Настройка коммутатора Dlink линейки DES30XX/3200-XX
Для начала настроим на коммутаторе управляющий VLAN.
Теперь назначим коммутатору IP-адрес.
Также укажем маршрут по-умолчанию.
Опционально создадим админский аккаунт
Теперь создадим клиентский VLAN и добавим его на порты.
Настроим защиту от широковещательного флуда:
Идем дальше. Настроим защиту от колец.
Опционально! Если нужно, чтобы пользователи в пределах коммутатора не видели друг друга, настроим сегментацию трафика.
Теперь настроим полезную опцию - время.
Для IP-MAC-Port Binding (опционально) функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):
Настроим SNMP:
Настроим защиту от сторонних DHCP серверов:
От сторонних DHCP серверов можно также защитится через ACL:
Настроим защиту от BPDU мусора:
Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:
Мелкие настройки FDB:
Прочие мелкие настройки:
Настройка IGMP:
Настройка port security:
Настройка агрегированного канала (Port Channel, PO)
Где-то неподалеку уже обсуждалась настройка порт-ченел на свиче Cisco, но подобная возможность существует и для более земных железяк. Рассмотрим данную настройку у Dlink.
Алгоритм агрегирования каналов:
mac_source
mac_destination
mac_source_dest
ip_source
ip_destination
ip_source_dest
Алгоритм mac_source задан по-умолчанию, это определяет каким образом будут назначаться порты для передачи пакетов.
create vlan default tag 1
config vlan default add untagged 25-28Теперь назначим коммутатору IP-адрес.
config ipif System vlan default ipaddress 172.16.202.176/17 state enableТакже укажем маршрут по-умолчанию.
create iproute default 172.16.128.0/17 1Опционально создадим админский аккаунт
create account admin ИМЯТеперь создадим клиентский VLAN и добавим его на порты.
create vlan 231 tag 231
config vlan 231 add tagged 25-28
config vlan 231 add untagged 1-24Настроим защиту от широковещательного флуда:
config traffic trap both
config traffic control 1-24 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5
Идем дальше. Настроим защиту от колец.
enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24 state enabled
config loopdetect port 25-28 state disabledОпционально! Если нужно, чтобы пользователи в пределах коммутатора не видели друг друга, настроим сегментацию трафика.
config traffic_segmentation 1-24 forward_list 25-28
config traffic_segmentation 25-28 forward_list 1-24
Теперь настроим полезную опцию - время.
config sntp primary 172.16.201.212 secondary 172.16.201.213 poll-interval 30
config time_zone operator + hour 4 min 0
enable sntpДля IP-MAC-Port Binding (опционально) функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):
config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable
Настроим SNMP:
create snmp community linkintel view CommunityView read_write
create snmp view linkintel 1 view_type included
create snmp host 172.16.202.199 v2c linkintel
enable snmp traps
enable snmpНастроим защиту от сторонних DHCP серверов:
config filter dhcp_server ports 1-24 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
От сторонних DHCP серверов можно также защитится через ACL:
create access_profile profile_id 2 ip udp src_port_mask 0xFFFF
config access_profile profile_id 2 add access_id 1 ip udp src_port 67 port 1-24 deny
Настроим защиту от BPDU мусора:
config bpdu_protection ports 1-24 mode dropВключим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:
config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy
Мелкие настройки FDB:
config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disableПрочие мелкие настройки:
config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand
Настройка IGMP:
create igmp_snooping multicast_vlan 601 601
config igmp_snooping multicast_vlan 601 add member_port 1-24
config igmp_snooping multicast_vlan 601 add source_port 25-28
config igmp_snooping multicast_vlan 601 state enable
enable igmp_snooping
enable igmp_snooping multicast_vlan
config igmp_snooping data_driven_learning all aged_out enable
config igmp_snooping all fast_leave disable
config igmp_snooping all report_suppression disableНастройка port security:
config port_security ports 1-24 admin_state enable max_learning_addr 5 lock_address_mode deleteonreset Настройка агрегированного канала (Port Channel, PO)
Где-то неподалеку уже обсуждалась настройка порт-ченел на свиче Cisco, но подобная возможность существует и для более земных железяк. Рассмотрим данную настройку у Dlink.
Алгоритм агрегирования каналов:
mac_source
mac_destination
mac_source_dest
ip_source
ip_destination
ip_source_dest
Алгоритм mac_source задан по-умолчанию, это определяет каким образом будут назначаться порты для передачи пакетов.
Комментариев 4