Архив рубрики: Network equipment

Настройка сетевого оборудования различных производителей

Dlink: Dlink DGS-1100-10/ME — базовая настройка


Дефолтные настройки Dlink DGS-1100-10/ME:

  • логин/пароль — admin/пустой пароль
  • management vlan default (vlan-id 1)
  • ip-address 10.90.90.90/8

1. Настройка Ethernet-интерфейсов

По умолчанию все порты подняты, посмотреть административное состояние (первая колонка — Enable/Disable) и текущее состояние портов:

sw01:5# sh ports
Command: show ports

Port        State/          Settings                                 Connection                          Address
                MDI       Speed/Duplex/FlowCtrl   Speed/Duplex/FlowCtrl        Learning
——      ———         ———————              ———————                   ———
1           Enabled         Auto/Disabled                      Link Down                          Enabled
Auto

10(C)   Enabled         Auto/Disabled                      Link Down                          Enabled
Auto
10(F)   Enabled         Auto/Disabled                      Link Down                          Enabled
Auto

9 и 10 порты в этом коммутаторе — комбо — можно использовать или медь (C), или оптику (F)

посмотреть описания портов (description):

sw01:5# sh ports descr
Command: show ports description

поднять порт 1:

sw01:5# config ports 1 medium_type copper state enable
Command: config ports 1 medium_type copper state enable

Success!

потушить порт 1:

sw01:5# config ports 1 medium_type copper state disable
Command: config ports 1 medium_type copper state disable

Success!

Установить description порта:

sw01:5# config ports 1 medium_type copper description CUSTOMER1
Command: config ports 1 medium_type copper description CUSTOMER1

Success!

Убрать description порта:

sw01:5# config ports 1 medium_type copper clear_description
Command: config ports 1 medium_type copper clear_description

Success!

Если медному (copper) порту, коим и является порт 1, сказать, что он оптический (fiber), он в это не поверит:

sw01:5# config ports 1 medium_type fiber description CUSTOMER1
Command: config ports 1 medium_type fiber description CUSTOMER1

Port 1 can not set with fiber medium .

Failure!

2. Настройка vlan 802.1q

Посмотреть конфигурацию вланов:

sw01:5# sh vlan
Command: show vlan

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 1-10
Untagged Ports       : 1-10

По умолчанию все порты находятся в влане с именем default с vlan-id 1

При манипуляции с вланами, оперируем именно именем влана, что не всегда удобно. Я в таком случае, чтобы не путаться, в качестве vlan-name задаю номер этого влана (vlan-name=vlan-id) — это не руководство к действию, вы можете поступать иначе; например, если у вас в другом месте есть база/табличка с указанием, какому имени влану соответствует какой vlan-id, то держать такую табличку на длинке не имеет смысла.

Создание нового влана:

sw01:5# create vlan 1258 tag 1258
Command: create vlan 1258 tag 1258

Добавление созданного влана на порты:

тегированным:

sw01:5# conf vlan 1258 add tag 8
Command: config vlan 1258 add tagged 8

Success!

нетегированным:

sw01:5# conf vlan 1258 add untag 1
Command: config vlan 1258 add untagged 1

One untag port can only belong to one VLAN.

Failure!

Сначала нужно удалить дефолтный влан с первого порта, прежде чем назначать ему новый (помним, что дефолтный влан назван как default, это имя и используем):

sw01:5# conf vlan default del 1
Command: config vlan default delete 1

Success!

sw01:5# conf vlan 1258 add untag 1
Command: config vlan 1258 add untagged 1

Success!

Посмотреть конфигурацию определенного влана по имени:

sw01:5# show vlan default
Command: show vlan default

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 2-8,10
Untagged Ports       : 2-8,10

по vlan-id:

sw01:5# show vlan vlanid 1
Command: show vlan vlanid 1

VID                  : 1           VLAN NAME       : default
VLAN Type            : Static
Member Ports         : 2-8,10
Untagged Ports       : 2-8,10

Посмотреть, какой влан/вланы сконфигурированы на определенном порту:

sw01:5# show vlan ports 8
Command: show vlan ports 8

Port 8
VLAN ID   Untagged   Tagged
——-          ———         ——
   1                     X                 —
   1258              —                  X
   1259              —                  X

3. Настройка доступа

3.1 Management интерфейс

L3-интерфейс для управления коммутатором называется System, установка/изменение ip-адреса на менеджмент-интерфейсе выглядит следующим образом:

config ipif System ipaddress 192.168.5.2/255.255.255.0 gateway 192.168.5.1

Менеджмент влан:

sw01:5# enable management vlan
Command: enable management vlan

Success!

sw01:5# config management vlanid 100
Command: config management vlanid 100

Success!

не забудьте перед этим создать сам влан и назначить на необходимые порты.

3.2 Добавление пользователя

Сначала табличка пустая, что для меня странно, ведь мы под admin’ом же как-то попадаем на коммутатор, хоть и без пароля:

sw01:5# show account
Command: show account

Username             Access Level
——————   ————

Account is empty!

Создание пользователя:

можно создать пользователя с уровнем доступа admin, operator, или user

sw01:5# create account admin <username 15>

sw01:5# create account admin admin
Command: create account admin admin

Enter a case-sensitive new password:*****
Enter the new password again for confirmation:*****
Connection closed by foreign host.

Выкинуло с коммутатора, нужно перелогиниться с уже установленным паролем.

Чтобы пароль не светился  plain-текстом в конфиге, включаем  password encryption:

sw01:5# enable password encryption
Command: enable password encryption

Success!

4. Настройка времени

Включить sntp:

sw01:5# enable sntp
Command: enable sntp

Please set server first then change state to sntp

-просит сначала задать sntp сервер, задаем и включаем sntp:

sw01:5# config sntp primary 192.168.5.1
Command: config sntp primary 192.168.5.1

Success!
sw01:5# enable sntp
Command: enable sntp

Success!

Посмотреть время:

sw01:5# show time
Command: show time

Time information
——————————————
Current Time Source           : Sntp
Current Time                  : 10 Feb 2017 11:05:12
GMT Time Zone offset          : GMT +00:00
Daylight Saving Time Status   : Disabled
Offset in Minutes             : 60
Annual From                   : 01 Jan 0:0
To                            : 01 Jan 0:0

-переход на летнее время не настроен.

Переход на летнее время обычно настраивается как указание старт_даты (последнее воскресенье марта) и стоп_даты (последнее воскресенье октября). Но на длинке никак не сказать «последнее воскресенье», разве что можно установить примерную дату, например 22-е число. Следите за форматом записи:

sw01:5# config dst annual s_date 22 s_mth 3 s_time 2
Command: config dst annual s_date 22 s_mth 3 s_time 2

Invalid day setting
sw01:5# config dst annual s_date 22 s_mth 03 s_time 2
Command: config dst annual s_date 22 s_mth 03 s_time 2

Invalid day setting

-выше в неправильном формате указано время, нужно задавать часы и минуты через двоеточие. Вот как правильно указываем старт-дату:

sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0
Command: config dst annual s_date 22 s_mth 03 s_time 2:0

Success!

-стоп-дату:

Success!
sw01:5# config dst annual e_date 22 e_mth 10 e_time 3:0
Command: config dst annual e_date 22 e_mth 10 e_time 3:0

Success!

Можно было бы задать все параметры одной командой, но у меня как-то не вышло (если писать параметры, дополняя табом):

sw01:5# config dst annual e_date 22 e_mth 10 e_time 3:0
Command: config dst annual e_date 22 e_mth 10 e_time 3:0
sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0d_time>
Command: config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0
me 3:0d_time>ig dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time <end_time>

SNMP Error Wrong Length.

Можно эту же строку напечатать в текстовом редакторе, а потом скопировать и вставить — тогда кушает:

sw01:5# config dst annual s_date 22 s_mth 03 s_time 2:0 e_date 22 e_mth 10 e_time 3:0

Также необходимо указать временную зону (у нас +2):

sw01:5# config time_zone operator + hour 2 minute 0

Смотрим время еще раз:

sw01:5# show time
Command: show time

Time information
——————————————
Current Time Source           : Sntp
Current Time                  : 10 Feb 2017 13:19:12
GMT Time Zone offset          : GMT +02:00
Daylight Saving Time Status   : Annual
Offset in Minutes             : 60
Annual From                   : 22 Mar 2:0
To                            : 22 Oct 3:0

5. Hostname (строка приглашения) и banner

Настроить строку приглашения:

switch:5# config command_prompt sw01
Command: config command_prompt sw01

Success!

Баннер:

sw01:5# config greeting_message
Command: config greeting_message

Greeting Messages Editor
================================================================================
Hello world!

================================================================================
Array Up     : Cursor up                Ctrl+X       : Erase all
Array Down   : Cursor down              Ctrl+L       : Relaod original data
Array Left   : Cursor left              Ctrl+C       : Quit without save
Array Right  : Cursor right             Ctrl+W       : Save and quit
Ctrl+D       : Erase current line
Success!

Проверяем баннер, перелогиниваемся:

root@srv:/home/user1 # telnet sw01
Trying 192.168.5.2…
Connected to sw01.company.net.
Escape character is ‘^]’.

Hello world!

DGS-1100-10/ME login:

6. Другое

config sysname «sw01»
config syslocation «Kozurina,8»
config syscontact «admin@company.net»

Включить jumbo-frame (джамбо-фреймы):

enable jumbo_frame

Сохранить конфигурацию:

sw01:5# save config
Command: save config

Success!

 

Cisco ME 3400: Почему не ходит трафик между двумя портами

Кратко суть:

В цискосвитчах МЕ-серии (metro-ethernet) есть три типа портов: uni, nni и eni.

  • uni — user-network interface — для подключения конечных устройств (ПК, IP-телефоны)
  • nni — network node interface — для подключения роутеров и коммутаторов
  • eni — enhanced network interface — тоже для подключения роутеров и коммутаторов, но с дополнительными возможностями, такими, как: CDP, STP, LACP и т.д.

Так вот, по умолчанию, в 10/100-мегабитных портах установлен режим uni, а в аплинковых портах (SFP-шных 1G, например) — режим nni. И главная соль здесь вот где:

— uni порты могут передавать трафик только в nni.

Т.е. два устройства, включены в соседние 100М-порты одного коммутатора, находящиеся в одном влане не видят друг друга! и не могут обмениваться между собой информацией.

Решение проблемы:

установить два порта в режим nni (или комбинация uni+nni тоже будет работать)

Тут также стоит заметить, что если у вас на циске образ «metro base» или «metro access», то сконфигурить в качестве nni можно только 4 порта, для «metro IP access» таких ограничений нет.

Не судите строго, возможно, для кого-то такие заковырки в настройке (типа так реализовывается секьюрность) являются очевидными, но я с Метро-эзернет свичами сталкиваюсь впервые.

Default settings

Чтобы долго не искать… Таблица дефолтных настроек для различного сетевого оборудования (будет заполняться постепенно)

Названиеdefault ip addressdefault login/passwordПримечания
Dlink DGS-1100-06/ME10.90.90.90/8admin/пустой пароль

 

Cisco: L2TP-IPSEC на Cisco 2811

http://pro-voip.com.ua cisco

L2TP создает туннель между двумя точками — в нашем случае (Remote Access VPN) клиента и сервера — но не производит шифрование. Для обеспечения шифрования данных, передаваемых в туннеле L2TP, используем IPSec.

 

 

http://pro-voip.com.ua cisco l2tp ipsec

 

 

Настройка L2TP

Алгоритм поднятия L2TP-туннеля на Cisco почти такой же, как алгоритм поднятия PPTP-туннеля, отличается только сам протокол — вместо pptp, указываем l2tp, что вполне логично.

1. vpdn
— глобально включаем vpdn:

2. vpdn-group
— создаем и настраиваем vpdn-группу:

3. interface virtual-template
— создаем и настраиваем шаблон виртуального интерфейса:

4. ip local pool
— создаем пул адресов, которые будут выдаваться при поднятии туннеля:

5. username
— создаем пользователя:

 

Настройка IPSec

IPSec — это не протокол, а стандарт, состоящий из 3 протоколов:

  • ESP (Encapsulating Security Payload)  шифрует данные
  • AH (Authentication Header) отвечает за аутентификацию источника и проверку целостности данных
  • IKE (Internet Key Exchange protocol) используется для согласования параметров и создания защищенного туннеля

Процесс согласования параметров и создания туннеля происходит в 2 этапа — первая и вторая фаза IKE. В результате работы IKE создается 2 туннеля — ISAKMP-туннель и, собственно, защищенный туннель для передачи данных. ISAKMP-туннель после второй фазы IKE не разрывается, он служит для обновления ключей шифрования основного канала (ключи обновляются каждые N секунд, время обновления можно задать в настройках isakmp policy командой lifetime)

 

При первой фазе IKE стороны «меряются» ISAKMP-полисями, поэтому первым делом…

1. crypto isakmp policy
— создаем ISAKMP policy

ISAKMP policy используется для создания ISAKMP Tunnel при первой фазе IKE. Уже по ISAKMP туннелю стороны договариваются об SA (Security Association) основного шифрованого канала (метод шифрования, ключи). Создание второго туннеля уже для шифрования данных — это вторая фаза IKE.

Чем меньше номер policy, тем она приоритетнее. Если сторонам не удалось согласовать параметры для построения ISAKMP туннеля, используя политику, например, 10, то они переходят к согласованию, используя политику 20 и т.д.

  • номер политики — 10
  • алгоритм шифрования — 3des
  • метод аутентификации — pre-shared keys
  • задаем длину ключа — Diffie-Hellman (DH) группа 2 — 1024 bit
  • алгоритм хеширования — md5
  • время жизни ключа шифрования — 3600 сек — 1 час, после истечения lifetime ключ меняется

 

2. crypto isakmp key
— создаем pre-shared key, который используется для создания ISAKMP-туннеля:

Смотрим параметры новосозданной ISAKMP-полиси:

 

При второй фазе IKE для создания туннеля для шифрованых данных стороны «меряются» transform-set’ами

3. crypto ipsec transform-set
— cоздаем transform-set  — набор протоколов, которые поддерживает сторона для установления IPSEC. transform-set определяет, как будут шифроваться данные:

Есть два режима работы IPSec:

  • туннельный (он включен по умолчанию) — шифруются данные вместе с ip-заголовками
  • транспортный — шифруются только данные

Для работы совместо с L2TP нам нужен транспортный режим, что мы и задаем в настройка transform-set’a командой mode transport

 

4. crypto dynamic-map
— создаем динамическую карту шифрования, назовем ее, например, 3DES-MD5-DYNMAP, и к ней привязываем transform-set:

5. crypto-map

— создаем статическую карту шифрования, связываем динамическую карту шифрования со статической:

6. interface
— привязываем статическую карту шифрования к интерфейсу:

 

При подключении к L2TP/IPSec в VPN-клиенте помимо ip-адреса сервера, логина и пароля, нужно указать ключ (Shared Secret). Этот ключ мы задавали командой crypto isakmp key, в моем примере ключ cisco.

Cisco: PPTP-сервер на Cisco 2811

http://pro-voip.com.ua cisco

PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. (c) wiki

VPDN (Virtual Private Dialup Network)

Сценарий 1

Подключаемся к PPTP-серверу, получаем отдельный белый ip и с этим ip выходим в интернет.
Получается, что на каждое подключение — свой белый ip-адрес.
На стороне провайдера необходим маршрут в нашу сеть, которая выдается для PPTP.

 

 

cisco-pptp-scenario1

 

 

1. Включаем VPDN

2. Создаем VPDN-группу

Заходим в режим конфигурации VPDN-группы:

  • разрешаем входящие «dial-in» запросы
  • указываем протокол pptp
  • определяем шаблон, который будем использовать при создании виртуального интерфейса

3. Создаем virtual-template для VPDN-группы 

При подключении пользователя к PPTP-серверу создается Virtual-Access-интерфейс.  Virtual-Access-интерфейс клонируется с Virtual-Template-интерфейса (с шаблона).

Создаем шаблон virtual-template и настраиваем параметры будущего виртуального интерфейса:

  • задаем инкапсуляцию ppp
  • список адресов, назначаемых виртуальному интерфейсу выделяется динамически с пула VPN-POOL-1
  • задаем реальный интерфейс, который клонируем в виртуальный
  • отключаем keepalive
  • задаем параметры ppp — шифрование (encrypt) и перечисляем возможные методы аутентификации (authentication)

4. Создаем пул адресов VPN

5. Создаем пользователя

  • включаем aaa new-model (если еще не включена)
  • ppp аутентификация и авторизация будет производиться с использованием локальной базы пользователей
  • добавляем пользователя

 


 

Сценарий 2

Если нет отдельной сети белых ip-адресов для VPN-пула, можно использовать сеть серых адресов + NAT

Подключаемся к PPTP-серверу, серый ip, NAT’им «серый» ip в «белый» и с «белым» ip выходим в интернет.
В итоге на все подключения — 1 «белый» ip.

 

 

cisco-pptp-scenario2

 

 

1. Включаем VPDN

2. Создаем VPDN-группу

3. Создаем virtual-template для VPDN-группы 

+ NAT

! NAT включаем на Virtual-Template -интерфейсе, а не на реальном FastEthernet0/0:

4. Создаем пул адресов VPN

5. Создаем пользователя

6. Завершаем настройку NAT

+ NAT

nat inside — виртуальный интерфейс
nat outside — реальный интерфейс Fa0/1

C помощью стандартного access-list 1 указываем какую сеть натить и в какой интерфейс:

 


 

Дополнение

Если настроить на Cisco оба вышеописаных сценария, Cisco ругнется, что у нас две VPDN-группы с одинаковой конфигурацией:

— указан один и тот же протокол — pptp

И правильно ругнется —  когда пользователь будет подключаться по PPTP, как циске выбрать, к какой группе этого пользователя прилепить — VPN-1 или VPN-2 ? Работать PPTP-сервер в таком случае будет, но будет активной только одна VPDN-группа — та, которая была создана первой, т.е. VPN-1.

Если все-таки нужно несколько групп, можно поступить следующим образом: для подключения к разным VPDN-группам нужно использовать разные ip-адреса интерфейсов cisco для pptp-сервера:

 

Cisco: Настройка привилегий пользователя

 

http://pro-voip.com.ua cisco

Здесь я хочу оставить заметку о том, как в Cisco добавить пользователя, который может выполнять только определенные (явно разрешенные) команды конфигурации. Словами Cisco — наделить пользователя определенными привилегиями.

 

Для начала немного о CLI Command Mode

 

CLI (Command Line Interface) Cisco имеет несколько режимов работы:

  • User EXEC — пользовательский режим; сюда мы попадаем, когда логинимся на Cisco; по дефолту имеет «1» уровень привилегий;

Дефолтный уровень привилегий пользователя можно менять — установить, например «15» — и пользователь при логине на Cisco попадает сразу в привилегированый режим.

  • Privileged EXEC — привилегированый режим; переходим в него из User EXEC режима с помощью команды enable; имеет наивысший — «15» уровень привилегий, соответственно, и полный контроль над железкой

  • Global configuration — режим глобальной конфигурации; переходим в него из Privileged EXEC режима с помощью команды configure terminal

  • Далее из режима глобальной конфигурации можем переходить в режим конфигурации интерфейса, линии, вланов и т.д.

Режимы работы Cisco CLI, как видим, иерархичны: для того, чтобы поднять какой-нибудь 100-мегабитный порт #17, нужно пройти цепочку Login -> (User EXEC) -> enable -> (Privileged Exec) -> configure terminal -> (Global configuration) -> interface Fa0/17 -> (Interface configuration) -> no shutdown

Т.е. для того, чтобы просто поднять порт, пользователю нужны полные права? По умолчанию, да. Для тех, кого такое положение вещей не устраивает, Cisco предусмотрела  механизм управления привилегиями пользователей через уровни привилегирования (privileges level). О них пойдет речь ниже…

 

Cisco privileges level

 

У Cisco всего есть 16 уровней привилегий — по нумерации от 0 до 15. Уровень «1» — дефолтный пользовательский, уровень «15» — высший привилегированный (полные права доступа). Почему дефолтный пользовательский не «0»? — не знаю.

В итоге у нас остается еще 14 уровней привилегий, которые можно настроить под определенные команды.

Переход между уровнями привилегий осуществляется через команду enable <номер уровня>. Просто enable попытается закинуть в самый привилегированный уровень 15:

Попасть в привилегированный режим третьего уровня:

Из любого уровня в уровень ниже можно попасть уже без пароля:

Выйти из привилегированного режима — disable:

 

Настройка привилегий 

 

Задача: создать уровень привилегий 3 и позволить пользователям, имеющим к нему доступ, настраивать порты (description, switchport mode, shutdown/no shutdown), смотреть running-config портов и сохранять конфигурацию.

1. Устанавливаем привилегии

Установка привилегий имеет следующий вид:

privilege <режим CLI> level <номер уровня> <разрешенная команда>

2. Даем пользователям доступ к этим привилегиям

Эту задачу можно решить несколькими способами:

— создать пароль на доступ к уровню через команду enable:

тогда доступ к привилегированному уровню 3 будут иметь пользователи, знающите пароль (и пользователи с уровнем привилегий выше (4…15).

— создать пользователя, который при логине на Cisco сразу попадает в привилегированный режим уровня 3:

тогда доступ к привилегированному уровню будет иметь только этот пользователь (ну и пользователи с уровнем привилегий выше (4…15).

Проверим:

Если это не работает, и при логине пользователь попадает все равно в Exec mode level 1, делаем следующее:

 

Удаление привилегий

 

Казалось бы, следуя логике конфигурированию Cisco, чтобы удалить те или иные настройки, следует использовать слово no перед командой. И если мы делаем:

то ожидаем в конфиге эту строку больше не видеть. Но работает это не везде. Например, на WS-C3750-48TS-S Version 12.2(55)SE4 команда no работает. А на ME-3400-24FS-A Version 12.2(40r)SE1 получим вот такое:

Тогда нужно использовать команду сброса (reset) привилегий:

Ну вот пока что, в принципе, и все.