Настройка коммутатора fiberhome s4820 52t x
Fiberhome S5800 поддерживает конфигурацию услуг IPTV и частных линий Интернета
Конфигурация коммутатора Fiberhome S5800, S4800
1. Требования
5800 переносит пул адресов IPTV, соединяет Интернет с маршрутизаторами и соединяет IPTV с ONU; соединяется в нисходящем направлении с коммутаторами уровня 2 S4800 для передачи услуг и резервирует порты для подключения к оборудованию мониторинга общественной безопасности EasyNet Security Поймите, что некоторые порты S5800 могут напрямую выходить в Интернет и подключать шлюзовую приставку к телевизору;
2. Сеть
Схема сети
Три, сценарий конфигурации
1, 5800 коммутаторов уровня 3 передают IPTV и Интернет
(1) Краткое резюме
Гуаньли-удаленное управление
Межсоединение NWHL-Intranet
shanglian-uplink
xianglian-xialian
IPTV-Интернет-телевидение
Интернет-Интернет
(2) Правила описания порта: псевдоним TO_ [service type_device model_device port]
Пример: псевдоним TO_ [Internet_IPTV_S4800_gi1 / 0/25]
2. Соответствующий сценарий S5800:
config
vlan 431,3901,101,99
int vlan 99
alias TO_[Guanli_S4800]
ip address 192.168.99.254/24
quit
int vlan 101
alias TO_[Internet_S4800]
ip address 192.168.101.253/24
ip dhcp relay
dhcp relay server-ip 192.168.101.1
quit
int vlan 3901
alias TO_[IPTV_SL_ONU]
ip address 100.77.251.70/30
quit
dhcp pool 1
network range 100.77.17.130 100.77.17.190 mask 255.255.255.192
lease-time default
gateway 100.77.17.129
dns 211.138.151.161
dns 211.138.156.66 backup
quit
dhcp pool 2
network range 100.77.17.194 100.77.17.254 mask 255.255.255.192
lease-time default
gateway 100.77.17.193
dns 211.138.151.161
dns 211.138.156.66 backup
quit
int vlan 431
alias TO_[IPTV_XL_S4800]
ip address 100.77.17.129/26
ip dhcp server
quit
int vlan 432
alias TO_[IPTV_XL_S4800]
ip address 100.77.17.193/26
ip dhcp server
quit
int gi 1/0/23
alias TO_[Internet_SL_ONU1kou]
port hybrid vlan 99 tag
port hybrid vlan 101 untag
port hybrid pvid 101
quit
int gi 1/0/24
alias TO_[IPTV_SL_ONU3kou]
port hybrid vlan 401 tag
port hybrid vlan 3902 untag
port hybrid pvid 3902
quit
int gi 1/0/1 to gi 1/0/20
alias TO_[S4800_gi25_Internet/IPTV]
quit
int gi 1/0/1 to gi 1/0/20
port hybrid vlan 101,401,431-432,99 tag
quit
int gi1/0/22
alias TO_[yiwangan]
port hybrid vlan 88 untag
port hybrid pvid 88
quit
ip route 0.0.0.0 0.0.0.0 100.77.251.69
ping 100.77.251.69
ping 100.77.17.193
ping 211.138.151.161
write file
3. Конфигурация S4800
config
vlan 99,101,431
int vlan 99
alias TO_[Guanli_S5800]
ip address 192.168.99.1/24
quit
int vlan 101
alias TO_[Internet_zhongduan]
quit
int vlan 431
alias TO_[IPTV_zhongduan]
quit
int gi 1/0/1 to gi 1/0/24
alias TO_[Xialian_IPTV_Internet]
quit
int gi 1/0/1 to gi 1/0/24
port hybrid vlan 101,431 tag
dhcp-snooping enable
dhcp-snooping untrust
quit
int gi 1/0/25 to gi 1/0/26
alias TO_[Shanglian_IPTV/Internet_S5800]
quit
int gi 1/0/25 to gi 1/0/26
port hybrid vlan 101,431,99 tag
dhcp-snooping enable
dhcp-snooping trust
quit
write file
4. Инструкции по настройке
(1) Все порты, напрямую подключенные к указанной выше конфигурации S4800, не могут получить доступ к Интернету. S4800 необходимо подключить к конвергентному шлюзу и использовать с той же бизнес-VLAN. Конвергентный шлюз подключен к компьютеру, и телевизор можно использовать в обычном режиме. ;
(2) Конфигурация тестового порта службы доступа к порту.
используется для активации и настройки бизнес-соединения для самопроверки компьютера коммутатора;
Команда настройки:
①IPTV
int gi 1/0/1
port hybrid vlan 431 untag
port hybrid pvid 431
quit
②Internet
int gi 1/0/2
port hybrid vlan 101 untag
port hybrid pvid 101
quit
③Команда восстановления конфигурации:
int gi 1/0/1 to gi 1/0/2
port hybrid vlan 431,101 tagg
port hybrid pvid 1
quit
(3) Инструкции по настройке стыковки коммутатора S5800 и порта ONU
ONU настраивает режим VLAN как прозрачную передачу, а режим порта на стороне коммутатора соответствует режиму магистрали;
ONU настраивает режим VLAN как тег, режим порта на стороне коммутатора соответствует режиму доступа к конфигурации;
④S5800 коммутатор и стыковка порта маршрутизатора
Порт маршрутизатора по умолчанию настроен в режиме доступа, то есть компьютер может быть напрямую подключен к Интернету. В настоящее время для стыковочного порта коммутатора S5800 можно настроить режим доступа;
Если режим порта маршрутизатора является магистральным, порт коммутатора будет подключен к нему в магистральном режиме соответственно;
В статье я расскажу о том, как мы (небольшой региональный провайдер) настраиваем коммутаторы уровня доступа.
В начале, кратко пробежимся по тому, что такое иерархическая модель построения сети, какие функции рекомендуют вешать на каждый ее уровень и как именно устроена сеть, на примере которой я буду излагать настройку свитча. Ну и затем настроим свитч исходя из предложенных требований.
Иерархическая модель построения сети
И так, в иерархической модели построения сети коммутации выделяют три уровня — уровень доступа (access layer), уровень агрегации (distibution layer) и уровень ядра (core layer). Деление на уровни позволяет добиться большей легкости в обращении с сетью: упрощается мастшабируемость сети, легче настраивать устройства, легче вводить избыточность, проектировать сеть и тому подобное.
- Подключение конечных пользователей на 100 Мбит/сек
- Подключение (желательно через SFP) к коммутатору distribution уровня на 1 Гбит/сек
- Поддержка VLAN
- Поддержка port security
- Поддержка acl
- Поддержка других функций безопасности (loopback detection, storm control, bpdu filtering и прочее)
Применительно к сети провайдера получается следующая картина:
- Жилой дом — свитч access уровня
- Микрорайон — свитч distribution уровня, к нему подключаем отдельные дома
- ЦОД — свитч core уровня, к нему подключаем отдельные микрорайоны
На ditribtution уровне и, тем более, на core уровне, как правило работают продвинутые коммутаторы Cisco и/или Juniper, но на access уровень приходится ставить более дешевые железки. Как правило это D-Link (или Linksys или Planet).
Пара слов об устройстве сети
И так, с уровнем доступа в первом приближении, разобрались, теперь, прежде чем переходить к непосредственно настройке коммутатора, несколько слов о том, как устроена сеть, в которой коммутатору предстоит работать.
Во-первых, мы не используем VLAN per user. Сеть достаточно старая и начинала строиться во времена, когда Q-in-Q еще не был стандартом, так что большая часть старого оборудования двойное тегирование не поддерживает.
Во-вторых, мы использует PPPoE. И не используем DHCP. То есть клиент получает один белый адрес, через PPP протокол, домашняя сеть отсутствует как класс.
В-третьих, все коммутаторы живут в отдельном, выделенном только для них VLAN, все домашние PPPoE клиенты также живут в одном VLAN'е.
Настройка коммутатора
- В нашем городе легче всего покупать именно D-Link, поэтому этой марке отдано предпочтение перед Planet, Linksys и прочими конкурентами
- Этот коммутатор обладает всем нужным нам функционалом
И так, поехали. Все команды приведены для означенной выше модели D-Link, впрочем не составит никакого труда проделать все то же самое и на устройстве другого вендора.
Исходя из вышеприведенных требований к коммутатору уровня доступа, сформулируем, что именно мы хотим на нем настроить и сделаем это.
И так, на необходимо…
Создать два VLAN, один для клиентов, другой для управления коммутатором и назначить их на порты свитча. 100 мегбитные порты — клиентские, гигабитные порты — аплинки.
create vlan USER tag 2
create vlan MANAGEMENT tag 3
config vlan USER add untagged 1-8
config vlan USER add tagged 9-10
config vlan MANAGEMENT add tagged 9-10
Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)
config port_security ports 1-8 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout
Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами
config stp version rstp
config stp ports 1-8 fbpdu disable state disable
Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-8 state enable
config loopdetect ports 9-10 state disable
Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit
config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit
config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny
Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny
И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.
config traffic control 1-8 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5
Таким образом, мы решаем многие проблемы, присущие плоской сети — поддельные DHCP и PPPoE сервера (зачастую многие включают такие вещи ненамеренно, а по не знанию, то есть злого умысла нет, но работать другим клиентам мешают), бродкастовые штормы, глючные сетевые карточки и прочее.
Одной из крупнейших китайских компаний, которая присутствует на Российском рынке телекоммуникаций, является компания Huawei. Этот мировой гигант выпускает великое множество разнообразных моделей коммутаторов и маршрутизаторов. В данной статье мы рассмотрим первичную настройку коммутатора, а также, как к нему подключиться и какое использовать программное обеспечение для настройки.
Необходимое оборудование и программное обеспечение
Для выполнения первичной настройки сетевого активного оборудования необходимо иметь в наличии следующее оборудование и программного обеспечение:
1) ноутбук c «COM- портом» для подключения к оборудованию СПД;
Примечание: на современных персональных компьютерах и ноутбуках «COM- порт» часто отсутствует. В этом случае потребуется переходник «USB – COM (RS 232)».
2) консольные интерфейсные кабели, в зависимости от типа настраиваемого оборудования
Установка консольного соединения c оборудованием
Подключение ноутбука к оборудованию
Подключить рабочий ноутбук с помощью консольного интерфейсного кабеля к разъему «console» оборудования На разных типах оборудования интерфейс для подключения консольного кабеля может называться по-разному, возможные варианты – «console», «con», «monitor» и т.п.
Установка соединения с использованием ПО «HyperTerminal»
2) Запустить программу «HyperTerminal». В появившемся окне в поле «Название» ввести произвольное название сеанса подключения
3) В следующем окне выбрать последовательный порт ПК, к которому подключен интерфейсный кабель и нажать кнопку «ОК»
Важно! Если используется переходник «USB-COM», то номер порта может отличаться от «COM1». Проверить это можно в «Диспетчере устройств» Windows в разделе «Порты (COM и LPT)»
Если номер порта будет отличаться (например, «COM6»), то поменять значение в поле «Подключаться через» с «COM1» на «COM6».
Установить параметры порта в ПО «HyperTerminal» с настройками в соответствии с рисунком ниже и нажать кнопку «ОК».
Общая начальная настройка коммутатора
2) Необходимо изменить пароль во время первого входа
3) После изменения настройки пароля система выдаст приглашение к началу конфигурирования:
4) Войти в привилегированный режим
<Huawei> system-view
После входа в конфигурационный режим вид строки приглашения изменится на:
5) Необходимо изменить имя коммутатора:
[Huawei] sysname SW1
В данном примере –имя коммутатора будет «SW1», вид строки приглашения изменится на:
6) Войти в режим конфигурирования доступа по консоли:
[SW1] user-interface console 0
7) Задать пароль:
[SW1-ui-console0] set authentication password cipher Huawei
В данном примере- пароль будет «Huawei».
8) Выйти из режима конфигурирования доступа по консоли:
[SW1-ui-console0] quit
9) Войти в режим конфигурирования доступа по протоколу telnet:
[SW1] user-interface vty 0 4
10) Задать пароль:
[SW1-ui-vty0-4] set authentication password simple Huawei
В данном примере- пароль будет «Huawei».
11) Установить режим проверки подлинности пользователей по паролю:
[SW1 -ui-vty0-4] authentication-mode password
12) Выйти из режима конфигурирования доступа по протоколу telnet:
[SW1 -ui-vty0-4] quit
Настройка интерфейсов коммутатора
1) Войти в режим конфигурирования интерфейса:
[R1] interface Vlanif 1
2) Назначить IP-адрес хxх.хxх.хxх.хxх интерфейсу:
[R1-Vlanif1] ip address xxx.xxx.xxx.xxx yy
где хxх.хxх.хxх.хxх – ip адрес, yy – префикс маски подсети.
3) Выйти из режима конфигурирования интерфейса:
[SW1-Vlanif1] quit
4) Назначить шлюз по умолчанию:
[Huawei] ip route-static zzz.zzz.zzz.zzz
где zzz.zzz.zzz.zzz – ip адрес шлюза
5) Выйти из конфигурационного режима:
[SW1] quit
6) Сохранить текущую конфигурацию:
[SW1] save
Настройка транкового порта (Trunk port) коммутатора
«Trunk port» или «Магистральный порт» — это канал типа «точка-точка» между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора.
Войти в режим конфигурирования интерфейса:
[SW1] interface Ethernet0/0/0
1) Перевести порт в состояние trunk:
[SW1-Ethernet0/0/0] port link-type trunk
2) Выйти из режима конфигурирования интерфейса:
[SW1- Ethernet0/0/0] quit
3) Сохранить текущую конфигурацию:
[SW1] save
Сброс настроек коммутатора Huawei в заводские без доступа к системе
1) Подключить рабочий ноутбук к коммутатору и запустить телекоммуникационное программное обеспечение согласно.
2) Подать питание на коммутатор. Дождавшись строки «Press Ctrl+B to break auto startup» при загрузке коммутатора, нажать на клавиатуре сочетание клавиш «Ctrl+B» (дается на это не более 3 секунд, после чего продолжается загрузка устройства).
4) В открывшемся подменю «FILESYSTEM SUBMENU» на клавиатуре нажать кнопку «3» («Delete file from Flash»), после этого клавишу «Enter», выводится список файлов, которые есть в файловой системе.
5) В списке найти cfg-файл
и ввести его имя в строку приглашения «Please choose the file you want to delete:». В данном примере это «test-sw.cfg». Подтвердить удаление файла, нажав на клавиатуре кнопку «y».
6) После удаления файла конфигурации в «FILESYSTEM SUBMENU» для возврата в «BOOTROM MENU» нажать кнопку «6» и после этого клавишу «Enter».
7) Нажать на клавиатуре кнопку «7» («Reboot») и после этого клавишу «Enter».
8) После перезагрузки выполнение первичной настройки осуществляется с п. 3 настоящей инструкции.
Высокая надежность
Оборудование S4800 поддерживает следующие протоколы защиты: STP/RSTP/MSTP, R-link и другие. Серия S4800 поддерживает агрегацию каналов для обеспечения простого и экономически эффективного способа расширения полосы пропускания и балансировки нагрузки между портами для повышения надежности соединения. Модель S4800 поддерживает резервирование по питанию 1+1 для увеличения уровня надежности оборудования.
Поддержка сервисов
Оборудование серии S5800 обладает широкими возможностями QoS. Классификация трафика по MAC/IP адресу, номеру порта Layer 4 TCP/UDP, по протоколу, по порту и по VLAN. Каждый порт поддерживает до 8 очередей со следующими алгоритмами расписаний: SP/PQ, RR, WRR, DRR, SP/PQ+WRR, SP/PQ+DRR для гибкого распределения высокоприоритетного трафика.
Безопасность
- Серия S5800 предлагает комплексное решение для обеспечения безопасности, предоставляя услуги на трех уровнях: абонент, коммутатор и сеть. Безопасность абонента подразумевает защиту среди абонентов со следующими возможностями: DHCP Snooping, ARP Inspection, и IP Source Guard позволяет идентифицировать каждого абонента по MAC, IP адресу и порту для предотвращения атак.
Безопасность на уровне коммутатора подразумевает защиту CPU от DOS атак и шторма. Функции безопасности порта позволяют контролировать количество МАС адресов для предотвращения перегрузки памяти.
Безопасность на уровне сети позволяет фильтровать весь входящий трафик для обеспечения только действительного трафика, который проходит по правилам ACL и IEEE 802.1 x аутентификации для предотвращения незаконного вторжения в сеть.
Функционал PoE
- Оборудование S4800-PE соответствует стандартам IEEE 802.3af и 802.3at, поддерживает максимальную мощность нагрузки до 30 Вт на порт, что соответствует стандарту 802.11n и используется в IP телефонии, WI FI точках доступа и IP камерах. 24 порта PoE могут одновременно работать при максимальной нагрузке в случае использования двух модулей питания по 500 Вт. Решение PoE является интеллектуальным и может быть использовано для экономии электроэнергии.
Управление и эксплуатация
Серия S4800 поддерживает SNMP v1/v2/v3, а также другие протоколы управления как CLI, Telnet и графический интерфейс. Встроенный в ПО RMON-агент позволяет осуществлять управление, мониторинг и анализ трафика и поддерживает 4 наблюдаемые группы (история, статистика, аварии и события). Функционал RSPAN позволяет администраторам удаленно отслеживать порты коммутаторов 2 уровня с любого другого коммутатора этой сети.
Читайте также: