3com 5500 настройка коммутатора пример
В жизни любого начинающего системного администратора, появляется ситуация когда сетка начинает тормозить, во многих случаях причиной этому бывает кроме физики, неразделенный трафик которой broadcastами захламляет все подряд, когда провайдер воткнут в тот же свич, что и ваша основная сетка. Вот в таких ситуациях и выручают VLAN, что же это такое. (как сбросить на заводские настройки тут)
VLAN (аббр. от англ. Virtual Local Area Network) — логическая («виртуальная») локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная
сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
Обозначение членства в VLAN
Для этого существуют следующие решения
по порту(англ. port-based, 802.1Q): порту коммутатора вручную назначается одна VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько сетевых коммутаторов), то этот порт должен быть членом транка. Только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3Com, Planet, D-Link, Zyxel, HP — untagged, в терминологии Cisco, Juniper — native VLAN). Сетевой коммутатор будет добавлять метки данной VLAN ко всем принятым кадрам не имеющим никаких меток. VLAN, построенные на базе портов, имеют некоторые ограничения.
по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
по протоколу (Protocol-based): данные 3-4 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, IP-машины могут быть переведены в первую VLAN, а AppleTalk-машины во вторую. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к нарушению работоспособности сети.
методом аутентификации (англ. authentication based): устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x.
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-01
Идем в Web интерфейс, вбиваем ip в браузерную строку и логинимся.
В порт 1 подключен кабель от провайдера, который выдал нам пул внешних адресов. Во второй и третий порты подключены 2 физические машины, которые находятся во внутренней сети. Изначально все порты находятся во VLAN 1. Идем в меню Network - VLAN - Create. Добавляем VLAN 2 чтобы изолировать провайдера от нашей внутренней сети.
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-02
Жмем Modify VLAN. Здесь необходимо первому порту запретить членство VLAN 0001 (чтобы провайдер не видел нашу внутреннюю сеть) и применить настройки (apply)
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-03
Далее необходимо сконфигурировать VLAN 2. Для этого выбираем из списка VLAN 0002. Делаем первый порт (приходящий от провайдера) нетегированным чтобы его трафик был во VLAN2. А порты 2 и 3 делаем тегированными (зеленый цвет). Применяем настройки.
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-04
Идем в параметры портов и назначаем нашим внутренним машинам которые находятся на портах 2 и 3 PVID 1
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-05
Последним шагом осталось проверить параметры. Идем в раздел Port Detail. Отмечаем порты с 1-3
Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-06
Видим, что порт 1 (провайдер) находится во VLAN 2 и его трафик обычный (нетегированный)
Порты 2 и 3 тоже являются членами VLAN 2, но трафик VLAN 2 тегированный, плюс эти порты изначально находятся во VLAN 1 (т.е. в нашей локальной сети)
Сегодня пришлось столкнуться с очень старым коммутатором от давно почтившей нас компании 3Сom. Было необходимо настроить на коммутаторе 802.1x а так же авторизацию средствами NAP сервера от компании Microsoft на базе Server 2012R2.
На просторах интернета оказалось практически не возможно найти информацию о настройке коммутаторов 3Com и я решил сделать небольшую заметку себе на память (вдруг когда нибудь пригодится).
Настройка политик NAP сервера
Итак: политику настройки доступа к сети и переключения на нужный VLAN после авторизации можно посмотреть тут.
Для настройки авторизации средствами NAP необходимо создать дополнительную политику в условиях которой надо указать группу пользователей которым разрешена авторизация. Метод проверки подлинности установить Проверка открытым текстом (PAP, SPAP) . В атрибутах RADIUS указать стандартный атрибут Service-Type с значением Login . Данная политика универсальна и может применяться для авторизации на коммутаторах Сisco.
Настройка коммутатора 3Com
Настраиваем схему RADIUS сервера
radius scheme ИМЯ
server-type standard
primary authentication IP-адрес первичного сервера
primary accounting IP-адрес первичного сервера
secondary authentication IP-адрес вторичного сервера
secondary accounting IP-адрес вторичного сервера
accounting optional
key authentication ключ RADIUS-клиента
key accounting ключ RADIUS-клиента
timer realtime-accounting 15
timer response-timeout 5
retry 5
user-name-format without-domain
nas-ip IP-адрес коммутатора
calling-station-id mode mode2 uppercase
Настройка домена
domain ИМЯ
scheme radius-scheme ИМЯ RADIUS СХЕМЫ local
scheme lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
scheme login local
accounting lan-access radius-scheme ИМЯ RADIUS СХЕМЫ
authentication login radius-scheme ИМЯ RADIUS СХЕМЫ local
accounting login radius-scheme ИМЯ RADIUS СХЕМЫ local
vlan-assignment-mode string
access-limit enable 60
idle-cut enable 20 2000
После напишем Quite и укажем домен по умолчанию:
domain default enable ИМЯ ДОМЕНА
Настройка dot1x
Глобально применим настройки
dot1x
dot1x authentication-method eap
После этого настроим нужные нам порты коммутатора:
dot1x port-method portbased
dot1x guest-vlan НОМЕР VLAN
dot1x
dot1x re-authenticate
Нужные VLAN сети необходимо указать коммутатору.
Настройка авторизации
ssh authentication-type default password
ssh server authentication-retries 5
user-interface vty 0 15
authentication-mode scheme
Создать пароль на суперпользователя
super password level 3 ПАРОЛЬ
Отключить срок действия пароля
undo password-control aging enable
Поиск проблем
Для включения Debug на dot1x и RADIUS
debugging radius packet
debugging dot1x all
В этой заметке я расскажу - как управлять физическими Ethernet (FastEthernet, Gigabit Ethernet) портами (не VLAN-интерфейсами) на коммутаторах 3Com: на менюшных (4400, 4900, 4200 и т.д.) и командных - более новых (4500 и т.п.).
Тип менюшный - выгдялит вот так:
Menu options: --------------3Com SuperStack 3 Switch 4900---------------
bridge - Administer bridge-wide parameters
gettingStarted - Basic device configuration
logout - Logout of the Command Line Interface
physicalInterface - Administer physical interfaces
protocol - Administer protocols
security - Administer security
system - Administer system-level functions
trafficManagement - Administer traffic management
Тип командный - выглядит вот так:
<4500>%Apr 3 21:48:45:330 2000 4500 SHELL/5/LOGIN:- 1 - VTY(10.0.0.2) in unit1 login
<4500>system-view
System View: return to User View with Ctrl+Z.
[4500]
В дальнейшем я буду предполагать, что с управлением этими видами Вы знакомы и будете понимать - что за команды я буду вводить. Для менюшного типа - свои, для командного - свои.
Не забываем в командном типе войти в системный режим:
- Копирование конфигурации с одного порта на другой
- Ограничение полосы пропускания broadcast-трафика и multicast-трафика
- Информация о порте
- Задание дуплекса и скорости
- Включение или выключение Flow Control
- Изменение режима линка порта (для VLANов)
- Включение и выключение порта
Копирование конфигурации с одного порта на другой
Заметка. Доступно только для командных коммутаторов.
[4500] copy configuration source ethernet 1/0/1 destination ethernet 1/0/2Здесь вместо 1/0/1 укажите порт, с которого нужно скопировать конфигурацию, а вместо 1/0/2 - порт, конфигурацию которого нужно заменить скопированной.
Ограничение полосы пропускания broadcast-трафика и multicast-трафика
Заметка. Доступно только для командных коммутаторов.
[4500] interface ethernet 1/0/1[4500-Ethernet1/0/1]broadcast-suppression 20
Здесь мы сначала зашли в конфигурацию порта 1/0/1, а потом установили значение пропускания 20%. Это значит, что 80% трафика будет гаситься и пропускаться будет только 20% пакетов.
По аналогии работаем с multicast-трафиком:
[4500-Ethernet1/0/1]multicast-suppression 20
Информация о порте
здесь вместо 1:20 введите номер коммутатора в стеке и порта.
где вместо 1/0/1 - номер коммутатора в стеке и порта.
Задание дуплекса и скорости
phy eth portCapSelect Ethernet port (unit:port,?): 1:4
Enter new advertised capabilities - comma separated OR all
(10half,10full,100half,100full,flowControl,all)
[10half,10full,100half,100full,flowControl]:
- Вместо 1:4 укажите номер коммутатора в стеке и номер порта, которым будем управлять.
- После двоеточия перечислите через запятую режимы работы порта, которые допустимы, включая скорость порта и его дуплекс.
Select Ethernet ports (unit:port. ): 1:4
Enter auto-negotiation mode (enable,disable)[enable]:
Enter fallback port mode (10half,10full,100half,100full)[100half]:
- Вместо 1:4 введите номер коммутатора в стеке и номер порта, которым будет управлять.
- На вопрос "auto-negotiation" укажите - может ли данный порт автоматически выбирать режим скорости и дуплекса в зависимости от подключенного оборудования (enable) или необходимо установить жестко заданный режим (disable).
- На вопрос "fallback port mode" введите режим, на который будет происходить "откат" при невозможности работать на максимальной конфигурации. Например, Вы можете задать поведение коммутатора, при котором при невозможности работать в полнодуплексном режиме на 100Мбит/с он будет переходить не на 100Мбит/с полу-дуплекса, а сразу на 10Мбит.
[4500-Ethernet1/0/1]duplex auto
Здесь вместо 1/0/1 укажите номер коммутатора в стеке и порт, которым будете управлять, а вместо auto можно установить жесткие режимы full или half.
Здесь вместо 1/0/1 укажите номер коммутатора в стеке и порт, которым будете управлять, а вместо 10 - укажите скорость (10, 100, 1000 или auto).
Включение или выключение Flow Control
включит FlowControl для порта 1:4.
выключить FlowControl для порта 1:4.
[4500]interface ethernet 1/0/1[4500-Ethernet1/0/1]flow-control
включит FlowControl на порте 1/0/1.
[4500]interface ethernet 1/0/1[4500-Ethernet1/0/1]undo flow-control
выключить FlowControl на порте 1/0/1.
Изменение режима линка порта (для VLANов)
С точки зрения менюшного коммутатора управление типом трафика - часть управления VLAN'ами, а с точки зрения командного коммутатора - это часть физического порта. Поэтому в менюшном и командном коммутаторах настройки расположены в разных местах.
- access : Принимает только нетаггированный трафик,
- trunk : Принимает только таггированный трафик (т.е. пакеты без информации о VLAN будут отбрасываться);
- hybrid: Принимает оба типа трафика с возможностью заведения нетаггированных пакетов в определенный VLAN, а таггированных - в свои VLAN'ы.
Командным коммутаторам, таким, как 3Com 4500, нужно точно указывать - что это за порт и какой трафик он будет на нем слушать. При этом, если порт, скажем, объявить trunk и попытаться после этого прикрутить к нему нетаггированный прием данным на определенный VLAN - получите ошибку.
Менюшный:
выполняется из управления VLAN-ами. Просто добавляйте нужные VLANы в нужном режиме (об управлении VLANами мы здесь не говорим - это отдельная статья).
В следующем примере мы превратим порт 1:4 в гибридный, заставить весь традиционный нетаггированный трафик считать трафиком во VLAN=6, но при этом так-же работать в таггированном режиме с VLAN=20 и VLAN=30.
bridge vlan mod add 6 1:4 untagbridge vlan mod add 20 1:4 tag
bridge vlan mod add 30 1:4 tag [4500]interface ethernet 1/0/1
[4500-Ethernet1/0/1]port link-type trunk
Здесь мы порту 1/0/1 задали режим работы trunk (т.е. прием и отправка только таггированных пакетов).
Включение и выключение порта
Бывает необходимо удаленно включить или выключить порт - при этом линк на порту принудительно ложится, как будто кабель не подключен, и устройство на другом конце патчкорда начинает считать, что оно никуда не воткнуто.
В этим примерах мы баловались с портом 1:4.
[4500]interface ethernet 1/0/1[4500-Ethernet1/0/1]undo shutdown
Ну вот, в кратце и только основное. По аналогии можно рулить и всеми остальными, дополнительными параметрами портов.
В эпоху информационных технологий и интернета все чаще и шире применяются коммутаторы. Они представляют собой особые устройства, использующиеся для передачи пакетов документов на всех адреса сети одновременно. Данную особенность коммутаторов сложно переоценить, поскольку все офисы работают на базе данной функции. Коммутаторы запоминают все текущие адреса работающих станций и устройств, а также проводят фильтрацию трафика по определенной схеме, заданной специалистами. В подходящий момент они открывают порт и проводят пересылку назначенного пакета по всем адресатам.
Для настройки коммутаторов часто используется таблица модульных коммутаторов L3 . Настройка должна осуществляться в следующем порядке. Сначала коммутатор подключается к блоку питания, а он – через розетку к электропитанию. Затем берется сетевой кабель, который обеспечивает соединение коммутатора с сетевой платой вашего компьютера. Здесь следует быть крайне осторожными – на проводках витой пары должны иметься наконечники со спутанными контактами. Все это предусмотрено в инструкции, указанной в техническом паспорте коммутатора.
Приступите к настройке сетевой карты. Для этого нажмите меню «Пуск», выберите в открывшемся меню вкладку «Панель управления». В отрывшемся окне найдите и откройте «Сеть и сетевые подключения». Выделите свою сетевую карту при помощи правой кнопкой мыши. Во вкладке «Подключение по локальной сети» следует активировать раздел «Свойства», после чего прокрутить список вниз до конца, где будет строчка «Протокол Интернет (TCP/IP)». Там нажмите на кнопку «Свойства» и укажите маску и адрес подсети. Во вкладке под названием «Общие» следует прописать IP адрес 192.168.0.2, а также оформить маску подсети, введя цифры 255.255.255.0, после чего следует подтвердить правильность всех записей.
На следующем этапе вы должны будете проверить работу коммутатора. Затем через служебную команду под названием ping следует ввести сетевой адрес своего компьютера в сети, после чего задать отсылку данных через ping 192.168.0.2. Делается это в бесконечном режиме, но если вы захотите его остановить, тогда нужно будет нажать комбинацию клавиш Ctrl+C. Программа сразу же выдаст уведомление о потере данных, возникших при передаче.
Рассмотрим более детально на конкретном примере - настройка коммутатора CISCO CATALYST СЕРИЙ 2900XL И 3500.
Интеллектуальные свитчи (по-русски коммутаторы) Cisco Catalyst серий 2900XL и 3500 предназначены для крупных корпоративных сетей. Они представляют собой коммутаторы высокого класса с микропроцессорным управлением, флэш-памятью, объёмом 4 Мб и DRAM-памятью объёмом 8 Мб. На данных устройствах обычно установлена специализированная операционная система Cisco IOS.
В данной статье я буду преимущественно говорить о версии 12.0.x. (отличия версий, в основном, в вебинтерфейсе и поддержке тех или иных технологий). На каждый из коммутаторов может быть установлено программное обеспечение стандартного (Standard Edition) и расширенного типа ( Enterprise Edition ). В enterprise edition входят:
- поддержка магистралей 802.1Q,
- протокол TACACS+ для единой авторизации на свитчах,
- модифицированная технология ускоренного выбора Spanning Tree ( Cisco Uplink Fast ) и др.
Данные свитчи предоставляют множество сервисных возможностей. Кроме этого, они идеально подходят для крупных сетей, так как имеют высокую пропускную способность — до 3-х миллионов пакетов в секунду, большие таблицы адресов ( ARP cache ) — 2048 mac адресов для Catalyst 2900XL и 8192 для Catalyst 3500, поддерживают кластеризацию и виртуальные сети (VLAN), предоставляют аппаратную безопасность портов (к порту может быть подключено только устройство с определённым mac адресом), поддерживают протокол SNMP для управления, используют удалённое управление через веб-интерфейс и через командную строку (т.е. через telnet или модемный порт). Кроме этого, имеется возможность мониторинга портов, т.е. трафик с одного порта (или портов) отслеживается на другом. Многим покажется полезной возможность ограничивать широковещательный трафик на портах, предотвращая тем самым чрезмерную загрузку сети подобными пакетами. Исходя из всего этого, можно утверждать, что выбор свитчей Cisco Catalyst является идеальным для крупных и средних сетей, так как несмотря на высокую стоимость (>1500$), они предлагают широкий выбор сервисных функций и обеспечивают хорошую пропускную способность. Наиболее привлекательными возможностями данных свитчей являются: организация виртуальных сетей (в дальнейшем VLAN), полностью изолированных друг от друга, но синхронизированных между свитчами в сети, и возможность кластеризации для единого входа в систему управления свитчами и наглядного изображения топологии сети (для веб-интерфейса). Перспективным является использование многопортового свитча в качестве центрального элемента сети (в звездообразной архитектуре). Хотя свитчи поставляются с подробной документацией, но она вся на английском языке и нередко не сообщает некоторых вещей, а иногда, напротив, бывает слишком избыточной. Для начала хотел бы рассказать о первоначальной настройке свитча.
Присоединение консольного кабеля:
Подключите поставляемый плоский провод в разъём на задней панели коммутатора с маркой console.
Подключите другой конец кабеля к com-порту компьютера через соответствующий переходник и запустите программу-эмулятор терминала (например, HyperTerminal или ZOC). Порт консоли имеет следующие характеристики:
d) 1 бит остановки.
Важное замечание для кластера (объединения нескольких коммутаторов): если вы хотите использовать коммутатор в качестве члена кластера, то можно не присваивать ему IP адрес и не запускать построитель кластера. В случае командного свитча, вам необходимо выполнить следующий пункт.
Присвоение IP коммутатору.
В первый раз, когда вы запускаете свитч, то он запрашивает IP адрес.
Если вы назначаете ему оный, что весьма желательно, то он может конфигурироваться через Telnet.
Необходимые требования к IP
Перед установкой необходимо знать следующую информацию о сети:
- IP адрес свитча.
- Шлюз по умолчанию (его может и не быть).
- Ну и пароль для свитча (хотя, скорее всего лучше это придумать самому).
Первый запуск
Выполняйте следующие действия для присвоения коммутатору IP адреса:
Шаг 1. Нажмите Y при первой подсказке системы:
Continue with configuration dialog?
Шаг 2 . Введите IP адрес:
Enter IP address:
Шаг 3 . Введите маску подсети и нажмите Enter:
Enter IP netmask:
Шаг 4 . Введите, есть ли у вас шлюз по умолчанию N/Y, если есть, то наберите его IP адрес после нажатия Y:
Would you like to enter a default
gateway address. [yes]: y
Шаг 5 . Введите IP адрес шлюза:
IP address of the default gateway:
Шаг 6 . Введите имя хоста коммутатора:
Enter a host name:
Шаг 7 . Введите пароль. Кроме этого, затем на вопрос о пароле для Telnet ответьте Y и введите пароль для доступа через Telnet, так как иначе возможны странности работы с telnet. У меня, к примеру, подключение Telnet к свитчу обрывалось по причине:пароль нужен, но не определён:
Enter enable secret:
Создался следующий файл конфигурации:
ip address 172.16.01.24 255.255.0.0
ip default-gateway 172.16.01.01
enable secret 5 $1$M3pS$cXtAlkyR3/
snmp community private rw
snmp community public ro
Use this configuration. [yes/no]:
Continue with configuration dialog.
Шаг 8 . Если всё нормально - жмите Y; нет - N (только учтите, что пароль хранится в зашифрованном виде).
Читайте также: