Коммутатор cisco sg250 08hp настройка

Обновлено: 08.01.2025

access-list 170 permit ip host 10.31.4.11 any
access-list 170 permit ip host 10.31.4.12 any
access-list 170 permit ip host 10.31.4.10 any
access-list 170 permit ip host 10.31.4.14 any

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 87.250.251.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/76/80 ms

Valery12, благодарю за подсказку. На трёх интерфейсах ehwic 1ge-sfp-cu маршрутизатора Cisco 2911k9 создал три субинтерфейса соответственно gi 0/0/0.2, gi 0/1/0.2, gi 0/2/0.2:

interface gigabitethernet 0/0/0
no ip address
no shutdown
no cdp enable
exit

interface gigabitethernet 0/1/0
no ip address
no shutdown
no cdp enable
exit

interface gigabitethernet 0/2/0
no ip address
no shutdown
no cdp enable
exit

interface gigabitethernet 0/0/0.2
encapsulation dot1q native 2
bridge-group 1
exit

interface gigabitethernet 0/1/0.2
encapsulation dot1q native 2
bridge-group 1
exit

interface gigabitethernet 0/2/0.2
encapsulation dot1q native 2
bridge-group 1
exit

bridge 1 protol ieee
bridge 1 route ip

interface bvi 1

На этом этапе всё работает нормально. Узлы одной подсети нормально пингуются между собой при любом подключении на указанных портах. Проблема возникает с модулем es3g-24-p. Насколько я понимаю из документации и логов работы маршрутизатора, этот модуль представляет собой коммутатор, встроенный в роутер Cisco 2911k9. Коммутатор имеет внутреннее соединение с шиной роутера по портам gi 0/25 и gi 0/26 со стороны свитча и портам gi 1/1 и gi 1/0 со стороны роутера. При этом порт gi 0/26 соединяется с портм gi 1/0. Для порта роутера так же создаю субинтерфейс:

interface gigabitethernet 1/0
no ip address
no shutdown
no cdp enable
exit

interface gigabitethernet 1/0.2
encapsulation dot1q native 2
bridge-group 1
exit

А для свитча загоняю его порты во 2-й vlan:

interface range gigabitethernet 0/1-24
no ip address
no shutdown
no cdp enable
switchport mode access
switchport access vlan 2
exit

interface gigabitethernet 0/26
no ip address
no shutdown
no cdp enable
switchport mode access
switchport access vlan 2
exit

Так вот в этом месте не наблюдается коннекта. IP-пакеты не проходят со свитча в роутер и обратно. По первоначальной схеме, конечно, работает, но система несколько ущемлена в плане адресации. Ну и просто хочется добить систему на мостах. Пробовал 26-й порт через транк,но как-то не очень получилось.

access-list 23 permit 10.31.0.0 0.0.0.255
access-list 23 permit 10.31.4.0 0.0.0.255

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

Отключение ненужных сервисов

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

1.Включите коммутатор и подключитесь к нему Ethernet кабелем.

2.Настройте ip адрес вашего сетевого адаптера из диапазона 192.168.1.2-253.

4.Пара логинпароль по умолчанию ciscocisco, при запросе смены пароля меняем его, а еще лучше создаем нового пользователя, старого удаляем.

5.Теперь можно приступить к конфигурации устройства.

5.1 Настройка VLAN
В меню VLAN Managment выбираем Create VLAN, настроек для VTP нет, так что придется создавать в ручную. Жмем кнопку add, вводим ID и имя, жмем Apply. VLAN создан. Аналогично добавляем остальные VLAN которые будут использоваться на данном коммутаторе.

5.2 Настройка Trunk и Access портов.
Чтобы увидеть режим работы порта или поменять его заходим в меню VLAN Managment выбираем Interface Settings, выбираем необходимый порт, жмем Edit… и настраиваем необходимый режим работы.

5.3 Чтобы связать VLAN с интерфейсом заходим в меню VLAN Managment выбираем Port VLAN Membership, выбираем необходимый VLAN в поле VLAN ID equals to, жмем Go. Переставляем переключатель необходимого нам порта из Excluded в Untagged, также, если необходимо чтоб пакеты переходили через Trunk порт переставить переключатель Trunk порта в режим Tagged из Excluded.

6. Настройка Host Name и Login Banner.
Заходим в меню Administration выбираем System Settings. Меняем Host Name с Use Default на User Defined и назначаем ему имя. Все что будет введено в поле Login Banner будет отображено на странице авторизации.

7. Настройка ip адреса устройства и управляющей VLAN сети.
Заходим в меню Administration выбираем Management Interface переходим в IPv4 Interface. В поле с выпадающим списком Management VLAN выбираем VLAN ID в котором у нас будет находится данный коммутатор. Если адрес задается динамически, то дальше не нужно никаких настроек, иначе переключаем IP Address Type в Static и настраиваем IP адрес коммутатора, маску и шлюз.

8. Записываем Running configuration в Startup configuration.
Нажимаем уже давно мигающую надпись Save в верху и нажимаем Apply, измененная конфигурация сохранена.

Базовая настройка коммутатора закончена. Аналогично настраиваются и другие коммутаторы серии Small Business. Настройка через консоль в данной серии отсутствует.

Для серии SG 300 все настройки аналогичны, но я столкнулся с проблемой: В поле с выпадающим списком Management VLAN нельзя выбрать никакую другую кроме Vlan1. Решение: настроить telnet и в командной строке настроить ip адрес для необходимого нам Management VLAN.

четверг, 30 августа 2012 г.

HP Proliant Microserver router VLAN + Cisco SG200-08

PC маршрутизатор на основе связки микросервера HP Proliant microserver и гигабитного управляемого коммутатор Cisco SG200-08 (SLM2008T-EU).

Использование управляемого коммутатора 2-го уровня и PC роутера (в данном случае микросервера) с одной сетевой картой, для организации маршрутизации домашней сети в Интернет.
Исходная сетевая конфигурация микросервера представляла собой 2 сетевые карты, одна для внешней сети и Интернет (usb-адаптер), другая для домашней сети (встроенный гигабитный адаптер). Микросервер работает под операционной системой Ubuntu 12.04 LTS.

В данном руководстве, используется идея организации сети, которая была почерпнута на форуме [1]. Идея позволяет экономить 1 сетевой порт на сервере, за счет внедрения vlan "между" коммутатором и микросервером. Это расширяет возможности применения систем с одним сетевым интерфейсом в домашних условиях, в качестве маршрутизатора Интернета.
В нашем микросервере, мы избавляемся от сетевого usb-адаптера, переводя встроенный гигабитный адаптер в специальный "транковый" режим.
Для данной конфигурации, коммутатор обязательно должен быть управляемым и в нем должна присутствовать поддержка VLAN.
Возможно, это решение не требуется обычным пользователям, имеющим 1 подключение к сети интернет и один компьютер.

Each VLAN in a network has an associated VLAN ID, which appears in the IEEE
802.1Q tag, also known as VLAN tag, in the Layer 2 header of packets transmitted
on a VLAN

Определение возможностей оборудования
Определим наличие аппаратной поддержки vlan ( 802.1q) у встроенного сетевого интерфейса микросервера, в данном случае это home.

Предварительно установим пакет программы Ethtool, для управления сетевой картой
$sudo apt-get install ethtool
$sudo ethtool -k home

Offload parameters for home:
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp-segmentation-offload: on
udp-fragmentation-offload: off
generic-segmentation-offload: on
generic-receive-offload: on
large-receive-offload: off
rx-vlan-offload: on
tx-vlan-offload: on
ntuple-filters: off
receive-hashing: off

Гигабитный управляемый коммутатор Cisco SG200-08 (SLM2008T-EU) имеет встроенную поддержку VLAN, о чем свидетельствует спецификация устройства. Да и выбирался он именно с такой поддержкой.

Установка пакета поддержки VLAN на микросервере
$sudo apt-get install vlan

Общее описание схемы подключения

Общий порядок действий администратора микросервера

Предварительно, запросы портов такие:

Недостаток данной схемы в том, что полоса пропускания порта №8 (т.е. до микросервера) делиться между провайдерами и домашней сетью. Спасает ситуацию то, что редко провайдер (а чаще пользователю не нужно) предоставляет 1Gigabit, обычно 100 Мбит, что с лихвой покрывается гигабитным портом. Да и не каждый пользователь строит сеть в такой конфигурации.

В принципе, можно создать 8 vlan по числу портов, потому что требования к качеству обслуживания у разного оборудования разные, например для ip-телефона очень, очень важен приоритет голосового трафика. Одно более разумно продумать иное группирование, чтобы абоненты-корреспонденты одной группы не выходили за пределы одной vlan, снижая нагрузку на порт микросервера. Например, медиасервер и телевизор для просмотра медиаконтента, или группа видеокамер и видеосервер.

11. Пример решения о конфигурации
Особенности: микросервер "on the go". Сетевая конфигурация отличается от ранее настроенной, микросервер путешествует.
. В порт №1 коммутатора я решил подключить микросервер. Порт №1 будет "trank" транковый, т.е. пропускать трафик всех vlan до микросервера.
. В порт №8 я решил подключить 3G роутер bigpond, в один из его портов встроенного хаба (интернет провайдер в деревне. Тариф Мегафон-модем). В принципе его можно использовать с любым роутером, который раздает готовое подключение к Интернет, например adsl. Т.к. интерфейс у микросервера будет настроен на получение динамической конфигурации.
. В порт №3 я решил подключить настольный компьютер.

Определил VLAN ID 8 для порта №8 для провайдера интернета, в данном случае 3g.
Определил VLAN ID 99 для будущей Management VLAN. Это на этапе первоначальной настройки можно не делать.

12. Настройка сетевой конфигурации на микросервере

Для Management VLAN определим виртуальный интерфейс, исключительно предназначенный для управления коммутатором, в файле /etc/network/interfaces микросервера. Как бы выделенный провод между микросервером и коммутатором.

Если их поднять без настроенного коммутатора, то не будет ip-адресов.

13. Настройка коммутатора. Создание виртуальных локальных сетей.

Т.к. любой провайдер обычно поставляет нетегированный (untagged) трафик, то нам надо, чтобы этот трафик попадал в определенный vlan и далее через "trunk" в микросервер.

Пример для первого провайдера. Операция манипуляции с vlan опасная, можно случайно потерять связь с коммутатором из-за переназначения.

В коммутаторе на вкладке Interface Settings для интерфейса g8, мы указываем, для физического порта режим "access", "admin untagged only", для Access VLAN указываем 8. Таким образом, весь непомеченный трафик, прибывший через этот порт (№8) в коммутатор, будет помечен тэгом VLAN >
И да, надо не забыть сохранить рабочую конфигурацию коммутатора в загрузочную конфигурацию. См. п.9.

Интерфейс home.8 получает адрес от dhcp-сервера bigpond. Для этого в данной рабочей обстановке, коммутатор и роутер (провайдер) должны быть включены ранее микросервера, чтобы при загрузке интерфейс home.8 получил динамический ip-адрес.

Для второго провайдера аналогично, только VLAN ID иной. У меня пока нет, но можно проэмулировать с помощью другого компьютера или роутера.

После этого на микросервере имеется 2 интерфейса с доступом в Интернет и можно настраивать режим "two WAN", так как будто это обычные сетевые адаптеры. Выполнять балансировку, резервирование канала и т.п.

14. Для порядка, можно все неиспользуемые порты назначить в режим "access", предполагая, что в них будут подключаться устройства с нетегированным трафиком. Однако, можно сделать роуминг некоторых устройств, тогда портам надо установить режим "general", для пропуска и тегированного трафика, а на самом устройстве сделать членство в определенной vlan. Получиться что-то типа роуминга.
Также, vlan-коммутатор, позволяет легко собирать сеть из отдельных устройств, на новом месте, при этом не меняя сетевую конфигурацию.

Также можно повесить dhcp-сервер на определенный интерфейс vlan. Это может пригодиться, например, когда нет выделенного dhcp-сервера.

Вопросы
1. Куда использовать старое оборудование DIR-320, уже 4 года в эксплуатации в качестве интернет-маршрутизатора, с dd-wrt прошивкой? В холодный резерв.