MES5448 Eltex I Коммутатор 48 портов SFP+, 4 порта QSFP+
‹
›
‹
›
Видео и фото от пользователей
‹
›
MES5448 - это высокопроизводительный 52-ух портовый 10Gbit L3 коммутатор уровня агрегации/ядра. Обладает высокой пропускной способностью (1,28 Тбит/с) и расширенным набором портов. Благодаря наличию QSFP портов может эффективно стекироваться до 8 устройств. Для подключения доступно 48х10GBASE-R (SFP+)/1000BASE-X (SFP) и 4х40GBASE-SR4/LR4 (QSFP+).
один источник питания постоянного или переменного тока
два источника питания постоянного или переменного тока с возможностью горячей замены
Рабочая температура окружающей среды - От 0 до +45 °С
Температура хранения - от -40 до +70 °С
Рабочая влажность - не более 80%
Вентиляция - Front-to-Back, 4 вентилятора
Исполнение - 19", 1U
Размеры (ШxВxГ) - 440х44х425 мм
Масса (без блоков питания) - 6,2 кг
1 Значение указано для односторонней передачи 2 Маршруты IPv4/IPv6 используют общие аппаратные ресурсы
MES5448 - это высокопроизводительный 52-ух портовый 10Gbit L3 коммутатор уровня агрегации/ядра. Обладает высокой пропускной способностью (1,28 Тбит/с) и расширенным набором портов. Благодаря наличию QSFP портов может эффективно стекироваться до 8 устройств. Для подключения доступно 48х10GBASE-R (SFP+)/1000BASE-X (SFP) и 4х40GBASE-SR4/LR4 (QSFP+).
MES5448 коммутатор агрегации с функционалом L3
48 оптических интерфейсов 10GBASE-R/1000BASE-X
4 оптических интерфейса QSFP(40GbE/4x10GbE)
Производительность – 1,28Tbps
Ёмкость таблицы MAC-адресов - 128K
Дублирование модулей питания
Дублирование модулей вентиляции
Производительность коммутатора - 1,28 Тбит/с
Резервирование модулей питания
Коммутатор MES5448 имеет два слота для установки модулей питания. На выбор доступны модули 48V DC или 220V AC. Часто операторы связи устанавливают оба типа модуля для надежного резервирования электропитания. Возможна горячая замена модулей питания
Функционал
Функционал MES5448 расширен. В части L3 поддерживается VRRP, динамическая маршрутизация RIP, OSPF. Разработчики Элтекс вносят корректировки в roadmap исходя из пожеланий операторов связи. В результате сегодня MES5448 получает самые положительные отзывы.
Коммутаторы Eltex MES5448 обеспечивают полную функциональность Layer 2 и Layer 3 для Центров Обработки Данных. Программное обеспечение коммутаторов оптимизировано для удобного масштабирования и повышения производительности ЦОД.
Устройства MES5448 отвечают требованиям Центров Обработки Данных к Top-of-Rack и End-of-Row коммутаторам, требованиям операторов к оборудованию сетей агрегации и backbone-сетей, обеспечивая высокую производительность и экономически эффективное решение.
Услуга по отправке оборудования на подмену на следующий рабочий день (next business day shipping) в случае выхода из строя оборудования
Услуги, входящие в сертификат:
Отправка оборудования на подмену на время ремонта на следующий рабочий день
Диагностика неисправного оборудования
Бесплатный ремонт, если диагностирован гарантийный случай
Платный ремонт, если диагностирован не гарантийный случай
Тарифные пакеты
8х5 по МСК и НСК
Интервал обслуживания
Безлимитное
Количество обращений
1 год / 2 года / 3 года / 5 лет
Срок обслуживания
Сертификат привязан к серийному номеру оборудования
Сертификат приобретается только при наличии действующей стандартной/расширенной гарантии
1 год
2 года
3 года
5 лет
Продление гарантийного обслуживания, MES5448 (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
[ для нового оборудования ]
2 года Артикул: EW-MES5448-2Y
3 года Артикул: EW-MES5448-3Y
5 лет Артикул: EW-MES5448-5Y
Продление гарантийного обслуживания, MES5448 (используется при покупке для ранее приобретенного оборудования)
[ для уже купленного оборудования ]
1 год Артикул: EW-MES5448-1Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES5448 - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
1 год Артикул: SC-MES5448-B-1Y
2 года Артикул: SC-MES5448-B-2Y
3 года Артикул: SC-MES5448-B-3Y
5 лет Артикул: SC-MES5448-B-5Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES5448 - безлимитное количество обращений 24х7 (услуга оказывается по московскому времени)
1 год Артикул: SC-MES5448-A-1Y
2 года Артикул: SC-MES5448-A-2Y
3 года Артикул: SC-MES5448-A-3Y
5 лет Артикул: SC-MES5448-A-5Y
Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, MES5448 (услуга оказывается при наличии действующей гарантии)
1 год Артикул: NBS-MES5448-1Y
2 года Артикул: NBS-MES5448-2Y
3 года Артикул: NBS-MES5448-3Y
5 лет Артикул: NBS-MES5448-5Y
Обучение в Академии Eltex
Базовый курс Академии Eltex: Использование коммутаторов Eltex
Базовый курс Академии Eltex: Использование маршрутизаторов Eltex
Базовый курс Академии Eltex: Точки доступа Enterprise и Контроллер беспроводной сети Eltex
[MES] Сброс настроек интерфейса в default
Пример настройки интерфейса:
2324B(config)#default interface gig0/10 Configuration for these interfaces will be set to default. It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y 2324B(config)#
[MES] Конфигурация MSTP
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.
Примечание: По умолчанию все vlan'ы находятся в 0 instance.
[MES] Настройка radius-сервера на коммутаторах MES
Настройка radius-сервера доступна для коммутаторов серий MES2300/3300/5300.
radius-сервер может использоваться для 802.1x аутентификации и для аутентификации учётных записей на других коммутаторах.
Включение radius-сервера:
radius server enable
Настройка адреса коммутатора доступа (клиента) и ключа:
encrypted radius server secret key secret ipv4-address 192.168.1.10
Конфигурация групп и привязка к ним уровней привилегий:
radius server group admin vlan name test privilege-level 15 exit ! radius server group priv1 privilege-level 1 exit
Настройка логина и пароля для учётных записей, привязка их к группам: radius server user username priv1 group priv1 password priv1 radius server user username tester group admin password tester
[MES] Настройка PVST
Настройка протокола PVST доступна для коммутаторов серий MES2300/3300/5300, начиная с версии ПО 4.0.10
Для включения протокола PVST необходимо использовать команду:
spanning-tree mode pvst
Для создания VLAN- участников PVST:
vlan database
vlan 2-64
Данные VLAN требуется добавить на интерфейсы:
interface gigabitethernet1/0/14
switchport mode trunk
switchport trunk allowed vlan add 2-64
Максимальное количество VLAN участников PVST - 64.
[MES] Настройка dhcp server
Пример настройки для VLAN 101
Отключить DHCP client в vlan 1
interface vlan 1
no ip address dhcp
Включить DHCPсервер и настроить пул выдаваемых адресов:
ip dhcp server
ip dhcp pool network Test
address low 192.168.101.10 high 192.168.101.254 255.255.255.0
default-router 192.168.101.2
dns-server 10.10.10.10
exit
Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :
interface vlan 101
ip address 192.168.101.1 255.255.255.0
exit
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
interface gigabitethernet 1/0/1
switchport access vlan 101
exit
[MES] Настройка IPv6 адреса на коммутаторах MES
Настройка IPv6 адреса:
1) Stateless auto-configuration
Является режимом по-умолчанию. Включается следующим образом:
(config)#interface vlan x
(config)#ipv6 enable
После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.
Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.
Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).
Формирование link-layer адреса.
Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.
Пример:
Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.
2) Настройка адреса вручную
Настройка вручную осуществляется следующим образом:
(config)#interface vlan x
(config)#ipv6 enable # включение ipv6 является обязательным требованием
Далее можно задать желаемый global-scope адрес вручную:
(config)#ipv6 address 2001::a/64,
задать желаемый link-local адрес вручную:
(config)#ipv6 address fe80::a/64 link-local,
или использовать формирование адреса по алгоритму EUI-64:
(config)#ipv6 address 2001::/64 eui-64.
Если при назначении адреса вручную не указывать область действия(scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.
Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.
[MES] Настройка ITU-T G.8032v2 (ERPS)
Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии.
Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.
Пример конфигурирования
Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS трафика в подкольце используется VLAN 100, защищает VLAN 200, 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.
В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. RPL линк — это линк, который будет заблокирован при нормальном состоянии кольца, и разблокируется только в случае аварии на одном из линков кольца.
Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual link.
Примечания:
Подкольцо не умеет определять разрыв виртуального линка. Поэтому при разрыве этого линка в подкольце не разблокируется rpl-link.
По дефолту через интерфейс в режим trunk проходит дефолтный 1 VLAN. Поэтому данный VLAN необходимо или добавить в protected, или запретить его прохождение через интерфейс, чтобы избежать возникновение шторма.
RPL link блокирует прохождение трафика в protected VLAN. Но на семейство протоколов xSTP данная блокировка не растространяется. Поэтому необходимо запрещать прохождение STP bpdu через кольцевые порты.
На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
2324B(config)#security-suite enable
Настроить на порту порог:
2324B(config)#interface gig0/1 2324B(config-if)#security-suite dos syn-attack 127 192.168.11.0 /24
127 - максимальное число подключений в секунду
Посмотреть security-suite можно командой show security-suite configuration.
2324B#show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps) -------------- -------------------- ----------------------- gi1/0/1 192.168.11.0/24 127
[MES] Настройка стекирования на коммутаторах MES23хх/33хх/5324
Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют оптические 1G-порты. При этом для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) - SFP(1G).
Стек из коммутаторов Eltex — объединение двух или более (до восьми) управляемых однотипных коммутаторов согласно матрице стекирования, предназначенное для увеличения числа портов. Стек идентифицируется как один логический коммутатор — один IP-адрес, один системный MAC-адрес.
Коммутаторы серий MES23xx/MES33xx/MES5324 по умолчанию работают в режиме стекирования в качестве unit 1, (при этом стековые порты не настроены).
В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют оптические 1G-порты. Для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) — SFP(1G). При этом указанные порты не участвуют в передаче данных с устройствами вне стека.
Возможны две топологии синхронизирующихся устройств – кольцевая (Ring) и линейная (Chain). Топология определяется автоматически в зависимости от физического подключения стековых портов. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
При использовании линейной топологии в схеме из двух юнитов, стековые порты объединяются в LAG, что позволяет повысить пропускную способность канала. При любых вариантах сборки стека с двумя юнитами будет использоваться топология Chain.
Функционально и логически это можно объяснить так, что при топологии Chain используется один Port-Channel, а при сборке Ring - два:
Chain:
Ring:
Для коммутаторов MES2348P, MES2348B, MES3348, MES3348F для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby. При использовании кольцевой топологии при любых комбинациях стековых портов - они все будут в статусе "Active", например:
! Интерфейсы в режиме стекирования работают только на максимальной скорости интерфейса
Стек функционирует как единое устройство и может объединять до 8 коммутаторов одной и той же модели, имеющих следующие роли, определяемые их порядковыми номерами UID. (описание принципа функционирования приведено для коммутаторов с версией ПО 4.0.17 и выше):
• Master (UID устройства от 1 до 8), с него происходит управление всеми устройствами в стеке. Роль можно назначить всем устройствам, но активный Master при этом будет один, остальные с ролью Backup.
• Backup (UID устройства от 1 до 8) — устройство, подчиняющееся master. Дублирует все настройки, и, в случае выхода управляющего устройства из строя, берет на себя функции управления стеком. Роль можно назначить максимум семи устройствам.
• Slave (UID устройства от 1 до 8) — устройство, подчиняющееся master. Не может работать в автономном режиме (если отсутствует master). Роль можно назначить максимум шести устройствам. Допустима корректная работа стека без устройств с данной ролью.
Для корректной работы стека обязательно один из юнитов необходимо оставить с ролью master и минимум один с ролью backup.
В стеке каждый коммутатор использует свои tcam правила (правила acl, sqinq). Нагрузка идет только на процессор unit с ролью master.
Передача данных между юнитами ограничивается пропускной способностью стековых портов. Внутри юнита - пропускной способностью портов коммутатора.
На Backup-коммутаторе резервируется конфигурация.
Если Master после отключения или перезагрузки вернется в строй, то вновь мастерство забирать не будет и останется Backup-коммутатором. Исключение - опция stack configuration master , которая форсирует передачу мастерства данному unit при его появлении в топологии.
В случае наличия в стеке нескольких Backup-коммутаторов, при выходе из строя Master-коммутатора, новый Master будет определяться по следующему сценарию: uptime всех Backup-коммутаторов делится на 20. Роль master примет коммутатор с наибольшим частным (результатом деления без остатка). В случае равенства частного мастерство возьмёт на себя Backup-коммутатор с наименьшим UnitID.
Для стека с установленной версией ПО ниже 4.0.17 роли следующие:
• Master (UID устройства 1 или 2) — с него происходит управление всеми устройствами в стеке.
• Backup Backup (UID устройства 1 или 2) — устройство, подчиняющееся master. Дублирует все настройки, и, в случае выхода управляющего устройства из строя, берет на себя функции управления стеком.
• Slave (UID устройства от 3 до 8) — устройства, подчиняющееся master. Не может работать в автономном режиме (если отсутствует master).
В стеке каждый коммутатор использует свои tcam правила (правила acl, sqinq). Нагрузка идет только на процессор Master.
Передача данных между unit ограничивается пропускной способностью стековых портов. Внутри unit - пропускной способностью портов коммутатора.
На Backup-коммутаторе резервируется конфигурация.
Если Master после отключения или перезагрузки вернется в строй, то вновь возьмет на себя мастерство в случае, если uptime Backup-коммутатора составляет менее 10 минут (при этом Backup коммутатор перезагрузится).
Если uptime Backup-коммутатора будет более 10 минут, то мастерство останется за ним.
При передаче мастерства возможен кратковременный перерыв в предоставлении сервисов на время доинициализации нового Master в стеке.
Начиная с версии ПО 4.0.17, реализован функционал NSF (Non-Stop Forwarding). Данный функционал позволяет минимизировать потери для транзитного немаршрутизируемого трафика в момент передачи мастерства от Master к Backup.
Принцип работы NSF : в момент отключения Master, Backup берет управление на себя и запускает процесс доинициализации до роли Master, запускается NSF таймер (по умолчанию 120 с.). На это время фиксируются STP статусы портов (изменение статуса игнорируется), порты в LACP, членство портов во VLAN, скорость портов, FDB, Vlan Database и тд. Остальные настройки применяются на новый Master в реальном времени.
Во время процесса NSF запрещается выполнение команд просмотра конфигурации, изменение состояния портов, добавления новой VLAN, изменение режима согласования портов, конфигурация скорости портов, очистка FDB, перезагрузка устройства, изменение имени устройства, отключение/подключение STP. Когда истекает таймер NSF, все ранее зафиксированные настройки применяются на стек в реальном времени.
Конфигурация коммутатора:
console(config)# stack configuration links {fo1-4| te1-4 | gi9-12} (возможные варианты синтаксиса при настройке -stack configuration links te 1-2; stack configuration links te 1, te3)
console(unit)#stack configuration role {slave|master}
Дополнительные настройки стека:
Принудительно назначить устройство мастером (мастерство будет всегда сохранено за юнитом в случае наличия/появления его в стеке):
console(config)#stack configuration master unit {unit-id}
Внимание - если указать unit, который в этот момент не является мастером, то текущий мастер принудительно перезагрузится для отдачи мастерства.
Включение функционала NSF:
console(config)#stack nsf
Изменение таймера NSF (по умолчанию 120 с.)
console(config)#stack nsf timer {60-600}
Конфигурация стекирования применится после перезагрузки.
Перезагрузка определенного unit:
console#reload unit 2
Работа портов OOB в стеке (Для моделей с поддержкой OOB)
Если на стеке задействованы несколько портов OOB, то их порядок работы будет следующий:
-Активен порт только на мастере.
-IP адресация для такого интерфейса назначается глобально для всего стека.
console(config)# interface oob
console(config-oob)# ip address X.X.X.X /XX
-При статической адресации, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этом IP-адрес остается тот же.
-Если настроено получение IP-адреса OOB по DHCP, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этот IP-адрес будет выдан сервером другой, т.к. MAC-адрес OOB-порта изменился.
Процедура обновления ПО стека
При обновлении ПО, файл загружается на Master юнит, далее автоматически выполняется синхронизация файлов ПО Master юнита с остальными юнитами в стеке.
В данной таблице не определяется статус стековых интерфейсов, статус Not Present ожидаемый. Для определения статуса стековых интерфейсов необходимо использовать команду show stack links details :
console#show stack links details
UNIT ID Link Status Speed Uptime Neighbor Neighbor Neighbor (d,h:m:s) Unit ID Link MAC Address ------- -------- ---------- ----- ----------- -------- -------- ------------------- 1 te1 Active 10G 00,00:33:57 2 te1 e4:5a:d4:6a:16:00 1 te2 Active 10G 00,00:33:57 2 te2 e4:5a:d4:6a:16:00 2 te1 Active 10G 00,00:33:56 1 te1 e4:5a:d4:d3:66:40 2 te2 Active 10G 00,00:33:56 1 te2 e4:5a:d4:d3:66:40
Для определения статуса через SNMP необходимо использовать oid : 1.3.6.1.4.1.89.53.23.1.6.<ifindex> Возможные значения - 3 - active, 2 - down.
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
Конфигурацию будем выполнять на базе коммутаторов MES2324.
sw1, sw2 – два любых коммутатора пропускающих трафик прозрачно, использовались MES2124 R1, R2 — коммутаторы MES2324 с настроенным VRRP, R1 — Master R2 — Backup
Со стороны PC1 сеть VLAN 100 Cо стороны PC2 сеть VLAN 200
–---------------------------------------Настройки мастера (R1):------------------------------------------------
б) Определение VRID (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24
R1(config-if)#vrrp 1 ip 10.0.200.1
Примечание: VRRP-маршрутизатор всегда будет становиться Master, если он владелец IP-адреса, который присвоен виртуальному маршрутизатору
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
R1(config-if)#vrrp 1 timers advertise msec 50
Примечание: Если интервал задан в миллисекундах, то происходит округление вниз до ближайшей секунды для VRRP Version 2 и до ближайших сотых долей секунды (10 миллисекунд) для VRRP Version 3.
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.100.0 /24
R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: R2 становится Backup-маршрутизатором и не выполняет функции маршрутизации трафика до выхода из строя Master.
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение ID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24,
R1(config-if)#vrrp 1 ip 10.0.200.1
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию VRRP-маршрутизатора для подсети 10.0.100.0 /24 R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: На коммутаторах SW1 и SW2 также необходимо настроить порты gi23 и gi24 в режим trunk для своих VLAN, а порт gi1 в режим access для своих VLAN.
После настройки R1 и R2 при выходе из строя R1 мастером становится R2 и работает как шлюз по умолчанию с виртуальным IP-адресом 10.0.100.1 для сети 10.0.100.0 /24 и 10.0.200.1 для сети 10.0.200.0 /24 При возвращении R1 он снова становится мастером.
Примечание: На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX – номер группы VRRP (VRID)
[MES] Настройка TACACS на коммутаторах MES
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.
1. Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
MES2324B(config)#aaa authentication login authorization default tacacs local
Примечение:На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3. Установить способ аутентификации при повышении уровня привилегий:
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
5. Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
6. Разрешить ведение учета (аккаунта) для сессий управления.
MES2324B(config)#aaa accounting login start-stop group tacacs+
7. Включить ведение учета введенных в CLI команд по протоколу tacacs+.
MES2324B(config)#aaa accounting commands stop-only group tacacs+
Примечание:По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
[MES] MES5448. Настройка QOS
Нумерация выходных очередей начинается с 0. 7 очередь зарезервирована под стек. Match'инг трафика настраивается в class-map. Далее class-map привязывается к policy-map. Затем policy-map к интерфейсу.
Весь L3-трафик на интерфейсе 1/0/1 с DSCP равной 0 перекрасить в значение DSCP 16. Направить трафик во 2 выходную очередь:
Пример настройки:
diffserv class-map match-all class_DSCP_16 match ip dscp 0 exit
policy-map set_DSCP_16 in class class_DSCP_16 assign-queue 2 mark ip-dscp 16 exit ! interface 1/0/10 service-policy in set_DSCP_16 no shutdown exit
Начиная с версии 8.4.0.1 можно будет привязывать acl к class-map.
Весь трафик, для которого нет настроек class-map будет подчиняться глобальным настройкам QOS.
[MES] Настройка управления для коммутатора MES5448
Для настройки управления внутри определенного влана нужно зайти в привилегированный режим
enable
Создать vlan управления:
vlan database
vlan 10 - где 10 – номер влана для управления коммутатором
Настроить для управления только что созданный vlan
network mgmt_vlan 10
Выбрать протокол для управления и подтвердить свой выбор
network protocol none - где none – статический IP адрес для управления
y
При подтверждении изменения параметра network protocol настройки интерфейса сбрасываются, важно иметь в виду при удаленном изменении настроек на коммутаторе
Укажем IP-адрес коммутатора, маску подсети и шлюз по-умолчанию
Порт OOB является единственным медным портом на корпусе MES5448, а так же несет на себе функцию выделенного управления, поэтому при начале работы с коммутатором стоит рассмотреть его настройку
Адрес управления и oob порта должны быть в разных подсетях.
Настройка так же осуществляется в привилегированном режиме
enable
Выбрать протокол для управления и подтвердить свой выбор
serviceport protocol none - где none – статический IP адрес для управления
y
Укажем IP-адрес, маску подсети и шлюз по-умолчанию
serviceport ip 192.168.2.2 255.255.255.0 192.168.2.1
[MES] Проблема с потерей транзитного трафика
Проблема с потерей трафика может возникать из-за:
- перегрузки пропускной способности интерфейсов;
- ошибок на интерфейсах;
- ошибок в ПО;
- аппаратных проблем.
Проблема с потерей трафика может возникать из-за:
перегрузки пропускной способности интерфейсов
ошибок на интерфейсах
ошибок в ПО
аппаратных проблем
Диагностику нужно начинать с проверки утилизации интерфейсов и проверки ошибок на них. Для этого используются команды.
Для определения статуса интерфейсов
console# show interfaces status all console# show interfaces status err-disabled
Для просмотра утилизация по интерфейсам
console# show interface ethernet all
Для просмотра ошибок по каждому интерфейсу, на котором наблюдается проблема console# show interface <интерфейс> console# debug show-int
Определение уровня оптического сигнала console# show fiber-ports optical-transceiver all
При использовании стека необходима диагностика по стек-портам
console# show stack-port diag all console# show stack-port counters console# show stack-port
Если в процессе диагностики были найдены ошибки на интерфейсах - следует проверить целостность оптического линка, уровни оптических сигналов. Попробовать заменить используемые на портах SFP, сам порт. После того, как мы убедились в отсутствии проблем на "физике" и перегрузок на интерфейсах, необходимо собрать диагностику со стороны ПО при помощи команд:
Проверка версии и конфигурации console# show version console# show bootvar console# show switch console# show startup-config console# show running-config
Проверка загрузки ЦПУ console# show process cpu
Проверка утилизации очередей на ЦПУ console# show cpu-traffic rate-limit queue
Сбор логов с устройства console# show logging buffered console# copy nvram:crash-log tftp://<ip address>/<file name> console# copy nvram:errorlog tftp://<ip address>/<file name>
[MES] qos policy map (MES5448)
Весь L3-трафик на интерфейсе 1/0/1 с DSCP равной 0 перекрасить в значение DSCP 16. Направить трафик во 2 выходную очередь:
Весь L3-трафик на интерфейсе 1/0/1 с DSCP равной 0 перекрасить в значение DSCP 16. Направить трафик во 2 выходную очередь:
Пример настройки:
diffserv class-map match-all class_DSCP_16 match ip dscp 0 exit
policy-map set_DSCP_16 in class class_DSCP_16 assign-queue 2 mark ip-dscp 16 exit ! interface 1/0/1 service-policy in set_DSCP_16 no shutdown exit
Начиная с версии 8.4.0.1 можно будет привязывать acl к class-map.
Весь трафик, для которого нет настроек class-map будет подчиняться глобальным настройкам QOS.
[MES] Статистика по выходным очередям qos (MES5448)
Статистика по выходным очередям активна по умолчанию. Команда для просмотра статистики:
show interface
Статистика по выходным очередям активна по умолчанию. Команда для просмотра статистики:
show interface <interface>
Например:
console#show interface 1/0/17
interface 1/0/17 is Up (connected) Interface index is 17 Hardware is TenGigabit Interface MTU is 1500 Link type is 10G Full Media type is 10GBase-LR 0 link downs 0 link flaps 1d 22h 3m 6s time since counters last cleared Flow control is off 300 seconds input rate is 496 bit/s, 0 frame/s 300 seconds output rate is 92848 bit/s, 171 frame/s 315240471 packets input 422293110 bytes received 0 oversize errors 0 internal MAC errors 315183763 broadcast frames 56708 multicast frames 0 total input errors 0 FCS errors 0 alignment errors 0 pause frames received 0 snmp input frames discarded 16678762 packets output 1135897068 bytes sent 16641081 broadcast errors 37681 multicast errors 0 output errors 0 total collisions 0 excessive collisions 0 late collisions 0 pause frames transmitted 0 snmp out frames discarded Output queues: (queue #: packets passed/dropped) UC0: 0/0 UC1: 0/0 UC2: 0/0 UC3: 629/0 UC4: 0/0 UC5: 54/0 UC6: 37574/0 MC0: 0/0 MC1: 4/0 MC2: 0/0 MC3: 16640502/0
Счётчики выводятся отдельно для unicast-трафика, это очереди UC0-UC6 (восьмая зарезервирована под стек). Отдельно для broadcast/multicast/unknown unicast MC0-3. Соответсвенно дропы будут раздельными для разного типа трафик. Счетчики MC0-3 также подчиняются правилам classofservice.
Мапинг по очередям можно посмотреть следующими командами.
COS: show classofservice dot1p-mapping
DSCP: show classofservice ip-dscp-mapping
Для очистки счетчиков можно использовать команду clear counters.
console#clear counters 1/0/17
Are you sure you want to clear the port stats? (y/n) y
Port Stats Cleared.
console#
[MES] Конфигурация и описание работы стека
Для стека определены порты 40G. Максимальное количество юнитов в стеке = 8. Мастером может быть любой юнит с 1 по 8.
Для стека определены порты 40G. Максимальное количество юнитов в стеке = 8. Мастером может быть любой юнит с 1 по 8.
При отказе мастера его роль на себя берет коммутатор, c самым высоким по значению приоритетом. Мастерство сохраняется за перехватившим его юнитом, даже если предыдущий мастер вернулся в стек. После перезагрузки стека коммутаторов мастером станет юнит с наибольшим значением priority.
Приоритет выставляется командой:
console(Config)# switch <unit> priority <0-15>
На бэкап коммутаторе резервируется конфигурация.
Для принудительной смены мастерства используется команда:
После выполнения команды происходит перенастройка конфигурацией с нового мастера. После завершения рестарта все управление стеком должно происходить через новый мастер-юнит. Чтобы сохранить текущую конфигурацию при перенастройке конфигурации стека, выполните команду write memory confirm (в привилегированном режиме) прежде, чем выполнить смену мастера. При смене мастера все L3-маршруты и записи в MAC-таблице удаляются.
По умолчанию включен режим NSF. Безостановочная пересылка (Nonstop Forwarding, NSF) позволяет уровню пересылки всех юнитов стека поддерживать передачу данных даже при сбоях на уровнях контроля и управления из-за отключения питания, отказа аппаратного или программного обеспечения юнита. Входящие и исходящие потоки трафика, передаваемые через физические порты подчинённых юнитов, будут восстановлены менее чем через секунду после сбоя на главном юните.
Каждый коммутатор использует свои tcam правила (правила acl, sqinq).
Нагрузка идет только на процессор мастера.
Передача данных между юнитами ограничивается пропускной способностью стековых портов.
Внутри юнита - пропускной способностью портов коммутатора.
Пример конфигурации:
1. Настройка стековых портов. На всех юнитах из портов XLG1-XLG4 необходимо выделить по 2 порта для стека. Для этого используются следующие команды: console# config console(Config)# stack console(Config-stack)# stack-port unit/slot/port stack
Например, в качестве стековых портов выбраны 1/0/49, 1/0/50: console# config console(Config)# stack console(Config-stack)# stack-port 1/0/49 stack console(Config-stack)# stack-port 1/0/50 stack
Для применения настроек необходима перезагрузка по команде reload.
2. Назначение номера юнита (по умолчанию назначен Unit1).
Для назначения номера юнита используется следующая команда:
, где unit_old - текущий номер юнита, unit_new - новый номер юнита.
Например, номер юнита 1 изменить на номер 2: console(Config)# switch 1 renumber 2
3. Сохранить конфигурацию командой write memory
4. Для применения нового номера юнита требуется перезагрузка коммутатора (команда reload).
[MES] Конфигурация DHCP Relay на MES5448
Коммутаторы поддерживают функции DHCP Relay агента. Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP- запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.
Коммутаторы поддерживают функции DHCP Relay агента. Задачей DHCP Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP- запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.
Пример настройки:
vlan database
vlan 150,200
vlan routing 150 1
vlan routing 200 2
exit
configure
ip routing
ip helper enable
ip helper-address 192.168.1.5 dhcp
interface 1/0/1
no shutdown
switchport mode access
switchport access vlan 150
exit
interface 1/0/2
no shutdown
switchport mode access
switchport access vlan 200
exit
interface vlan 200
no shutdown
routing
ip address 192.168.1.1 255.255.255.0
exit
interface vlan 150
no shutdown
routing
ip address 192.168.2.1 255.255.255.0
exit
[MES] Настройка BGP на MES5448 MES7048
Между SW1,SW2 поднимем eBGP-сессию. Соответственно между SW3-SW2, SW1-SW4 поднимем iBGP-сессии. Рассмотрим конфигурации каждого узла.
Рассмотрим простую топологию из 4х устройств.
Между SW1,SW2 поднимем eBGP-сессию. Соответственно между SW3-SW2, SW1-SW4 поднимем iBGP-сессии. Рассмотрим конфигурации каждого узла.
SW1:
1) В первую создаем необходимые vlan, включаем ip routing, отключаем глобально stp, включаем фильтрацию stp bpdu. Для удобства изменяем hostname.
show run show ip bgp show ip bgp neighbors show ip bgp summary
Настройка BFD для BGP на MES2300-xx/3300-xx/3500-xx/5312/53xxA/53xx-xx/54xx-xx/5500-32
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP.
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. В текущей версии ПО реализована работа только с протоколом BGP.
Добавить BFD-соседа:
console(config)# bfd neighbor ip_addr interval int min-rx min multiplier mult_num
int – минимальный интервал передачи для обнаружения ошибки;
min – минимальный интервал приёма для обнаружения ошибки.
mult_num – количество потерянных пакетов до разрыва сессии
Редистрибуция настраивается в контексте router bgp; router bgp 64700
Редистрибуция настраивается в контексте router bgp;
router bgp 64700
console(Config-router)#redistribute ?
connected Configure redistribution of Connected routes kernel Configure redistribution of Kernel routes ospf Configure redistribution of OSPF routes rip Configure redistribution of RIP routes static Configure redistribution of Static routes
next-hop-self. Эта команда настраивает BGP так, чтобы при анонсировании маршрутов внутренним узлам атрибут next-hop представлял собой локальный IP-адрес. В общем случае BGP сохраняет атрибут next-hop, полученный от внешнего узла.
Когда атрибут next-hop в маршрутах, полученных от внешних узлов, сохраняется, внутренним узлам требуется маршрут к IP-адресу внешнего узла. Обычно это решается путем настройки IGP на пограничном маршрутизаторе для анонсирования внешней (или DMZ) подсети. Опция next-hop-self устраняет необходимость анонсировать внешнюю подсеть в IGP.
Настраивается следующим образом:
router bgp 64700 neighbor 2.0.0.2 next-hop-self
[MES] Настройка OSPFv2 на MES5448 MES7048
OSPF — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры. Протокол OSPF представляет собой протокол внутреннего шлюза (IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.
OSPF — протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути Алгоритм Дейкстры. Протокол OSPF представляет собой протокол внутреннего шлюза (IGP). Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы.
Настраивается протокол следующим образом.
1) Создать vlan. Включить routing в этом vlan. Назначить ip-адрес на интерфейс vlan.
vlan database vlan 40 vlan routing 40 exit
interface vlan 40 no shutdown routing ip address 4.0.0.1 255.255.255.0 exit
2) Убедиться, что ip routing включен глобально. Если нет, включить:
ip routing
3) В контексте router ospf задать router id
router ospf router-id 1.1.1.1
4) Включить ospf на интерфейс vlan. Настроить тип соединения point-to-point (по умолчанию режим broadcast).
interface vlan 40 no shutdown routing ip address 4.0.0.1 255.255.255.0 ip ospf area 1.1.1.1 ip ospf network point-to-point exit
Редистрибуция маршрутов.
Настраивается в контексте router ospf.
console(config-router)# redistribute ?
bgp Source protocol is BGP. connected Source protocol is connected. rip Source protocol is RIP. static Source protocol is static.
<1-65535> Enter the cost for the specified interface.
Настройка приоритета для выбора DR
Настраивается в контексте интерфейса vlan
console(Interface vlan 100)# ip ospf priority ?
<0-255> Enter an integer value.
Устранение неисправностей.
1) В первую очередь необходимо убедиться в корректности конфигурации
show running-config
2) Проверить настройки ospf, проверить состояние соседства
show ip ospf
show ip ospf neighbor
show ip ospf interface brief
3) Проверить версию ПО
show bootvar
[MES] Настройка VRRP на MES5448 MES7048
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
ip vrrp interface vlan 10 no shutdown routing ip address 10.10.10.2 255.255.255.0 ip vrrp 1 ip vrrp 1 mode ip vrrp 1 ip 10.10.10.1 exit ! interface vlan 20 no shutdown routing ip address 20.20.20.2 255.255.255.0 ip vrrp 2 ip vrrp 2 mode ip vrrp 2 ip 20.20.20.1 exit
На коммутаторах MES5448 MES7048 доступен просмотр утилизации портов. Вывод можно посмотреть по отдельному порту.
console# show interface 1/0/6
interface 1/0/6 is Up (connected) Interface index is 6 Hardware is TenGigabit Interface MTU is 1500 Link type is 1000 Full Media type is 1GBase-T 0 link downs 0 link flaps 0d 18h 38m 53s time since counters last cleared Flow control is off 30 seconds input rate is 949920848 bit/s, 149972 frame/s 30 seconds output rate is 948360608 bit/s, 149707 frame/s 60412011 packets input 515448167 bytes received 0 oversize errors 0 internal MAC errors 4 broadcast frames 0 multicast frames 0 total input errors 0 FCS errors 0 alignment errors 0 pause frames received 0 snmp input frames discarded 25025017 packets output 2581154364 bytes sent 8 broadcast errors 33034 multicast errors 0 output errors 0 total collisions 0 excessive collisions 0 late collisions 0 pause frames transmitted 0 snmp out frames discarded Output queues: (queue #: packets passed/dropped) UC0: 0/0 UC1: 4319961364/0 UC2: 0/0 UC3: 129/0 UC4: 0/0 UC5: 8/0 UC6: 33012/0 MC0: 0/0 MC1: 4/0 MC2: 0/0 MC3: 12/0
Или по всем портам с использованием команды show interface ethernet all. Утилизация отображается в процентах от пропускной способности интерфейса
[MES] Настройка GVRP на MES5448/MES7048
GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет её в свою базу данных, как Type - dynamicGvrp .
GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет её в свою базу данных, как Type - dynamicGvrp .
Пример настройки. Необходимо распространить VLAN 300 c коммутаторов SW1 и SW3 на порты коммутатора SW2.
Конфигурация SW1
vlan database vlan 300 vlan routing 300 1 exit ! set gvrp adminmode ! conf ! interface 1/0/1 no shutdown swichport mode trunk set gvrp interfacemode exit ! interface vlan 300 ip address 10.0.0.1 /24 exit
Конфигурация SW2
vlan database vlan 100 vlan routing 100 1 exit ! set gvrp adminmode ! conf ! interface 1/0/1 no shutdown swichport mode trunk set gvrp interfacemode exit ! interface 1/0/2 no shutdown swichport mode trunk set gvrp interfacemode exit
Конфигурация SW3
vlan database vlan 300 vlan routing 300 1 exit ! set gvrp adminmode ! conf ! interface 1/0/1 no shutdown swichport mode trunk set gvrp interfacemode exit ! interface vlan 300 ip address 10.0.0.2 /24 exit
C помощью диагностических команд убедиться, что VLAN 300 добавился на порту SW2
console#show vlan
Vlan
Name
Tagged ports
Untagged ports
Type
100
VLAN0100
1/0/1-2
Static
300
1/0/1-2
Dynamic (GVRP)
[MES] Настройка IP Unnumbered на MES5448 MES7048
Функционал IP Unnumbered позволяет в условиях нехватки IP адресов заимствовать IP-адрес с уже настроенного интерфейса.
Функционал IP Unnumbered позволяет в условиях нехватки IP адресов заимствовать IP-адрес с уже настроенного интерфейса.
1.Настроить на ПК следующие параметры:
ПК1 подключен к gi0/3, назначен ip 10.0.0.1 /24 default-gateway 10.0.0.2 ПК2 подключен к gi0/1, назначен ip 5.5.5.2 /24 default-gateway 5.5.5.1 ПК3 подключен к gi0/2, назначен ip 5.5.5.3 /24 default-gateway 5.5.5.1
Все ПК могут обмениваться информацией между собой.
[MES] Настройка 802.1x и MAC-авторизации через RADIUS-server на MES5448 MES7048
Аутентификация на основе стандарта 802.1х обеспечивает проверку подлинности пользователей коммутатора через внешний сервер на основе порта, к которому подключен клиент.
Только аутентифицированные и авторизованные пользователи смогут передавать и принимать данные. Проверка подлинности пользователей портов выполняется сервером RADIUS посредством протокола EAP (Extensible Authentication Protocol)
Аутентификация на основе стандарта 802.1х обеспечивает проверку подлинности пользователей коммутатора через внешний сервер на основе порта, к которому подключен клиент. Только аутентифицированные и авторизованные пользователи смогут передавать и принимать данные. Проверка подлинности пользователей портов выполняется сервером RADIUS посредством протокола EAP (Extensible Authentication Protocol)
1/0/1 - 802.1x. Неавторизированные пользователи попадают в guest vlan.
1/0/2 - MAC-авторизация
Настройки коммутатора SW1
vlan database vlan 100,20 vlan routing 100 1 vlan routing 20 2 Exit ! configure authentication enable dot1x system-auth-control aaa authentication dot1x default radius authorization network radius dot1x dynamic-vlan enable radius accounting mode radius server host auth 10.3.0.1 name "server-1" radius server key auth 10.3.0.1 test radius server primary 10.3.0.1
interface 1/0/2 authentication order mab authentication priority mab dot1x port-control mac-based dot1x timeout reauth-period 30 dot1x mac-auth-bypass no shutdown switchport mode access switchport access vlan 100 description 'test_dot1x' exit
interface 1/0/3 no shutdown switchport mode trunk Exit ! interface vlan 100 no shutdown ip address 10.3.0.5 255.255.255.0 exit ! interface vlan 200 dot1x guest-vlan exit
[MES] Настройка Multi-Switch Link Aggregation Group (MLAG)
Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах.
Как и LAG, виртуальные LAG позволяют объединить одну или несколько Ethernet-линий для увеличения скорости и обеспечения отказоустойчивости. MLAG так же известна как VPC (Virtual port-channel). При обычном LAG агрегированные линии должны быть на одном физическом устройстве, в случае же с VPC агрегированные линии находятся на разных физических устройствах. Функция VPC позволяет соединить два физических устройства в одно виртуальное.
Один из коммутаторов имеет роль VPC-primary, второй VPC-secondary.
configure interface 1/0/1 addport lag 1 exit interface 1/0/2 addport lag 2 exit interface 1/0/48 addport lag 48 exit ! interface 1/0/1 no shutdown exit ! interface 1/0/2 no shutdown exit ! interface 1/0/48 no shutdown exit ! interface lag 1 no port-channel static switchport mode trunk vpc 1 exit ! interface lag 2 switchport mode trunk vpc 2 exit ! interface lag 48 switchport mode trunk vpc peer-link exit ! interface vlan 1 routing ip address 10.1.0.22 255.255.255.0 exit ! interface vlan 5 routing ip address 10.5.0.2 255.255.255.0 exit ! feature vpc vpc domain 1 peer-keepalive enable peer-keepalive destination 10.5.0.1 source 10.5.0.2 peer detection enable exit exit
На коммутаторах SW3 и SW4 настроить порты и Port-Channel. Разрешить 100 VLAN.
С помощью диагностических команд убедиться, что VPC собрался на SW1 и SW2
show vpc 1
show vpc role
[MES] Настройка Port-Channel на MES5448 MES7048
Добавить порт в port-channel по LACP:
5448(Config)# interface 1/0/3 5448(Interface 1/0/2)# addport lag 1 5448(Interface 1/0/2)# interface lag 1 5448(Interface lag 1)# no port-channel static
Добавить порт в статический port-channel:
5448(Config)# interface 1/0/3 5448(Interface 1/0/2)# addport lag 1
Удаление порта из port-channel: 5448(Interface 1/0/2)# deleteport lag 1
Посмотреть настройки port-channel можно командами:
show port-channel brief
show port-channel <number lag>
Примечание: В show running-config/show interfaces status можно увидеть интерфейсы 0/3/1-0/3/x- это непосредственной интерфейсы lag, т.е lag 1 = 0/3/1, lag 2 = 0/3/2 и т.д.
[MES] Настройка QinQ
В сетях передачи данных довольно часто возникают задачи, связанные с подменой VLAN, добавлением дополнительной метки S-tag (транспортный vlan id) на основе С-tag (клиентский vlan id). На коммутаторах MES5448/MES7048 реализована такая возможность.
В сетях передачи данных довольно часто возникают задачи, связанные с подменой VLAN, добавлением дополнительной метки S-tag (транспортный vlan id) на основе С-tag (клиентский vlan id). На коммутаторах MES5448/MES7048 реализована такая возможность.
Рассмотрим настройку QinQ на примере.
С порта interface 1/0/1 пакеты с vlan id 10-15 передаются в порт interface 1/0/9 без изменений. Для vlan id 21 происходит подмена метки на vlan id 31, для vlan id 22 на vlan id 32. Для vlan id 23,24 добавляем вторую метку vlan id 25
Настройка функционала производится по следующему алгоритму
1) Определяем uni-p и nni порты.
NNI - порты в сторону выше строящего оборудования. UNI - порты в сторону клиентов
console(Config)# dot1ad mode nni 1/0/9
console(Config)# dot1ad mode uni-p 1/0/1
2) Задаем сервис заданного типа dot1ad service. Формат команды dot1ad service service name svid svid e–lan nni port list
console(Config)# dot1ad service permit10 svid 10 e-lan nni 1/0/9
console(Config)# dot1ad service permit11 svid 11 e-lan nni 1/0/9
console(Config)# dot1ad service permit12 svid 12 e-lan nni 1/0/9
console(Config)# dot1ad service permit13 svid 13 e-lan nni 1/0/9
console(Config)# dot1ad service permit14 svid 14 e-lan nni 1/0/9
console(Config)# dot1ad service permit15 svid 15 e-lan nni 1/0/9
console(Config)# dot1ad service add25 svid 25 e-lan nni 1/0/9
console(Config)# dot1ad service change21 svid 31 e-lan nni 1/0/9
console(Config)# dot1ad service change22 svid 32 e-lan nni 1/0/9
3) При помощи subscribe происходит настройка соответствия порта UNI и сервиса dot1ad service.
- Для пропуска трафика без изменений (vlan id 10-15) необходимо добавить дублирующий идентификатор вилана и затем убрать его (remove-ctag)
- Для перемаркировки vlan id (vlan id 21-22) добавляем дополнительный идентификатор вилана s-tag (vlan id 31-32) и удаляем с-tag
- Для добавления к c-tag (vlan id 23-24) нужный s-tag (vlan id 25)
console(Config)# subscribe permit10 permit10-port match cvid 10 remove-ctag
console(Config)# subscribe permit11 permit11-port match cvid 11 remove-ctag
console(Config)# subscribe permit12 permit12-port match cvid 12 remove-ctag
console(Config)# subscribe permit13 permit13-port match cvid 13 remove-ctag
console(Config)# subscribe permit14 permit14-port match cvid 14 remove-ctag
console(Config)# subscribe permit15 permit15-port match cvid 15 remove-ctag
console(Config)# subscribe add25 add23-25 match cvid 23
console(Config)# subscribe add25 add24-25 match cvid 24
console(Config)# subscribe change21 change21-port match cvid 21 remove-ctag
console(Config)# subscribe change22 change22-port match cvid 22 remove-ctag
При выполнении указанных выше настроек итоговая конфигурация коммутатора примет вид
vlan database vlan 10-40 exit
! dot1ad mode nni 1/0/9 dot1ad mode uni-p 1/0/1 dot1ad service permit10 svid 10 e-lan nni 1/0/9 dot1ad service permit11 svid 11 e-lan nni 1/0/9 dot1ad service permit12 svid 12 e-lan nni 1/0/9 dot1ad service permit13 svid 13 e-lan nni 1/0/9 dot1ad service permit14 svid 14 e-lan nni 1/0/9 dot1ad service permit15 svid 15 e-lan nni 1/0/9 dot1ad service add25 svid 25 e-lan nni 1/0/9 dot1ad service change21 svid 31 e-lan nni 1/0/9 dot1ad service change22 svid 32 e-lan nni 1/0/9
interface 1/0/1 no shutdown dot1ad mode uni-p subscribe permit10 permit10-port match cvid 10 remove-ctag subscribe permit11 permit11-port match cvid 11 remove-ctag subscribe permit12 permit12-port match cvid 12 remove-ctag subscribe permit13 permit13-port match cvid 13 remove-ctag subscribe permit14 permit14-port match cvid 14 remove-ctag subscribe permit15 permit15-port match cvid 15 remove-ctag subscribe add25 add23-25 match cvid 23 subscribe add25 add24-25 match cvid 24 subscribe change21 change21-port match cvid 21 remove-ctag subscribe change22 change22-port match cvid 22 remove-ctag vlan acceptframe admituntaggedonly vlan ingressfilter vlan participation include 10-15,25,31-32 vlan tagging 10-15,25,31-32 exit
interface 1/0/9 no shutdown dot1ad mode nni vlan participation include 10-15,25,31-32 vlan tagging 10-15,25,31-32 mode dvlan-tunnel exit
[MES] Методика восстановления логина/пароля MES5448 MES7048
Требуется консольное подключение. Перезагрузить коммутатор, дождаться вывода строки:
Autoboot in 5 seconds
Нажать q. Ввести 2 команды:
=> setenv boot_mode 4 => bootstk
Дождаться загрузки коммутатора. При выводе строки:
User Name:
Нажать Enter без ввода пользователя.
console#
[MES] Активация протоколов telnet/ssh
По умолчанию протоколы telnet, ssh отключены. Для включения используются команды:
ip ssh server enable
ip telnet server enable
По умолчанию протоколы telnet, ssh отключены. Для включения используются команды:
ip ssh server enable
ip telnet server enable
Команды выполняются в exec-режиме.
Show-команды для проверки работы:
show ip ssh
show telnetcon
[MES] Настройка RADIUS
Настройка аутентификации, авторизации производится следующим образом
Настройка аутентификации, авторизации производится следующим образом
aaa authentication login "radius" radius local aaa authorization exec "radius" radius local radius server host auth 10.0.0.1 radius server key auth 10.0.0.1 radius line telnet login authentication radius authorization exec radius exit
Устранение неполадок.
show running-config
show radius servers
show radius
[MES] Настройка Serviceport (OOB) на MES5448 MES7048
На MES5448 и MES7048 в качестве OOB-порта используется Serviceport, расположенный на задней панели устройства.
На MES5448/MES7048 в качестве OOB-порта используется Serviceport, расположенный на задней панели устройства.
1)Настройка статического IPv4-адреса
console# serviceport protocol none
console# serviceport ip 10.10.10.2 255.255.255.0 10.10.10.1
2)Настройка получения адреса по DHCP
console# serviceport protocol dhcp
Просмотр настроек порта:
console# show serviceport
Interface Status............................... Up IP Address..................................... 0.0.0.0 Subnet Mask.................................... 0.0.0.0 Default Gateway................................ 0.0.0.0 IPv6 Administrative Mode....................... Enabled IPv6 Prefix is ................................ fe80::e2d9:e3ff:fed6:9681/64 Configured IPv4 Protocol....................... DHCP Configured IPv6 Protocol....................... None IPv6 AutoConfig Mode........................... Disabled Burned In MAC Address.......................... E0:D9:E3:D6:96:81
Примечание: Работа OOB-портов в стеке устройств. Настройки Serviceport переходят между юнитами стека. MAC-IP у них один и тот же, но в UP только порт на текущем master-юните, поэтому нужно подключать патчкорды в оба порта OOB на обоих юнитах стека (master и backup).
[MES] Очереди трафика на ЦПУ коммутатора на MES5448 MES7048
Коммутатор имеет встроенный механизм защиты Control plane в виде ограничений трафика на ЦПУ по очередям.
Команда для просмотра лимитов по очередям и текущей скорости для трафика в каждой очереди отображается по команде:
console# show cpu-traffic rate-limit queue
В текущей версии ПО на коммутаторе используются только первые 7 очередей.
Начиная с версии ПО 8.4.0.7, увеличен лимит для всех очередей до 10K pps. Команда для изменения лимита очереди:
console(Config)# cpu-traffic rate-limit queue X Y
где X - номер очереди, Y - лимит для очереди.
[MES] Перезагрузка юнитов в стеке на MES5448 MES7048
Возможные причины перезагрузки:
1. По питанию;
2. По команде reload;
3. Ошибка в работе ПО.
Остановимся подробней на пункте 3. С 1,2 пунктами вопров возникнуть не должно.
В первую очередь необходимо собрать как можно больше информации. К диагностике добавить подробное описание наблюдаемой ситуации.
Диагностика:
Подключиться по telnet/ssh (если удаленного доступа нет, то по консоли) и снять выводы в момент проблемы. show running-config show bootvar show version show stack-status show stack-port show interfaces status all show fiber-ports optical-transceiver all show fiber-ports optical-transceiver-info all show logging persistent show logging buff debug tech-support
unit_id - номер юнита в стеке. Выполнить команду для всех юнитов. Предварительно в терминале включить запись истории.
Описать схема подключения стека;
Есть ли индикация на стековых портах?
Производились ли какие-то действия, приведшие к возникновению проблемы или произошла она сама по себе?
Работают ли со стеком скрипты, мониторится ли коммутатор по snmp? Если так, просим предоставить информацию по скриптам и перечень OID.
[MES] Перенаправить вывод команды show tech-support в файл на MES5448 MES7048
Для сбора комплексной информации с устройства используется команда show tech-support. Вывод данной команды можно перенаправить в файл на флэш коммутатора и далее выгрузить файл на сервер по tftp/ftp/scp/sftp или сохранить на USB
[MES] Поддерживаемые модели SFP трансиверов на MES5448 MES7048
Коммутаторы MES поддерживают SFP-трансиверы, которые соответствуют стандартам INF-8074_2000 и SFF-8472-2010 (для модулей поддерживающих DDM).
Это относится как к 100M, так и к 1000M трансиверам. Для SFP+ стандарт SFF-8431. Для QSFP+ стандарты SFF-8635 и SFF-8436. Для QSFP28 стандарт SFF-8635. К конкретным производителям привязки нет.
[MES] Настройка BFD для BGP на MES5448 MES7048
Протокол BFD позволяет быстро обнаружить неисправности линков и оперативно перестраивать таблицу маршрутизации, удаляя неактуальные маршруты. BFD может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP.
- interval – минимальный интервал передачи для обнаружения ошибки;
- min_rx – минимальный интервал приёма для обнаружения ошибки.
- multiplier – количество потерянных пакетов до разрыва сессии
Проверить состояние BFD сессии:
show bfd neighbors details
[MES] Настройка SNTP MES5448 MES7048
На коммутаторах 5448/7048 поддерживается SNTP-клиент для синхронизации времени. Функционала SNTP-сервера на устройстве нет.
Пример настройки синхронизации
Указать режим работы клиента
(config)# sntp client mode unicast
Команда задает интервал опроса одноадресного клиента SNTP:
(config)# sntp unicast client poll-retry 10
Задать адрес сервера
(config)# sntp server "192.168.1.1"
Указать временную зону
(config)# clock timezone 3 minutes 0
[MES] Настройка TACACS+ на MES5448 MES7048
Настройка выполняется следующим образом.
aaa authentication login "tacacs" tacacs local aaa authorization exec "tacacs" tacacs local line ssh login authentication tacacs authorization exec tacacs exit tacacs-server host "10.0.0.1" key “tacacs”
Можно настроить более 2х серверов.
Устранение неполадок:
show run show tacacs
[MES] Настройка Management ACL на MES5448 MES7048
Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.2.1).
Создать Management ACL с указанием IP-адреса источника:
Management access-class is enabled, using access list MGMT.
[MES] Управление по SNMP на MES5448 MES7048
Базовая настройка SNMP для опроса коммутатора:
console(Config)# snmp-server community public ro ipaddress 192.168.2.1
console(Config)# snmp-server community private rw ipaddress 192.168.2.1
Проверка настроек SNMP:
console# show snmp
Настройка отправки SNMP-trap:
console(Config)# snmp-server host 192.168.2.1 traps version 2 public
По умолчанию не для всех события генерируются snmp-trap. Для включения новых событий используется команды:
Для включения всех snmp-trap достаточно ввести команду snmp-server enable traps без указания конкретных событий
Проверка активных SNMP-trap:
console# show snmp
SNMPv3:
snmp-server engineid local 01234abcd1234ab1 snmp-server view "iso" internet included snmp-server group "gr1" v3 auth notify "iso" read "iso" write "iso" snmp-server group "gr1" v3 priv notify "iso" read "iso" write "iso" snmp-server user "user1" gr1 auth-md5 12345678 priv-des 12345678
Общая оценка товара на основе 8 отзывов
5.0
wMkiss
20.12.2023 I 16:29:04
Коммутатор Eltex MES5448 используем как коммутатор агрегации.
Grigoriy R
08.08.2023 I 11:13:11
5448 умеет млаг.
Aleksandr Brodin
06.10.2022 I 19:18:07
На 5448 FIP Snoop есть
Dio
14.07.2022 I 11:17:11
Возвращаясь к теме mlag, протестили обновление математики на mes5448, отработало на ура, причем не отрубали peerlink, а прям на горячую обновляли secondary ноду. При обновлении primary ноды тоже решили не переводить ее сначала в secondary, потом обновлять, все нормально обновилось, сеть была доступна.
Мачула Вячеслав
16.06.2022 I 17:30:05
стек 5448 в проде уже 4 года, кроме редких секундных флапов на интерфейсах сейчас проблем нет, но они не напрягают из за дизайна сети
Alli
05.05.2022 I 20:45:08
время наработки на отказ коммутатора MES5448 740к часов.
Timofey Sluev
08.09.2021 I 11:16:11
давно уже 5448 до ума довели.
Anton Klochkov
16.11.2018 I 17:15:05
у 5448 есть mlag :)
Порядок и способы оплаты оборудования
Оплата товара производится посредством банковского перевода для юр.лиц, и так же посредством наличного расчета курьеру или в офисе дилера.
После оформления заказа – вам на почту придет письмо с уведомлением и уникальным номером вашего заказа, после чего с вами свяжется наш менеджер для уточнения данных.
Доставка оборудования
После получения заявки менеджер Элтекс Коммуникации свяжется с Вами в течение 15-50 минут (в будние дни) для консультации по оборудованию и согласованию условий поставки (место, сроки и удобное время).
Доставка осуществляется по всей территории Российской Федерации. Возможно экспортное оформление для поставок в зарубежные страны.
Варианты доставки:
Самовывоз со склада в Новосибирске: ул. Светлановская 50/2 скл. 8
Самовывоз со склада в Москве: ул. Правды 8, к 27.
Курьерская экспресс доставка по РФ до двери от 2 дней.
Доставка транспортными компаниями КСЕ/Деловые линии/Major Express от 2 дней.
Доставка по Москве и Новосибирску нашим водителем в течение нескольких часов.
Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
Данная функция находится в разработке
Совсем скоро появится возможность сменить тему сайта на тёмную!
Ваш браузер сильно устарел. Обновите его до последней версии или используйте другой более современный.
Заказать звонок
Написать нам
Заполните форму и наш специалист свяжется с Вами в ближайшее время
Узнать цены
Узнать наличие
Спасибо, Ваш запрос отправлен!
Для ускорения обработки заявки, просим Вас дозаполнить анкету.
.webp)
