Количество портов КОМБО 10/100/1000BASE-T/100BASE-FX/1000BASE-X
2
Количество портов 1000BASE-X (SFP)
2
Консольный порт
RS-232 (RJ-45)
Производительность
Пропускная способность, Гбит/с
56
Производительность на пакетах длиной 64 байта (значение указано для односторонней передачи), MPPS
41,4
Объём буферной памяти
12 Мбит
Объём ОЗУ
512 Мбайт (DDR3)
Объём ПЗУ
512 Мбайт (RAW NAND)
MAC таблица
16K
Количество ARP записей
1K
Таблица VLAN
4K
Количество групп L2 Multicast (IGMP Snooping)
2K
Максимальный размер ECMP-групп
8
Количество групп LAG (Link Aggregation Groups)
16, до 8 портов в одном LAG
Максимальный размер Jumbo-фрейма, байт
10 240
Кол-во устройств в стеке
8
Функции
Уровень коммутатора
L3
Поддержка MLAG (Multi-Switch Link Aggregation Group)
Нет
Поддержка ERPS (G.8032v2)
Да
Поддержка сверхдлинных кадров (Jumbo frames)
Да
Поддержка Q-in-Q
Да
Поддержка Selective Q-in-Q
Да
Физические характеристики
Питание, ток
AC
Питание, В
220 В
Особенности
–
Разъем для АКБ
–
PoE
Нет
Поддерживаемые стандарты PoE
Нет
Бюджет PoE, Вт
Нет
Максимальная потребляемая мощность, Вт
25
Максимальная потребляемая мощность без учёта заряда АКБ, Вт
Нет
Аппаратная поддержка Dying Gasp
Есть
Промышленный
Нет
Рабочая температура окружающей среды
От -20° до +50 °С
Рабочая влажность
Не более 80%
Тип охлаждения
Пассивное
Установка в стойку
1U
Габариты коммутатора (ШхВхГ), мм
440 x 158 x 44
ЗАПУСК В СЕРИЙНОЕ ПРОИЗВОДСТВО ОТЛОЖЕН
Ключевые преимущества
Коммутатор L2+
Поддержка стекирования
Поддержка Multicast (IGMP snooping, MVR)
Расширенные функции безопасности (L2-L4 ACL, IP Source Guard, Dynamic ARP Inspection и др.)
Краткое описание MES2326 - коммутатор доступа, который осуществляет подключение конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейсов 1G/10G.
Функциональные возможности коммутатора обеспечивают физическое стекирование, поддержку виртуальных локальных сетей, многоадресных групп рассылки и расширенные функции безопасности.
Коммутатор MES2326_AC
MES2326 гигабитный коммутатор, с широким функционалом уровня доступа. Коммутатор отлично подойдет как для агрегации трафика, так и для подключения абонентов на скорости 1 Гбит/с. Коммутатор MES2326 поддерживает широкий набор L2 функций: QinQ, Selective QinQ, Multicast, протоколы STP, ERPS.
Безопасность сети
Eltex MES2326 поддерживает обеспечение безопасности на базе списков доступа ACL. Имеется возможности установить ограничение доступа к коммутатору по более чем 10 критериям: номер порта, vlan, типу протокола, содержимому пакета и другие
Автоматическое управление сетью
Группа коммутаторов MES2326_AC управляется из единого графического интерфейса Eltex.EMS. Система автоматически отслеживает состояние оборудования и оповещает в случае возникновения аварий.
Услуга по отправке оборудования на подмену на следующий рабочий день (next business day shipping) в случае выхода из строя оборудования
Услуги, входящие в сертификат:
Отправка оборудования на подмену на время ремонта на следующий рабочий день
Диагностика неисправного оборудования
Бесплатный ремонт, если диагностирован гарантийный случай
Платный ремонт, если диагностирован не гарантийный случай
Тарифные пакеты
8х5 по МСК и НСК
Интервал обслуживания
Безлимитное
Количество обращений
1 год / 2 года / 3 года / 5 лет
Срок обслуживания
Сертификат привязан к серийному номеру оборудования
Сертификат приобретается только при наличии действующей стандартной/расширенной гарантии
1 год
2 года
3 года
5 лет
Продление гарантийного обслуживания, MES2326 (используется при покупке с новым оборудованием. Включена в т.ч. стандартная гарантия производителя - 1 год)
[ для нового оборудования ]
2 года Артикул: EW-MES2326-2Y
3 года Артикул: EW-MES2326-3Y
5 лет Артикул: EW-MES2326-5Y
Продление гарантийного обслуживания, MES2326 (используется при покупке для ранее приобретенного оборудования)
[ для уже купленного оборудования ]
1 год Артикул: EW-MES2326-1Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES2326 - безлимитное количество обращений 8х5 (услуга оказывается по московскому времени)
1 год Артикул: SC-MES2326-B-1Y
2 года Артикул: SC-MES2326-B-2Y
3 года Артикул: SC-MES2326-B-3Y
5 лет Артикул: SC-MES2326-B-5Y
Сертификат на консультационные услуги по вопросам эксплуатации оборудования Eltex - MES2326 - безлимитное количество обращений 24х7 (услуга оказывается по московскому времени)
1 год Артикул: SC-MES2326-A-1Y
2 года Артикул: SC-MES2326-A-2Y
3 года Артикул: SC-MES2326-A-3Y
5 лет Артикул: SC-MES2326-A-5Y
Сертификат на услугу по отправке оборудования на подмену на следующий рабочий день (next business shipping) в случае выхода из строя оборудования, MES2326 (услуга оказывается при наличии действующей гарантии)
1 год Артикул: NBS-MES2326-1Y
2 года Артикул: NBS-MES2326-2Y
3 года Артикул: NBS-MES2326-3Y
5 лет Артикул: NBS-MES2326-5Y
Обучение в Академии Eltex
Базовый курс Академии Eltex: Использование коммутаторов Eltex
Базовый курс Академии Eltex: Использование маршрутизаторов Eltex
Базовый курс Академии Eltex: Точки доступа Enterprise и Контроллер беспроводной сети Eltex
[MES] Сброс настроек интерфейса в default
Пример настройки интерфейса:
2324B(config)#default interface gig0/10 Configuration for these interfaces will be set to default. It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y 2324B(config)#
GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет её в свою базу данных, как Type - dynamicGvrp .
27-Jul-2016 11:53:25 %VLAN-I-GVRPAddVlan: Dynamic VLAN Vlan 300 was added by GVRP 27-Jul-2016 11:53:25 %VLAN-I-GVRPAddPort: Dynamic port gi1/0/1 was added to VLAN Vlan 300 by GVRP
switch2#sh vlan Vlan mode: Basic
Vlan
Name
Tagged ports
Untagged ports
Type
Authorization
1
-
-
gi1/0/1-7,gi1/0/9-28,Po1-16
Default
Required
100
-
gi1/0/1
-
permanent
Required
300
-
gi1/0/1
-
dynamicGvrp
Required
По умолчанию VLAN c Type - dynamicGvrp нельзя назначить на порт. Для этого vlan нужно добавить в vlan database.
Начиная с версии 1.1.48/2.5.48 доступен функционал отключения анонса по gvrp определенного vlan. Используется команда gvrp advertisement-forbid в контексте конфигурирования interface vlan.
console(config)#interface vlan 1
console(config-if)#gvrp advertisement-forbid
[MES] Настройка radius-сервера на коммутаторах MES
Настройка radius-сервера доступна для коммутаторов серий MES2300/3300/5300.
radius-сервер может использоваться для 802.1x аутентификации и для аутентификации учётных записей на других коммутаторах.
Включение radius-сервера:
radius server enable
Настройка адреса коммутатора доступа (клиента) и ключа:
encrypted radius server secret key secret ipv4-address 192.168.1.10
Конфигурация групп и привязка к ним уровней привилегий:
radius server group admin vlan name test privilege-level 15 exit ! radius server group priv1 privilege-level 1 exit
Настройка логина и пароля для учётных записей, привязка их к группам: radius server user username priv1 group priv1 password priv1 radius server user username tester group admin password tester
[MES] Настройка PVST
Настройка протокола PVST доступна для коммутаторов серий MES2300/3300/5300, начиная с версии ПО 4.0.10
Для включения протокола PVST необходимо использовать команду:
spanning-tree mode pvst
Для создания VLAN- участников PVST:
vlan database
vlan 2-64
Данные VLAN требуется добавить на интерфейсы:
interface gigabitethernet1/0/14
switchport mode trunk
switchport trunk allowed vlan add 2-64
Максимальное количество VLAN участников PVST - 64.
[MES] Настройка dhcp server
Пример настройки для VLAN 101
Отключить DHCP client в vlan 1
interface vlan 1
no ip address dhcp
Включить DHCPсервер и настроить пул выдаваемых адресов:
ip dhcp server
ip dhcp pool network Test
address low 192.168.101.10 high 192.168.101.254 255.255.255.0
default-router 192.168.101.2
dns-server 10.10.10.10
exit
Задать для интерфейса VLAN101 IPадрес и сетевую маску (это будет адрес DHCPсервера) :
interface vlan 101
ip address 192.168.101.1 255.255.255.0
exit
Назначить VLAN101 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
interface gigabitethernet 1/0/1
switchport access vlan 101
exit
[MES] Настройка ECMP для MES23xx/33xx/53xx
Балансировка нагрузки ЕСМР (Equal-cost multi-path routing) позволяет передавать пакеты одному получателю по нескольким «лучшим маршрутам».
Данный функционал предназначен для распределения нагрузки и оптимизации пропускной способности сети. ЕСМР может работать как со статическими маршрутами, так и с протоколами динамической маршрутизации RIP, OSPF, BGP. Максимально можно настроить 8 путей.
По умолчанию метод балансировки src-dst-mac-ip, изменить можно командой Port-Channel load-balance
Пример настройки ECMP:
MES2324(config)#ip maximum-paths 3
P.S.Настройка вступит в силу только после сохранения конфигурации и перезагрузки устройства.
Просмотр текущих настроек:
MES2324#show ip route Maximum Parallel Paths: 1 (1 after reset) Load balancing: src-dst-mac-ip
[MES] Настройка IPv6 адреса на коммутаторах MES
Настройка IPv6 адреса:
1) Stateless auto-configuration
Является режимом по-умолчанию. Включается следующим образом:
(config)#interface vlan x
(config)#ipv6 enable
После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.
Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.
Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).
Формирование link-layer адреса.
Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.
Пример:
Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.
2) Настройка адреса вручную
Настройка вручную осуществляется следующим образом:
(config)#interface vlan x
(config)#ipv6 enable # включение ipv6 является обязательным требованием
Далее можно задать желаемый global-scope адрес вручную:
(config)#ipv6 address 2001::a/64,
задать желаемый link-local адрес вручную:
(config)#ipv6 address fe80::a/64 link-local,
или использовать формирование адреса по алгоритму EUI-64:
(config)#ipv6 address 2001::/64 eui-64.
Если при назначении адреса вручную не указывать область действия(scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.
Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.
[MES] Настройка ITU-T G.8032v2 (ERPS)
Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии.
Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.
Пример конфигурирования
Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS трафика в подкольце используется VLAN 100, защищает VLAN 200, 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.
В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. RPL линк — это линк, который будет заблокирован при нормальном состоянии кольца, и разблокируется только в случае аварии на одном из линков кольца.
Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual link.
Примечания:
Подкольцо не умеет определять разрыв виртуального линка. Поэтому при разрыве этого линка в подкольце не разблокируется rpl-link.
По дефолту через интерфейс в режим trunk проходит дефолтный 1 VLAN. Поэтому данный VLAN необходимо или добавить в protected, или запретить его прохождение через интерфейс, чтобы избежать возникновение шторма.
RPL link блокирует прохождение трафика в protected VLAN. Но на семейство протоколов xSTP данная блокировка не растространяется. Поэтому необходимо запрещать прохождение STP bpdu через кольцевые порты.
На коммутаторах mes реализован функционал security-suite. Используя security-suite можно настроить порог syn-запросов на определенный ip-адрес/подсеть с целью защиты от syn-атак.
Пример настройки:
Глобально включить security-suite:
2324B(config)#security-suite enable
Настроить на порту порог:
2324B(config)#interface gig0/1 2324B(config-if)#security-suite dos syn-attack 127 192.168.11.0 /24
127 - максимальное число подключений в секунду
Посмотреть security-suite можно командой show security-suite configuration.
2324B#show security-suite configuration
Security suite is enabled (Per interface rules are enabled).
Denial Of Service Protect:
Denial Of Service SYN-FIN Attack is enabled Denial Of Service SYN Attack
Interface IP Address SYN Rate (pps) -------------- -------------------- ----------------------- gi1/0/1 192.168.11.0/24 127
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
Примечание: Всего можно сконфигурировать 64 экземпляра MSTP.
Примечание: По умолчанию все vlan'ы находятся в 0 instance.
[MES] Настройка стекирования на коммутаторах MES23хх/33хх/5324
Коммутаторы MES23хх/33хх/5324 можно объединять в стек до 8 устройств. В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют оптические 1G-порты. При этом для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) - SFP(1G).
Стек из коммутаторов Eltex — объединение двух или более (до восьми) управляемых однотипных коммутаторов согласно матрице стекирования, предназначенное для увеличения числа портов. Стек идентифицируется как один логический коммутатор — один IP-адрес, один системный MAC-адрес.
Коммутаторы серий MES23xx/MES33xx/MES5324 по умолчанию работают в режиме стекирования в качестве unit 1, (при этом стековые порты не настроены).
В режиме стекирования MES5324 использует XLG порты для синхронизации, остальные коммутаторы семейства, кроме MES2308(P), XG порты. MES2308 и MES2308P используют оптические 1G-порты. Для стекирования устройств должны использоваться для MES5324 - QSFP(40G), для MES23хх и MES33хх SFP+(10G), для MES2308(P) — SFP(1G). При этом указанные порты не участвуют в передаче данных с устройствами вне стека.
Возможны две топологии синхронизирующихся устройств – кольцевая (Ring) и линейная (Chain). Топология определяется автоматически в зависимости от физического подключения стековых портов. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.
При использовании линейной топологии в схеме из двух юнитов, стековые порты объединяются в LAG, что позволяет повысить пропускную способность канала. При любых вариантах сборки стека с двумя юнитами будет использоваться топология Chain.
Функционально и логически это можно объяснить так, что при топологии Chain используется один Port-Channel, а при сборке Ring - два:
Chain:
Ring:
Для коммутаторов MES2348P, MES2348B, MES3348, MES3348F для объединения в линейной топологии стековых портов в LAG необходимо использовать интерфейсы te1-8/0/1, te1-8/0/4 или te1-8/0/2,te1-8/0/3. При любых других комбинациях стековых портов один из них будет находиться в резерве и иметь статус Standby. При использовании кольцевой топологии при любых комбинациях стековых портов - они все будут в статусе "Active", например:
! Интерфейсы в режиме стекирования работают только на максимальной скорости интерфейса
Стек функционирует как единое устройство и может объединять до 8 коммутаторов одной и той же модели, имеющих следующие роли, определяемые их порядковыми номерами UID. (описание принципа функционирования приведено для коммутаторов с версией ПО 4.0.17 и выше):
• Master (UID устройства от 1 до 8), с него происходит управление всеми устройствами в стеке. Роль можно назначить всем устройствам, но активный Master при этом будет один, остальные с ролью Backup.
• Backup (UID устройства от 1 до 8) — устройство, подчиняющееся master. Дублирует все настройки, и, в случае выхода управляющего устройства из строя, берет на себя функции управления стеком. Роль можно назначить максимум семи устройствам.
• Slave (UID устройства от 1 до 8) — устройство, подчиняющееся master. Не может работать в автономном режиме (если отсутствует master). Роль можно назначить максимум шести устройствам. Допустима корректная работа стека без устройств с данной ролью.
Для корректной работы стека обязательно один из юнитов необходимо оставить с ролью master и минимум один с ролью backup.
В стеке каждый коммутатор использует свои tcam правила (правила acl, sqinq). Нагрузка идет только на процессор unit с ролью master.
Передача данных между юнитами ограничивается пропускной способностью стековых портов. Внутри юнита - пропускной способностью портов коммутатора.
На Backup-коммутаторе резервируется конфигурация.
Если Master после отключения или перезагрузки вернется в строй, то вновь мастерство забирать не будет и останется Backup-коммутатором. Исключение - опция stack configuration master , которая форсирует передачу мастерства данному unit при его появлении в топологии.
В случае наличия в стеке нескольких Backup-коммутаторов, при выходе из строя Master-коммутатора, новый Master будет определяться по следующему сценарию: uptime всех Backup-коммутаторов делится на 20. Роль master примет коммутатор с наибольшим частным (результатом деления без остатка). В случае равенства частного мастерство возьмёт на себя Backup-коммутатор с наименьшим UnitID.
Для стека с установленной версией ПО ниже 4.0.17 роли следующие:
• Master (UID устройства 1 или 2) — с него происходит управление всеми устройствами в стеке.
• Backup Backup (UID устройства 1 или 2) — устройство, подчиняющееся master. Дублирует все настройки, и, в случае выхода управляющего устройства из строя, берет на себя функции управления стеком.
• Slave (UID устройства от 3 до 8) — устройства, подчиняющееся master. Не может работать в автономном режиме (если отсутствует master).
В стеке каждый коммутатор использует свои tcam правила (правила acl, sqinq). Нагрузка идет только на процессор Master.
Передача данных между unit ограничивается пропускной способностью стековых портов. Внутри unit - пропускной способностью портов коммутатора.
На Backup-коммутаторе резервируется конфигурация.
Если Master после отключения или перезагрузки вернется в строй, то вновь возьмет на себя мастерство в случае, если uptime Backup-коммутатора составляет менее 10 минут (при этом Backup коммутатор перезагрузится).
Если uptime Backup-коммутатора будет более 10 минут, то мастерство останется за ним.
При передаче мастерства возможен кратковременный перерыв в предоставлении сервисов на время доинициализации нового Master в стеке.
Начиная с версии ПО 4.0.17, реализован функционал NSF (Non-Stop Forwarding). Данный функционал позволяет минимизировать потери для транзитного немаршрутизируемого трафика в момент передачи мастерства от Master к Backup.
Принцип работы NSF : в момент отключения Master, Backup берет управление на себя и запускает процесс доинициализации до роли Master, запускается NSF таймер (по умолчанию 120 с.). На это время фиксируются STP статусы портов (изменение статуса игнорируется), порты в LACP, членство портов во VLAN, скорость портов, FDB, Vlan Database и тд. Остальные настройки применяются на новый Master в реальном времени.
Во время процесса NSF запрещается выполнение команд просмотра конфигурации, изменение состояния портов, добавления новой VLAN, изменение режима согласования портов, конфигурация скорости портов, очистка FDB, перезагрузка устройства, изменение имени устройства, отключение/подключение STP. Когда истекает таймер NSF, все ранее зафиксированные настройки применяются на стек в реальном времени.
Конфигурация коммутатора:
console(config)# stack configuration links {fo1-4| te1-4 | gi9-12} (возможные варианты синтаксиса при настройке -stack configuration links te 1-2; stack configuration links te 1, te3)
console(unit)#stack configuration role {slave|master}
Дополнительные настройки стека:
Принудительно назначить устройство мастером (мастерство будет всегда сохранено за юнитом в случае наличия/появления его в стеке):
console(config)#stack configuration master unit {unit-id}
Внимание - если указать unit, который в этот момент не является мастером, то текущий мастер принудительно перезагрузится для отдачи мастерства.
Включение функционала NSF:
console(config)#stack nsf
Изменение таймера NSF (по умолчанию 120 с.)
console(config)#stack nsf timer {60-600}
Конфигурация стекирования применится после перезагрузки.
Перезагрузка определенного unit:
console#reload unit 2
Работа портов OOB в стеке (Для моделей с поддержкой OOB)
Если на стеке задействованы несколько портов OOB, то их порядок работы будет следующий:
-Активен порт только на мастере.
-IP адресация для такого интерфейса назначается глобально для всего стека.
console(config)# interface oob
console(config-oob)# ip address X.X.X.X /XX
-При статической адресации, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этом IP-адрес остается тот же.
-Если настроено получение IP-адреса OOB по DHCP, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этот IP-адрес будет выдан сервером другой, т.к. MAC-адрес OOB-порта изменился.
Процедура обновления ПО стека
При обновлении ПО, файл загружается на Master юнит, далее автоматически выполняется синхронизация файлов ПО Master юнита с остальными юнитами в стеке.
В данной таблице не определяется статус стековых интерфейсов, статус Not Present ожидаемый. Для определения статуса стековых интерфейсов необходимо использовать команду show stack links details :
console#show stack links details
UNIT ID Link Status Speed Uptime Neighbor Neighbor Neighbor (d,h:m:s) Unit ID Link MAC Address ------- -------- ---------- ----- ----------- -------- -------- ------------------- 1 te1 Active 10G 00,00:33:57 2 te1 e4:5a:d4:6a:16:00 1 te2 Active 10G 00,00:33:57 2 te2 e4:5a:d4:6a:16:00 2 te1 Active 10G 00,00:33:56 1 te1 e4:5a:d4:d3:66:40 2 te2 Active 10G 00,00:33:56 1 te2 e4:5a:d4:d3:66:40
Для определения статуса через SNMP необходимо использовать oid : 1.3.6.1.4.1.89.53.23.1.6.<ifindex> Возможные значения - 3 - active, 2 - down.
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
Конфигурацию будем выполнять на базе коммутаторов MES2324.
sw1, sw2 – два любых коммутатора пропускающих трафик прозрачно, использовались MES2124 R1, R2 — коммутаторы MES2324 с настроенным VRRP, R1 — Master R2 — Backup
Со стороны PC1 сеть VLAN 100 Cо стороны PC2 сеть VLAN 200
–---------------------------------------Настройки мастера (R1):------------------------------------------------
б) Определение VRID (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24
R1(config-if)#vrrp 1 ip 10.0.200.1
Примечание: VRRP-маршрутизатор всегда будет становиться Master, если он владелец IP-адреса, который присвоен виртуальному маршрутизатору
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
R1(config-if)#vrrp 1 timers advertise msec 50
Примечание: Если интервал задан в миллисекундах, то происходит округление вниз до ближайшей секунды для VRRP Version 2 и до ближайших сотых долей секунды (10 миллисекунд) для VRRP Version 3.
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.100.0 /24
R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: R2 становится Backup-маршрутизатором и не выполняет функции маршрутизации трафика до выхода из строя Master.
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение ID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию виртуального маршрутизатора для подсети 10.0.200.0 /24,
R1(config-if)#vrrp 1 ip 10.0.200.1
в) Включение VRRP протокола на данном интерфейсе (по умолчанию выключен)
R1(config-if)#no vrrp 1 shutdown
г) Определение интервала между анонсами master-маршрутизатора (влияет на время сходимости при выходе из строя мастера).
б) Определение VRID VRRP (=1), IP-адреса, который будет использоваться в качестве шлюза по умолчанию VRRP-маршрутизатора для подсети 10.0.100.0 /24 R1(config-if)#vrrp 1 ip 10.0.100.1
Примечание: На коммутаторах SW1 и SW2 также необходимо настроить порты gi23 и gi24 в режим trunk для своих VLAN, а порт gi1 в режим access для своих VLAN.
После настройки R1 и R2 при выходе из строя R1 мастером становится R2 и работает как шлюз по умолчанию с виртуальным IP-адресом 10.0.100.1 для сети 10.0.100.0 /24 и 10.0.200.1 для сети 10.0.200.0 /24 При возвращении R1 он снова становится мастером.
Примечание: На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX – номер группы VRRP (VRID)
[MES] Настройка TACACS на коммутаторах MES
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству, при этом поддерживая совместимость с RADIUS и другими процессами проверки подлинности.
Конфигурацию будем выполнять на базе коммутатора MES2324.
1. Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
2. Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
MES2324B(config)#aaa authentication login authorization default tacacs local
Примечение:На коммутаторах серии 23xx, 33xx, 53xx используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 4.0.6 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке. На коммутаторах серии 1000, 2000, 3000 уже имеется этот функционал.
3. Установить способ аутентификации при повышении уровня привилегий:
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
5. Задать пароль на доступ в привилегированный режим:
MES2324B(config)#enable password eltex
6. Разрешить ведение учета (аккаунта) для сессий управления.
MES2324B(config)#aaa accounting login start-stop group tacacs+
7. Включить ведение учета введенных в CLI команд по протоколу tacacs+.
MES2324B(config)#aaa accounting commands stop-only group tacacs+
Примечание:По умолчанию используется проверка по локальной базе данных (aaa authentication login default local).
На данный товар не оставлено ни одного отзыва.
Будьте первым!
Используя наш сайт, Вы даёте согласие на обработку файлов cookie и пользовательских данных.
Оставаясь на сайте, Вы соглашаетесь с политикой их применения.
Данная функция находится в разработке
Совсем скоро появится возможность сменить тему сайта на тёмную!
Ваш браузер сильно устарел. Обновите его до последней версии или используйте другой более современный.
Заказать звонок
Написать нам
Заполните форму и наш специалист свяжется с Вами в ближайшее время
Узнать цены
Узнать наличие
Спасибо, Ваш запрос отправлен!
Для ускорения обработки заявки, просим Вас дозаполнить анкету.
