MES2428T Eltex | Коммутатор 24 порта 1G, 4 комбо-порта
MES2428T
MES2428T - это 28-ми портовый гигабитный L2 коммутатор уровня доступа без поддержки стекирования с встроенными сухими контактами. Наличие сухих контактов позволяет расширить возможности мониторинга окружащей среды, а благодаря наличию 4 комбо портов обеспечить гибкость использования. Для подключения клиентского оборудования доступно 24x10/100/1000BASE-T порта, для подключения к вышестоящему оборудованию 4 комбо-порта 10/100/1000 Base-T/1000Base-X (SFP).
Общие параметры MES2428T Eltex
Статус Минпромторг | Нет |
Физические интерфейсы
Кол-во портов DOWNLINK | 24 |
Скорость DOWNLINK | 1G |
Кол-во портов UPLINK | 4 |
Тип UPLINK | 1G |
Количество портов | 24x1G, 4 комбо |
Количество портов 10/100/1000BASE-T (RJ-45) | 24 |
Количество портов КОМБО 10/100/1000BASE-T/100BASE-FX/1000BASE-X | 4 |
Консольный порт | RS-232 (RJ-45) |
Производительность
Пропускная способность, Гбит/с | 56 |
Производительность на пакетах длиной 64 байта (значение указано для односторонней передачи), MPPS | 41,658 |
Объём буферной памяти | 512 Кбайт |
Объём ОЗУ | 256 Мбайт (DDR3) |
Объём ПЗУ | 32 Мбайт (SPI Flash) |
MAC таблица | 8192 |
Количество ARP записей | 1000 |
Таблица VLAN | 4094 |
Количество групп L2 Multicast (IGMP Snooping) | 509 |
Количество L3 интерфейсов | 20 VLAN, до 5 IPv4-адресов в каждом VLAN, до 300 IPv6 GUA суммарно для всех VLAN |
Количество маршрутов L3 IPv4 Unicast | Нет |
Количество маршрутов L3 IPv6 Unicast | Нет |
Количество VRF (включая VRF по умолчанию) | Нет |
Количество VRRP-маршрутизаторов | Нет |
Максимальный размер ECMP-групп | Нет |
Количество правил SQinQ (ingress / egress) | 128 / 256 |
Количество правил ACL, общее (MAC + IPv4 / IPv6) |
600 |
Количество правил ACL MAC, максимальное (если правил ACL IPv4 / IPv6 = 0) |
381 |
Количество правил ACL IPv4 / IPv6, максимальное (если правил MAC ACL = 0) |
219 / 128 |
Количество правил ACL в одном ACL | 1 |
Количество групп LAG (Link Aggregation Groups) | 8, до 8 портов в одном LAG |
Максимальный размер Jumbo-фрейма, байт | 10 000 |
Кол-во устройств в стеке | Не поддерживается |
Функции
Уровень коммутатора | L2 |
Поддержка MLAG (Multi-Switch Link Aggregation Group) | Нет |
Поддержка ERPS (G.8032v2) | Нет |
Поддержка сверхдлинных кадров (Jumbo frames) | Да |
Поддержка Q-in-Q | Да |
Поддержка Selective Q-in-Q | Да |
Физические характеристики
Питание, ток | AC |
Питание, В | 110–250 В |
Особенности |
сухие контакты |
Разъем для АКБ | – |
PoE | Нет |
Поддерживаемые стандарты PoE | Нет |
Бюджет PoE, Вт | Нет |
Максимальная потребляемая мощность, Вт | 18 |
Максимальная потребляемая мощность без учёта заряда АКБ, Вт | Нет |
Аппаратная поддержка Dying Gasp | Да |
Промышленный | Нет |
Рабочая температура окружающей среды | От -20 °С до +50 °С |
Рабочая влажность | Не более 80% |
Тепловыделение, Вт | 18 |
Тип охлаждения | Пассивное |
Установка в стойку | 1U |
Габариты коммутатора (ШхВхГ), мм | 430 x 44 x 178 |
Габариты и вес
Размер коробки ШхВхГ, мм | 520 x 85 x 270 |
Вес брутто, кг | 3.1 |
MES2428T - это 28-ми портовый гигабитный L2 коммутатор уровня доступа без поддержки стекирования с встроенными сухими контактами. Наличие сухих контактов позволяет расширить возможности мониторинга окружающей среды, а благодаря наличию 4 комбо портов обеспечить гибкость использования. Для подключения клиентского оборудования доступно 24x10/100/1000BASE-T порта, для подключения к вышестоящему оборудованию 4 комбо-порта 10/100/1000 Base-T/1000Base-X (SFP).
Ethernet-коммутатор MES2428T- абсолютно новое решение от Eltex не только в линейке коммутаторов MES24xx, но и среди всего оборудования. Отличается данный коммутатор наличием 4 пар сухих контактов. Располагаются контакты в правой верхнем углу передней панели коммутатора. Сухие контакты (dry contacs) имеют два состояния: замыкание контакта и размыкание контакта, обычно служат для настройки какого либо сигнала аварии, например, отключение питания на сети.
- Расширенные функции L2
- Поддержка Multicast (IGMP Snooping, MVR)
- Расширенные функции безопасности (L2-L4 ACL, IP Source Guard, Dynamic ARP Inspection и др.)
Коммутатор подключает конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейсов Gigabit Ethernet.
Коммутатор поддерживает виртуальные локальные сети, многоадресные группы рассылки и имеют расширенный набор функций безопасности.
Общие параметры
- 24 порта 10/100/1000BASE-T (RJ-45)
- 4 порта Combo 10/100/1000Base-T/100Base-FX/1000Base-X
- Входные сухие контакты - 4 пары
- 1 консольный порт RS-232 (RJ-45)
Производительность
- Пропускная способность - 56 Гбит/с
- Производительность на пакетах длиной 64 байта1 - 41,658 MPPS
- Объем буферной памяти - 512 Кбайт
- Объем ОЗУ (DDR3) - 256 Мбайт
- Объем ПЗУ (SPI Flash) - 32 Мбайт
- Таблица MAC-адресов - 8192
- Количество ARP-записей - 1000
- Таблица VLAN - 4094
- Количество групп L2 Multicast (IGMP Snooping) - 509
- Количество правил SQinQ - 128 (ingress), 256 (egress)
- Количество правил MAC ACL - 381
- Количество правил IPv4/IPv6 ACL - 219/128
- Количество L3-интерфейсов - 20 vlan, до 5 IPv4-адресов в каждом vlan, до 300 IPv6 GUA суммарно для всех vlan
- Link Aggregation Groups (LAG) - 8 групп, до 8 портов в одном LAG
- Качество обслуживания QoS - 8 выходных очередей на порт
- Размер Jumbo-фрейма - Максимальный размер пакетов 10 000 байт
Функции интерфейсов
- Защита от блокировки очереди (HOL)
- Поддержка Auto MDI/MDIX
- Поддержка сверхдлинных кадров (Jumbo frames)
- Управление потоком (IEEE 802.3X)
- Зеркалирование портов (SPAN,RSPAN)
Функции при работе с МAC-адресами
- Независимый режим обучения в каждой VLAN
- Поддержка многоадресной рассылки (MAC Multicast Support)
- Регулируемое время хранения MAC-адресов
- Статические записи MAC (Static MAC Entries)
- Отслеживание событий MAC change на портах
- Логирование событий MAC Flapping
Поддержка VLAN
- Поддержка Voice VLAN
- Поддержка IEEE 802.1Q
- Поддержка Q-in-Q
- Поддержка Selective Q-in-Q
- Поддержка GVRP
- Поддержка MAC-based VLAN
- Поддержка Protocol-based VLAN
Функции L2
- Поддержка протокола STP (Spanning Tree Protocol, IEEE 802.1d)
- Поддержка протокола RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w)
- Поддержка протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s)
- Поддержка STP Root Guard
- Поддержка STP Loop Guard
- Поддержка STP BPDU Guard
- Поддержка BPDU Filtering
- Поддержка Spanning Tree Fast Link option
- Поддержка Layer 2 Protocol Tunneling (L2PT)
- Поддержка Loopback Detection (LBD)
- Изоляция портов
- Поддержка Storm Control для различного трафика (broadcast, multicast, unknown unicast)
Функции L2 Multicast
- Поддержка профилей Multicast
- Поддержка статических Multicast-групп
- Поддержка IGMP Snooping v1,2,3
- Поддержка IGMP Snooping fast-leave
- Поддержка функций IGMP proxy-report
- Поддержка авторизации IGMP через RADIUS
- Поддержка MLD Snooping v1,2
- Поддержка MLD Snooping fast-leave
- Поддержка IGMP Querier
- Поддержка MVR
Функции Link Aggregation
- Создание групп LAG
- Объединение каналов с использованием LACP
- Поддержка LAG Balancing Algorithm
Сервисные функции
- Виртуальное тестирование кабеля (VCT)
- Диагностика оптического трансивера
Поддержка IPv6
- Функциональность IPv6 Host
- Совместное использование IPv4, IРv6
Функции обеспечения безопасности
- DHCP Snooping
- Опция 82 протокола DHCP
- IP Source Guard
- Dynamic ARP Inspection (Protection)
- Проверка подлинности на основе MAC-адреса, ограничение количества MAC-адресов, статические MAC-адреса
- Проверка подлинности по портам на основе IEEE 802.1x
- Guest VLAN
- Система предотвращения DoS-атак
- Сегментация трафика
- Фильтрация DHCP-клиентов
- Предотвращение атак BPDU
- PPPoE Intermediate agent
- DHCPv6 Snooping
- IPv6 Source Guard
- Поддержка функции IPv6 ND Inspection
- Поддержка функции IPv6 RA Guard
Списки управления доступом ACL
- L2-L3-L4 ACL (Access Control List)
- IPv6 ACL
- ACL на основе:
- Порта коммутатора
- Приоритета IEEE 802.1p
- VLAN ID
- EtherType
- DSCP
- Типа IP-протокола
- Номера порта TCP/UDP
- Содержимого пакета, определяемого пользователем (User Defined Bytes)
Основные функции качества обслуживания (QoS) и ограничения скорости
- Ограничение скорости на портах (shaping, policing)
- Поддержка класса обслуживания IEEE 802.1p
- Обработка очередей по алгоритмам Strict Priority/Weighted Round Robin (WRR)
- Настройка приоритета IEEE 802.1p для VLAN управления
- Классификация трафика на основании ACL
- Назначение меток CoS/DSCP на основании ACL
- Перемаркировка меток DSCP в CoS
- Перемаркировка меток CoS в DSCP
- Назначение VLAN на основании ACL
ОАМ
- IEEE 802.3ah, Ethernet OAM
- IEEE 802.3ah Unidirectional Link Detection (UDLD) - протокол обнаружения однонаправленных линков
Функции мониторинга
- Статистика интерфейсов
- Поддержка мониторинга загрузки CPU по задачам и по типу трафика
- Мониторинг загрузки оперативной памяти (RAM)
- Мониторинг температуры
- Мониторинг TCAM
Основные функции управления
- Загрузка и выгрузка конфигурационного файла по TFTP/SFTP
- Автоматическое резервирование (backup) файла конфигурации по TFTP/SFTP
- Протокол SNMP
- Интерфейс командной строки (CLI)
- Web-интерфейс
- Syslog
- SNTP (Simple Network Time Protocol)
- Traceroute
- LLDP (IEEE 802.1ab) + LLDP MED
- Возможность обработки трафика управления с двумя заголовками IEEE 802.1Q
- Поддержка авторизации вводимых команд с помощью сервера TACACS+
- Поддержка IPv4/IPv6 ACL для управления устройством
- Управление доступом к коммутатору – уровни привилегий для пользователей
- Блокировка интерфейса управления
- Локальная аутентификация
- Фильтрация IP-адресов для SNMP
- Клиент RADIUS, TACACS+ (Terminal Access Controller Access Control System)
- Клиент Telnet, клиент SSH
- Сервер Telnet, сервер SSH
- Поддержка макрокоманд
- Журналирование вводимых команд по протоколу TACACS+
- Автоматическая настройка DHCP
- DHCP Relay (поддержка IРv4)
- DHCP Relay Option 82
- Добавление тега PPPoE Circuit-ID
- Flash File System
- Команды отладки
- Механизм ограничения трафика в сторону CPU
- Шифрование пароля
- Ping (поддержка IPv4/IPv6)
- Поддержка статических маршрутов IPv4/IPv6
- Поддержка двух версий файлов конфигурации
Стандарты MIB/IETF
- RFC 1065, 1066, 1155, 1156, 2578 MIB Structure– RFC 1212 Concise MIB Definitions
- RFC 1213 MIB II
- RFC 1215 MIB Traps Convention
- RFC 1493, 4188 Bridge MIB
- RFC 1157, 2571-2576 SNMP MIB
- RFC 1901-1908, 3418, 3636, 1442, 2578 SNMPv2 MIB
- RFC 2465 IPv6 MIB
- RFC 2737 Entity MIB
- RFC 4293 IPv6 SNMP Mgmt Interface MIB
- Private MIB
- RFC 1398, 1643, 1650, 2358, 2665, 3635 Ether-like MIB
- RFC 2668 802.3 MAU MIB
- RFC 2674, 4363 802.1p MIB
- RFC 2233, 2863 IF MIB
- RFC 2618 RADIUS Authentication Client MIB
- RFC 4022 MIB для TCP
- RFC 4113 MIB для UDP
- RFC 3289 MIB для Diffserv
- RFC 2620 RADIUS Accounting Client MIB
- RFC 768 UDP
- RFC 791 IP
- RFC 792 ICMPv4
- RFC 2463, 4443 ICMPv6
- RFC 793 TCP
- RFC 2474, 3260 Определение поля DS в заголовке IPv4 и IPv6
- RFC 1321, 2284, 2865, 3580, 3748 Extensible Authentication Protocol (EAP)
- RFC 2571, RFC 2572, RFC 2573, RFC 2574 SNMP
- RFC 826 ARP
- RFC 854 Telnet
- МЭК 61850
Физические параметры и параметры окружающей среды
- Питание:
- 110–250 В AC, 50-60 Гц
- 18–72 В DC
- Максимальная потребляемая мощность: 18 Вт
- Тепловыделение - 18 Вт (AC/DC)
- Аппаратная поддержка Dying Gasp - только для 2428T AC
- Рабочая температура окружающей среды - от -20 до +50 °С
- Температура хранения - от -40 до +70 °С
- Рабочая влажность - не более 80%
- Охлаждение пассивное
- Исполнение - 19", 1U
- Размеры (ШxВxГ) - 430x44x178
- Масса - 2,37 кг
1 Значения указаны для односторонней передачи





Услуги, входящие в сертификат:
- Диагностика оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
- Гарантийное обслуживание является непрерывным
- Максимальный срок гарантийного обслуживания - 5 лет
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
Способы обращения в техническую поддержку:
- Интернет портал. Удобно для сложных вопросов. Все ответы будут зафиксированы, и они никогда не потеряются
- Email. Удобно для простых вопросов. Вопрос и Вам ответят сразу
- «Душевный» чат в Telegram. Для интересных и нестандартных вопросов. Можно получить ответ и воспользоваться опытом коллег.
- Сертификат привязан к серийному номеру оборудования
*Next Business Shipping - на следующий день
Услуги, входящие в сертификат:
- Отправка оборудования на подмену на время ремонта на следующий рабочий день
- Диагностика неисправного оборудования
- Бесплатный ремонт, если диагностирован гарантийный случай
- Платный ремонт, если диагностирован не гарантийный случай
по МСК и НСК
- Сертификат привязан к серийному номеру оборудования
- Сертификат приобретается только при наличии действующей стандартной/расширенной гарантии
Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI, необходимо подключиться к коммутатору при помощи терминальной программы (например, HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:console# copy tftp://xxx.xxx.xxx.xxx/File_Name startup-config
Где xxx.xxx.xxx.xxx #IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
File_Name #имя конфигурационного файла
и нажать Enter.
Для выгрузки файла первоначальной конфигурации на TFTP сервер, необходимо в командной строке CLI ввести следующую команду:console# copy startup-config tftp://xxx.xxx.xxx.xxx/File_Name
Где
xxx.xxx.xxx.xxx #IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
File_Name #имя конфигурационного файла
и нажать Enter.
Источник:
docs.eltex-co.ru
Для выполнения загрузки файла начальной конфигурации startup config на коммутатор необходимо воспользоваться командой
console# copy tftp://x.x.x.x/test.conf startup-config
Имя файла конфигурации на сервере обязательно должно быть с расширением ".conf".
В начале файла конфигурации необходимо добавить строку с символом «!».
Источник:
docs.eltex-co.ru
На коммутаторах MES1400/MES2400 реализован функционал замены running-config конфигурацией из файла в памяти коммутатора без перезагрузки.replace running-config flash:path
Пример выполнения команды :console#replace running-config flash:test.txt
This command will replace the current switch configuration. Do you want to continue? (Y/N)[N]
Writing running-config to file '/mnt/runningbackup.conf'...
Running-config written successfully
Calculating diff...
Applying diff commands... (step 1)
... 50%
... 100%
Applying diff commands... (step 2)
Applying diff commands... (step 3)
Cleaning up memory...
Commands that are not applied:
<empty>
Источник:
docs.eltex-co.ru
MES1428 | MES2408 | MES2408B | MES2408C | MES2408CP | MES2408IP DC1 | MES2408P | MES2408PL | MES3708P | MES3710P | MES2428 | MES2428B | MES2428P | MES2424 | MES2424 rev.B | MES2424B | MES2424B rev.B | MES2424FB | MES2424P | MES2410-08DP | MES2410-08DU | MES2420B-24D | MES2448 DC | MES2448B | MES2448B rev.B | MES2420-48P | MES2448P | MES2411X | MES2411X rev.B | MES3400-24 | MES3400I-24 | MES3400-24F | MES3400-48 | MES3400-48F | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
MES1428 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408B | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408C | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408CP | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408IP DC1 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408P | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2408PL | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3708P | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES3710P | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2428 | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2428B | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2428P |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424 |
- | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424 rev.B |
- | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424B |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424B rev.B |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424FB |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2424P |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2410-08DP |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2410-08DU |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - | - |
MES2420B-24D |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - | - |
MES2448 DC |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - | - | - | - |
MES2448B |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - |
MES2448B rev.B |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - | - | - | - | - |
MES2420-48P |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - | - |
MES2448P |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - | - | - | - |
MES2411X |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - |
MES2411X rev.B |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | + | - | - | - | - | - |
MES3400-24 |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - | - |
MES3400I-24 |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - | - |
MES3400-24F |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - | - |
MES3400-48 |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + | - |
MES3400-48F |
- | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | + |
Ссылка на настройку стекирования MES14xx/24xx/3400-xx/37xx.
Источник:
docs.eltex-co.ru
Стек из коммутаторов Eltex — объединение двух или более (до восьми) управляемых однотипных коммутаторов согласно матрице стекирования, предназначенное для увеличения числа портов. Стек идентифицируется как один логический коммутатор — один IP-адрес, один системный MAC-адрес.
Конфигурация коммутатора:
console(config)# stack configuration links te1-4
возможные варианты синтаксиса при настройке:
stack configuration links te 1-2
stack configuration links te 1, te3
Внимание - настроить можно только два порта одновременно
console(config)# stack configuration unit-id 1-8
Конфигурация стекирования будет применена после перезагрузки.
Перезагрузка определенного unit:
console# reload unit 2
Процедура обновления ПО стека:
При обновлении ПО, файл загружается на Master юнит, далее автоматически выполняется синхронизация файлов ПО Master юнита с остальными юнитами в стеке
При перезагрузке для обновления, ПО обновляется на всех юнитах одновременно.
Ссылка на матрицу стекирования для MES14xx/24xx/3400-xx/37xx.
Источник:
docs.eltex-co.ru
Для мониторинга параметров окружения коммутатора, таких как состояние вентиляторов, температурные значения термодатчика, утилизация CPU и др. используется команда:
Пример для MES2408C AC:console# show env all
RAM Threshold : 100%
Current RAM Usage : 75%
CPU utilization : Enabled
CPU Threshold : 100%
CPU Usage for 5 sec : 4%
CPU Usage for 1 min : 2%
CPU Usage for 5 min : 2%
Min power supply : 100v
Max power supply : 230v
Current power supply : 230v
Max Temperature : 80C
Min Temperature : -30C
Current Temperature : 32C
Flash Threshold : 100%
Current Flash Usage : 68%
Mgmt Port Routing : Disabled
Reset-button mode : Enabled
CPU tasks utilization : Enabled
Task name 5 seconds 1 minute 5 minutes
--------- --------- -------- ---------
TMR# 0% 0% 0%
PKTT 0% 0% 0%
VcmT 0% 0% 0%
SMT 0% 0% 0%
CFA 0% 0% 0%
IPDB 0% 0% 0%
L2DS 0% 0% 0%
BOXF 0% 0% 0%
ERRD 0% 0% 0%
ELMT 0% 0% 0%
EOAT 0% 0% 0%
FMGT 0% 0% 0%
AstT 0% 0% 0%
PIf 0% 0% 0%
LaTT 0% 0% 0%
CMNT 0% 0% 0%
VLAN 0% 0% 0%
GARP 0% 0% 0%
FDBP 0% 0% 0%
SnpT 0% 0% 0%
QOS 0% 0% 0%
SMGT 0% 0% 0%
CPUU 0% 0% 0%
BAKP 0% 0% 0%
RT6 0% 0% 0%
IP6 0% 0% 0%
PNG6 0% 0% 0%
RTM 0% 0% 0%
IPFW 0% 0% 0%
UDP 0% 0% 0%
ARP 0% 0% 0%
PNG 0% 0% 0%
SLT 0% 0% 0%
SAT 0% 0% 0%
TCP 0% 0% 0%
RAD 0% 0% 0%
TACT 0% 0% 0%
DHRL 0% 0% 0%
DHC 0% 0% 0%
DCS 0% 0% 0%
PIA 0% 0% 0%
L2SN 0% 0% 0%
HST 0% 0% 0%
HRT1 0% 0% 0%
HRT2 0% 0% 0%
HRT3 0% 0% 0%
CLIC 2% 0% 0%
CTS 0% 0% 0%
SSH 0% 0% 0%
LLDP 0% 0% 0%
LBD 0% 0% 0%
LOGF 0% 0% 0%
SNT 0% 0% 0%
STOC 0% 0% 0%
HWPK 0% 0% 0%
MSR 0% 0% 0%
Dry contacts states
Pair State
---- ---------
Dying Gasp status : Enabled
Также вывод параметров доступен блочно. Например, для мониторинга утилизации CPU можно использовать команду:console# show env cpu
CPU utilization : Enabled
CPU Threshold : 100%
CPU Usage for 5 sec : 5%
CPU Usage for 1 min : 2%
CPU Usage for 5 min : 2%
Для мониторинга доступны следующие блоки:
console# show env CPU
console# show env RAM
console# show env dry-contacts
console# show env dying-gasp
console# show env flash
console# show env power
console# show env reset-button
console# show env tasks
console# show env temperature
Источник:
docs.eltex-co.ru
Для настройки приветствия неавторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:console(config)# banner exec
коммутатор предложит ввести текст приветствия,который должен быть ограничен 1024 символами и заканчиваться на "@", пример:console# conf t
console(config)# banner exec
Enter the banner text up to 1024 characters. End with symbol '@'
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
console(config)# exit
console# exit
<134> 15-Jan-1970 04:29:56.080 CLI-6-User admin logged out from console
login: admin
Password:
<129> 15-Jan-1970 04:29:59.660 CLI-1-Attempt to login as admin via console Succeeded
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
<134> 15-Jan-1970 04:29:59.670 CLI-6-User admin logged in via console
console#
Источник:
docs.eltex-co.ru
Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Настройки терминальной программы при подключении к коммутатору через последовательный порт:
- выбрать соответствующий последовательный порт.
- установить скорость передачи данных – 115200 бит/с.
- задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.
- отключить аппаратное и программное управление потоком данных.
- задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).
Загрузка файла системного ПО в энергонезависимую память коммутатора.
- Для моделей коммутаторов MES1428, MES2408, MES2428, MES3708P используются файлы системного ПО и начального загрузчика mes2400-xxxx-xxx.iss, mes2400-xxxx-xxx.boot.
- Для моделей коммутаторов MES2424 используются файлы системного ПО и начального загрузчика mes2424-xxxx-xxx.iss, mes2424-xxxx-xxx.boot.
- Для моделей коммутаторов MES2448 используются файлы системного ПО и начального загрузчика mes2448-xxxx-xxx.iss, mes2448-xxxx-xxx.boot.
1. Загрузка файла начального загрузчика в энергонезависимую память коммутатора
Для загрузки файла начального загрузчика необходимо в командной строке CLI ввести следующую команду:#console copy tftp://<ip-address>/filename boot
где
- <ip-address> - IP-адрес TFTP-сервера, с которого будет производиться загрузка файла начального загрузчика;
- filename - имя файла начального загрузчика.
Процесс копирования выглядит следующим образом:console# copy tftp://<ip-address>/filename.boot boot
Erasing bootloader sector and starting copy operation...
...Completed: 10 %...
...Completed: 20 %...
...Completed: 30 %...
...Completed: 40 %...
...Completed: 50 %...
...Completed: 60 %...
...Completed: 70 %...
...Completed: 80 %...
...Completed: 90 %...
Copied tftp://<ip-address>/filename.boot ==> boot
Если загрузка файла начального загрузчика прошла успешно, то появится сообщение вида:Copied tftp://<ip-address>/filename.boot ==>boot
Перейти к пункту 2 инструкции.
Если процесс обновления прерывается сообщением %Copied invalid bootloader file, то нужно проверить целостность файла начального загрузчика на tftp-сервере.
Если процесс обновления прерывается сообщением %Unable to copy remote bootloader file, то нужно проверить:
- Доступность tftp-сервера
- Наличие файла и его соответствие модели устройства.
После устранения ошибок нужно повторить загрузку файла начального загрузчика и перейти к пункту 2.
2. Загрузка файла системного ПО в энергонезависимую память коммутатора
Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:#console copy tftp://<ip-address>/filename.iss image
где
- <ip-address> - IP-адрес TFTP-сервера, с которого будет производиться загрузка файла системного ПО;
- filename - имя файла системного ПО.
Процесс копирования выглядит следующим образом:
console# copy tftp://<ip-address>/filename.iss image
Erasing bootloader sector and starting copy operation...
...Completed: 10 %...
...Completed: 20 %...
...Completed: 30 %...
...Completed: 40 %...
...Completed: 50 %...
...Completed: 60 %...
...Completed: 70 %...
...Completed: 80 %...
...Completed: 90 %...
Copied tftp://<ip-adress>/filename.iss image ==> image
Если загрузка файла системного ПО прошла успешно, то появится сообщение вида:Copied tftp://<ip-address>/filename.iss ==>image
Перейти к пункту 3 инструкции.
Если процесс обновления прерывается сообщением %Copied invalid image, то нужно проверить целостность файла начального загрузчика на tftp-сервере.
Если процесс обновления прерывается сообщением %Unable to copy remote image, то нужно проверить:
- Доступность tftp-сервера
- Наличие файла и его соответствие модели устройства.
После устранения ошибок нужно повторитьзагрузку файла системного ПО и перейти к пункту 3.
3. Выбор файла системного ПО, который будет активен после перезагрузки коммутатора
По умолчанию файл системного ПО загружается в неактивную область памяти (Inactive image) и будет активным после перезагрузки коммутатора.
4. Перезагрузка коммутатора
Для выполнения перезагрузки необходимо выполнить команду reload.
Источник:
docs.eltex-co.ru
Начиная с версии прошивки 10.4.2, в коммутаторах MES14xx, MES24xx, MES3400-xx и MES37хх изменилась схема наименования интерфейсов — они получили стековый номер. Например:
- В старых версиях: GigabitEthernet 0/1
- В новых версиях: GigabitEthernet 1/0/1
Такие имена интерфейсов не распознаются в прошивках ниже 10.4.х, и могут привести к тому, что конфигурация не загрузится после даунгрейда.
Чтобы избежать потери настроек, необходимо заранее подготовить конфигурационный файл, заменив несовместимые имена интерфейсов.
Шаги по безопасному даунгрейду
1. Скопируйте текущую конфигурацию на сервер
Подключитесь к коммутатору по SSH или через консоль и выполните команду:copy startup-config tftp://IP-сервера/startup.cfg
2. Отредактируйте конфигурацию
Откройте файл startup.cfg в любом текстовом редакторе (например, Notepad++, VS Code).
Найдите и замените все интерфейсы вида 1/0/X на 0/X
3. Загрузите модифицированную конфигурацию обратно на коммутаторcopy tftp://IP-сервера/startup.cfg startup-config
4.Выполните даунгрейд прошивки
Скопируйте прошивку нужной версии (например, 10.3.6) на коммутатор:copy tftp://IP-сервера/mes2424-1036-R4.iss image
Перезагрузите коммутатор:reload
Ввиду расширения функционала, а также по причине усовершенствования синтаксиса тех или иных команд от версии к версии могут возникнуть изменения в формате представления настроек устройства. В данной статье отображены изменения в синтаксисе команд, начиная от версии 10.2.6, которые могут повлиять на предоставление сервисов и поведение устройства (в т.ч доступ до коммутатора) при downgrade версии ПО. В случае с обновлением версии ПО предусмотрен автоматический переход к новому синтаксису команд без вмешательства оператора. Для предотвращения изменений в работе функционала, претерпевших изменение синтаксиса или логики работы в новых версиях, downgrade требуется производить по следующей методике:
1. Перед началом downgrade версии ПО требуется в startup-config загрузить конфигурацию предыдущей версии ПО (со старым синтаксисом);
2. Сменить образ ПО (если требуется, предварительно загрузить его в неактивный образ ПО);
3. Не сохраняя конфигурации перезагрузить устройство.
- Изменения в логике отображения команды no shutdown в конфигурации при переходе с 10.2.7 (и выше) на версии ниже 10.2.7 :
По причине смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.
- Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) на версии ниже 10.2.6:
Изменен синтаксис команд login authenthication, enable authenthication, которые приведены к виду aaa authenthication {login | enable}. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:
- Изменения в синтаксисе команды logging-file и logging-server в конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2:
Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:
В версии ПО 10.2.8 был доработан механизм ААА
Список изменений:
1. Добавлен алгоритм действий chain при отказе аутентификации на сервере.
2. Добавлена возможность настроить пользовательский список серверов, с помощью user-defined
3. Добавлена возможность применить созданный список аутентификации к line [console | telnet | ssh ]
4. Настройка механизма повышения привилегий пользователей осуществляется в контексте line
Пример конфигурации для версии 10.2.8 (и выше):
!
aaa authentication mode chain #включаем метод chain(по умолчанию break)
aaa authentication default radius local #по умолчанию дефолтный список работает для всех line
aaa authentication user-defined named_list_test tacacs local #создаем пользовательский список, а затем добавляем к line
!
line ssh
aaa authentication login named_list_test #задаем список с методами аутентификации при входе
aaa authentication enable named_list_test #задаем список для повешения уровня привилегий
!
!!!Важно: Так как вышеуказанные доработки затронули синтаксис команд, при обновлении с ранних версии ПО на 10.2.8 и позднее, конфигурация блока ААА конвертируется в соответствии с новым форматом.
Примеры преобразования конфигурации при обновлении:
1. Если в конфигурации имеем одинаковый список аутентификации для login и enable, то конфигурация преобразуется в дефолтный список: aaa authentication default <method_list>:
old_conf:aaa authentication login radius local
aaa authentication enable radius local
new_conf:aaa authentication default radius local
2. Если список аутентификации для login и enable отличается, настройка которая отличается от дефолтного параметра, преобразуется в aaa authentication user-defined <list_№> <method_list> а затем привязывается для всех line:
old_conf:aaa authentication login radius local
new_conf:!
aaa authentication user-defined list_1 radius local
!
line console
aaa authentication login list_1
!
line telnet
aaa authentication login list_1
!
line ssh
aaa authentication login list_1
!
3. Если были пользовательские настройки для line, то создается список <list_№> и привязывается к необходимым line
old_conf:
aaa authentication login radius
!
line console
aaa authentication login local
!
line telnet
aaa authentication enable tacacs
new_conf:!
aaa authentication user-defined list_2 local
aaa authentication user-defined list_3 tacacs
aaa authentication user-defined list_1_glob radius
!
line console
aaa authentication login list_2
!
line telnet
aaa authentication login list_1_glob
aaa authentication enable list_3
!!!Важно: При downgrade c версии 10.2.8 (и выше) в startup-config должна лежать конфигурация предыдущей версии ПО
Источник:
docs.eltex-co.ru
Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к заводским настройкам:
- при нажатии на кнопку длительностью менее 10 с. происходит перезагрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.
Отключить кнопку можно командой:console(config)# reset-button disable
Чтобы запретить сброс устройства к заводским настройкам, но разрешить перезагрузку, следует ввести команду:console(config)# reset-button reset-only
Источник:
docs.eltex-co.ru
- Для вывода информации постранично используем «Space»
- Для вывода информации построчно «Enter»
При использовании команды
console# set cli pagination off
вывод информации командой show будет происходить полностью, не постранично
Источник:
docs.eltex-co.ru
Коммутаторы MES позволяют резервировать конфигурацию на TFTP и SFTP сервера по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере:console(config)# backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
Пример настройки резервирования конфигурации на TFTP-сервер:console(config)# backup server tftp://10.10.10.1
Пример настройки резервирования конфигурации на SFTP-сервер:console(config)# backup server sftp://username:password@10.10.10.1
3) Указываем путь расположения файла на сервере:console(config)# backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.
4) Включаем сохранение истории резервных копий:console(config)# backup history enable
5) Указываем промежуток времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах:console(config)# backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации:console(config)# backup write-memory
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.
Источник:
docs.eltex-co.ru
Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду
console# delete startup-config
и перезагрузив коммутатор, а также при помощи кнопки "F" на лицевой панели.
Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.
Очистить текущую конфигурацию (running-config) можно через CLI, выполнив команду
console# clear running-config
Очистка производится без перезагрузки коммутатора. Команда поддержана в ПО начиная с версии 10.2.9.
Источник:
docs.eltex-co.ru
Функция настройки макрокоманд позволяет создавать унифицированные наборы команд - макросы, которые впоследствии можно применять в процессе конфигурации. Каждый макрос может состоять из одной или нескольких команд. Максимальное количество макросов доступных к созданию = 15.
Для создания макроса в режиме глобальной конфигурации следует задать имя конфигурируемому макросу по команде:
console(config)# macro name 1234
ввести требуемые команды с указанием переменных и символа объявления переменной (в данном примере символ "%"). По окончании ввода макроса следует ввести символ "@":
Enter macro commands, one per line. End with symbol '@'.
conf t
interface gi0/%1
switchport mode access
switchport access vlan %2
description %3
@
По требованию применить команду выполнения макроса. В примере для макроса 1234 на интерфейсе 1/0/6 назначить vlan 10 в режиме access и задать description c именем DESCRIPTION
console# macro apply 1234 %1 6 %2 10 %3 "DESCRIPTION"
Источник:
docs.eltex-co.ru
Коммутаторы позволяют настроить работу протокола SNMP для удаленного мониторинга и управления устройством. Устройство поддерживает протоколы версий SNMPv1, SNMPv2, SNMPv3. Настройка SNMPv1 отличается от настройки SNMPv2 только устанавливаемой версией.
Базовая настройка SNMP на чтение и запись:console(config)# snmp user ReadUser
console(config)# snmp user WriteUser
console(config)# snmp group ReadGroup user ReadUser security-model v2c
console(config)# snmp group WriteGroup user WriteUser security-model v2c
console(config)# snmp community index 1 name private security WriteUser
console(config)# snmp community index 2 name public security ReadUser
console(config)# snmp access ReadGroup v2c read iso_test
console(config)# snmp access WriteGroup v2c read iso_test write iso_test
console(config)# snmp view iso_test 1 included
Примечание: Начиная с версии ПО 10.3.6, появилась возможность задать IP-адрес для доступа к SNMP community. Пример команды:snmp community index 1 name private security WriteUser 192.168.1.1
Примечание: На коммутаторах этих линеек по умолчанию установлен одинаковый EngineID 80.00.08.1c.04.46.53, поэтому необходимо указывать уникальные EngineID при настройке SNMP. Пример EngineID на основе MAC-адреса коммутатора:console(config)# snmp engineid cc.9d.a2.66.24.c0
Настройка отправки SNMP-trap на адрес 192.168.2.1:console(config)# snmp user TrapUser
console(config)# snmp community index 3 name publictrap security TrapUser
console(config)# snmp group TrapGroup user TrapUser security-model v2c
console(config)# snmp access TrapGroup v2c notify iso_test
console(config)# snmp view iso_test 1 included
console(config)# snmp targetaddr FirstHost param TrapParams 192.168.2.1 taglist TrapTag
console(config)# snmp targetparams TrapParams user TrapUser security-model v2c message-processing v2c
console(config)# snmp notify TrapNotify tag TrapTag type Trap
Настроенные по умолчанию события для отправки SNMP Trap:console#sh snmp traps
Trap Status
---------------------------------- --------
coldstart Enable
warmstart Enable
authentication-failure-traps Disable
errdisable-storm-control Enable
errdisable-loopback-detection Enable
errdisable-udld Enable
dry-contacts Disable
Trap Enabled on queue number
------------------------ -----------------------
cpu-rate-limit disabled
Trap Enabled on ports
------------------------ --------------------------------------
Link Status gi 0/1, gi 0/2, gi 0/3, gi 0/4, gi 0/5
gi 0/6, gi 0/7, gi 0/8, gi 0/9, gi 0/10
gi 0/11, gi 0/12, gi 0/13, gi 0/14, gi 0/15
gi 0/16, gi 0/17, gi 0/18, gi 0/19, gi 0/20
gi 0/21, gi 0/22, gi 0/23, gi 0/24, gi 0/25
gi 0/26, gi 0/27, gi 0/28, po 1, po 2
po 3, po 4, po 5, po 6, po 7
po 8
MAC learning disabled
MAC removing disabled
Каждое событие возможно исключить/включить:console(config)# snmp enable traps ?
coldstart coldStart trap
cpu CPU related configuration
dry-contacts Dry contacts related configuration
errdisable Errdisable traps
snmp SNMP related configuration
warmstart warmStart trap
Link-status отдельно для каждого порта:console(config)# interface gigabitethernet 0/1
console(config-if)# snmp trap ?
link-status Trap link status configuration
mac-address-table MAC address table traps
Видео по настройке SNMP:
Источник:
docs.eltex-co.ru
Коммутаторы позволяют настроить работу протокола SNMP для удаленного мониторинга и управления устройством. Устройство поддерживает протоколы версий SNMPv1, SNMPv2, SNMPv3.
Ниже приведен пример настройки SNMPv3 пользователя без аутентификации и без шифрования, пользователя только с аутентификацией и пользователя с шифрованием и аутентификацией:console(config)# snmp user UserNoAuthNoPriv
console(config)# snmp user UserAuthNoPriv auth md5 PasswordAuthMD5
console(config)# snmp user UserAuthPriv auth sha PasswordAuthSHA priv DES PasswordPrivDES
console(config)# snmp group GroupNoAuthNoPriv user UserNoAuthNoPriv security-model v3
console(config)# snmp group GroupAuthNoPriv user UserAuthNoPriv security-model v3
console(config)# snmp group GroupAuthPriv user UserAuthPriv security-model v3
console(config)# snmp access GroupNoAuthNoPriv v3 noauth read iso write iso notify iso
console(config)# snmp access GroupAuthNoPriv v3 auth read iso write iso notify iso
console(config)# snmp access GroupAuthPriv v3 priv read iso write iso notify iso
console(config)# snmp view iso 1 included
Примечание: На коммутаторах этих линеек по умолчанию установлен одинаковый EngineID 80.00.08.1c.04.46.53, поэтому необходимо указывать уникальные EngineID при настройке SNMP. Пример EngineID на основе MAC-адреса коммутатора:console(config)# snmp engineid cc.9d.a2.66.24.c0
Пример команды SNMPv3 из консоли Linux OS:snmpwalk -v3 -u "username" -a SHA -A "auth_password" -x DES -X "priv_password" -l authPriv 192.168.1.141 iso.3.6.1.2.1.1.5.0
Источник:
docs.eltex-co.ru
Технология "Dying gasp" позволяет проинформировать администратора сети при отключении питания от коммутатора через отправку syslog сообщения или snmp-trap, а также с помощью пакетов ethernet OAM.
Если коммутатор аппаратно поддерживает технологию "Dying gasp", то есть возможность настроить отправку сообщения по протоколу syslog или snmp trap в момент отключения электропитания от устройства.
Информация о том, какие устройства аппаратно поддерживают Dying gasp, можно найти в "Руководстве пользователя" в таблице 9 – Основные технические характеристики.
1) Настраиваем SYSLOG сервер на устройстве. В примере используется настройка severity от 0 до 6console(config)# logging-server ipv4 192.168.2.2
Сообщения DG отправляются с уровнем emergencies (0).
2) Настраиваем отправку SNMP trap. Community private, сервер 192.168.2.2console(config)# snmp user SimpleUser
console(config)# snmp community index 1 name private security SimpleUser
console(config)# snmp group SimpleGroup user SimpleUser security-model v2c
console(config)# snmp access SimpleGroup v2c read iso write iso notify iso
console(config)# snmp view iso 1 included
console(config)# snmp targetaddr SimpleHost param SimpleParams 192.168.2.2 taglist SimpleTag
console(config)# snmp targetparams SimpleParams user SimpleUser security-model v2c message-processing v2c
console(config)# snmp notify SimpleNotify tag SimpleTag type Trap
3) Для отправки информации по Dying gasp необходимо обязательно настроить OAM на портуconsole(config)# set ethernet-oam enable
console(config)# interface gigabitethernet 0/2
console(config-if)# ethernet-oam enable
Можно проверить работу функционала DG в частном случае, проверив общую работу Ethernet OAM следующим образом:console(config)# interface tengigabitethernet 0/1
console(config-if)# ethernet-oam enable
console(config-if)# ethernet-oam disable
Как только ethernet-oam на Uplink-порту будет отключён, коммутатором будет отправлен SNMPTRAP со значением 258 в OID 1.3.6.1.2.1.158.1.6.1.4.{ifIndex}.
При непосредственном событии Dying Gasp коммутатором в этом поле будет отправлено значение 257 (в случае, когда функционал поддержан аппаратно).
OID, который отвечает за само событие отключения питания:
1.3.6.1.2.1.158.0.2 - dot3OamNonThresholdEvent
Остальные OID:
Uptime - 1.3.6.1.2.1.1.3.0
timestamp snmptrap - 1.3.6.1.2.1.158.1.6.1.2.{ifIndex}
OUI OAM-пакета - 1.3.6.1.2.1.158.1.6.1.3.{ifIndex}
Тип события - 1.3.6.1.2.1.158.1.6.1.4.{ifIndex} (значение 257 указывает на Dying Gasp)
Событие произошло локально (значение 1) или от соседнего устройства (значение 2) - 1.3.6.1.2.1.158.1.6.1.5.{ifIndex}
Количество событий - 1.3.6.1.2.1.158.1.6.1.12.{ifIndex}
Источник:
docs.eltex-co.ru
В данной статье приведен пример просмотра принадлежности портов к VLAN по SNMP.
Порядок действий при просмотре информации о принадлежности порта к VLAN по SNMP должен быть следующим:
1. Просматриваем режимы работы портов:
snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.4.1.2076.65.1.10.1.2
iso.3.6.1.4.1.2076.65.1.10.1.2.1 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.2 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.3 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.4 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.5 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.6 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.7 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.8 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.9 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.10 = INTEGER: 3 - general
2. Trunk-порты пропускают все активные vlan. Поэтому выводим таблицу, отображающую состояние активности vlan:
snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.5
iso.3.6.1.2.1.17.7.1.4.3.1.5.1 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.2 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.3 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.4 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.5 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.6 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.7 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.8 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.9 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.10 = INTEGER: 1
Видим, что созданы и активны vlan с 1 по 10. Это означает, что через порты 7-9 проходят vlan 1-10 (не учитывая native vlan, которые определим ниже).
3. Обращаемся к oid, отвечающему за access vlan/pvid/native vlan на портах:
snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.5.1.1
iso.3.6.1.2.1.17.7.1.4.5.1.1.1 = Gauge32: 2 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 2
iso.3.6.1.2.1.17.7.1.4.5.1.1.2 = Gauge32: 3 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 3
iso.3.6.1.2.1.17.7.1.4.5.1.1.3 = Gauge32: 1 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.4 = Gauge32: 6 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 6
iso.3.6.1.2.1.17.7.1.4.5.1.1.5 = Gauge32: 4 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 4
iso.3.6.1.2.1.17.7.1.4.5.1.1.6 = Gauge32: 4 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 4
iso.3.6.1.2.1.17.7.1.4.5.1.1.7 = Gauge32: 1 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.8 = Gauge32: 1 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.9 = Gauge32: 7 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 7
iso.3.6.1.2.1.17.7.1.4.5.1.1.10 = Gauge32: 1 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 1
На данном этапе мы уже определили однозначную принадлежность vlan для портов 1,2,6,7,8,9:
порт 1 - access vlan 2;
порт 2 - access vlan 3;
порт 6 - access vlan 4;
порт 7 - trunk vlan 2-10, native vlan 1;
порт 8 - trunk vlan 2-10, native vlan 1;
порт 9 - trunk vlan 1-6, 8-10, native vlan 7;
порт 10 - general vlan 1 (дефолтная конфигурация).
Продолжаем:
4. Выведем таблицу отображения untagged-портов (также нужно учитывать, что в данной таблице отображаются native vlan для trunk-портов) для vlan:
snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.4
iso.3.6.1.2.1.17.7.1.4.3.1.4.1 = Hex-STRING: 23 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порты 3,7,8,10 - untagged для vlan 1;
iso.3.6.1.2.1.17.7.1.4.3.1.4.2 = Hex-STRING: 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 1 - access - vlan 2;
iso.3.6.1.2.1.17.7.1.4.3.1.4.3 = Hex-STRING: 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 2 - access - vlan 3;
iso.3.6.1.2.1.17.7.1.4.3.1.4.4 = Hex-STRING: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 6 - access - vlan 4;
iso.3.6.1.2.1.17.7.1.4.3.1.4.5 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.6 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.7 = Hex-STRING: 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 9 - trunk - native vlan 7;
iso.3.6.1.2.1.17.7.1.4.3.1.4.8 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.9 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.10 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
5. Выведем таблицу отображения для интерфейсов vlan "1.3.6.1.2.1.17.7.1.4.3.1.2" для вычисления портов, работающих в режиме tagged. В данной таблице присутствуют ВСЕ порты, входящие во vlan, вне зависимости от принадлежности к тегированному или не тегированному режиму порта. По этой причине, чтобы определить порты, работающие в режиме tagged, требуется сравнивать выводы двух таблиц (этой и предыдущей). В случае, если порт присутствует в выводе обоих таблиц - порт работает в режиме untagged. Если порт присутствует только в одной, нижеприведенной таблице, - значит порт работает в режиме tagged.
В выводе предоставлены данные по всем созданным vlan:
snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.2
iso.3.6.1.2.1.17.7.1.4.3.1.2.1 = Hex-STRING: 23 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.2 = Hex-STRING: 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.3 = Hex-STRING: 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.4 = Hex-STRING: 24 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 3 имеет tag vlan 4 в режиме general. порт 6 не разбираем (порт работает в режиме untagged)
iso.3.6.1.2.1.17.7.1.4.3.1.2.5 = Hex-STRING: 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 4 имеет tag vlan 5 в режиме general.
iso.3.6.1.2.1.17.7.1.4.3.1.2.6 = Hex-STRING: 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 5 имеет tag vlan 6 в режиме general.
iso.3.6.1.2.1.17.7.1.4.3.1.2.7 = Hex-STRING: 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.8 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.2.9 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.2.10 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Суммируем все полученные значения по всем таблицам:
1 порт - режим access vlan 2
2 порт - режим access vlan 3
3 порт - режим general vlan 4
4 порт - режим general vlan 5 + pvid 6
5 порт - режим general vlan 6 + pvid 4
6 порт - режим access vlan 4
7 порт - режим trunk vlan 2-10
8 порт - режим trunk vlan 2-10
9 порт - режим trunk vlan 1-6,8-10 + native vlan 7
10 порт - режим general vlan 1
В конфигурации это выглядит так:!
interface gigabitethernet 0/1
switchport mode access
switchport access vlan 2
no shutdown
!
interface gigabitethernet 0/2
switchport mode access
switchport access vlan 3
no shutdown
!
interface gigabitethernet 0/3
switchport general allowed vlan add 4
no shutdown
!
interface gigabitethernet 0/4
switchport general allowed vlan add 5
switchport general pvid 6
no shutdown
!
interface gigabitethernet 0/5
switchport general allowed vlan add 6
switchport general pvid 4
no shutdown
!
interface gigabitethernet 0/6
switchport mode access
switchport access vlan 4
no shutdown
!
interface gigabitethernet 0/7
switchport mode trunk
no shutdown
!
interface gigabitethernet 0/8
switchport mode trunk
no shutdown
!
interface gigabitethernet 0/9
switchport mode trunk
switchport trunk native vlan 7
no shutdown
!
interface gigabitethernet 0/10
no shutdown
!
Источник:
docs.eltex-co.ru
Создадим локального пользователя test с уровнем привилегий 15 по SNMP и паролем 111 от имени пользователя admin/admin:
fsusrMgmtEntry 1.3.6.1.4.1.29601.2.70.2.1.1 - базовая ветвь
<длина_строки>.<новый_username_в_ASCII>.<длина_строки>.<юзер_который_вносит_изменения_в_ASCII>.<двоеточие_в_ASCII>.<пароль_в_ASCII>
В нашем случае необходимо закодировать в ASCII следующую строчку:
4.test.11.admin:admin
Сначала необходимо установить значение поля fsusrMgmtUserRowStatus (8) в "CreateAndWait" (5):
snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.8.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 i 5
Установим пароль 111:
snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.3.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 s "111"
Назначим уровень привилегий 15:
snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.4.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 u 15
Сделаем пользователя test активным - установить значение поля fsusrMgmtUserRowStatus (8) в "active" (1):
snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.8.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 i 1
Источник:
docs.eltex-co.ru
Создание ACL на коммутаторах MES24хх c помощью snmpset осуществляется в два этапа:
1. Создаем ACL
snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 5 - создание ACL и ожидание применения
2. Добавление параметров ACL
snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.3.1001 i 255 \ - настройка протокола IP (255 значение по умолчанию)
1.3.6.1.4.1.29601.2.21.3.1.1.6.1001 i 1 \ - настройка IPv4/IPv6 (по умолчанию IPv4 -1, IPv6 - 2)
1.3.6.1.4.1.29601.2.21.3.1.1.7.1001 x "0B0B0B00" \ - IP-адрес назначения (hex-формат)
1.3.6.1.4.1.29601.2.21.3.1.1.9.1001 u 24 \ - префикс (маска) назначения
1.3.6.1.4.1.29601.2.21.3.1.1.8.1001 x "c0a80f00" \ - IP-адрес источника (hex-формат)
1.3.6.1.4.1.29601.2.21.3.1.1.10.1001 u 24 \ - префикс (маска) источника
1.3.6.1.4.1.29601.2.21.3.1.1.22.1001 i 1 \ - действие для правила (по умолчанию permit -1, deny -2)
1.3.6.1.4.1.29601.2.21.3.1.1.15.1001 x "8000000000000000" \ - назначение на физический интерфейс Gi0/1
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 1 - переключение ACL в активное состояние
В результате на коммутаторе создан access-list extended 1001 и назначен на интерфейс Gi0/1
ip access-list extended 1001
permit ip 192.168.15.0 255.255.255.0 11.11.11.0 255.255.255.0
!
interface gigabitethernet 0/1
ip access-group 1001 in
Примечание:
Для изменения любого параметра ACL необходимо его перевести в неактивное состояние.
snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 2
Источник:
docs.eltex-co.ru
Модели коммутаторов MES с суффиксом ‘P’ в обозначении поддерживают электропитание устройств по линии Ethernet в соответствии с рекомендациями IEEE 802.3af (PoE) и IEEE 802.3at (PoE+). Эксплуатировать коммутаторы необходимо только с заземлённым корпусом.
При возникновении проблем с питанием PoE устройств понять возможную причину проблемы можно, используя команды:
1) Команда позволяющая посмотреть состояние электропитания всех интерфейсов, поддерживающих питание по линии PoE:
Из вывода видно, что на девятом порту находится РоЕ устройство класса 3.
2) Посмотреть состояние электропитания конкретного интерфейса можно следующей командой:
show power inline проблемный порт
Из вывода в динамике, используя счетчики ошибок, можно определить возможные причины конфликтов в подаче PoE. Пример:
Status | Оперативное состояние электропитания порта. Возможные значения:
|
Overload Counter | Счетчик количества случаев перегрузки по электропитанию |
Short Counter | Счетчик случаев короткого замыкания |
Invalid Signature Counter | Счетчик ошибок классификации подключенных PoE-устройств |
Power Denied Counter | Счетчик случаев отказа в подаче электропитания |
MPS Absent Counter | Счетчик случаев прекращения электропитания из-за отключения питаемого устройства |
3) Следующая команда отображает характеристики потребления мощности всех PoE-интерфейсов устройства:
show power inline consumption
4) Рекомендуется провести тест tdr для проверки целостности витой пары, с помощью которой подключается потребитель PoE. Убедиться, что статусы пар выдают состояние "OK". В случае обнаружения статусов "Cross" или "Short" рекомендуется произвести замену медного кабеля.
Каждая отдельная проблема с подачей питания по PoЕ требуют индивидуальной подхода к решению, проблема может быть на стороне конечного устройства РоЕ, кабеля или коммутатора.
При обращении в службу технической поддержки необходимо предоставить выводы вышеперечисленных команд, а также команды show bootvar, show logging
Источник:
docs.eltex-co.ru
На коммутаторах серии MES14xx, MES24xx, MES3400-xx, MES37хх есть возможность запуска отладочных команд debug. Перед запуском команд следует настроить вывод отладочной информации в локальную сессию по консоли, в удаленную сессию или в файл на флеш.
Настройки в локальную сессию (при подключении по консоли):config#debug-logging console
console(config)#debug console
Вывод в текущую удаленную сессию:console#debug terminal take
console(config)#debug console
Вывод информации в файлconsole(config)#debug-logging file
Файл с логами находится в директории dir LogDir/Debug
Источник:
docs.eltex-co.ru
Бывают случаи, когда коммутаторы недоступны удаленно, при этом услуги клиентам предоставляются. Что требуется выяснить:
1) После каких действий возникла проблема. Сама по себе или после настроек?
2) Отвечает ли коммутатора на icmp, snmp?
3) Подключиться консолью и выполнить следующие команды:
show tech-support
dump task name
dump sockets
Результаты выполнения команд сохранить в отдельный файл. Для восстановления управления перезагрузить устройство по питанию.
4) Оставить заявку на нашем сайте https://eltexcm.ru/services/tehnicheskaya-podderzhka.html. Подробно описать проблему, приложить снятые выводы.
Источник:
docs.eltex-co.ru
Выполнение команд можно остановить двойным нажатием на клавишу Esc.
Источник:
docs.eltex-co.ru
При эксплуатации коммутаторов в сетях клиентов могут возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%.
Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, статистике и утилизации CPU, полученная в момент проблемы.
Команды необходимо выполнять в момент проблемы 5 раз с интервалом 20 секунд:show env cpu
show cpu rate limit
show env tasks
Далее снять:show tech-sup
Все выводы команд необходимо сохранить в файл и приложить к заявке. Обращение в техническую поддержку можно осуществить на нашем сайте https://eltexcm.ru/services/tehnicheskaya-podderzhka.html.
Примечание: Подробное описание процессов, которые вызывают загрузку CPU можно посмотреть в руководстве по эксплуатации Приложение Г.
Источник:
docs.eltex-co.ru
Для этого необходимо воспользоваться командой:console# show fiber-ports optical-transceiver gigabitethernet gi_port | tengigabitethernet te_port
Пример:console# show fiber-ports optical-transceiver gi0/9
Port Temp Voltage Current Output Input LOS Transceiver
[C] [V] [mA] Power Power Type
[mW / dBm] [mW / dBm]
----------- ------ ------- -------- ------------- -------------- ---- -------------
gi1/0/9 23.6 3.304 22.550 0.27 / -5.65 0.00 / -40.00 Yes Fiber
Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts/dBm
Input Power - Measured RX received power in milliWatts/dBm
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, E - error
Transceiver information:
Vendor name: OEM
Serial number: S1C53253701826
Part number: APSB53123CDS20
Vendor revision: 1.00
Connector type: SC
Transceiver type: SFP/SFP+
Compliance code: 1000BASE-BX10
Laser wavelength: 1550 nm
Transfer distance: 20000 m
Diagnostic: Supported
Источник:
docs.eltex-co.ru
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
console# show interfaces counters interface-id
Например,
sh interfaces counters GigabitEthernet 0/5
Port | InOctets | InUcast | InMcast | InBcast | InDiscard | InErrs | InHCOctet |
gi1/0/5 | 110684852 | 52554 | 133762 | 48 | 5 | 0 | 110684852 |
Port | OutOctets | OutUcast | OutMcast | OutBcast | OutDiscard | OutErrs | OutHCOctet |
gi1/0/5 | 71762424 | 42121 | 81577 | 22 | 0 | 0 | 71762424 |
InOctets - Количество принятых байтов.
InUcast -Количество принятых одноадресных пакетов.
InMcast - Количество принятых многоадресных пакетов.
InBcast - Количество принятых широковещательных пакетов.
OutOctets - Количество переданных байтов.
OutUcast - Количество переданных одноадресных пакетов.
OutMcast - Количество переданных многоадресных пакетов.
OutBcast - Количество переданных широковещательных пакетов
InDiscard - Количество отброшенных пакетов на приеме
OutDiscard - Количество отброшенных пакетов на передаче
InErrs - Количество ошибок на приеме
OutErrs - Количество ошибок на передаче
InHCOctet - Количество принятых 64-битных пакетов
OutNCOctet - Количество переданных 64-битных пакетов
Источник:
docs.eltex-co.ru
console# test cable-diagnostics tdr interface GigabitEthernet 1/0/5
Port | Pair | Result | Lenght [m] | Date |
gi1/0/5 | 1-2 | Open | 1 | 24-Mar-2014 10:16:22 |
3-6 | Open | 1 | ||
4-5 | Open | 1 | ||
7-8 | Open | 1 |
Обрыв на расстоянии 1м по каждой паре.
Источник:
docs.eltex-co.ru
Oрганизуем мониторинг трафика с порта GigabitEthernet 0/1-2 через порт GigabitEthernet 0/3 навесив vlan 200 на весь отзеркалированный трафик. На промежуточных коммутаторах, где прописан vlan 200, должен быть отключен mac learning в данном vlan
config ter
vlan 200
vlan active
exit
monitor session 1 source interface gigabitethernet 0/1
monitor session 1 source interface gigabitethernet 0/2
monitor session 1 destination remote vlan 200
monitor session 1 destination interface gigabitethernet 0/3
Отключение mac-learning:vlan 200
set unicast-mac learning disable
Источник:
docs.eltex-co.ru
Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.
Существует возможность настроить до 4-х сессий зеркалирования.
К контролирующему порту применяются следующие ограничения:
- Порт не может быть контролирующим и контролируемым портом одновременно;
- IP-интерфейс должен отсутствовать для этого порта;
К контролируемым портам применяются следующие ограничения:
- Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки SPAN:
Организуем мониторинг трафика с портов GigabitEthernet 0/1, GigabitEthernet 0/2 на порт GigabitEthernet 0/3.
console(config)#monitor session 1 source interface gigabitethernet 0/1
console(config)#monitor session 1 source interface gigabitethernet 0/2
console(config)#monitor session 1 destination interface gigabitethernet 0/3
В выводе команды show monitor session X, где Х - это номер сессии можно просмотреть информацию по контролирующим и контролируемым портам:console#show monitor session 1
Mirroring is globally Enabled.
Session : 1
-------
Source Ports
Rx : None
Tx : None
Both : Gi0/1,Gi0/2
Destination Ports : Gi0/3
Session Status : Active
Rspan Disabled
Источник:
docs.eltex-co.ru
Для настройки удаленного зеркалирования, где трафик из физических интерфейсов или из vlan зеркалируется в несколько аплинков, можно воспользоваться следующей схемой
Где gi0/5 — контролируемый порт;
gi0/1, gi0/2 — аплинки;
gi0/3, gi0/4 — физическая петля для QinQ
Трафик с контролируемого порта gi0/5 зеркалируется с помощью SPAN на gi0/3, с этого порта трафик выходит в тех vlan, что и изначально.
Порт gi0/3 физически соединён с портом gi0/4, где на весь зеркалируемый трафик добавляется вторая метка 100. В этом vlan зеркалированный трафик будет передаваться дальше через аплинки, поэтому на промежуточных коммутаторах, где прописан vlan 100, должен быть отключен mac learning в данном vlan.
vlan 10,100
vlan active
!
vlan 100
set unicast-mac learning disable
!
interface gigabitethernet 0/1
switchport general allowed vlan add 10,100
!
interface gigabitethernet 0/2
switchport general allowed vlan add 10,100
!
interface gigabitethernet 0/3
spanning-tree disable
spanning-tree bpdu-receive disabled
spanning-tree bpdu-transmit disabled
!
interface gigabitethernet 0/4
spanning-tree disable
switchport acceptable-frame-type untaggedAndPriorityTagged
switchport mode access
switchport access vlan 100
switchport dot1q tunnel
!
interface gigabitethernet 0/5
switchport mode access
switchport access vlan 10
!
!
monitor session 1 destination interface gigabitethernet 0/3
monitor session 1 source interface gigabitethernet 0/5 both
!
end
Источник:
docs.eltex-co.ru
Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.
Рассмотрим несколько типовых примеров настройки SQinQ
1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30. Конфигурация выглядит следующим образом:
interface gigabitethernet 0/11
switchport mode general
switchport general allowed vlan add 31
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress-vlan 31
selective-qinq list ingress add-vlan 30
exit
!
interface gigabitethernet 0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit
2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4:
interface gigabitethernet 0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress add-vlan 4 ingress-vlan 234,324,657
exit
3) Для vlan 68,456,905 добавить метку 3. Остальной трафик отбросить.
interface gigabitethernet 0/2
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress deny
exit
4) Для всего трафика приходящего на порт 15 добавить метку 30
interface gigabitethernet 0/15
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit
или
interface gigabitethernet 0/15
switchport mode access
switchport access vlan 30
switchport dot1q tunnel
exit
5) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68
interface gigabitethernet 0/8
switchport mode general
switchport general allowed vlan add 3,4
selective-qinq list ingress override-vlan 3 ingress-vlan 856
selective-qinq list ingress override-vlan 4 ingress-vlan 68
selective-qinq list egress override-vlan 856 ingress-vlan 3
selective-qinq list egress override-vlan 68 ingress-vlan 4
exit
Источник:
docs.eltex-co.ru
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
console(config-if)# switchport forbidden default-vlan
Источник:
docs.eltex-co.ru
С целью повышения безопасности в коммутаторе существует возможность настроить какой-либо порт так, чтобы доступ к коммутатору через этот порт предоставлялся только заданным устройствам. Функция защиты портов основана на определении МАС-адресов, которым разрешается доступ.
Существует несколько режимов работы port security.
1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов
Пример настройки port-security в режиме lock. Данный режим также добавляет все MAC-адреса статически в конфигурацию show run
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
Настройка MAC-адреса в port-security в ручном режиме. После ввода команды настройка отображается как в выводе show run, так и в выводе show mac-address-table, с пометкой Static в типе записи.console(config)# mac-address-table static unicast aa:bb:cc:dd:00:11 vlan X interface gi 0/X
2) Режим max-address удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение разрешены.
Пример настройки максимального количества MAC адресов, которое может изучить порт:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode max-addresses
- Задать максимальное количество адресов, которое может изучить порт, например, 10:
console(config-if)# switchport port-security mac-limit 10
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
3) Режим secure-delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.
Пример настройки secure-delete-on-reset:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode secure-delete-on-reset
- Задать максимальное количество адресов, которое может изучить порт, например, 2:
console(config-if)# switchport port-security mac-limit 2
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
После настройки порта на нем возможно изучение 2х новых мак-адресов.
4) Режим secure-permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке
Пример настройки:
- Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode secure-permanent
- Задать максимальное количество адресов, которое может изучить порт, например, 2:
console(config-if)# switchport port-security mac-limit 2
- Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
После настройки порта на нем возможно изучение 2х новых мак-адресов. Адреса сохранятся после перезагузки
Настройка режима реагирования возможна в 3х режимах:
- protect - в данном режиме оповещения о нарушении безопасности нет. Включает перехват МАС-адресов, которые должны быть отброшены, на CPU, после чего MAC-адреса помечаются как заблокированные и отбрасываются в течение aging-time. Режим по умолчанию.
- restrict - в данном режиме при нарушении безопасности отправляется SYSLOG-сообщение на SYSLOG-сервер.
- discard-shutdown - в данном режиме кадры с неизученными МАС-адресами источника отбрасываются, порт отключается. Поддерживается начиная с версии ПО 10.3.3.
Пример настройкиconsole(config-if)# switchport port-security violation restrict
show-команды:
show run
show mac-address-table
Источник:
docs.eltex-co.ru
Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-фреймов могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация фреймов, относящихся к фреймам VoIP-оборудования, базируется на OUI ( Organizationally Unique Identifier – первые 24 бита MAC-адреса) отправителя.
Функционал настраивается в 2 этапа:
1) Добавление Voice VLAN на стороне коммутатора
а) Динамически на основе OUI входящего фрейма:
Назначение Voice VLAN для интерфейса происходит автоматически - когда на порт поступает фрейм с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN – данный порт добавляется во VLAN как tagged. Voice VLAN может быть активирован на портах, работающих в режиме general. На портах, работающих в режиме trunk, voice VLAN всегда задается автоматически.
Активировать voice VLAN и добавить запись в таблицу OUI для используемого телефона:console(config)# voice vlan id 10
console(config)# voice vlan oui-table add 68:13:e2
console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan
б) Статически:console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10
2) Назначение Voice VLAN на стороне оконечного оборудования
а) С помощью lldp-med политик
ID Voice VLAN будет присвоен VoIP оборудованию с помощью lldp-med фреймов. Инициатором получения Voice VLAN в данном случае является VoIP-оборудование.
Включить LLDP на коммутаторе, настроить интервал отправки:console(config)# set lldp enable
console(config)# lldp transmit-interval 20
В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.
Привязать lldp-med политику, активировать voice vlan для интерфейса:console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 20 untagged
console(config-if)# switchport general pvid 20
console(config-if)# switchport voice vlan
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 10 Priority 4 dscp 0
Если требуется пропустить два Voice VLAN в рамках одного коммутатора на разных портах, то воспользуемся следующей конфигурацией:
console(config)# set lldp enable
console(config)# lldp transmit-interval 20
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan 10
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 10 Priority 4 dscp 0
console(config)# interface gigabitethernet 0/2
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan 11
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 11 Priority 4 dscp 0
б) Назначение Voice VLAN по DHCP
В ответе от DHCP-сервера присутствует опция 132 (VLAN ID), с помощью которой устройство автоматически назначает себе VLAN для маркировки трафика (Voice VLAN).
Данная схема не получила широкого применения.
Существует ещё 1 вариант настройки Voice VLAN.
Если VoIP-оборудование и ПК подключены к одному порту коммутатора и оба устройства передают нетегированный трафик, то для настройки отдельного VLAN для телефонии можно воспользоваться функцией map mac. В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.
Настраиваем map mac, где используем MAC-адрес телефона:console(config)# vlan 10,20
console(config-vlan)# vlan active
console(config-vlan)# exit
console(config)# map mac 20:bb:c0:00:00:00 ff:ff:ff:00:00:00 macs-group 1
Выполняем настройку порта коммутатора:console(config)# interface gigabitethernet 0/3
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10,20 untagged
console(config-if)# switchport general pvid 20
console(config-if)# switchport map macs-group 1 vlan 10
Источник:
docs.eltex-co.ru
Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой необходимо воспользоваться функцией изоляция портов.
Данная функция позволяет изолировать группу портов (в пределах одного коммутатора), находящихся в одном широковещательном домене между собой, позволяя при этом обмен трафиком с другими портами, находящимися в этом же широковещательном домене, но не принадлежащими к этой группе.
Например, необходимо на MES2428 изолировать порты Gigabit Ethernet 0/1 и Gigabit Ethernet 0/2.
Для этого нужно включить функцию на данных портах:console# configure
console(config)# interface range GigabitEthernet 0/1-2
console(config-if-range)# switchport protected
Также возможно разрешить обмен трафиком только между определенными портами.
Например, необходимо разрешить прохождение трафика между Gi0/3 и Gi0/4 и запретить прохождение трафика в другие, не включённые в данную группу:
console(config)# interface GigabitEthernet 0/3
console(config-if)# port-isolation gi 0/4
console(config)# interface GigabitEthernet 0/4
console(config-if)# port-isolation gi 0/3
Для того, чтобы добавить дополнительные порты, необходимо воспользоваться опцией add при настройке порта, иначе текущая группа затрётся:
console(config-if)# port-isolation add gi 0/5
Получается следующая конфигурация (аналогично нужно сделать и на остальных портах, входящих в группу):
interface gigabitethernet 0/3
port-isolation add gi 0/4-5
Источник:
docs.eltex-co.ru
console(config-if)# no ip address dhcp
Например, отключить DHCP-клиент на интерфейсе VLAN 2
console(config)# interface vlan 2
console(config-if)# no ip address dhcp
Источник:
docs.eltex-co.ru
Выполнить команду и подтвердить её исполнение в глобальном режиме конфигурации:
console(config)# default interface gi0/10
Configuration for these interfaces will be set to default.
It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y
Источник:
docs.eltex-co.ru
Для фильтрации PVST, Rapid PVST stp bpdu на коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх необходимо использовать MAC ACL. Команда spanning-tree bpdufilter фильтрует stp bpdu для режимов STP/RSTP/MST (DST MAC 01:80:c2:00:00:00 )
Настройка MAC ACL для фильтрации PVST, Rapid PVST stp bpdu (DST MAC 01:00:0c:cc:cc:cd)
mac access-list extended 1
deny any host 01:00:0c:cc:cc:cd
mac access-list extended 100
interface gigabitethernet 0/23
mac access-group 1 in
mac access-group 100 in
Источник:
docs.eltex-co.ru
При распространении STP BPDU от Root Bridge каждый последующий коммутатор в кольце увеличивает значение "Message Age" на время задержки (обычно 1). Как только это значение превысит максимальное пороговое значение ("Max Age", по умолчанию 20), STP BPDU далее этого коммутатора распространяться не будут.
При большом количестве коммутаторов в кольце (при удалении от Root Bridge более чем на 20 коммутаторов) требуется увеличить параметр "Max Age" на всех коммутаторах в кольце.
Настройка для протоколов STP/RSTP:console(config)#spanning-tree max-age
(6-40) Value representing maximum age
Настройка для протоколов PVST/RPVST:console(config)#vlan ID
console(config-vlan)#spanning-tree max-age
(6-40) Value representing maximum age
При задании STP параметров forward-time, hello-time, max-age необходимо выполнение условия: 2*(Forward-Delay - 1) ⩾ Max-Age ⩾ 2*(Hello-Time + 1).
Пример настройки:console(config)# spanning-tree forward-time 20
console(config)# spanning-tree hello-time 5
console(config)# spanning-tree max-age 38
Для протокола MSTP также дополнительно требуется настроить max-hops (по умолчанию 20):
console(config)# spanning-tree mst max-hops
(6-40) Value representing maximum hops
Источник:
docs.eltex-co.ru
Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.
Примечание: Максимально допустимое количество экземпляров MSTP – 64.
Пример настройки MSTP:spanning-tree mode mst
!
spanning-tree mst configuration
name test
revision 1
instance 1 vlan 2,10
instance 2 vlan 70-89
instance 3 vlan 101-102
exit
Примечание: По умолчанию все vlan'ы находятся в 0 instance.
Источник:
docs.eltex-co.ru
Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии. Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.
Основные понятия и термины:
- RPL (Ring Protection Link) - резервный линк между коммутаторами, который будет заблокирован механизмом ERPS при нормальном режиме работы кольца (IDLE);
- RPL Owner - коммутатор, подключенный к RPL, который блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;
- RPL Neighbor - коммутатор, напрямую связанный с RPL Owner через RPL Link. Также блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;
- R-APS (Ring - Automatic Protection Switching) - протокол обмена сообщениями, определенный в Y.1731 и в G.8032. Используется для координации действий по защите кольца;
- RAPS VLAN (A-RPS Channel) - служебный VLAN, в котором передаются R-APS PDUs;
- Protected VLAN - VLANs для передачи DATA трафика. RPL Link блокирует передачу только в Protected VLAN.
Таймеры:
- Hold-Off Timer - используется при падении линка. На коммутаторах кольца, зафиксировавших аварию, запускается Hold-Off Timer, по истечении которого отправляется R-APS PDU Signal Fail. По дефолту таймер настроен на 0 сек;
- Guard Timer - Запускается на коммутаторах, фиксирующих изменение топологии (падение/поднятие линка). При этом отправляется R-APS PDU и запускается Guard Timer, до тех пор пока таймер не истек, все входящие R-APS pdu игнорируются. По дефолту таймер настроен на 500 мсек;
- WTR Timer - используется только RPL Owner для отложенной блокировки RPL порта. Таймер истечёт только в случае отсутствия изменений в топологии за время своего действия. По дефолту таймер настроен на 5 мин;
- Periodic Timer - интервал отправки R-APS PDUs.
Сообщения R-APS:
- Signal Fail (SF) - сигнализирует об обнаружении аварии;
- No Request (NR) - сигнализирует об устранении аварии или отсутствии сбоев в работе кольца;
- RPL Blocked (RB) - это сообщение отправляет RPL Owner и Neighbor, причем всегда совместно с No Request. Информирует о состоянии RPL линка.
Важно!!! При настройке протокола ERPS в мультивендорной среде необходимо, чтобы все таймеры и параметр MEL совпадали на всех участниках кольца.
Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS трафика в подкольце используется VLAN 100, защищает VLAN 300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.
В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual channel.
Конфигурация коммутатора SW1:!
hostname "SW1"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps owner tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.11 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
Конфигурация коммутатора SW2:!
hostname "SW2"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps neighbor tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.12 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
Конфигурация коммутатора SW3:!
hostname "SW3"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps interconnection-node primary
aps multiple-failure primary
aps working level 1
aps group active
!
aps group name Sub_ring ring group 2
aps working west tengigabitethernet 0/3 vlan 100
aps main ring id 1
aps interconnection-node secondary
aps multiple-failure secondary
aps working level 1
aps propagate-tc status enable
aps propagate-tc ring-ids 1
aps group active
!
interface vlan 400
ip address 192.168.0.13 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/3
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
!
Конфигурация коммутатора SW4:!
hostname "SW4"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps interconnection-node primary
aps multiple-failure primary
aps working level 1
aps group active
!
aps group name Sub_ring ring group 2
aps working west tengigabitethernet 0/3 vlan 100
aps main ring id 1
aps interconnection-node secondary
aps multiple-failure secondary
aps working level 1
aps propagate-tc status enable
aps propagate-tc ring-ids 1
aps group active
!
interface vlan 400
ip address 192.168.0.14 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/3
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
Конфигурация коммутатора SW5:!
hostname "SW5"
!
vlan 100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Sub_ring ring group 2
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 100
aps owner tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.15 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
Конфигурация коммутатора SW6:!
hostname "SW6"
!
vlan 100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Sub_ring ring group 2
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 100
aps neighbor tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.16 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
!
end
Команды для диагностики состояния кольца:show aps ring
show aps ring statistics
Источник:
docs.eltex-co.ru
GARP VLAN Registration Protocol (GVRP) – протокол VLAN-регистрации. Протокол позволяет распространить по сети идентификаторы VLAN. Основной функцией протокола GVRP является обнаружение информации об отсутствующих в базе данных коммутатора VLAN-сетях при получении сообщений GVRP. Получив информацию об отсутствующих VLAN, коммутатор добавляет её в свою базу данных, как Type - Dynamic Gvrp .
Пример настройки switch1
Распространить vlan 30 по сети.
switch1(config)# gvrp enable
switch1(config)# interface gigabitethernet0/1
switch1(config-if)# gvrp enable
switch1(config-if)# switchport mode general
switch1(config-if)# switchport general allowed vlan add 10,30
Пример настройки на switch2
switch2(config)# gvrp enable
switch2(config)# interface gigabitethernet0/2
switch2(config-if)# gvrp enable
switch2(config-if)# switchport mode general
switch2(config-if)# switchport general allowed vlan add 10
Проверить наличие Dynamic Gvrp vlan можно увидеть в выводе команды show vlan:
switch2#show vlan
...
----------------------------------------------------
Vlan ID : 10
Member Ports : gi 0/2
Untagged Ports : None
Forbidden Ports : None
Name :
Status : Permanent
Egress Ethertype : 0x8100
Service Loopback Status : Disabled
----------------------------------------------------
Vlan ID : 30
Member Ports : gi 0/2
Untagged Ports : None
Forbidden Ports : None
Name :
Status : Dynamic Gvrp
Egress Ethertype : 0x0
Service Loopback Status : Disabled
----------------------------------------------------
Источник:
docs.eltex-co.ru
Функция Layer2 Protocol Tunneling (L2PT) позволяет пропускать служебные пакеты различных L2-протоколов (PDU) через сеть провайдера, что позволяет «прозрачно» связать клиентские сегменты сети. L2PT инкапсулирует PDU на граничном коммутаторе, передает их на другой граничный коммутатор, который ожидает специальные инкапсулированные кадры, а затем декапсулирует их, что позволяет пользователям передавать информацию 2-го уровня через сеть провайдера.
По умолчанию на коммутаторах указанных линеек для инкапсуляции кадров при помощи L2PT для каждого из протоколов уже заданы определенные значения MAC-адреса назначения - destination Multicast MAC-адрес, но при необходимости их можно изменить в режиме глобальной конфигурации коммутатора. К примеру, это нужно будет сделать, если на встречной стороне нет возможности использовать такой же destination multicast MAC-адрес для инкапсуляции/декапсуляции PDU, а l2pt туннель при этом построить необходимо.
Таблица 1 - Значения destination MAC-адрес для инкапсулированных кадров соответствующего протокола/механизма
Протокол/механизм | Значение dst multicast MAC, используемое по умолчанию (должно быть одинаковым на обеих сторонах туннеля) | Команда в режиме глобальной конфигурации для изменения dst MAC (xx:xx:xx:xx:xx:xx значение нужно изменить на необходимый multicast MAC) |
Flow control | 01:00:0c:cd:cd:de | fctl-l2-tunnel-address xx:xx:xx:xx:xx:xx |
IS-IS (L1) | 01:00:0c:cd:cd:dc | isis-l1-tunnel-address xx:xx:xx:xx:xx:xx |
IS-IS (L2) | 01:00:0c:cd:cd:dd | isis-l2-tunnel-address xx:xx:xx:xx:xx:xx |
IGMP | 01:00:0c:cd:cd:db | igmp-tunnel-address xx:xx:xx:xx:xx:xx |
LACP | 01:00:0c:cd:cd:d4 | lacp-tunnel-address xx:xx:xx:xx:xx:xx |
LLDP | 01:00:0c:cd:cd:d8 | lacp-tunnel-address xx:xx:xx:xx:xx:xx |
OSPF | 01:00:0c:cd:cd:e1 | ospf-tunnel-address xx:xx:xx:xx:xx:xx |
RIP | 01:00:0c:cd:cd:e2 | rip-tunnel-address xx:xx:xx:xx:xx:xx |
STP | 01:00:0c:cd:cd:d0 | stp-tunnel-address xx:xx:xx:xx:xx:xx |
VRRP | 01:00:0c:cd:cd:e3 | vrrp-tunnel-address xx:xx:xx:xx:xx:xx |
VTP | 01:00:0c:cd:cd:e0 | vtp-tunnel-address xx:xx:xx:xx:xx:xx |
На интерфейсах коммутатора, которые будут принимать участие в инкапсуляции и декапсуляции l2pt, необходимо отключить spanning tree:console(config-if)#spanning-tree disable
1) Примеры настройки порта в случае, если трафик протоколов, который необходимо инкапсулировать с использованием l2pt, приходит в нетегированном виде на этот порт:
а) Режим general:interface gigabitethernet0/1
spanning-tree disable
switchport mode general
switchport general allowed vlan add 40 untagged
switchport general pvid 40
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
б) Режим trunk:interface gigabitethernet0/1
spanning-tree disable
switchport mode trunk
switchport trunk native vlan 40
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
в) С использованием настроек dot1q-туннеля:interface gigabitethernet0/1
spanning-tree disable
switchport mode access
switchport access vlan 40
switchport dot1q tunnel
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
2) Примеры настройки порта в случае, если трафик протоколов, который необходимо инкапсулировать с использованием l2pt, приходит в тегированном виде на порт (в примере VLAN 30):
а) Режим general:interface gigabitethernet0/1
spanning-tree disable
switchport mode general
switchport general allowed vlan add 30 tagged
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
б) Режим trunk:interface gigabitethernet0/1
spanning-tree disable
switchport mode trunk
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
в) С использованием настроек selective Q-in-Q. C-VLAN - 30 (трафик, который будет инкапсулироваться), S-VLAN - 40, в этой VLAN инкапсулированный трафик будет коммутироваться далее.interface gigabitethernet0/1
spanning-tree disable
switchport mode general
switchport general allowed vlan add 40 untagged
selective-qinq list ingress add-vlan 40 ingress-vlan 30
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
г) С использованием настроек dot1q-туннеля. C-VLAN - 30 (трафик, который будет инкапсулироваться), S-VLAN - 40, в этой VLAN инкапсулированный трафик будет коммутироваться далее. interface gigabitethernet0/1
spanning-tree disable
switchport mode access
switchport access vlan 40
switchport dot1q tunnel
l2protocol-tunnel lacp
l2protocol-tunnel stp
l2protocol-tunnel igmp
l2protocol-tunnel lldp
l2protocol-tunnel isis-l1
l2protocol-tunnel isis-l2
l2protocol-tunnel fctl
l2protocol-tunnel pvst
l2protocol-tunnel vtp
l2protocol-tunnel ospf
l2protocol-tunnel rip
l2protocol-tunnel vrrp
Далее инкапсулированный трафик направится на интерфейсы, являющиеся участниками VLAN, в которую передался этот трафик.
Примечание: При включении инкапсуляции для VTP инкапсулироваться будет вся группа протоколов с MAC-адресами назначения 01:00:0C:CC:CC:CC.
Команды для диагностики:
1) show l2protocol-tunnel - отобразить счетчики пакетов L2PT суммарно по всем протоколам и по всем интерфейсам, где настроен l2pt.console#show l2protocol
COS for Encapsulated Packet : 7
Port Protocol Encapsulation Counter Decapsulation Counter
---- -------- --------------------- ---------------------
gi 0/1 LACP 117 107
gi 0/1 STP 789 54
gi 0/1 IGMP 156 0
gi 0/1 LLDP 81 83
gi 0/1 ISIS L1 809 792
gi 0/1 ISIS L2 861 2549
gi 0/1 FCTL 0 0
gi 0/1 PVST 1931 69
gi 0/1 VTP 0 0
gi 0/1 OSPF 544 231
gi 0/1 RIP 0 0
gi 0/1 VRRP 1521 700
2) show l2protocol-tunnel interface gigabitethernet 0/1 - просмотр счетчиков инкапсулированных/декапсулированных пакетов на конкретном интерфейсе.
Источник:
docs.eltex-co.ru
Функция PPPoE IA реализована в соответствии с требованиями документа DSL Forum TR-101 и предназначена для использования на коммутаторах, работающих на уровне доступа. Функция позволяет дополнять пакеты PPPoE Discovery информацией, характеризующей интерфейс доступа. Это необходимо для идентификации пользовательского интерфейса на сервере доступа (BRAS, Broadband Remote Access Server). Управление перехватом и обработкой пакетов PPPoE Active Discovery осуществляется глобально для всего устройства и выборочно для каждого интерфейса.
Пример настройки:
confgure terminal
pppoe-ia snooping
pppoe passthrough
!
dcs information option enable
!
vlan 10
pppoe-ia snooping
!
interface gigabitethernet 0/1
switchport general allowed vlan add 10 untagged
switchport general pvid 10
dcs agent-circuit-identifier "%v %p %h"
dcs remote-agent-identifier "%M"
!
interface gigabitethernet 0/2
switchport general allowed vlan add 10
port-security-state trusted
set port-role uplink
no shutdown
Порт gi0/2-uplink, gi0/1-downlink
Источник:
docs.eltex-co.ru
Включить источник времени sntp:
clock time source ntp
Настроить sntp-клиента для сервера 192.168.10.5:sntp
set sntp client enabled
set sntp client addressing-mode unicast
set sntp unicast-server ipv4 192.168.10.5
Вручную установить параметры:
1. Часовой пояс:set sntp client time-zone +07:00
2.Формат отображения часов (hh:mm/ampm):set sntp client clock-format ampm
------------------------------------------------------------------
Show-команды:
show clock
show sntp clock
show sntp status
show sntp statistics
Источник:
docs.eltex-co.ru
Источник:
docs.eltex-co.ru
Функция поддерживается только на моделях MES2424, MES2424B, MES2424FB,
MES2424P, MES2448, MES2448B, MES2448P, MES2420-48P, MES2411X, MES3400-24,
MES3400-24F, MES3400-48, MES3710P.
Протокол VRRP предназначен для резервирования маршрутизаторов, выполняющих роль шлюза по умолчанию. Это достигается путём объединения IP-интерфейсов группы маршрутизаторов в один виртуальный, который будет использоваться как шлюз по умолчанию для компьютеров в сети.
На канальном уровне резервируемые интерфейсы имеют MAC-адрес 00:00:5E:00:01:XX, где XX — номер группы VRRP (VRID).
Для конфигурации резервирования шлюза по умолчанию необходимо произвести следующие действия:
1) Включить протокол VRRP глобально:console(config)#vrrp enable
2) Настроить номер процесса VRRP и IP-адрес VRRP маршрутизатора:
console(config)#interface vlan VLAN_ID
console(config-if)#vrrp VRID ipv4 IP_addr
3) При необходимости настроить Priority и выключить Preempt, который по умолчанию включен:console(config-if)#vrrp VRID priority priority
console(config-if)#no vrrp VRID preempt
Если параметр Preempt активен - Backup-маршрутизатор с более высоким приоритетом будет пытаться перехватить на себя мастерство у текущего Master с более низким приоритетом. Если маршрутизатор является владельцем IP-адреса VRRP (т.е. Virtual IP настроен также и на interface vlan) - мастерство им будет перехватытваться независимо от настроек данной команды.
4) При необходимости фиксировать доступность непосредственно виртуального адреса по ICMP (по умолчанию коммутаторы отвечают с Source IP в interface vlan), на коммутаторах нужно активировать опцию accept-mode:console(config-if)#vrrp VRID accept-mode enable
Ниже приведён пример конфигурации на коммутаторах уровня агрегации. Задача - настроить резервирование шлюза по умолчанию с адресом 10.10.1.1 в VLAN 100. Коммутатор не будет пытаться стать мастером если обнаружит в сети коммутатор с меньшим приоритетом VRRP.
Настройка коммутатора DSW1:DSW1(config)#interface vlan 100
DSW1(config-if)# ip address 10.10.1.2 /24
DSW1(config-if)#vrrp 1 ipv4 10.10.1.1
DSW1(config-if)#vrrp 1 priority 101
DSW1(config-if)#no vrrp 1 preempt
DSW1(config)#vrrp enable
DSW1(config)#interface range gi1/0/11-12
DSW1(config-if-range)#channel-group 1 mode on
DSW1(config-if-range)#interface Po1
DSW1(config-if)#switchport general allowed vlan add 100
Настройка коммутатора DSW2:DSW2(config)#interface vlan 100
DSW2(config-if)#ip address 10.10.1.3 /24
DSW2(config-if)#vrrp 1 ipv4 10.10.1.1
DSW2(config-if)#vrrp 1 priority 99
DSW2(config-if)#no vrrp 1 preempt
DSW2(config)#vrrp enable
DSW2(config)#interface range gi1/0/11-12
DSW2(config-if-range)#channel-group 1 mode on
DSW2(config-if-range)#interface Po1
DSW2(config-if)#switchport general allowed vlan add 100
Источник:
docs.eltex-co.ru
Источник:
docs.eltex-co.ru
На коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх имеется возможность настроить синхронизацию времени с SNTP-сервером.
Установить SNTP-сервер источником синхронизации времени для устройства:console(config)# clock time source ntp
Установить часовое смещение относительно нулевого меридиана на +07:00:console(config)# clock utc-offset +07:00
Перейти в режим конфигурации SNTP:console(config)# sntp
Включить работу SNTP-клиента:console(config-sntp)# set sntp client enabled
Указать IP-адрес SNTP-клиента:console(config-sntp)# set sntp unicast-server ipv4 192.168.1.1
Также можно настроить синхронизацию времени с SNTP-сервером с использованием аутентификации:console(config)# clock time source ntp
console(config)# clock utc-offset +07:00
console(config)# sntp
console(config-sntp)# set sntp client enabled
console(config-sntp)# set sntp client authentication-key 1 md5 qwerty
console(config-sntp)# set sntp unicast-server ipv4 192.168.1.1
Источник:
docs.eltex-co.ru
console# config terminal
console(config)# vlan 200,300
console(config-vlan-range)# vlan active vlan active
console(config-vlan-range)# exit
Добавляем вланы на порты (для примера порт 1 смотрит в сторону абонента, 25 - аплинк)
console(config)# interface gigabitethernet 0/1
console(config-if)#switchport general allowed vlan add 200 untagged
console(config-if)#switchport general pvid 200
console(config-if)#switchport multicast-tv vlan 300
console(config-if)#exit
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 200,300
Создаем профиль с разрешенными диапазонами мультикастовых групп и включаем Igmp Snooping
console(config)# ip mcast profile 1
console(config-profile)# permit
console(config-profile)# range 224.1.1.1 224.1.1.255
console(config-profile)# range 224.1.2.1 224.1.2.255
console(config-profile)# range 224.1.3.1 224.1.3.255
console(config-profile)# profile active
console(config-profile)# exit
console(config)# snooping multicast-forwarding-mode ip
console(config)# ip igmp snooping
console(config)# ip igmp snooping multicast-vlan enable
Включаем IGMP Snooping во вланах и настраиваем аплинк как порт-источник мультикаста
console(config)# vlan 200
console(config-vlan)# ip igmp snooping
console(config-vlan)# exit
console(config)# vlan 300
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping fast-leave (опционально)
console(config-vlan)# ip igmp snooping mrouter gigabitethernet 0/25
console(config-vlan)# ip igmp snooping multicast-vlan profile 1
console(config-vlan)# end
Источник:
docs.eltex-co.ru
Функция IGMP Snooping используется в сетях групповой рассылки. Основной задачей IGMP Snooping является предоставление многоадресного трафика только для тех портов, которые запросили его.
Пример настройки. Multicast-трафик передается в vlan 10. Клиенты за портом gi0/1.
Создаем и активируем vlan, в нём активируем IGMP Snoopingvlan 10
vlan active
ip igmp snooping
exit
Активируем IGMP Snoopingip igmp snooping
Выполнить настройки на портахinterface gigabitethernet 0/1
switchport general allowed vlan add 10 untagged
switchport general pvid 10
exit
interface gigabitethernet 0/26
switchport general allowed vlan add 10
exit
Для настройки статического mrouter-порта используется команда:Vlan 10
ip igmp snooping mrouter gigabitethernet 0/26
Для запрета изучения mrouter-портов применяется командаvlan 10
ip igmp snooping blocked-router gi 0/1
Примечание:
В кольцевых топологиях для минимизации прерывания Multicast-трафика рекомендуется все кольцевые порты настроить, как статические Mrouter-порты. В этом случае для изучения записей в таблице IGMP Snooping требуется ввести команду:snooping report-process config-level all-Ports
Show-команды:
show ip igmp snooping groups - показать информацию об изученных многоадресных группах, участвующих в групповой рассылке
show ip igmp snooping mrouter - показать информацию об изученных многоадресных маршрутизаторах
show ip igmp snooping forwarding-database - показать информацию о поступающем multicast-трафике
Источник:
docs.eltex-co.ru
1. Каждый ACL содержит только 1 правило.
2. Несколько ACL можно привязать к одному интерфейсу.
3. Порядок отработки правил определяется по приоритету правила , указанному в ACL, при равенстве приоритетов - по номеру ACL.
4. ACL автоматически снимается с интерфейса при изменении в нем правила.
5. Максимальное число ACL – 100 IP/IPv6 и 100 MAC.
6. На данный момент поддерживается только входящее направление на интерфейсах (in).
7. В стандартных IP ACL возможна фильтрация только по префиксам, в расширенных ACL – по дополнительным параметрам.
8. При создании расширенного ACL в нем по умолчанию содержится правило permit ip any any, если не применить другое.
9. После того, как любой ACL будет привязан к интерфейсу, для этого интерфейса применится правило implicit deny any any.
Пример настройки фильтрации пакета с Destination IP 192.168.1.100:
console(config)# ip access-list extended 1001
console(config-ext-nacl)# deny ip any 192.168.1.100 255.255.255.255
console(config-ext-nacl)# exit
console(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1001 in
Для прохождения остальных пакетов на интерфейсе требуется добавить второй ACL, разрешающий прохождение пакетов:
console(config)# ip access-list extended 1002
console(config-ext-nacl)# permit ip any any
console(config-ext-nacl)# exit
console(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1002 in
Источник:
docs.eltex-co.ru
Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. С помощью функции «MVR» может быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных при предоставлении услуги IPTV.
Пример настройки MVR. Аплинк порт - gigabitethernet 0/1, fastethernet 0/1 - клиентский порт. vlan 10 - клиентский вилан, vlan 100 - мультикаст вилан
Создаем и активируем vlanconsole(config)# vlan 10,100
console(config-vlan)# vlan active
console(config-vlan)# exit
Создаем и активируем мультиксат профиль. Указываем в профиле диапазоны мультикаст групп, которые будут поступать на коммутатор. Это обязательный шаг
console(config)# ip mcast profile 1
console(config-profile)# permit
console(config-profile)# range 232.0.0.1 232.0.0.5
console(config-profile)# profile active
console(config-profile)# exit
Активируем ip igmp snooping для vlan 100.console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100
Настроить режим обработки мультикаст трафика ipconsole(config)# snooping multicast-forwarding-mode ip
Активировать MVR и привязать к нему мультикаст профильconsole(config)# ip igmp snooping multicast-vlan enable
console(config)# vlan 100
console(config-vlan)# ip igmp snooping multicast-vlan profile 1
Выполнить настройки на портахconsole(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode trunk
console(config-if)# exit
console(config)# interface fastethernet 0/1
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 10
console(config-if)# switchport multicast-tv vlan 100
console(config-if)# exit
Источник:
docs.eltex-co.ru
Мультикаст считается незарегестрированным, если его нет в таблице ip igmp snooping. Отображается таблица командой show ip igmp snooping group
Активируем ip igmp snoopingconsole(config)# ip igmp snooping
Настроить режим обработки мультикаст трафика ipconsole(config)# snooping multicast-forwarding-mode ip
В контексте vlan. Активируем фильтрацию незарегестрированного мультикастаconsole(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
Источник:
docs.eltex-co.ru
Настройка позволяет удалить запись в таблице igmp snooping для конкретного устройства за портом при получении igmp leave сообщения. Для настройки igmp snooping fast-leave необходимо выполнить следующие настройки.
Пример настройки для мультикаст vlan 10 для порта gigabitethernet 0/1(config)# snooping leave-process config-level port
(config)# vlan 10
console(config-vlan)#ip igmp snooping
console(config-vlan)#ip igmp snooping fast-leave
console(config-vlan)#ip igmp snooping sparse-mode enable
(config)# interface gigabitethernet 0/1
(config-if)# ip igmp snooping leavemode exp-hosttrack
Источник:
docs.eltex-co.ru
Для ограничения просмотра мультикаст групп за портами абонентов можно использовать функционал ip mcast profile.
Пример настройки
gigabitethernet 0/1 - абонентский порт
gigabitethernet 0/25 - аплинк порт
vlan 10 - мультикаст
vlan 19 - данные
Активируем ip igmp snooping и функцию фильтрацииconsole(config)# ip igmp snooping
console(config)# ip igmp snooping filter
Создаем ip mcast profileconsole(config)#ip mcast profile 2
console(config-profile)# permit
console(config-profile)# range 225.0.0.1 225.0.0.3
console(config-profile)# profile active
Настроить режим обработки мультикаст трафика ipconsole(config)# snooping multicast-forwarding-mode ip
Включаем ip igmp snooping для vlan. Активируем фильтрацию незарегестрированного мультикастаconsole(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
Выполняем настройки на портахconsole(config)# interface gigabitethernet 0/1
console(config-if)# switchport general allowed vlan add 10,19
console(config-if)# ip igmp snooping filter-profileId 2
console(config-if)# no shutdown
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode trunk
console(config-if)# no shutdown
Источник:
docs.eltex-co.ru
Для настройки ограничения по количеству групп на порту используются команды
Пример настройки
gigabitethernet 0/1 - абонентский порт
gigabitethernet 0/25 - аплинк порт
vlan 10 - мультикаст
vlan 19 - данные
Активируем ip igmp snooping и функцию фильтрацииconsole(config)# ip igmp snooping
console(config)# ip igmp snooping filter
Включаем ip igmp snooping для vlan. Активируем фильтрацию незарегистрированного мультикастаconsole(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
Выполняем настройки на портах. Ограничиваем максимальное количество мультикаст групп за портом gigabitethernet 0/1 до 5console(config)# interface gigabitethernet 0/1
console(config-if)# switchport general allowed vlan add 10,19
console(config-if)# ip igmp snooping limit groups 5
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode trunk
Источник:
docs.eltex-co.ru
Функция IGMP proxy-report предназначена для запроса групп, назначенных статически на порт, от лица коммутатора.
Пример настройки:
Активируем ip igmp snooping и функцию proxy-reportconsole(config)# ip igmp snooping
console(config)# ip igmp snooping proxy-reporting
Включаем ip igmp snooping для vlan и добавляем привязку статических групп к порту
console(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping static-group 239.1.2.100 interface gigabitethernet 0/1
Источник:
docs.eltex-co.ru
Функция IGMP Proxy используется в сетях групповой рассылки для уменьшения нагрузки IGMP-трафиком на CPU вышестоящего оборудования в сети, а также для разделения единого мультикастового домена на несколько.
Пример настройки. Multicast-трафик приходит в vlan 10 на порт gi0/26. Клиенты за портом gi0/1 в vlan 20.
Создаем и активируем vlanvlan 10,20
vlan active
exit
Активируем IGMP Proxyset ip igmp enable
ip igmp proxy-service
Настраиваем interface vlan 10 в качестве восходящего, interface vlan 20 - в качестве клиентскогоinterface vlan 10
ip address 192.0.0.1 255.0.0.0
set ip igmp enable
ip igmp-proxy mrouter
exit
interface vlan 20
ip address 20.0.0.1 255.0.0.0
set ip igmp enable
exit
Настраиваем interface vlan 10 в качестве восходящего, interface vlan 20 - в качестве клиентскогоinterface gigabitethernet 0/1
switchport general allowed vlan add 20
exit
interface gigabitethernet 0/26
switchport general allowed vlan add 10
exit
Show-команды:
show ip igmp-proxy forwarding-database - Просмотр информации о получаемых группах и наличии подписок для них
show ip igmp-proxy mrouter - просмотр информации об Uplink-интерфейсах
show ip igmp groups - просмотр информации об активных подписках на группы
Источник:
docs.eltex-co.ru
IGMP Querier - это устройство в сети, которое находится ближе всего к источнику multicast-трафика.
Предназначен для актуализации подписок на multicast-группы в таблице IGMP Snooping, а также для прекращения вещания потока в случае отписки клиента от multicast-группы.
Пример настройки IGMP Querier для vlan 10:
Активируем IGMP Snoopingip igmp snooping
Создаем и активируем vlan, включаем в нём IGMP Queriervlan 10,20
vlan active
ip igmp snooping version v2
ip igmp snooping querier 1.2.3.4
exit
Источник:
docs.eltex-co.ru
Создаем смещение для использования в ACLconsole(config)#user-defined offset 1 l4 0
Создаем IP ACLconsole(config)# ip access-list extended 1001
console(config)# deny 2 any any user-defined offset1 0x1100 0xff00
2 - номер протокола IGMP
0x1100 0xff00 - фильтрация по типу пакета (IGMP Membership Query (MQ) messages )
Создаем разрешающий IP ACL для пропуска всего трафикаconsole(config)# ip access-list extended 64000
Привязываем к оба ACL к нужному портуconsole(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1001 in
console(config-if)# ip access-group 64000 in
C версии 10.2.6.3 для блокировки динамического обучения mrouter портов можно воспользоваться командой в контексте настройки multicast vlanconsole(config)# vlan X
console(config-if)# ip igmp snooping
console(config-if)# ip igmp snooping blocked-router gigabitethernet 0/x
где gigabitethernet 0/x - даунлинк порты
Источник:
docs.eltex-co.ru
Для использования HTTPS при работе на коммутаторе через WEB необходимо выполнить следующее:
1. Сгенерировать самоподписанный сертификат на хостеopenssl req -x509 -newkey rsa:4096 -out cert.pem -days 365 -nodes
В примере используется OpenSSL, но возможно использовать и другие способы. Также в примере на хосте используется Linux, для Windows настройка хоста будет другая.
Для создания будет сгенерирован новый приватный ключ и сохранён в файл privkey.pem, сам сертификат окажется в файле cert.pem. -days задаёт срок действия сертификата, -nodes отключает шифрование приватного ключа.
2. Сгенерировать приватный ключ для SSL-сервера на коммутатореconsole# create ssl crypto key rsa
Это сгенерирует приватный RSA ключ размером 512 (можно выбрать 1024).
3. Сгенерировать запрос на сертификат от коммутаторасonsole# create ssl cert-req algo rsa sn CERT
-----BEGIN CERTIFICATE REQUEST-----
MIIBTjCBuAIBADAPMQ0wCwYDVQQDDARDRVJUMIGfMA0GCSqGSIb3DQEBAQUAA4GN
ADCBiQKBgQC2/WAW/Hy6Ha3bwknMIAAuNPyi0Ex+/15glh3aT/yHxRwpgMzVuMi/
82p0RZ07KNPn9NGztHx2qkQN3KeOiE5UPc4pl9C9ZyQwEZe4rl7edjKZaS4QnS58
xL5rge/Lce/khasLII1gpwKbpB4ShSlkg5np6xIxMV9RpHp8QcO7ywIDAQABoAAw
DQYJKoZIhvcNAQEEBQADgYEAP+1AYZQb0xqtnbBYCuNyjOwRaOeau25dq+jejWVv
svQKQ5JIj8tHV34NLcFA4PoCQ+N6I426Kzal37Wdyw+nspka33i9hwgEB2hw5MN0
xEWdjYRM/YJ7dRtM688MRNfnNLy4IS5mWCihypSz3y8MJVLBBUbEDzG6bqrVpwLu
/HQ=
-----END CERTIFICATE REQUEST-----
Вывод команды нужно скопировать в файл на хосте (в примере файл iss_req.pem), перед этим данный файл нужно создать.
4. Подписать сертификат для коммутатора. Для этого на хосте необходимо выполнить:openssl x509 -req -in iss_req.pem -out iss_cert.pem -days 365 -CA cert.pem -CAkey privkey.pem -set_serial 0xb46f9b8d881d18b4
После выполнения команды появится файл с сертификатом iss_cert.pem. Параметр set_serial может быть любым произвольным числом.
5. На коммутаторе ввести командуconsole# create ssl server-cert
И скопировать в поле ввода всё содержимое файла с сертификатом на хосте (iss_cert.pem)
6. Включить HTTPS-сервер на коммутатореconsole(config)# ip http secure server
Процедура настройки завершена. Сертификат будет сохранён на коммутаторе в файле sslservcert и будет подтягиваться каждый раз при загрузке устройства.
Для отключения небезопасного протокола HTTP есть команда console(config)# set ip http disable
Источник:
docs.eltex-co.ru
Аутентификация на основе стандарта 802.1х обеспечивает проверку подлинности пользователей коммутатора через внешний сервер на основе порта, к которому подключен клиент. Только аутентифицированные и авторизованные пользователи смогут передавать и принимать данные. Проверка подлинности пользователей портов выполняется сервером RADIUS посредством протокола EAP (Extensible Authentication Protocol). Помимо аутентификации пользователей по dot1x возможно выполнять проверку подлинности пользователей по MAB. По умолчанию после включения dot1x на портах всегда работают оба режима авторизации (dot1x и MAB), опционально не отключается.
Пример возможной настройки
Создадим необходимые VLAN на коммутаторе и настроим IP-адрес управления коммутатором. VLAN 100 используем в качестве DATA VLAN для авторизованных пользователей. VLAN 2 - management VLAN для управления коммутатором и обеспечения связности с Radius-сервером.
configure
vlan 2,100
vlan active
exit
interface vlan 2
ip address 192.168.2.2 /24
Radius-сервер подключим за портом gi0/24, пробросим все VLAN на данный порт:interface gigabitethernet 0/24
switchport mode trunk
Включим режим аутентификации 802.1x на коммутаторе:dot1x system-auth-control
Зададим базу данных Radius, к которой коммутатор в дальнейшем будет обращаться для проверки при аутентификации клиентов за портами, и укажем IP-адрес используемого Radius-сервера и ключ для аутентификации и шифрования обмена данными с ним:aaa authentication dot1x default group radius
radius-server host 192.168.2.1 key test
Выполним далее настройки порта gi0/1, куда будет подключен пользователь, проверку подлинности которого требуется выполнять.interface gigabitethernet 0/1
dot1x port-control auto
dot1x host-mode multi-session
dot1x reauthentication
dot1x timeout reauth-period 30
switchport general allowed vlan add 100 untagged
switchport general pvid 100
Каждые 30 секунд будет выполняться реаутентификация пользователей. Данный интервал можно изменить на любой другой из промежутка 1-65535 секунд (по умолчанию при включении реаутентификации устанавливается интервал 3600 с).
В режиме multi-session авторизацию должно пройти каждое устройство за этим портом. При режиме multi-host после авторизации пользователя трафик будет проходить от любого хоста за этим портом коммутатора, то есть авторизуется полностью порт.
Начиная с версии ПО 10.3.4, реализована команда dot1x radius-attributes vlan, позволяющая включить на коммутаторе обработку опции Tunnel-Private-Group-ID (81) в поступающих от RADIUS-сервера сообщениях. Таким образом, коммутатор сможет направлять трафик пользователя во VLAN, которую сообщил Radius-сервер в случае успешной авторизации пользователя. Команда dot1x radius-attributes vlan optional позволяет авторизовать пользователей за портом несмотря на отсутствие опции Tunnel-Private-Group-ID (81) от Radius-сервера.
Источник:
docs.eltex-co.ru
Функционал позволяет выполнять регистрацию IGMP-report'ов на основании ответов от Radius-сервера. Пример базовой конфигурации коммутатора для работы функционала:!
vlan 2-100
vlan active
!
snooping multicast-forwarding-mode ip
snooping authentication
snooping authentication cache-time 60
!
ip igmp snooping
!
radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage login igmp
!
vlan 10
ip igmp snooping
ip igmp snooping mrouter te 0/1
ip igmp snooping sparse-mode enable
!
interface vlan 20
description "MGMT"
ip address 10.252.10.254 255.255.255.0
!
interface gigabitethernet 0/1
description "IGMP-client"
switchport mode access
switchport access vlan 10
ip igmp snooping authentication radius
!
interface tengigabitethernet 0/1
description "Server"
switchport general allowed vlan add 10,20
switchport forbidden default-vlan
!
end
Опции конфигурирования порта:
ip igmp snooping authentication radius [required] | Если указан параметр required, то в случае недоступности всех RADIUS-серверов IGMP-report-ы игнорируются. В противном случае IGMP-report'ы обрабатываются. |
ip igmp snooping authentication forwarding-first | Включает предварительную регистрацию Multicast-группы на порту до ответа RADIUS-сервера. В случае положительного ответа сервера подписка остается, в случае отрицательного — удаляется. |
ip igmp snooping authentication exception mcast profile <profile id> | Позволяет обрабатывать диапазоны multicast адресов без аутентификации на RADIUS. |
ip igmp snooping authentication none | Отключает авторизацию на интерфейсе. Параметр по умолчанию. |
Для уменьшения нагрузки коммутатор использует кэш, представляющий собой таблицу с полями: MAC, PORT, IGMP-group, Client-IP, Radius-IP, Lifetime (время, в течение которого запись хранится в кэше), status. По истечении времени хранения записи она удаляется. Запись в кэше можно посмотреть командой sh ip igmp snooping authentication cache:console#sh ip igmp snooping authentication cache
Port Client MAC Client IP Group IP Server Type Lifetime Status
------ ----------------- ---------------- ---------------- ----------- -------- -------
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.3.16 RADIUS 58 FORWARD
gi 0/1 00:00:00:00:00:63 10.0.0.1 230.0.5.17 RADIUS 58 FORWARD
Для резервирования можно задавать несколько Radius-серверов, сервер выбирается поочередно в заданном списке, т.е первый доступный сервер для типа авторизации. Пример:radius-server host 10.252.10.1 key encrypted aKcepjEhS20= usage igmp
radius-server host 10.252.10.2 key encrypted aKcepjEhS20= usage igmp
Если сервер не ответил, он помечается как нерабочий и перестает участвовать в механизме опроса на определенный период, а запрос отсылается на следующий сервер в списке.
Настройки на Radius-сервере:«client-mac-address» Cleartext-Password :=«client-mac-address», Framed-IP-Address ==«igmp allowed group address», NAS-Port:= «acess-port», NAS-IP-Address:=«client-ip-address»
Источник:
docs.eltex-co.ru
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству.
Ниже приведенные настройки актуальны для версии 10.2.9 и более поздних.
1. Для начала необходимо указать IPv6 адрес TACACS-сервера, tcp порт 49 и secret key:console(config)# tacacs-server host 2405:200:1410:1401::7:146 port 49 key test
2. Далее установить способ аутентификации для входа в систему по протоколу TACACS+:console(config)# aaa authentication default tacacs local
По умолчанию данный профиль распространяется на все line, а также для авторизации пароля enable. Если требуется использование недефолтного листа для определенной line, то используем:console(config)# aaa authentication user-defined test tacacs local
console(config)# line ssh
console(config-line)# aaa authentication login test
console(config-line)# aaa authentication enable test
Примечание: На коммутаторах серии 1400 и 2400 используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
Чтобы не потерять доступ до коммутатора (в случае недоступности сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:console(config)# username test password test privilege 15
5. Задать пароль на доступ в привилегированный режим:console(config)# enable password test
Аккаунтинг на коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх включен по умолчанию:
- Аккаунтинг вводимых команд;
- Аккаунтинг для сессий управления.
Сообщения начинают отправляться сразу после настройки TACACS-сервера.
Источник:
docs.eltex-co.ru
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
Ниже приведенные настройки актуальны для версии 10.2.9 и более поздних.
1. Для начала необходимо указать ip-адрес radius-сервера и указать key:console(config)# radius-server host 192.168.2.1 key test
2. Далее установить способ аутентификации для входа в систему по протоколу radius:console(config)# aaa authentication default radius local
По умолчанию данный профиль распространяется на все line, а также для авторизации пароля enable. Если требуется использование недефолтного листа для определенной line, то используем:console(config)# aaa authentication user-defined test radius local
console(config)# line ssh
console(config-line)# aaa authentication login test
console(config-line)# aaa authentication enable test
Примечание: На коммутаторах серии 1400 и 2400 используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается. Аутентификация по следующему методу допустима только в случае невозможности аутентификации по предыдущему методу.). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:console(config)# username test password test privilege 15
5. Задать пароль на доступ в привилегированный режим:console(config)# enable password test
Источник:
docs.eltex-co.ru
На коммутаторах MES есть возможность настроить ssh-авторизацию по ключам, помимо подключения по логину/паролю. Ниже представлены примеры настройки для серий MES14xx, MES24xx, MES3400-xx, MES37хх
Публичный ключ пользователя:cat ~/.ssh/test.pub
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDvmljF5yOeiMhZGWOb24H8AdvzG34WzTFCjoBQr1Z/Ua5A8PiSUUN0mf8uXLKrMQcEytebGvjhguG49+8s2MJZmiU+VJaqJmH38CP1+qY+6goJh0kZUSwIRf8j1ODZYgAZN8rYzi8pKP2eH0+rWhhlbjcwMyW4KDcFWLU9D2GrmsagqHGZaqjuyknAZ2I5tSDjvnZWPBrnZ7Ftq7RfNE+Fhx9P+B0fLz1xxU1Etgt04rbkcxGshqQl16/D/Wuz7swnPK1bercSAPbAHW3M7B0eOhZrwr49rmFEC5Qicm7z4HVy7cVnwAMOXEMhCJMXnQkEvAQwe6Tx/T/B1Pvmd7Vf test@test
Настройка коммутатора:
1. Включить SSH серверconsole(config)# ssh enable
2. Ввести публичный ключ и нажать Enterconsole(config)# ip ssh authorized-key
Enter Public Key:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDvmljF5yOeiMhZGWOb24H8AdvzG34WzTFCjoBQr1Z/Ua5A8PiSUUN0mf8uXLKrMQcEytebGvjhguG49+8s2MJZmiU+VJaqJmH38CP1+qY+6goJh0kZUSwIRf8j1ODZYgAZN8rYzi8pKP2eH0+rWhhlbjcwMyW4KDcFWLU9D2GrmsagqHGZaqjuyknAZ2I5tSDjvnZWPBrnZ7Ftq7RfNE+Fhx9P+B0fLz1xxU1Etgt04rbkcxGshqQl16/D/Wuz7swnPK1bercSAPbAHW3M7B0eOhZrwr49rmFEC5Qicm7z4HVy7cVnwAMOXEMhCJMXnQkEvAQwe6Tx/T/B1Pvmd7Vf test@test
3. Выбрать тип аутентификации для сервераconsole(config)# ip ssh auth-type password publickey
4. Проверить подключение к коммутаторуssh -i ~/.ssh/test admin@172.31.0.250
console#
Проверка SSH сервера осуществляется командамиconsole# show ip ssh
SSH service status : Enabled
Version : 2
Cipher algorithm : 3des-cbc,aes128-cbc,aes256-cbc,aes128-ctr,aes256-ctr
MAC algorithm : hmac-sha1
Kex algorithm : diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
Authentication type : password,publickey
Trace Level : None
Max packet size : 32768 bytes
console# show ip ssh authorized-keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDvmljF5yOeiMhZGWOb24H8AdvzG34WzTFCjoBQr1Z/Ua5A8PiSUUN0mf8uXLKrMQcEytebGvjhguG49+8s2MJZmiU+VJaqJmH38CP1+qY+6goJh0kZUSwIRf8j1ODZYgAZN8rYzi8pKP2eH0+rWhhlbjcwMyW4KDcFWLU9D2GrmsagqHGZaqjuyknAZ2I5tSDjvnZWPBrnZ7Ftq7RfNE+Fhx9P+B0fLz1xxU1Etgt04rbkcxGshqQl16/D/Wuz7swnPK1bercSAPbAHW3M7B0eOhZrwr49rmFEC5Qicm7z4HVy7cVnwAMOXEMhCJMXnQkEvAQwe6Tx/T/B1Pvmd7Vf test@test
Источник:
docs.eltex-co.ru
На коммутаторах MES при наличии нескольких SVI (Switch Virtual Interface) есть возможность ограничить доступ к коммутатору по SSH только c одного из них.
Проверяем созданные на коммутаторе интерфейсы VLAN:console# show ip interface | grep Inter
Internet Address is 10.11.11.2/24
Internet Address is 3.3.3.3/24
Internet Address is 10.10.10.5/24
Internet Address is 10.10.200.2/24
Выбираем и настраиваем IP-адрес SSH-сервера и ТСР-порт, используемый SSH-сервером (по умолчанию порт 22), с которого коммутатор будет доступен по ssh.console# configure terminal
console(config)# ssh server-address 10.10.10.5 port integer(1-65535)
% Configuration Will Get Effect Only On SSH Service Restart
Для применения настроек требуется перезапуск сервиса SSH.console(config)# ssh disable
console(config)# ssh enable
Примечание:
По умолчанию доступ по ssh включен для всех интерфейсов.
В качестве адреса ssh-сервера должен быть обязательно выбран настроенный IP-адрес на одном из SVI коммутатора.
Если ssh-сервером будет выбран несуществующий на коммутаторе IP-адрес, то при перезапуске сервиса ssh коммутатор сообщит об ошибке:console(config)# ssh disable
console(config)# ssh enable
SSH port(22) is already in use. Using port no. 6024
SSH port(22) and port 6024 are in use. Exiting...
Failed to set SSH Server Status
Warning: Disabling of Server Status is not allowed fromSSH Clients
Источник:
docs.eltex-co.ru
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству.
Ниже приведенные настройки актуальны для версии 10.2.9 и более поздних.
1. Для начала необходимо указать ip-адрес TACACS-сервера и указать key:console(config)# tacacs-server host 192.168.2.1 key secret
2. Далее установить способ аутентификации для входа в систему по протоколу TACACS+:console(config)# aaa authentication default tacacs local
По умолчанию данный профиль распространяется на все line, а также для авторизации пароля enable. Если требуется использование недефолтного листа для определенной line, то используем:console(config)# aaa authentication user-defined test tacacs local
console(config)# line ssh
console(config-line)# aaa authentication login test
console(config-line)# aaa authentication enable test
Примечание: На коммутаторах серий MES14xx, MES24xx, MES3400-xx, MES37хх используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
Чтобы не потерять доступ до коммутатора (в случае недоступности TACACS-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
4. Создать учетную запись:console(config)# username test password test privilege 15
5. Задать пароль на доступ в привилегированный режим:console(config)# enable password test
Аккаунтинг на коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх включен по умолчанию:
- Аккаунтинг вводимых команд;
- Аккаунтинг для сессий управления.
Сообщения начинают отправляться сразу после настройки TACACS-сервера.
Источник:
docs.eltex-co.ru
Данный функционал позволяет запускать авторизацию для каждой вводимой пользователем команды на Tacacs+-сервере.
Пример конфигурации:
1.Добавить Tacacs-сервер, задать ключ и выбрать тип ASCIIconsole(config)# tacacs-server host 192.168.11.2 key secret
console(config)# tacacs-server authentication type ascii
2.Включить авторизацию вводимых команд на сервере Tacacs+:console(config)# aaa authorization command 1 tacacs
console(config)# aaa authorization command 7 tacacs
console(config)# aaa authorization command 15 tacacs
В данном примере авторизация команд настраивается для всех трех уровней привилегий.
В случае недоступности Tacacs-сервера авторизация команд прекращается - будут недоступны все команды.
Если добавить метод local:console(config)# aaa authorization command 1 tacacs local
console(config)# aaa authorization command 7 tacacs local
console(config)# aaa authorization command 15 tacacs local
То в случае недоступности сервера все команды будут доступны без авторизации.
Источник:
docs.eltex-co.ru
Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с использованием протокола ARP (например, ARP-spoofing – перехват ARP-трафика). Контроль протокола ARP осуществляется наосновании таблицы соответствий DHCP snooping или статических соответствий IP- и MAC-адресов, заданных для группы VLAN.
Пример настройки на основании статических соответствий IP- и MAC-адресов.
Включить контроль протокола ARP и добавить в список статическое соответствие IP- и MAC-адресов для соответствующей группы VLAN.console(config)# ip arp inspection enable
console(config)# ip arp inspection vlan 398
По умолчанию все интерфейсы «недоверенные».
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP, необходимо для интерфейса выполнить команду:console(config-if)# port-security-state trusted
console(config-if)# set port-role uplink
Пример настройки на основании таблицы соответствий DHCP snooping
Включить контроль протокола ARP и функцию DHCP snooping для соответствующей группы VLAN.console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
console(config)# ip arp inspection
console(config)# ip arp inspection vlan 398
На порт, за которым находится DHCP-север необходимо ввести настройку:console(config-if)# set port-role uplink
console(config-if)# port-security-state trusted
Если не используется DHCP-сервер, таблицу соответствий необходимо заполнить статически:
Для порта gi 0/10 IP-адрес клиента – 192.168.2.10, его MAC-адрес – 00:11:22:33:44:55console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10
Источник:
docs.eltex-co.ru
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
- Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 398-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
- Включить функцию защиты IP-адреса для интерфейса gigabitethernet 0/10:
console(config-if)# ip verify source port-security
- На порт, за которым находится DHCP-север необходимо ввести настройку:
console(config-if)# set port-role uplink
console(config-if)# port-security-state trusted
Если не используется DHCP-сервер, таблицу соответствий необходимо заполнить статически:
Для порта gi 0/10 IP-адрес клиента – 192.168.2.10, его MAC-адрес – 00:11:22:33:44:55console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10
Источник:
docs.eltex-co.ru
Для успешного автообновления коммутатор должен находиться в заводской конфигурации.
После ввода команд:console# delete startup-config
console# reload
Конфигурация будет сброшена к заводской и начнется процесс загрузки ПО, начального загрузчика и конфигурации.
Процесс автообновления состоит из следующих этапов:
1. В пакете DHCP Discover коммутатор запрашивает поддерживаемые опции.
Поддерживаемые опции автоконфигурирования для коммутаторов серии MES24xx:
43 - Vendor Specific
66 - Server-Name
67 - Bootfile-Name
2. В пакете DHCP ACK в соответствии с настройками сервер предоставляет коммутатору запрашиваемую информацию(ПО, начальный загрузчик, конфигурация, IP адрес TFTP сервера).
3. Коммутатор загружает ПО в неактивную область и boot файл, затем перезагружается.
4. После перезагрузки коммутатор загружает файл конфигурации, затем перезагружается.
Настройка isc dhcp-server возможна с помощью нескольких опций. Примеры конфигурации сервера:
# Пример настройки с опцией 66-67
option tftp-server code 66 = string;
option bootfile-name code 67 = string;shared-network "net" {
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.99; option tftp-server "192.168.2.1"; # IP-адрес TFTP сервера
option bootfile-name "mes2400-1026-R2.iss"; # Имя файла ПО
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.254;
}
}
# Пример настройки с опцией 43
option space vendor_43;
option vendor_43.image-name_43 code 1 = string;
option vendor_43.bootfile-name_43 code 2 = string;
option vendor_43.configfile-name_43 code 3 = string;
option vendor_43.tftp-server_43 code 4 = string;
shared-network "net" {
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.99;
vendor-option-space vendor_43;
option vendor_43.image-name_43 "mes2400-1026-R2.iss"; # Имя файла ПО
option vendor_43.bootfile-name_43 "mes2400-1026-R2.boot"; # Имя начального загрузчика
option vendor_43.configfile-name_43 "startup.conf"; # Имя файла конфигурации
option vendor_43.tftp-server_43 "192.168.2.1"; # IP-адрес TFTP сервера
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.254;
}
}
Примечание:
Порядок загрузки файлов: Boot -> Файл ПО -> Config
В версиях ПО до 10.3.6 файл ПО и boot загружается, даже если имя загружаемого ПО и boot совпадает с именем текущей прошивки и boot. Проверка названий файлов и невыполнение загрузки ПО и boot при их совпадении с названиями текущих версий ПО на коммутаторе появились в версии ПО 10.3.6.
Конфигурация не загружается, если у коммутатора имеется конфигурация в startup-config.
Источник:
docs.eltex-co.ru
Примечание: Функционал доступен с версии ПО 10.2.10, только для коммутаторов MES2424/2448/2411X/MES3400-xx/MES37хх
Включить DHCP-сервер и настроить пул выдаваемых адресов:
!
ip dhcp server
ip dhcp pool 1
network 192.168.101.10 255.255.255.0 192.168.101.254
lease 7
default-router 192.168.101.2
dns-server 10.10.10.10
!
Задать для интерфейса VLAN100 IP-адрес и сетевую маску (это будет адрес DHCPсервера):
!
interface vlan 100
ip address 192.168.101.1 255.255.255.0
!
Назначить VLAN100 на Ethernet порт, к которому подключен пользователь (например, gi0/1):
!
interface gigabitethernet 0/1
switchport mode access
switchport access vlan 100
!
Примечание: Для выдачи доступно 4096 ip адреса. Всего можно создать 5 пулов.
Источник:
docs.eltex-co.ru
Для предотвращения появления DHCP серверов на клиентских портах нужно использовать ACL.
1) Создаем IP ACL для запрета трафика DHCP (BOOTPC) (port 67).
ip access-list extended 1001
deny udp any eq 67 any
2) Создаем IP ACL для пропуска остального трафика:
ip access-list extended 1002
permit ip any any
3) Назначаем ACL на клиентские порты:
interface range gigabitEthernet0/1-8
ip access-group 1001 in
ip access-group 1002 in
ACL работает только для входящего в порт трафика.
Источник:
docs.eltex-co.ru
Коммутаторы поддерживают функции DHCP-Relay агента. Задачей DHCP-Relay агента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в одной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP-запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.
Пример настройки коммутатора:console# configure terminal
console(config)# vlan 2-3
console(config-vlan-range)# vlan active
console(config-vlan-range)# exit
console(config)# interface vlan 2
console(config-if)# ip add 192.168.2.2 255.255.255.0
console(config-if)# no shutd
console(config-if)# exit
console(config)# int vl 3
console(config-if)# ip add 192.168.1.2 255.255.255.0
console(config-if)# no shutd
console(config-if)# exit
console(config)# ip dhcp relay
console(config)# ip dhcp relay server 192.168.1.1
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 2
console(config-if)# interface gigabitethernet 0/2
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 3
Источник:
docs.eltex-co.ru
По умолчанию на всех портах коммутатора используется организация очереди пакетов по методу FIFO: первый пришел – первый ушёл (First In – First Out). Во время интенсивной передачи трафика при использовании данного метода могут возникнуть проблемы, поскольку устройством игнорируются все пакеты, не вошедшие в буфер очереди FIFO, и соответственно теряются безвозвратно. Решает данную проблему метод, организующий очереди по приоритету трафика.Механизм QoS (Quality of service – качество обслуживания), реализованный в коммутаторах.
По умолчанию коммутатор не доверяет входящим меткам на портах
console#sh qos trust
IfIndex Trust mode
-------- ----------
gi 0/1 none
gi 0/2 none
.....
Доверия меткам включается на отдельных портах коммутатора. Существует возможность выбора каким меткам доверять qos trust {cos | dscp | cos-dscp| none}
на каждом отдельном порту
console(config)#interface gigabitethernet 0/1
console(config-if)#qos trust cos
console(config)#interface gigabitethernet 0/2
console(config-if)#qos trust dscp
console#show qos trust
IfIndex Trust mode
-------- ----------
gi 0/1 CoS
gi 0/2 DSCP
....
На коммутаорах MES14xx, MES24xx, MES3400-xx, MES37хх используется 8 выходных очередей. Есть возможность выбора режима работы qos - Strict priority (SP) или Weighted Round Robin (WRR).
Источник:
docs.eltex-co.ru
На коммутаторах серий MES14xx, MES24xx, MES3400-xx, MES37хх возможна настройка 8 выходных очередей для каждого интерфейса. Очереди могут работать по алгоритмам Strict priority, Weighted Round Robin, либо их комбинаций.
Strict priority (SP) - строгая очередь, имеет наивысший приоритет. Алгоритм предполагает пропуск всех пакетов наиболее приоритетной очереди и переход к обработке менее приоритетной, только после того как высокоприоритетная станет пустой. При этом, если в процессе обработки низкоприоритетной очереди, приходит пакет в высокоприоритетную, диспетчер переключится на нее. SP подходит для критически чувствительных к задержкам типов трафика, к примеру голоса или пакетов сигнальных протоколов, наподобие bfd, так как может обеспечить им гарантированную передачу. Этот же принцип является и недостатком SP, нагруженная трафиком высокоприоритетная очередь не позволит диспетчеру перейти к обработке менее приоритетной.
Алгоритм Weighted Round Robin (WRR) обеспечивает обработку очередей в соответствии с их весом. Диспетчер циклически проходит по всем очередям и пропускает пакеты из каждой кратно ее весу, это позволяет не допустить использование отдельным приложением всех доступных к пересылке ресурсов.
В случае использования комбинации SP и WRR на одном интерфейсе, очереди с алгоритмом SP будут обслуживаться раньше очередей WRR. Если поток трафика минимален и очереди SP не занимают всю, назначенную для интерфейса, полосу пропускания, то очереди WRR используют полосу пропускания совместно с очередями SP.
Алгоритм работы планировщика определяется для каждого интерфейса командой вида:
scheduler sched_num interface {fastethernet fa_port | gigabitethernet gi_port | twopointfivegigabitethernet two_port | tengigabitethernet te_port | port-channel group} sched-algo {strict-priority | wrr}
К примеру планировщик с индексом 10 настроенный для интерфейса gi0/1 с алгоритмом SP настраивается командой:
scheduler 10 interface gigabitethernet 0/1 sched-algo strict-priority
После чего требуется применить этот планировщик к выходным очередям интерфейса, здесь же можно установить вес каждой очереди.
Назначение выходной очереди для пакета возможно средствами class-map.
Логика работы данного механизма предполагает:
1. Создание ACL для указания трафика, который будет определяться в ту или иную очередь.
2. Назначение ACL на входящий, для определяемого в очередь трафика, интерфейс.
3. Создание class-map и привязку к нему ACL для назначения очереди обработки, в которую помещается, попадающий под ACL, трафик.
Рассмотрим примеры назначения очередей для трафика различных профилей.
Классификация трафика по метке VLAN:
!
mac access-list extended 1 <---создаем mac acl 1, фильтрующий кадры во vlan id 10
permit any any vlan 10
!
interface gigabitethernet 0/1
mac access-group 1 in <---привязываем mac acl 1 к интерфейсу
!
class-map 11 <---создаем классификатор 11
match access-group mac-access-list 1 <---определяем критерий классификации, в данном случае классифицироваться будет трафик, попадающий под mac acl 1
set class 11 regen-priority 0 group-name queue1 <---помещаем классифицированный трафик в первую очередь.
!
Классификация трафика по метке CoS:
!
mac access-list extended 2 <---создаем mac acl 2, фильтрующий кадры с меткой CoS 2
permit any any cvlan-priority 2
!
interface gigabitethernet 0/1
mac access-group 2 in <---привязываем mac acl 2 к интерфейсу
!
class-map 12 <---создаем классификатор 12
match access-group mac-access-list 2 <---определяем критерий классификации
set class 12 regen-priority 1 group-name queue2 <---помещаем классифицированный трафик во вторую очередь.
!
Классификация трафика по source MAC:
!
mac access-list extended 3 <---создаем mac acl 3, фильтрующий кадры с mac адресом источника e4:6f:13:f3:a1:33
permit host e4:6f:13:f3:a1:33 any
!
interface gigabitethernet 0/1
mac access-group 3 in <---привязываем mac acl 3 к интерфейсу
!
class-map 13 <---создаем классификатор 13
match access-group mac-access-list 3 <---определяем критерий классификации
set class 13 regen-priority 2 group-name queue3 <---помещаем классифицированный трафик в третью очередь.
!
Классификация трафика по source IP:
!
ip access-list extended 1004 <---создаем ip acl 1004, фильтрующий пакеты с ip адресом источника 192.168.1.11
permit ip host 192.168.1.11 any
!
interface gigabitethernet 0/1
ip access-group 1004 in <---привязываем ip acl 1004 к интерфейсу
!
class-map 14 <---создаем классификатор 14
match access-group ip-access-list 1004 <---определяем критерий классификации
set class 14 regen-priority 3 group-name queue4 <---помещаем классифицированный трафик в четвертую очередь.
!
Классификация трафика по метке DSCP:
!
ip access-list extended 1005 <---создаем ip acl 1004, фильтрующий пакеты с меткой DSCP 5
permit ip any any dscp 5
!
interface gigabitethernet 0/1
ip access-group 1005 in <---привязываем ip acl 1005 к интерфейсу
!
class-map 15 <---создаем классификатор 15
match access-group ip-access-list 1005 <---определяем критерий классификации
set class 15 regen-priority 4 group-name queue5 <---помещаем классифицированный трафик в пятую очередь.
!
Примечание:
Опция regen-priority устанавливает внутренний приоритет для указанного класса, на основании которого классифицированный трафик помещается в определенную очередь. При этом нумерация regen-priority считается с 0, а номер выходной очереди с 1. Поэтому команда set class 11 regen-priority 0 group-name queue1 определяет трафик в первую очередь. Опция group-name является аналогом description и не влияет на классификацию трафика.
Командой show class-map можно вывести сводную информацию по классификатору:
console#show class-map 15
QoS Class Map Entries
---------------------
ClassMapId : 15 <--- id классификатора
L2FilterId : None
L3FilterId : 1005 <--- критерий классификации, в данном случае ip acl 1005
PriorityMapId : None
VlanMapId : None
CLASS : 15 <--- id класса
PolicyMapId : None
PreColor : None
Status : Active
Настроим 8 очередей интерфейса gi0/1 с планировщиком 10 работающим по алгоритму SP и весом очередей от 1 до 8:
scheduler 10 interface gigabitethernet 0/1 sched-algo strict-priority
queue 1 interface gigabitethernet 0/1 scheduler 10 weight 1
queue 2 interface gigabitethernet 0/1 scheduler 10 weight 2
queue 3 interface gigabitethernet 0/1 scheduler 10 weight 3
queue 4 interface gigabitethernet 0/1 scheduler 10 weight 4
queue 5 interface gigabitethernet 0/1 scheduler 10 weight 5
queue 6 interface gigabitethernet 0/1 scheduler 10 weight 6
queue 7 interface gigabitethernet 0/1 scheduler 10 weight 7
queue 8 interface gigabitethernet 0/1 scheduler 10 weight 8
и посмотрим как это все работает.
Для наглядности в тесте будем использовать генератор трафика на платформе IxNetwork и коммутатор MES3400-24F, включенные по схеме:
интерфейс te0/1 будет входящим, gi0/1 - исходящим.
Сгенерируем трафик с общим рейтом 2400Mb/s из 8 односторонних сессий следующего профиля:
1 сессия - dst mac: 00:00:15:00:00:01, src mac: 00:00:00:00:00:01, src ip: 192.168.1.1, dst ip: 192.168.6.1.
2 сессия - dst mac: 00:00:15:00:00:02, src mac: 00:00:00:00:00:02, src ip: 192.168.1.2, dst ip: 192.168.6.2.
3 сессия - dst mac: 00:00:15:00:00:03, src mac: 00:00:00:00:00:03, src ip: 192.168.1.3, dst ip: 192.168.6.3.
4 сессия - dst mac: 00:00:15:00:00:04, src mac: 00:00:00:00:00:04, src ip: 192.168.1.4, dst ip: 192.168.6.4.
5 сессия - dst mac: 00:00:15:00:00:05, src mac: 00:00:00:00:00:05, src ip: 192.168.1.5, dst ip: 192.168.6.5.
6 сессия - dst mac: 00:00:15:00:00:06, src mac: 00:00:00:00:00:06, src ip: 192.168.1.6, dst ip: 192.168.6.6.
7 сессия - dst mac: 00:00:15:00:00:07, src mac: 00:00:00:00:00:07, src ip: 192.168.1.7, dst ip: 192.168.6.7.
8 сессия - dst mac: 00:00:15:00:00:08, src mac: 00:00:00:00:00:08, src ip: 192.168.1.8, dst ip: 192.168.6.8.
суммарная скорость будет делиться по 300Mb/s на каждую сессию. Трафик каждой сессии определим в отдельную очередь по признаку destination mac.
Конфигурация:
!
mac access-list extended 1
permit any host 00:00:15:00:00:01
!
mac access-list extended 2
permit any host 00:00:15:00:00:02
!
mac access-list extended 3
permit any host 00:00:15:00:00:03
!
mac access-list extended 4
permit any host 00:00:15:00:00:04
!
mac access-list extended 5
permit any host 00:00:15:00:00:05
!
mac access-list extended 6
permit any host 00:00:15:00:00:06
!
mac access-list extended 7
permit any host 00:00:15:00:00:07
!
mac access-list extended 8
permit any host 00:00:15:00:00:08
!
interface tengigabitethernet 0/1
mac access-group 1 in
mac access-group 2 in
mac access-group 3 in
mac access-group 4 in
mac access-group 5 in
mac access-group 6 in
mac access-group 7 in
mac access-group 8 in
!
class-map 11
match access-group mac-access-list 1
set class 11 regen-priority 0 group-name qos
!
class-map 12
match access-group mac-access-list 2
set class 12 regen-priority 1 group-name qos
!
class-map 13
match access-group mac-access-list 3
set class 13 regen-priority 2 group-name qos
!
class-map 14
match access-group mac-access-list 4
set class 14 regen-priority 3 group-name qos
!
class-map 15
match access-group mac-access-list 5
set class 15 regen-priority 4 group-name qos
!
class-map 16
match access-group mac-access-list 6
set class 16 regen-priority 5 group-name qos
!
class-map 17
match access-group mac-access-list 7
set class 17 regen-priority 6 group-name qos
!
class-map 18
match access-group mac-access-list 8
set class 18 regen-priority 7 group-name qos
!
scheduler 10 interface gigabitethernet 0/1 sched-algo strict-priority
!
queue 1 interface gigabitethernet 0/1 scheduler 10
queue 2 interface gigabitethernet 0/1 scheduler 10 weight 2
queue 3 interface gigabitethernet 0/1 scheduler 10 weight 3
queue 4 interface gigabitethernet 0/1 scheduler 10 weight 4
queue 5 interface gigabitethernet 0/1 scheduler 10 weight 5
queue 6 interface gigabitethernet 0/1 scheduler 10 weight 6
queue 7 interface gigabitethernet 0/1 scheduler 10 weight 7
queue 8 interface gigabitethernet 0/1 scheduler 10 weight 8
!
end
В графе "Loss %" статистики потоков на сервере IXIA мы видим порядок обработки трафика в соответствии с весом очередей. Трафик высокоприоритетных очередей 6, 7 и 8 прошел полностью без потерь, утилизировав 900Mb/s пропускной способности интерфейса gi0/1. В очереди 5 потери составили около 70%, что соответствует оставшейся на интерфейсе полосе пропускания в 100Mb/s. Пакеты оставшихся очередей были полностью отброшены.
Теперь поменяем алгоритм работы планировщика на WRR
scheduler 10 interface gigabitethernet 0/1 sched-algo wrr
вес очередей оставим таким же, посмотрим на результат:
и начинаем считать.
Общий вес очередей 36 (1+2+3+4+5+6+7+8), в алгоритме WRR очереди с весом 8 достанется чуть больше 22% возможной полосы пропускания 8/36=0,(2), очереди с весом 1 менее 3% 1/36=0,02(7).
С учетом общей полосы пропускания интерфейса 1Gb/s, веса очередей и скорости каждой очереди 300Mb/s, получаем:
первая очередь имеет вес - 1, ей доступно 2,8% от всей полосы - около 30Mb/s, соответственно будет отброшено 300-30=270Mb/s, что соответствует ~90% потерь.
вторая очередь: вес - 2, доступно 2/36=5,5% - 55Mb/s, отброшено 245Mb/s, потерь ~81%
третья очередь: вес - 3, доступно 3/36=8,3% - 83Mb/s, отброшено 217Mb/s, потерь ~72%
четвертая очередь: вес - 4, доступно 4/36=11,1% - 111Mb/s, отброшено 189Mb/s, потерь ~63%
пятая очередь: вес - 5, доступно 5/36=13,9% - 139Mb/s, отброшено 161Mb/s, потерь ~54%
шестая очередь: вес - 6, доступно 6/36=16,7% - 167Mb/s, отброшено 133Mb/s, потерь ~44%
седьмая очередь: вес - 7, доступно 7/36=19,4% - 194Mb/s, отброшено 106Mb/s, потерь ~35%
восьмая очередь: вес - 8, доступно 8/36=22,2% - 222Mb/s, отброшено 78Mb/s, потерь ~26%
Источник:
docs.eltex-co.ru
console(config)# ip access-list extended 1001
console(config-ext-nacl)# permit ip any any
Создаем Class-map, привязываем к нему ACL, устанавливаем COS=5
console(config)# class-map 1001
console(config-cls-map)# match access-group ip 1001
console(config-cls-map)# set class 1001 regen-priority 5 group-name qos1
Создаем Policy-map, привязываем к нему ACL, устанавливаем DSCP=46
console(config)# policy-map 1001
console(config-ply-map)# set policy class 1001 default-priority-type ipDscp 46
Настраиваем пользовательский интерфейс, привязываем Class-map.
console(config)# interface fastethernet 0/1
console(config-if)# ip access-group 1001 in
Настраиваем uplink, разрешаем перемаркировку COS
console(config)# interface fastethernet 0/2
console(config-if)# qos map regen-priority-type vlanPri enable
Источник:
docs.eltex-co.ru
Для ограничения входящего трафика:
console(config-if)# rate-limit input <rate>
, где rate скорость трафика в кбит/с.
Примечание: значение rate должно быть кратно 16 и должно находиться в пределах 16 - 4194288 кбит/с.
Для ограничения исходящего трафика:
console(config-if)# rate-limit output <rate>
, где rate скорость трафика в кбит/с
Примечание: значение rate должно быть кратно 16 и должно находиться в пределах 16 - 1000000 кбит/с.
Источник:
docs.eltex-co.ru
Создать ACL для классификации трафика по порту:
console(config)# mac access-list extended 1
console(config-ext-macl)# permit any any
Прикрепить ACL на требуемый порт (gi0/2)
console(config)# interface gi 0/2
console(config-if)# mac access-group 1 in
Создать Class-map, привязать ACL к ней
console(config)# Class-map 1001
console(config-cls-map)# match access-group mac-access-list 1
console(config-cls-map)# set class 1010
Создать meter и указать ограничение в kbps
console(config)# meter 1
console(config-meter)# meter-type avgRate cir 10000 kbps
Создать Policy-map, привязать к ней class-map, а также привязать созданный ранее meter
console(config)# Policy-map 1001
console(config-ply-map)# set policy class 1010 default-priority-type ipdscp 0
console(config-ply-map)# set meter 1 exceed-action drop
exceed-action drop - всё что выше ограничения, то отбрасываем
Источник:
docs.eltex-co.ru
Распределение очередей для принимаемого на CPU трафика для MES1400/2428x/2408x/3708P
Сервис
|
Номер очереди
|
---|---|
DHCP relay, Firewall (уведомление о начале атаки), L2PT,EOAM | 1 |
Port Security (уведомление о превышении ограничения), незарегистрированный мультикаст(режим IP based IGMP/MLD snooping) | 2 |
DHCP client, DHCPv4/v6 snooping, IPv6 NDP | 3 |
ARP, PPPoE IA | 4 |
EAPOL, IGMP/MLD snooping | 5 |
Трафик с MAC DA коммутатора | 6 |
Зарезервировано | 7 |
BPDU,LBD, Slow Protocol(LACP) | 8 |
Распределение очередей для принимаемого на CPU трафика для MES2424/2448:
Сервис
|
Номер очереди
|
---|---|
Сервис
|
Номер очереди
|
Прочий трафик | 1 |
Firewall (уведомление о начале атаки) | 2 |
Незарегистрированный мультикаст (в режиме Pbased IGMP/MLD) | 7 |
Port Security (уведомление о превышении ограничения) | 8 |
DHCP Client/Snooping | 12 |
PPPoE IA Snooping | 12 |
DHCP Server/Relay | 15 |
EAPOL | 16 |
L2 Protocol Tunneling | 16 |
LLDP | 18 |
OAM | 20 |
IPv6 ND Inspection | 21 |
ARP Inspection | 22 |
IGMP/MLD Snooping | 24 |
Пакеты с MAC DA коммутатора | 25 |
Slow protocols (LACP) | 30 |
BPDU | 31 |
Loopback detection | 31 |
Stacking | 32 |
Источник:
docs.eltex-co.ru
Рассмотрим настройку статических групп.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу,в которую будем включать интерфейсы:
console(config)#interface port-channel 1
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/1
4) Настроить статическую группу:
console(config-if)# channel-group 1 mode on , где
1 – Номер группы;
On – добавить порт в статическую группу.
Примечание: В port-channel можно добавлять порты только одного типа.
Рассмотрим настройку LACP-группы в режиме active.
В режиме active порты коммутатора являются инициаторами согласования по протоколу LACP. На встречной стороне порт должен быть настроен как в режиме active, так и в режиме passive.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу, в которую будем включать интерфейсы:
console(config)#interface port-channel 2
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/2
4) Настроить LACP-группу:
console(config-if)# channel-group 2 mode active , где
2 – номер группы;
active – добавить порт в LACP-группу в режиме active.
Рассмотрим настройку LACP-группы в режиме passive.
В режиме passive порты коммутатора не являются инициаторами согласования по протоколу LACP, находится в режиме ожидания пакетов LACP со встречной стороны. На встречной стороне порт может быть настроен в режиме active, иначе соединение не установится.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу,в которую будем включать интерфейсы:
console(config)#interface port-channel 3
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/3
4) Настроить LACP-группу:
console(config-if)# channel-group 3 mode passive , где
3 – номер группы;
passive – добавить порт в LACP-группу в режиме passive.
Примечание: начиная с версии 10.2.6 настройки:
console#configure terminal
console(config)#set port-channel enable
console(config)#interface port-channel 2
console(config-if)#no shutdown
будут включены по-умолчанию.
Источник:
docs.eltex-co.ru
Защита от петель глобально включается командой:
console(config)# loopback-detection enable
Также функционал необходимо включить на физическом интерфейсе командой:
console(config-if)# loopback-detection enable
Интервал между отправкой lbd-фреймов настраивается командой:
console(config)# loopback-detection interval <1..60>
По умолчанию интервал отправки равен 30 секундам.
Для автоматического восстановления интерфейса из состояния errdisable требуется выполнить команду:
console(config)# errdisable recovery cause loopback-detection
Источник:
docs.eltex-co.ru
Коммутатор измеряет скорость принимаемого broadcast, multicast, unknown unicast трафика для портов с включенным контролем «шторма» и отбрасывает пакеты, если скорость превышает заданное максимальное значение.
Контроль шторма настраивается на физических интерфейсах и является рекомендованной настройкой при конфигурировании клиентских портов на коммутаторах уровня доступа.
Для настройки storm-control необходимо глобально определить режим работы функционала:
console(config)# storm-control mode {kbps | pps}
По умолчанию работает режим pps.
Для настройки контроля шторма на интерфейсе используется команда:
console(config-if)# storm-control <traffic-type> level {kbps/pps}, где
<traffic-type> - тип трафика: broadcast/multicast/unknown unicast;
Kbps – лимит обработки трафика, измеряется в килобитах в секунду;
pps – лимит обработки трафика, измеряется в пакетах в секунду;
Для перевода интерфейса в errdisable при обнаружении шторма используется команда:
console(config-if)# storm-control <traffic-type> action {shutdown}, где
{shutdown} - опциональный параметр, переводящий интерфейс в состояние errdisable при превышении порога.
Источник:
docs.eltex-co.ru
Для восстановления коммутатора понадобиться ПК с tftp-сервером и доступ к коммутатору через консольный порт.
Процесс восстановления сбросит устройство к заводским настройкам.
Процесс восстановления:
1) Подключаем консольный кабель и открываем терминальную программу (например, PUTTY). Соединяем сетевую карту ПК с любым портом коммутатора. Перезагружаем коммутатор по питанию
2) В момент загрузки при появлнии в выводе терминала "Autoboot in 3 seconds " в течение трех секунд нужно ввести eltex
В зависимости от версии uboot устройство переходит или сразу в uboot ( ">>") или в меню начального загрузчика . Если коммутатор перешел сразу в режим uboot (">>"), то перейти к пункту 5
3) В начальном загрузчике нажать сочетание клавиш ctrl+shift+6 и ввести пароль eltex
4) Выбрать Аdvanced menu, нажав клавишу 6
4) Зайти в Shell, нажав клавишу 1.
5) Далее требуется ввести команды по загрузке актуальной версии ПО и начального загрузчика.
192.168.2.1 - ip addess ПК с tftp server
192.168.2.2 - ip addess коммутатора
mes2400-1021-R1.boot - название файла boot на tftp
mes2400-1021-R1.iss - название файла ПО на tftp
setenv ipaddr 192.168.2.2
setenv serverip 192.168.2.1
rtk network on
ping 192.168.2.1
tftp 0x81000000 mes2400-1021-R1.boot
sf probe 0
sf erase 0xb4000000 0x80000
sf write 0x8100005c 0xb4000000 $(filesize)
tftp 0x81000000 mes2400-1021-R1.iss
sf erase 0xb4140000 0xa00000
sf write 0x81000000 0xb4140000 $(filesize)
reset
Источник:
docs.eltex-co.ru
На коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх для хранения паролей в зашифрованном виде используется алгоритм DES-CBC. Для вывода бинарной информации используется кодировка base64.
Источник:
docs.eltex-co.ru
Максимальная потребляемая мощность коммутатора составляет 820 Ватт.
Это значение складывается из суммы максимального бюджета РоЕ, равное ~720 Ватт, максимального потребления платы коммутатора, равному ~40 Ватт и потреблению блоков питания, каждый из которых потребляет ~30 Ватт - в сумме 60 Ватт для двух БП.
720 + 40 + 30 + 30 = 820 (Вт)
Источник:
docs.eltex-co.ru
Будьте первым!