Как узнать mac адрес коммутатора eltex
Обновлено: 05.07.2024
Консольный порт расположен с фронтальной стороны коммутатора. Для подключения необходим обычный консольный кабель и USB2COM переходник, если на ноутбуке или ПК отсутствует COM-порт. В настройках терминальной программы, например, PuTTY, необходимо выбрать соответсвующий serial-порт и выставить скорость 115200. Конфигурация по-умолчанию не содержит никаких учетных записей и сразу можно приступать к настройке, перейдя в привилегированный режим командой enable. Переходите в режим конфигурации командой conf и задайте hostname.
Обновление прошивки Eltex MES
Особенности новой версии ПО
Начиная с версии 1.1.40 для MES2124P реализовано автоматическое отключение/включение вентиляторов в зависимости от температуры встроенного датчика. Реализованы следующие пороги температуры:
<=50: вентиляторы выключены;
45-60: включен правый вентилятор;
>=55: включены оба вентилятора.
Для MES2124P revB и revC автоматическая регулировка скорости вращения вентиляторов в зависимости от температуры.
Организация удаленного доступа к коммутатору и подключение в существующую сеть
Предполагается, что все коммутаторы в существующей сети уже настроены, в сети настроен MSTP, порты, которыми соединены коммутаторы ЛВС настроены для работы в режиме trunk.
Выполняется начальная конфигурация MSTP, где количество инстансов и название региона идентичны настройкам коммутатора, к которому будет подключаться eltex mes.
Создается vlan управления коммутатора и прописываются сетевые настройки. В случае небольшой сети vlan для управления может быть один для всего оборудования.
Настраивается транковый порт, которым eltex mes будет подключаться к вышестоящему коммутатору. В конкретном примере это 24 медный порт, но можно использовать любые, в том числе и combo-порты.
Принципиальное отличие от коммутаторов cisco в том, то в IOS можно указать только "switchport mode trunk" и сразу в порту будут разрешены все vlan без ограничения. Здесь же в отсутствии строки "switchport trunk allowed vlan add" разрешен только первый (1) vlan, через который передаются нетегированные фреймы. "all" в конфигурации порта заменяется на список всех созданных на коммутаторе vlan'ов.
Теперь надо проверить работу mstp и убедиться что роль "Root" есть на аплинке.
Если настройки MSTP выполнены некорректно, например, имя региона не совпадает с именем региона на соседнем коммутаторе или оно написано в другом регистре (abc не идентично ABC), то статус будет как в примере ниже. В общем случае, необходимо перепроверить настройки на соседних коммутаторах.
Остается создать учетную запись администратора с максимальным уровнем привилегий. До работы с учетными записями рекомендую выполнить сохранение конфигурации. Если забудется пароль или еще что-нибудь, то всегда можно перезагрузить и попробовать еще раз.
Если все сделано корректно, то появится приглашение "User Name:" и у вас получится авторизоваться в качестве локального администратора. После этого можно еще раз сохранить конфигурацию.
| Команда | Что делает |
|---|---|
| show log file | посмотреть лог |
| show cpu utilization | Загруженность CPU |
| show ip int | Посмотреть параметры ip на свитче (шлюз по-умолчанию) |
Для входа в режим глобальной конфигурации пишем conf t
| Команда | Что делает |
|---|---|
| interface GigabitEthernet 0/ 1 или range | вход в режим конфигурирования порта или нескольикх портов |
| (no) negotiation | (выключить) включить автосогласование |
| speed | управление скоростью порта |
| duplex | управление дуплексом порта |
| (no) port sec | (выключить портсек) или конфигурирование портсека |
| port sec max | максимальное количество маков на порту |
| test cable-diag tdr int gi0/ 1 | сделать диагностику кабеля |
| show cable-diagnostics tdr int gi0/ 1 | посмотреть диагностику кабеля |
| show cable-diagnostics cable-lenght int gi0/ 1 | посмотреть упоротую диагностику кабеля |
Для просмотра состояния интерфейсов:
| Команда | Что делает |
|---|---|
| show interfaces status gi0/ 1 | посмотреть интерфейс 1 |
| clear counters gi0/ 1 | очистить счетчики порта |
| show interfaces status | посмотреть все интерфейсы |
| show mac address-table int gi0/ 1 | посмотреть мак на порту |
| show interfaces counters gi0/ 1 | посмотреть ошибки и трафик на порту |
| exit | выход из режима конфигурирования порта |
| end | выход из режима конфигурирования |
1)мастер:
no spanning-tree
eaps
eaps domain 0
control-vlan 100
ring 0
role master level 0
primary-port gigabitethernet1/0/11
secondary-port gigabitethernet1/0/12
exit
set ring 0 enable
exit
vlan database
vlan 100-101,4000
exit
interface gigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 100-101,4000
exit
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 100-101,4000
exit
2) Транзит:
no spanning-tree
eaps
eaps domain 0
control-vlan 100
ring 0
role transit level 0
primary-port gigabitethernet1/0/7
secondary-port gigabitethernet1/0/8
exit
set ring 0 enable
exit
vlan database
vlan 100-101,4000
exit
interface gigabitethernet1/0/7
switchport mode trunk
switchport trunk allowed vlan add 100-101,4000
exit
interface gigabitethernet1/0/8
switchport mode trunk
switchport trunk allowed vlan add 100-101,4000
exit
При проведении теста отключается ненадолго сам порт
Итак, коммутатор может огорошить вас следующими результатами.
Test failed – физическая неисправность, возможно, проблема с портом.
OK – пара в порядке.
Open – разрыв. Самый банальный случай, обрыв кабеля или конкретной пары.
Short – контакты пары замкнуты. Это означает не только оголенные контакты, которые соприкасаются друг с другом. Кабель может быть сильно передавлен до повреждения оболочки.
Impedance-mismatch – разница в сопротивлении (слишком большое затухание в линии). Плохая скрутка, либо кабель с некорректным сопротивлением. Или, к примеру, очень большая длина.
Short-with-pair – по сути вариация «Short». Замыкание между парами.
Not tested – будет выводиться по команде «show…» в случае если теста кабеля за данным портом еще не проводилось.
Настройка loopback detection возможна как на порту, так и в VLAN
Пример конфигурирования при настройке на VLAN:
Настройка позволяет защитить коммутатор от петли между разными портами коммутатора по VLAN
В этом случае LBD-пакеты отправляются с MAC-адресом назначения cf:00:00:00:00:00, что позволяет избежать проблем с изучением MAC-адресов на нижестоящем коммутаторе с петлей.
Добрый день, коллеги! В этой статье я попытался создать шаблон базовой настройки коммутаторов Eltex MES 23XX для использования в корпоративных сетях, имеющих вспомогательные сервисы администрирования и мониторинга. Разумеется, невозможно описать весь функционал коммутатора или рассмотреть все системы, применяющиеся для обслуживания сетей передачи данных. Но базовые настройки мы разберем.
Итак, всё начинается с имени устройства. Имя можно назначить любое, но оно должно нести информацию, помогающую администратору ориентироваться в своей сети. Такие имена, как switch1, sg1231fa или qwerty, неинформативны. Подробные, например ekb-malisheva51-floor.13-serv3-shkaf5-unit27, неудобны в работе. Лучше краткий вариант имени с указанием местоположения, например ekb-tower-lan1, поскольку остальные сведения можно указать в схемах сетей, системах мониторинга и баннерах.
Теперь займемся локальной учетной записью с полными правами (на учетной записи admin обязательно нужно изменить пароль) и паролем к привилегированному режиму:
username admin password ****** privilege 15
username not_admin password ****** privilege 15
enable password level 15 ******
Включаем SSH, протокол удаленного управления с шифрованием:
Затем – баннеры. Их применяют при получении удаленного доступа:
предупреждающий баннер при попытке входа. Он используется для уведомления того, кто осуществляет попытку подключения, о том, что несанкционированные подключения незаконны и расцениваются как попытка взлома;
приветственный баннер после успешной аутентификации. В нем можно разместить любую информацию от сведений о местоположении и назначении устройства до картинки из символов.
Особенность настройки баннера: необходимо выбрать разделительный символ, с которого баннер начнется, и которым закончится. При этом выбранный символ не должен использоваться в самом баннере:
----UNAUTHORIZED ACCESS IS PROHIBITED----
----------Switch is located in the Ekaterinburg, Malisheva 51-------
Далее нам потребуется сервер AAA. В небольших сетях такие решения не применяются (и для доступа на оборудование используется локальная учетная запись), но в крупных корпоративных или провайдерских сетях они незаменимы для создания гибких и масштабируемых политик доступа (часто с привлечением доменных политик Active Directory). ААА (Authentication, Authorization, Accounting) – три независимых друг от друга процесса, которые выполняются при предоставлении доступа пользователю к устройству:
Authentication – определение наличия пользователя и проверка правильности введенного пароля, аутентификация по логину и паролю;
Authorization – определение уровня прав пользователя, какие команды ему позволено выполнять и на каких устройствах;
Accounting – логирование всех действий пользователя на AAA-сервере.
Самые распространенные протоколы ААА – TACACS+ и Radius, причем TACACS+ считается более надежным. На сервере ААА создается объект для каждого узла в сети:
На узле сети задается соответствующая конфигурация: назначаются основной и резервный серверы ААА. Также указывается порядок проверок учетных записей: сначала c помощью сервера ААА, а если он недоступен, то через локальную базу в конфигурации устройства:
tacacs-server host 192.168.50.1 key ************
tacacs-server host 192.168.50.2 key ************ priority 1
aaa authentication enable default tacacs enable
aaa authentication login default tacacs local
aaa authentication login authorization default tacacs local
aaa accounting commands stop-only default tacacs
Осталось настроить интерфейс SVI для удаленного доступа. Разумеется, в корпоративных сетях для сегментации сетей используются VLAN. Пусть в нашем примере VLAN для управления сетевым оборудованием будет 15:
interface vlan 15
description Management SVI
ip address 192.168.2.21 255.255.255.0
ip default-gateway 192.168.2.254
После успешного входа мы получаем оба баннера:
management access-list remote-access
permit ip-source 192.168.33.1 service ssh
permit ip-source 172.16.0.0 mask 255.255.255.240 service ssh
permit ip-source 10.0.0.1 service snmp
management access-class remote-access
Кстати об SNMP. Используем самый простой вариант с SNMPv2c, без шифрования:
snmp-server community ******** ro
И можем сразу переходить к мониторингу. Zabbix отлично подходит для этой задачи:
Следующий шаг – настройка точного времени и отправка логов на Syslog-сервер. Для анализа событий в сети необходимо иметь единую точку отсчета времени, поэтому на всех узлах сети нужно настроить синхронизацию времени по протоколу NTP:
clock timezone MSK +3
clock source sntp
sntp unicast client enable
sntp server 10.0.0.1
Осталось сформировать удобочитаемые логи:
logging host 192.168.2.22
logging origin-id hostname
logging buffered informational
Разумеется, система анализа логов в крупной сети – сложный, комплексный продукт. В примере же я использую простую демонстрацию:
Еще один важный элемент конфигурации - её автоматическое сохранение на стороннем ресурсе. Есть различные подходы к этой задаче - использование готовых коммерческих или свободно распространяемых решений, например NOC, автоматизированная выгрузка конфигураций и их размещение, например, на GitHub, использование встроенных инструментов для использования FTP/TFTP-хранилищ. Мы рассмотрим автоматическую выгрузку конфигурации после ее сохранения на TFTP-сервер, размещенный в корпоративной сети (Eltex позволяет такжеиспользовать SCP). Для этого необходимо в конфигурации указать адрес TFTP-сервера, действие для выгрузки, и путь на сервере (я так же добавляю имя устройства, а коммутатор при формировании файла добавит в название временную метку):
backup server tftp://10.0.0.1
backup path eltex/ekb-tower-lan1
В результате, после сохранения файла, мы получим отчет в логе устройства, и новый файл на TFTP-сервере:
Пора настроить порты. Начнем с порта доступа. Не углубляясь в параметры безопасности, зададим принадлежность VLAN, защиту от BPDU при появлении постороннего коммутатора, быстрый переход порта в состояние передачи и выключим LLDP (пользователям необязательно знать, какое именно оборудование мы используем в своей сети):
description "Simple PC access"
switchport mode access
switchport access vlan 10
spanning-tree bpduguard enable
no lldp transmit
no lldp receive
Порт для соединения с другими сетевыми устройствами (uplink) настраивается в режиме trunk с запретом на прохождение native vlan и формированием полноценной выдачи информации по протоколу LLDP:
description "Link to CORE1 (192.168. )"
switchport mode trunk
switchport trunk allowed vlan add 10,15
switchport trunk native vlan 99
lldp optional-tlv port-desc sys-name sys-desc sys-cap
lldp management-address automatic
Теперь соседнее устройство будет знать о нашем коммутаторе чуть больше:
Соберем нашу конфигурацию в один шаблон, который можно легко адаптировать под простую архитектуру локальной сети:
Купить FS коммутаторы для обеспечения постоянной защиты Вашей сети.
MAC адрес коммутатора: что это и как работает?
Вы, возможно, замечали, что каждое устройство в вашей локальной сети имеет МАС - адрес в дополнение к IP-адресу. За исключением коммутаторов, которые имеют MAC - адрес коммутатора, все устройства, подключенные к Интернету, имеют этот уникальный идентификационный номер: от настольных компьютеров, ноутбуков, мобильных телефонов, планшетов до беспроводных камер безопасности, и даже у подключенного холодильника есть MAC - адрес. Итак, почему вашим сетевым устройствам нужны два адреса для подключения к сети? Разве IP адреса недостаточно? Для чего именно нужен MAC адрес?
Чтобы обозначить MAC адрес (Media Access Control) с точки зрения непрофессионала, вы можете представить MAC адрес как свой уникальный цифровой отпечаток пальца, который является единственным в мире. MAC адрес предоставляется производителем и встроен в микросхему, которая позволяет вашему устройству подключаться к сети. Для сетевого коммутатора он может иметь много MAC адресов, поскольку каждому интерфейсу коммутатора назначен один MAC адрес.
Общий обзор о МАС адресе
МАС vs IP адреса
Несмотря на похожие названия, адреса IP и MAC не имеют ничего общего, однако работая в связке. MAC адрес состоит из шести наборов буквенно-цифровых значений, разделённых двоеточием, и имеет вид что-то типа 00:0с:86:5s:9d:45:26. В этом обозначении сокрыта информация о производителе оборудования. И это первые три октета адреса. Программы диагностики (типа PC Wizard) именно так и определяют принадлежность оборудования, установленного на вашем компьютере. Теоретически MAC адрес при работе в сети, в отличие от IP собрата, остаётся неизменным. Так что для сетевых администраторов, определяющих отправителя и получателя данных в сети, он имеет более важное значение, нежели динамический IP. В беспроводных сетях правильно настроенная в роутере функция фильтрации MAC адресов выполняет защитную функцию отсева нежелательных компьютеров, предотвращая незаконное подключение к сети. IP адрес, напомню, можно подменить, не выходя из интернета, а со сменой адреса MAC у потенциального взломщика могут возникнуть проблемы уже на этапе подключения к текущему провайдеру .
Для чего коммутаторы используют МАС адрес?
Коммутаторы не похожи на хабы или ретрансляторы. Хаб просто ретранслирует каждый сигнал на каждом порту на каждый другой порт, который легко создать. Коммутатор, с другой стороны, разумно направляет трафик между системами, направляя пакеты только к их надлежащему месту назначения. Для этого он отслеживает MAC адреса сетевых карт, подключенных к каждому порту. MAC адреса должны быть уникальными или, по крайней мере, маловероятно повторяющимися, чтобы их коммутаторы могли идентифицировать различные порты и устройства. Поэтому ручная установка MAC адреса может иметь неожиданные последствия в коммутируемой сети. Коммутаторы обычно имеют несколько MAC адресов, зарезервированных в своей таблице MAC адресов. При пересылке фрейма коммутатор сначала просматривает таблицу MAC адресов по MAC адресу назначения фрейма для исходящего порта. Если исходящий порт найден, фрейм пересылается, а не транслируется, поэтому трансляции уменьшаются.
Как коммутаторы узнают МАС адрес?
Поскольку у коммутатора есть некоторый интеллект, он может автоматически создать таблицу MAC адресов. Следующая часть иллюстрирует, как коммутатор узнает MAC адреса.
Компьютер A будет отправлять некоторые данные, предназначенные для компьютера B, поэтому он создаст канал Ethernet, который имеет MAC адрес источника (AAA) и MAC адрес назначения (BBB). Коммутатор имеет таблицу MAC адресов, и вот что произойдет:
Коммутатор создаст таблицу MAC адресов и будет учиться только по исходным MAC адресам. В этот момент он только что узнал, что MAC адрес компьютера A находится на интерфейсе 1. Теперь он добавит эту информацию в свою таблицу MAC адресов. Но коммутатор в настоящее время не имеет информации о том, где находится компьютер B. Остался только один вариант, чтобы вылить этот фрейм из всех его интерфейсов, кроме того, откуда он поступил. компьютер B и компьютер C получат этот Ethernet фрейм.
Поскольку компьютер B видит свой MAC адрес в качестве пункта назначения этого Ethernet фрейма, он знает, что он предназначен для него, компьютер C его отбросит. Компьютер B ответит на компьютер A, создаст Ethernet фрейм и отправит его к коммутатору. В этот момент коммутатор узнает MAC адрес компьютера B. Это конец нашей истории, теперь коммутатор знает как и когда он может «переключаться» вместо переполнения Ethernet фреймов. Компьютер C никогда не увидит никаких фреймов между компьютером A и B, за исключением первого, который был залит. Вы можете использовать динамическую команду show mac address-table, чтобы увидеть все MAC адреса, которые изучил коммутатор. Здесь следует подчеркнуть еще один момент: таблица MAC адресов на коммутаторе использует механизм устаревания для динамических записей. Если MAC адреса компьютеров A и B не обновляются в течение времени их старения, они будут удалены, чтобы освободить место для новых записей, что означает, что фреймы между компьютером A и B будут снова залиты на компьютер C, если A хочет передать информацию в В.
Как настроить адресную таблицу Mac вашего коммутатора?
Для переадресации кадров поддерживается таблица MAC адресов, которую можно динамически изучать или настраивать вручную. Первый был введен в предыдущем тексте, а следующая часть будет посвящена тому, как вручную настроить MAC адреса для адаптации к изменениям сети и повышения безопасности сети.
Настройка записей таблицы статических, динамических и черных MAC адресов
Чтобы повысить безопасность портов, вы можете вручную добавить записи MAC адресов в таблицу MAC адресов, чтобы связать порты с MAC адресами, предотвращая атаки по подделке MAC адресов. Кроме того, вы можете настроить черные MAC адреса для фильтрации пакетов с определенными исходными или целевыми MAC адресами.
Чтобы добавить или изменить статическую, динамическую или черную запись в таблице MAC адресов:
| Шаг | Команда | Поправки |
|---|---|---|
| 1. Войдите в систему. | system-view | N/A |
| 2. Добавьте или измените запись динамического или статического MAC адреса | mac-address < dynamic | static >mac-addressinterface interface-typeinterface-number vlan vlan-id | Используйте ту же команду. |
| 3. Добавьте или измените запись черного MAC адреса. | mac-address blackhole mac-address vlan vlan-id | |
Настройка многопортовой записи таблицы MAC адресов одноадресной рассылки
Вы можете настроить запись многопортового одноадресного MAC адреса в таблице, чтобы связать одноадресный MAC адрес с несколькими портами, чтобы пакеты, соответствующие этой записи, доставлялись на несколько портов назначения.
Чтобы настроить многопортовую запись таблицы MAC адресов одноадресной рассылки:
| Шаг | Команда | Поправки |
|---|---|---|
| 1. Enter system view. | system-view | N/A |
| 2. Настройте таймер устаревания для записей динамического MAC адреса. | mac-address timer < agingseconds | no-aging > | Необязательно. Диапазон значений таймера старения составляет от 10 до 3600 секунд, а значение по умолчанию составляет 300 секунд. |
Настройка предела загрузки MAC для портов
Чтобы таблица MAC адресов не стала настолько большой, что производительность переадресации коммутатора ухудшится, вы можете ограничить число MAC адресов, которые могут быть учтены на порту.
Чтобы настроить ограничение загруженности MAC для портов:
1. Enter Ethernet interface view: interface interface-type interface-number
2. Enter port group view: port-group manual port-group-name
3. Enter Layer 2 aggregate interface view: interface bridge-aggregationinterface-number
Настройка предела загрузки MAC в VLAN
Вы также можете ограничить количество MAC адресов, которые можно узнать на основе VLAN.
Чтобы настроить ограничение на загрузку MAC в VLAN:
| Шаг | Команда | Поправки |
|---|---|---|
| 1. Войдите в систему. | system-view | N/A |
| 2. Войдите в VLAN вид. | vlan vlan-id | N/A |
| 3. Настройте предел загрузки MAC адресов в VLAN и настройте возможность пересылки фреймов с неизвестными исходными MAC адресами в VLAN при достижении верхнего предела. | mac-address max-mac-count < count| disable-forwarding > | По умолчанию максимальное количество MAC адресов, которые можно узнать в VLAN, не указано. |
Отображение и ведение таблицы MAC адресов
| Шаг | Команда | Поправки |
|---|---|---|
| 1. Отображение информации таблицы MAC адресов. | display mac-address [mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ] [ | < begin | exclude | include >regular-expression ] | Допустимо в любом виде |
| 2. Отобразите записи таблицы MAC адресов для нескольких портов одноадресной рассылки. | display mac-address multiport [ vlan vlan-id ] [ count ] [ | < begin | exclude | include >regular-expression ] | Допустимо в любом виде |
| 3. Отображение таймера старения для динамических записей MAC адресов. | display mac-address aging-time [ | < begin | exclude | include >regular-expression ] | Допустимо в любом виде |
Заключение
По общему признанию, когда дело доходит до MAC, мужчины склонны думать о фантастическом компьютере, а женщины - о красоте. Но когда мы слышим термин «MAC адрес», теперь мы понимаем, что говорим о совершенно другом звере. Поскольку MAC адреса являются уникальными для сетевой карты и не используются повторно, они весьма полезны и важны в приложениях. Сетевые коммутаторы хранят список MAC адресов, видимых на каждом порту, и только перенаправляют пакеты на порты, которые должны видеть пакет. Точки беспроводного доступа часто используют MAC адреса для контроля доступа. Они разрешают доступ только для известных устройств. Кроме того, серверы DHCP (протокол динамической конфигурации хоста) используют MAC адрес для идентификации устройств и дают некоторым устройствам фиксированные IP адреса .
Читайте также: