MES2428T Eltex | Коммутатор 24 порта 1G, 4 комбо-порта
Индивидуальный заказ
ТОРП
Коммутатор уровня L2 24 порта 10/100/1000BASE-T 4 порта 10/100/1000Base-T/1000Base-FX Combo; сухие контакты. Индивидуальный заказ
ОКПД2 КТРУ: 26.30.11.110-00000041
Артикул: MES2428T
Возраст: 50 лет
Офис: Москва
Опыт работы с Eltex: 0 лет
Возраст: 32 года
Офис: Москва
Опыт работы с Eltex: 5 лет
Выполненные проекты:
- ЦОД для организации из системы здравоохранения, г.Москва
- Реализация проекта телефонии 1500 абонентов для предприятия атомной отрасли
- Поставка PoE коммутаторов для организации видеонаблюдения для крупного аэропорта Москвы
- Модернизация телефонии и ШПД в Поволжье для силового ведомства
- Организация телефонии и ШПД для крупного ВУЗа в Санкт-Петербурге
- Построение ядра сети в Мурманском морском порту
- Сеть ШПД и Wi-Fi по филиалам предприятия судостроительной отрасли
- Более 10 проектов сдали СОРМ для операторов связи по всей России
- Более 20 проектов GPON для операторов связи по всей России
- ЦОД для предприятия структуры Росатом
- Русский соколиный центр Камчатка, Петропавловск-Камчатский - ШПД + wi-fi
Возраст: 29 лет
Офис: Москва
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Бесшовный Wi-Fi на территории НПЗ Газпромнефть для работы очков виртуальной реальности
- Проект сети ШПД для автоматизированной системы виброконтроля и диагностики энергоблоков АЭС
- АТС (Софтсвич ECSS-10), IP телефоны и сеть ШПД для центрального аппарата ведомства
- Оснащение коммутационным оборудованием базовых станций радио вещания применяемых структурами МЧС,МВД,ОМОН на территории краснодарского края
- Создание узла агрегации ШПД для силового ведомства
- Проект передачи 80 потоков Е1 поверх сети Ethernet для ведомственной сети
Возраст: 28 лет
Офис: Москва
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Построение Сети ШПБ и Wi-Fi для государственных ВУЗов Москвы, МО и регионов.
- Северный Речной вокзал г.Москвы, организация ЛВС, видеонаблюдения.
- Поставка криптомаршрутизаторов органам государственной охраны.
- Инсталляция сетевого оборудования на контрольно-пропускных пунктах границы РФ.
- Организация ядра сети, агрегации и доступа для «Объединённой двигателестроительной корпорации» , входящей в состав "Ростеха"
Возраст: 31 год
Офис: Москва
Опыт работы с Eltex: 3 года
Выполненные проекты:
- Реализации СОРМ-3 для операторов связи
- Организация видеонаблюдения и хранения данных в Министерстве образования и науки Республики Татарстан
- Проекты реконструкции ведомственных сетей связи комбинатов Росрезерва
- Модернизация сети связи в Краснодарском высшем военном училище
- Проект по созданию защищённого контура сети в филиалах силовых ведомств
- Модернизация телефонной сети в филиале ФГУП Главный центр Спецсвязи
- Создание защищённого контура сети с шифрованием FSTEC в филиале энергетической компании в Санкт-Петербурге
- Построение локально-вычислительной сети ситуационного центра для транспортной нефтегазовой компании
- Создание защищенной распределенной сети связи для филиалов Газпром Газораспределение Самара
- Построение локально-вычислительной сети на объектах Русал
- Организация IP-телефони для подразделений Норникель
- Построение промышленной локально-вычислительной сети и IP-телефонии в филиалах ЛОЭСК
Возраст: 50 лет
Офис: Москва
Опыт работы с Eltex: 0 лет
Возраст: 34 года
Офис: Новосибирск
Опыт работы с Eltex: 5 лет
Выполненные проекты:
- Создание сети передачи данных для ВУЗа в Нижнем Новгороде
- Более 100 GPON проектов
- Росгвардия: сеть телефонии и ШПД по всей РФ
Возраст: 36 лет
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Возраст: 31 год
Офис: Новосибирск
Опыт работы с Eltex: 7 лет
Выполненные проекты:
- Модернизация сети ШПД АО "Концерн "Созвездие"
Возраст: 33 года
Офис: Новосибирск
Опыт работы с Eltex: 4 года
Выполненные проекты:
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Новосибирск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Омск
- Сеть ШПД и телефонии с нуля для нового медицинского центра, г. Воронеж
Возраст: 28 лет
Офис: Новосибирск
Опыт работы с Eltex: 5 лет
Выполненные проекты:
- Создание IP-телефонии на базе ECSS-10 для Газпром Недра г. Тюмень
- Создание IP-телефонии на базе SMG-3016 для ПАО "Кузнецов"
- Организация сети GPON для оператора DGTEK Австралия, г. Мельбурн
- Модернизация телекоммуникационной сети в ПАО Камчатскэнерго
- Создание необходимой телекоммуникационной инфраструктуры на судебных участках мировых судей Республики Дагестан для подключения к ГАС «Правосудие»
Возраст: 36 лет
Офис: Новосибирск
Опыт работы с Eltex: 2 года
Выполненные проекты:
- Модернизация телефонии в Управлении Гидрометеорологии на базе АТС SMG-1016M
- Проект бесшовного Wi-Fi роуминга для ВУЗа
- Модернизация ЛВС для Высшего учебного заведения
Возраст: 34 года
Офис: Казань
Опыт работы с Eltex: 2 года
Выполненные проекты:
- Проработка решения по созданию Wi-Fi сети для государственных ВУЗов
- Поставка коммутаторов доступа в 85 регионов России по заданию Судебного департамента;
- Построение ядра сети для бюро морского машиностроения в г. Санкт-Петербург
Скидка с первого заказа!
Мы дилер №1 Eltex
Хит
ТОРП
20x1G SFP
4x1G Eth/SFP Combo
АКБ
4x1G Eth/SFP Combo
АКБ
ТОРП
20x1G SFP
4x1G Eth/SFP Combo
48V DC
4x1G Eth/SFP Combo
48V DC
Новинка
ТОРП
48 x 1G Eth
4 x SFP/ SFP+
36-72В DC
| Порты UPLINK | 4 |
| Особенности | сухие контакты |
| Уровень коммутатора | L2 |
| MAC-таблица | 8K |
| В реестре Минпромторга (ТОРП) | Да |
| Downlink кол-во портов | 24 |
| Тип Downlink портов | RJ-45 |
| Downlink скорость портов | 1G |
| Установка в стойку | 1U |
| Разъем для АКБ | – |
| POE | – |
| Кол-во устройств в стеке | Не поддерживается |
| Питание | AC |
| Тип аплинка | 1G |
| Размер коробки ШхВхГ, мм | 520 x 85 x 270 |
| Вес брутто, кг | 3.1 |
Бюджетный коммутатор на базе чипа Realtek
Ethernet-коммутатор MES2428T- абсолютно новое решение от Eltex не только в линейке коммутаторов MES24xx на чипе Realtek, но и среди всего оборудования. Отличается данный коммутатор наличием 4 пар сухих контактов. Располагаются контакты в правой верхнем углу передней панели коммутатора. Сухие контакты (dry contacs) имеют два состояния: замыкание контакта и размыкание контакта, обычно служат для настройки какого либо сигнала аварии, например, отключение питания на сети.
- Расширенные функции L2
- Поддержка Multicast (IGMP Snooping, MVR)
- Расширенные функции безопасности (L2-L4 ACL, IP Source Guard, Dynamic ARP Inspection и др.)
Коммутатор подключает конечных пользователей к сети крупных предприятий, предприятий малого и среднего бизнеса и к сетям операторов связи с помощью интерфейсов Gigabit Ethernet.
Коммутатор поддерживает виртуальные локальные сети, многоадресные группы рассылки и имеют расширенный набор функций безопасности.
Первичная настройка коммутаторов MES
Общие параметры
Основные функции качества обслуживания (QoS) и ограничения скорости
1 Значения указаны для односторонней передачи
- Пакетный процессор Realtek RTL8382M
- 24 порта 10/100/1000BASE-T (RJ-45)
- 4 порта Combo 10/100/1000Base-T/100Base-FX/1000Base-X
- Входные сухие контакты - 4 пары
- 1 консольный порт RS-232 (RJ-45)
- Пропускная способность - 56 Гбит/с
- Производительность на пакетах длиной 64 байта1 - 41,658 MPPS
- Объем буферной памяти - 512 Кбайт
- Объем ОЗУ (DDR3) - 256 Мбайт
- Объем ПЗУ (SPI Flash) - 32 Мбайт
- Таблица MAC-адресов - 8192
- Количество ARP-записей - 1000
- Таблица VLAN - 4094
- Количество групп L2 Multicast (IGMP Snooping) - 509
- Количество правил SQinQ - 128(ingress)/256(egress)
- Количество правил MAC ACL - 381
- Количество правил IPv4/IPv6 ACL - 219/128
- Количество L3-интерфейсов - 8 vlan, до 5 IPv4-адресов в каждом vlan, до 300 IPv6 GUA суммарно для всех vlan
- Link Aggregation Groups (LAG) - 8 групп, до 8 портов в одном LAG
- Качество обслуживания QoS - 8 выходных очередей на порт
- Размер Jumbo-фрейма - Максимальный размер пакетов 10 000 байт
- Защита от блокировки очереди (HOL)
- Поддержка Auto MDI/MDIX
- Поддержка сверхдлинных кадров (Jumbo frames)
- Управление потоком (IEEE 802.3X)
- Зеркалирование портов (SPAN,RSPAN)
- Независимый режим обучения в каждой VLAN
- Поддержка многоадресной рассылки (MAC Multicast Support)
- Регулируемое время хранения MAC-адресов
- Статические записи MAC (Static MAC Entries)
- Отслеживание событий MAC change на портах
- Логирование событий MAC Flapping
- Поддержка IEEE 802.1Q
- Поддержка Q-in-Q
- Поддержка Selective Q-in-Q
- Поддержка GVRP
- Поддержка MAC-based VLAN
- Поддержка Protocol-based VLAN
- Поддержка протокола STP (Spanning Tree Protocol, IEEE 802.1d)
- Поддержка протокола RSTP (Rapid Spanning Tree Protocol, IEEE 802.1w)
- Поддержка протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s)
- Поддержка STP Root Guard
- Поддержка STP Loop Guard
- Поддержка STP BPDU Guard
- Поддержка BPDU Filtering
- Поддержка Spanning Tree Fast Link option
- Поддержка Layer 2 Protocol Tunneling (L2PT)
- Поддержка Loopback Detection (LBD)
- Изоляция портов
- Поддержка Storm Control для различного трафика (broadcast, multicast, unknown unicast)
- Поддержка профилей Multicast
- Поддержка статических Multicast-групп
- Поддержка IGMP Snooping v1,2,3
- Поддержка IGMP Snooping fast-leave
- Поддержка функций IGMP proxy-report
- Поддержка авторизации IGMP через RADIUS
- Поддержка MLD Snooping v1,2
- Поддержка MLD Snooping fast-leave
- Поддержка IGMP Querier
- Поддержка MVR
- Создание групп LAG
- Объединение каналов с использованием LACP
- Поддержка LAG Balancing Algorithm
- Виртуальное тестирование кабеля (VCT)
- Диагностика оптического трансивера
- Функциональность IPv6 Host
- Совместное использование IPv4, IРv6
- DHCP Snooping
- Опция 82 протокола DHCP
- IP Source Guard
- Dynamic ARP Inspection (Protection)
- Проверка подлинности на основе MAC-адреса, ограничение количества MAC-адресов, статические MAC-адреса
- Проверка подлинности по интерфейсам на основе IEEE 802.1x
- Система предотвращения DoS-атак
- Сегментация трафика
- Фильтрация DHCP-клиентов
- Предотвращение атак BPDU
- PPPoE Intermediate agent
- DHCPv6 Snooping
- IPv6 Source Guard
- Поддержка функции IPv6 ND Inspection
- Поддержка функции IPv6 RA Guard
- L2-L3-L4 ACL (Access Control List)
- IPv6 ACL
- ACL на основе:
- Порта коммутатора
- Приоритета IEEE 802.1p
- VLAN ID
- EtherType
- DSCP
- Типа IP-протокола
- Номера порта TCP/UDP
- Содержимого пакета, определяемого пользователем (User Defined Bytes)
Основные функции качества обслуживания (QoS) и ограничения скорости
- Ограничение скорости на портах (shaping, policing)
- Поддержка класса обслуживания IEEE 802.1p
- Обработка очередей по алгоритмам Strict Priority/Weighted Round Robin (WRR)
- Настройка приоритета IEEE 802.1p для VLAN управления
- Классификация трафика на основании ACL
- Назначение меток CoS/DSCP на основании ACL
- Перемаркировка меток DSCP в CoS
- Перемаркировка меток CoS в DSCP
- Назначение VLAN на основании ACL
- IEEE 802.3ah, Ethernet OAM
- Dying Gasp
- IEEE 802.3ah Unidirectional Link Detection (UDLD) - протокол обнаружения однонаправленных линков
- Статистика интерфейсов
- Поддержка мониторинга загрузки CPU по задачам и по типу трафика
- Мониторинг загрузки оперативной памяти (RAM)
- Мониторинг температуры
- Мониторинг TCAM
- Загрузка и выгрузка конфигурационного файла по TFTP/SFTP
- Автоматическое резервирование (backup) файла конфигурации по TFTP/SFTP
- Протокол SNMP
- Интерфейс командной строки (CLI)
- Web-интерфейс
- Syslog
- SNTP (Simple Network Time Protocol)
- Traceroute
- LLDP (IEEE 802.1ab) + LLDP MED
- Возможность обработки трафика управления с двумя заголовками IEEE 802.1Q
- Поддержка авторизации вводимых команд с помощью сервера TACACS+
- Поддержка IPv4/IPv6 ACL для управления устройством
- Управление доступом к коммутатору – уровни привилегий для пользователей
- Блокировка интерфейса управления
- Локальная аутентификация
- Фильтрация IP-адресов для SNMP
- Клиент RADIUS, TACACS+ (Terminal Access Controller Access Control System)
- Клиент Telnet, клиент SSH
- Сервер Telnet, сервер SSH
- Поддержка макрокоманд
- Журналирование вводимых команд по протоколу TACACS+
- Автоматическая настройка DHCP
- DHCP Relay (поддержка IРv4)
- DHCP Relay Option 82
- Добавление тега PPPoE Circuit-ID
- Flash File System
- Команды отладки
- Механизм ограничения трафика в сторону CPU
- Шифрование пароля
- Ping (поддержка IPv4/IPv6)
- Поддержка статических маршрутов IPv4/IPv6
- Поддержка двух версий файлов конфигурации
- RFC 1065, 1066, 1155, 1156, 2578 MIB Structure– RFC 1212 Concise MIB Definitions
- RFC 1213 MIB II
- RFC 1215 MIB Traps Convention
- RFC 1493, 4188 Bridge MIB
- RFC 1157, 2571-2576 SNMP MIB
- RFC 1901-1908, 3418, 3636, 1442, 2578 SNMPv2 MIB
- RFC 2465 IPv6 MIB
- RFC 2737 Entity MIB
- RFC 4293 IPv6 SNMP Mgmt Interface MIB
- Private MIB
- RFC 1398, 1643, 1650, 2358, 2665, 3635 Ether-like MIB
- RFC 2668 802.3 MAU MIB
- RFC 2674, 4363 802.1p MIB
- RFC 2233, 2863 IF MIB
- RFC 2618 RADIUS Authentication Client MIB
- RFC 4022 MIB для TCP
- RFC 4113 MIB для UDP
- RFC 3289 MIB для Diffserv
- RFC 2620 RADIUS Accounting Client MIB
- RFC 768 UDP
- RFC 791 IP
- RFC 792 ICMPv4
- RFC 2463, 4443 ICMPv6
- RFC 793 TCP
- RFC 2474, 3260 Определение поля DS в заголовке IPv4 и IPv6
- RFC 1321, 2284, 2865, 3580, 3748 Extensible Authentication Protocol (EAP)
- RFC 2571, RFC 2572, RFC 2573, RFC 2574 SNMP
- RFC 826 ARP
- RFC 854 Telnet
- МЭК 61850
- Питание:
- 110–250 В AC, 50-60 Гц
- 18–72 В DC
- Максимальная потребляемая мощность - 18 Вт
- Аппаратная поддержка Dying Gasp - только для 2428T AC
- Рабочая температура окружающей среды от -20 до +50 °С
- Температура хранения от -40 до +70 °С
- Рабочая влажность не более 80%
- Охлаждение пассивное
- Исполнение - 19", 1U
- Размеры (ШxВxГ): 430x44x178
- Масса - 2,37 кг
1 Значения указаны для односторонней передачи
Программное обеспечение
Сертификаты
Ethernet-коммутатор MES2428T, 24 порта 10/100/1000 Base-T, 4 комбо-порта 10/100/1000 Base-T/100/1000 Base-X (SFP) 220V AC, сухие контакты
Опция EMS-MES-access системы Eltex.EMS для управления и мониторинга сетевыми элементами Eltex: 1 сетевой элемент MES-1000, MES-2000
Опция ECCM-MES2428T системы управления Eltex ECCM для управления и мониторинга сетевыми элементами Eltex: 1 сетевой элемент MES2428T
Комплект крепления в 19"стойку
Шнур питания 220В
Руководство по эксплуатации (по запросу поставляется на CD-диске)
Паспорт
Сертификат
[MES] Пример настройки IGMP Snooping на коммутаторах серии 24xx
Создаем вланы: 200 для данных и 300 для мультикаста
console# config terminal
console(config)# vlan 200,300
console(config-vlan-range)# vlan active vlan active
console(config-vlan-range)# exit
Добавляем вланы на порты (для примера порт 1 смотрит в сторону абонента, 25 - аплинк)
console(config)# interface gigabitethernet 0/1
console(config-if)#switchport general allowed vlan add 200 untagged
console(config-if)#switchport general pvid 200
console(config-if)#switchport multicast-tv vlan 300
console(config-if)#exit
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 200,300
Создаем профиль с разрешенными диапазонами мультикастовых групп и включаем Igmp Snooping
console(config)# ip mcast profile 1
console(config-profile)# permit
console(config-profile)# range 224.1.1.1 224.1.1.255
console(config-profile)# range 224.1.2.1 224.1.2.255
console(config-profile)# range 224.1.3.1 224.1.3.255
console(config-profile)# profile active
console(config-profile)# exit
console(config)# snooping multicast-forwarding-mode ip
console(config)# ip igmp snooping
console(config)# ip igmp snooping multicast-vlan enable
Включаем IGMP Snooping во вланах и настраиваем аплинк как порт-источник мультикаста
console(config)# vlan 200
console(config-vlan)# ip igmp snooping
console(config-vlan)# exit
console(config)# vlan 300
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping fast-leave (опционально)
console(config-vlan)# ip igmp snooping mrouter gigabitethernet 0/25
console(config-vlan)# ip igmp snooping multicast-vlan profile 1
console(config-vlan)# end
[MES] Автоматическое обновление и конфигурация на MES1400/MES2400
Для успешного автообновления коммутатор должен находиться в заводской конфигурации.
После ввода команд:
console# delete startup-config
console# reload
Конфигурация будет сброшена к заводской и начнется процесс загрузки ПО, начального загрузчика и конфигурации.
Процесс автообновления состоит из следующих этапов:
- В пакете DHCP Discover коммутатор запрашивает поддерживаемые опции.
Поддерживаемые опции автоконфигурирования для коммутаторов серии MES24xx:
43 - Vendor Specific
66 - Server-Name
67 - Bootfile-Name
- В пакете DHCP ACK в соответствии с настройками сервер предоставляет коммутатору запрашиваемую информацию(ПО, начальный загрузчик, конфигурация, IP адрес TFTP сервера).
- Коммутатор загружает ПО в неактивную область и boot файл, затем перезагружается.
- После перезагрузки коммутатор загружает файл конфигурации, затем перезагружается.
Настройка isc dhcp-server возможна с помощью нескольких опций. Примеры конфигурации сервера:
# Пример настройки с опцией 66-67
option tftp-server code 66 = string;
option bootfile-name code 67 = string;
shared-network "net" {
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.99;
option tftp-server "192.168.2.1"; # IP-адресс TFTP сервера
option bootfile-name "mes2400-1026-R2.iss"; # Имя файла ПО
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.254;
}
}
# Пример настройки с опцией 43
option space vendor_43;
option vendor_43.image-name_43 code 1 = string;
option vendor_43.bootfile-name_43 code 2 = string;
option vendor_43.configfile-name_43 code 3 = string;
option vendor_43.tftp-server_43 code 4 = string;
shared-network "net" {
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.99;
vendor-option-space vendor_43;
option vendor_43.image-name_43 "mes2400-1026-R2.iss"; # Имя файла ПО
option vendor_43.bootfile-name_43 "mes2400-1026-R2.boot"; # Имя начального загрузчика
option vendor_43.configfile-name_43 "startup.conf"; # Имя файла конфигурации
option vendor_43.tftp-server_43 "192.168.2.1"; # IP-адрес TFTP сервера
option routers 192.168.2.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.2.254;
}
}
Примечание:
Порядок загрузки файлов: Boot -> Файл ПО -> Config
Файл ПО не загружается, если версия загружаемого ПО совпадает с версией текущей прошивки.
Boot не загружается, если имя загружаемого boot файла совпадает с именем ранее загруженного файла boot с помощью DHCP опций.
Конфигурация не загружается, если у коммутатора имеется конфигурация в startup-config.
[MES] Конфигурация DHCP Relay на MES1400/MES2400
Коммутаторы поддерживают функции DHCPRelayагента. Задачей DHCPRelayагента является передача DHCP-пакетов от клиента к серверу и обратно в случае, если DHCP-сервер находится в од-ной сети, а клиент в другой. Другой функцией является добавление дополнительных опций в DHCP-запросы клиента (например, опции 82).
Принцип работы DHCP Relay агента на коммутаторе: коммутатор принимает от клиента DHCP-запросы, передает эти запросы серверу от имени клиента (оставляя в запросе опции с требуемыми клиентом параметрами и, в зависимости от конфигурации, добавляя свои опции). Получив ответ от сервера, коммутатор передает его клиенту.Совместная работа dhcprelay и dhcpsnooping в текущей версии невозможна.
Пример настройки коммутатора:
console# configure terminal
console(config)# vlan 2-3
console(config-vlan-range)# vlan active
console(config-vlan-range)# exit
console(config)# interface vlan 2
console(config-if)# ip add 192.168.2.2 255.255.255.0
console(config-if)# no shutd
console(config-if)# exit
console(config)# int vl 3
console(config-if)# ip add 192.168.1.2 255.255.255.0
console(config-if)# no shutd
console(config-if)# exit
console(config)# service dhcp-relay
console(config)# ip dhcp server 192.168.1.1
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 2
console(config-if)# interface gigabitethernet 0/2
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 3
[MES] Настройка функций DHCP Snooping, IP Source Guard и IP ARP inspection на MES1400/MES2400
Видео-инструкция по настройке функций DHCP Snooping, IP Source Guard и IP ARP inspection на MES1400/MES2400
[MES] Загрузка/выгрузка конфигурации с/на TFTP-сервер на MES1400/ MES2400
Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:
console# copy tftp:// xxx.xxx.xxx.xxx/File_Name startup-config
, где
- xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
- File_Name – имя конфигурационного файла;
и нажать Enter.
Для выгрузки файла первоначальной конфигурации на TFTP сервер необходимо в командной строке CLI ввести следующую команду:
console# copy startup-config tftp:// xxx.xxx.xxx.xxx/File_Name
, где
- xxx.xxx.xxx.xxx – IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
- File_Name – имя конфигурационного файла;
и нажать Enter.
[MES] Загрузка первоначальной конфигурации (startup config) на устройство MES1400 MES2400
Для выполнения загрузки файла начальной конфигурации startup config на коммутатор необходимо воспользоваться командой
Для выполнения загрузки файла начальной конфигурации startup config на коммутатор необходимо воспользоваться командой
console# copy tftp://x.x.x.x/test.conf startup-config
Имя файла конфигурации на сервере обязательно должно быть с расширением ".conf".
В начале файла конфигурации необходимо добавить строку с символом «!».
[MES] Мониторинг параметров окружения на MES1400/2400
Для мониторинга параметров окружения коммутатора, таких как состояние вентиляторов, температурные значения термодатчика, утилизация CPU и др. используется команда:
Для мониторинга параметров окружения коммутатора, таких как состояние вентиляторов, температурные значения термодатчика, утилизация CPU и др. используется команда:
Пример для MES2408C AC:
console# show env all
RAM Threshold : 100%Current RAM Usage : 75%CPU utilization : EnabledCPU Threshold : 100%CPU Usage for 5 sec : 4%CPU Usage for 1 min : 2%CPU Usage for 5 min : 2%Min power supply : 100vMax power supply : 230vCurrent power supply : 230vMax Temperature : 80CMin Temperature : -30CCurrent Temperature : 32CFlash Threshold : 100%Current Flash Usage : 68%Mgmt Port Routing : DisabledReset-button mode : EnabledCPU tasks utilization : Enabled
Task name 5 seconds 1 minute 5 minutes--------- --------- -------- ---------TMR# 0% 0% 0%PKTT 0% 0% 0%VcmT 0% 0% 0%SMT 0% 0% 0%CFA 0% 0% 0%IPDB 0% 0% 0%L2DS 0% 0% 0%BOXF 0% 0% 0%ERRD 0% 0% 0%ELMT 0% 0% 0%EOAT 0% 0% 0%FMGT 0% 0% 0%AstT 0% 0% 0%PIf 0% 0% 0%LaTT 0% 0% 0%CMNT 0% 0% 0%VLAN 0% 0% 0%GARP 0% 0% 0%FDBP 0% 0% 0%SnpT 0% 0% 0%QOS 0% 0% 0%SMGT 0% 0% 0%CPUU 0% 0% 0%BAKP 0% 0% 0%RT6 0% 0% 0%IP6 0% 0% 0%PNG6 0% 0% 0%RTM 0% 0% 0%IPFW 0% 0% 0%UDP 0% 0% 0%ARP 0% 0% 0%PNG 0% 0% 0%SLT 0% 0% 0%SAT 0% 0% 0%TCP 0% 0% 0%RAD 0% 0% 0%TACT 0% 0% 0%DHRL 0% 0% 0%DHC 0% 0% 0%DCS 0% 0% 0%PIA 0% 0% 0%L2SN 0% 0% 0%HST 0% 0% 0%HRT1 0% 0% 0% HRT2 0% 0% 0%HRT3 0% 0% 0%CLIC 2% 0% 0%CTS 0% 0% 0%SSH 0% 0% 0%LLDP 0% 0% 0%LBD 0% 0% 0%LOGF 0% 0% 0%SNT 0% 0% 0%STOC 0% 0% 0% HWPK 0% 0% 0%MSR 0% 0% 0%
Dry contacts states
Pair State---- ---------
Dying Gasp status : Enabled
Также вывод параметров доступен блочно. Например, для мониторинга утилизации CPU можно использовать команду:
console# show env cpu
CPU utilization : Enabled
CPU Threshold : 100%
CPU Usage for 5 sec : 5%
CPU Usage for 1 min : 2%
CPU Usage for 5 min : 2%
Для мониторинга доступны следующие блоки:
console# show env CPU
console# show env RAM
console# show env dry-contacts
console# show env dying-gasp
console# show env flash
console# show env power
console# show env reset-button
console# show env tasks
console# show env temperature
[MES] Настройка приветствия для неавторизованных пользователей на коммутаторах MES1400/2400
Для настройки приветствия неавторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:
console(config)# banner exec
коммутатор предложит ввести текст приветствия,который должен быть ограничен 1024 символами и заканчиваться на "@", пример:
console# conf t
console(config)# banner exec
Enter the banner text up to 1024 characters. End with symbol '@'
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
console(config)# exit
console# exit
<134> 15-Jan-1970 04:29:56.080 CLI-6-User admin logged out from console
login: admin
Password:
<129> 15-Jan-1970 04:29:59.660 CLI-1-Attempt to login as admin via console Succeeded
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
<134> 15-Jan-1970 04:29:59.670 CLI-6-User admin logged in via console
console#
[MES] Обновление ПО через CLI на MES1400/MES2400
Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.
Настройки терминальной программы при подключении к коммутатору через последовательный порт:
- выбрать соответствующий последовательный порт.
- установить скорость передачи данных – 115200 бит/с.
- задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.
- отключить аппаратное и программное управление потоком данных.
- задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).
Загрузка файла системного ПО в энергонезависимую память коммутатора.
- Для моделей коммутаторов MES1428, MES2408, MES2428, MES3708P используются файлы системного ПО и начального загрузчика mes2400-xxxx-xxx.iss, mes2400-xxxx-xxx.boot.
- Для моделей коммутаторов MES2424 используются файлы системного ПО и начального загрузчика mes2424-xxxx-xxx.iss, mes2424-xxxx-xxx.boot.
- Для моделей коммутаторов MES2448 используются файлы системного ПО и начального загрузчика mes2448-xxxx-xxx.iss, mes2448-xxxx-xxx.boot.
1. Загрузка файла начального загрузчика в энергонезависимую память коммутатора
Для загрузки файла начального загрузчика необходимо в командной строке CLI ввести следующую команду:
#console copy tftp://<ip-address>/filename boot,
где
- <ip-address> — IP-адрес TFTP-сервера, с которого будет производиться загрузка файла начального загрузчика;
- filename — имя файла начального загрузчика.
Процесс копирования выглядит следующим образом:
console# copy tftp://<ip-address>/filename.boot boot
Erasing bootloader sector and starting copy operation...
...Completed: 10 %...
...Completed: 20 %...
...Completed: 30 %...
...Completed: 40 %...
...Completed: 50 %...
...Completed: 60 %...
...Completed: 70 %...
...Completed: 80 %...
...Completed: 90 %...
Copied tftp://<ip-address>/filename.boot ==> boot
Если загрузка файла начального загрузчика прошла успешно, то появится сообщение вида:
Copied tftp://<ip-address>/filename.boot ==>boot
Перейти к пункту 2 инструкции.
Если процесс обновления прерывается сообщением %Copied invalid bootloader file, то нужно проверить целостность файла начального загрузчика на tftp-сервере.
Если процесс обновления прерывается сообщением %Unable to copy remote bootloader file, то нужно проверить:
- Доступность tftp-сервера
- Наличие файла и его соответствие модели устройства.
После устранения ошибок нужно повторить загрузку файла начального загрузчика и перейти к пункту 2.
2. Загрузка файла системного ПО в энергонезависимую память коммутатора
Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:
#console copy tftp://<ip-address>/filename.iss image,
где
- <ip-address>—IP-адрес TFTP-сервера, с которого будет производиться загрузка файла системного ПО;
- filename—имяфайла системного ПО.
Процесс копирования выглядит следующим образом:
console# copy tftp://<ip-address>/filename.iss image
Erasing bootloader sector and starting copy operation...
...Completed: 10 %...
...Completed: 20 %...
...Completed: 30 %...
...Completed: 40 %...
...Completed: 50 %...
...Completed: 60 %...
...Completed: 70 %...
...Completed: 80 %...
...Completed: 90 %...
Copied tftp://<ip-adress>/filename.iss image ==> image
Если загрузка файла системного ПО прошла успешно, то появится сообщение вида:
Copied tftp://<ip-address>/filename.iss ==>image
Перейти к пункту 3 инструкции.
Если процесс обновления прерывается сообщением %Copied invalid image, то нужно проверить целостность файла начального загрузчика на tftp-сервере.
Если процесс обновления прерывается сообщением %Unable to copy remote image, то нужно проверить:
- Доступность tftp-сервера
- Наличие файла и его соответствие модели устройства.
После устранения ошибок нужноповторитьзагрузку файла системного ПО и перейти к пункту 3.
3. Выбор файла системного ПО, который будет активен после перезагрузки коммутатора
По умолчанию файл системного ПО загружается в неактивную область памяти (Inactive image) и будет активным после перезагрузки коммутатора.
4. Перезагрузка коммутатора
Для выполнения перезагрузки необходимо выполнить команду reload.
[MES] Особенности downgrade ПО коммутаторов MES1400/MES2400
Ввиду расширения функционала, а также по причине усовершенствования синтаксиса тех или иных команд от версии к версии могут возникнуть изменения в формате представления настроек устройства.
В данной статье отображены изменения в синтаксисе команд, начиная от версии 10.2.6, которые могут повлиять на предоставление сервисов и поведение устройства (в т.ч доступ до коммутатора) при downgrade версии ПО. В случае с обновлением версии ПО предусмотрен автоматический переход к новому синтаксису команд без вмешательства оператора. Для предотвращения изменений в работе функционала, претерпевших изменение синтаксиса или логики работы в новых версиях, downgrade требуется производить по следующей методике:
- Перед началом downgrade версии ПО требуется в startup-config загрузить конфигурацию предыдущей версии ПО (со старым синтаксисом);
- Сменить образ ПО (если требуется, предварительно загрузить его в неактивный образ ПО);
- Не сохраняя конфигурации перезагрузить устройство.
- Изменения в логике отображения команды
no shutdownв конфигурации при переходе с 10.2.7 (и выше) на версии ниже 10.2.7 :
По причине смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.
- Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) на версии ниже 10.2.6:
Изменен синтаксис команд login authenthication, enable authenthication, которые приведены к виду aaa authenthication {login | enable}. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:
- Изменения в синтаксисе команды
logging-file и logging-serverв конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2 :
Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:
[MES] Отключение кнопки "F" на MES1400/MES2400
Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к завод-ским настройкам:
- при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.
Отключить кнопку можно командой:
console(config)# reset-button disable
Чтобы запретить сброс устройства к заводским настройкам, но разрешить перезагрузку, следует ввести команду:
console(config)# reset-button reset-only
[MES] Просмотр информации в выводе команд show для коммутаторов MES1400/MES2400
При просмотре информации командой show можно использовать несколько способов:
- Для вывода информации постранично используем «space»
-
Для вывода информации построчно «enter»
При использовании команды
console# set cli pagination off
вывод информации командой show будет происходить полностью, не постранично
[MES] Резервирование конфигурации на TFTP-сервере для MES1400/2400
Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.
Настройка:
1) Включаем автоматическое резервирование конфигурации на сервере
console(config)# backup auto
2) Указываем сервер, на который будет производиться резервирование конфигурации.
console(config)# backup server tftp://10.10.10.1
3) Указываем путь расположения файла на сервере
console(config)# backup path backup.conf
Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.
4) Включаем сохранение истории резервных копий
console(config)# backup history enable
5) Указываем промежуток времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.
console(config)# backup time-period 500
6) Включаем резервирование конфигурации при сохранении пользователем конфигурации
console(config)# backup write-memory
Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.
[MES] Сброс конфигурации к заводским настройкам MES1400/2400
console# delete startup-config
и перезагрузив коммутатор,
а также при помощи кнопки "F" на лицевой панели.
Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.
[MES] Диагностика возможных проблем при работе с РоЕ устройствами MES1400 MES2400
Модели коммутаторов MES с суффиксом ‘P’ в обозначении поддерживают электропитание устройств по линии Ethernet в соответствии с рекомендациями IEEE 802.3af (PoE) и IEEE 802.3at (PoE+). Эксплуатировать коммутаторы необходимо только с заземленным корпусом.
При возникновении проблем с питанием PoE устройств понять возможную причину проблемы можно, используя команды:
1) Команда позволяющая посмотреть состояние электропитания всех интерфейсов, поддерживающих питание по линии PoE:
Из вывода видно, что на девятом порту находится РоЕ устройство класса 3.
2) Посмотреть состояние электропитания конкретного интерфейса можно следующей командой:
show power inline [проблемный порт]
Из вывода в динамике, используя счетчики ошибок, можно определить возможные причины конфликтов в подаче PoE. Пример:
| Status | Оперативное состояние электропитания порта. Возможные значения: Off - питание порта выключено административно Searching – питание порта включено, ожидание подключения PoE-устройства On – питание порта включено и есть присоединеннное PoE-устройство Fault – авария питания порта. PoE-устройство запросило мощность большую, чем доступно или потребляемая PoE-устройством мощность превысила заданный предел. |
| Overload Counter | Счетчик количества случаев перегрузки по электропитанию |
| Short Counter | Счетчик случаев короткого замыкания |
|
Invalid Signature Counter |
Счетчик ошибок классификации подключенных PoE-устройств |
| Power Denied Counter | Счетчик случаев отказа в подаче электропитания |
| MPS Absent Counter | Счетчик случаев прекращения электропитания из-за отключения питаемого устройства |
3) Следующая команда отображает характеристики потребления мощности всех PoE-интерфейсов устройства:
show power inline consumption
Пример вывода команды:
Каждая отдельная проблема с подачей питания по PoЕ требуют индивидуальной подхода к решению, проблема может быть на стороне конечного устройства РоЕ, кабеля или коммутатора.
При обращении в службу технической поддержки необходимо предоставить выводы вышеперечисленных команд, а также команды show bootv, sh logiging
[MES] Запуск вывода отладок debug в консоль или удаленную сессию на MES1400/ MES2400
На коммутаторах серии 14хх/24хх есть возможность запуска отладочных команд debug. Перед запуском команд следует настроить вывод отладочной информации в локальную сессию по консоли, в удаленную сессию или в файл на флеш.
Настройки в локальную сессию (при подключении по консоли):
config#debug-logging console
console(config)#debug console
Вывод в текущую удаленную сессию:
console#debug terminal take
console(config)#debug console
Вывод информации в файл
console(config)#debug-logging file
Файл с логами находится в директории dir LogDir/Debug
[MES] Недоступность по управлению (telnet/ssh) на устройство MES1400 MES2400
Бывают случаи, когда коммутаторы недоступны удаленно, при этом услуги клиентам предоставляются.
Что требуется выяснить:
1) После каких действий возникла проблема. Сама по себе или после настроек?
2) Отвечает ли коммутатора на icmp, snmp?
3) Подключиться консолью и выполнить следующие команды:
show tech-support
dump task name
dump sockets
Результаты выполнения команд сохранить в отдельный файл. Для восстановления управления перезагрузить устройство по питанию.
[MES] Остановка выполнения команд на MES1400 MES2400
Выполнение команд можно остановить двойным нажатием на клавишу Esc.
Выполнение команд можно остановить двойным нажатием на клавишу Esc.
[MES] Просмотр детализированной статистики загрузки процессора MES24xx MES1428
При эксплуатации коммутаторов в сетях клиентов могут возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%.
Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, статистике и утилизации CPU, полученная в момент проблемы.
Команды необходимо выполнять в момент проблемы 5 раз с интервалом 20 секунд:
show env cpu
show cpu rate limit
show env tasks
Далее снять:
show tech-sup
[MES] Просмотр информации об установленном трансивере (серийный номер, тип, входную/выходную мощность и др) на MES1400 MES2400
Для этого необходимо воспользоваться командой:
console# show fiber-ports optical-transceiver {gigabitethernet gi_port | tengigabitethernet te_port}
Для этого необходимо воспользоваться командой:
console# show fiber-ports optical-transceiver {gigabitethernet gi_port | tengigabitethernet te_port}
Пример:
console# show fiber-ports optical-transceiver gi0/9
Port Temp Voltage Current Output Input LOS Transceiver
[C] [V] [mA] Power Power Type
[mW / dBm] [mW / dBm]
----------- ------ ------- -------- ------------- -------------- ---- -------------
gi1/0/9 23.6 3.304 22.550 0.27 / -5.65 0.00 / -40.00 Yes Fiber
Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts/dBm
Input Power - Measured RX received power in milliWatts/dBm
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, E - error
Transceiver information:
Vendor name: OEM
Serial number: S1C53253701826
Part number: APSB53123CDS20
Vendor revision: 1.00
Connector type: SC
Transceiver type: SFP/SFP+
Compliance code: 1000BASE-BX10
Laser wavelength: 1550 nm
Transfer distance: 20000 m
Diagnostic: Supported
[MES] Просмотр статистики порта на MES1400 MES2400
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе
console# show interfaces counters [interface-id]
Например,
sh interfaces counters GigabitEthernet 0/5
|
|
|
|
|
|
InDiscard |
InErrs |
InHCOctet |
|
|
|
|
|
|
5 |
0 |
110684852 |
|
|
|
|
|
|
OutDiscard |
OutErrs |
OutHCOctet |
|
|
|
|
|
|
0 |
0 |
71762424 |
InOctets - Количество принятых байтов.
InUcast -Количество принятых одноадресных пакетов.
InMcast - Количество принятых многоадресных пакетов.
InBcast - Количество принятых широковещательных пакетов.
OutOctets - Количество переданных байтов.
OutUcast - Количество переданных одноадресных пакетов.
OutMcast - Количество переданных многоадресных пакетов.
OutBcast - Количество переданных широковещательных пакетов
InDiscard - Количество отброшенных пакетов на приеме
OutDiscard - Количество отброшенных пакетов на передаче
InErrs - Количество ошибок на приеме
OutErrs - Количество ошибок на передаче
InHCOctet - Количество принятых 64-битных пакетов
OutNCOctet - Количество переданных 64-битных пакетов
[MES] Тестирование медного кабеля с выводом результата по каждой паре на MES1400 MES2400
console# test cable-diagnostics tdr interface GigabitEthernet 1/0/5
|
Port |
Pair |
Result |
Lenght [m] |
Date |
|
gi1/0/5 |
1-2 |
Open |
1 |
24-Mar-2014 10:16:22 |
|
3-6 |
Open |
1 |
||
|
4-5 |
Open |
1 |
||
|
7-8 |
Open |
1 |
Обрыв на расстоянии 1м по каждой паре.
[MES] Запрет добавления дефолтного VLAN на порту на MES1400 MES2400
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
Необходимо в режиме настройки Ethernet интерфейса выполнить команду:
console(config-if)# switchport forbidden default-vlan
[MES] Настройка port security MES1400 MES2400
По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static.
По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static.
Пример настройки port-security в режиме lock.
Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
Пример настройки максимального количества MAC адресов, которое может изучить порт:
Установить режим ограничения изучения максимального количества MAC-адресов:
console(config-if)# switchport port-security mode max-addresses
Задать максимальное количество адресов, которое может изучить порт, например, 10:
console(config-if)# switchport port-security mac-limit 10
Включить функцию защиты на интерфейсе:
console(config-if)# switchport port-security enable
show-команды:
show run
show mac-address-table
[MES] Настройка изоляции портов (protected-port) на MES1400 MES2400
Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой необходимо воспользоваться функцией изоляция портов.
Данная функция позволяет изолировать группу портов (в пределах одного коммутатора), находящихся в одном широковещательном домене между собой, позволяя при этом обмен трафиком с другими портами, находящимися в этом же широковещательном домене, но не принадлежащими к этой группе.
Например, необходимо на MES2428 изолировать порты Gigabit Ethernet 0/1 и Gigabit Ethernet 0/2.
Для этого нужно включить функцию на данных портах:
console# configure
console(config)# interface range GigabitEthernet 0/1-2
console(config-if-range)# switchport protected
Также возможно разрешить обмен трафиком только между определенными портами.
Например, необходимо разрешить прохождение трафика между Gi0/3 и Gi0/4, при этом с другими портами данные порты не смогут обмениваться трафиком:
console(config)# interface GigabitEthernet 0/3
console(config-if)# port-isolation gi 0/4
Для того, чтобы в данную группу добавить еще один порт, необходимо воспользоваться опцией "add", иначе текущая группа затрётся:
console(config-if)# port-isolation add gi 0/5
Получаем:
interface gigabitethernet 0/3
port-isolation add gi 0/4-5
[MES] Отключение DHCP-клиента на MES1400 MES2400
console(config-if)# no ip address dhcp
console(config-if)# no ip address dhcp
Например, отключить DHCP-клиент на интерфейсе VLAN 2
console(config)# interface vlan 2
console(config-if)# no ip address dhcp
[MES] Сброс настроек интерфейса в default на MES1400 MES2400
Выполнить команду и подтвердить её исполнение в глобальном режиме конфигурации:
console(config)# default interface gi0/10
Configuration for these interfaces will be set to default.
It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y
[MES] Настройка Selective QinQ на MES1400 MES2400
Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.
Рассмотрим несколько типовых примеров настройки SQinQ
1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30. Конфигурация выглядит следующим образом:
interface gigabitethernet 0/11
switchport mode general
switchport general allowed vlan add 31
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress-vlan 31
selective-qinq list ingress add-vlan 30
exit
!
interface gigabitethernet 0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit
2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4:
interface gigabitethernet 0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress add-vlan 4 ingress-vlan 234,324,657
exit
3) Для vlan 68,456,905 добавить метку 3. Остальной трафик отбросить.
interface gigabitethernet 0/2
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress deny
exit
4) Для всего трафика приходящего на порт 15 добавить метку 30
interface gigabitethernet 0/15
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit
или
interface gigabitethernet 0/15
switchport acceptable-frame-type untaggedAndPriorityTagged
switchport mode access
switchport access vlan 30
switchport dot1q tunnel
exit
5) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68
interface gigabitethernet 0/8
switchport mode general
switchport general allowed vlan add 3,4
selective-qinq list ingress override-vlan 3 ingress-vlan 856
selective-qinq list ingress override-vlan 4 ingress-vlan 68
selective-qinq list egress override-vlan 856 ingress-vlan 3
selective-qinq list egress override-vlan 68 ingress-vlan 4
exit
[MES] Настройка защиты от петель (LBD) на MES1400 MES2400
Данный механизм позволяет коммутатору обнаруживать закольцованные интерфейсы. Петля на порту обнаруживается путём отсылки коммутатором фрейма с широковещательным адресом назначения.
Защита от петель глобально включается командой:
console(config)# loopback-detection enable
Также функционал необходимо включить на физическом интерфейсе командой:
console(config-if)# loopback-detection enable
Интервал между отправкой lbd-фреймов настраивается командой:
console(config)# loopback-detection interval <1..60>
По умолчанию интервал отправки равен 30 секундам.
Для автоматического восстановления интерфейса из состояния errdisable требуется выполнить команду:
console(config)# errdisable recovery cause loopback-detection
[MES] Настройка защиты от широковещательного шторма на MES1400 MES2400
Шторм возникает вследствие чрезмерного количества broadcast, multicast, unknown unicast пакетов, одновременно передаваемых по сети через один порт, что приводит к перегрузке ресурсов сети и появлению задержек. Шторм может возникнуть при наличии «закольцованных» сегментов в сети Ethernet.
Коммутатор измеряет скорость принимаемого broadcast, multicast, unknown unicast трафика для портов с включенным контролем «шторма» и отбрасывает пакеты, если скорость превышает заданное максимальное значение.
Контроль шторма настраивается на физических интерфейсах и является рекомендованной настройкой при конфигурировании клиентских портов на коммутаторах уровня доступа.
Для настройки storm-control необходимо глобально определить режим работы функционала:
console(config)# storm-control mode {kbps | pps}
По умолчанию работает режим pps.
Для настройки контроля шторма на интерфейсе используется команда:
console(config-if)# storm-control <traffic-type> level {kbps/pps}, где
<traffic-type> - тип трафика: broadcast/multicast/unknown unicast;
Kbps – лимит обработки трафика, измеряется в килобитах в секунду;
pps – лимит обработки трафика, измеряется в пакетах в секунду;
Для перевода интерфейса в errdisable при обнаружении шторма используется команда:
console(config-if)# storm-control <traffic-type> action {shutdown}, где
{shutdown} - опциональный параметр, переводящий интерфейс в состояние errdisable при превышении порога.
[MES] Настройка RSPAN MES1400 MES2400
Оганизуем мониторинг трафика с портов GigabitEthernet 0/1, GigabitEthernet 0/2 на порт GigabitEthernet 0/3. К зеркалируемому трафику добавим vlan 200.
config ter
vlan 200
vlan active
exit
monitor session 1 source interface gigabitethernet 0/1
monitor session 1 source interface gigabitethernet 0/2
monitor session 1 destination remote vlan 200
monitor session 1 destination interface gigabitethernet 0/3
[MES] Настройка зеркалирования SPAN на коммутаторах MES1400 MES2400
Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.
При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.
Существует возможность настроить до 4-х сессий зеркалирования.
К контролирующему порту применяются следующие ограничения:
- Порт не может быть контролирующим и контролируемым портом одновременно;
- IP-интерфейс должен отсутствовать для этого порта;
К контролируемым портам применяются следующие ограничения:
- Порт не может быть контролирующим и контролируемым портом одновременно.
Пример настройки SPAN:
Оганизуем мониторинг трафика с портов GigabitEthernet 0/1, GigabitEthernet 0/2 на порт GigabitEthernet 0/3.
console(config)#monitor session 1 source interface gigabitethernet 0/1
console(config)#monitor session 1 source interface gigabitethernet 0/2
console(config)#monitor session 1 destination interface gigabitethernet 0/3
В выводе команды show monitor session X, где Х - это номер сессии можно просмотреть информацию по контролирующим и контролируемым портам:
console#show monitor session 1
Mirroring is globally Enabled.
Session : 1
-------
Source Ports
Rx : None
Tx : None
Both : Gi0/1,Gi0/2
Destination Ports : Gi0/3
Session Status : Active
Rspan Disabled
[MES] Настройка IGMP MES1428 MES24xx
Функция IGMP Snooping используется в сетях групповой рассылки. Основной задачей IGMP Snooping является предоставление многоадресного трафика только для тех портов, которые запросили его.
Пример настройки. Multicast-трафик передается в vlan 10. Клиенты за портом gi0/1.
configure terminal
vlan 10
vlan active
ip igmp snooping
exit
ip igmp snooping
interface gigabitethernet 0/1
no shutdown
switchport general allowed vlan add 10 untagged
switchport general pvid 10
exit
interface gigabitethernet 0/26
no shutdown
switchport general allowed vlan add 10
exit
Для настройки статического mrouter-порта используются команды:
Vlan 10
ip igmp snooping mrouter gigabitethernet 0/26
Для запрета изучения mrouter-портов применяется команда
vlan 10
ip igmp snooping blocked-router gi 0/х
Show-команды:
show ip igmp snooping groups - показать информацию об изученных многоадресных группах, участвующих в групповой рассылке
show ip igmp snooping mrouter - показать информацию об изученных многоадресных маршрутизаторах
show ip igmp snooping forwarding-database - показать информацию о поступающем multicast-трафике
[MES] Запретить динамическое обучение igmp snooping mrouter порта MES1400 MES2400
Для запрета динамического обучения mrouter порта в таблице igmp snooping нужно воспользоваться acl. IP ACL фильтрует igmp query пакеты, таким образом запрещает изучение динамического igmp snooping mrouter порта
Создаем смещение для использования в ACL
console(config)#user-defined offset 1 l4 0
Создаем IP ACL
console(config)# ip access-list extended 1001
console(config)# deny 2 any any user-defined offset1 0x1100 0xff00
2 - номер протокола IGMP
0x1100 0xff00 - фильтрация по типу пакета (IGMP Membership Query (MQ) messages )
Создаем разрешающий IP ACL для пропуска всего трафика
console(config)# ip access-list extended 64000
Привязываем к оба ACL к нужному порту
console(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1001 in
console(config-if)# ip access-group 64000 in
C версии 10.2.6.3 для блокировки динамического обучения mrouter портов можно воспользоваться командой в контексте настройки multicast vlan
console(config)# vlan X
console(config-if)# ip igmp snooping
console(config-if)# ip igmp snooping blocked-router gigabitethernet 0/x
где gigabitethernet 0/x - даунлинк порты
[MES] Настройка IGMP snooping fast-leave host based MES1400 MES2400
Настройка позволяет удалить запись в таблице igmp snooping для конкретного устройства за портом при получении igmp leave сообщения. Для настройки igmp snooping fast-leave необходимо выполнить следующие настройки.
Пример настройки для мультикаст vlan 10 для порта gigabitethernet 0/1
(config)# snooping leave-process config-level port
(config)# vlan 10
console(config-vlan)#ip igmp snooping
console(config-vlan)#ip igmp snooping fast-leave
console(config-vlan)#ip igmp snooping sparse-mode enable
(config)# interface gigabitethernet 0/1
(config-if)# ip igmp snooping leavemode exp-hosttrack
[MES] Настройка MVR (Multicast vlan registration) MES1400 MES2400
Функция «Multicast-TV VLAN» дает возможность использовать для передачи многоадресного трафика одну VLAN в сети оператора и доставлять этот трафик пользователям даже в том случае, если они не являются членами этой VLAN. С помощью функции «MVR» может быть сокращена нагрузка на сеть оператора за счет отсутствия дублирования многоадресных данных при предоставлении услуги IPTV.
Пример настройки MVR. Аплинк порт - gigabitethernet 0/1, fastethernet 0/1 - клиентский порт. vlan 10 - клиентский вилан, vlan 100 - мультикаст вилан
Создаем и активируем vlan
console(config)# vlan 10,100
console(config-vlan)# vlan active
console(config-vlan)# exit
Создаем и активируем мультиксат профиль. Указываем в профиле диапазоны мультикаст групп, которые будут поступать на коммутатор. Это обязательный шаг
console(config)# ip mcast profile 1
console(config-profile)# permit
console(config-profile)# range 232.0.0.1 232.0.0.5
console(config-profile)# profile active
console(config-profile)# exit
Активируем ip igmp snooping для vlan 100.
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100
Настроить режим обработки мультикаст трафика ip
console(config)# snooping multicast-forwarding-mode ip
Активировать MVR и привязать к нему мультикаст профиль
console(config)# ip igmp snooping multicast-vlan enable
console(config)# vlan 100
console(config-vlan)# ip igmp snooping multicast-vlan profile 1
Выполнить настройки на портах
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode trunk
console(config-if)# exit
console(config)# interface fastethernet 0/1
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 10
console(config-if)# switchport multicast-tv vlan 100
console(config-if)# exit
[MES] Настройка ограничений для мультикаст групп (ip mcast profile) MES1400 MES2400
Для ограничения просмотра мультикаст групп за портами абонентов можно использовать функционал ip mcast profile.
Пример настройки
gigabitethernet 0/1 - абонентский порт
gigabitethernet 0/25 - аплинк порт
vlan 10 – мультикаст
vlan 19 - данные
Активируем ip igmp snooping и функцию фильтрации
console(config)# ip igmp snooping
console(config)# ip igmp snooping filter
Создаем ip mcast profile
console(config)#ip mcast profile 2
console(config-profile)# permit
console(config-profile)# range 225.0.0.1 225.0.0.3
console(config-profile)# profile active
Настроить режим обработки мультикаст трафика ip
console(config)# snooping multicast-forwarding-mode ip
Включаем ip igmp snooping для vlan. Активируем фильтрацию незарегестрированного мультикаста
console(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
Выполняем настройки на портах
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport general allowed vlan add 10,19
console(config-if)# ip igmp snooping filter-profileId 2
console(config-if)# no shutdown
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode trunk
console(config-if)# no shutdown
[MES] Настройка ограничений количества мультикаст групп на порту (IGMP Snooping limit groups) MES1400 MES2400
Для настройки ограничения по количеству групп на порту используется команды
Пример настройки
gigabitethernet 0/1 - абонентский порт
gigabitethernet 0/25 - аплинк порт
vlan 10 – мультикаст
vlan 19 - данные
Активируем ip igmp snooping и функцию фильтрации
console(config)# ip igmp snooping
console(config)# ip igmp snooping filter
Включаем ip igmp snooping для vlan. Активируем фильтрацию незарегестрированного мультикаста
console(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
Выполняем настройки на портах. Ограничиваем максимальное количество мультикаст групп за портом gigabitethernet 0/1 до 5
console(config)# interface gigabitethernet 0/1
console(config-if)# switchport general allowed vlan add 10,19
console(config-if)# ip igmp snooping limit groups 5
console(config)# interface gigabitethernet 0/25
console(config-if)# switchport mode trunk
console(config-if)# no shutdown
[MES] Настройка фильтрации незарегистрированного мультикаста MES1400 MES2400
Мультикаст считается незарегестрированным, если его нет в таблице ip igmp snooping. Отображается таблица командой show ip igmp snooping group
Активируем ip igmp snooping
console(config)# ip igmp snooping
В контексте vlan. Активируем фильтрацию незарегестрированного мультикаста
console(config)# vlan 10
console(config-vlan)# ip igmp snooping
console(config-vlan)# ip igmp snooping sparse-mode enable
[MES] Настройка PPPoE MES1400 MES2400
Коммутаторы MES24xx, MES1428 поддерживают функцию PPPoE IA.
Функция PPPoE IA реализована в соответствии с требованиями документа DSL Forum TR-101 и предназначена для использования на коммутаторах, работающих на уровне доступа. Функция позволяет дополнять пакеты PPPoE Discovery информацией, характеризующей интерфейс доступа. Это необходимо для идентификации пользовательского интерфейса на сервере доступа (BRAS, Broadband Remote Access Server). Управление перехватом и обработкой пакетов PPPoE Active Discovery осуществляется глобально для всего устройства и выборочно для каждого интерфейса.
Пример настройки:
confgure terminal
pppoe-ia snooping
pppoe passthrough
!
dcs information option enable
!
vlan 10
pppoe-ia snooping
!
interface gigabitethernet 0/1
switchport general allowed vlan add 10 untagged
switchport general pvid 10
dcs agent-circuit-identifier "%v %p %h"
dcs remote-agent-identifier "%M"
!
interface gigabitethernet 0/2
switchport general allowed vlan add 10
port-security-state trusted
set port-role uplink
no shutdown
Порт gi0/2-uplink, gi0/1-downlink
[MES] Настройка SNTP на MES1400 MES2400
Включить источник времени sntp:
clock time source ntp
Настроить sntp-клиента для сервера 192.168.1.1:
Sntp
set sntp client enabled
set sntp client addressing-mode unicast
set sntp unicast-server ipv4 192.168.10.5
Вручную установить параметры:
- Часовой пояс:
set sntp client time-zone +07:00
2.Формат отображения часов (hh:mm/ampm):
set sntp client clock-format ampm
------------------------------------------------------------------
Show-команды:
show clock
show sntp clock
show sntp status
show sntp statistics
[MES] Настройка и работа системного журнала Syslog MES1400 MES2400
Видео по настройке и работе системного журнала Syslog для MES1400 MES2400
[MES] Настройка фильтрации PVST, Rapid PVST stp bpdu MES1400 MES2400
Для фильтрации PVST, Rapid PVST stp bpdu на коммутаторах MES14xx/24xx необходимо использовать MAC ACL. Команда spanning-tree bpdufilter фильтрует stp bpdu для режимов STP/RSTP/MST (DST MAC 01:80:c2:00:00:00 )
Настройка MAC ACL для фильтрации PVST, Rapid PVST stp bpdu (DST MAC 01:00:0c:cc:cc:cd)
mac access-list extended 1
deny any host 01:00:0c:cc:cc:cd
mac access-list extended 100
interface gigabitethernet 0/23
mac access-group 1 in
mac access-group 100 in
[MES] Настройка RADIUS-авторизации на MES1400 MES2400
Протокол RADIUS используется для аутентификации, авторизации и учета. Сервер RADIUS использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети, а также при доступе к самому коммутатору.
- Для начала необходимо указать ip-адрес radius-сервера и указать key:
console(config)# radius-server host 192.168.2.1 key test
- Далее установить способ аутентификации для входа в систему по протоколу radius:
console(config)# aaa authentication login radius local
Примечание: На коммутаторах серии 1400 и 2400 используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
- Установить способ аутентификации при повышении уровня привилегий:
console(config)# aaa authentication enable radius enable
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
- Создать учетную запись:
console(config)# username test password test privilege 15
- Задать пароль на доступ в привилегированный режим:
console(config)# enable password test
[MES] Настройка TACACS-авторизации на MES1400 MES2400
Протокол TACACS+ обеспечивает централизованную систему безопасности для проверки пользователей, получающих доступ к устройству.
- Для начала необходимо указать ip-адрес tacacs-сервера и указать key:
console(config)# tacacs-server host 192.168.2.1 key secret
- Далее установить способ аутентификации для входа в систему по протоколу tacacs+:
console(config)# aaa authentication login tacacs local
Примечание: На коммутаторах серии 1400 и 2400 используется алгоритм опроса метода аутентификации break (после неудачной аутентификации по первому методу процесс аутентификации останавливается). Начиная с версии 10.2.8 доступна настройка метода опроса аутентификации break/chain. Алгоритм работы метода chain - после неудачной попытки аутентификации по первому методу в списке следует попытка аутентификации по следующему методу в цепочке
- Установить способ аутентификации при повышении уровня привилегий:
console(config)# aaa authentication enable tacacs local
Чтобы не потерять доступ до коммутатора (в случае недоступности radius-сервера), рекомендуется создать учетную запись в локальной базе данных, и задать пароль на привилегированный режим.
- Создать учетную запись:
console(config)# username test password test privilege 15
- Задать пароль на доступ в привилегированный режим:
console(config)# enable password test
[MES] Настройка авторизации вводимых команд через Tacacs+ на MES1400 MES2400
Данный функционал позволяет запускать авторизацию для каждой вводимой пользователем команды на Tacacs+-сервере.
Пример конфигурации:
1.Добавить Tacacs-сервер, задать ключ и выбрать тип ASCII
console(config)# tacacs-server host 192.168.11.2 key secret
console(config)# tacacs-server authentication type ascii
2.Включить авторизацию вводимых команд на сервере Tacacs+:
console(config)# aaa authorization command 1 tacacs
console(config)# aaa authorization command 7 tacacs
console(config)# aaa authorization command 15 tacacs
В данном примере авторизация команд настраивается для всех трех уровней привилегий.
В случае недоступности Tacacs-сервера авторизация команд прекращается - будут недоступны все команды.
Если добавить метод local:
console(config)# aaa authorization command 1 tacacs local
console(config)# aaa authorization command 7 tacacs local
console(config)# aaa authorization command 15 tacacs local
То в случае недоступности сервера все команды будут доступны без авторизации.
[MES] Настройка ARP Inspection на MES1400 MES2400
Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с использованием протокола ARP (например, ARP-spoofing – перехват ARP-трафика). Контроль протокола ARP осуществляется наосновании таблицы соответствий DHCPsnooping или статических соответствий IP- и MAC-адресов, заданных для группы VLAN.
Пример настройки на основании статических соответствий IP- и MAC-адресов.
Включить контроль протокола ARP и добавить в список статическое соответствие IP- и MAC-адресов для соответствующей группы VLAN.
console(config)# ip arp inspection enable
console(config)# ip arp inspection vlan 398
console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10
По умолчанию все интерфейсы «недоверенные».
Для того, чтобы добавить интерфейс в список доверенных при использовании контроля протокола ARP, необходимо для интерфейса выполнить команду:
console(config-if)# port-security-state trusted
console(config-if)# set port-role uplink
Пример настройки на основании таблицы соответствий DHCP snooping
Включить контроль протокола ARP и функцию DHCP snooping для соответствующей группы VLAN.
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
console(config)# ip arp inspection
console(config)# ip arp inspection vlan 398
На порт, за которым находится DHCP-север необходимо ввести настройку:
console(config-if)# set port-role uplink
console(config-if)# port-security-state trusted
[MES] Настройка IP source guard на MES1400 MES2400
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.
Пример настройки
Включить функцию защиты IP-адреса для фильтрации трафика на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Интерфейс в 398-й группе VLAN:
console(config)# ip dhcp snooping
console(config)# ip dhcp snooping vlan 398
Создать статическую запись в таблице соответствия для интерфейса, например, для gigabitethernet 0/10: IP-адрес клиента – 192.168.2.10, его MAC-адрес – 00:11:22:33:44:55:
console(config)# ip source binding 00:11:22:33:44:55 vlan 398 192.168.2.10 interface gigabitethernet 0/10
Включить функцию защиты IP-адреса для интерфейса gigabitethernet 0/10:
console(config-if)# ip verify source port-security
console(config-if)# port-security-state trusted
На порт, за которым находится DHCP-север необходимо ввести настройку:
console(config-if)# set port-role uplink
console(config-if)# port-security-state trusted
[MES] Настройка Management ACL на MES1400 MES2400
Management ACL фильтрует трафик управления (ssh/telnet/snmp/http/https), который предназначается коммутатору (dst mac/ip коммутатора) и применяется глобально.
В Management ACL создаются только разрешающие правила. Всё что под них не попадает – запрещено.
- Разрешить прохождение всего трафика из сети 10.10.10.0 /24 в VLAN 100
- Разрешить доступ до web-сервера с хоста 30.30.30.1
- Все остальное запретить (неявное правило deny any any)
console(config)# authorized-manager ip-source 10.10.10.0 255.255.255.0
interface gigabitethernet 0/1-24 vlan 100
console(config)# authorized-manager ip-source 30.30.30.1 255.255.255.255
interface gigabitethernet 0/1-24 service https
[MES] Правила конфигурации IPv4/IPv6/MAC ACL MES1400 MES2400
Правила конфигурации:
- Каждый ACL содержит только 1 правило.
- Несколько ACL можно привязать к одному интерфейсу.
- Порядок отработки правил определяется по приоритету правила , указанному в ACL, при равенстве приоритетов - по номеру ACL.
- ACL автоматически снимается с интерфейса при изменении в нем правила.
- Максимальное число ACL – 100 IP/IPv6 и 100 MAC.
- На данный момент поддерживается только входящее направление на интерфейсах(in).
- В стандартных IP ACL возможна фильтрация только по префиксам, в расширенных ACL – по дополнительным параметрам.
- После того, как любой ACL будет привязан к интерфейсу, для этого интерфейса применится правило implicit deny any any.
Пример настройки фильтрации padi/pado через User-defined offset:
console(config)# user-defined offset 1 ethtype 0
console(config)# mac access-list extended 1
console(config-ext-macl)# deny 00:00:00:00:00:01 ff:ff:ff:ff:ff:00 any user-defined offset1 0x8863 0xffff
console(config-ext-macl)# ex
console(config)# interface gigabitethernet 0/1
console(config-if)# mac access-group 1 in
Для прохождения остальных пакетов на интерфейсе требуется добавить второй ACL, разрешающий прохождение пакетов, не попадающих под правило фильтрации padi/pado:
console(config)# mac access-list extended 2
console(config-ext-macl)# permit any any
console(config-ext-macl)# ex
console(config)# interface gigabitethernet 0/1
console(config-if)# mac access-group 2 in
[MES] Маркировка трафика меткой COS/DSCP при помощи Policy на MES1400 MES2400
Создаем IP ACL, указываем трафик, над которым будут производиться действия
console(config)# ip access-list extended 1001
console(config-ext-nacl)# permit ip any any
Создаем Class-map, привязываем к нему ACL, устанавливаем COS=5
console(config)# class-map 1001
console(config-cls-map)# match access-group ip 1001
console(config-cls-map)# set class 1001 regen-priority 5 group-name qos1
Создаем Policy-map, привязываем к нему ACL, устанавливаем DSCP=46
console(config)# policy-map 1001
console(config-ply-map)# set policy class 1001 default-priority-type ipDscp 46
Настраиваем пользовательский интерфейс, привязываем Class-map.
console(config)# interface fastethernet 0/1
console(config-if)# ip access-group 1001 in
Настраиваем uplink, разрешаем перемаркировку COS
console(config)# interface fastethernet 0/2
console(config-if)# qos map regen-priority-type vlanPri enable
[MES] Ограничение скорости входящего/исходящего трафика на порту для коммутаторов MES1400 MES2400
Для этого необходимо в режиме настройки Ethernet-интерфейса выполнить следующие команды.
Для ограничения входящего трафика:
console(config-if)# rate-limit input <rate>
, где rate скорость трафика в кбит/с.
Примечание: значение rate должно быть кратно 16 и должно находиться в пределах 16 - 4194288 кбит/с.
Для ограничения исходящего трафика:
console(config-if)# rate-limit output <rate>
, где rate скорость трафика в кбит/с
Примечание: значение rate должно быть кратно 16 и должно находиться в пределах 16 - 1000000 кбит/с.
[MES] Ограничение скорости входящего трафика на основании Policy Перейти к концу метаданных MES1400 MES2400
Данный функционал позволяет ограничить скорость только для выбранного трафика
Создать ACL для классификации трафика по порту:
console(config)# mac access-list extended 1
console(config-ext-macl)# permit any any
Прикрепить ACL на требуемый порт (gi0/2)
console(config)# interface gi 0/2
console(config-if)# mac access-group 1 in
Создать Class-map, привязать ACL к ней
console(config)# Class-map 1001
console(config-cls-map)# match access-group mac-access-list 1
console(config-cls-map)# set class 1010
Создать meter и указать ограничение в kbps
console(config)# meter 1
console(config-meter)# meter-type avgRate cir 10000 kbps
Создать Policy-map, привязать к ней class-map, а также привязать созданный ранее meter
console(config)# Policy-map 1001
console(config-ply-map)# set policy class 1010 default-priority-type ipdscp 0
console(config-ply-map)# set meter 1 exceed-action drop
exceed-action drop - всё что выше ограничения, то отбрасываем
[MES] Очереди для принимаемого на CPU трафика MES1400 MES2400 MES 3708P
Распределение очередей для принимаемого на CPU трафика для MES1400/2428x/2408x/3708P и MES2424/2448:
Распределение очередей для принимаемого на CPU трафика для MES1400/2428x/2408x/3708P
|
Сервис
|
Номер очереди
|
|---|---|
| DHCP relay, Firewall (уведомление о начале атаки), L2PT,EOAM | 1 |
| Port Security (уведомление о превышении ограничения), незарегистрированный мультикаст(режим IP based IGMP/MLD snooping) | 2 |
| DHCP client, DHCPv4/v6 snooping, IPv6 NDP | 3 |
| ARP, PPPoE IA | 4 |
| EAPOL, IGMP/MLD snooping | 5 |
| Трафик с MAC DA коммутатора | 6 |
| Зарезервировано | 7 |
| BPDU,LBD, Slow Protocol(LACP) | 8 |
Распределение очередей для принимаемого на CPU трафика для MES2424/2448:
|
Сервис
|
Номер очереди
|
|---|---|
|
Сервис
|
Номер очереди
|
| Прочий трафик | 1 |
| Firewall (уведомление о начале атаки) | 2 |
| Незарегистрированный мультикаст (в режиме Pbased IGMP/MLD) | 7 |
| Port Security (уведомление о превышении ограничения) | 8 |
| DHCP Client/Snooping | 12 |
| PPPoE IA Snooping | 12 |
| DHCP Server/Relay | 15 |
| EAPOL | 16 |
| L2 Protocol Tunneling | 16 |
| LLDP | 18 |
| OAM | 20 |
| IPv6 ND Inspection | 21 |
| ARP Inspection | 22 |
| IGMP/MLD Snooping | 24 |
| Пакеты с MAC DA коммутатора | 25 |
| Slow protocols (LACP) | 30 |
| BPDU | 31 |
| Loopback detection | 31 |
| Stacking | 32 |
[MES] Настройка Port-Channel на MES1400 MES2400
Устройство поддерживает два режима работы группы портов (port-channel) – статическая группа и группа, управляемая по протоколу LACP.
Рассмотрим настройку статических групп.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу,в которую будем включать интерфейсы:
console(config)#interface port-channel 1
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/1
4) Настроить статическую группу:
console(config-if)# channel-group 1 mode on , где
1 – Номер группы;
On – добавить порт в статическую группу.
Примечание: В port-channel можно добавлять порты только одного типа.
Рассмотрим настройку LACP-группы в режиме active.
В режиме active порты коммутатора являются инициаторами согласования по протоколу LACP. На встречной стороне порт должен быть настроен как в режиме active, так и в режиме passive.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу,в которую будем включать интерфейсы:
console(config)#interface port-channel 2
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/2
4) Настроить статическую группу:
console(config-if)# channel-group 2 mode active , где
2 – Номер группы;
active – добавить порт в статическую группу в режиме active.
Рассмотрим настройку LACP-группы в режиме passive.
В режиме passive порты коммутатора не являются инициаторами согласования по протоколу LACP, находится в режиме ожидания пакетов LACP со встречной стороны. На встречной стороне порт может быть настроен в режиме active, иначе соединение не установится.
Необходимо выполнить следующее:
1) Включаем работу LAG глобально на коммутаторе:
console#configure terminal
console(config)#set port-channel enable
2) Активируем группу,в которую будем включать интерфейсы:
console(config)#interface port-channel 3
console(config-if)#no shutdown
console(config-if)#exit
3) Перейти в режим конфигурирования порта:
console(config)# interface GigabitEthernet0/3
4) Настроить статическую группу:
console(config-if)# channel-group 3 mode passive , где
3 – Номер группы;
passive – добавить порт в статическую группу в режиме passive.
Примечание: начиная с версии 10.2.6 настройки:
console#configure terminal
console(config)#set port-channel enable
console(config)#interface port-channel 2
console(config-if)#no shutdown
будут включены по-умолчанию.
[MES] Настройка Syslog и SNMP trap по событию Dying Gasp для MES1400 MES2400
Технология "Dying gasp" позволяет проинформировать администратора сети при отключении питания от коммутатора через отправку syslog сообщения или snmp-trap, а также с помощью пакетов ethernet OAM.
Если коммутатор аппаратно поддерживает технологию "Dying gasp", то есть возможность настроить отправку сообщения по протоколу syslog или snmp trap в момент отключения электропитания от устройства.
Информация о том, какие устройства аппаратно поддерживают Dying gasp, можно найти в "Руководстве пользователя" в таблице 9 – Основные технические характеристики.
1) Настраиваем SYSLOG сервер на устройстве. В примере используется настройка для local 0, severity от 1 до 7
console(config)# logging-server 128 ipv4 192.168.2.2
console(config)# logging-server 129 ipv4 192.168.2.2
console(config)# logging-server 130 ipv4 192.168.2.2
console(config)# logging-server 131 ipv4 192.168.2.2
console(config)# logging-server 132 ipv4 192.168.2.2
console(config)# logging-server 133 ipv4 192.168.2.2
console(config)# logging-server 134 ipv4 192.168.2.2
console(config)# logging-server 135 ipv4 192.168.2.2
2) Настраиваем отправку SNMP trap. Community private, сервер 192.168.2.2
console(config)# snmp user SimpleUser
console(config)# snmp community index 1 name private security SimpleUser
console(config)# snmp group SimpleGroup user SimpleUser security-model v2c
console(config)# snmp access SimpleGroup v2c read iso write iso notify iso
console(config)# snmp view iso 1 included
console(config)# snmp targetaddr SimpleHost param SimpleParams 192.168.2.2 taglist SimpleTag
console(config)# snmp targetparams SimpleParams user SimpleUser security-model v2c message-processing v2c
console(config)# snmp notify SimpleNotify tag SimpleTag type Trap
3) Для отправки информации по Dying gasp необходимо обязательно настроить OAM на порту
console(config)# set ethernet-oam enable
console(config)# interface gigabitethernet 0/2
console(config-if)# ethernet-oam enable
[MES] Восстановление коммутатора при некорректном обновлении ПО MES1400 MES2400
Если в процессе обновления вместе с версией ПО не был обновлен начальный загрузчик, то коммутатор не сможет загрузиться корректно. Порты не перейдут в UP.
Для восстановления коммутатора понадобиться ПК с tftp-сервером и доступ к коммутатору через консольный порт.
Процесс восстановления сбросит устройство к заводским настройкам.
Процесс восстановления:
1) Подключаем консольный кабель и открываем терминальную программу (например, PUTTY). Соединяем сетевую карту ПК с любым портом коммутатора. Перезагружаем коммутатор по питанию
2) В момент загрузки при появлнии в выводе терминала "Autoboot in 3 seconds " в течение трех секунд нужно ввести eltex
В зависимости от версии uboot устройство переходит или сразу в uboot ( ">>") или в меню начального загрузчика . Если коммутатор перешел сразу в режим uboot (">>"), то перейти к пункту 5
3) В начальном загрузчике нажать сочетание клавиш ctrl+shift+6 и ввести пароль eltex
4) Выбрать Аdvanced menu, нажав клавишу 6
4) Зайти в Shell, нажав клавишу 1.
5) Далее требуется ввести команды по загрузке актуальной версии ПО и начального загрузчика.
192.168.2.1 - ip addess ПК с tftp server
192.168.2.2 - ip addess коммутатора
mes2400-1021-R1.boot - название файла boot на tftp
mes2400-1021-R1.iss - название файла ПО на tftp
setenv ipaddr 192.168.2.2
setenv serverip 192.168.2.1
rtk network on
ping 192.168.2.1
tftp 0x81000000 mes2400-1021-R1.boot
sf probe 0
sf erase 0xb4000000 0x80000
sf write 0x8100005c 0xb4000000 $(filesize)
tftp 0x81000000 mes2400-1021-R1.iss
sf erase 0xb4140000 0xa00000
sf write 0x81000000 0xb4140000 $(filesize)
reset
Рассчитать стоимость доставки MES2428T Eltex | Коммутатор 24 порта 1G, 4 комбо-порта
Данный сервис поможет Вам узнать ориентировочную стоимость доставки Вашего товара
Выберите маршрут
Страна назначения
Населенный пункт
Сопутствующее оборудование
EMS-MES-access для управления и мониторинга сетевыми элементами Eltex: 1 сетевой элемент MES-1000, MES-2000.
