Accton Edge Core ES 3528M
Загрузка
Очень похоже на 3528XA
--- Performing Power-On Self Tests (POST) --- DUMMY Test 1 ................. PASS UART Loopback Test ........... PASS DRAM Test .................... PASS Timer Test ................... PASS Done All Pass. ------------------ DONE --------------------- Loading Runtime Image File : ES3528_52M_opcode_V1.3.4.0.bix Runtime 1.3.4.0 DNS_ResolverInit..OK DNS_Proxy_init ....OK root init done Set Transition mode ... [get stackingMac done ret_val] = 1 Assigned Unit ID:[1] stacking DB: unit = 0, module type = 0 Finish Set Transition mode ... Enter Transition mode ... Finish Transition mode ... Enter Master mode ... Load certificate files : Starting Load certificate files : Finished Finish Master mode ... Performing startup provision ... CLI enter main (PROVISION) .............................................................................................................................................................. CLI provision has been completed Notify provision complete Provision Complete ... Finish Provision Complete ... [get stackingMac done ret_val] = 1 XFER: End of config sync. *************************************************************** WARNING - MONITORED ACTIONS AND ACCESSES Station's information: Floor / Row / Rack / Sub-Rack / / / DC power supply: Power Source A: Floor / Row / Rack / Electrical circuit / / / Number of LP: Position MUX: IP LAN: Note: *************************************************************** CTRL-A Z for help | 9600 8N1 | NOR | Minicom 2.4 | VT102 | Offline User Access Verification Username: admin Password: CLI session with the ES3528M is opened. To end the CLI session, enter [Exit]. No configured settings for reloading. Console#
Обновляю прошивку
Console#copy tftp file TFTP server IP address: 172.31.0.1 Choose file type: 1. config: 2. opcode: 4. diag: 5. loader: <1,2,4,5>: 2 Source file name: ES3528_52M_opcode_V1.3.7.10.bix Destination file name: ES3528_52M_opcode_V1.3.7.10.bix Write to flash programming. Programming flash started. Success. Console#dir File name File type Startup Size (byte) ------------------------------------- -------------- ------- ----------- Unit1: ES3528_52M_diag_V1.2.0.1.bix Boot-Rom Image Y 1406420 ES3528_52M_opcode_V1.3.4.0.bix Operation Code Y 4413192 ES3528_52M_opcode_V1.3.7.10.bix Operation Code N 4484284 Factory_Default_Config.cfg Config File N 455 Fixup-ip Config File N 3891 startup1.cfg Config File Y 3984 --------------------------------------------------------------------------- Total free space: 4718592 Console#
Выбрать новый образ как основной:
Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix
Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя
На момент написания статьи последняя прошивка:
ES3528_52M_opcode_V1.4.8.0.bix
После обновления:
Console#sh ver Unit 1 Serial Number: 034002803 Hardware Version: R01 Chip Device ID: Marvell 98DX106-B0, 88E6095[F] EPLD Version: 0.07 Number of Ports: 28 Main Power Status: Up Redundant Power Status: Not present Agent (Master) Unit ID: 1 Loader Version: 1.0.2.0 Boot ROM Version: 1.2.0.1 Operation Code Version: 1.4.8.0
Субъективно кажется, что эта прошивка загружалась дольше чем другие.
Конфигурирование VLANs
Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).
Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.
Имеем, например:
Console#sh run int ethernet 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 1 untagged switchport allowed vlan add 1,1001 tagged switchport mode trunk
VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком.
Console#conf Console(config)#interface ethernet 1/28 Console(config-if)#switchport mode hybrid Console(config-if)#switchport allowed vlan add 4090 untagged Console(config-if)#switchport native vlan 4090 Console(config-if)#switchport allowed vlan remove 1 Console(config-if)#switchport mode trunk Console(config-if)# Console#sh run int e 1/28 interface ethernet 1/28 description ---=== UPLINK ===-- switchport allowed vlan add 4090 untagged switchport native vlan 4090 switchport allowed vlan remove 1 switchport allowed vlan add 1001,4090 tagged switchport mode trunk
DHCP Snooping + IP SOURCE GUARD
Введение
Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом.
Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)
- Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
- Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
- Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.
Авторизация:
- Клиент получил IP из гостевого пула.
- Перенаправле на станичку авторизации.
- Ввел свой логин и пароль.
- Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
- На основании этих данных сделать привязку.
- клиент переполучит IP уже из пула "нормальных"
- поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard
Настройка коммутатора
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67) Source port: 68 (68) Destination port: 67 (67) Length: 328 Checksum: 0xf8f3 [validation disabled] [Good Checksum: False] [Bad Checksum: False] Bootstrap Protocol Message type: Boot Request (1) Hardware type: Ethernet Hardware address length: 6 Hops: 0 Transaction ID: 0x5e7c1cd3 Seconds elapsed: 26 [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian] [Message: Seconds elapsed (26) appears to be encoded as little-endian] [Severity level: Note] [Group: Malformed] Bootp flags: 0x0000 (Unicast) 0... .... .... .... = Broadcast flag: Unicast .000 0000 0000 0000 = Reserved flags: 0x0000 Client IP address: 0.0.0.0 (0.0.0.0) Your (client) IP address: 0.0.0.0 (0.0.0.0) Next server IP address: 0.0.0.0 (0.0.0.0) Relay agent IP address: 0.0.0.0 (0.0.0.0) Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Client hardware address padding: 00000000000000000000 Server host name not given Boot file name not given Magic cookie: (OK) Option: (t=53,l=1) DHCP Message Type = DHCP Discover Option: (53) DHCP Message Type Length: 1 Value: 01 Option: (t=116,l=1) DHCP Auto-Configuration [TODO] Option: (116) DHCP Auto-Configuration [TODO] Length: 1 Value: 01 Option: (t=61,l=7) Client identifier Option: (61) Client identifier Length: 7 Value: 01525400123456 Hardware type: Ethernet Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56) Option: (t=12,l=4) Host Name = "chat" Option: (12) Host Name Length: 4 Value: 63686174 Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0" Option: (60) Vendor class identifier Length: 8 Value: 4D53465420352E30 Option: (t=55,l=11) Parameter Request List Option: (55) Parameter Request List Length: 11 Value: 010F03062C2E2F1F21F92B 1 = Subnet Mask 15 = Domain Name 3 = Router 6 = Domain Name Server 44 = NetBIOS over TCP/IP Name Server 46 = NetBIOS over TCP/IP Node Type 47 = NetBIOS over TCP/IP Scope 31 = Perform Router Discover 33 = Static Route 249 = Private/Classless Static Route (Microsoft) 43 = Vendor-Specific Information Option: (t=82,l=18) Agent Information Option Option: (82) Agent Information Option Length: 18 Value: 0106000407D10101020800067072CF1AFE8F Agent Circuit ID: 000407D10101 Agent Remote ID: 00067072CF1AFE8F End Option Padding
SNMP
Man of Honour Пн окт 11 2010 12:16:57 1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running 1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup 1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать Man of Honour Пн окт 11 2010 12:17:06 1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус Man of Honour Пн окт 11 2010 12:17:30 это пример копирования running-config в startupconfig
Полезности
Сброс настроек в default
Console(config)#boot system config: Factory_Default_Config.cfg Success. Console(config)#reload
Перезагрузка в назначенное время
Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.
Console(config)#reload ? at Configures reloading switch at time cancel Cancels the specified reload setting in Configures reloading switch in time regularity Configures reloading switch at periodic intervals Console(config)#reload in ?
Авторизация через радиус
Так как я не собираюсь жить вечно время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
На коммутаторе
! radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo ! authentication login radius local authentication enable radius local ! aaa authorization exec default group RADIUS-GROUP ! ! aaa group server radius RADIUS-GROUP server 1 !
На радиус-сервере:
users:
DEFAULT Auth-Type = Local Fall-Through = 1 adminuser Cleartext-Password := "<ТутПароль>" User-Service-Type = Shell-User, cisco-avpair += "shell:priv-lvl=1" $enab15$ Cleartext-Password := "<ТутENABLEПароль>" Cisco-AVPair = "shell:priv-lvl=15"
adminuser имеет привилении enable сразу.
Запускаю так (у меня несколько экземпляров radiusd c разными конфигами: