MES2428T Eltex | Коммутатор 24 порта 1G, 4 комбо-порта

Для того, чтобы произвести загрузку/выгрузку файла конфигурации с использованием CLI, необходимо подключиться к коммутатору при помощи терминальной программы (например, HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.

Для загрузки файла первоначальной конфигурации с TFTP сервера необходимо в командной строке CLI ввести команду:

console# copy tftp://xxx.xxx.xxx.xxx/File_Name.conf startup-config

Где xxx.xxx.xxx.xxx - IP-адрес TFTP сервера, с которого будет производиться загрузка конфигурационного файла;
File_Name - имя конфигурационного файла

и нажать Enter.

Для выгрузки файла первоначальной конфигурации на TFTP сервер, необходимо в командной строке CLI ввести следующую команду:

console# copy startup-config tftp://xxx.xxx.xxx.xxx/File_Name.conf

Где
xxx.xxx.xxx.xxx - IP-адрес TFTP сервера, на который будет производиться выгрузка конфигурационного файла;
File_Name - имя конфигурационного файла

и нажать Enter.

Для выполнения загрузки файла начальной конфигурации startup config на коммутатор необходимо воспользоваться командой

console# copy tftp://x.x.x.x/test.conf startup-config

Имя файла конфигурации на сервере обязательно должно быть с расширением ".conf".

В начале файла конфигурации необходимо добавить строку с символом «!».

На коммутаторах MES1400/MES2400 реализован функционал замены running-config конфигурацией из файла в памяти коммутатора без перезагрузки.

replace running-config flash:path

Пример выполнения команды :

console#replace running-config flash:test.txt

This command will replace the current switch configuration. Do you want to continue? (Y/N)[N]
Writing running-config to file '/mnt/runningbackup.conf'...
Running-config written successfully
Calculating diff...
Applying diff commands... (step 1)
... 50%
... 100%

Applying diff commands... (step 2)

Applying diff commands... (step 3)
Cleaning up memory...

Commands that are not applied:
<empty>

Ссылка на настройку стекирования MES14xx/24xx/3400-xx/37xx.

Стек из коммутаторов Eltex — объединение двух или более (до восьми) управляемых однотипных коммутаторов согласно матрице стекирования, предназначенное для увеличения числа портов. Стек идентифицируется как один логический коммутатор — один IP-адрес, один системный MAC-адрес.

Перед выполнением настроек стекирования следует убедиться, не активна ли в текущий момент какая-либо стековая конфигурация (например, стековые порты) командой show stack configuration.

Конфигурация коммутатора:

console(config)# stack configuration links te1-4

возможные варианты синтаксиса при настройке:
stack configuration links te 1-2
stack configuration links te 1, te3

Внимание - настроить можно только два порта одновременно

console(config)# stack configuration unit-id 1-8

Конфигурация стекирования будет применена после перезагрузки.

Перезагрузка определенного unit:

console# reload unit 2

Процедура обновления ПО стека:

При обновлении ПО, файл загружается на Master юнит, далее автоматически выполняется синхронизация файлов ПО Master юнита с остальными юнитами в стеке

При перезагрузке для обновления, ПО обновляется на всех юнитах одновременно.

Ссылка на матрицу стекирования для MES14xx/24xx/3400-xx/37xx.

Для мониторинга параметров окружения коммутатора, таких как состояние вентиляторов, температурные значения термодатчика, утилизация CPU и др. используется команда:

Пример для MES2408C AC:

console# show env all

RAM Threshold : 100%
Current RAM Usage : 75%
CPU utilization : Enabled
CPU Threshold : 100%
CPU Usage for 5 sec : 4%
CPU Usage for 1 min : 2%
CPU Usage for 5 min : 2%
Min power supply : 100v
Max power supply : 230v
Current power supply : 230v
Max Temperature : 80C
Min Temperature : -30C
Current Temperature : 32C
Flash Threshold : 100%
Current Flash Usage : 68%
Mgmt Port Routing : Disabled
Reset-button mode : Enabled
CPU tasks utilization : Enabled

Task name 5 seconds 1 minute 5 minutes
--------- --------- -------- ---------
TMR#         0%        0%        0%
PKTT         0%        0%        0%
VcmT         0%        0%        0%
SMT          0%        0%        0%
CFA          0%        0%        0%
IPDB         0%        0%        0%
L2DS         0%        0%        0%
BOXF         0%        0%        0%
ERRD         0%        0%        0%
ELMT         0%        0%        0%
EOAT         0%        0%        0%
FMGT         0%        0%        0%
AstT         0%        0%        0%
PIf          0%        0%        0%
LaTT         0%        0%        0%
CMNT         0%        0%        0%
VLAN         0%        0%        0%
GARP         0%        0%        0%
FDBP         0%        0%        0%
SnpT         0%        0%        0%
QOS          0%        0%        0%
SMGT         0%        0%        0%
CPUU         0%        0%        0%
BAKP         0%        0%        0%
RT6          0%        0%        0%
IP6          0%        0%        0%
PNG6         0%        0%        0%
RTM          0%        0%        0%
IPFW         0%        0%        0%
UDP          0%        0%        0%
ARP          0%        0%        0%
PNG          0%        0%        0%
SLT          0%        0%        0%
SAT          0%        0%        0%
TCP          0%        0%        0%
RAD          0%        0%        0%
TACT         0%        0%        0%
DHRL         0%        0%        0%
DHC          0%        0%        0%
DCS          0%        0%        0%
PIA          0%        0%        0%
L2SN         0%        0%        0%
HST          0%        0%        0%
HRT1         0%        0%        0% 
HRT2         0%        0%        0%
HRT3         0%        0%        0%
CLIC         2%        0%        0%
CTS          0%        0%        0%
SSH          0%        0%        0%
LLDP         0%        0%        0%
LBD          0%        0%        0%
LOGF         0%        0%        0%
SNT          0%        0%        0%
STOC         0%        0%        0% 
HWPK         0%        0%        0%
MSR          0%        0%        0%

Dry contacts states

Pair State
---- ---------

Dying Gasp status : Enabled

Также вывод параметров доступен блочно. Например, для мониторинга утилизации CPU можно использовать команду:

console# show env cpu

CPU utilization : Enabled

CPU Threshold : 100%

CPU Usage for 5 sec : 5%

CPU Usage for 1 min : 2%

CPU Usage for 5 min : 2%

Для мониторинга доступны следующие блоки:

console# show env CPU

console# show env RAM

console# show env dry-contacts

console# show env dying-gasp

console# show env flash

console# show env power

console# show env reset-button 

console# show env tasks

console# show env temperature

Для настройки приветствия авторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:

console(config)# banner login string

где string — текст приветствия длиной до 256 символов.

При вводе команды без параметра string коммутатор предложит ввести текст приветствия, который должен быть ограничен 1024 символами и заканчиваться на "@", пример:

console# configure
console(config)# banner login
Enter the banner text up to 1024 characters. End with symbol '@'
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
console(config)# exit
console#

Для настройки приветствия неавторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:

console(config)# banner exec

коммутатор предложит ввести текст приветствия,который должен быть ограничен 1024 символами и заканчиваться на "@", пример:

console# conf t
console(config)# banner exec
Enter the banner text up to 1024 characters. End with symbol '@'
_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________
console(config)# exit
console# exit
<134> 15-Jan-1970 04:29:56.080 CLI-6-User admin logged out from console
login: admin
Password:

<129> 15-Jan-1970 04:29:59.660 CLI-1-Attempt to login as admin via console Succeeded

_________________________________________________
_________________________________________________
!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!
_________________________________________________
_________________________________________________

<134> 15-Jan-1970 04:29:59.670 CLI-6-User admin logged in via console
console#

Для того, чтобы произвести обновление ПО с использованием CLI необходимо подключиться к коммутатору при помощи терминальной программы (например HyperTerminal) по протоколу Telnet или SSH, либо через последовательный порт.

Настройки терминальной программы при подключении к коммутатору через последовательный порт:

• выбрать соответствующий последовательный порт. 
• установить скорость передачи данных – 115200 бит/с.
• задать формат данных: 8бит данных, 1 стоповый бит, без контроля четности.
• отключить аппаратное и программное управление потоком данных.
• задать режим эмуляции терминала VT100 (многие терминальные программы используют данный режим эмуляции терминала в качестве режима по умолчанию).

Загрузка файла системного ПО в энергонезависимую память коммутатора.

• Для моделей коммутаторов MES1428, MES2408, MES2428, MES3708P используются файлы системного ПО и начального загрузчика mes2400-xxxx-xxx.iss, mes2400-xxxx-xxx.boot.
• Для моделей коммутаторов MES2424 используются файлы системного ПО и начального загрузчика mes2424-xxxx-xxx.iss, mes2424-xxxx-xxx.boot.
• Для моделей коммутаторов MES2448 используются файлы системного ПО и начального загрузчика mes2448-xxxx-xxx.iss, mes2448-xxxx-xxx.boot.

1. Загрузка файла начального загрузчика в энергонезависимую память коммутатора

Для загрузки файла начального загрузчика необходимо в командной строке CLI ввести следующую команду:

#console copy tftp://<ip-address>/filename boot

где

• <ip-address> - IP-адрес TFTP-сервера, с которого будет производиться загрузка файла начального загрузчика;
• filename - имя файла начального загрузчика.

Процесс копирования выглядит следующим образом:

console# copy tftp://<ip-address>/filename.boot boot

Erasing bootloader sector and starting copy operation...

...Completed: 10 %...

...Completed: 20 %...

...Completed: 30 %...

...Completed: 40 %...

...Completed: 50 %...

...Completed: 60 %...

...Completed: 70 %...

...Completed: 80 %...

...Completed: 90 %...

Copied tftp://<ip-address>/filename.boot ==> boot

Если загрузка файла начального загрузчика прошла успешно, то появится сообщение вида:

Copied tftp://<ip-address>/filename.boot ==>boot

Перейти к пункту 2 инструкции.

Если процесс обновления прерывается сообщением %Copied invalid bootloader file, то нужно проверить целостность файла начального загрузчика на tftp-сервере.

Если процесс обновления прерывается сообщением %Unable to copy remote bootloader file, то нужно проверить:

• Доступность tftp-сервера
• Наличие файла и его соответствие модели устройства. 

После устранения ошибок нужно повторить загрузку файла начального загрузчика и перейти к пункту 2.

2. Загрузка файла системного ПО в энергонезависимую память коммутатора

Для загрузки файла системного ПО необходимо в командной строке CLI ввести следующую команду:

#console copy tftp://<ip-address>/filename.iss image

где

• <ip-address> - IP-адрес TFTP-сервера, с которого будет производиться загрузка файла системного ПО;
• filename - имя файла системного ПО.

Процесс копирования выглядит следующим образом:

console# copy tftp://<ip-address>/filename.iss image

Erasing bootloader sector and starting copy operation...

...Completed: 10 %...

...Completed: 20 %...

...Completed: 30 %...

...Completed: 40 %...

...Completed: 50 %...

...Completed: 60 %...

...Completed: 70 %...

...Completed: 80 %...

...Completed: 90 %...

Copied tftp://<ip-adress>/filename.iss image ==> image

Если загрузка файла системного ПО прошла успешно, то появится сообщение вида:

Copied tftp://<ip-address>/filename.iss ==>image

Перейти к пункту 3 инструкции.

Если процесс обновления прерывается сообщением %Copied invalid image, то нужно проверить целостность файла начального загрузчика на tftp-сервере.

Если процесс обновления прерывается сообщением %Unable to copy remote image, то нужно проверить:

• Доступность tftp-сервера
• Наличие файла и его соответствие модели устройства.

После устранения ошибок нужно повторитьзагрузку файла системного ПО и перейти к пункту 3.

3. Выбор файла системного ПО, который будет активен после перезагрузки коммутатора

По умолчанию файл системного ПО загружается в неактивную область памяти (Inactive image) и будет активным после перезагрузки коммутатора.

4. Перезагрузка коммутатора

Для выполнения перезагрузки необходимо выполнить команду reload.

Начиная с версии ПО 10.4.2, в коммутаторах MES14xx, MES24xx, MES3400-xx и MES37хх изменилась схема наименования интерфейсов — они получили номер юнита в стеке. Например:

• В старых версиях: GigabitEthernet 0/1
• В новых версиях: GigabitEthernet 1/0/1

Такие имена интерфейсов не распознаются в версиях ПО ниже 10.4.х и могут привести к тому, что конфигурация не загрузится в случае downgrade ПО.

Чтобы избежать потери конфигурации, необходимо заранее подготовить конфигурационный файл, заменив несовместимые имена интерфейсов.

Шаги по безопасному downgrade:

1. Скопируйте текущую конфигурацию на TFTP-сервер. Для этого необходимо подключиться к коммутатору при помощи терминальной программы по протоколу Telnet или SSH, либо через последовательный порт и выполнить команду:

copy startup-config tftp://<IP-сервера>/startup.conf

2. Отредактируйте конфигурацию. Откройте файл startup.conf в любом текстовом редакторе (например, Notepad++, VS Code). Найдите и замените все интерфейсы вида 1/0/X на 0/X

3. Загрузите модифицированную конфигурацию обратно на коммутатор при помощи команды:

copy tftp://<IP-сервера>/startup.conf startup-config

4. Выполните downgrade версии ПО. Для этого необходимо скопировать ПО нужной версии (например, 10.3.6.13) на коммутатор при помощи команд:

copy tftp://<IP-сервера>/mes2424-1036-R4.iss image

copy tftp://<IP-сервера>/mes2424-1036-R4.boot boot

5. Перезагрузите коммутатор следующей командой:

reload

Изменения в логике отображения команды no shutdown в конфигурации при переходе с 10.2.7 (и выше) на версии ниже 10.2.7 :

По причине смены формата конфигурации между версиями 10.2.6.2 (и ниже) и 10.2.7 (и выше) , которые затронули логику отображения команды no shutdown на портах, при откате версии ПО все порты перейдут в состояние shutdown. При downgrade версии в startup-config должна лежать конфигурация предыдущей версии ПО с явно прописанной командой no shutdown на всех портах.

• Изменение в синтаксисе команд ААА при переходе с 10.2.6 (и выше) на версии ниже 10.2.6:

Изменен синтаксис команд login authenthication, enable authenthication, которые приведены к виду aaa authenthication {login | enable}. Для того,чтобы при downgrade на версию 10.2.6 (и ниже) команды аутентификации отработали корректно, в startup-config требуется записать настройки в старом формате:

• Изменения в синтаксисе команды logging-file и logging-server в конфигурации при переходе с 10.2.7.2 (и выше) на версии ниже 10.2.7.2:

Синтаксис команд logging-file | logging-server <priority> приведен к виду logging-file | logging-server <facility> <severity>. Для того, чтобы при откате на версию ниже 10.2.7.2 команды логирования работали корректно, необходимо в startup-config записать команды в старом формате:

В версии ПО 10.2.8 был доработан механизм ААА

Список изменений:

1. Добавлен алгоритм действий chain при отказе аутентификации на сервере.
2. Добавлена возможность настроить пользовательский список серверов, с помощью user-defined
3. Добавлена возможность применить созданный список аутентификации к line [console | telnet | ssh ]
4. Настройка механизма повышения привилегий пользователей осуществляется в контексте line

Пример конфигурации для версии 10.2.8 (и выше):

!
aaa authentication mode chain                                                                    #включаем метод chain(по умолчанию break)
aaa authentication default radius local                                                     #по умолчанию дефолтный список работает для всех line
aaa authentication user-defined named_list_test tacacs local           #создаем пользовательский список, а затем добавляем к line
!
line ssh
   aaa authentication login named_list_test                                             #задаем список с методами аутентификации при входе
   aaa authentication enable named_list_test                                         #задаем список для повешения уровня привилегий
!

!!!Важно: Так как вышеуказанные доработки затронули синтаксис команд, при обновлении с ранних версии ПО на 10.2.8 и позднее, конфигурация блока ААА конвертируется в соответствии с новым форматом.

Примеры преобразования конфигурации при обновлении:

1. Если в конфигурации имеем одинаковый список аутентификации для login и enable, то конфигурация преобразуется в дефолтный список: aaa authentication default <method_list>:

old_conf:
aaa authentication login radius local
aaa authentication enable radius local

new_conf:
aaa authentication default radius local

2. Если список аутентификации для login и enable отличается, настройка которая отличается от дефолтного параметра, преобразуется в aaa authentication user-defined <list_№> <method_list> а затем привязывается для всех line:

old_conf:
aaa authentication login radius local

new_conf:
!
aaa authentication user-defined list_1 radius local
!
line console
   aaa authentication login list_1
!
line telnet
   aaa authentication login list_1
!
line ssh
   aaa authentication login list_1
!

3. Если были пользовательские настройки для line, то создается список <list_№> и привязывается к необходимым line

old_conf:aaa authentication login radius
!
line console
   aaa authentication login local
!
line telnet
   aaa authentication enable tacacs

new_conf:
!
aaa authentication user-defined list_2 local
aaa authentication user-defined list_3 tacacs
aaa authentication user-defined list_1_glob radius
!
line console
   aaa authentication login list_2
!
line telnet
   aaa authentication login list_1_glob
   aaa authentication enable list_3

!!!Важно: При downgrade c версии 10.2.8 (и выше) в startup-config должна лежать конфигурация предыдущей версии ПО

Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к заводским настройкам:

- при нажатии на кнопку длительностью менее 10 с. происходит перезагрузка устройства;
- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.

Отключить кнопку можно командой:

console(config)# reset-button disable

Чтобы запретить сброс устройства к заводским настройкам, но разрешить перезагрузку, следует ввести команду:

console(config)# reset-button reset-only

Интерфейс командной строки предоставляет возможность перенаправления вывода команд в произвольный файл на ПЗУ.
Для того, чтобы копировать вывод команды в файл (перезаписать файл, если такой уже существует), требуется после набора команды отображения информации добавить символ «>» и указать имя файла.
Для того, чтобы копировать вывод команды в конец файла, после набора команды отображения информации добавить символ «>>» и указать имя файла.

Примеры использования:

сonsole# show running-config >> /mnt/directory/filename (шаблон)

сonsole# show tech-support > /mnt/tech-support (создаст или перезапишет файл tech-support в корневой директории)

сonsole# show running-config >> /mnt/tech-support (добавит вывод в конец файла tech-support)

Проверить, что файл был создан:

console# dir
Flags:
  d - directory
  r - readable
  w - writable
  x - executable
Free memory: 11960320 out of 67108864 bytes (17%)
Directory: /mnt/
 Flag   File Size     Last Modified                   File Name              
------ ----------- -------------------- --------------------------------------
 drwx            0 1970-Jan-01 00:01:46 LogDir/
 -rw-            0 1970-Jan-01 00:00:45 authorized_keys                      
 -rw-           20 1970-Jan-01 00:00:45 groups                                
 -rw-          363 1970-Jan-01 00:01:35 iss.conf                              
 -rw-         1284 1970-Jan-01 00:01:35 issnvram.txt                          
  -rw-           18 1970-Jan-01 00:00:45 privil                                
 -rw-          981 1970-Jan-01 13:19:55 run                                  
 -rw-           58 1970-Jan-01 00:00:45 users                                
 -rw-          838 1970-Jan-01 13:43:35 tech-support

После этого полученный файл можно выгрузить на сервер, например tftp:

сonsole# copy flash:/tech-support tftp://192.168.100.100/techsup

Примечание:

Имя файла для выгрузки на сервер не должно содержать никаких спецсимволов или знаков (-_+!"' и др.).

Допускается использование только латинских букв и цифр. Пример неправильного использования:

сonsole# copy flash:/tech-support tftp://192.168.100.100/tech-support
% Enter Valid characters in file name 

• Для вывода информации постранично используем «Space»
• Для вывода информации построчно «Enter»

При использовании команды

console# set cli pagination off

вывод информации командой show будет происходить полностью, не постранично

Коммутаторы MES позволяют резервировать конфигурацию на TFTP и SFTP сервера по таймеру или при сохранении текущей конфигурации.

Настройка:

1) Включаем автоматическое резервирование конфигурации на сервере:

console(config)# backup auto

2) Указываем сервер, на который будет производиться резервирование конфигурации.

Пример настройки резервирования конфигурации на TFTP-сервер:

console(config)# backup server tftp://10.10.10.1

Пример настройки резервирования конфигурации на SFTP-сервер:

console(config)# backup server sftp://username:password@10.10.10.1 

3) Указываем путь расположения файла на сервере:

console(config)# backup path backup.conf

Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс.

4) Включаем сохранение истории резервных копий:

console(config)# backup history enable

5) Указываем промежуток  времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах:

console(config)# backup time-period 500

6) Включаем резервирование конфигурации при сохранении пользователем конфигурации:

console(config)# backup write-memory

Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.

Сброс конфигурации к заводским настройкам возможно осуществить через CLI, выполнив команду

console# delete startup-config

и перезагрузив коммутатор, а также при помощи кнопки "F" на лицевой панели.

Для этого необходимо нажать и удерживать кнопку "F" не менее 15 секунд.
Коммутатор автоматически перезагрузится и начнет работу с заводскими настройками.

Очистить текущую конфигурацию (running-config) можно через CLI, выполнив команду

console# clear running-config

Очистка производится без перезагрузки коммутатора. Команда поддержана в ПО начиная с версии 10.2.9.

Функция настройки макрокоманд позволяет создавать унифицированные наборы команд - макросы, которые впоследствии можно применять в процессе конфигурации. Каждый макрос может состоять из одной или нескольких команд. Максимальное количество макросов доступных к созданию = 15.

Для создания макроса в режиме глобальной конфигурации следует задать имя конфигурируемому макросу по команде:

console(config)# macro name 1234

ввести требуемые команды с указанием переменных и символа объявления переменной (в данном примере символ "%"). По окончании ввода макроса следует ввести символ "@":

Enter macro commands, one per line. End with symbol '@'.
conf t
interface gi0/%1
switchport mode access
switchport access vlan %2
description %3
@

По требованию применить команду выполнения макроса. В примере для макроса 1234 на интерфейсе 1/0/6 назначить vlan 10 в режиме access и задать description c именем DESCRIPTION

console# macro apply 1234 %1 6 %2 10 %3 "DESCRIPTION"

Коммутаторы позволяют настроить работу протокола SNMP для удаленного мониторинга и управления устройством. Устройство поддерживает протоколы версий SNMPv1, SNMPv2, SNMPv3. Настройка SNMPv1 отличается от настройки SNMPv2 только устанавливаемой версией в команде snmp group <Group> user <User> security-model <v1/v2c>.

Базовая настройка SNMP на чтение и запись:

console(config)# snmp user ReadUser
console(config)# snmp user WriteUser

console(config)# snmp group ReadGroup user ReadUser security-model v2c
console(config)# snmp group WriteGroup user WriteUser security-model v2c

console(config)# snmp community index 1 name public security ReadUser
console(config)# snmp community index 2 name private security WriteUser 

console(config)# snmp access ReadGroup v2c read iso_test
console(config)# snmp access WriteGroup v2c read iso_test write iso_test

console(config)# snmp view iso_test 1 included

Далее опишем подробно, что делается каждой из этих команд:

snmp user ReadUser - Создание SNMP-пользователя ReadUser. 

Далее добавим его в группу ReadGroup, для которой укажем используемый протокол SNMP и настроим права доступа (RO), и настроим для пользователя соответствие community public.

snmp user WriteUser - Создание SNMP-пользователя WriteUser. 

Далее добавим его в группу WriteGroup, для которой укажем  используемый протокол SNMP и настроим права доступа (RW), и настроим для пользователя соответствие community private.

snmp group ReadGroup user ReadUser security-model v2c - Создание группы ReadGroup. К ней привязываем пользователя ReadUser и указываем, что будет использоваться именно протокол SNMPv2.

snmp group WriteGroup user WriteUser security-model v2c - Создание группы WriteGroup. К ней привязываем пользователя WriteUser и указываем, что будет использоваться именно протокол SNMPv2.

snmp community index 1 name public security ReadUser - Создание community public для пользователя ReadUser.

snmp community index 2 name private security WriteUser - Создание community private для пользователя WriteUser.

snmp access ReadGroup v2c read iso_test - Разрешить SNMP-группе ReadGroup доступ на чтение OID, попадающих под правило обозрения iso_test (имя правила обозрения можно задать свое).

snmp access WriteGroup v2c read iso_test write iso_test - Разрешить группе WriteGroup доступ на чтение и запись OID, попадающих под правило обозрения iso_test (имя правила обозрения можно задать свое). 

snmp view iso_test 1 included - Создать правило обозрения для SNMP под названием iso_test, разрешающее опрос OID, начинающихся с 1. (1 included), группам, к которым будет привязан этот view (команда snmp access group). 

Примечание: На коммутаторах этих линеек по умолчанию установлен одинаковый EngineID 80.00.08.1c.04.46.53, поэтому необходимо указывать уникальные EngineID при настройке SNMP. Пример EngineID на основе MAC-адреса коммутатора:

console(config)# snmp engineid cc.9d.a2.66.24.c0

Примечание: Начиная с версии ПО 10.3.6, появилась возможность задать IP-адрес для доступа к SNMP community. Пример команды:

snmp community index 1 name private security WriteUser 192.168.1.1

Настройка отправки SNMP-trap на адрес 192.168.2.1:

console(config)# snmp user TrapUser
console(config)# snmp community index 3 name publictrap security TrapUser
console(config)# snmp group TrapGroup user TrapUser security-model v2c

console(config)# snmp access TrapGroup v2c notify iso_test
console(config)# snmp view iso_test 1 included

console(config)# snmp targetaddr FirstHost param TrapParams 192.168.2.1 taglist TrapTag
console(config)# snmp targetparams TrapParams user TrapUser security-model v2c message-processing v2c
console(config)# snmp notify TrapNotify tag TrapTag type Trap

Настроенные по умолчанию события для отправки SNMP Trap:

console#sh snmp traps

Trap                                Status
----------------------------------  --------
coldstart                           Enable
warmstart                           Enable
authentication-failure-traps        Disable
errdisable-storm-control            Enable
errdisable-loopback-detection       Enable
errdisable-udld                     Enable
errdisable-port-security            Enable
errdisable-overheat                 Enable
dry-contacts                        Disable

Trap                      Enabled on queue number
------------------------  -----------------------
cpu-rate-limit            disabled

Trap                      Enabled on ports
------------------------  --------------------------------------
Link Status               gi 1/0/1, gi 1/0/2, gi 1/0/3, gi 1/0/4, gi 1/0/5
                          gi 1/0/6, gi 1/0/7, gi 1/0/8, gi 1/0/9, gi 1/0/10
                          gi 1/0/11, gi 1/0/12, gi 1/0/13, gi 1/0/14, gi 1/0/15
                          gi 1/0/16, gi 1/0/17, gi 1/0/18, gi 1/0/19, gi 1/0/20
                          gi 1/0/21, gi 1/0/22, gi 1/0/23, gi 1/0/24, te 1/0/1
                          te 1/0/2, te 1/0/3, te 1/0/4, po 1, po 2
                          po 3, po 4, po 5, po 6, po 7
                          po 8, po 9, po 10, po 11, po 12
                          po 13, po 14, po 15, po 16, po 17
                          po 18, po 19, po 20, po 21, po 22
                          po 23, po 24, po 25, po 26, po 27
                          po 28, po 29, po 30, po 31, po 32
                          po 33, po 34, po 35, po 36, po 37
                          po 38, po 39, po 40, po 41, po 42
                          po 43, po 44, po 45, po 46, po 47
                          po 48, po 49, po 50, po 51, po 52
                          po 53, po 54, po 55, po 56, po 57
                          po 58, po 59, po 60, po 61, po 62
                          po 63, po 64

MAC learning              disabled

MAC removing              disabled

Отправку трапов по событиям можно отключить/включить :

console(config)# snmp enable traps ?

coldstart coldStart trap
cpu CPU related configuration
dry-contacts Dry contacts related configuration
errdisable Errdisable traps
snmp SNMP related configuration
warmstart warmStart trap

Трапы по событиям link-status и mac-adress-table можно отключить/включить отдельно для каждого порта:

console(config)# interface gigabitethernet 0/1

console(config-if)# snmp trap ?

link-status Trap link status configuration 
mac-address-table MAC address table traps 

Видео по настройке SNMP:

Коммутаторы позволяют настроить работу протокола SNMP для удаленного мониторинга и управления устройством. Устройство поддерживает протоколы версий SNMPv1, SNMPv2, SNMPv3.

Ниже приведен пример настройки SNMPv3 пользователя без аутентификации и без шифрования, пользователя только с аутентификацией и пользователя с шифрованием и аутентификацией:

console(config)# snmp user UserNoAuthNoPriv
console(config)# snmp user UserAuthNoPriv auth md5 PasswordAuthMD5
console(config)# snmp user UserAuthPriv auth sha PasswordAuthSHA priv DES PasswordPrivDES
console(config)# snmp group GroupNoAuthNoPriv user UserNoAuthNoPriv security-model v3
console(config)# snmp group GroupAuthNoPriv user UserAuthNoPriv security-model v3
console(config)# snmp group GroupAuthPriv user UserAuthPriv security-model v3
console(config)# snmp access GroupNoAuthNoPriv v3 noauth read iso write iso notify iso
console(config)# snmp access GroupAuthNoPriv v3 auth read iso write iso notify iso
console(config)# snmp access GroupAuthPriv v3 priv read iso write iso notify iso
console(config)# snmp view iso 1 included

Примечание: На коммутаторах этих линеек по умолчанию установлен одинаковый EngineID 80.00.08.1c.04.46.53, поэтому необходимо указывать уникальные EngineID при настройке SNMP. Пример EngineID на основе MAC-адреса коммутатора:

console(config)# snmp engineid cc.9d.a2.66.24.c0

Пример команды SNMPv3 из консоли Linux OS:

snmpwalk -v3 -u "username" -a SHA -A "auth_password" -x DES -X "priv_password" -l authPriv 192.168.1.141 iso.3.6.1.2.1.1.5.0

Технология "Dying gasp" позволяет проинформировать администратора сети при отключении питания от коммутатора через отправку syslog сообщения или snmp-trap, а также с помощью пакетов ethernet OAM. 

Если коммутатор аппаратно поддерживает технологию "Dying gasp", то есть возможность настроить отправку сообщения по протоколу syslog или snmp trap в момент отключения электропитания от устройства.

Информация о том, какие устройства аппаратно поддерживают Dying gasp, можно найти в "Руководстве пользователя" в таблице 9 – Основные технические характеристики.

1) Настраиваем SYSLOG сервер на устройстве. В примере используется настройка severity от 0 до 6

console(config)# logging-server ipv4 192.168.2.2

Сообщения DG отправляются с уровнем emergencies (0).

2) Настраиваем отправку SNMP trap. Community private, сервер 192.168.2.2

console(config)# snmp user SimpleUser
console(config)# snmp community index 1 name private security SimpleUser
console(config)# snmp group SimpleGroup user SimpleUser security-model v2c
console(config)# snmp access SimpleGroup v2c read iso write iso notify iso
console(config)# snmp view iso 1 included
console(config)# snmp targetaddr SimpleHost param SimpleParams 192.168.2.2 taglist SimpleTag
console(config)# snmp targetparams SimpleParams user SimpleUser security-model v2c message-processing v2c
console(config)# snmp notify SimpleNotify tag SimpleTag type Trap

3) Для  отправки информации по Dying gasp необходимо обязательно настроить OAM на порту

console(config)# set ethernet-oam enable
console(config)# interface gigabitethernet 0/2
console(config-if)# ethernet-oam enable

Можно проверить работу функционала DG в частном случае, проверив общую работу Ethernet OAM следующим образом:

console(config)# interface tengigabitethernet 0/1
console(config-if)# ethernet-oam enable
console(config-if)# ethernet-oam disable

Как только ethernet-oam на Uplink-порту будет отключён, коммутатором будет отправлен SNMPTRAP со значением 258 в OID 1.3.6.1.2.1.158.1.6.1.4.{ifIndex}.

При непосредственном событии Dying Gasp коммутатором в этом поле будет отправлено значение 257 (в случае, когда функционал поддержан аппаратно).

OID, который отвечает за само событие отключения питания:
1.3.6.1.2.1.158.0.2 - dot3OamNonThresholdEvent

Остальные OID:
Uptime - 1.3.6.1.2.1.1.3.0
timestamp snmptrap - 1.3.6.1.2.1.158.1.6.1.2.{ifIndex}
OUI OAM-пакета - 1.3.6.1.2.1.158.1.6.1.3.{ifIndex}
Тип события - 1.3.6.1.2.1.158.1.6.1.4.{ifIndex} (значение 257 указывает на Dying Gasp)
Событие произошло локально (значение 1) или от соседнего устройства (значение 2) - 1.3.6.1.2.1.158.1.6.1.5.{ifIndex}
Количество событий - 1.3.6.1.2.1.158.1.6.1.12.{ifIndex}

В данной статье приведен пример просмотра принадлежности портов к VLAN по SNMP.

Порядок действий при просмотре информации о принадлежности порта к VLAN по SNMP должен быть следующим:

1. Просматриваем режимы работы портов:

snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.4.1.2076.65.1.10.1.2

iso.3.6.1.4.1.2076.65.1.10.1.2.1 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.2 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.3 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.4 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.5 = INTEGER: 3 - general
iso.3.6.1.4.1.2076.65.1.10.1.2.6 = INTEGER: 1 - access
iso.3.6.1.4.1.2076.65.1.10.1.2.7 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.8 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.9 = INTEGER: 2 - trunk
iso.3.6.1.4.1.2076.65.1.10.1.2.10 = INTEGER: 3 - general

2. Trunk-порты пропускают все активные vlan. Поэтому выводим таблицу, отображающую состояние активности vlan:

snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.5

iso.3.6.1.2.1.17.7.1.4.3.1.5.1 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.2 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.3 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.4 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.5 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.6 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.7 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.8 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.9 = INTEGER: 1
iso.3.6.1.2.1.17.7.1.4.3.1.5.10 = INTEGER: 1

Видим, что созданы и активны vlan с 1 по 10. Это означает, что через порты 7-9 проходят vlan 1-10 (не учитывая native vlan, которые определим ниже).

3. Обращаемся к oid, отвечающему за access vlan/pvid/native vlan на портах:

snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.5.1.1

iso.3.6.1.2.1.17.7.1.4.5.1.1.1 = Gauge32: 2 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 2
iso.3.6.1.2.1.17.7.1.4.5.1.1.2 = Gauge32: 3 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 3
iso.3.6.1.2.1.17.7.1.4.5.1.1.3 = Gauge32: 1 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.4 = Gauge32: 6 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 6
iso.3.6.1.2.1.17.7.1.4.5.1.1.5 = Gauge32: 4 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 4
iso.3.6.1.2.1.17.7.1.4.5.1.1.6 = Gauge32: 4 - из первого oid определили, что порт в аксесс-режиме. По данному выводу определяем vlan 4
iso.3.6.1.2.1.17.7.1.4.5.1.1.7 = Gauge32: 1 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.8 = Gauge32: 1 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 1
iso.3.6.1.2.1.17.7.1.4.5.1.1.9 = Gauge32: 7 - из первого оid определили, что порт в транк-режиме. По данному oid определяем, что native vlan для данного порта - 7
iso.3.6.1.2.1.17.7.1.4.5.1.1.10 = Gauge32: 1 - из первого oid определили, что порт в дженерал-режиме. По данному выводу определяем pvid порта - 1

На данном этапе мы уже определили однозначную принадлежность vlan для портов 1,2,6,7,8,9:

порт 1 - access vlan 2;
порт 2 - access vlan 3;
порт 6 - access vlan 4;
порт 7 - trunk vlan 2-10, native vlan 1;
порт 8 - trunk vlan 2-10, native vlan 1;
порт 9 - trunk vlan 1-6, 8-10, native vlan 7;
порт 10 - general vlan 1 (дефолтная конфигурация).

Продолжаем:

4. Выведем таблицу отображения untagged-портов (также нужно учитывать, что в данной таблице отображаются native vlan для trunk-портов) для vlan:

snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.4

iso.3.6.1.2.1.17.7.1.4.3.1.4.1 = Hex-STRING: 23 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порты 3,7,8,10 - untagged для vlan 1;
iso.3.6.1.2.1.17.7.1.4.3.1.4.2 = Hex-STRING: 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 1 - access - vlan 2;
iso.3.6.1.2.1.17.7.1.4.3.1.4.3 = Hex-STRING: 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 2 - access - vlan 3;
iso.3.6.1.2.1.17.7.1.4.3.1.4.4 = Hex-STRING: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 6 - access - vlan 4;
iso.3.6.1.2.1.17.7.1.4.3.1.4.5 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.6 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.7 = Hex-STRING: 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 9 - trunk - native vlan 7;
iso.3.6.1.2.1.17.7.1.4.3.1.4.8 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.9 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.4.10 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

5. Выведем таблицу отображения для интерфейсов vlan "1.3.6.1.2.1.17.7.1.4.3.1.2" для вычисления портов, работающих в режиме tagged. В данной таблице присутствуют ВСЕ порты, входящие во vlan, вне зависимости от принадлежности к тегированному или не тегированному режиму порта. По этой причине, чтобы определить порты, работающие в режиме tagged, требуется сравнивать выводы двух таблиц (этой и предыдущей). В случае, если порт присутствует в выводе обоих таблиц - порт работает в режиме untagged. Если порт присутствует только в одной, нижеприведенной таблице, - значит порт работает в режиме tagged.

В выводе предоставлены данные по всем созданным vlan:

snmpwalk -v2c -c NETMAN 192.168.1.239 1.3.6.1.2.1.17.7.1.4.3.1.2

iso.3.6.1.2.1.17.7.1.4.3.1.2.1 = Hex-STRING: 23 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.2 = Hex-STRING: 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.3 = Hex-STRING: 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.4 = Hex-STRING: 24 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 3 имеет tag vlan 4 в режиме general. порт 6 не разбираем (порт работает в режиме untagged)
iso.3.6.1.2.1.17.7.1.4.3.1.2.5 = Hex-STRING: 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 4 имеет tag vlan 5 в режиме general.
iso.3.6.1.2.1.17.7.1.4.3.1.2.6 = Hex-STRING: 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - порт 5 имеет tag vlan 6 в режиме general.
iso.3.6.1.2.1.17.7.1.4.3.1.2.7 = Hex-STRING: 00 80 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 - не разбираем. Вывод аналогичен выводу таблицы выше. Порт работает в режиме untagged.
iso.3.6.1.2.1.17.7.1.4.3.1.2.8 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.2.9 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
iso.3.6.1.2.1.17.7.1.4.3.1.2.10 = Hex-STRING: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Суммируем все полученные значения по всем таблицам:

1 порт - режим access vlan 2
2 порт - режим access vlan 3
3 порт - режим general vlan 4
4 порт - режим general vlan 5 + pvid 6
5 порт - режим general vlan 6 + pvid 4
6 порт - режим access vlan 4
7 порт - режим trunk vlan 2-10
8 порт - режим trunk vlan 2-10
9 порт - режим trunk vlan 1-6,8-10 + native vlan 7
10 порт - режим general vlan 1

В конфигурации это выглядит так:

!
interface gigabitethernet 0/1
  switchport mode access
  switchport access vlan 2   
  no shutdown
!
interface gigabitethernet 0/2
  switchport mode access
  switchport access vlan 3   
  no shutdown
!
interface gigabitethernet 0/3
  switchport general allowed vlan add 4   
  no shutdown
!
interface gigabitethernet 0/4
  switchport general allowed vlan add 5
  switchport general pvid 6   
  no shutdown
!
interface gigabitethernet 0/5
  switchport general allowed vlan add 6
  switchport general pvid 4   
  no shutdown
!
interface gigabitethernet 0/6
  switchport mode access
  switchport access vlan 4   
  no shutdown
!
interface gigabitethernet 0/7
  switchport mode trunk   
  no shutdown
!
interface gigabitethernet 0/8
  switchport mode trunk   
  no shutdown
!
interface gigabitethernet 0/9
  switchport mode trunk
  switchport trunk native vlan 7   
  no shutdown
!
interface gigabitethernet 0/10   
  no shutdown
!

Создадим локального пользователя test с уровнем привилегий 15 по SNMP и паролем 111 от имени пользователя admin/admin:

fsusrMgmtEntry 1.3.6.1.4.1.29601.2.70.2.1.1 - базовая ветвь

<длина_строки>.<новый_username_в_ASCII>.<длина_строки>.<юзер_который_вносит_изменения_в_ASCII>.<двоеточие_в_ASCII>.<пароль_в_ASCII>

В нашем случае необходимо закодировать в ASCII следующую строчку:

4.test.11.admin:admin

Сначала необходимо установить значение поля fsusrMgmtUserRowStatus (8) в "CreateAndWait" (5):

snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.8.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 i 5

Установим пароль 111:

snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.3.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 s "111"

Назначим уровень привилегий 15:

snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.4.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 u 15

Сделаем пользователя test активным - установить значение поля fsusrMgmtUserRowStatus (8) в "active" (1):

snmpset -c private -v2c 192.168.2.6 1.3.6.1.4.1.29601.2.70.2.1.1.8.4.116.101.115.116.11.97.100.109.105.110.58.97.100.109.105.110 i 1

Создание ACL на коммутаторах MES24хх c помощью snmpset осуществляется в два этапа:

1. Создаем ACL
snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 5  - создание ACL и ожидание применения

2. Добавление параметров ACL
snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.3.1001 i 255 \  - настройка протокола IP (255 значение по умолчанию)
1.3.6.1.4.1.29601.2.21.3.1.1.6.1001 i 1 \   - настройка IPv4/IPv6 (по умолчанию IPv4 -1, IPv6 - 2)
1.3.6.1.4.1.29601.2.21.3.1.1.7.1001 x "0B0B0B00" \  - IP-адрес назначения (hex-формат)
1.3.6.1.4.1.29601.2.21.3.1.1.9.1001 u 24 \   - префикс (маска) назначения
1.3.6.1.4.1.29601.2.21.3.1.1.8.1001 x "c0a80f00" \  - IP-адрес источника (hex-формат)
1.3.6.1.4.1.29601.2.21.3.1.1.10.1001 u 24 \  - префикс (маска) источника
1.3.6.1.4.1.29601.2.21.3.1.1.22.1001 i 1 \   - действие для правила (по умолчанию permit -1, deny -2)
1.3.6.1.4.1.29601.2.21.3.1.1.15.1001 x "8000000000000000" \   - назначение на физический интерфейс Gi0/1
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 1    - переключение ACL в активное состояние

В результате на коммутаторе создан access-list extended 1001 и назначен на интерфейс Gi0/1

ip access-list extended 1001 
  permit ip 192.168.15.0 255.255.255.0 11.11.11.0 255.255.255.0 
!
interface gigabitethernet 0/1
  ip access-group 1001 in

Примечание:

Для изменения любого параметра ACL необходимо его перевести в неактивное состояние.

snmpset -v2c -c private 10.10.10.45 \
1.3.6.1.4.1.29601.2.21.3.1.1.25.1001 i 2

Данный шаблон написан для версии ПО Zabbix 7.x.x.

Перед использованием необходимо убедиться, что стандартныe MIBs установлены в систему.

При изменении версии расширения Zabbix для построения шаблонов данные файлы могут не загрузиться. В таком случае для обновления шаблонов для поддержки в последующих версиях Zabbix необходимо обратиться в систему технической поддержки ServiceDesk.

Данный шаблон можно дополнить, поменяв OID для мониторинга, руководствуюясь документацией SNMP, представленной на нашем сайте.

eltex_mes_template_10.3.6.13.zip

Модели коммутаторов  MES с суффиксом ‘P’ в обозначении поддерживают электропитание устройств по линии Ethernet в соответствии с рекомендациями IEEE 802.3af (PoE) и IEEE 802.3at (PoE+). Эксплуатировать коммутаторы необходимо только с заземлённым корпусом.

При возникновении проблем с питанием PoE устройств понять возможную причину проблемы можно, используя команды: 

1)  Команда позволяющая посмотреть состояние электропитания всех интерфейсов, поддерживающих питание по линии PoE:

Из вывода видно, что на девятом порту находится РоЕ устройство класса 3.

2) Посмотреть состояние электропитания конкретного интерфейса можно следующей командой:

show power inline проблемный порт

Из вывода в динамике, используя счетчики ошибок, можно определить возможные причины конфликтов в подаче PoE. Пример:

3) Следующая команда отображает характеристики потребления мощности всех PoE-интерфейсов устройства:

show power inline consumption

Пример вывода команды:

4) Рекомендуется провести тест tdr для проверки целостности витой пары, с помощью которой подключается потребитель PoE. Убедиться, что статусы пар выдают состояние "OK". В случае обнаружения статусов "Cross" или "Short" рекомендуется произвести замену медного кабеля.

Каждая отдельная проблема с подачей питания по PoЕ требуют индивидуальной подхода к решению, проблема может быть на стороне конечного устройства РоЕ, кабеля или коммутатора. 

При обращении в службу технической поддержки необходимо предоставить выводы вышеперечисленных команд, а также  команды show bootvar, show logging

На коммутаторах серии MES14xx, MES24xx, MES3400-xx, MES37хх есть возможность запуска отладочных команд debug. Перед запуском команд следует настроить вывод отладочной информации  в локальную сессию по консоли, в удаленную сессию или в файл на флеш.

Настройки в локальную сессию (при подключении по консоли):

config#debug-logging console

console(config)#debug console

Вывод в текущую удаленную сессию:

console#debug terminal take

console(config)#debug console

Вывод информации в файл

console(config)#debug-logging file

Файл с логами находится в директории dir LogDir/Debug

Бывают случаи, когда коммутаторы недоступны удаленно, при этом услуги клиентам предоставляются.  Что требуется выяснить:

1) После каких действий возникла проблема. Сама по себе или после настроек?

2) Отвечает ли коммутатора на icmp, snmp?

3) Подключиться консолью и выполнить следующие команды:

show tech-support

dump task name

dump sockets

Результаты выполнения команд сохранить в отдельный файл. Для восстановления управления перезагрузить устройство по питанию.

4) Оставить заявку на нашем сайте https://eltexcm.ru/services/tehnicheskaya-podderzhka.html. Подробно описать проблему, приложить снятые выводы.

Выполнение команд можно остановить двойным нажатием на клавишу Esc.

При эксплуатации коммутаторов в сетях клиентов могут возникать ситуации, когда на коммутаторе фиксируется высокая загрузка CPU ~ 80-100%. 

Клиенты обращаются в службу поддержки с просьбой помочь разобраться, что вызывает такую аномально высокую загрузку. Для анализа ситуации службе поддержки требуется информация по процессам, статистике и утилизации CPU,  полученная в момент проблемы. 

Команды необходимо выполнять в момент проблемы  5 раз с интервалом 20 секунд:

show env cpu

show cpu rate limit

show env tasks

Далее снять:

show tech-sup

Все выводы команд необходимо сохранить в файл и приложить к заявке.  Обращение в техническую поддержку можно осуществить на нашем сайте https://eltexcm.ru/services/tehnicheskaya-podderzhka.html.

Примечание:  Подробное описание процессов, которые вызывают загрузку CPU можно посмотреть в руководстве по эксплуатации Приложение Г.

Для этого необходимо воспользоваться командой:

console# show fiber-ports optical-transceiver gigabitethernet gi_port | tengigabitethernet te_port

Пример:

console# show fiber-ports optical-transceiver gi0/9

Port        Temp  Voltage   Current   Output       Input         LOS  Transceiver
            [C]   [V]       [mA]      Power        Power              Type
                                      [mW / dBm]  [mW / dBm]
----------- ------ ------- -------- ------------- -------------- ---- -------------
gi1/0/9     23.6   3.304    22.550   0.27 / -5.65  0.00 / -40.00  Yes   Fiber

Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts/dBm
Input Power - Measured RX received power in milliWatts/dBm
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, E - error

Transceiver information:
Vendor name: OEM
Serial number: S1C53253701826
Part number: APSB53123CDS20
Vendor revision: 1.00
Connector type: SC
Transceiver type: SFP/SFP+
Compliance code: 1000BASE-BX10
Laser wavelength: 1550 nm
Transfer distance: 20000 m
Diagnostic: Supported

Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе

console# show interfaces counters interface-id

Например, 

sh interfaces counters GigabitEthernet 0/5

InOctets - Количество принятых байтов.

InUcast -Количество принятых одноадресных пакетов.

InMcast - Количество принятых многоадресных пакетов.

InBcast - Количество принятых широковещательных пакетов.

OutOctets - Количество переданных байтов.

OutUcast - Количество переданных одноадресных пакетов.

OutMcast - Количество переданных многоадресных пакетов.

OutBcast - Количество переданных широковещательных пакетов

InDiscard - Количество отброшенных пакетов на приеме

OutDiscard - Количество отброшенных пакетов на передаче

InErrs - Количество ошибок на приеме

OutErrs - Количество ошибок на передаче

InHCOctet - Количество принятых 64-битных пакетов

OutNCOctet -  Количество переданных 64-битных пакетов

console# test cable-diagnostics tdr interface GigabitEthernet 1/0/5

Обрыв на расстоянии 1м по каждой паре.

Oрганизуем мониторинг трафика с порта GigabitEthernet 0/1-2 через порт GigabitEthernet 0/3 навесив vlan 200 на весь отзеркалированный трафик. На промежуточных коммутаторах, где прописан vlan 200,  должен быть отключен mac learning в данном vlan

config ter
vlan 200
vlan active
exit
monitor session 1 source interface gigabitethernet 0/1
monitor session 1 source interface gigabitethernet 0/2
monitor session 1 destination remote vlan 200
monitor session 1 destination interface gigabitethernet 0/3

Отключение mac-learning:

vlan 200
set unicast-mac learning disable

Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.

При зеркалировании более одного физического интерфейса возможны потери трафика. Отсутствие потерь гарантируется только при зеркалировании одного физического интерфейса.

Существует возможность настроить до 4-х сессий зеркалирования.

К контролирующему порту применяются следующие ограничения:

• Порт не может быть контролирующим и контролируемым портом одновременно;
• IP-интерфейс должен отсутствовать для этого порта;

К контролируемым портам применяются следующие ограничения:

• Порт не может быть контролирующим и контролируемым портом одновременно.

Пример настройки SPAN:

Организуем мониторинг трафика с портов GigabitEthernet 0/1, GigabitEthernet 0/2 на порт GigabitEthernet 0/3.

console(config)#monitor session 1 source interface gigabitethernet 0/1
console(config)#monitor session 1 source interface gigabitethernet 0/2
console(config)#monitor session 1 destination interface gigabitethernet 0/3

В выводе команды show monitor session X, где Х - это номер сессии можно просмотреть информацию по контролирующим и контролируемым портам:

console#show monitor session 1
Mirroring is globally Enabled.
Session : 1
-------
Source Ports
Rx : None
Tx : None
Both : Gi0/1,Gi0/2
Destination Ports : Gi0/3
Session Status : Active
Rspan Disabled

Для настройки удаленного зеркалирования, где трафик из физических интерфейсов или из vlan зеркалируется в несколько аплинков, можно воспользоваться следующей схемой

Где gi0/5 — контролируемый порт;
gi0/1, gi0/2 — аплинки;
gi0/3, gi0/4 — физическая петля для QinQ

Трафик с контролируемого порта gi0/5 зеркалируется с помощью SPAN на gi0/3, с этого порта трафик выходит в тех vlan, что и изначально.

Порт gi0/3 физически соединён с портом gi0/4, где на весь зеркалируемый трафик добавляется вторая метка 100. В этом vlan зеркалированный трафик будет передаваться дальше через аплинки, поэтому на промежуточных коммутаторах, где прописан vlan 100, должен быть отключен mac learning в данном vlan.

vlan 10,100
  vlan active
!
vlan 100
  set unicast-mac learning disable
!
interface gigabitethernet 0/1
  switchport general allowed vlan add 10,100
!
interface gigabitethernet 0/2
  switchport general allowed vlan add 10,100
!
interface gigabitethernet 0/3
  spanning-tree disable
  spanning-tree bpdu-receive disabled
  spanning-tree bpdu-transmit disabled
!
interface gigabitethernet 0/4
  spanning-tree disable
  switchport acceptable-frame-type untaggedAndPriorityTagged
  switchport mode access
  switchport access vlan 100
  switchport dot1q tunnel
!
interface gigabitethernet 0/5
  switchport mode access
  switchport access vlan 10
!

!
monitor session 1 destination interface gigabitethernet 0/3
monitor session 1 source interface gigabitethernet 0/5 both
!
end

Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.

Рассмотрим несколько типовых примеров настройки SQinQ

1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30. Конфигурация выглядит следующим образом:

interface gigabitethernet 0/11
switchport mode general
switchport general allowed vlan add 31
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress-vlan 31
selective-qinq list ingress add-vlan 30
exit
!
interface gigabitethernet 0/12
switchport mode general
switchportgeneral allowed vlan add 30-31
exit

2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4:

interface gigabitethernet 0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress add-vlan 4 ingress-vlan 234,324,657
exit

3) Для vlan 68,456,905 добавить метку 3. Остальной трафик отбросить.

interface gigabitethernet 0/2
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add-vlan 3 ingress-vlan 68,456,905
selective-qinq list ingress deny
exit

4) Для всего трафика приходящего на порт 15 добавить метку 30

interface gigabitethernet 0/15
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit

или

interface gigabitethernet 0/15
switchport mode access
switchport access vlan 30
switchport dot1q tunnel
exit

5) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68

interface gigabitethernet 0/8
switchport mode general
switchport general allowed vlan add 3,4 
selective-qinq list ingress override-vlan 3 ingress-vlan 856
selective-qinq list ingress override-vlan 4 ingress-vlan 68
selective-qinq list egress override-vlan 856 ingress-vlan 3
selective-qinq list egress override-vlan 68 ingress-vlan 4
exit

На коммутаторах есть возможность обработки QinQ пакетов управления на CPU.

interface vlan <c-vlan>
 ip management outer-vlan <s-vlan>
 ip address <address> <netmask>

Для примера возьмем топологию из трех коммутаторов:

Конфигурация sw1:

vlan 100
 vlan active
!
hostname sw1
!
interface vlan 100
 ip address 192.168.1.1 255.255.255.0
!
interface gigabitethernet 0/1
 switchport mode general
 switchport general allowed vlan add 100
!
end

Конфигурация sw2:

vlan 200
 vlan active
!
hostname sw2
!
interface gigabitethernet 0/1
 switchport mode general
 switchport general allowed vlan add 200 untagged
 selective-qinq list ingress add-vlan 200 ingress-vlan 100
!
interface gigabitethernet 0/2
 switchport mode general
 switchport general allowed vlan add 200
!
end

Конфигурация sw3:

vlan 100,200
 vlan active
!
interface vlan 100
 ip management outer-vlan 200
 ip address 192.168.1.2 255.255.255.0
!
hostname sw3
!
interface gigabitethernet 0/2
 switchport mode general
 switchport general allowed vlan add 100,200
!                                                   
end

Коммутатор sw1 отправляет на адрес 192.168.1.2 icmp echo request с меткой С-VLAN 100, на sw2 к ней добавляется S-VLAN 200:

Настроенная на sw3 конструкция:

interface vlan 100
 ip management outer-vlan 200
 ip address 192.168.1.2 255.255.255.0

позволяет коммутатору принимать на SVI 100, пакеты с S-VLAN меткой 200.

Примечание: для работы данного механизма SVI C-VLAN должен быть в состоянии Up. В примере для этого на sw3, VLAN 100 также назначен на интерфейс gi 0/2.

Необходимо в режиме настройки Ethernet интерфейса выполнить команду:

console(config-if)# switchport forbidden default-vlan

С целью повышения безопасности в коммутаторе существует возможность настроить какой-либо порт так, чтобы доступ к коммутатору через этот порт предоставлялся только заданным устройствам. Функция защиты портов основана на определении МАС-адресов, которым разрешается доступ.

Существует несколько режимов работы port security.

1) По умолчанию настроен режим lock. В режиме lock все динамически изученные mac-адреса переходят в состояние static. В данном режиме сохраняет в файл текущие динамически изученные адреса, связанные с интерфейсом и запрещает обучение новым адресам и старение уже изученных адресов

Пример настройки port-security в режиме lock. Данный режим также добавляет все MAC-адреса статически  в конфигурацию show run

• Включить функцию защиты на интерфейсе:
  
  console(config-if)# switchport port-security enable

Настройка MAC-адреса в port-security в ручном режиме. После ввода команды настройка отображается как в выводе show run, так и в выводе show mac-address-table, с пометкой Static в типе записи.

console(config)# mac-address-table static unicast aa:bb:cc:dd:00:11 vlan X interface gi 0/X

2) Режим max-address удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение разрешены.

Пример настройки максимального количества MAC адресов, которое может изучить порт:

• Установить режим ограничения изучения максимального количества MAC-адресов:
  
  console(config-if)# switchport port-security mode max-addresses

• Задать максимальное количество адресов, которое может изучить порт, например, 10:
  
  console(config-if)# switchport port-security mac-limit 10

• Включить функцию защиты на интерфейсе:
  
  console(config-if)# switchport port-security enable

3) Режим secure-delete-on-reset удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются до перезагрузки.

Пример настройки secure-delete-on-reset:

• Установить режим ограничения изучения максимального количества MAC-адресов:
  
  console(config-if)# switchport port-security mode secure-delete-on-reset

• Задать максимальное количество адресов, которое может изучить порт, например, 2:
  
  console(config-if)# switchport port-security mac-limit 2

• Включить функцию защиты на интерфейсе:
  
  console(config-if)# switchport port-security enable

После настройки порта на нем возможно изучение 2х новых мак-адресов.

4) Режим secure-permanent удаляет текущие динамически изученные адреса, связанные с интерфейсом. Разрешено изучение максимального количества адресов на порту. Повторное изучение и старение запрещены. Адреса сохраняются при перезагрузке

Пример настройки:

• Установить режим ограничения изучения максимального количества MAC-адресов:
  
  console(config-if)# switchport port-security mode secure-permanent

• Задать максимальное количество адресов, которое может изучить порт, например, 2:
  
  console(config-if)# switchport port-security mac-limit 2

• Включить функцию защиты на интерфейсе:
  
  console(config-if)# switchport port-security enable

После настройки порта на нем возможно изучение 2х новых мак-адресов. Адреса сохранятся после перезагузки

Настройка  режима реагирования возможна в 3х режимах:

• protect - в данном режиме оповещения о нарушении безопасности нет. Включает перехват МАС-адресов, которые должны быть отброшены, на CPU, после чего MAC-адреса помечаются как заблокированные и отбрасываются в течение aging-time.  Режим по умолчанию.
• restrict - в данном режиме при нарушении безопасности отправляется SYSLOG-сообщение на SYSLOG-сервер.
• discard-shutdown - в данном режиме кадры с неизученными МАС-адресами источника отбрасываются, порт отключается. Поддерживается начиная с версии ПО 10.3.3.

Пример настройки

console(config-if)# switchport port-security violation restrict

show-команды:

show run

show mac-address-table

Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-фреймов могут быть назначены QoS-атрибуты для приоритизации трафика. Классификация фреймов, относящихся к фреймам VoIP-оборудования, базируется на OUI ( Organizationally Unique Identifier – первые 24 бита MAC-адреса) отправителя.

Функционал настраивается в 2 этапа:

1) Добавление Voice VLAN на стороне коммутатора

а) Динамически на основе OUI входящего фрейма:

Назначение Voice VLAN для интерфейса происходит автоматически - когда на порт поступает фрейм с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN – данный порт добавляется во VLAN как tagged. Voice VLAN может быть активирован на портах, работающих в режиме general. На портах, работающих в режиме trunk, voice VLAN всегда задается автоматически.

Активировать voice VLAN и добавить запись в таблицу OUI для используемого телефона:

console(config)# voice vlan id 10
console(config)# voice vlan oui-table add 68:13:e2
console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan

б) Статически:

console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10

2) Назначение Voice VLAN на стороне оконечного оборудования

а) С помощью lldp-med политик

ID Voice VLAN будет присвоен VoIP оборудованию с помощью lldp-med фреймов. Инициатором получения Voice VLAN в данном случае является VoIP-оборудование.

Включить LLDP на коммутаторе, настроить интервал отправки:

console(config)# set lldp enable
console(config)# lldp transmit-interval 20  

В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.

Привязать lldp-med политику, активировать voice vlan для интерфейса:

console(config)# interface gigabitethernet 0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 20 untagged
console(config-if)# switchport general pvid 20

console(config-if)# switchport voice vlan
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 10 Priority 4 dscp 0

Если требуется пропустить два Voice VLAN в рамках одного коммутатора на разных портах, то воспользуемся следующей конфигурацией:

console(config)# set lldp enable
console(config)# lldp transmit-interval 20

console(config)# interface gigabitethernet 0/1
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan 10
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 10 Priority 4 dscp 0

console(config)# interface gigabitethernet 0/2
console(config-if)# switchport mode general
console(config-if)# switchport voice vlan 11
console(config-if)# set lldp-med enable
console(config-if)# lldp med-tlv-select med-capability
console(config-if)# lldp med-tlv-select network-policy
console(config-if)# lldp med-app-type voice vlan vlan-id 11 Priority 4 dscp 0

б) Назначение Voice VLAN по DHCP

В ответе от DHCP-сервера присутствует опция 132 (VLAN ID), с помощью которой устройство автоматически назначает себе VLAN для маркировки трафика (Voice VLAN).

Данная схема не получила широкого применения.

Существует ещё 1 вариант настройки Voice VLAN.

Если VoIP-оборудование и ПК подключены к одному порту коммутатора и оба устройства передают нетегированный трафик, то для настройки отдельного VLAN для телефонии можно воспользоваться функцией map mac. В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.

Настраиваем map mac, где используем MAC-адрес телефона:

console(config)# vlan 10,20
console(config-vlan)# vlan active
console(config-vlan)# exit

console(config)# map mac 20:bb:c0:00:00:00 ff:ff:ff:00:00:00 macs-group 1

Выполняем настройку порта коммутатора:

console(config)# interface gigabitethernet 0/3
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10,20 untagged
console(config-if)# switchport general pvid 20
console(config-if)# switchport map macs-group 1 vlan 10

Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой необходимо воспользоваться функцией изоляция портов.

Данная функция позволяет изолировать группу портов (в пределах одного коммутатора), находящихся в одном широковещательном домене между собой, позволяя при этом обмен трафиком с другими портами, находящимися в этом же широковещательном домене, но не принадлежащими к этой группе.

Например, необходимо на MES2428 изолировать порты Gigabit Ethernet 0/1 и Gigabit Ethernet 0/2.

Для этого нужно включить функцию на данных портах:

console# configure
console(config)# interface range GigabitEthernet 0/1-2
console(config-if-range)# switchport protected

Также возможно разрешить обмен трафиком только между определенными портами.

Например, необходимо разрешить прохождение трафика между Gi0/3 и Gi0/4 и запретить прохождение трафика в другие, не включённые в данную группу:

console(config)# interface GigabitEthernet 0/3
console(config-if)# port-isolation gi 0/4
console(config)# interface GigabitEthernet 0/4
console(config-if)# port-isolation gi 0/3

Для того, чтобы добавить дополнительные порты, необходимо воспользоваться опцией add при настройке порта, иначе текущая группа затрётся:

console(config-if)# port-isolation add gi 0/5

Получается следующая конфигурация (аналогично нужно сделать и на остальных портах, входящих в группу):

interface gigabitethernet 0/3
port-isolation add gi 0/4-5

console(config-if)# no ip address dhcp

Например, отключить DHCP-клиент на интерфейсе VLAN 2

console(config)# interface vlan 2
console(config-if)# no ip address dhcp

Выполнить команду и подтвердить её исполнение в глобальном режиме конфигурации:

console(config)# default interface gi0/10
Configuration for these interfaces will be set to default.
It may take a few minutes. Are sure you want to proceed? (Y/N)[N] Y

Протокол Multiple STP (MSTP) является наиболее современной реализацией STP, поддерживающей использование VLAN. MSTP предполагает конфигурацию необходимого количества экземпляров связующего дерева (spanning tree) вне зависимости от числа групп VLAN на коммутаторе. Каждый экземпляр (instance) может содержать несколько групп VLAN. Недостатком протокола MSTP является то, что на всех коммутаторах, взаимодействующих по MSTP, должны быть одинаково сконфигурированы группы VLAN.

Примечание: Максимально допустимое количество экземпляров MSTP – 64.

Пример настройки MSTP:

spanning-tree mode mst
!
spanning-tree mst configuration

name test

revision 1

instance 1 vlan 2,10

instance 2 vlan 70-89

instance 3 vlan 101-102

exit

Примечание: По умолчанию все vlan'ы находятся в 0 instance.

При распространении STP BPDU от Root Bridge каждый последующий коммутатор в кольце увеличивает значение "Message Age" на время задержки (обычно 1). Как только это значение превысит максимальное пороговое значение ("Max Age", по умолчанию 20), STP BPDU далее этого коммутатора распространяться не будут.

При большом количестве коммутаторов в кольце (при удалении от Root Bridge более чем на 20 коммутаторов) требуется увеличить параметр "Max Age" на всех коммутаторах в кольце.

Настройка для протоколов STP/RSTP:

console(config)#spanning-tree max-age
(6-40) Value representing maximum age

Настройка для протоколов PVST/RPVST:

console(config)#vlan ID
console(config-vlan)#spanning-tree max-age
(6-40) Value representing maximum age

При задании STP параметров forward-time, hello-time, max-age необходимо выполнение условия: 2*(Forward-Delay - 1) ⩾ Max-Age ⩾ 2*(Hello-Time + 1).

Пример настройки:

console(config)# spanning-tree forward-time 20
console(config)# spanning-tree hello-time 5
console(config)# spanning-tree max-age 38

Для протокола MSTP также дополнительно требуется настроить max-hops (по умолчанию 20):

console(config)# spanning-tree mst max-hops
(6-40) Value representing maximum hops

Для фильтрации PVST, Rapid PVST stp bpdu на коммутаторах MES14xx, MES24xx, MES3400-xx, MES37хх необходимо использовать MAC ACL. Команда spanning-tree bpdufilter фильтрует  stp bpdu для режимов STP/RSTP/MST (DST MAC 01:80:c2:00:00:00 )

Настройка MAC ACL для фильтрации PVST, Rapid PVST stp bpdu (DST MAC 01:00:0c:cc:cc:cd)

mac access-list extended 1
deny any host 01:00:0c:cc:cc:cd

mac access-list extended 100

interface gigabitethernet 0/23
mac access-group 1 in
mac access-group 100 in

Протокол ERPS (Ethernet Ring Protection Switching) предназначен для повышения устойчивости и надежности сети передачи данных, имеющей кольцевую топологию, за счет снижения времени восстановления сети в случае аварии. Время восстановления не превышает 1 секунды, что существенно меньше времени перестройки сети при использовании протоколов семейства spanning tree.

Основные понятия и термины:

- RPL (Ring Protection Link) - резервный линк между коммутаторами, который будет заблокирован механизмом ERPS при нормальном режиме работы кольца (IDLE);
- RPL Owner - коммутатор, подключенный к RPL, который блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;
- RPL Neighbor - коммутатор, напрямую связанный с RPL Owner через RPL Link. Также блокирует RPL Link при нормальном режиме работы кольца и разблокирует его при разрыве кольца;

- R-APS (Ring - Automatic Protection Switching) - протокол обмена сообщениями, определенный в Y.1731 и в G.8032. Используется для координации действий по защите кольца;
- RAPS VLAN (A-RPS Channel) -  служебный VLAN,  в котором передаются R-APS PDUs;
- Protected VLAN -  VLANs для передачи DATA трафика. RPL Link блокирует передачу только в Protected VLAN.

Таймеры:
- Hold-Off Timer - используется при падении линка. На коммутаторах кольца, зафиксировавших аварию, запускается Hold-Off Timer, по истечении которого отправляется R-APS PDU Signal Fail. По дефолту таймер настроен на 0 сек;
- Guard Timer - Запускается на коммутаторах, фиксирующих изменение топологии (падение/поднятие линка). При этом отправляется R-APS PDU и запускается Guard Timer, до тех пор пока таймер не истек, все входящие R-APS pdu игнорируются. По дефолту таймер настроен на 500 мсек;
- WTR Timer - используется только RPL Owner для отложенной блокировки RPL порта. Таймер истечёт только в случае отсутствия изменений в топологии за время своего действия. По дефолту таймер настроен на 5 мин;
- Periodic Timer - интервал отправки R-APS PDUs.

Сообщения R-APS:
- Signal Fail (SF) - сигнализирует об обнаружении аварии;
- No Request (NR) - сигнализирует об устранении аварии или отсутствии сбоев в работе кольца;
- RPL Blocked (RB) - это сообщение отправляет RPL Owner и Neighbor, причем всегда совместно с No Request. Информирует о состоянии RPL линка.

Важно!!! При настройке протокола ERPS в мультивендорной среде необходимо, чтобы все таймеры и параметр MEL совпадали на всех участниках кольца. 

Настроим ревертивное кольцо с подкольцом, использующим кольцо в качестве виртуального канала. Для прохождения служебного ERPS трафика в кольце используется VLAN 10 (R-APS VLAN), защищает VLAN 20, 30, 40, 200, 300, 400. Для прохождения служебного ERPS  трафика в подкольце используется VLAN 100, защищает VLAN  300, 400. Так как кольцо будет использоваться в качестве виртуального канала для подкольца, в настройках коммутаторов, которые не знают о существовании подкольца (коммутаторы 1 и 2), необходимо указать все VLAN подкольца.

В качестве RPL линка в основном кольце возьмем линк между коммутаторами 1 и 2. В качестве RPL линка в подкольце возьмем линк между коммутаторами 5 и 6. Линк между коммутаторами 3 и 4 для подкольца vlan 100 будет определяться как virtual channel.

Конфигурация коммутатора SW1:

!
hostname "SW1"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps owner tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.11 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!

Конфигурация коммутатора SW2:

!
hostname "SW2"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps neighbor tengigabitethernet 0/1
aps working level 1
aps group active
!
interface vlan 400
ip address 192.168.0.12 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!

Конфигурация коммутатора SW3:

!
hostname "SW3"
!
vlan 10,20,30,40,100,200,400
vlan active
!
no spanning-tree
!
no shutdown aps ring
aps ring enable
aps ring vlan-group-manager erps
aps group name Main_ring ring group 1
aps working west tengigabitethernet 0/1 east tengigabitethernet 0/2 vlan 10
aps interconnection-node primary
aps multiple-failure primary
aps working level 1
aps group active
!
aps group name Sub_ring ring group 2
aps working west tengigabitethernet 0/3 vlan 100
aps main ring id 1
aps interconnection-node secondary
aps multiple-failure secondary
aps working level 1
aps propagate-tc status enable
aps propagate-tc ring-ids 1
aps group active
!
interface vlan 400
ip address 192.168.0.13 255.255.255.0
!
interface tengigabitethernet 0/1
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/2
switchport general allowed vlan add 10,20,30,40,100,200,400
switchport forbidden default-vlan
!
interface tengigabitethernet 0/3
switchport general allowed vlan add 100,200,400
switchport forbidden default-vlan
!