Настройка коммутатора d link
Для примера возьму коммутатор D-Link DES-3200-18 С1 с прошивкой 4.36.B012. Команды аналогичны для коммутаторов с разным количеством портов, они могут немного отличатся лишь при разной версии прошивки и ревизии.
Создадим аккаунт администратора:
Хранение пароля администратора в зашифрованном виде:
Включение возможности восстановления пароля:
Параметры serial порта:
Включения доступа через web интерфейс:
Отключение управления коммутатором по SSH:
Включение доступа по telnet:
Настройка ширины окна терминала и отображение информации в постраничном режиме:
Настройка количества отображаемых строк терминала:
Отключение логирования вводимых команд:
Удаление стандартного VLAN:
Создание VLAN для пользователей:
Отключение инкапсуляции тегов VLAN в теги VLAN второго уровня:
Отключение авто настройки VLAN и назначение всем портам PVID клиентского VLAN:
Включение автоматического назначения PVID портам (включено по умолчанию):
Назначение IP адресе коммутатору в VLAN для управления:
Добавление шлюза по умолчанию:
Включение ограничения broadcast трафика для всех портов кроме uplink:
На всякий случай отключим зеркалирование портов:
Разрешение больших jumbo frame пакетов и пример настройки портов:
Разрешим управлять коммутатором только с указанных IP адресов:
Настройка snmp трапов:
Включение и пример настройки SNMP (где TEXT укажем желаемый пароль):
Отключение IGMP MULTICAST VLAN:
Настройка и отключение PORT SECURITY:
Время хранения (сек) mac адреса в таблице:
Разрешим нулевые IP для связки адресов mac + ip:
Можно включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:
Настройка фильтрации вредных DoS пакетов:
Блокировка сторонних DHCP серверов на всех портах кроме входящего:
Защита от BPDU флуда:
Включение функции SAFEGUARD ENGINE:
Настройка SNTP параметров времени:
Отключение управлением multicast трафиком и немного стандартных параметров:
На сегодняшний день в непростой эпидемиологической ситуации система высшего образования и науки переживает трансформацию. Формируется гибридное обучающее пространство, позволяющее гармонично сочетать форматы дистанционного и очного обучения. Специфика работы большинства IT-специалистов позволяет без труда перейти на удаленный формат. Однако, не каждому человеку удается при этом сохранить продуктивность и позитивный настрой на длительной дистанции. Чтобы внести разнообразие в процесс обучения студентов, было принято решение о записи видеоконсилиумов – небольших обзорных и прикладных лекций в виде дискуссии с ведущими экспертами определенной предметной области.
Ключевые темы обсуждений посвящены информационно-коммуникационным технологиям: от системного и сетевого администрирования до кибербезопасности и программирования. Не обойдем стороной и юридические аспекты работы в IT, становление бизнеса в нашей индустрии и привлечение инвестиций (в том числе грантов и субсидий). Дополнительно рассмотрим материал о системе высшего образования и науки, в том числе возможности бесплатного обучения за границей.
Итак, один из первых консилиумов мы решили посвятить теме «Базовая настройка управляемого сетевого оборудования» и пригласили на него одного из ведущих мировых лидеров и производителей сетевых решений корпоративного класса, а также профессионального телекоммуникационного оборудования – компанию D-Link.
Представим, что перед нами стоит задача базовой настройки управляемого сетевого оборудования (от коммутатора и маршрутизатора до комплексного межсетевого экрана). Стоит отметить, что каждое устройство функционирует на определенных уровнях стека протоколов TCP/IP и выполняет соответствующий функционал. Рассматривать последовательность настройки мы будем от коммутаторов, постепенно переходя к более сложным функциям и технологиям, которые присущи маршрутизаторам и межсетевым экранам. При этом базовые этапы и рекомендации будут оставаться полезными.
Управляемые сетевые устройства можно конфигурировать посредством следующих инструментов и технологий:
Рассмотрим базовый алгоритм настройки управляемого сетевого оборудования после подключения к нему:
Надеюсь, материал был интересен и полезен. Если подобный формат понравится студентам и сообществу Хабра, то постараемся и дальше записывать интересные консилиумы.
Рассмотрим основные команды для работы коммутаторами D-Link, команды для настройка vlan, учетных записей, просмотра конфигурации, интерфейсов и портов.
Просмотр основных характеристик коммутаторов dlink
Эта команда позволяет посмотреть - название модели, mac-address, vlan управления, ip-address, subnet mask, default gateway, firmware version, hardware version, serial number, system name, system location, system uptime и т.п.
Просмотр загрузки процессора (CPU).
Работа с конфигурацией на коммутаторах dlink
Просмотр текущей конфигурации
Просмотр конфигурации в nvram.
Сохранение текущей конфигурации.
Сброс к заводским настройкам
Настройка ip маски и шлюза на коммутаторах dlink
Настройка IP адреса и сетевой маски.
Просмотр интерфейсов управления.
Задание шлюза по умолчанию.
Просмотра маршрута по умолчанию.
Удаление маршрута по умолчанию.
Настройка VLAN на коммутаторах dlink
Просмотр всех созданных vlan.
Добавление vlan на порты.
В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5.
Во втором случае добавляется тегированная (tagged) vlan на порты 8,10.
В третьем случае запрещается прохождение vlan на 9-ом порту.
Настройка vlan управления коммутатора.
Удаление default vlan со всех портов.
Настройка пользователей на коммутаторах dlink
Настройка имени пользователя и пароля.
Просмотр учетной записи.
Cменить пароль существующему пользователю.
Просмотр mac и arp таблиц на коммутаторах dlink
Просмотр таблицы mac-адресов.
Просмотр таблицы mac-адресов для определенного порта.
Просмотр arp табицы.
Просмотр диагностической информации по портам коммутатора dlink
Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).
Просмотр ошибок на портe.
Просмотр статистики по всем портам.
Установка комментария на порт коммутатора dlink
размер комментария может содержать до 32 символов и не должен содержать пробелы.
Основные команды для работы с коммутаторами D-Link серии DES и DXS
Просмотр основных характеристик коммутаторов dlink
Просмотр загрузки процессора (CPU)
Работа с конфигурацией
Просмотр текущей конфигурации
Просмотр конфигурации в nvram
Сохранение текущей конфигурации
Сброс к заводским настройкам
Настройка ip маски и шлюза
Настройка IP адреса и сетевой маски.
Просмотр интерфейсов управления.
Задание шлюза по умолчанию.
Просмотра маршрута по умолчанию.
Удаление маршрута по умолчанию.
Настройка VLAN на коммутаторах dlink
Просмотр всех созданных vlan.
Добавление vlan на порты.
В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5. Во втором случае добавляется тегированная (tagged) vlan на порты 8,10. В третьем случае запрещается прохождение vlan на 9-ом порту.
Настройка vlan управления коммутатора:
Удаление default vlan со всех портов.
Настройка пользователей на коммутаторах dlink
Настройка имени пользователя и пароля.
Просмотр учетной записи.
Cменить пароль существующему пользователю.
Просмотр mac и arp таблиц
Просмотр таблицы mac-адресов.
Просмотр таблицы mac-адресов для определенного порта.
Просмотр arp табицы.
Просмотр диагностической информации по портам
Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).
Просмотр ошибок на портe.
Просмотр статистики по всем портам.
Посмотреть инфу о SFP модуле
Установка комментария на порт
размер комментария может содержать до 32 символов и не должен содержать пробелы.
Перезагрузка коммутатора
«vlan_translation» данные правила ассоциирует C-VID с SP-VID.
«missdrop enable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться только согласно правилам vlan_translation.
«missdrop disable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться согласно правилам vlan_translation, а к трафику не попавшему под правила vlan_translation будет добавляться внешний тег(SP-VLAN) равный PVID порта, т.е. SP-VID = PVID.
«use_inner_priority enable» означает, что коммутатор будет использовать приоритет 802.1p тега C-VLAN в теге SP-VLAN.
«outer_tpid» означает, что коммутатор будет задавать TPID для внешнего тега(SP-VLAN) равный заданному значению.
Коммутаторы No2 и No3 - Транзитные коммутаторы
Коммутатор No4 - Access коммутатор
Блокировка "DHCP Server" клиентов
PPPoE только на Uplink
PPPoE - концентратор подключён к порту 26 коммутатора DES-3526, клиенты подключены к портам 1-25, MAC-адрес концентратора - 00-13-5F-AA-BB-CC.
Примечание: За полным описание протокола PPPoE обращайтесь к RFC 2516.
1. Создаём профиль ACL для разрешения PPPoE-пакетов от концентратора клиентам
create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1
2. Разрешаем PPPoE-session-пакеты от концентратора клиентам
config access-profile 1 add access_id 100 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit
3. Разрешаем PPPoE-data-пакеты от концентратора клиентам
config access-profile 1 add access_id 200 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit
4. Создаём профиль ACL для разрешения PPPoE-пакетов от клиентов концентратору или серверу
create access-profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2
5. Разрешаем широковещательные PPPoE-session PADI пакеты от клиентов
config access-profile 2 add access_id 100 ethernet destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit
6. Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 200 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit
7. Разрешаем PPPoE-session пакеты от клиентов к серверу
config access-profile 2 add access_id 300 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit
8. Создаём профиль ACL для запрещения всех остальных PPPoE-пакетов
create access-profile ethernet ethernet_type profile 3
9. Запрещаем все остальные PPPoE пакеты
config access-profile 3 add access_id 100 ethernet ethernet_type 0x8863 port 1-26 deny config access-profile 3 add access_id 200 ethernet ethernet_type 0x8864 port 1-26 deny
Фильтры для свичей доступа
Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
ACL для DES-3200-52
Vlan translation(mapping)
С нашей стороны в порт 1 свитча DES-3200 приходят вланы 1110-1119. Нужно отдать с 10 порта на циску трафик с этих вланов с другими тегами - 2110-2119 соответственно. (Vlan Mapping в cisco)
Коммутаторы D-link представляют собой устройства, которые имеют хороший функционал, гарантирующий качественную передачу видео в режиме реального времени, расширенные диагностики кабеля, умеют работать с VoIP и системами видеонаблюдения, управляются через веб-интерфейс, telnet-интерфейс и через фирменную утилиту SmartConsole.
Устройства особенно удобны для нужд предприятий малого и среднего уровня. В данной ознакомительной статье рассматриваются вопросы первичной настройки и базовых функций коммутаторов D-link SmartPro серии DES/DGS.
РЕГИСТРАЦИЯ В WEB-ИНТЕРФЕЙСЕ УПРАВЛЕНИЯ
Чтобы начать настройку коммутатора - запустите браузер, установленный на компьютере и укажите IP-адрес, который определен для устройства.
По умолчанию коммутатор имеет IP адрес 10.90.90.90 На открывшейся странице нажмите Login. Откроется окно аутентификации Оставьте поля User Name (Имя пользователя) и Password (Пароль) незаполненными и нажмите ОК. Это позволит зарегистрироваться в пользовательском Web-интерфейсе.
В разделе System в пункте password задайте пароль для администратора.
НАСТРОЙКА СЕТИ
В пункте System Settings в разделе ip-information зададим коммутатору статический ip-адрес. В разделе System Information корректное имя устройства. Для применения параметров нажмите apply. Пример заполнения см. ниже:
Для настройки сети по DHCP, в том же разделе, выставите соответствующий пункт.При необходимости возможно настроить имя хоста и выставить число попыток назначения ip-адреса. Для этого в поле DHCP Option 12 State выставите значение Enabled и заполните соответствующие поля.
НАСТРОЙКА VLAN
Заходим в настройки коммутатора, в меню слева выбираем раздел VLAN -> 802.1Q VLAN и переведем в состояние enabled.
Для создания нового влана нажмите Add.
В поле VID прописываем идентификатор, т.е. номер влана, а в поле VLAN Name — его имя.
Теперь обратитесь на таблицу с портами. Если вам надо просто добавить порт в виртуальную сеть, то напротив его номера ставим галку «Untagged». Если нужно, чтобы сеть уходила через транковый порт на другой коммутатор (Uplink/Downlink порты), то напротив этого порта ставим галку «Tagged». Нажимаем кнопку «Apply».Готово, созданная нами виртуальная сеть добавлена.
Для сохранения изменений во вкладке меню Save выберете Save Configuration.
Рисунок 5 - Сохранение параметров коммутатора
Первоначальная настройка завершена.
ТЕХНОЛОГИЯ PoE
D-link коммутаторы, рассматриваемые в данной статье, оснащены технологией PoE. Что же это такое, и для чего нужно?
Рисунок 6 - Устройства, поддерживающие подключение по технологии РоЕ
PoE (Power over Ethernet) - технология, позволяющая подавать электропитание устройствам в сети по витой паре стандарта Ethernet. Данная технология используется для ip-телефонии, ip-камер и других устройств с целью исключения использования дополнительного кабеля питания. Технология не оказывает негативного влияния на качество передачи данных.
Данная технология обладает рядом преимуществ:
- Подключение в местах с ограниченным доступом.
- Подключение устройств при ограниченном количестве розеток на рабочих местах, число которых регулируется стандартами ИТ-безопасности.
- Позволяет управлять устройством (включать, выключать и перезагружать по питанию в случаях зависания, обновления или другой необходимости).
- PoE относится к слаботочным сетям. Максимальное напряжение, которое может выдаваться с одного порта, не превышает 60 вольт.
Настройки PoE в D-link расположены на следующих страницах раздела PoE:
1. PoE Global Settings
Отображает текущий статус PoE, потребляемую и оставшуюся мощность, процент потребляемой мощности системы.
System Power Threshold: настраиваемый вручную порог мощности PoE 7,1
72 Вт. Power Shut Off Sequence: определяет метод, используемый для отключения питания.
System Power Status: отображает состояние питания системы устройства:
- Total PoE Power Budget: отображает общий бюджет мощности PoE коммутатора.
- Power Used: отображает текущую используемую мощность PoE.
- Power Left: отображает остаточную мощность PoE
2. PoE Port Settings
В таблице портов отображается состояние PoE, Port State, Priority, Power Limit, Power (W), Voltage(V), Current (mA), Classification, Status.
Вы можете выбрать From Port / To Port для управления PoE функциями порта устройства . Устройство автоматически отключит порты, если ток порта превысит 375 мА в режиме 802.3af.
From Port / To Port: указывает функцию PoE порта или портов.
State: выберите «Включено» или «Отключено».
Priority: настройте приоритет источника питания как «Low», «Normal» или «High» для назначенных портов.
Power Limit: функция позволяет вручную устанавливать ограничение мощности тока, передаваемого на PD.
Для защиты коммутатора и подключенных устройств функция power limit отключит PoE порта при перегрузке питания. Выберите «Class 1», «Class 2», «Class 3» или «Auto» для ограничения мощности.
Для применения настроек нажмите Apply.
Таким образом технология PoE обладает широкими коммуникационными возможностями, которые позволяют создавать сети с оборудованием разного типа и предназначения.
ВСТРОЕННЫЕ СРЕДСТВА ДИАГНОСТИКИ И СТАТИСТИКИ
В данном разделе рассматриваются возможности использования коммутаторов в части сбора статистической информации и диагностики кабеля.
Коммутаторы EasySmart приспособлены для сбора статистики как успешных, так и ошибочных пакетов данных. Ошибки на порту указывают на физические проблемы с кабелем или плохое соединение с коннектором. Коммутаторы данной серии позволяют провести раздельную диагностику кабелей, подключенных к портам. Для Для просмотра диагностики необходимо перейти в раздел «L2 Features» и открыть страницу «Cable diagnostics». Результаты диагностики приводятся для каждой пары подключенного кабеля.
Подробная статистика порта отображается в следующих значениях счетчиков:
- «OutOctets» - количество переданных байтов;
- «OutUcastPkts» - количество переданных одноадресных пакетов;
- «OutNUcastPkts» - количество переданных многоадресных пакетов;а
- «OutErrors» - количество ошибок передачи;
- «LateCollisions» - количество случаев, когда коллизия зафиксирована после того, как в канал связи уже были переданы первые 64 байт (slotTime) пакета;
- «ExcessiveCollisions» - количество фреймов, которые не были переданы из-за избыточного количества коллизий;
- «InternalMACTransmitErrors» - количество фреймов, которые не были переданы успешно из-за внутренней ошибки передачи на уровне MAC;
- «InOctets» - количество принятых байтов;
- «InUcastPkts» - количество принятых одноадресных пакетов;
- «InNUcastPkts» - количество принятых многоадресных пакетов;
- «InDiscards» - количество пакетов, отклоненных в результате сбоя выделения памяти, или в результате сбоя контрольной суммы;
- «InErrors» - количество ошибок приема;
- «FCSErrors» - количество принятых фреймов с количеством байт, соответствующим длине, но не прошедших проверку контрольной суммы (FCS);
- «FrameTooLongs» - количество принятых пакетов с превышением максимально допустимого размера кадра;
- «InternalMACReceiveErrors» - количество фреймов, которые не были приняты успешно из-за внутренней ошибки приема на уровне MAC.
Также в разделе «Monitoring» расположена страница системного лога «System Log». Для сохранения файла на компьютере, из списка выпадающего меню «Save», - выберите пункт «Save Log». Для сохранения файла нажмите кнопку «Backup Log». В результате будет сохранён текстовый файл «systemlog.log».
Таким образом мы провели первичную настройку коммутатора D-link, рассмотрели принцип работы технологии PoE и ее настраиваемые параметры на устройстве, ознакомились со встроенными инструментами диагностики и статистики.
Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.
Читайте также: