Настройка коммутатора d link через консоль

Обновлено: 09.01.2025

АККАУНТЫ

*BPDU ATTACK PROTECTION

*SAFEGUARD ENGINE
(При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты.)

*TRAFFIC SEGMENTATION

Допустим имеем на комутаторе входящий порт 9 и хотим ограничить порты друг от друга.

*TRAFFIC CONTROL

*SNTP

*DHCP RELAY

НАСТРОЙКА ПОРТОВ

*SNMP

*SMTP

*PORT SECURITY
Функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

*VLAN

Для правильной установки сначала необходимо создать отдельный управляемый Vlan, в котором должны находится только управляемое оборудование и в config ipif прописан этот Vlan. На входящий порт на всех Vlan ставится tag, на порты на которых висит управляемое оборудование в необходимом Vlan ставится tag, на неуправляемое untag, если порт не находится в данном Vlan - not memeber. В PVID на магистральных тагированых портах я ставлю VID управляемого влана, если же порт untagged в каком-то влане, то необходимо ставить vid этого влана.
Edgress(разрешенный) - определяет что порт является статическим членом VLAN.
Forbidden(запрещенный) - определяет что порт не является членом VLAN и динамически не может никак к нему подключится.
non-member - определяет что порт не является членом VLAN, но порт может динамически к нему подключится.

*DHCP SERVER SCREENING

*IGMP SNOOPING
(процесс отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (свитчам) отслеживать IGMP-обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика. Функция IGMP Snooping применяется в сетях групповой рассылки для того, чтобы рабочие станции, не запросившие
групповой трафик, не получали его.)

DGS-3612G for IPTV:

3828:

*DOS PREVENTION

*LOOPBACK DETECTION (Включается на клиентских портах и неуправляемых магистралях. На магистралях между управляемым оборудованием вместо LBD необходимо включать STP)

(recover_timer – время, в течение которого порты будут отключены. Interval – интервалы между отправкой пакетов обнаружения петли.)

*SPANNING TREE PROTOCOL (STP) (протокол остовного дерева)
Основной задачей STP является устранение петель в топологии произвольной сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.

*ACCESS CONTROL LIST (ACL)

Запрет на подмену DHCP:

На DGS-3120-24 например уже немного по другому:

Запрет Netbios и Windows sharing (для udp также):

Разрешение только одного айпи на порт:

Запрещаем broadcast трафик:

Запрещаем все чужие VPN:

Разрешаем прохождения трафика через коммутатор только для одного IP и блокируем для всех остальных:

*CPU Interface Filtering
Некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения - это MAC-адрес коммутатора. (ping на IP-адрес коммутатора). Решение: CPU Interface Filtering. (Software ACL)
Блокируем доступ к коммутатору с определенного IP:

Рассмотрим основные команды для работы коммутаторами D-Link, команды для настройка vlan, учетных записей, просмотра конфигурации, интерфейсов и портов.

Просмотр основных характеристик коммутаторов dlink

Эта команда позволяет посмотреть - название модели, mac-address, vlan управления, ip-address, subnet mask, default gateway, firmware version, hardware version, serial number, system name, system location, system uptime и т.п.

Просмотр загрузки процессора (CPU).

Работа с конфигурацией на коммутаторах dlink

Просмотр текущей конфигурации

Просмотр конфигурации в nvram.

Сохранение текущей конфигурации.

Сброс к заводским настройкам

Настройка ip маски и шлюза на коммутаторах dlink

Настройка IP адреса и сетевой маски.

Просмотр интерфейсов управления.

Задание шлюза по умолчанию.

Просмотра маршрута по умолчанию.

Удаление маршрута по умолчанию.

Настройка VLAN на коммутаторах dlink

Просмотр всех созданных vlan.

Добавление vlan на порты.

В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5.

Во втором случае добавляется тегированная (tagged) vlan на порты 8,10.

В третьем случае запрещается прохождение vlan на 9-ом порту.

Настройка vlan управления коммутатора.

Удаление default vlan со всех портов.

Настройка пользователей на коммутаторах dlink

Настройка имени пользователя и пароля.

Просмотр учетной записи.

Cменить пароль существующему пользователю.

Просмотр mac и arp таблиц на коммутаторах dlink

Просмотр таблицы mac-адресов.

Просмотр таблицы mac-адресов для определенного порта.

Просмотр arp табицы.

Просмотр диагностической информации по портам коммутатора dlink

Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).

Просмотр ошибок на портe.

Просмотр статистики по всем портам.

Установка комментария на порт коммутатора dlink

размер комментария может содержать до 32 символов и не должен содержать пробелы.

В данной статье описывается процесс настройки коммутационного управляемого свитча D-link DGS-3200-10 в качестве центра звезды, через интерфейс командной строки (CLI - Command Line Interface).

Для начала подключаем свитч с помощью кабеля COM-порта к рабочей станции windows. Кабель находится в комплекте со свитчом. Запускаем утилиту Vterm, соединяемся со следующими параметрами Serial:

Попадаем в чёрный экран, два раза нажимаем «Enter», тем самым указываем нулевые логин и пароль. Попадаем в командную строку, ожидающую наших команд.

Проверка всех основных настроек

+Включение ssh, отключение telnet. +Ограничение скорости по клиентским портам (show bandwidth_control) config bandwidth_control 1-24 tx_rate 3072 config bandwidth_control 1-24 tx_rate 3072 +loopdetect +show greeting_message

SafeGuard Engine State : Enabled SafeGuard Engine Current Status : Normal mode

CPU utilization information: Interval : 5 sec Rising Threshold(20-100) : 90 % Falling Threshold(20-100) : 30 % Trap/Log : Disabled

+snmp community +show traffic control

Удаляем дефолтные настройки snmp

Создаём свои настройки snmp

Connecting to server………………. Done. Download firmware…………………. Done. Do not power off !! Please wait, programming flash……… Done. Success.

Command: show firmware information

Image ID : 1 Version : 2.00.007 Size : 2421372 Bytes Update Time: 0000/00/00 00:00:00 From : Serial Port(PROM) User : Unknown

Image ID : 2(Boot up firmware) Version : 2.60.B004 Size : 2736372 Bytes Update Time: 0000/00/00 06:10:10 From : 10.10.10.100 User : admin(CONSOLE)

Are you sure you want to proceed with the system reboot?(y/n) y Please wait, the switch is rebooting… ……………………………………………………. Press any key to login…

Обновление прошивки DGS-3200 :

Cначала прошивка, потом boot prom.

Connecting to server………………. Done. Download firmware…………………. Done. Do not power off! Please wait, programming flash……… Done.

После этого свитч пропадёт и начнёт загружаться с новым Boot Prom.

show utilization ? Command: show utilization Next possible completions: dram flash ports cpu

Задача: базовая настройка управляемого коммутатора, с использованием "интерфейса командной строки" (CLI).

Зайти на устройство можно через "консольный" порт (RS-232). Подключаем кабель (DB-9 cable):

Рекомендованные производителем параметры подключения следующие:

terminal - VT 100+;
speed - 9600;
parity - none;
data bits - 8;
stop bit - 1;
sofware flow control - none;
hardware flow control - none.

Сразу идём в меню настроек утилиты "minicom" для корректировки параметров сеанса связи с коммутатором: "Ctrl+O". Переходим в подменю "Serial port setup". Нажав клавишу "F", выбираем значение "No" для опции "Hardware Flow Control". Подтверждаем выбор и выходим из меню конфигурирования. Готово, мы в коммутаторе:

Просто нажимаем пару раз "Enter", проходя этапы ввода логина и пароля, и вот, мы можем просмотреть текущую конфигурацию устройства:

Device Type : DES-3028 Fast Ethernet Switch
MAC Address : MAC
IP Address : 10.90.90.90 (Manual)
VLAN Name : default
Subnet Mask : 255.0.0.0
Default Gateway : 0.0.0.0
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.00.B27
Hardware Version : A2
Serial Number : Serial
System Name :
System Location :
System Contact :
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Disabled
VLAN trunk : Disabled
802.1x : Disabled
TELNET : Enabled(TCP 23)
WEB : Enabled(TCP 80)
RMON : Disabled
SSH : Disabled
SSL : Disabled
Clipaging : Enabled
Syslog Global State: Disabled
Dual Image : Supported
Password Encryption Status : Disabled

Приступим к конфигурированию как таковому.

На всякий случай явно отключаем автоматическую настройку с помощью DHCP:

Назначим свой IP-адрес:

Удостоверимся в том, что изменения приняты:

Interface Name : System
IP Address : 192.168.1.2 (MANUAL)
Subnet Mask : 255.255.255.0
VLAN Name : default
Admin. State : Enabled
Link Status : Link UP
Member Ports : 1-28

Обратите внимание на то, что "shell" устройства регистро-чувствительный, в частности, команда "System" так и вводится, с большой буквы, в то время как другие - с маленькой.

Задаём маршрут по умолчанию, необходимый для обеспечения доступности управляющего функционала коммутатора:

Удостоверимся, что маршрут верно задан:

IP Address/Netmask Gateway Interface Hops Protocol
------------------ --------------- ----------- ------- --------
0.0.0.0/0 192.168.1.1 System 1 Default
192.168.1.0/24 0.0.0.0 System 1 Local

Проверим, достижим ли с коммутатора какой-нибудь удалённый ресурс:

Reply from 192.168.12.12, time<10ms
Reply from 192.168.12.12, time<10ms
Reply from 192.168.12.12, time<10ms
Ping Statistics for 192.168.12.12
Packets: Sent =4, Received =4, Lost =0

И так, теперь, когда железка доступна для подключения не только локального, но и удалённого, вынесем работу из гудящей и холодной серверной в кресло администратора, приняв меры, в то-же время, к обеспечению безопасности соединения. А точнее: дополним сетевую конфигурацию, заведём на коммутаторе административный аккаунт, инициируем SSH-сервер и предпишем работать через него.

Отключаем расширенную систему авторизации на устройстве, оставляя локальную базу:

Создаём парочку административных аккаунтов:

Enter a case-sensitive new password:********
Enter the new password again for confirmation:********
Success.

Когда придёт в голову сменить пароль, делаем это так:

Удостоверимся, что аккаунты созданы в том виде, как нам было угодно:

Username Access Level
------------------ ------------
superadmin Admin
trivialadmin Admin

Велим коммутатору шифровать сохранённые в энергонезависимой памяти пароли:

Включаем поддержку доступа к устройству по протоколу SSH:

Поддержку менее безопасного протокола доступа Telnet даже отключать не приходится, прошивка устройства не может работать одновременно и с SSH и с Telnet.

Явно указываем, каким образом мы будем проходить проверку подлинности:

Задаём параметры подключения клиента SSH к серверу:

Вводим заранее созданных пользователей в список допущенных для работы с SSH:

Отдельно явно разрешаем использование протокола шифрования трафика SSH:

Для самоуспокоения можно пробежаться по настройкам, с помощью команды "show" с соответствующими аргументами удостоверится, что желаемые настройки применены верно. После чего - сохраняем всё, и настройки и журнал событий, в энергонезависимую память:

Теперь идём на своё рабочее место и подключаемся к устройству используя для это протокол SSH.

Первым делом стоит подкорректировать настройки портов. Например таким образом:

Здесь мы позволили клиентским портам принимать конфигурацию клиента, предлагая аппаратный контроль потока передаваемых данных, выделили один порт для связи с маршрутизатором на скорости 100 Мегабит с полным "дуплексом" и выделили два "гигабитных" порта для связи с другими коммутаторами.

Очень желательно явно выставлять параметры интерфейсов, предназначенных для связи между коммутаторами и маршрутизаторами. На моей практике неоднократно наблюдались огромные, до 30%-40% потери пакетов из-за того, что оборудование не могло договорится о режимах работы в автоматической конфигурации.

Следует иметь в виду, что у D-Link при конфигурировании "гигабитных" портов нужно явно указывать, какая сторона ведущая, а какая ведомая. В частности, если этот коммутатор "ведущий" (master), что на втором "гигабитные" порты должны быть инициированы как "ведомые" (slave), например:

Далее следует чуть подкорректировать общие настройки, имеющие отношение к обеспечению условий коммутации.

Естественно, для "транков" ограничение на количество обслуживаемых MAC снимаем:

Насколько я понял из документации, опция "DeleteOnTimeout" регламентирует периодичность пересмотра таблицы коммутации (Forwarding Database) MAC на портах. Надо полагать (вернее, так сказано в документации, но я мог неверно перевести), что MAC-адрес клиента неактивного порта будет удалён из таблицы и другому MAC-адресу будет позволено работать на нём именно после этого самого пересмотра таблицы. Сменить период пересмотра таблицы можно с помощью соответствующей команды (по умолчанию период составляет 300 секунд):

На случай, если понадобится по быстрому, не дожидаясь истечения "таймаута" разблокировать какой-либо порт, очистив историю использования его клиентам, есть команда, которой мы очистим историю использования для портов со второго по седьмой:

Теперь активируем функционал "Storm Control" для борьбы с клиентами, сорящими "бродкастовыми" и "мультикастовыми" пакетами (зажимаем клиента по максимуму - у нас только традиционные сервисы, не подразумевающие рассылок; в обычной плоской сети реальный "флуд" диагностируется по показателю в 100 Kbs):

Можно попробовать применить новый функционал D-Link обнаружения и блокирования потенциальных DoS-атак, пока вреда от него я не замечал:

Типов атак несколько, вместо "all" можно включать и выключать их обнаружение индивидуально:

Land Attack, Blat Attack, Smurf Attack, TCP Null Scan, TCP Xmascan, TCP SYNFIN, TCP SYN SrcPort less 1024

Видно, что выше я отключил обнаружение атак типа "TCP SYN SrcPort less 1024"; не углублялся в суть вопроса, но при активировании этой опции коммутатор воспринимает попытки взаимодействия Linux/BDS/Apple-машины с сетевым принтером как атаку, блокируя передачу данных.

Для отлова "петель" на стороне клиента используем специализированный функционал коммутатора, регулярно посылающий тестовый пакет обнаружения "loopback" (это работает независимо от протокола STP):

recover_timer - время (в секундах), в течение которого порты будут отключены для стимулирования пользователя порта разобраться, "почему не работает";
interval - период (в секундах) между отправкой пакетов обнаружения петли.

В качестве дополнительной меры обеспечения доступности сервисов, представляемых коммутатором, включим поддержку "Safeguard engine", режима, в котором отбрасываются или отправляются в конец очереди (с пониженным приоритетом) все ARP и "широковещательные" пакеты тогда, когда загрузка процессора возрастёт выше установленного порога:

rising 90 - процент загрузки процессора, выше которого включается режим "Safeguard engine";
falling 30 - процент загрузки, ниже которого выключается "Safeguard engine";
mode fuzzy - выбираем режим мягкого противодействия нагрузке, когда широковещательные и ARP пакеты не откидываются полностью, а лишь понижаются в приоритете при обработке.

Далее - обще-системные мелочи.

Велим коммутатору отправлять на удалённый сервер данные своего журнала событий:

Научим наш коммутатор выспрашивать точное время у соответствующих серверов.

Задаём "часовой пояс":

Отключим перевод на "летнее время":

Укажем наши сервера точного времени:

Далее отключим то, что не подпадает под понятие базовой настройки.

Отключаем подсистему уведомлений о событиях на SMTP-сервер:

Отключаем систему уведомления SNMP сервера о изменении MAC клиента на портах:

Отключаем протокол оповещения и сбора информации о соседнем оборудовании (свободная замена таким протоколам, как: Cisco Discovery Protocol, Extreme Discovery Protocol, Foundry Discovery Protocol или Nortel Discovery Protocol). Вещь полезная, но в небольшой сети не особо нужная, особенно, если нет понимания целесообразности применения:

Отключаем перенаправление DHCP запросов на целевой сервер:

Отключаем зеркалирование портов (применяется для мониторинга и сбора статистики):

Отключаем поддержку протокола STP:

Отключаем функционал единого адреса для стека коммутаторов:

Отключаем авторизацию клиентов на портах:

Отключаем инкапсуляцию тегов VLAN в теги VLAN второго уровня (сеть у нас маленькая):

Явно отключаем управление "мульткастом", раз уж он не используется:

Можно побродить по "web"-интерфейсу коммутатора. Уж не знаю, что там можно было наворотить, но "сайт" успешно завешивает Google Chrome (Linux); браузер начинает беспрерывно перезапрашивать один из "фреймов" панели управления, потребляя при этом половину ресурсов компьютера и не отображая при этом ничего, кроме аляповатого рисунка коммутатора на мозаичном фоне в стиле Web-0.9. Хорошо хоть Firefox (Linux) справился. Первым делом рекомендую забанить анимированную, очень детализированную, с искорками, вертящимися вокруг стилизованного земного шара, картинку-логотип в фрейме меню управления; лично у меня на "нетбуке" после этого обороты вентилятора сразу упали со средних до нулевого уровня.

Рекомендую отключить "web"-интерфейс:

CLI предоставляет достаточно инструментария для контроля и мониторинга устройства, например:

Port Number : 2
RX Frames TX Frames
--------- ---------
CRC Error 0 Excessive Deferral 0
Undersize 0 CRC Error 0
Oversize 0 Late Collision 0
Fragment 1 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts 0 Collision 0 Port State/ Settings Connection Address
MDI Speed/Dupl/FlowCtrl Speed/Dupl/FlowCtrl Learning
----- -------- ------------------- ------------------- --------
1 Enabled Auto/Enabled 100M/Full/None Enabled
Auto
2 Enabled Auto/Enabled 100M/Full/802.3x Enabled
Auto
3 Enabled Auto/Enabled 10M/Full/802.3x Enabled
Auto
4 Enabled Auto/Enabled LinkDown Enabled
Auto
5 Enabled Auto/Enabled LinkDown Enabled
Auto
6 Enabled Auto/Enabled 100M/Full/None Enabled
Auto
7 Enabled Auto/Enabled LinkDown Enabled
. Interface IP Address MAC Address Type
--------- ------------ ----------------- ---------------
System . FF-FF-FF-FF-FF-FF Local/Broadcast
System . . Dynamic
System . . Local
System . FF-FF-FF-FF-FF-FF Local/Broadcast
.

Unicast RX 713310 0
Multicast RX 0 0
Broadcast RX 40 0

В общем, все. Теперь можете приступать к чтению "мануалов", чтобы осмыслить, как освоить оставшиеся здесь неосвещёнными 90% функционала устройства.

[ уже посетило: 129072 / +20 ] [ интересно! / нет ]

Поблагодарить автора ( сделайте свой денежный вклад в хорошее настроение )

Читайте также: