мегабайт считался гигантским, и его хватало всем. Это уже не так, и клиенты вынуждены бороться с output drops на данной серии коммутаторов, резервируя буфер коммутатора под критичный к потерям трафик. Впрочем, в обычных офисных задачах output drops не говорит о каких-то проблемах, и резервирование TCP незаметно для пользователя сглаживает отброшенные по пути оборудованием пакеты.
• L3-интерфейсы, до 1024 (в зависимости от модели). Основная рекомендуемая ниша для этой серии коммутаторов – обслуживание внутренних сетей. Например, отдельная сеть для серверов, отдельная для офисных десктопов, отдельная для управления оборудованием. Коммутатор позволяет использовать между этими сетями маршрутизацию со скоростью коммутации, что позволяет не использовать для этих же задач маршрутизатор или фаервол. Поддерживаются state-less ACL, при необходимости можно фильтровать обращения из сетей. Также можно легко изолировать сети друг от друга, так как поддерживается VRF-lite (virtual routing table), изоляция L3-сетей.
• Поддержка динамических протоколов маршрутизации. Как дистанционно-векторных (RIP, BGP) так и протоколов состояния связей (IS-IS, OSPF). Однако не стоит забывать, что это маршрутизирующий коммутатор, а не маршрутизатор, и например BGP full-view он не обработает (обычно необходимо при подключении к двум и более провайдерам со своей собственной сетью). При переполнении таблицы маршрутизации произойдёт маршрутизация на  CPU коммутатора, а это постоянная нагрузка 100% и производительность маршрутизации до 20 мегабит/с. Максимальное количество маршрутов также зависит от установленного sdm pref, и максимальное для шаблона aggregate – 20 тысяч маршрутов (3750G-12S), для остальной линейки 3750/3750G – 11 тысяч маршрутов, шаблон routing. Не забывайте, что при перераспределении ресурсов коммутаторы под маршрутизацию – уменьшится количество ресурсов под максимально возможное количество мак-адресов, или arp-записей.

Нужная модель коммутатора выбрана, и у нас стоит обычная задача предпродакшена – обновление ПО до стабильного. 

Для начала нужно проверить размер флешки, на которой в коммутаторе хранится образ прошивки. Проверяем просто командой dir, и смотрим Total – там будет или 32 мегабайта, или 16. Если флешка на 16 мегабайт – нужен образ с кодом LM в названии – low memory. Никакой деградации в производительности он не несёт, но с последними прошивками из веб-управления можно будет использовать только приложение Express Setup. Впрочем, веб-управление редко используется с таким оборудованием, и можно спокойно ставить LM-версии на коммутаторы с флешкой 32М.

Последнее доступное ПО для данной ветки мы скачали официально, это c3750-ipservicesk9-tar.122-55.SE12.tar. Если вы получили образ каким-то третьим путём, не забудьте зайти на сайт Cisco, найти имеющийся образ и проверить контрольные суммы.

Известны случаи, когда пользователи устанавливали модифицированный злоумышленниками софт.

Для проверки контрольных сумм используются команды:

1. на Linux – md5sum;
2. на FreeBSD/MacOS -– md5;
3. для Windows используется FCIV, или можно установить Unix-окружение, и использовать md5sum от Ubuntu.

Для установки нового ПО нужно или:

1. подключение по консольному кабелю, и закачка образа с помощью xmodem (медленный вариант, используется в основном при повреждении прошивки);
2. подключение в местную локальную сеть нашего коммутатора с настроенным DHCP. 

Выбираем второй вариант. У нас на коммутаторе в данный момент установлено старое ПО, которое не поддерживает HTTP или SCP, поэтому поднимаем привычный TFTP-сервер. Из популярных для Windows-систем это проверенный временем бесплатный TFTPD32

Если у вас Linux или FreeBSD – у вас уже tftp-сервер, для его запуска нужно настроить xinetd/inetd. Для xinetd нужно в файле конфигурации tftp поменять состояние сервиса, во FreeBSD просто раскомментировать строку, создать каталог mkdir /tftpboot, включить inetd (service inetd onestart).

Мы положили файл прошивки в тот же каталог, где лежит распакованная GUI-версия TFTPD32, удостоверились что каталог выбран в TFTPD32 для работы.

По умолчанию TFTP32 будет слушать на локальном интерфейсе 127.0.0.1, меняем на локальную сетевую карту, в этой же сети у нас появится L3-интерфейс коммутатора.

 

У нас всё готово для обновления прошивки, включаем коммутатор, подключаем к нему консоль. Так как коммутатор с настройками по умолчанию будет пытаться использовать протокол spanning-tree, на порту офисного коммутатора, куда включаем обновляемое оборудование, задаём настройку spanning-tree bpdufilter enable.

 

При загрузке сразу видим: 

• этот коммутатор раньше работал в стеке, поэтому ему нужно вернуть состояние по умолчанию. Делается в три команды. 

  conf t 

  switch 3 renumber 1

  reload

• Коммутатор с версией ПО, которая по умолчанию пытается загрузить файл конфигурации из сети. 

  conf t

  no service config

  exit

  copy running startup

Далее получаем новую версию прошивки, команда archive download-sw /overwrite /allow tftp://192.168.1.143/c3750-ipservicesk9-tar.122-55.SE12.tar

Прогресс пошёл! 

Прошивка у нас была на коммутаторе старая, поэтому после установки софта, и последующей команды reload, мы увидим обновление FPGA-микросхем при старте:

Важно помнить, что на этот момент коммутатор должен быть обеспечен бесперебойным питанием. Обновление займёт порядка 20 минут.

После перепрошивки внутренних устройств, с последующей контрольной перезагрузкой, мы видим рабочее приглашение установленной прошивки. Заходим, и перед заданием конфигурации не забываем выполнить команду no vstack из-за известной уязвимости