Настройка коммутатора d link des 3526

Обновлено: 04.07.2024

Коммутаторы серии 10/100 Мбит/с D-Link DES-3500 являются взаимно стекируемыми коммутаторами уровня доступа, поддерживающими технологию Single IP Management (SIM, управление через единый IP-адрес). Эти коммутаторы, имеющие 24 или 48 10/100BASE-TX портов и 2 комбо-порта 1000BASE-T/SFP Gigabit Ethernet в стандартном корпусе для установки в стойку, разработаны для гибкого и безопасного сетевого подключения. Коммутаторы серии DES-3500 могут легко объединяться в стек и настраиваться вместе с любыми другими коммутаторами с поддержкой D-Link Single IP Management, включая коммутаторы 3-го уровня ядра сети, для построения части многоуровневой сети, структурированной с магистралью и централизованными быстродействующими серверами.

Управление через единый IP-адрес (Single IP Management)

Коммутаторы серии DES-3500 упрощают и ускоряют задачу управления, т.к. множество коммутаторов могут настраиваться, контролироваться и обслуживаться через уникальный IP-адрес с любой рабочей станции, имеющей Web-браузер.
Cтек управляется как единый объект, и все устройства стека определяются по единственному IP-адресу. С помощью встроенного Web-менеджера, можно получить информацию, представленную в виде дерева (Tree View) о членах стека и топологии сети с указанием месторасположения устройств стека и связей между ними. Это простое и достаточно эффективное Web-управление исключает необходимость установки дорогого ПО для SNMP-управления.

Расширенный функции безопасности

Серия DES-3500 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети

Расширенная производительность и доступность

Для повышения производительности и безопасности сети коммутаторы серии DES-3500 обеспечивает расширенную поддержку VLAN, включая GARP/GVRP, 802.1Q и асимметричные VLAN. Управление полосой пропускания позволяет установить лимит трафика для каждого порта, что дает возможность управлять объемом трафика на границе сети. Коммутатор поддерживает установку резервного источника питания. Другие характеристики включают поддержку 802.3ad Link Aggregation, 802.1d Spanning Tree, 802.1w Rapid Spanning Tree и 802.1s Multiple Spanning Tree для повышения надежности и доступности виртуального стека.

Многоуровневое качество обслуживания (QoS)

Серия DES-3500 имеет широкий набор многоуровневых (L2, L3, L4) QoS/CoS функций, для гарантии того, что критически важные сетевые сервисы, подобные VoIP, ERP, Intranet или видеоконференции будут обслуживаться с надлежащим приоритетом. Поддерживаются 4 очереди приоритетов для 802.1p/TOS/DiffServ с классификацией на основе МАС-адресов источника и приемник, IP-адресов источника или приемника и/или номеров портов TCP/UDP.

Основные команды для работы с коммутаторами D-Link серии DES и DXS

Просмотр основных характеристик коммутаторов dlink

Просмотр загрузки процессора (CPU)

Работа с конфигурацией

Просмотр текущей конфигурации

Просмотр конфигурации в nvram

Сохранение текущей конфигурации

Сброс к заводским настройкам

Настройка ip маски и шлюза

Настройка IP адреса и сетевой маски.

Просмотр интерфейсов управления.

Задание шлюза по умолчанию.

Просмотра маршрута по умолчанию.

Удаление маршрута по умолчанию.

Настройка VLAN на коммутаторах dlink

Просмотр всех созданных vlan.

Добавление vlan на порты.

В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5. Во втором случае добавляется тегированная (tagged) vlan на порты 8,10. В третьем случае запрещается прохождение vlan на 9-ом порту.

Настройка vlan управления коммутатора:

Удаление default vlan со всех портов.

Настройка пользователей на коммутаторах dlink

Настройка имени пользователя и пароля.

Просмотр учетной записи.

Cменить пароль существующему пользователю.

Просмотр mac и arp таблиц

Просмотр таблицы mac-адресов.

Просмотр таблицы mac-адресов для определенного порта.

Просмотр arp табицы.

Просмотр диагностической информации по портам

Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).

Просмотр ошибок на портe.

Просмотр статистики по всем портам.

Посмотреть инфу о SFP модуле

Установка комментария на порт

размер комментария может содержать до 32 символов и не должен содержать пробелы.

Перезагрузка коммутатора

«vlan_translation» данные правила ассоциирует C-VID с SP-VID.

«missdrop enable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться только согласно правилам vlan_translation.

«missdrop disable» означает, что добавление внешнего тега(SP-VLAN) будет осуществляться согласно правилам vlan_translation, а к трафику не попавшему под правила vlan_translation будет добавляться внешний тег(SP-VLAN) равный PVID порта, т.е. SP-VID = PVID.

«use_inner_priority enable» означает, что коммутатор будет использовать приоритет 802.1p тега C-VLAN в теге SP-VLAN.

«outer_tpid» означает, что коммутатор будет задавать TPID для внешнего тега(SP-VLAN) равный заданному значению.

Коммутаторы No2 и No3 - Транзитные коммутаторы

Коммутатор No4 - Access коммутатор

Блокировка "DHCP Server" клиентов

PPPoE только на Uplink

PPPoE - концентратор подключён к порту 26 коммутатора DES-3526, клиенты подключены к портам 1-25, MAC-адрес концентратора - 00-13-5F-AA-BB-CC.

Примечание: За полным описание протокола PPPoE обращайтесь к RFC 2516.

1. Создаём профиль ACL для разрешения PPPoE-пакетов от концентратора клиентам

create access-profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1

2. Разрешаем PPPoE-session-пакеты от концентратора клиентам

config access-profile 1 add access_id 100 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit

3. Разрешаем PPPoE-data-пакеты от концентратора клиентам

config access-profile 1 add access_id 200 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit

4. Создаём профиль ACL для разрешения PPPoE-пакетов от клиентов концентратору или серверу

create access-profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2

5. Разрешаем широковещательные PPPoE-session PADI пакеты от клиентов

config access-profile 2 add access_id 100 ethernet destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit

6. Разрешаем PPPoE-session пакеты от клиентов к серверу

config access-profile 2 add access_id 200 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit

7. Разрешаем PPPoE-session пакеты от клиентов к серверу

config access-profile 2 add access_id 300 ethernet destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit

8. Создаём профиль ACL для запрещения всех остальных PPPoE-пакетов

create access-profile ethernet ethernet_type profile 3

9. Запрещаем все остальные PPPoE пакеты

config access-profile 3 add access_id 100 ethernet ethernet_type 0x8863 port 1-26 deny config access-profile 3 add access_id 200 ethernet ethernet_type 0x8864 port 1-26 deny

Фильтры для свичей доступа

Настроить port security, запретив более одного mac адреса на порту (таким образом мы боремся с нежелательной и потенциально опасной ситуацией, когда клиент подключает в сеть провайдера не маршрутизатор, а коммутатор, сливая бродакстовый домен своей домашней сети с бродкастовым доменом провайдера)

Запретить STP на клиентских портах, чтобы пользователи не могли гадить в сеть провайдера BPDU пакетами

Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).

И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. Может показаться, что мы уже решили эту проблему, запретив не PPPoE трафик, однако есть но. В PPPoE первый запрос (на поиск PPPoE сервера) отсылается бродкастом, и если оборудование клиента в силу глюка, вируса или иных причин, посылает такие запросы интенсивно, это вполне может вывести сеть из строя.

ACL для DES-3200-52

Vlan translation(mapping)

С нашей стороны в порт 1 свитча DES-3200 приходят вланы 1110-1119. Нужно отдать с 10 порта на циску трафик с этих вланов с другими тегами - 2110-2119 соответственно. (Vlan Mapping в cisco)

Краткие теоретические сведения:

Коммутатор может быть сконфигурирован как агент DHCP Relay. В этом случае расширяются возможности применения DHCP-серверов в сети, поскольку уже не нужно использовать несколько DHCP-серверов, по одному в каждой подсети. Коммутатор просто перенаправляет DHCP-запрос от клиента в локальной подсети на удалённый DHCP-сервер.

DHCP-сервер 172.20.1.2/24
Маршрутизатор или коммутатор L3, выступающий в роли шлюза для 3-х подсетей:
- 172.20.1.1/24 – подсеть с серверами
- 192.168.10.1/24 – подсеть для управления коммутаторами
- 10.0.0.0/24 – подсеть абонентов
Коммутатор L2 (DES-3526/DES-3550/DES-3028/DES-3052/DES-3828) в роли агента DHCP Relay
IP 192.168.10.5/24
MAC-адрес: 00-11-22-33-44-55
2 абонента в качестве DHCP – клиентов, подсоединённые к портам 1 и 2 коммутатора L2 соответственно
Схема сети:

Настроить на коммутаторе DHCP option 82
Настроить DHCP-сервер
Итак, приступим:

Настройки коммутатора на примере DES-3526
Удаляем default vlan с портов

Включаем DHCP Relay

enable dhcp_relay
Указываем максимальное число хопов

config dhcp_relay hops 16 time 0
Настраиваем option 82

config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy replace
config dhcp_relay option_82 remote_id default
Указываем IP адрес dhcp-сервера

config dhcp_relay add ipif System 172.20.1.2
С коммутатором закончили, теперь приступаем к настройке DHCP-сервера:

В качестве DHCPD будем использовать ISC DHCPD, ниже приведена базовая конфигурация

if exists agent.remote-id and exists agent.circuit-id

log (info, concat(«- Lease: «, binary-to-ascii(10, 8, «.», leased-address), » via IP: «, switch-addr, » (MAC: «, switch-mac, «) on port: «, switch-port, » in VLAN: «, switch-port-vlan));

Создаем класс и пул:

Для 1-го абонента будет выдаваться ip 10.0.0.10

class "192.168.10.5:p1" match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "1"
and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.10.5";
>

pool range 10.0.0.10;
allow members of "192.168.10.5:p1";

>
Для 2-го абонента будет выдаваться ip 10.0.0.17

class "192.168.10.5:p2" match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "2"
and binary-to-ascii(10, 8, ".", packet(24, 4)) = "192.168.10.5";
>

pool range 10.0.0.17;
allow members of "192.168.10.5:p2";
>
Вот и все, детальную настройку ISC DHCPD я опишу в следующей статье.

Данные принципы создания и настройки vlan, подходят почти ко всем моделям коммутаторов D-link.

Управляемый коммутатор 3 уровня DGS-3612G, выступающий в роли шлюзов для подсетей:

Приступим к настройке DGS-3612G

По умолчанию на коммутаторе default vlan (1 vlan), он нам не нужен, убираем его

Теперь создадим абонентский vlan (vlan1001) и управляющий vlan для коммутаторов (vlan2001)

Теперь присвоим 1 и 2 порту созданные нами vlan

Перейдем к настройке интерфейсов, по умолчанию на коммутаторах создан IP 10.90.90.90/8, он нам не нужен, создадим свои, но для начала отключим этот

Создаем интерфейс с ip – 10.0.0.1/24, служащий шлюзом для абонентов.

В данном случае if1001 – имя интерфейса, оно может быть любым, правда с ограничением в 12 символов; 10.0.0.1/24 vlan1001 – ip адрес, принадлежащий vlan vlan1001.

Создадим интерфейс с ip – 172.20.0.1/24, служащий шлюзом для коммутаторов.

На этом настройка DGS-3612 закончена, переходим к настройки DES-3526.

Удаляем default vlan с портов

Cоздаем абонентский vlan vlan1001

Создание vlan можно описать чуть иначе, но в этом случае вы не задаете имя vlan, оно будет назначаться с соответствии с vlanid и будет выглядеть следующим образом VLAN1001 (VLAN в верхнем регистре)

Теперь создаем management vlan (управляющий vlan)

Создаем интерфейс и прописываем маршрут по умолчанию

Теперь по аналогии настраиваем DES-3028

Cоздаем абонентский vlan vlan1001

Создание vlan можно описать чуть иначе, но в этом случае вы не задаете имя vlan, оно будет назначаться с соответствии с vlanid и будет выглядеть следующим образом VLAN1001 (VLAN в верхнем регистре)

Теперь создаем management vlan (управляющий vlan)

Создаем интерфейс и прописываем маршрут по умолчанию

Вот и все, осталось прописать на абонентских станциях ip адреса из подсети 10.0.0.0/24 и шлюз 10.0.0.1. Настройка закончена

Читайте также:

  
• Как включить блютуз на колонке lg xboom
  
• Может ли провайдер блокировать роутер
  
• Манго телеком настройка роутера
  
• Как открыть порты на роутере keenetic
  
• Blackvue 650s видеорегистратор wifi не подключается к телефону андроид