Accton Edge Core ES 3528M: различия между версиями
Материал из noname.com.ua
Перейти к навигацииПерейти к поискуSirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
| (не показано 25 промежуточных версий 2 участников) | |||
| Строка 1: | Строка 1: | ||
| + | [[Категория:EdgeCore]] |
||
| + | [[Категория:Networking]] |
||
| + | [[Категория:SNMP]] |
||
| + | [[Категория:Switch]] |
||
| + | |||
==Загрузка== |
==Загрузка== |
||
Очень похоже на 3528XA |
Очень похоже на 3528XA |
||
| Строка 82: | Строка 87: | ||
</PRE> |
</PRE> |
||
| + | |||
| + | |||
| + | ==Обновляю прошивку== |
||
| + | <PRE> |
||
| + | Console#copy tftp file |
||
| + | TFTP server IP address: 172.31.0.1 |
||
| + | Choose file type: |
||
| + | 1. config: 2. opcode: 4. diag: 5. loader: <1,2,4,5>: 2 |
||
| + | Source file name: ES3528_52M_opcode_V1.3.7.10.bix |
||
| + | Destination file name: ES3528_52M_opcode_V1.3.7.10.bix |
||
| + | Write to flash programming. |
||
| + | Programming flash started. |
||
| + | Success. |
||
| + | |||
| + | Console#dir |
||
| + | File name File type Startup Size (byte) |
||
| + | ------------------------------------- -------------- ------- ----------- |
||
| + | Unit1: |
||
| + | ES3528_52M_diag_V1.2.0.1.bix Boot-Rom Image Y 1406420 |
||
| + | ES3528_52M_opcode_V1.3.4.0.bix Operation Code Y 4413192 |
||
| + | ES3528_52M_opcode_V1.3.7.10.bix Operation Code N 4484284 |
||
| + | Factory_Default_Config.cfg Config File N 455 |
||
| + | Fixup-ip Config File N 3891 |
||
| + | startup1.cfg Config File Y 3984 |
||
| + | --------------------------------------------------------------------------- |
||
| + | Total free space: 4718592 |
||
| + | Console# |
||
| + | </PRE> |
||
| + | |||
| + | |||
| + | Выбрать новый образ как основной: |
||
| + | <PRE> |
||
| + | Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix |
||
| + | </PRE> |
||
| + | |||
| + | Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя<BR> |
||
| + | На момент написания статьи последняя прошивка: |
||
| + | <PRE> |
||
| + | ES3528_52M_opcode_V1.4.8.0.bix |
||
| + | </PRE> |
||
| + | |||
| + | После обновления: |
||
| + | <PRE> |
||
| + | Console#sh ver |
||
| + | Unit 1 |
||
| + | Serial Number: 034002803 |
||
| + | Hardware Version: R01 |
||
| + | Chip Device ID: Marvell 98DX106-B0, 88E6095[F] |
||
| + | EPLD Version: 0.07 |
||
| + | Number of Ports: 28 |
||
| + | Main Power Status: Up |
||
| + | Redundant Power Status: Not present |
||
| + | |||
| + | Agent (Master) |
||
| + | Unit ID: 1 |
||
| + | Loader Version: 1.0.2.0 |
||
| + | Boot ROM Version: 1.2.0.1 |
||
| + | Operation Code Version: 1.4.8.0 |
||
| + | </PRE> |
||
| + | Субъективно кажется, что эта прошивка загружалась дольше чем другие. |
||
| + | |||
| + | ==Конфигурирование VLANs== |
||
| + | Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).<BR> |
||
| + | Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.<BR> |
||
| + | Имеем, например: |
||
| + | <PRE> |
||
| + | Console#sh run int ethernet 1/28 |
||
| + | interface ethernet 1/28 |
||
| + | description ---=== UPLINK ===-- |
||
| + | switchport allowed vlan add 1 untagged |
||
| + | switchport allowed vlan add 1,1001 tagged |
||
| + | switchport mode trunk |
||
| + | </PRE> |
||
| + | VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком. |
||
| + | <PRE> |
||
| + | Console#conf |
||
| + | Console(config)#interface ethernet 1/28 |
||
| + | Console(config-if)#switchport mode hybrid |
||
| + | Console(config-if)#switchport allowed vlan add 4090 untagged |
||
| + | Console(config-if)#switchport native vlan 4090 |
||
| + | Console(config-if)#switchport allowed vlan remove 1 |
||
| + | Console(config-if)#switchport mode trunk |
||
| + | Console(config-if)# |
||
| + | Console#sh run int e 1/28 |
||
| + | interface ethernet 1/28 |
||
| + | description ---=== UPLINK ===-- |
||
| + | switchport allowed vlan add 4090 untagged |
||
| + | switchport native vlan 4090 |
||
| + | switchport allowed vlan remove 1 |
||
| + | switchport allowed vlan add 1001,4090 tagged |
||
| + | switchport mode trunk |
||
| + | </PRE> |
||
| + | ==DHCP Snooping + IP SOURCE GUARD== |
||
| + | ===Введение=== |
||
| + | Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом. <BR> |
||
| + | |||
| + | Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.) |
||
| + | # Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные. |
||
| + | # Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением. |
||
| + | # Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль. |
||
| + | |||
| + | |||
| + | Авторизация: |
||
| + | * Клиент получил IP из гостевого пула. |
||
| + | * Перенаправле на станичку авторизации. |
||
| + | * Ввел свой логин и пароль. |
||
| + | * Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча. |
||
| + | * На основании этих данных сделать привязку. |
||
| + | * клиент переполучит IP уже из пула "нормальных" |
||
| + | * поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard |
||
| + | |||
| + | ===Настройка коммутатора=== |
||
| + | |||
| + | Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана. |
||
| + | <PRE> |
||
| + | ! |
||
| + | ip dhcp snooping |
||
| + | ip dhcp snooping vlan 2001 |
||
| + | ip dhcp snooping information option |
||
| + | ! |
||
| + | </PRE> |
||
| + | |||
| + | <PRE> |
||
| + | User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67) |
||
| + | Source port: 68 (68) |
||
| + | Destination port: 67 (67) |
||
| + | Length: 328 |
||
| + | Checksum: 0xf8f3 [validation disabled] |
||
| + | [Good Checksum: False] |
||
| + | [Bad Checksum: False] |
||
| + | Bootstrap Protocol |
||
| + | Message type: Boot Request (1) |
||
| + | Hardware type: Ethernet |
||
| + | Hardware address length: 6 |
||
| + | Hops: 0 |
||
| + | Transaction ID: 0x5e7c1cd3 |
||
| + | Seconds elapsed: 26 |
||
| + | [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian] |
||
| + | [Message: Seconds elapsed (26) appears to be encoded as little-endian] |
||
| + | [Severity level: Note] |
||
| + | [Group: Malformed] |
||
| + | Bootp flags: 0x0000 (Unicast) |
||
| + | 0... .... .... .... = Broadcast flag: Unicast |
||
| + | .000 0000 0000 0000 = Reserved flags: 0x0000 |
||
| + | Client IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Your (client) IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Next server IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Relay agent IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
| + | Client hardware address padding: 00000000000000000000 |
||
| + | Server host name not given |
||
| + | Boot file name not given |
||
| + | Magic cookie: (OK) |
||
| + | Option: (t=53,l=1) DHCP Message Type = DHCP Discover |
||
| + | Option: (53) DHCP Message Type |
||
| + | Length: 1 |
||
| + | Value: 01 |
||
| + | Option: (t=116,l=1) DHCP Auto-Configuration [TODO] |
||
| + | Option: (116) DHCP Auto-Configuration [TODO] |
||
| + | Length: 1 |
||
| + | Value: 01 |
||
| + | Option: (t=61,l=7) Client identifier |
||
| + | Option: (61) Client identifier |
||
| + | Length: 7 |
||
| + | Value: 01525400123456 |
||
| + | Hardware type: Ethernet |
||
| + | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
| + | Option: (t=12,l=4) Host Name = "chat" |
||
| + | Option: (12) Host Name |
||
| + | Length: 4 |
||
| + | Value: 63686174 |
||
| + | Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" |
||
| + | Option: (60) Vendor class identifier |
||
| + | Length: 8 |
||
| + | Value: 4D53465420352E30 |
||
| + | Option: (t=55,l=11) Parameter Request List |
||
| + | Option: (55) Parameter Request List |
||
| + | Length: 11 |
||
| + | Value: 010F03062C2E2F1F21F92B |
||
| + | 1 = Subnet Mask |
||
| + | 15 = Domain Name |
||
| + | 3 = Router |
||
| + | 6 = Domain Name Server |
||
| + | 44 = NetBIOS over TCP/IP Name Server |
||
| + | 46 = NetBIOS over TCP/IP Node Type |
||
| + | 47 = NetBIOS over TCP/IP Scope |
||
| + | 31 = Perform Router Discover |
||
| + | 33 = Static Route |
||
| + | 249 = Private/Classless Static Route (Microsoft) |
||
| + | 43 = Vendor-Specific Information |
||
| + | Option: (t=82,l=18) Agent Information Option |
||
| + | Option: (82) Agent Information Option |
||
| + | Length: 18 |
||
| + | Value: 0106000407D10101020800067072CF1AFE8F |
||
| + | Agent Circuit ID: 000407D10101 |
||
| + | Agent Remote ID: 00067072CF1AFE8F |
||
| + | End Option |
||
| + | Padding |
||
| + | </PRE> |
||
| + | |||
| + | <PRE> |
||
| + | Next server IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Relay agent IP address: 0.0.0.0 (0.0.0.0) |
||
| + | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
| + | Client hardware address padding: 00000000000000000000 |
||
| + | Server host name not given |
||
| + | Boot file name not given |
||
| + | Magic cookie: (OK) |
||
| + | Option: (t=53,l=1) DHCP Message Type = DHCP Discover |
||
| + | Option: (53) DHCP Message Type |
||
| + | Length: 1 |
||
| + | Value: 01 |
||
| + | Option: (t=116,l=1) DHCP Auto-Configuration [TODO] |
||
| + | Option: (116) DHCP Auto-Configuration [TODO] |
||
| + | Length: 1 |
||
| + | Value: 01 |
||
| + | Option: (t=61,l=7) Client identifier |
||
| + | Option: (61) Client identifier |
||
| + | Length: 7 |
||
| + | Value: 01525400123456 |
||
| + | Hardware type: Ethernet |
||
| + | Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) |
||
| + | Option: (t=12,l=4) Host Name = "chat" |
||
| + | Option: (12) Host Name |
||
| + | Length: 4 |
||
| + | Value: 63686174 |
||
| + | Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" |
||
| + | Option: (60) Vendor class identifier |
||
| + | Length: 8 |
||
| + | Value: 4D53465420352E30 |
||
| + | Option: (t=55,l=11) Parameter Request List |
||
| + | Option: (55) Parameter Request List |
||
| + | Length: 11 |
||
| + | Value: 010F03062C2E2F1F21F92B |
||
| + | 1 = Subnet Mask |
||
| + | 15 = Domain Name |
||
| + | 3 = Router |
||
| + | 6 = Domain Name Server |
||
| + | 44 = NetBIOS over TCP/IP Name Server |
||
| + | 46 = NetBIOS over TCP/IP Node Type |
||
| + | 47 = NetBIOS over TCP/IP Scope |
||
| + | 31 = Perform Router Discover |
||
| + | 33 = Static Route |
||
| + | 249 = Private/Classless Static Route (Microsoft) |
||
| + | 43 = Vendor-Specific Information |
||
| + | Option: (t=82,l=22) Agent Information Option |
||
| + | Option: (82) Agent Information Option |
||
| + | Length: 22 |
||
| + | Value: 0106000407D10101020C030A3137322E33312E302E32 |
||
| + | Agent Circuit ID: 000407D10101 |
||
| + | Agent Remote ID: 030A3137322E33312E302E32 |
||
| + | End Option |
||
| + | Padding |
||
| + | </PRE> |
||
| + | |||
| + | ==SNMP== |
||
| + | <PRE> |
||
| + | Man of Honour Пн окт 11 2010 12:16:57 |
||
| + | 1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running |
||
| + | 1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup |
||
| + | 1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать |
||
| + | Man of Honour Пн окт 11 2010 12:17:06 |
||
| + | 1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус |
||
| + | Man of Honour Пн окт 11 2010 12:17:30 |
||
| + | это пример копирования running-config в startupconfig |
||
| + | </PRE> |
||
| + | |||
| + | ==Полезности== |
||
| + | ===Сброс настроек в default=== |
||
| + | <PRE> |
||
| + | Console(config)#boot system config: Factory_Default_Config.cfg |
||
| + | Success. |
||
| + | Console(config)#reload |
||
| + | </PRE> |
||
| + | === Перезагрузка в назначенное время === |
||
| + | Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала. |
||
| + | <PRE> |
||
| + | Console(config)#reload ? |
||
| + | at Configures reloading switch at time |
||
| + | cancel Cancels the specified reload setting |
||
| + | in Configures reloading switch in time |
||
| + | regularity Configures reloading switch at periodic intervals |
||
| + | Console(config)#reload in ? |
||
| + | </PRE> |
||
| + | ===Авторизация через радиус=== |
||
| + | Так как <s>я не собираюсь жить вечно</s> время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую |
||
| + | <BR> |
||
| + | На коммутаторе |
||
| + | <PRE> |
||
| + | ! |
||
| + | radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo |
||
| + | ! |
||
| + | authentication login radius local |
||
| + | authentication enable radius local |
||
| + | ! |
||
| + | aaa authorization exec default group RADIUS-GROUP |
||
| + | ! |
||
| + | ! |
||
| + | aaa group server radius RADIUS-GROUP |
||
| + | server 1 |
||
| + | ! |
||
| + | </PRE> |
||
| + | На радиус-сервере:<BR> |
||
| + | users: |
||
| + | <PRE> |
||
| + | DEFAULT Auth-Type = Local |
||
| + | Fall-Through = 1 |
||
| + | |||
| + | adminuser Cleartext-Password := "<ТутПароль>" |
||
| + | User-Service-Type = Shell-User, |
||
| + | cisco-avpair += "shell:priv-lvl=1" |
||
| + | |||
| + | $enab15$ Cleartext-Password := "<ТутENABLEПароль>" |
||
| + | Cisco-AVPair = "shell:priv-lvl=15" |
||
| + | |||
| + | </PRE> |
||
| + | adminuser имеет привилении enable сразу. |
||
| + | |||
| + | Запускаю так (у меня несколько экземпляров radiusd c разными конфигами: |
||
| + | {{Root|<nowiki>LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/</nowiki>}} |
||
| + | |||
| + | ===Ссылки на полезности=== |
||
| + | http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70 <BR> |
||
| + | http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E <BR> |
||
Текущая версия на 15:12, 5 мая 2020
Загрузка
Очень похоже на 3528XA
--- Performing Power-On Self Tests (POST) ---
DUMMY Test 1 ................. PASS
UART Loopback Test ........... PASS
DRAM Test .................... PASS
Timer Test ................... PASS
Done All Pass.
------------------ DONE ---------------------
Loading Runtime Image File : ES3528_52M_opcode_V1.3.4.0.bix
Runtime 1.3.4.0
DNS_ResolverInit..OK
DNS_Proxy_init ....OK
root init done
Set Transition mode ...
[get stackingMac done ret_val] = 1
Assigned Unit ID:[1]
stacking DB: unit = 0, module type = 0
Finish Set Transition mode ...
Enter Transition mode ...
Finish Transition mode ...
Enter Master mode ...
Load certificate files : Starting
Load certificate files : Finished
Finish Master mode ...
Performing startup provision ...
CLI enter main (PROVISION)
..............................................................................................................................................................
CLI provision has been completed
Notify provision complete
Provision Complete ...
Finish Provision Complete ...
[get stackingMac done ret_val] = 1
XFER: End of config sync.
***************************************************************
WARNING - MONITORED ACTIONS AND ACCESSES
Station's information:
Floor / Row / Rack / Sub-Rack
/ / /
DC power supply:
Power Source A: Floor / Row / Rack / Electrical circuit
/ / /
Number of LP:
Position MUX:
IP LAN:
Note:
***************************************************************
CTRL-A Z for help | 9600 8N1 | NOR | Minicom 2.4 | VT102 | Offline
User Access Verification
Username: admin
Password:
CLI session with the ES3528M is opened.
To end the CLI session, enter [Exit].
No configured settings for reloading.
Console#
Обновляю прошивку
Console#copy tftp file
TFTP server IP address: 172.31.0.1
Choose file type:
1. config: 2. opcode: 4. diag: 5. loader: <1,2,4,5>: 2
Source file name: ES3528_52M_opcode_V1.3.7.10.bix
Destination file name: ES3528_52M_opcode_V1.3.7.10.bix
Write to flash programming.
Programming flash started.
Success.
Console#dir
File name File type Startup Size (byte)
------------------------------------- -------------- ------- -----------
Unit1:
ES3528_52M_diag_V1.2.0.1.bix Boot-Rom Image Y 1406420
ES3528_52M_opcode_V1.3.4.0.bix Operation Code Y 4413192
ES3528_52M_opcode_V1.3.7.10.bix Operation Code N 4484284
Factory_Default_Config.cfg Config File N 455
Fixup-ip Config File N 3891
startup1.cfg Config File Y 3984
---------------------------------------------------------------------------
Total free space: 4718592
Console#
Выбрать новый образ как основной:
Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix
Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя
На момент написания статьи последняя прошивка:
ES3528_52M_opcode_V1.4.8.0.bix
После обновления:
Console#sh ver Unit 1 Serial Number: 034002803 Hardware Version: R01 Chip Device ID: Marvell 98DX106-B0, 88E6095[F] EPLD Version: 0.07 Number of Ports: 28 Main Power Status: Up Redundant Power Status: Not present Agent (Master) Unit ID: 1 Loader Version: 1.0.2.0 Boot ROM Version: 1.2.0.1 Operation Code Version: 1.4.8.0
Субъективно кажется, что эта прошивка загружалась дольше чем другие.
Конфигурирование VLANs
Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).
Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.
Имеем, например:
Console#sh run int ethernet 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 1 untagged switchport allowed vlan add 1,1001 tagged switchport mode trunk
VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком.
Console#conf Console(config)#interface ethernet 1/28 Console(config-if)#switchport mode hybrid Console(config-if)#switchport allowed vlan add 4090 untagged Console(config-if)#switchport native vlan 4090 Console(config-if)#switchport allowed vlan remove 1 Console(config-if)#switchport mode trunk Console(config-if)# Console#sh run int e 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 4090 untagged switchport native vlan 4090 switchport allowed vlan remove 1 switchport allowed vlan add 1001,4090 tagged switchport mode trunk
DHCP Snooping + IP SOURCE GUARD
Введение
Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом.
Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)
- Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
- Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
- Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.
Авторизация:
- Клиент получил IP из гостевого пула.
- Перенаправле на станичку авторизации.
- Ввел свой логин и пароль.
- Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
- На основании этих данных сделать привязку.
- клиент переполучит IP уже из пула "нормальных"
- поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard
Настройка коммутатора
Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана.
! ip dhcp snooping ip dhcp snooping vlan 2001 ip dhcp snooping information option !
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source port: 68 (68)
Destination port: 67 (67)
Length: 328
Checksum: 0xf8f3 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Bootstrap Protocol
Message type: Boot Request (1)
Hardware type: Ethernet
Hardware address length: 6
Hops: 0
Transaction ID: 0x5e7c1cd3
Seconds elapsed: 26
[Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian]
[Message: Seconds elapsed (26) appears to be encoded as little-endian]
[Severity level: Note]
[Group: Malformed]
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0 (0.0.0.0)
Your (client) IP address: 0.0.0.0 (0.0.0.0)
Next server IP address: 0.0.0.0 (0.0.0.0)
Relay agent IP address: 0.0.0.0 (0.0.0.0)
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: (OK)
Option: (t=53,l=1) DHCP Message Type = DHCP Discover
Option: (53) DHCP Message Type
Length: 1
Value: 01
Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
Option: (116) DHCP Auto-Configuration [TODO]
Length: 1
Value: 01
Option: (t=61,l=7) Client identifier
Option: (61) Client identifier
Length: 7
Value: 01525400123456
Hardware type: Ethernet
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
Option: (t=12,l=4) Host Name = "chat"
Option: (12) Host Name
Length: 4
Value: 63686174
Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
Option: (60) Vendor class identifier
Length: 8
Value: 4D53465420352E30
Option: (t=55,l=11) Parameter Request List
Option: (55) Parameter Request List
Length: 11
Value: 010F03062C2E2F1F21F92B
1 = Subnet Mask
15 = Domain Name
3 = Router
6 = Domain Name Server
44 = NetBIOS over TCP/IP Name Server
46 = NetBIOS over TCP/IP Node Type
47 = NetBIOS over TCP/IP Scope
31 = Perform Router Discover
33 = Static Route
249 = Private/Classless Static Route (Microsoft)
43 = Vendor-Specific Information
Option: (t=82,l=18) Agent Information Option
Option: (82) Agent Information Option
Length: 18
Value: 0106000407D10101020800067072CF1AFE8F
Agent Circuit ID: 000407D10101
Agent Remote ID: 00067072CF1AFE8F
End Option
Padding
Next server IP address: 0.0.0.0 (0.0.0.0)
Relay agent IP address: 0.0.0.0 (0.0.0.0)
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: (OK)
Option: (t=53,l=1) DHCP Message Type = DHCP Discover
Option: (53) DHCP Message Type
Length: 1
Value: 01
Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
Option: (116) DHCP Auto-Configuration [TODO]
Length: 1
Value: 01
Option: (t=61,l=7) Client identifier
Option: (61) Client identifier
Length: 7
Value: 01525400123456
Hardware type: Ethernet
Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
Option: (t=12,l=4) Host Name = "chat"
Option: (12) Host Name
Length: 4
Value: 63686174
Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
Option: (60) Vendor class identifier
Length: 8
Value: 4D53465420352E30
Option: (t=55,l=11) Parameter Request List
Option: (55) Parameter Request List
Length: 11
Value: 010F03062C2E2F1F21F92B
1 = Subnet Mask
15 = Domain Name
3 = Router
6 = Domain Name Server
44 = NetBIOS over TCP/IP Name Server
46 = NetBIOS over TCP/IP Node Type
47 = NetBIOS over TCP/IP Scope
31 = Perform Router Discover
33 = Static Route
249 = Private/Classless Static Route (Microsoft)
43 = Vendor-Specific Information
Option: (t=82,l=22) Agent Information Option
Option: (82) Agent Information Option
Length: 22
Value: 0106000407D10101020C030A3137322E33312E302E32
Agent Circuit ID: 000407D10101
Agent Remote ID: 030A3137322E33312E302E32
End Option
Padding
SNMP
Man of Honour Пн окт 11 2010 12:16:57 1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running 1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup 1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать Man of Honour Пн окт 11 2010 12:17:06 1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус Man of Honour Пн окт 11 2010 12:17:30 это пример копирования running-config в startupconfig
Полезности
Сброс настроек в default
Console(config)#boot system config: Factory_Default_Config.cfg Success. Console(config)#reload
Перезагрузка в назначенное время
Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.
Console(config)#reload ? at Configures reloading switch at time cancel Cancels the specified reload setting in Configures reloading switch in time regularity Configures reloading switch at periodic intervals Console(config)#reload in ?
Авторизация через радиус
Так как я не собираюсь жить вечно время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
На коммутаторе
! radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo ! authentication login radius local authentication enable radius local ! aaa authorization exec default group RADIUS-GROUP ! ! aaa group server radius RADIUS-GROUP server 1 !
На радиус-сервере:
users:
DEFAULT Auth-Type = Local
Fall-Through = 1
adminuser Cleartext-Password := "<ТутПароль>"
User-Service-Type = Shell-User,
cisco-avpair += "shell:priv-lvl=1"
$enab15$ Cleartext-Password := "<ТутENABLEПароль>"
Cisco-AVPair = "shell:priv-lvl=15"
adminuser имеет привилении enable сразу.
Запускаю так (у меня несколько экземпляров radiusd c разными конфигами:
LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/
Ссылки на полезности
http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70
http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E
