Accton Edge Core ES 3528M: различия между версиями
Sirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
(не показано 25 промежуточных версий 2 участников) | |||
Строка 1: | Строка 1: | ||
+ | [[Категория:EdgeCore]] |
||
+ | [[Категория:Networking]] |
||
+ | [[Категория:SNMP]] |
||
+ | [[Категория:Switch]] |
||
+ | |||
==Загрузка== |
==Загрузка== |
||
Очень похоже на 3528XA |
Очень похоже на 3528XA |
||
Строка 82: | Строка 87: | ||
</PRE> |
</PRE> |
||
+ | |||
+ | |||
+ | ==Обновляю прошивку== |
||
+ | <PRE> |
||
+ | Console#copy tftp file |
||
+ | TFTP server IP address: 172.31.0.1 |
||
+ | Choose file type: |
||
+ | 1. config: 2. opcode: 4. diag: 5. loader: <1,2,4,5>: 2 |
||
+ | Source file name: ES3528_52M_opcode_V1.3.7.10.bix |
||
+ | Destination file name: ES3528_52M_opcode_V1.3.7.10.bix |
||
+ | Write to flash programming. |
||
+ | Programming flash started. |
||
+ | Success. |
||
+ | |||
+ | Console#dir |
||
+ | File name File type Startup Size (byte) |
||
+ | ------------------------------------- -------------- ------- ----------- |
||
+ | Unit1: |
||
+ | ES3528_52M_diag_V1.2.0.1.bix Boot-Rom Image Y 1406420 |
||
+ | ES3528_52M_opcode_V1.3.4.0.bix Operation Code Y 4413192 |
||
+ | ES3528_52M_opcode_V1.3.7.10.bix Operation Code N 4484284 |
||
+ | Factory_Default_Config.cfg Config File N 455 |
||
+ | Fixup-ip Config File N 3891 |
||
+ | startup1.cfg Config File Y 3984 |
||
+ | --------------------------------------------------------------------------- |
||
+ | Total free space: 4718592 |
||
+ | Console# |
||
+ | </PRE> |
||
+ | |||
+ | |||
+ | Выбрать новый образ как основной: |
||
+ | <PRE> |
||
+ | Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix |
||
+ | </PRE> |
||
+ | |||
+ | Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя<BR> |
||
+ | На момент написания статьи последняя прошивка: |
||
+ | <PRE> |
||
+ | ES3528_52M_opcode_V1.4.8.0.bix |
||
+ | </PRE> |
||
+ | |||
+ | После обновления: |
||
+ | <PRE> |
||
+ | Console#sh ver |
||
+ | Unit 1 |
||
+ | Serial Number: 034002803 |
||
+ | Hardware Version: R01 |
||
+ | Chip Device ID: Marvell 98DX106-B0, 88E6095[F] |
||
+ | EPLD Version: 0.07 |
||
+ | Number of Ports: 28 |
||
+ | Main Power Status: Up |
||
+ | Redundant Power Status: Not present |
||
+ | |||
+ | Agent (Master) |
||
+ | Unit ID: 1 |
||
+ | Loader Version: 1.0.2.0 |
||
+ | Boot ROM Version: 1.2.0.1 |
||
+ | Operation Code Version: 1.4.8.0 |
||
+ | </PRE> |
||
+ | Субъективно кажется, что эта прошивка загружалась дольше чем другие. |
||
+ | |||
+ | ==Конфигурирование VLANs== |
||
+ | Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).<BR> |
||
+ | Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.<BR> |
||
+ | Имеем, например: |
||
+ | <PRE> |
||
+ | Console#sh run int ethernet 1/28 |
||
+ | interface ethernet 1/28 |
||
+ | description ---=== UPLINK ===-- |
||
+ | switchport allowed vlan add 1 untagged |
||
+ | switchport allowed vlan add 1,1001 tagged |
||
+ | switchport mode trunk |
||
+ | </PRE> |
||
+ | VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком. |
||
+ | <PRE> |
||
+ | Console#conf |
||
+ | Console(config)#interface ethernet 1/28 |
||
+ | Console(config-if)#switchport mode hybrid |
||
+ | Console(config-if)#switchport allowed vlan add 4090 untagged |
||
+ | Console(config-if)#switchport native vlan 4090 |
||
+ | Console(config-if)#switchport allowed vlan remove 1 |
||
+ | Console(config-if)#switchport mode trunk |
||
+ | Console(config-if)# |
||
+ | Console#sh run int e 1/28 |
||
+ | interface ethernet 1/28 |
||
+ | description ---=== UPLINK ===-- |
||
+ | switchport allowed vlan add 4090 untagged |
||
+ | switchport native vlan 4090 |
||
+ | switchport allowed vlan remove 1 |
||
+ | switchport allowed vlan add 1001,4090 tagged |
||
+ | switchport mode trunk |
||
+ | </PRE> |
||
+ | ==DHCP Snooping + IP SOURCE GUARD== |
||
+ | ===Введение=== |
||
+ | Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом. <BR> |
||
+ | |||
+ | Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.) |
||
+ | # Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные. |
||
+ | # Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением. |
||
+ | # Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль. |
||
+ | |||
+ | |||
+ | Авторизация: |
||
+ | * Клиент получил IP из гостевого пула. |
||
+ | * Перенаправле на станичку авторизации. |
||
+ | * Ввел свой логин и пароль. |
||
+ | * Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча. |
||
+ | * На основании этих данных сделать привязку. |
||
+ | * клиент переполучит IP уже из пула "нормальных" |
||
+ | * поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard |
||
+ | |||
+ | ===Настройка коммутатора=== |
||
+ | |||
+ | Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана. |
||
+ | <PRE> |
||
+ | ! |
||
+ | ip dhcp snooping |
||
+ | ip dhcp snooping vlan 2001 |
||
+ | ip dhcp snooping information option |
||
+ | ! |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67) |
||
+ | Source port: 68 (68) |
||
+ | Destination port: 67 (67) |
||
+ | Length: 328 |
||
+ | Checksum: 0xf8f3 [validation disabled] |
||
+ | [Good Checksum: False] |
||
+ | [Bad Checksum: False] |
||
+ | Bootstrap Protocol |
||
+ | Message type: Boot Request (1) |
||
+ | Hardware type: Ethernet |
||
+ | Hardware address length: 6 |
||
+ | Hops: 0 |
||
+ | Transaction ID: 0x5e7c1cd3 |
||
+ | Seconds elapsed: 26 |
||
+ | [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian] |
||
+ | [Message: Seconds elapsed (26) appears to be encoded as little-endian] |
||
+ | [Severity level: Note] |
||
+ | [Group: Malformed] |
||
+ | Bootp flags: 0x0000 (Unicast) |
||
+ | 0... .... .... .... = Broadcast flag: Unicast |
||
+ | .000 0000 0000 0000 = Reserved flags: 0x0000 |
||
+ | Client IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Your (client) IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Next server IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Relay agent IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
+ | Client hardware address padding: 00000000000000000000 |
||
+ | Server host name not given |
||
+ | Boot file name not given |
||
+ | Magic cookie: (OK) |
||
+ | Option: (t=53,l=1) DHCP Message Type = DHCP Discover |
||
+ | Option: (53) DHCP Message Type |
||
+ | Length: 1 |
||
+ | Value: 01 |
||
+ | Option: (t=116,l=1) DHCP Auto-Configuration [TODO] |
||
+ | Option: (116) DHCP Auto-Configuration [TODO] |
||
+ | Length: 1 |
||
+ | Value: 01 |
||
+ | Option: (t=61,l=7) Client identifier |
||
+ | Option: (61) Client identifier |
||
+ | Length: 7 |
||
+ | Value: 01525400123456 |
||
+ | Hardware type: Ethernet |
||
+ | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
+ | Option: (t=12,l=4) Host Name = "chat" |
||
+ | Option: (12) Host Name |
||
+ | Length: 4 |
||
+ | Value: 63686174 |
||
+ | Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" |
||
+ | Option: (60) Vendor class identifier |
||
+ | Length: 8 |
||
+ | Value: 4D53465420352E30 |
||
+ | Option: (t=55,l=11) Parameter Request List |
||
+ | Option: (55) Parameter Request List |
||
+ | Length: 11 |
||
+ | Value: 010F03062C2E2F1F21F92B |
||
+ | 1 = Subnet Mask |
||
+ | 15 = Domain Name |
||
+ | 3 = Router |
||
+ | 6 = Domain Name Server |
||
+ | 44 = NetBIOS over TCP/IP Name Server |
||
+ | 46 = NetBIOS over TCP/IP Node Type |
||
+ | 47 = NetBIOS over TCP/IP Scope |
||
+ | 31 = Perform Router Discover |
||
+ | 33 = Static Route |
||
+ | 249 = Private/Classless Static Route (Microsoft) |
||
+ | 43 = Vendor-Specific Information |
||
+ | Option: (t=82,l=18) Agent Information Option |
||
+ | Option: (82) Agent Information Option |
||
+ | Length: 18 |
||
+ | Value: 0106000407D10101020800067072CF1AFE8F |
||
+ | Agent Circuit ID: 000407D10101 |
||
+ | Agent Remote ID: 00067072CF1AFE8F |
||
+ | End Option |
||
+ | Padding |
||
+ | </PRE> |
||
+ | |||
+ | <PRE> |
||
+ | Next server IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Relay agent IP address: 0.0.0.0 (0.0.0.0) |
||
+ | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
+ | Client hardware address padding: 00000000000000000000 |
||
+ | Server host name not given |
||
+ | Boot file name not given |
||
+ | Magic cookie: (OK) |
||
+ | Option: (t=53,l=1) DHCP Message Type = DHCP Discover |
||
+ | Option: (53) DHCP Message Type |
||
+ | Length: 1 |
||
+ | Value: 01 |
||
+ | Option: (t=116,l=1) DHCP Auto-Configuration [TODO] |
||
+ | Option: (116) DHCP Auto-Configuration [TODO] |
||
+ | Length: 1 |
||
+ | Value: 01 |
||
+ | Option: (t=61,l=7) Client identifier |
||
+ | Option: (61) Client identifier |
||
+ | Length: 7 |
||
+ | Value: 01525400123456 |
||
+ | Hardware type: Ethernet |
||
+ | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
+ | Option: (t=12,l=4) Host Name = "chat" |
||
+ | Option: (12) Host Name |
||
+ | Length: 4 |
||
+ | Value: 63686174 |
||
+ | Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" |
||
+ | Option: (60) Vendor class identifier |
||
+ | Length: 8 |
||
+ | Value: 4D53465420352E30 |
||
+ | Option: (t=55,l=11) Parameter Request List |
||
+ | Option: (55) Parameter Request List |
||
+ | Length: 11 |
||
+ | Value: 010F03062C2E2F1F21F92B |
||
+ | 1 = Subnet Mask |
||
+ | 15 = Domain Name |
||
+ | 3 = Router |
||
+ | 6 = Domain Name Server |
||
+ | 44 = NetBIOS over TCP/IP Name Server |
||
+ | 46 = NetBIOS over TCP/IP Node Type |
||
+ | 47 = NetBIOS over TCP/IP Scope |
||
+ | 31 = Perform Router Discover |
||
+ | 33 = Static Route |
||
+ | 249 = Private/Classless Static Route (Microsoft) |
||
+ | 43 = Vendor-Specific Information |
||
+ | Option: (t=82,l=22) Agent Information Option |
||
+ | Option: (82) Agent Information Option |
||
+ | Length: 22 |
||
+ | Value: 0106000407D10101020C030A3137322E33312E302E32 |
||
+ | Agent Circuit ID: 000407D10101 |
||
+ | Agent Remote ID: 030A3137322E33312E302E32 |
||
+ | End Option |
||
+ | Padding |
||
+ | </PRE> |
||
+ | |||
+ | ==SNMP== |
||
+ | <PRE> |
||
+ | Man of Honour Пн окт 11 2010 12:16:57 |
||
+ | 1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running |
||
+ | 1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup |
||
+ | 1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать |
||
+ | Man of Honour Пн окт 11 2010 12:17:06 |
||
+ | 1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус |
||
+ | Man of Honour Пн окт 11 2010 12:17:30 |
||
+ | это пример копирования running-config в startupconfig |
||
+ | </PRE> |
||
+ | |||
+ | ==Полезности== |
||
+ | ===Сброс настроек в default=== |
||
+ | <PRE> |
||
+ | Console(config)#boot system config: Factory_Default_Config.cfg |
||
+ | Success. |
||
+ | Console(config)#reload |
||
+ | </PRE> |
||
+ | === Перезагрузка в назначенное время === |
||
+ | Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала. |
||
+ | <PRE> |
||
+ | Console(config)#reload ? |
||
+ | at Configures reloading switch at time |
||
+ | cancel Cancels the specified reload setting |
||
+ | in Configures reloading switch in time |
||
+ | regularity Configures reloading switch at periodic intervals |
||
+ | Console(config)#reload in ? |
||
+ | </PRE> |
||
+ | ===Авторизация через радиус=== |
||
+ | Так как <s>я не собираюсь жить вечно</s> время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую |
||
+ | <BR> |
||
+ | На коммутаторе |
||
+ | <PRE> |
||
+ | ! |
||
+ | radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo |
||
+ | ! |
||
+ | authentication login radius local |
||
+ | authentication enable radius local |
||
+ | ! |
||
+ | aaa authorization exec default group RADIUS-GROUP |
||
+ | ! |
||
+ | ! |
||
+ | aaa group server radius RADIUS-GROUP |
||
+ | server 1 |
||
+ | ! |
||
+ | </PRE> |
||
+ | На радиус-сервере:<BR> |
||
+ | users: |
||
+ | <PRE> |
||
+ | DEFAULT Auth-Type = Local |
||
+ | Fall-Through = 1 |
||
+ | |||
+ | adminuser Cleartext-Password := "<ТутПароль>" |
||
+ | User-Service-Type = Shell-User, |
||
+ | cisco-avpair += "shell:priv-lvl=1" |
||
+ | |||
+ | $enab15$ Cleartext-Password := "<ТутENABLEПароль>" |
||
+ | Cisco-AVPair = "shell:priv-lvl=15" |
||
+ | |||
+ | </PRE> |
||
+ | adminuser имеет привилении enable сразу. |
||
+ | |||
+ | Запускаю так (у меня несколько экземпляров radiusd c разными конфигами: |
||
+ | {{Root|<nowiki>LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/</nowiki>}} |
||
+ | |||
+ | ===Ссылки на полезности=== |
||
+ | http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70 <BR> |
||
+ | http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E <BR> |
Текущая версия на 15:12, 5 мая 2020
Загрузка
Очень похоже на 3528XA
--- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.3.4.0.bix Runtime 1.3.4.0 DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Load certificate files : Starting Load certificate files : Finished Finish Master mode ... Performing startup provision ... CLI enter main (PROVISION) .............................................................................................................................................................. CLI provision has been completed Notify provision complete Provision Complete ... Finish Provision Complete ... [get stackingMac done ret_val] = 1 XFER: End of config sync. *************************************************************** WARNING - MONITORED ACTIONS AND ACCESSES Station's information: Floor / Row / Rack / Sub-Rack / / / DC power supply: Power Source A: Floor / Row / Rack / Electrical circuit / / / Number of LP: Position MUX: IP LAN: Note: *************************************************************** CTRL-A Z for help | 9600 8N1 | NOR | Minicom 2.4 | VT102 | Offline User Access Verification Username: admin Password: CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. No configured settings for reloading. Console#
Обновляю прошивку
Console#copy tftp file TFTP server IP address: 172.31.0.1 Choose file type: 1. config: 2. opcode: 4. diag: 5. loader: <1,2,4,5>: 2 Source file name: ES3528_52M_opcode_V1.3.7.10.bix Destination file name: ES3528_52M_opcode_V1.3.7.10.bix Write to flash programming. Programming flash started. Success. Console#dir File name File type Startup Size (byte) ------------------------------------- -------------- ------- ----------- Unit1: ES3528_52M_diag_V1.2.0.1.bix Boot-Rom Image Y 1406420 ES3528_52M_opcode_V1.3.4.0.bix Operation Code Y 4413192 ES3528_52M_opcode_V1.3.7.10.bix Operation Code N 4484284 Factory_Default_Config.cfg Config File N 455 Fixup-ip Config File N 3891 startup1.cfg Config File Y 3984 --------------------------------------------------------------------------- Total free space: 4718592 Console#
Выбрать новый образ как основной:
Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix
Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя
На момент написания статьи последняя прошивка:
ES3528_52M_opcode_V1.4.8.0.bix
После обновления:
Console#sh ver Unit 1 Serial Number: 034002803 Hardware Version: R01 Chip Device ID: Marvell 98DX106-B0, 88E6095[F] EPLD Version: 0.07 Number of Ports: 28 Main Power Status: Up Redundant Power Status: Not present Agent (Master) Unit ID: 1 Loader Version: 1.0.2.0 Boot ROM Version: 1.2.0.1 Operation Code Version: 1.4.8.0
Субъективно кажется, что эта прошивка загружалась дольше чем другие.
Конфигурирование VLANs
Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).
Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.
Имеем, например:
Console#sh run int ethernet 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 1 untagged switchport allowed vlan add 1,1001 tagged switchport mode trunk
VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком.
Console#conf Console(config)#interface ethernet 1/28 Console(config-if)#switchport mode hybrid Console(config-if)#switchport allowed vlan add 4090 untagged Console(config-if)#switchport native vlan 4090 Console(config-if)#switchport allowed vlan remove 1 Console(config-if)#switchport mode trunk Console(config-if)# Console#sh run int e 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 4090 untagged switchport native vlan 4090 switchport allowed vlan remove 1 switchport allowed vlan add 1001,4090 tagged switchport mode trunk
DHCP Snooping + IP SOURCE GUARD
Введение
Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом.
Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)
- Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
- Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
- Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.
Авторизация:
- Клиент получил IP из гостевого пула.
- Перенаправле на станичку авторизации.
- Ввел свой логин и пароль.
- Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
- На основании этих данных сделать привязку.
- клиент переполучит IP уже из пула "нормальных"
- поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard
Настройка коммутатора
Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана.
! ip dhcp snooping ip dhcp snooping vlan 2001 ip dhcp snooping information option !
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67) Source port: 68 (68) Destination port: 67 (67) Length: 328 Checksum: 0xf8f3 [validation disabled] [Good Checksum: False] [Bad Checksum: False] Bootstrap Protocol Message type: Boot Request (1) Hardware type: Ethernet Hardware address length: 6 Hops: 0 Transaction ID: 0x5e7c1cd3 Seconds elapsed: 26 [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian] [Message: Seconds elapsed (26) appears to be encoded as little-endian] [Severity level: Note] [Group: Malformed] Bootp flags: 0x0000 (Unicast) 0... .... .... .... = Broadcast flag: Unicast .000 0000 0000 0000 = Reserved flags: 0x0000 Client IP address: 0.0.0.0 (0.0.0.0) Your (client) IP address: 0.0.0.0 (0.0.0.0) Next server IP address: 0.0.0.0 (0.0.0.0) Relay agent IP address: 0.0.0.0 (0.0.0.0) Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Client hardware address padding: 00000000000000000000 Server host name not given Boot file name not given Magic cookie: (OK) Option: (t=53,l=1) DHCP Message Type = DHCP Discover Option: (53) DHCP Message Type Length: 1 Value: 01 Option: (t=116,l=1) DHCP Auto-Configuration [TODO] Option: (116) DHCP Auto-Configuration [TODO] Length: 1 Value: 01 Option: (t=61,l=7) Client identifier Option: (61) Client identifier Length: 7 Value: 01525400123456 Hardware type: Ethernet Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Option: (t=12,l=4) Host Name = "chat" Option: (12) Host Name Length: 4 Value: 63686174 Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" Option: (60) Vendor class identifier Length: 8 Value: 4D53465420352E30 Option: (t=55,l=11) Parameter Request List Option: (55) Parameter Request List Length: 11 Value: 010F03062C2E2F1F21F92B 1 = Subnet Mask 15 = Domain Name 3 = Router 6 = Domain Name Server 44 = NetBIOS over TCP/IP Name Server 46 = NetBIOS over TCP/IP Node Type 47 = NetBIOS over TCP/IP Scope 31 = Perform Router Discover 33 = Static Route 249 = Private/Classless Static Route (Microsoft) 43 = Vendor-Specific Information Option: (t=82,l=18) Agent Information Option Option: (82) Agent Information Option Length: 18 Value: 0106000407D10101020800067072CF1AFE8F Agent Circuit ID: 000407D10101 Agent Remote ID: 00067072CF1AFE8F End Option Padding
Next server IP address: 0.0.0.0 (0.0.0.0) Relay agent IP address: 0.0.0.0 (0.0.0.0) Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Client hardware address padding: 00000000000000000000 Server host name not given Boot file name not given Magic cookie: (OK) Option: (t=53,l=1) DHCP Message Type = DHCP Discover Option: (53) DHCP Message Type Length: 1 Value: 01 Option: (t=116,l=1) DHCP Auto-Configuration [TODO] Option: (116) DHCP Auto-Configuration [TODO] Length: 1 Value: 01 Option: (t=61,l=7) Client identifier Option: (61) Client identifier Length: 7 Value: 01525400123456 Hardware type: Ethernet Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Option: (t=12,l=4) Host Name = "chat" Option: (12) Host Name Length: 4 Value: 63686174 Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" Option: (60) Vendor class identifier Length: 8 Value: 4D53465420352E30 Option: (t=55,l=11) Parameter Request List Option: (55) Parameter Request List Length: 11 Value: 010F03062C2E2F1F21F92B 1 = Subnet Mask 15 = Domain Name 3 = Router 6 = Domain Name Server 44 = NetBIOS over TCP/IP Name Server 46 = NetBIOS over TCP/IP Node Type 47 = NetBIOS over TCP/IP Scope 31 = Perform Router Discover 33 = Static Route 249 = Private/Classless Static Route (Microsoft) 43 = Vendor-Specific Information Option: (t=82,l=22) Agent Information Option Option: (82) Agent Information Option Length: 22 Value: 0106000407D10101020C030A3137322E33312E302E32 Agent Circuit ID: 000407D10101 Agent Remote ID: 030A3137322E33312E302E32 End Option Padding
SNMP
Man of Honour Пн окт 11 2010 12:16:57 1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running 1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup 1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать Man of Honour Пн окт 11 2010 12:17:06 1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус Man of Honour Пн окт 11 2010 12:17:30 это пример копирования running-config в startupconfig
Полезности
Сброс настроек в default
Console(config)#boot system config: Factory_Default_Config.cfg Success. Console(config)#reload
Перезагрузка в назначенное время
Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.
Console(config)#reload ? at Configures reloading switch at time cancel Cancels the specified reload setting in Configures reloading switch in time regularity Configures reloading switch at periodic intervals Console(config)#reload in ?
Авторизация через радиус
Так как я не собираюсь жить вечно время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
На коммутаторе
! radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo ! authentication login radius local authentication enable radius local ! aaa authorization exec default group RADIUS-GROUP ! ! aaa group server radius RADIUS-GROUP server 1 !
На радиус-сервере:
users:
DEFAULT Auth-Type = Local Fall-Through = 1 adminuser Cleartext-Password := "<ТутПароль>" User-Service-Type = Shell-User, cisco-avpair += "shell:priv-lvl=1" $enab15$ Cleartext-Password := "<ТутENABLEПароль>" Cisco-AVPair = "shell:priv-lvl=15"
adminuser имеет привилении enable сразу.
Запускаю так (у меня несколько экземпляров radiusd c разными конфигами:
Ссылки на полезности
http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70
http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E