Disclaimer: все дальнейшие рассуждения и действия не соответствуют политике технической поддержки Broadcom. Любое использование оборудования вне списков совместимости Broadcom может быть использовано только на свой страх и риск. В статье рассматриваются коммутаторы на основе G620 первого и второго поколения. BNA ничего не знает про новую функциональность FabricOS 9.x и не сможет с ней правильно взаимодействовать.
Для управления FC-фабриками мы используем Brocade Network Advisor, который прекратил свой жизненный путь и заменен на SANNav.
К сожалению, SANNav поставляется по подписки и у нас есть проблемы с её приобретением.
Первой проблемой для нас стало то, что последняя версия BNA 14.4.5 перестала интегрироваться с VMware vCenter 7.0. Пришлось интеграцию удалить.
Второй проблемой – отсутствие поддержки Fabric OS 9.x, которая стала базовой для новых и обновленных коммутаторов.
У нас коммутаторы G620 второго поколения отображались в схеме фабрик как имеющие неправильные имя-пароль для подключения. Изменение настроек в разделе snmp коммутаторов и сервера – задание уровня шифрования для пользователя мониторинга в BNA и коммутаторе, включения информера не помогали.
Просмотр текущих настроек snmp:
|
1 |
snmpconfig --show snmpv3 |
Изучение настроек BNA выявило, что для сканирования оборудования фабрик используется аккаунт domain\access_bna, то есть коммутаторы должны позволять вход под доменными учётными записями.
Настроили и для новых коммутаторов RADIUS- авторизацию:
|
1 2 3 |
aaaconfig --show aaaconfig --add radius_ip_address -conf radius -p 1645 -t 15 -s secret1234 -a pap -e none aaaconfig --authspec "radius;local" |
После этого коммутатор стал доступен для мониторинга и отобразился в схеме фабрики.
А вот коммутатор в другой фабрике по-прежнему остался недоступным. В консоли BNA выводилась ошибка с фразой:
|
1 |
certificates do not conform to algorithm constraints |
Начали выяснять отличия первого коммутатора от второго.
Вспомнили, что на первом ломала и пересоздавали сертификат для подключения по https, а второй избежал этой участи, так как проблема была в браузере – подключаться необходимо из Windows 10 с установленной кодовой страницей профиля пользователя EN-US.
Просмотр сертификатов для https выдается командой:
|
1 |
seccertmgmt show -cert https |
Разница видна сразу:
|
1 2 3 4 5 |
Crypto Algorithm у первого коммутатора Signature Algorithm sha1WithRSAEncryption у второго Signature Algorithm sha256WithRSAEncryption |
Команда генерации сертификата, по найденному лайфхаку, была:
|
1 |
seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha1 -years 10 |
Примечание: не все советы в интернете оказываются полезными. Помните это, читая и данную статью!
Создали новый сертификат с другим алгоритмом, соответствующий второму коммутатору:
|
1 |
seccertmgmt generate -cert https -type rsa -keysize 2048 -hash sha256 -years 10 |
После перегенерации сертификата, BNA увидел коммутатор и в этой фабрике.