MES5316A - это 16-ти портовый 10Gbit L3 коммутатор уровня агрегации/ядра. Обладает широким L2/L3 функционалом и компактной компоновкой портов. В отличие от MES5324 обладает более объемной таблицей маршрутизации 16к против 7к ipv4, а так же поддержкой VxLAN. Может использоваться в качестве центрального коммутационного узла крупной сети или ToR. Для подключения доступно 16x10GBASE-R(SFP+)/1000BASE-X (SFP).
Модернизация сети, переход на отечественного вендора ООО "Татаиснефть"
Создание сети нового тракторного завода (НТЗ) - КЗ Ростсельмаш
Самойлов Иван (Новосибирск)
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 6 лет
Выполненные проекты:
Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Новосибирск
Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Омск
Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Воронеж
Монтоев Анатолий (Новосибирск)
Офис: Новосибирск
Маргарита Кириллова (Новосибирск)
Возраст: 30 лет
Офис: Новосибирск
Опыт работы с Eltex: 8 лет
Выполненные проекты:
Создание IP-телефонии на базе ECSS-10 для Газпром Недра г. Тюмень
Создание IP-телефонии на базе SMG-3016 для ПАО "Кузнецов"
Организация сети GPON для оператора DGTEK Австралия, г. Мельбурн
Модернизация телекоммуникационной сети в ПАО Камчатскэнерго
Серажим Антон (Новосибирск)
Возраст: 38 лет
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
Модернизация телефонии в Управлении Гидрометеорологии на базе АТС SMG-1016M
Проект бесшовного Wi-Fi роуминга для ВУЗа
Модернизация ЛВС для Высшего учебного заведения
Буйнич Алексей (Новосибирск)
Возраст: 38 лет
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
Организация системы видеонаблюдения на 7 этажах в ТРЦ, г Москва
Поставка оборудования ШПД, Wi-Fi и VoIP телефонии для строительства Хореографической академии и Музыкальной школы на Дальнем Востоке
Проработка решения по созданию ЦОД на металлургическом комбинате, Сибирский ФО
Строительство физкультурно-оздоровительного комплекса в Ленинградской области, поставка оборудования ШПД, Организация Wi-Fi, и VoIP телефонии
Проработка и реализация решения по созданию Wi-Fi сети для государственных ВУЗов в городах Томск, Москва, Новосибирск
Построение бесшовного Wi-Fi на территории производственного комплекса и центрального склада фармацевтической компании
Поставка оборудования ШПД и VoIP телефонии для проекта капитального ремонта школы в Волгоградской области
Бекетов Максим (Новосибирск)
Возраст: 35 лет
Офис: Новосибирск
Опыт работы с Eltex: 3 года
Выполненные проекты:
Школа г. Москва, р-н Люблино: построение сетевой инфраструктуры (ШПД, Wi-Fi, VoIP)
Складское помещение крупной компании в г. Красноярске: проект по организации Wi-Fi в офисе
Проект Сибирского государственного индустриального университета по модернизации внутренней сети ШПД
Проект модернизации сети передачи данных в Администрации Карасукского р-на Новосибирской области.
Передерин Сергей (Новосибирск)
Возраст: 32 года
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
Обучение по курсу "Использование коммутаторов MES" для СПБ ГБУ Ленсвет
Проект модернизации ЛВС для УССИ ФСО СПБ
Замена оборудования иностранных вендоров в высших учебных заведениях
Дашкина Ксения (Новосибирск)
Возраст: 27 лет
Офис: Новосибирск
Выполненные проекты:
Проект по Строительству Колледжа в ОЭЗ "Технополис", поставка Серверного и Телекоммуникационного оборудования
Проект по созданию защищенного соединения при реконструкции Подстанции Тихорецк в Краснодарском крае
Замена коммутаторов ядра и уровня доступа Sofinet в главном управлении ГБУ Гормост
Подбор и поставка оборудования для модернизации сетей связи в Филиал АО «Научно-производственный центр автоматики и приборостроения имени академика Пилюгина Н.А» - «Сосенский приборостроительный завод»
Шаяхметов Илья (Новосибирск)
Возраст: 32 года
Офис: Новосибирск
Выполненные проекты:
Импортозамещение оборудования (ESR). Построение IPsec VPN-туннелей между филиалами ПАО "ЛК "ЕВРОПЛАН" (85 филиалов, 2 дата-центра)
Модернизация кранов в рамках программы дистанционного управления. ЕВРАЗ, Нижнетагильский металлургический комбинат
Реконструкция гостиницы "Attic", Большой Камень (поставка оборудования ШПД, Организация Wi-Fi и VoIP телефонии)
Строительство общеобразовательной школы на 1500 мест в мкр. Центральный, п. Северный, Белгородской области
Капитальный ремонт Обской центральной городской больницы, город Обь (поставка оборудования ШПД, организация VoIP телефонии)
MES5316A - это 16-ти портовый 10Gbit L3 коммутатор уровня агрегации/ядра. Обладает широким L2/L3 функционалом и компактной компоновкой портов. В отличие от MES5324 обладает более объемной таблицей маршрутизации 16к против 7к ipv4, а так же поддержкой VxLAN. Может использоваться в качестве центрального коммутационного узла крупной сети или ToR. Для подключения доступно 16x10GBASE-R(SFP+)/1000BASE-X (SFP).
Бюджетный коммутатор агрегации 10G
MES5316A - самый экономичный коммутатор агрегации 10G. Имеет 16 портов 10G и 1 порт OOB для удаленного управления. Лучше всего подходит для центров обработки данных в качестве коммутатора Top-of-Rack или End-of-Row. Первый вид коммутационный инфраструктуры Top-of-Rack - дословно переводится как "над стойкой", но это не о физическом положении коммутатора, а скорее о роли в стойке, а располагать коммутатор удобнее в самом верху стойки, чтобы проще было протягивать патчкорды. Такой способ сокращает количество кабелей, которые идут из стойки к стойке, а значит и улучшает качество связи, ведь длинные патчкорды значительно ухудшают скорость сети.Но если количество стоек превышает десятки штук, то надо понимать, что таких коммутаторов потребуется по количеству стоек. Здесь, вероятно, необходима коммутационная инфраструктура по виду End-of-Row- дословно можно перевести как "в конце ряда". Коммутатор устанавливается в последнюю стойку в определенном ряду, а к нему уже идут кабели от всех стоек. В этом способе используется меньшее количество коммутаторов для создания единой инфраструтктуры, но необходимо правильно и понятно протянуть все кабели от серверов.
Коммутаторы MES5316A – это высокопроизводительные устройства, оснащенные интерфейсами 10GBASE-R/1000BASE-X и предназначенные для использования в операторских сетях в качестве устройств агрегации и в центрах обработки данных (ЦОД) в качестве Top-of-Rack или End-of-Row коммутаторов.
Порты устройства поддерживают работу на скоростях 1 Гбит/с (SFP) и 10 Гбит/с (SFP+), что обеспечивает гибкость в использовании и возможность постепенного перехода на более высокие скорости передачи данных. Неблокируемая коммутационная матрица позволяет осуществлять корректную обработку пакетов при максимальных нагрузках, сохраняя при этом минимальные и предсказуемые задержки на всех типах трафика.
Технические характеристики
Схема вентиляции front-to-back обеспечивает эффективное охлаждение при использовании устройств в условиях современных ЦОД.
Дублированные вентиляторы и источники питания постоянного или переменного тока в сочетании с развитой системой мониторинга аппаратной части устройства позволяют получить высокие показатели надежности. Устройства имеют возможность горячей замены модулей питания и вентиляционных модулей, обеспечивая бесперебойность функционирования сети оператора.
Интерфейсы
16х10GBASE-R (SFP+)/1000BASE-X (SFP)
1х10/100/1000BASE-T (ООВ)
1xUSB 2.0
1xКонсольный порт RS-232 (RJ-45)
Производительность
Пропускная способность - 320 Гбит/c
Производительность на пакетах длиной 64 байта1 - 238 MPPS
Объем буферной памяти - 3 Мбайт
Объём ОЗУ (DDR3) - 1 Гбайт (для моделей MES5316A rev.C/C1 - 2 Гбайт)
Объём ПЗУ (NAND Flash) - 1 Гбайт
Таблица MAC-адресов - 32768
Количество ARP-записей2 - 8183
Таблица VLAN - 4094
Количество L2 Multicast-групп - 4092
Количество правил SQinQ - 1320 (ingress), 1320(egress)
один источник питания постоянного или переменного тока
два источника питания постоянного или переменного тока, с возможностью горячей замены
Максимальная потребляемая мощность не более 85 Вт AC
Тепловыделение - 85 Вт
Аппаратная поддержка Dying Gasp - нет
Рабочая температура окружающей среды - от -10 до +45°С
Температура хранения - от -50 до +70°С
Рабочая влажность - не более 80%
Вентиляция Front-to-Back, 4 вентилятора
Исполнение - 19", 1U
Размеры (ШхВxГ) 430х44х275 мм
Вес 3,6 кг
1 Значения указаны для односторонней передачи 2 Для каждого хоста в ARP-таблице создается дополнительная запись в таблице коммутации. Количество ARP-записей с установленной лицензией EVPN равно 6135 3 Маршруты IPv4/IPv6 Unicast/Multicast используют общие аппаратные ресурсы 4 Поддержка протокола BGP предоставляется по лицензии 5 Поддержка технологии EVPN предоставляется по лицензии
Продление гарантийного обслуживания, MES5316A (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
[ для нового оборудования ]
до 2 лет, цена: 15% от стоимости оборудования Артикул: EW-MES5316A-2Y
до 3 лет, цена: 25% от стоимости оборудования Артикул: EW-MES5316A-3Y
до 5 лет, цена: 40% от стоимости оборудования Артикул: EW-MES5316A-5Y
Продление гарантийного обслуживания, MES5316A (используется при покупке для ранее приобретенного оборудования)
[ для уже купленного оборудования ]
на 1 год, цена: 12% от стоимости оборудования Артикул: EW-MES5316A-1Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES5316A - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
1 год, цена: 5% от стоимости оборудования Артикул: SC-MES5316A-B-1Y
3 года, цена: 12,5% от стоимости оборудования Артикул: SC-MES5316A-B-3Y
5 лет, цена: 30% от стоимости оборудования Артикул: SC-MES5316A-B-5Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES5316A - безлимитное количество обращений 24х7 (услуга оказывается по московскому времени)
1 год, цена: 7,5% от стоимости оборудования Артикул: SC-MES5316A-A-1Y
3 года, цена: 18,75% от стоимости оборудования Артикул: SC-MES5316A-A-3Y
5 лет, цена: 40% от стоимости оборудования Артикул: SC-MES5316A-A-5Y
Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, MES5316A (услуга оказывается при наличии действующей гарантии)
1 год, цена: 30% от стоимости оборудования Артикул: NBS-MES5316A-1Y
3 года, цена: 75% от стоимости оборудования Артикул: NBS-MES5316A-3Y
5 лет, цена: 93,75% от стоимости оборудования Артикул: NBS-MES5316A-5Y
Обучение в Академии Eltex
Базовый курс Академии Eltex: Использование коммутаторов Eltex
Базовый курс Академии Eltex: Использование маршрутизаторов Eltex
Базовый курс Академии Eltex: Точки доступа Enterprise и Контроллер беспроводной сети Eltex
[MES] Сброс настроек интерфейса в default
Пример настройки интерфейса:
2324B(config)#default interface gig0/10 Configuration for these interfaces will be set to default. It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y 2324B(config)#
Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет ее в свою базу данных, как Type - dynamicGvrp .
27-Jul-2016 11:53:25 %VLAN-I-GVRPAddVlan: Dynamic VLAN Vlan 300 was added by GVRP 27-Jul-2016 11:53:25 %VLAN-I-GVRPAddPort: Dynamic port gi1/0/1 was added to VLAN Vlan 300 by GVRP
switch2#sh vlan Vlan mode: Basic
Vlan
Name
Tagged ports
Untagged ports
Type
Authorization
1
-
-
gi1/0/1-7,gi1/0/9-28,Po1-
Default
Required
100
-
gi1/0/1
-
permanent
Required
300
-
gi1/0/1
-
dynamicGvrp
Required
По умолчанию VLAN c Type - dynamicGvrp нельзя назначить на порт. Для этого vlan нужно добавить в vlan database.
Начиная с версии 4.0.9 и 1.1.48/2.5.48 доступен функционал отключения анонса по gvrp определенного vlan. Используется команда gvrp advertisement-forbid в контесте конфигурирования interface vlan.
console(config)#interface vlan 1
console(config-if)#gvrp advertisement-forbid
В версии 4.0.11 появился функционал автоматического сохранения в динамического vlan, полученного по gvrp, в vlan database. Для настройки используется команда gvrp static-vlan в режиме глобального конфигурирования.
Источник: docs.eltex-co.ru
[MES] Настройка radius-сервера на коммутаторах MES
Настройка radius-сервера доступна для коммутаторов серий MES2300/3300/5300.
radius-сервер может использоваться для 802.1x аутентификации и для аутентификации учётных записей на других коммутаторах.
Включение radius-сервера:
radius server enable
Настройка адреса коммутатора доступа (клиента) и ключа:
encrypted radius server secret key secret ipv4-address 192.168.1.10
Конфигурация групп и привязка к ним уровней привилегий:
radius server group admin vlan name test privilege-level 15 exit ! radius server group priv1 privilege-level 1 exit
Настройка логина и пароля для учётных записей, привязка их к группам: radius server user username priv1 group priv1 password priv1 radius server user username tester group admin password tester
Источник: docs.eltex-co.ru
[MES] Настройка PVST
Настройка протокола PVST доступна для коммутаторов серий MES2300/3300/5300, начиная с версии ПО 4.0.10
Для включения протокола PVST необходимо использовать команду:
spanning-tree mode pvst
Для создания VLAN- участников PVST:
vlan database
vlan 2-64
Данные VLAN требуется добавить на интерфейсы:
interface gigabitethernet1/0/14
switchport mode trunk
switchport trunk allowed vlan add 2-64
Максимальное количество VLAN участников PVST - 64.
Источник: docs.eltex-co.ru
[MES] Настройка dhcp server
Пример настройки для VLAN 101
Отключить DHCP client в vlan 1
interface vlan 1
no ip address dhcp
Включить DHCPсервер и настроить пул выдаваемых адресов:
ip dhcp server
ip dhcp pool network Test
address low 192.168.101.10 high 192.168.101.254 255.255.255.0
default-router 192.168.101.2
dns-server 10.10.10.10
exit
Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :
interface vlan 101
ip address 192.168.101.1 255.255.255.0
exit
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
interface gigabitethernet 1/0/1
switchport access vlan 101
exit
Источник: docs.eltex-co.ru
[MES] Настройка ECMP для MES23xx/33xx/53xx
Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам».
Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей.
По умолчанию метод балансировки src-dst-mac-ip, изменить можно командой Port-Channel load-balance
Пример настройки ECMP:
MES2324(config)#ip maximum-paths 3
P.S.Настройка вступит в силу только после сохранения конфигурации и перезагрузки устройства.
Просмотр текущих настроек:
MES2324#show ip route Maximum Parallel Paths: 1 (1 after reset) Load balancing: src-dst-mac-ip
Источник: docs.eltex-co.ru
[MES] Настройка IPv6 адреса на коммутаторах MES
Настройка IPv6 адреса:
1) Stateless auto-configuration
Является режимом по-умолчанию. Включается следующим образом:
(config)#interface vlan x
(config)#ipv6 enable
После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.
Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.
Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).
Формирование link-layer адреса.
Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.
Пример:
Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.
2) Настройка адреса вручную
Настройка вручную осуществляется следующим образом:
(config)#interface vlan x
(config)#ipv6 enable # включение ipv6 является обязательным требованием
Далее можно задать желаемый global-scope адрес вручную:
(config)#ipv6 address 2001::a/64,
задать желаемый link-local адрес вручную:
(config)#ipv6 address fe80::a/64 link-local,
или использовать формирование адреса по алгоритму EUI-64:
(config)#ipv6 address 2001::/64 eui-64.
Если при назначении адреса вручную не указывать область действия(scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.
Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.
Источник: docs.eltex-co.ru
[MES] Настройка ITU-T G.8032v2 (ERPS)
Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии.
Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.
Пример конфигурирования
Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS трафика в подкольце используется VLAN 100, защищает VLAN 200, 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.
В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. RPL линк — это линк, который будет заблокирован при нормальном состоянии кольца, и разблокируется только в случае аварии на одном из линков кольца.
Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual link.
Примечания:
Подкольцо не умеет определять разрыв виртуального линка. Поэтому при разрыве этого линка в подкольце не разблокируется rpl-link.
По дефолту через интерфейс в режим trunk проходит дефолтный 1 VLAN. Поэтому данный VLAN необходимо или добавить в protected, или запретить его прохождение через интерфейс, чтобы избежать возникновение шторма.
RPL link блокирует прохождение трафика в protected VLAN. Но на семейство протоколов xSTP данная блокировка не растространяется. Поэтому необходимо запрещать прохождение STP bpdu через кольцевые порты.
На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
2324B(config)#security-suite enable
Настроить на порту порог:
2324B(config)#interface gig0/1 2324B(config-if)#security-suite dos syn-attack 127 192.168.11.0 /24
127 - максимальное число подключений в секунду
Посмотреть security-suite можно командой show security-suite configuration.
2324B#show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps) -------------- -------------------- ----------------------- gi1/0/1 192.168.11.0/24 127
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
римечание: Всего можно сконфигурировать 64 экземпляра MSTP.
Примечание: По умолчанию все vlan'ы находятся в 0 instance.
Источник: docs.eltex-co.ru
[MES] Настройка стекирования на коммутаторах MES23хх/33хх/5324
Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют оптические 1G-порты. При этом для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) - SFP(1G).
При этом указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1
Конфигурация применится после сохранения настроек и перезагрузки
Подробней с настройкой стекирования можно ознакомиться в "Руководстве по эксплуатации" раздел 4.4
Источник: docs.eltex-co.ru
[MES] Настройка VRRP на коммутаторах MES
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
Конфигурацию будем выполнять на базе коммутаторов MES2324.
sw1, sw2 – два любых коммутатора пропускающих трафик прозрачно, использовались MES2124 R1, R2 — коммутаторы MES2324 с настроенным VRRP, R1 — Master R2 — Backup
Со стороны PC1 сеть VLAN 100 Cо стороны PC2 сеть VLAN 200
–---------------------------------------Настройки мастера (R1):------------------------------------------------
б) Определение VRID (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24
R1(config-if)#vrrp 1 ip 10.0.200.1
Примечание: VRRP-маршрутизатор всегда будет становиться Master, если он владелец IP-адреса, который присвоен виртуальному маршрутизатору
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
R1(config-if)#vrrp 1 timers advertise msec 50
Примечание: Если интервал задан в миллисекундах, то происходит округление вниз до ближайшей секунды для VRRP Version 2 и до ближайших сотых долей секунды (10 миллисекунд) для VRRP Version 3.
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.100.0 /24
R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: R2 становится Backup-маршрутизатором и не выполняет функции маршрутизации трафика до выхода из строя Master.
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение ID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24,
R1(config-if)#vrrp 1 ip 10.0.200.1
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию VRRP-маршрутизатора для подсети 10.0.100.0 /24 R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: На коммутаторах SW1 и SW2 также необходимо настроить порты gi23 и gi24 в режим trunk для своих VLAN, а порт gi1 в режим access для своих VLAN.
После настройки R1 и R2 при выходе из строя R1 мастером становится R2 и работает как шлюз по умолчанию с виртуальным IP-адресом 10.0.100.1 для сети 10.0.100.0 /24 и 10.0.200.1 для сети 10.0.200.0 /24 При возвращении R1 он снова становится мастером.
Примечание: На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX – номер группы VRRP (VRID)
Источник: docs.eltex-co.ru
[MES] Настройка TACACS на коммутаторах MES
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.
1. Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
MES2324B(config)#aaa authentication login authorization default tacacs local
Примечение:На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3. Установить способ аутентификации при повышении уровня привилегий:
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
5. Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
6. Разрешить ведение учета (аккаунта) для сессий управления.
MES2324B(config)#aaa accounting login start-stop group tacacs+
7. Включить ведение учета введенных в CLI команд по протоколу tacacs+.
MES2324B(config)#aaa accounting commands stop-only group tacacs+
Примечание:По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Источник: docs.eltex-co.ru
[MES] Пример фильтрации PPPoE кадров на основе заголовка EtherType
Для начала нужно создать ACL, основанный на МАС-адресации с названием test и создать разрешающие правила для EtherЕype 0x8863 и 0x8864
console# configure
console(config)# mac access-list extended test
permit any any 8863 0000
permit any any 8864 0000
deny any any
Зайти в настройки нужного порта и применить ACL на входящий трафик
interfaces GigabitEthernet 1/0/x - где x – номер порта
service-acl input test
Данный ACL разрешит прохождение только PPPoE пакета.
Чтобы разрешить прохождение к аплинк портам, нужно настроить PPPoE Intermediate Agent
Включить работу PPPoE Intermediate Agent в глобальном конфиге
console(config)# pppoe intermediate-agent
Зайти в настройки настраиваемого порта и включить на нем работу PPPoE Intermediate Agent
interfaces GigabitEthernet 1/0/1
pppoe intermediate-agent
Зайти в настройки аплинка и включить на нем работу PPPoE Intermediate в режиме trust
interfaces GigabitEthernet 1/0/y - где y – номер аплинк порта
pppoe intermediate-agent trust
Поддерживаемые значения EtherType представлены в руководстве пользователя приложение В
Инструкции есть у каждой модели коммутатора на сайте во вкладке «Файлы» Главная > Каталог > Ethernet коммутаторы > Коммутаторы доступа 1G / 10G > MES2324 Eltex.
[MES] Методика восстановления прошивки коммутаторов серий 23xx, 33xx и 53xx через boot меню.
Методика восстановления прошивки коммутаторов серий 23xx, 33xx и 53xx через boot меню.
Для восстановления коммутатора понадобится ПК с TFTP-сервером и доступ к коммутатору через консольный порт. Процесс восстановления сбросит устройство к заводским настройкам.
Процесс восстановления:
1) Подключаем консольный кабель и открываем терминальную программу, например, PUTTY. Соединяем сетевую карту ПК с портом OOB коммутатора. Перезагружаем коммутатор по питанию;
2) В момент загрузки при появлении в выводе терминала "Press x to choose XMODEM..." в течение трех секунд необходимо нажать ctrl+shift+6, чтобы включить режим с выводом трассировок
3) Далее в выводе трассировок появится строка "Autoboot in 5 seconds...", на этом месте требуется ввести пароль - eltex. После чего появится приглашение командной строки U-Boot'а.
4) В консоли U-Boot'а выставить следующие переменные:
set ipaddr 10.10.10.2 #IP-адрес устройства, необходимо заменить на актуальный для рабочего места.
set serverip 10.10.10.1 #IP-адрес TFTP сервера, где находится файл образа ПО.
set rol_image_name mes3300-401.ros #Заменить название на актуальное для текущей версии ПО и модели коммутатора.
set bootcmd 'run bootcmd_tftp'
nand erase.chip
ubi part rootfs; ubi create rootfs
boot
Для коммутаторов MES23xx необходимо инициализировать сетевые интерфейсы командами :
switch init
set ethact sdma
После ввода команды boot коммутатор начнет загрузку образа ПО с TFTP-сервера и последующий его запуск
Источник: docs.eltex-co.ru
[MES] Резервирование конфигурации на TFTP-сервере для MES5312 MES5316A MES5324A MES5332A
Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере
console(config)# backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
console(config)# backup server tftp://10.10.10.1
3) Указываем путь расположения файла на сервере
console(config)# backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.
4) Включаем сохранение истории резервных копий
console(config)# backup history enable
5) Указываем промежуток времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.
console(config)# backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации
console(config)# backup write-memory
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.
Источник: docs.eltex-co.ru
[MES] Создание макроса для выполнения группы команд на MES5312 MES5316A MES5324A MES5332A
Рассмотрим создание макроса на примере удаления порта из LAG.
Создать макрос можно командой:
macro name remove_g1_from_po1 config interface gi1/0/24 no channel-group switchport mode trunk switchport trunk allowed vlan add 7,26,28,114,150,152,598-599,2794 @
Выполнение макроса можно запустить командой:
console# macro apply remove_g1_from_po1
Источник: docs.eltex-co.ru
[MES} Восстановление имени пользователя и пароля для доступа к коммутатору в случае утери на MES5312 MES5316A MES5324A MES5332A
Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт «Console»).
Используя терминальную программу (например, HyperTerminal) создайте подключение, произведя следующие настройки:
выберете соответствующий последовательный порт.
установите скорость передачи данных – 115200 бит/с.
задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.
отключите аппаратное и программное управление потоком данных.
Перезагрузите коммутатор и войдите в меню Startup, прервав загрузку нажатием клавиши <Esc> или <Enter> в течение первых двух секунд после появления сообщения автозагрузки:
Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.
В появившемся меню выберете пункт«Password Recovery Procedure», нажав клавишу<2>.
Далее необходимо вернуться в меню Startup, нажав клавишу <Enter>, и продолжить загрузку коммутатора, нажав клавишу <Esc>.
При подключении имя пользователя и пароль будут проигнорированы.
Источник: docs.eltex-co.ru
[MES] Просмотр информации об установленном трансивере (серийный номер, тип) на MES5312 MES5316A MES5324A MES5332A
Для этого необходимо воспользоваться командой:
console# show fiber-ports optical-transceiver interface{tengigabitethernette_port}
Port Temp Voltage Current Output Input LOS [C] [Volt] [mA] Power Power [mWatt] [mWatt] ------ ------ ------- ------- ------- ------- --- te1/0/1 23 3.29 3.49 0.50 0.49 No
Temp - Internally measured transceiver temperature Voltage - Internally measured supply voltage Current - Measured TX bias current Output Power - Measured TX output power in milliWatts Input Power - Measured RX received power in milliWatts LOS - Loss of signal N/A - Not Available, N/S - Not Supported, W - Warning, E - Error
Transceiver information: Vendor name: FANG HANG Serial number: A85371140603 Part number: FH-SP851TCDL03 Vendor revision: V02 Connector type: LC Type: SFP/SFP+ Compliance code: 10GBASE-SR Laser wavelength: 850 nm Transfer distance: 80 m Diagnostic: supported
Источник: docs.eltex-co.ru
[MES] Просмотр скорости входящих фреймов, обрабатываемых CPU на MES5312 MES5316A MES5324A MES5332A
Для просмотра использовать команду:
console# show cpu input-rate detailed
Источник: docs.eltex-co.ru
[MES] Просмотр статистики по загрузке интерфейсов на MES5312 MES5316A MES5324A MES5332A
Команда для просмотра статистики для всех интерфейсов:
console# show interfaces utilization
Для просмотра статистики на определенном интерфейсе необходимо воспользоваться командой с указанием интерфейса:
console# show interfaces utilization { tengigabitethernet te_port | port-channel group}
Источник: docs.eltex-co.ru
[MES] Просмотр счетчиков интерфейса на MES5312 MES5316A MES5324A MES5332A
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
console# show interfaces counters [interface-id]
Например,
console# sh interfaces counters te 1/0/12
Port
InUcastPkts
InMcastPkts
InBcastPkts
InOctets
te1/0/12
52554
133762
48
110684852
Port
OutUcastPkts
OutMcastPkts
OutBcastPkts
OutOctets
te1/0/12
42121
81577
22
71762424
FCS Errors: 0
Принятые пакеты содержат ошибки контрольной суммы CRC
Single Collision Frames: 0
Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно
Multiple Collision Frames: 0
Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно
SQE Test Errors: 0
Количетство раз, когда принят SQE TEST ERROR.
Deferred Transmissions: 0
Количество кадров, для которых первая передача задерживается из-за занятости среды передачи
Late Collisionss: 0
Количество раз когда обнаружена Late Collisions
Carrier Sense Errors: 0
Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных
Oversize Packets: 0
Количество принятых, кадров, превышающих максимально разрешенный размер кадра
Internal MAC Rx Errors: 0
Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне
Symbol Errors: 0
Количество раз, когда интерфейс не может интерпретировать принятый символ
Received Pause Frames: 0
Количество принятых пакетов, содержащих pause-frame
Transmitted Pause Frames: 0
Количество переданных пакетов, содержащих pause-frame
Источник: docs.eltex-co.ru
[MES] Просмотр уровня загрузки CPU для каждого процесса на MES5312 MES5316A MES5324A MES5332A
Команда для просмотра уровня загрузки CPU
Для просмотра использовать команду:
console# show tasks utilization
Источник: docs.eltex-co.ru
[MES] Назначение VLAN на основе Ethertype пакета на MES5312 MES5316A MES5324A MES5332A
Данная операция выполняется с помощью функционала PROTOCOL-BASED VLAN.
Рассмотрим пример добавления vlan 100 для приходящего на порт ARP трафика.
Данная операция выполняется с помощью функционала PROTOCOL-BASED VLAN.
Ниже приведен пример добавления vlan 100 для приходящего на порт ARP трафика.
vlan database
vlan 100
map protocol 0806 ethernet protocols-group 1
exit
!
interface TengigabitEthernet 1/0/1
switchport mode general
switchport general allowed vlan add 100 untagged
switchport general map protocols-group 1 vlan 100
exit
Источник: docs.eltex-co.ru
[MES] Настройка Voice VLAN на MES5312 MES5316A MES5324A MES5332A
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-фреймов могут быть назначены QoS-атрибуты для приоритезации трафика. Классификация фреймов, относящихся к фреймам VoIP-оборудования, базируется на OUI ( Organizationally Unique Identifier – первые 24 бита MAC-адреса) отправителя.
Источник: docs.eltex-co.ru
[MES] Настройка изоляции портов (protected-port) на MES5312 MES5316A MES5324A MES5332A
Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой необходимо воспользоваться функцией изоляция портов.
Источник: docs.eltex-co.ru
[MES] Ограничение скорости (rate-limit) входящего трафика для заданной VLAN на MES5312 MES5316A MES5324A MES5332A
Для ограничения скорости необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit
Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit
rate-limit vlan_id rate burst,
где
vlan_id – номерVLAN;
rate – средняя скорость трафика (CIR), кбит/с;
burst – размер сдерживающего порога (ограничение скорости) в байтах.
Источник: docs.eltex-co.ru
[MES] Ограничение скорости входящего/исходящего трафика на порту MES5312 MES5316A MES5324A MES5332A
Для этого необходимо в режиме настройки Ethernet-интерфейса выполнить ряд команд.
Источник: docs.eltex-co.ru
[MES] Отключение DHCP-клиента на MES5312 MES5316A MES5324A MES5332A
Источник: docs.eltex-co.ru
[MES] Удаление всех VLAN-ов одной командой в режиме работы порта trunk или general на MES5312 MES5316A MES5324A MES5332A
Как удалить все VLAN одной командой?
Для режима trunk:
console(config-if)# switchport trunk allowed vlan remove all
Для режима general:
console(config-if)# switchport general allowed vlan remove all
Источник: docs.eltex-co.ru
[MES] Функция mac-based vlan на MES5312 MES5316A MES5324A MES5332A
Функция mac-based vlan позволяет определять принадлежность трафика к определённому vlan, основываясь на mac-адресе источника.
Рассмотрим самый простейший пример настройки mac-based vlan.
Функция mac-based vlan позволяет определять принадлежность трафика к определённому vlan, основываясь на mac-адресе источника.
Рассмотрим самый простейший пример настройки mac-based vlan.
На ПК1 настроен адрес 192.168.1.1, на ПК2 192.168.1.2
interface gigabitethernet 1/0/10 switchport mode general switchport general allowed vlan add 69,112 untagged switchport general map macs-group 1 vlan 69 switchport general pvid 112 exit
Источник: docs.eltex-co.ru
[MES] Настройка Selective QinQ на MES5312 MES5316A MES5324A MES5332A
Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.
Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.
!!! Наличие хотя бы одного правила Selective Q-in-Q на интерфейсе запрещает включение функции логирования широковещательного шторма на этом интерфейсе.
Рассмотрим несколько типовых примеров настройки SQinQ
1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30
interface gigabitethernet1/0/11 switchport mode general switchport general allowed vlan add 31 tagged switchport general allowed vlan add 30 untagged selective-qinq list ingress permit ingress_vlan 31 selective-qinq list ingress add_vlan 30 exit ! interface gigabitethernet1/0/12 switchport mode trunk switchport trunk allowed vlan add 30-31 exit
2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4
interface gigabitethernet 1/0/1 switchport mode general switchport general allowed vlan add 3,4 untagged selective-qinq list ingress add_vlan 3 ingress_vlan 68,456,905 selective-qinq list ingress add_vlan 4 ingress_vlan 234,324,657 exit
[MES] Настройка защиты от петель (LBD) на MES5312 MES5316A MES5324A MES5332A
Данный механизм позволяет устройству отслеживать закольцованные порты. Петля на порту обнаруживается путём отсылки коммутатором фрейма с адресом назначения, совпадающим с одним из MAC-адресов устройства.
Данный механизм позволяет устройству отслеживать закольцованные порты. Петля на порту обнаруживается путём отсылки коммутатором фрейма с адресом назначения, совпадающим с одним из MAC-адресов устройства.
настройка loopbackdetection возможна как на порту, так и в VLAN
Пример конфигурирования при настройке на порту
Настройка позволяет защитить коммутатор от петли между портами коммутатора
Включить механизм обнаружения петель глобально для коммутатора:
console(config)# loopback-detection enable
Включить механизм обнаружения петель на портах:
console(config)# interface range GigabitEthernet1/0/1-24
[MES] Настройка защиты от широковещательного шторма на MES5312 MES5316A MES5324A MES5332A
Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.
Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.
Пример настройки.
Перейти в режим конфигурирования интерфейса .
Включить функцию. Ограничения настраиваются либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропуская - level
1- Номер группы auto – добавить порт в LACP группу в режиме active.
Примечание: В зависимости от типа портов в группе (fastethernet/gigabitethernet/tengigabitethernet) рекомендуется предварительно настроить на соответствующем port-channel скорость. Т.е если в port-channel 1 будут порты tengigabitethernet, следовательно выполнить такую настройку на port-channel 1:
[MES] Настройка балансировки Port-Channel на MES5312 MES5316A MES5324A MES5332A
Настройка балансировки Port-Channel двумя алгоритмами.
На коммутаторе MES можно выбрать следующие алгоритмы балансировки:
src-dst-mac-ip — балансировка основана на MAC адресе источника, MAC адресе назначения, IP адресе источника и IP адресе назначения.
src-dst-mac — режим по умолчанию, балансировка основана на MAC адресе источника, MAC адресе назначения
Алгоритм балансировки выбирается командой:
console(config)# Port-Channel load-balance
Алгоритм работы балансировки src-dst-mac-ip
IP source address (c 0 по 5 бит) операция XOR IP source address (c 16 по 21 бит) операция XOR IP destination address (с 0 по 5 бит) операция XOR IP destination address (c 16 по 21 бит) операция XOR source MAC (с 0 по 5 бит) операция XOR destination MAC (с 0 по 5 бит) получаем HASH. Над HASH выполняем операцию MOD X (x - кол-во портов в LAG). Получаем Index порта в LAG.
Алгоритм работы балансировки src-dst-mac:
source MAC (с 0 по 5 бит) операция XOR destination MAC (с 0 по 5 бит) получаем HASH. Над HASH выполняем операцию MOD х (x - кол-во портов в LAG). Получаем Index порта в LAG.
Источник: docs.eltex-co.ru
[MES] Включение поддержки сверхдлинных кадров (Jumbo Frames) на MES5312 MES5316A MES5324A MES5332A
Способность поддерживать передачу сверхдлинных кадров позволяет передавать данные меньшим числом пакетов. Это снижает объем служебной информации, время обработки и перерывы. Поддерживаются пакеты размером до 10К.
Способность поддерживать передачу сверхдлинных кадров позволяет передавать данные меньшим числом пакетов. Это снижает объем служебной
информации, время обработки и перерывы. Поддерживаются пакеты размером до 10К.
Пример настройки:
в режиме глобального конфигурирования разрешить работать с фреймами большого размера командой:
console(config)# port jumbo-frame
сохранить конфигурацию и перезагрузить коммутатор.
Источник: docs.eltex-co.ru
[MES] Включение функции errdisable на MES5312 MES5316A MES5324A MES5332A
На всех линейках коммутаторов mes доступен функционал errdisable. Данная функция позволяет восстановить интерфейс, если тот был отключен по какой-либо причине.
На всех линейках коммутаторов mes доступен функционал errdisable. Данная функция позволяет восстановить интерфейс, если тот был отключен по какой-либо причине. Причины могут быть разные, хх можно посмотреть командой:
Из вывода видно, что в каких-то причинах защита errdisable уже включена по умолчанию. Рассмотрим пример.
На порту gig0/2 настроим защиту spanning-tree bpduguard. С данной настройкой, если со встречного устройства прилетит bpdu, порт отключится по errdisable:
console(config-if)# do sh run int te 1/0/2 interface te 1/0/2 spanning-tree bpduguard enable switchport mode trunk switchport trunk allowed vlan add 100,111-112 !
В лог выведется соответствующее сообщение:
consoe(config-if)#09-Nov-2018 14:39:38 %STP-W-BPDUGRDPRTSUS: te 1/0/2 suspend by BPDU guard. 09-Nov-2018 14:39:38 %LINK-W-PORT_SUSPENDED: Port te 1/0/2 suspended by stp-bpdu-guard
Также заблокированные интерфейсы по errdisable можно посмотреть командой:
Протокол мониторинга сети (RMON) является расширением протокола SNMP, позволяя предоставить более широкие возможности контроля сетевого трафика. Основное отличие RMON от SNMP состоит в том, что rmon-агенты могут самостоятельно осуществлять сбор и обработку данных. Информация, собранная и обработанная агентом, передается на сервер.
Протокол мониторинга сети (RMON) является расширением протокола SNMP, позволяя предоставить более широкие возможности контроля сетевого трафика. Основное отличие RMON от SNMP состоит в том, что rmon-агенты могут самостоятельно осуществлять сбор и обработку данных. Информация, собранная и обработанная агентом, передается на сервер.
1) Первоначально необходимо настроить условие выдачи аварийного сигнала rmon alarm.
Примечание: alarm - периодическое извлечение статистических выборок из переменных в датчике и их сравнение с заранее выбранными пороговыми значениями. Если наблюдаемые значения выходят за границы пороговых, генерируется событие.
Настроим условие: На интерфейсе gigabitethernet0/11 при превышении порога InUcastPkts (OID: 1.3.6.1.2.1.2.2.1.11) в 200 пакетов, сгенерировать событие trap.
По порядку слева направо опишу значение параметров в команде:
• 1 – index аварийного события; • 1.3.6.1.2.1.2.2.1.11.1 – OID; • 5 - интервал, в течение которого данные отбираются и сравниваются с восходящей и нисходящей границами; • 200 - rthreshold – восходящая граница; • 100 - fthreshold – нисходящая граница; • 1 - revent – индекс события, которое используется при пересечении восходящей границы; • 2 - fevent – индекс события, которое используется при пересечении нисходящей границы; • Owner – имя создателя аварийного события;
2) Далее необходимо настроить событие для случая пересечения верхней границы в системе удаленного мониторинга:
console(config)# rmon event 1 trap community test_community description "On Gig0/11 counter inUnPackets > 200" owner TEST_SW • 1 – индекс события; • Trap - тип уведомления, генерируемого устройством по этому событию; • community - строка сообщества SNMP для пересылки trap; • description - описание события; • Owner – имя создателя аварийного события;
3) Также необходимо настроить события для случая пересечения нижней границы в системе удаленного мониторинга: console(config)# rmon event 2 trap community test_community description "On Gig0/11 counter inUnPackets < 100" owner TEST_SW
Примечание: Индексы событий rmon event, указанные в rmon alarm (revent, fevent) должны совпадать с индексами, указанными в rmon event.
Источник: docs.eltex-co.ru
[MES] Настройка SNTP на MES5312 MES5316A MES5324A MES5332A
Команды для настроек SNTP для MES5312 MES5316A MES5324A MES5332A
Настройка синхронизации времени производится следующими командами:
console(config)# clock source sntp
console(config)# sntp unicast client enable
console(config)# sntp unicast client poll
console(config)# sntp server 91.226.136.136 poll
Настройка синхронизации времени с аутентификацией:
console(config)# sntp server 192.168.10.5 poll key 1
Источник: docs.eltex-co.ru
[MES] Настройка отправки syslog-сообщений на syslog-сервер на MES5312 MES5316A MES5324A MES5332A
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.
Системные журналы позволяют вести историю событий, произошедших на устройстве, а также контролировать произошедшие события в реальном времени. В журнал заносятся события семи типов: чрезвычайные, сигналы тревоги, критические и не критические ошибки, предупреждения, уведомления, информационные и отладочные.
Команда включает передачу аварийных и отладочных сообщений на
удаленный SYSLOG сервер 192.168.1.1.
- ip_address– IPv4 или IPv6-адрес SYSLOG-сервера;
- host – сетевое имя SYSLOG-сервера;
- port – номер порта для передачи сообщений по протоколу
SYSLOG;
- level – уровень важности сообщений, передаваемых на
SYSLOG-сервер;
- facility – услуга, передаваемая в сообщениях;
- text – описание SYSLOG-сервера.
Примечание: можно настроить несколько Syslog-серверов.
Источник: docs.eltex-co.ru
[MES] Настройка IGMP Proxy между VLAN на MES5312 MES5316A MES5324A MES5332A
Функция маршрутизации многоадресного трафика IGMP Proxy дает возможность коммутатору используя информацию, получаемую при обработке сообщений протокола IGMP, распознавать сведения о принадлежности интерфейсов к многоадресным группам и осуществлять на основе этих данных пересылку многоадресных данных между сетями.
Функция маршрутизации многоадресного трафика IGMP Proxy дает возможность коммутатору используя информацию, получаемую при обработке сообщений протокола IGMP, распознавать сведения о принадлежности интерфейсов к многоадресным группам и осуществлять на основе этих данных пересылку многоадресных данных между сетями.
Данный пример описывает настройку функции IGMP Proxy на коммутаторе.
в качестве интерфейса к вышестоящей сети 10.1.0.0 использовать VLAN 100.
в качестве интерфейсов к нижестоящим сетям 10.2.0.0 и 10.3.0.0 использовать VLAN 101 и 102 соответственно.
Пример
console# configure
console (config)# vlan 100-102
console (config)# ip multicast-routing igmp-proxy
console (config)# interface vlan 100
console (config-if)# ip address 10.1.0.1 /24
console (config-if)# exit
console (config)# interface vlan 101
console (config-if)# ip igmp-proxy vlan 100
console (config-if)# ip address 10.2.0.1 /24
console (config-if)# exit
console (config)# interface vlan 102
console (config-if)# ip igmp-proxy vlan 100
console (config-if)# ip address 10.3.0.1 /24
console (config-if)# exit
Источник: docs.eltex-co.ru
[MES] Настройка IGMP Snooping на MES5312 MES5316A MES5324A MES5332A
Функция IGMP Snooping используется в сетях групповой рассылки. Основной задачей IGMP Snooping является предоставление многоадресного трафика только для тех портов, которые запросили его.
Функция IGMP Snooping используется в сетях групповой рассылки. Основной задачей IGMP Snooping является предоставление многоадресного трафика только для тех портов, которые запросили его.
Пример настройки
Включить фильтрацию многоадресных данных:
console(config)# bridge multicast filtering
Настроить VLAN для передачи многоадресных данных (VID1000):
console(config)# vlan database
console(config-vlan)# vlan 1000
console(config-vlan)# exit
Настроить порты, через которые разрешено передавать многоадресные данные, например, te 1/0/1-2:
Настроить igmpsnooping глобально и на VLAN интерфейсах:
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 1000
Источник: docs.eltex-co.ru
[MES] Настройка PIM DM IPv4 на MES5312 MES5316A MES5324A MES5332A
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
Произвести настройку сетевых параметров на ПК.
РС2 – ip address 10.3.30.2/24 gateway 10.3.30.1 - Multicast Server
РС1 – ip address 10.2.0.2/24 gateway 10.2.0.1 - Client
2. Настроить на коммутаторах VLAN, IP- адреса, порты:
SW1:
vlan database
vlan 3,30
exit
!
hostname SW1
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/23
switchport access vlan 3
exit
!
interface vlan 3
ip address 10.2.0.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.1 255.255.255.0
exit
SW2:
vlan database
vlan 4,30
exit
!
hostname SW2
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/12
switchport access vlan 4
exit
!
interface vlan 4
ip address 10.3.30.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.2 255.255.255.0
exit
3. Настроить протокол PIM на SW1, SW2:
SW1:
ip multicast-routing pim
!
interface vlan 3
ip pim
ip pim join-prune-interval 10
exit
!
interface vlan 30
ip pim
ip pim join-prune-interval 10
exit
!
ip pim dm range 224.100.0.0/24
SW2:
ip multicast-routing pim
!
interface vlan 4
ip pim
ip pim join-prune-interval 10
exit
!
interface vlan 30
ip pim
ip pim join-prune-interval 10
exit
!
ip pim dm range 224.100.0.0/24
4. Настроить любой один из протоколов динамической маршрутизации (OSPF/RIP/BGP), либо статические маршруты
SW1:
router bgp 64700
bgp router-id 1.1.1.1
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.2
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
SW2:
router bgp 64700
bgp router-id 2.2.2.2
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.1
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
5. Проверить соседство PIM и наличие всех маршрутов в таблице маршрутизации.
show ip pim neighbor
show ip bgp neighbor
6. Проверить наличия записей (*,G), (S,G) после запуска мультикаста и клиентов
show ip mroute
Источник: docs.eltex-co.ru
[MES] Настройка PIM SM IPv4 на MES5312 MES5316A MES5324A MES5332A
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
PIM — протокол многоадресной маршрутизации для IP-сетей, созданный для решения проблем групповой маршрутизации. PIM базируется на традиционных маршрутных протоколах (например, Border Gateway Protocol), вместо того, чтобы создавать собственную сетевую топологию. PIM использует unicast-таблицу маршрутизации для проверки RPF. Эта проверка выполняется маршрутизаторами, чтобы убедиться, что передача многоадресного трафика выполняется по пути без петель.
RP (rendezvous point) — точка рандеву, на которой будут регистрироваться источники многоадресных потоков и создавать маршрут от источника S (себя) до группы G: (S,G).
BSR (bootsrtap router) — механизм сбора информации о RP кандидатах, формировании списка RP для каждой многоадресной группы и отправка списка в пределах домена. Конфигурация многоадресной маршрутизации на базе IPv4.
Произвести настройку сетевых параметров на ПК.
РС2 – ip address 10.3.30.2/24 gateway 10.3.30.1 - Multicast Server
РС1 – ip address 10.2.0.2/24 gateway 10.2.0.1 - Client
2. Настроить на коммутаторах VLAN, IP- адреса, порты:
SW1:
vlan database
vlan 3,30
exit
!
hostname SW1
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/23
switchport access vlan 3
exit
!
interface vlan 3
ip address 10.2.0.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.1 255.255.255.0
exit
SW2:
vlan database
vlan 4,30
exit
!
hostname SW2
!
interface tengigabitethernet1/0/11
switchport mode trunk
switchport trunk allowed vlan add 30
switchport forbidden default-vlan
exit
!
interface tengigabitethernet1/0/12
switchport access vlan 4
exit
!
interface vlan 4
ip address 10.3.30.1 255.255.255.0
exit
!
interface vlan 30
ip address 3.0.0.2 255.255.255.0
exit
3. Настроить протокол PIM на SW1, SW2:
SW1:
ip multicast-routing pim
!
interface vlan 3
ip pim
exit
!
interface vlan 30
ip pim
exit
!
ip pim rp-address 3.0.0.2 224.100.0.0/24
SW2:
ip multicast-routing pim
!
interface vlan 4
ip pim
exit
!
interface vlan 30
ip pim
exit
!
ip pim rp-address 3.0.0.2 224.100.0.0/24
4. Настроить любой один из протоколов динамической маршрутизации (OSPF/RIP/BGP), либо статические маршруты
SW1:
router bgp 64700
bgp router-id 1.1.1.1
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.2
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
SW2:
router bgp 64700
bgp router-id 2.2.2.2
address-family ipv4 unicast
redistribute connected
exit
!
neighbor 3.0.0.1
remote-as 64700
address-family ipv4 unicast
exit
exit
exit
Проверка соседства PIM
SW1#sh ip pim neighbor
Neighbor Address(es)
Interface
Uptime
Expires
DR priority
3.0.0.2
vlan30
00:15:56
00:01:22
1
SW2#sh ip pim neighbor
Neighbor Address(es)
Interface
Uptime
Expires
DR priority
3.0.0.1
vlan30
00:17:18
00:01:26
1
Также необходимо проверить наличие всех маршрутов в таблице маршрутизации.
Проверка наличия записей (*,G), (S,G) после запуска мультикаста и клиентов:
console_SW1# sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, X - IGMP Proxy, s - SSM Group,
C - Connected, L - Local, R - RP-bit set, F - Register flag,
T - SPT-bit set, I - Received Source Specific Host Report
Timers: Uptime/Expires
(*, 224.100.0.1), uptime: 00:00:24, expires: never, RP 3.0.0.2, Flags: SL
[MES] Настройка PIM SSM IPv4 на MES5312 MES5316A MES5324A MES5332A
PIM Source-Specific Multicast (PIM-SSM) — это вариант протокола PIM, который основан на PIM-SM и работает вместе с IGMPv3.
PIM Source-Specific Multicast (PIM-SSM) — это вариант протокола PIM, который основан на PIM-SM и работает вместе с IGMPv3.
IGMPv3 способен отправлять от клиента запрос на присоединение не только к определенной группе, но и на получение пакетов от определенного источника. PIM-SSM указывает какие группы в мультикаст-таблице маршрутизации будут обслуживаться как SSM-группы.
Так как уже из запроса клиента известно рассылку от какого источника и какой группы хочет получать клиент, то PIM-SSM работает с использованием только SPT-деревьев.
Для SSM выделен специальный диапазон IP-адресов: 232.0.0.0/8.
IGMPv3 и MLDv2 поддерживают SSM в чистом виде. IGMPv1/v2, MLDv1 не поддерживают SSM, но имеет место такое понятие, как SSM Mapping
На коммутаторах для поддержки SSM включается режим PIM SSM:
console(config)# ip pim ssm default
На коммутаторах в таблице не будет записей (*, G), только (S, G).
Источник: docs.eltex-co.ru
[MES] Настройка RADIUS-авторизации на MES5312, MES5316A, MES5324A, MES5332A
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
1. Для начала необходимо указать ip-адрес radius-сервера и указать key:
console(config)# radius-server host 192.168.10.5 key test
2. Далее установить способ аутентификации для входа в систему по протоколу radius:
console(config)# aaa authentication login authorization default radius local
3. Установить способ аутентификации при повышении уровня привилегий:
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
5. Задать пароль на доступ в привилегированный режим:
console(config)# enable password eltex
Примечание: По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
Источник: docs.eltex-co.ru
[MES] Настройка SSH-авторизации по ключам на MES5312 MES5316A MES5324A MES5332A
На коммутаторах MES есть возможность настроить ssh-авторизацию по ключам, помимо подключения по логину/паролю. Ниже представлены примеры настройки для серий MES5312/5316A/5324A/5332A.
На коммутаторах MES есть возможность настроить ssh-авторизацию по ключам, помимо подключения по логину/паролю. Ниже представлены примеры настройки для серий MES5312/5316A/5324A/5332A.
Обращаю внимание, что необходимо создать пользователя. Ключ (user-key) привязывается к созданному пользователю (tester). Соответсвенно имена должны быть идентичны. По умолчанию создан пользователь admin. Можно создать user-key относительно дефолтного пользователя.
[MES] Настройка IP source guard на MES5312, MES5316A, MES5324A, MES5332A
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 1-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 1
console(config)# ip source-guard
Создать статическую запись в таблице соответствия для интерфейса, например, для Tengigabitethernet 1/0/1: IP-адрес клиента – 192.168.1.210, его MAC-адрес – 00:60:70:4A:AB:AF:
console(config)# ip source-guard binding 00:60:70:4A:AB:AF 1 192.168.1.210 Tengigabitethernet 1/0/1
Включить функцию защиты IP-адреса для интерфейса Tengigabitethernet 1/0/1:
console(config-if)# ip source-guard
Источник: docs.eltex-co.ru
[MES] Ограничение числа tcp-syn запросов на MES5312, MES5316A, MES5324A, MES5332A
На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
console(config)# security-suite enable
Настроить на порту порог:
console(config)# interface te 1/0/1 console(config-if)# security-suite dos syn-attack 200 192.168.11.0 /24
200 - максимальное число подключений в секунду
Посмотреть security-suite можно командой show security-suite configuration.
console# show security-suite configuration
Security suite is enabled (Per interface rules are enabled). Denial Of Service Protect: Denial Of Service SYN-FIN Attack is enabled Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps) -------------- -------------------- ----------------------- te1/0/1 192.168.11.0/24 200
Interface IP Address TCP port -------------- ---------------------- --------------------
ICMP filtering
Interface IP Address -------------- ----------------------
Fragmented packets filtering
Interface IP Address -------------- ----------------------
Источник: docs.eltex-co.ru
[MES] Запрет пакетов DHCP (bootpc) с клиентского порта на MES5312, MES5316A, MES5324A, MES5332A
Для предотвращения появления DHCP серверов на клиентских портах нужно использовать ACL.
Для предотвращения появления DHCP серверов на клиентских портах нужно использовать ACL.
Пример создания ACL. Порты 1-9 клиентские. Порт 10 uplink 1) Создаем IP ACL для запрета трафика bootpc (port 68). В конце ACL добавляем правило для пропуска остального трафика. ACL работает только для входящего в порт трафика:
ip access-list extended dhcp deny udp any any any bootpc permit ip any any any any exit
2) Назначаем ACL на клиентские порты:
interface range TengigabitEthernet0/1-9 service-acl input dhcp
Источник: docs.eltex-co.ru
[MES] Настройка Management ACL на MES5312, MES5316A, MES5324A, MES5332A
Доступ к коммутатору можно ограничить при помощи Management ACL.
Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:
console# show management access-list IP ---- permit ip-source 192.168.1.12 ! (Note: all other access implicitly denied)
console-only ------------ deny ! (Note: all other access implicitly denied)
console# show management access-class Management access-class is enabled, using access-list IP
Источник: docs.eltex-co.ru
[MES] Одновременная привязка ACL к порту на базе MAC и IPv4 на MES5312, MES5316A, MES5324A, MES5332A
Для этого необходимо в режиме настройки Ethernet интерфейса или группы портов выполнить следующую команду:
service-acl input MAC-ACL IPv4-ACL
Для этого необходимо в режиме настройки Ethernet интерфейса или группы портов выполнить следующую команду:
service-acl input MAC-ACL IPv4-ACL
, где
MAC-ACL – имя списка ACLна базе MAC;
IPv4-ACL – имя списка ACLна базе IPv4.
Источник: docs.eltex-co.ru
[MES] Настройка (Port security) максимального количества изучаемых на порту MAC адресов на MES5312, MES5316A, MES5324A, MES5332A
Для настройки максимального количества MAC адресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
Установить режим ограничения изучения максимального количества MAC-адресов:
Для настройки максимального количества MAC адресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:
Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# port security mode max-addresses
Задать максимальное количество адресов, которое может изучить порт, например, 1:
console(config-if)# port security max 1
Включить функцию защиты на интерфейсе:
console(config-if)# port security
Источник: docs.eltex-co.ru
[MES] Настройка BGP на MES5312, MES5314A, MES5324A, MES5332A
BGP (Border Gateway Protocol – протокол граничного шлюза) является протоколом маршрутизации между автономными системами (AS). Основной функцией BGP-системы является обмен информацией о доступности сетей с другими системами BGP. Информация о доступности сетей включает список автономных систем (AS), через которые проходит эта информация. BGP является протоколом прикладного уровня и функционирует поверх протокола транспортного уровня TCP (порт 179). После установки соединения передаётся информация обо всех маршрутах, предназначенных для экспорта. В дальнейшем передаётся только информация об изменениях в таблицах маршрутизации.
BGP (Border Gateway Protocol – протокол граничного шлюза) является протоколом маршрутизации между автономными системами (AS). Основной функцией BGP-системы является обмен информацией о доступности сетей с другими системами BGP. Информация о доступности сетей включает список автономных систем (AS), через которые проходит эта информация. BGP является протоколом прикладного уровня и функционирует поверх протокола транспортного уровня TCP (порт 179). После установки соединения передаётся информация обо всех маршрутах, предназначенных для экспорта. В дальнейшем передаётся только информация об изменениях в таблицах маршрутизации.
Функционал BGP на коммутаторах MES23XX/33XX/MES5324 предоставляется по лицензии. Для получения лицензии нужно обратиться в коммерческий отдел.
Рассмотрим настройку BGP на примере вышеприведенной схемы:
1)Для подмены значения атрибута NEXT_HOP на локальный адрес маршрутизатора используется команда
console(router-bgp-nbr)# next-hop-self
Настройка актуальна при приеме маршрута от eBGP-соседа из другой AS и дальнейшей отправке этого маршрута внутри AS другим iBGP-соседям.
Диагностика протокола BGP
show ip bgp - таблица BGP-маршрутов
show ip bgp neighbor - отображение информации о настроенных BGP-соседях
clear ip bgp - переустанавливает соединения с BGP-соседями, очищая принятые от них маршруты.
Источник: docs.eltex-co.ru
[MES] Multicast BGP (mBGP) на MES5312, MES5314A, MES5324A, MES5332A
Multicast BGP позволяет разделить трафик Unicast и Multicast и пустить его по разным маршрутам.
В случае использования mBGP создается отдельная таблица маршрутизации для мультикаст-трафика.
Multicast BGP позволяет разделить трафик Unicast и Multicast и пустить его по разным маршрутам.
В случае использования mBGP создается отдельная таблица маршрутизации для мультикаст-трафика.
Пример настройки SW1 для данной схемы:
Отключаем STP, добавляем vlan в database, настраиваем порты и IP-адреса, включаем PIM
console(config)# no spanning-tree console(config)# vlan 10,20
Включаем AF multicast на соседе, от данного соседа будут приниматься только мультикаст-маршруты в отдельную таблицу маршрутизации. Для использования AF multicast на соседе она должна быть включена глобально. console(config-bgp-nbr)# address-family ipv4 multicast console(config-bgp-nbr-af)# exit console(config-bgp-nbr)# exit
Настраиваем второго соседа аналогично. Для данного соседа разрешена только AF unicast. console(config-bgp)# neighbor 2.2.2.1 console(config-bgp-nbr)# remote-as 64100 console(config-bgp-nbr)# update-source vlan 20 console(config-bgp-nbr)# address-family ipv4 unicast console(config-bgp-nbr-af)# exit console(config-bgp-nbr)# exit console(config-bgp)# exit
Задаем PIM RP-адрес
console(config)# ip pim rp-address 1.1.1.1
После включения AF Multicast проверка RPF PIM происходит по таблице мультакст-маршрутов.
Диагностика:
show ip bgp all all - показывает вывод обоих таблиц маршрутизации
sh ip bgp all all neighbors - показывает вывод BGP-соседей для обоих AF
Источник: docs.eltex-co.ru
[MES] Импорт и анонсирование маршрутов в BGP на MES5312, MES5314A, MES5324A, MES5332A
В протокол BGP возможно перераспределить маршруты других протоколов динамической маршрутизации, статических маршрутов, а также добавить connected-сети.
Редистрибьюция настраивается в рамках Address Family:
В протокол BGP возможно перераспределить маршруты других протоколов динамической маршрутизации, статических маршрутов, а также добавить connected-сети.
Редистрибьюция настраивается в рамках Address Family:
[MES] Настройка BFD для BGP на MES5312, MES5314A, MES5324A, MES5332A
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP.
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. В текущей версии ПО реализована работа только с протоколом BGP.
- int – минимальный интервал передачи для обнаружения ошибки; - min – минимальный интервал приёма для обнаружения ошибки. - mult_num – количество потерянных пакетов до разрыва сессии
[MES] Настройка функционала Route Reflector для BGP на MES5312, MES5314A, MES5324A, MES5332A
Функционал Route reflectors (RR) позволяет избежать необходимости создание full mesh топологии между всеми iBGP-соседями, всем iBGP-соседям получить все iBGP-маршруты в AS, а также предотвратить образование петель
Функционал Route reflectors (RR) позволяет избежать необходимости создание full mesh топологии между всеми iBGP-соседями, всем iBGP-соседям получить все iBGP-маршруты в AS, а также предотвратить образование петель
1)Маршрут, полученный от RR-клиента перенаправляется всем остальным RR-клиентам и не-клиентам
2)Маршрут, полученный от не-клиента перенаправляется всем RR-клиентам, но не перенаправляется другим не-клиентам
3)Маршрут, полученный от eBGP-соседа перенаправляется всем RR-клиентам и не-клиентам
RR настраивается только на RR-сервере:
Включить пересылку маршрутов, полученных от reflector-клиента, другим BGP-соседям
- meshed - параметр выставляется если используется mesh-топология. При получении от такого клиента BGP-маршрутов они не будут пересылаться другим клиентам. BGP-маршрутизатор является route-reflector'ом, если хотя бы один его сосед сконфигурирован как route-reflector клиент.
Источник: docs.eltex-co.ru
[MES] Применение Route-Map для BGP-соседа на MES5312, MES5314A, MES5324A, MES5332A
Применение route-map для соседа в BGP.
Применение route-map для соседа в BGP: console(config)# router bgp 64700 console(router-bgp)# neighbor 1.1.1.1 console(router-bgp-nbr)# address-family ipv4 unicast console(router-bgp-nbr-af)# route-map test in
В момент применения route-map in для входящих маршрутов по умолчанию используется механизм Route-Refresh, отправляется запрос BGP-соседу на повторную отправку маршрутов без разрыва BGP-соседства для применения к ним политики Route-Map. Аналогично коммутатор отвечает на входящие сообщения Route Refresh от BGP-соседа, отправляя ему маршруты.
Также есть возможность настроить механизм Soft Reconfiguration
В момент включения данной настройки происходит запись всех ранее полученных от BGP-соседа маршрутов в отдельную область памяти. В случае применения входящей политики будет использован механизм soft-reconfiguration inbound, а не Route Refresh, и политика будет применяться к маршрутам из памяти, перезапроса маршрутов у BGP-соседа не произойдет.
В случае получения от соседа сообщения route-refresh, коммутатор обработает это сообщение как и до включения soft-reconfiguration inbound, при этом сам он сообщения route-refresh слать не будет.
Команды диагностики:
Командаshow ip bgp neighbors X.X.X.X received-routes позволяет посмотреть все принятые маршруты, до применения к ним входящей политики.
Измененные же маршруты будут доступны по команде show ip bgp.
Источник: docs.eltex-co.ru
[MES] Настройка ECMP на MES5312, MES5316A, MES5324A, MES5332A
Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам». Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей.
Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам». Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей.
По умолчанию метод балансировки src-dst-mac-ip, изменить можно командой Port-Channel load-balance
Пример настройки ECMP:
console(config)# ip maximum-paths 3
P.S.Настройка вступит в силу только после сохранения конфигурации и перезагрузки устройства.
Просмотр текущих настроек:
console# show ip route Maximum Parallel Paths: 1 (1 after reset) Load balancing: src-dst-mac-ip
Источник: docs.eltex-co.ru
Оценка товара ( 6 )
5.0
Никита Богданас
13.11.2023 I 15:34:03
Коммутатор агрегации MES5316A. Коммутатор ЦОД и ядра сети.
Eiphorial
07.11.2023 I 22:00:10
Два коммутатора MES5316A в стеке. Порты уходят на ядро, остальные на коммутационные по этажам, отвечают за локальную сеть в здании.
Также есть MES3316F, отвечает за ВКС (видеоконференцсвязь). Основное ядро. Порты уходят непосредственно в залы.
Denis
25.10.2023 I 15:31:03
В стойке находится коммутатор MES5316A, это коммутатор L3 уровня и используется у нас для агрегации.
Максим Иванов
23.10.2023 I 16:22:04
Первый Коммутатор MES5324 используется для организации сети доступа как центральный коммутатор
Второй MES5316A находится на тесте. Проверяем модули через него, а также он в будущем будет использоваться, как коммутатор сети доступа.
Иван
26.09.2023 I 16:05:04
MES5316A может и 1G поднять по оптике.
Radik
02.08.2023 I 16:43:04
Хорошая железка.
Подбор аналогов зарубежных вендоров для MES5316A Eltex
Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
Данная функция находится в разработке
Совсем скоро появится возможность сменить тему сайта на тёмную!
Ваш браузер сильно устарел. Обновите его до последней версии или используйте другой более современный.
Пожалуйста, завершите проверку безопасности!
Заказать звонок
Написать нам
Заполните форму и наш специалист свяжется с Вами в ближайшее время
Узнать цены
Узнать наличие
Спасибо, Ваш запрос отправлен!
Для ускорения обработки заявки, просим Вас дозаполнить анкету.