Out of band подключение к коммутатору
Управляемые коммутаторы D-Link оснащены консольным портом. В зависимости от модели коммутатора консольный порт может обладать разъемом DB-9 или RJ-45. С помощью консольного кабеля, входящего в комплект поставки, коммутатор подключается к последовательному порту компьютера. Подключение по консоли иногда называют "Out-of-Band-подключением. Это означает, что консоль использует отличную от обычного сетевого подключения схему (не использует полосу пропускания портов Ethernet).
После подключения к консольному порту коммутатора на персональном компьютере необходимо запустить программу эмуляции терминала VT100 (например, программу HyperTerminal в Windows). В программе следует установить следующие параметры подключения, которые, как правило, указаны в документации к устройству:
| Скорость (бит/с): | 9600 или 115200 1 |
| Биты данных: | |
| Четность: | нет |
| Стоповые биты: | |
| Управление потоком: | нет |
При соединении коммутатора с консолью появится следующее окно (только для коммутаторов, имеющих поддержку интерфейса командной строки CLI) (рис. рис. 2.3).
Если окно не появилось, необходимо нажать Ctrl+r, чтобы его обновить.
Рис. 2.3.Первоначальное окно консоли
Начальная настройка коммутатора
Начальная конфигурация коммутатора
Вызов помощи по командам
Существует большое количество команд CLI. Команды бывают сложные, многоуровневые, требующие ввода большого количества параметров, и простые, состоящие из одного параметра. Наберите в командной строке "?" и нажмите клавишу "Enter", для того чтобы вывести на экран список всех команд данного уровня.
Используйте знак вопроса "?" также в том случае, если вы не знаете параметров команды. Например, если надо узнать возможные варианты синтаксиса команды show, введите в командной строке:
Далее можно ввести "?" или нажать кнопку Enter. На экране появятся все возможные завершения команды. Также можно воспользоваться кнопкой TAB, которая будет последовательно выводить на экран все возможные завершения команды.
Рис. 2.4.Результат выполнения команды "?"
Внимание: при работе в CLI можно вводить сокращенный вариант команды. Например, если ввести команду "sh sw", то коммутатор интерпретирует эту команду как "show switch".
Рис. 2.5.Результат вызова помощи о возможных параметрах команды show
Внимание: далее в книге примеры настроек приведены для коммутаторов серии DES-3528, если не указано иное.
Коммутаторы локальной сети можно классифицировать по возможности управления. Существует три категории коммутаторов:
- неуправляемые коммутаторы;
- управляемые коммутаторы;
- настраиваемые коммутаторы.
Неуправляемые коммутаторы не поддерживают возможности управления и обновления программного обеспечения.
Управляемые коммутаторы являются сложными устройствами, позволяющими выполнять расширенный набор функций 2-го и 3-го уровня модели OSI . Управление коммутаторами может осуществляться посредством Web-интерфейса, командной строки ( CLI ), протокола SNMP , Telnet и т.д.
Настраиваемые коммутаторы занимают промежуточную позицию между ними. Они предоставляют пользователям возможность настраивать определенные параметры сети с помощью интуитивно понятных утилит управления, Web-интерфейса, упрощенного интерфейса командной строки, протокола SNMP .
Средства управления коммутаторами
Большинство современных коммутаторов поддерживают различные функции управления и мониторинга. К ним относятся дружественный пользователю Web- интерфейс управления, интерфейс командной строки ( Command Line Interface , CLI ), Telnet, SNMP -управление. В коммутаторах D-Link серии Smart также реализована поддержка начальной настройки и обновления программного обеспечения через утилиту D-Link SmartConsole Utility .
Главная страница Web-интерфейса обеспечивает доступ к различным настройкам коммутатора и отображает всю необходимую информацию об устройстве. Администратор может быстро посмотреть статус устройства, статистику по производительности и т.д., а также произвести необходимые настройки.
Доступ к интерфейсу командной строки коммутатора осуществляется путем подключения к его консольному порту терминала или персонального компьютера с установленной программой эмуляции терминала. Это метод доступа наиболее удобен при первоначальном подключении к коммутатору, когда значение IP-адреса неизвестно или не установлено, в случае необходимости восстановления пароля и при выполнении расширенных настроек коммутатора. Также доступ к интерфейсу командной строки может быть получен по сети с помощью протокола Telnet.
Пользователь может использовать для настройки коммутатора любой удобный ему интерфейс управления, т.к. набор доступных через разные интерфейсы управления функций одинаков для каждой конкретной модели.
Еще один способ управления коммутатором — использование протокола SNMP (Simple Network Management Protocol ). Протокол SNMP является протоколом 7-го уровня модели OSI и разработан специально для управления и мониторинга сетевыми устройствами и приложениями связи. Это выполняется путем обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. Коммутаторами D-Link поддерживается протокол SNMP версий 1, 2с и 3.
Также стоит отметить возможность обновления программного обеспечения коммутаторов (за исключением неуправляемых). Это обеспечивает более долгий срок эксплуатации устройств, т.к. позволяет добавлять новые функции либо устранять имеющиеся ошибки по мере выхода новых версий ПО , что существенно облегчает и удешевляет использование устройств. Компания D-Link распространяет новые версии ПО бесплатно. Сюда же можно включить возможность сохранения настроек коммутатора на случай сбоев с последующим восстановлением или тиражированием, что избавляет администратора от выполнения рутинной работы.
Подключение к коммутатору
Перед тем, как начать настройку коммутатора, необходимо установить физическое соединение между ним и рабочей станцией. Существуют два типа кабельного соединения, используемых для управления коммутатором. Первый тип — через консольный порт (если он имеется у устройства), второй — через порт Ethernet ( по протоколу Telnet или через Web- интерфейс ). Консольный порт используется для первоначальной конфигурации коммутатора и обычно не требует настройки. Для того чтобы получить доступ к коммутатору через порт Ethernet , в браузере необходимо ввести IP-адрес по умолчанию его интерфейса управления (обычно он указан в руководстве пользователя).
При подключении к медному ( разъем RJ-45 ) порту Ethernet коммутатора Ethernet -совместимых серверов, маршрутизаторов или рабочих станций используется четырехпарный кабель UTP категории 5, 5е или 6 для Gigabit Ethernet . Поскольку коммутаторы D-Link поддерживают функцию автоматического определения полярности ( MDI /MDIX), можно использовать любой тип кабеля ( прямой или кроссовый).
Для подключения к медному ( разъем RJ-45 ) порту Ethernet другого коммутатора также можно использовать любой четырехпарный кабель UTP категории 5, 5е, 6, при условии, что порты коммутатора поддерживают автоматическое определение полярности. В противном случае надо использовать кроссовый кабель .
Рис. 2.2. Подключение коммутатора к обычному (не Uplink) порту коммутатора с помощью прямого или кроссового кабеля
Правильность подключения поможет определить светодиодная индикация порта. Если соответствующий индикатор горит, то связь между коммутатором и подключенным устройством установлена. Если индикатор не горит, возможно, что не включено питание одного из устройств, или возникли проблемы с сетевым адаптером подключенного устройства, или имеются неполадки с кабелем. Если индикатор загорается и гаснет, возможно, есть проблемы с автоматическим определением скорости и режимом работы (дуплекс/полудуплекс) (за подробным описанием сигналов индикаторов необходимо обратиться к руководству пользователя коммутатора конкретной модели).
Подключение к консоли интерфейса командной строки коммутатора
Управляемые коммутаторы D-Link оснащены консольным портом. В зависимости от модели коммутатора консольный порт может обладать разъемом DB-9 или RJ-45 . С помощью консольного кабеля, входящего в комплект поставки, коммутатор подключается к последовательному порту компьютера. Подключение по консоли иногда называют "Out-of-Band-подключением. Это означает, что консоль использует отличную от обычного сетевого подключения схему (не использует полосу пропускания портов Ethernet).
После подключения к консольному порту коммутатора на персональном компьютере необходимо запустить программу эмуляции терминала VT100 (например, программу HyperTerminal в Windows). В программе следует установить следующие параметры подключения, которые, как правило, указаны в документации к устройству:
При соединении коммутатора с консолью появится следующее окно (только для коммутаторов, имеющих поддержку интерфейса командной строки CLI) (рис. рис. 2.3).
Если окно не появилось, необходимо нажать Ctrl+r, чтобы его обновить.
Если взять кусок патч-корда и воткнуть оба хвоста в один коммутатор, то получится петля. И в целом петля на порте коммутатора или сетевой карты — зло. Но если постараться, то и этому явлению можно найти полезное применение, например сделать сигнализацию с тревожной кнопкой.
- Rx и Tx — обозначения Receive и Transmit на схемах (приём и передача).
- Loop — англ. петля, контур, шлейф, виток, спираль.
Типичная сеть состоит из узлов, соединенных средой передачи данных и специализированным сетевым оборудованием, таким как маршрутизаторы, концентраторы или коммутаторы. Все эти компоненты сети, работая вместе, позволяют пользователям пересылать данные с одного компьютера на другой, возможно в другую часть света.
Коммутаторы являются основными компонентами большинства проводных сетей. Управляемые коммутаторы делят сеть на отдельные логические подсети, ограничивают доступ из одной подсети в другую и устраняют ошибки в сети (коллизии).
Петли, штормы и порты — это не только морские термины. Петлей называют ситуацию, когда устройство получает тот же самый сигнал, который отправляет. Представь, что устройство «кричит» себе в порт: «Я здесь!» — слушает и получает в ответ: «Я здесь!». Оно по-детски наивно радуется: есть соседи! Потом оно кричит: «Привет! Лови пакет данных!» — «Поймал?» — «Поймал!» — «И ты лови пакет данных! Поймал?» — «Конечно, дружище!»
Вот такой сумасшедший разговор с самим собой может начаться из-за петли на порте коммутатора.
Такого быть не должно, но на практике петли по ошибке или недосмотру возникают сплошь и рядом, особенно при построении крупных сетей. Кто-нибудь неверно прописал марштуры и хосты на соседних коммутаторах, и вот уже пакет вернулся обратно и зациклил устройство. Все коммутаторы в сети, через которые летают пакеты данных, начинает штормить. Такое явление называется широковещательным штормом (broadcast storm).
Меня удивил случай, когда установщик цифрового телевидения вот так подсоединил патч-корд (рис. 1). «Куда-то же он должен быть воткнут. » — беспомощно лепетал он.
Рис. 1. Синий свитч с петлей на борту
Однако не всё так страшно. Почти в каждом приличном коммутаторе есть функция loop_detection, которая защищает устройство и его порт от перегрузок в случае возникновения петли.
Настраиваем коммутаторы
Перед тем как начинать настройку, необходимо установить физическое соединение между коммутатором и рабочей станцией.
Существует два типа кабельных соединений для управления коммутатором: соединение через консольный порт (если он имеется у устройства) и через порт Ethernet (по протоколу Telnet или через web-интерфейс). Консольный порт используется для первоначального конфигурирования коммутатора и обычно не требует настройки. Для того чтобы получить доступ к коммутатору через порт Ethernet, устройству необходимо назначить IP-адрес.
Настройка DLink DES-3200
Для того чтобы подключиться к НТТР-серверу, необходимо выполнить перечисленные ниже действия с использованием интерфейса командной строки.
-
Назначить коммутатору IP-адрес из диапазона адресов твоей сети с помощью следующей команды:
Управляемые коммутаторы D-Link имеют консольный порт, который с помощью кабеля RS-232, входящего в комплект поставки, подключается к последовательному порту компьютера. Подключение по консоли иногда называют подключением Out-of-Band. Его можно использовать для установки коммутатора и управления им, даже если нет подключения к сети.
После подключения к консольному порту следует запустить эмулятор терминала (например, программу HyperTerminal в Windows). В программе необходимо задать следующие параметры:
При соединении коммутатора с консолью появится окно командной строки. Если оно не появилось, нажми Ctrl+r , чтобы обновить окно.
Например, если надо узнать синтаксис команды config, введи в командной строке:
Далее можно ввести «?» или нажать кнопку Enter. На экране появится список всех возможных способов завершения команды. Лично я для вывода этого списка на экран пользуюсь клавишей TAB.
Базовая конфигурация коммутатора
При создании конфигурации коммутатора прежде всего необходимо обеспечить защиту от доступа к нему неавторизованных пользователей. Самый простой способ обеспечения безопасности — создание учетных записей для пользователей с соответствующими правами. Для учетной записи пользователя можно задать один из двух уровней привилегий: Admin или User. Учетная запись Admin имеет наивысший уровень привилегий. Создать учетную запись пользователя можно с помощью следующих команд CLI:
После этого на экране появится приглашение для ввода пароля и его подтверждения: «Enter a case-sensitive new password». Максимальная длина имени пользователя и пароля составляет 15 символов. После успешного создания учетной записи на экране появится слово Success. Ниже приведен пример создания учетной записи с уровнем привилегий Admin:
Шаг второй. Чтобы коммутатором можно было удаленно управлять через web-интерфейс или Telnet, коммутатору необходимо назначить IP-адрес из адресного пространства сети, в которой планируется использовать устройство. IP-адрес задается автоматически с помощью протоколов DHCP или BOOTP или статически с помощью следующих команд CLI:
Здесь xxx.xxx.xxx.xxx — IP-адрес, yyy.yyy.yyy.yyy. — маска подсети, System — имя управляющего интерфейса коммутатора.
Шаг третий. Теперь нужно настроить параметры портов коммутатора. По умолчанию порты всех коммутаторов D-Link поддерживают автоматическое определение скорости и режима работы (дуплекса). Но иногда автоопределение производится некорректно, в результате чего требуется устанавливать скорость и режим вручную.
Для установки параметров портов на коммутаторе D-Link служит команда config ports. Ниже я привел пример, в котором показано, как установить скорость 10 Мбит/с, дуплексный режим работы и состояние для портов коммутатора 1–3 и перевести их в режим обучения.
Команда show ports <список портов> выводит на экран информацию о настройках портов коммутатора.
Шаг четвертый. Сохранение текущей конфигурации коммутатора в энергонезависимой памяти NVRAM. Для этого необходимо выполнить команду save:
Шаг пятый. Перезагрузка коммутатора с помощью команды reboot:
Будь внимателен! Восстановление заводских настроек коммутатора выполняется с помощью команды reset.
А то я знал одного горе-админа, который перезагружал коммутаторы командой reset, тем самым стирая все настройки.
Грамотный админ обязательно установит на каждом порте соответствующую защиту.
Но сегодня мы хотим применить loopback во благо. У такого включения есть замечательное свойство. Если на порте коммутатора имеется петля, устройство считает, что к нему что-то подключено, и переходит в UP-состояние, или, как еще говорят, «порт поднимается». Вот эта-то фишка нам с тобой и нужна.
Loopback
Loop — это аппаратный или программный метод, который позволяет направлять полученный сигнал или данные обратно отправителю. На этом методе основан тест, который называется loopback-тест. Для его выполнения необходимо соединить выход устройства с его же входом. Смотри фото «loopback-тест». Если устройство получает свой собственный сигнал обратно, это означает, что цепь функционирует, то есть приемник, передатчик и линия связи исправны.
Устраиваем аппаратную петлю
Устроить обратную связь очень просто: соединяется канал приема и передачи, вход с выходом (Rx и Tx).
Таблица 1. Распиновка RJ45
Обожми один конец кабеля стандартно, а при обжиме второго замкни жилы 2 и 6, а также 1 и 3. Если жилы имеют стандартную расцветку, надо замкнуть оранжевую с зеленой, а бело-оранжевую с бело-зеленой. Смотри рис. 3.
Нумерация контактов RJ-45
Теперь, если воткнешь такой «хвостик» в порт коммутатора или в свою же сетевую карту, загорится зелёненький сигнал link. Ура! Порт определил наше «устройство»!
Красная кнопка, или Hello world
Ну куда же без Hello world? Каждый должен хоть раз в жизни вывести эти слова на экран монитора! Сейчас мы с тобой напишем простейший обработчик событий, который будет срабатывать при замыкании красной кнопки. Для этого нам понадобятся только кнопка с двумя парами контактов, работающих на замыкание, витая пара и коннектор. На всякий случай приведу схему красной кнопки (рис. 4).
Схема красной кнопки
Паяльник в руках держать умеешь? Соединяем так, чтобы одна пара контактов замыкала оранжевую жилу с зеленой, а другая — бело-оранжевую с бело-зеленой. На всяких случай прозвони соединение мультиметром.
Все, теперь можно тестировать. Вставь обжатую часть в порт сетевой карты или в порт коммутатора. Ничего не произошло? Хорошо. Нажми кнопку. Линк поднялся? Замечательно!
Сама красная кнопка
Вот листинг простейшего обработчика Hello World на Cshell:
Скрипт запускается с помощью следующей строки:
Сигнализация обрыва витой пары
Я решил собрать аппаратную петлю после того, как в моей локальной сети украли несколько мешков витой пары. Встал серьезный вопрос: как мониторить витую пару?
Идея проста: надо проложить витую пару от коммутатора до подъезда и на конце замкнуть её в петлю. Это будет «растяжка», при обрыве которой исчезнет линк на порте коммутатора. Останется написать обработчик, который бы «трубил во все трубы», что линк исчез, то есть витую пару кто-то разрезал.
Чуть не забыл! В конфигурации коммутатора необходимо снять защиту loop_detection с порта, на котором установлена «растяжка».
В 90% организаций, где мне приходилось работать, к сетевому оборудованию был разрешен удаленный доступ абсолютно с любого компьютера. Только подумайте, насколько повышается риск несанкционированного доступа к коммутатору или маршрутизатору, если доступ возможен не с одного - двух компьютеров, а с тысячи? Для повышения безопасности, логичным выходом является ограничение доступа к оборудованию. Есть два основных способа:
1.Out-of-band (OOB) - управление сетью по выделенному каналу. В этом случае управляющий трафик изолируется от общего (пользовательского). При этом под управляющим трафиком может пониматься не только SSH или Telnet сессия, но и такой трафик как SNMP и Log (мы поговорим об этом в следующих главах). Есть два способа отделить управляющий трафик от общего:
а)Физически. Устройства, которыми необходимо управлять, объединяются в выделенную физическую сеть. Для этого на маршрутизаторах и коммутаторах, как правило, имеется специальный порт - management port (mgmt). Если такового не имеется, то можно в произвольном порядке выделить порт под эти нужды. Таким образом, управлять оборудованием сможет только тот компьютер, который физически находится в управляющей сети. Это может быть специально выделенный компьютер системного администратора. Данный способ обладает наибольшей безопасностью, но весьма редко применяется. Связано это в первую очередь со сложностью исполнения, т.к. приходится создавать отдельную сеть для всех устройств, а это либо дорого (тянуть дополнительные линии связи, устанавливать дополнительный коммутатор), либо просто невозможно (в случае большой распределенной сети).
Оба варианта требуют настройки на оборудовании IP - адреса из сети, отличной от сети пользователей.
2.In-band (IB) - управление оборудованием осуществляется по общим каналам. Данный способ используется чаще всего, либо из-за отсутствия возможности организации способа OOB, либо из-за обычной халатности системного администратора. В этом случае значительно повышается вероятность несанкционированного доступа (или попытки доступа). Для повышения уровня защищенности единственным разумным решением является применение списков доступа (Access-list). Мы поговорим о них более подробно в следующем параграфе.
Ограничьте удаленный доступ. Лишь несколько компьютеров должны иметь возможность подключения к оборудованию.
Первое что необходимо сделать, это четко определить с каких компьютеров будет возможно удаленное подключение к устройствам. Как правило это компьютер системного администратора. Разумеется IP-адрес этого компьютера должен быть статическим. При этом, если вы используете в сети DHCP-сервер, следует заранее зарезервировать данный адрес, чтобы он не был случайно выдан другому пользователю.
Также я настоятельно не рекомендую настраивать удаленное подключение из сети Интернет, даже если вы используете защищенные протоколы вроде SSH. Гораздо логичнее будет организация VPN соединения, где компьютеру удаленного пользователя будет присваиваться некий зарезервированный IP-адрес и уже с этого адреса будет возможен доступ к оборудованию.
Сам процесс настройки списков доступа предельно прост. Давайте рассмотрим ограничение доступа по SSH (при этом у вас уже должны быть выполнены предыдущие настройки):
Теперь доступ по SSH возможен только с двух узлов - 192.168.2.2 и 192.168.2.3. При этом если нужно указать целую сеть, то можно использовать команду permit 192.168.2.0.
Функция ip access-list (именованные списки доступа) может быть недоступна на устройствах со старой прошивкой. Тогда необходимо либо обновить прошивку, либо использовать следующий вариант настройки:
Читайте также: