MES2300B-24F Eltex | Коммутатор 20 портов 1G, 4 combo-порта 1G, 4 порта 10G

Ссылка на настройку стекирования на коммутаторах MES2300-xx/3300-xx/3500I-10P/5312/53xxA/5310-48/5400-xx/5410-48/5500-32.

OOB (out-of-band) порт представляет собой интерфейс для передачи трафика, управления коммутатором, отдельного от сети передачи данных. Концепция OOB позволяет организовать управление оборудованием независимо от состояния остальной сети и обеспечить отсутствие пересечения управляющего и клиентского трафика. Эти условия являются необходимыми для эксплуатации коммерческих сетей, наподобие IP-фабрик, в которых подобный подход подразумевает физическое разделение сети управления от сети передачи пользовательских данных.

Архитектурно OOB интерфейс подключен непосредственно к CPU коммутатора и не участвует в маршрутизации с остальными интерфейсами.

В дефолтной конфигурации коммутатор не имеет IP-адреса для управления через OOB интерфейс (фактически на него назначен 0.0.0.0/32 для указания source ip в пакетах dhcp discover) и ожидает его получения по протоколу DHCP:

Для примера настроим статический IP-адрес 172.16.0.1/16:

как видим в конфигурации интерфейса появляется строка no ip address dhcp, означающая отключение на нем DHCP клиента.

Теперь удалим IP-адресацию с интерфейса и в выводе команды show ip interface oob обнаружим вновь запущенный DHCP клиент на OOB интерфейсе:

В данном случае поведение аналогично default vlan интерфейсу и это важно при добавлении OOB интерфейса в VRF.

К примеру создадим для управления коммутатором отдельный VRF с именем mgmt и попробуем добавить в него OOB интерфейс:

коммутатор сообщает об ошибке, так как перед добавлением любого интерфейса в VRF требуется удалить из глобальной таблицы маршрутизации все подсети, адреса которых на него назначены.

Применим команду no ip address dhcp в контексте конфигурации интерфейса, чтобы удалить дефолтный адрес 0.0.0.0/32, после чего можем добавить интерфейс в VRF:

Те же действия следует выполнять при изменении/удалении VRF в конфигурации интерфейса.

Ранее было сказано, что интерфейс OOB не участвует в маршрутизации. Настроим на коммутаторе три ip адреса на интерфейсах oob, te1/0/1, te1/0/2 и посмотрим таблицу маршрутизации:

подсети всех трех интерфейсов являются connected.

Теперь установим OSPF соседство с другим коммутатором, попробуем инжектировать connected сети в процесс OSPF и посмотрим на отправляемые LSA:

видим в сообщении LS Update LSA только с префиксами 192.168.1.0/24 и 192.168.2.0/24

соответственно, те же префиксы наблюдаем в LSDB и таблице маршрутизации на OSPF соседе:

Коммутатор не инжектирует в OSPF подсеть OOB интерфейса, несмотря на то, что она является connected, так как OOB интерфейс не участвует в маршрутизации.

Еще один важный момент.

Соберем стек из двух коммутаторов и настроим на нем адрес OOB интерфейса:

Теперь перезагрузим master unit. Backup берет на себя роль master'а, применяет конфигурацию, но при этом интерфейс OOB находится в состоянии Down:

Для избежания таких ситуаций при стекировании коммутаторов правильной практикой является включение патч-кордов в OOB порты и master и backup юнитов.

Для настройки приветствия неавторизованных пользователей при подключении к коммутатору требуется в глобальном режиме конфигурации выполнить команду:

console(config)# banner exec X

, где Х - разделитель, который послужит символом окончания ввода баннера.

коммутатор предложит ввести текст приветствия, который должен быть ограничен 2000 символами, строка не может содержать более 510 символов, баннер должен заканчиваться на заданный разделитель, пример:

console# configure
console(config)# banner exec X


_________________________________________________

_________________________________________________

!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!

_________________________________________________

_________________________________________________

X

console(config)# exit
console# exit

21-Jan-2021 15:31:02 %AAA-I-DISCONNECT: User CLI session for user admin over console , source 0.0.0.0 destination 0.0.0.0 TERMINATED. The Telnet/SSH session may still be connected

Console baud-rate auto detection is enabled, press Enter twice to complete the detection process

User Name:admin
Password:*****


_________________________________________________

_________________________________________________

!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!

_________________________________________________

_________________________________________________

console#


В тексте приветствия можно использовать переменные.
При выводе переменных используются данные, сохраненные в конфигурации устройства.

Список доступных переменных :

$(hostname) - имя устройства
$(domain) - доменное имя, установленное по умолчанию. Команда для конфигурации : ip domain name name
$(location) - местоположение устройства. Команда для конфигурации : snmp-server location location
$(contact) - контактная информация устройства. Команда для конфигурации : snmp-server contact contact
$(mac-address) - MAC-адрес устройства

Пример конфигурации :

MES5324A# configure
MES5324A(config)# banner exec X


_________________________________________________

_________________________________________________

!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!

_________________________________________________

_________________________________________________

$(hostname)
$(domain)
$(location)
$(contact)
$(mac-address)
X

Вывод приветствия :

User Name:admin
Password:admin


________________________________________________

_________________________________________________

!Hello!Hello!Hello!Hello!Hello!Hello!Hello!Hello!

_________________________________________________

_________________________________________________



MES5324A
eltex-co.ru
Novosibirsk
+73832741001
e8:28:c1:19:24:00

Коммутаторы MES5312/MES5316A/MES5324A/MES5332A можно объединять в стек до 8 устройств. В режиме стекирования коммутаторы MES5312/53xxA используют XG-порты для синхронизации, коммутаторы MES5400-XX используют 100G порты для синхронизации, при этом интерфейсы в режиме стекирования работают только на максимальной скорости интерфейса. Указанные порты не участвуют в передаче данных. Возможны две топологии синхронизирующихся устройств – кольцевая и линейная. Рекомендуется использовать кольцевую топологию для повышения отказоустойчивости стека.

Коммутаторы по умолчанию уже работают в режиме стека с UNIT ID 1.

Конфигурация коммутатора:

console(config)# stack configuration unit-id {1-8}
console(config)# stack configuration links {te1-24|hu1-6}

Необходимо указывать два стековых интерфейса на каждом юните. Пример команды : 

console(config)# stack configuration unit 1 links te23-24

Конфигурация применится после перезагрузки.

Для удаления конфигурации стека вводится команда:

console(config)# no stack configuration

Конфигурация удаляется после перезагрузки устройства.

При отказе мастера его роль на себя берет бэкап коммутатор. На бэкап коммутаторе резервируется конфигурация. Мастером могут быть только юнит 1 и 2.

Если мастер вернется в строй, то вновь возьмет на себя мастерство в случае, если аптайм бэкап-коммутатора составляет менее 10 минут (при этом бекап коммутатор перезагрузится).

Если аптайм бэкапа будет более 10 минут, то мастерство останется за юнитом 2.

При передаче мастерства возможен кратковременный перерыв в предоставлении сервисов на время доинициализации нового мастера стека.

Каждый коммутатор использует свои TCAM правила (правила ACL, SQinQ).

Нагрузка идет только на процессор мастера.

Передача данных между юнитами ограничивается пропускной способностью стековых портов.

Внутри юнита - пропускной способностью портов коммутатора.

Подробней с настройкой стекирования можно ознакомиться в "Руководстве по эксплуатации" раздел 4.4

Работа портов OOB в стеке.

Если на стеке задействованы несколько портов OOB, то их порядок работы будет следующий:

• Активен порт только на мастере.
• IP адресация для такого интерфейса назначается глобально для всего стека.

console(config)#interface oob
console(config-oob)#ip address X.X.X.X /XX

• При статической адресации, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этом IP-адрес остается тот же.
• Если настроено получение IP-адреса OOB по DHCP, в случае выхода из строя мастера, активируется OOB-порт нового мастера, при этот IP-адрес будет выдан сервером другой, т.к. MAC-адрес OOB-порта изменился.

Рекомендуемый порядок действий при сборке стека.

Для минимизации потерь в эксплуатации при объединении коммутаторов в стек, рекомендуется следующий общий порядок при его формировании:

1. Установить единую актуальную версию ПО на всех стекируемых коммутаторах.

2. Выполнить настройки стекирования для каждого коммутатора:
-  определяем номер юнита и порты для стекирования (обязателен выбор двух портов):

console_unit1(config)# stack configuration unit-id 1 links te 1-2 (unit 1 будет master)
console_unit2(config)# stack configuration unit-id 2 links te 1-2 (unit 2 будет backup, последующие unit будут slave)


3. Подключить стековые линки и перезагрузить коммутаторы для применения стековых настроек.

4. После загрузки проверить настройки и состояние стека:

console# show stack configuration

Unit Id After Reboot Configuration
         Unit Id   Stack Links
-------- ------- ---------------
1        1       te1-2
2        2       te1-2

console# show stack
Topology is Chain
Units stack mode: Native

Unit Id    MAC Address        Role   Network Uplink
                                     Port    Port
                                     Type    Type
------- ------------------- -------- ------- ------
   1     68:13:e2:ac:7a:80   master
   2     68:13:e2:89:b0:c0   backup


console# show stack links details

UNIT ID   Link     Status   Speed   Uptime    Neighbor Neighbor      Neighbor
                                   (d,h:m:s)  Unit ID    Link       MAC Address
------- -------- ---------- ----- ----------- -------- -------- -------------------
   1      te1      Active    10G  00,00:15:38    2       te1     68:13:e2:89:b0:c0
   1      te2      Active    10G  00,00:15:37    2       te2     68:13:e2:89:b0:c0
   2      te1      Active    10G  00,00:15:38    1       te1     68:13:e2:ac:7a:80
   2      te2      Active    10G  00,00:15:38    1       te2     68:13:e2:ac:7a:80


5. Добавить остальную конфигурацию, сохранить и перезагрузить стек.

Примечание:

Данная последовательность действий по усмотрению инженера может быть изменена.

Ссылка на матрицу стекирования для MES2300-xx/3300-xx/3500I-10P/5312/53xxA/5310-48/5400-xx/5410-48/5500-32.

Кнопка "F" - функциональная кнопка для перезагрузки устройства и сброса к заводским настройкам:

- при нажатии на кнопку длительностью менее 10 с. происходит пере-загрузка устройства;

- при нажатии на кнопку длительностью более 10 с. происходит сброс настроек устройства до заводской конфигурации.

Отключить кнопку можно командой:

console(config)# reset-button disable 

Чтобы запретить сброс устройства к заводским настройкам, но разрешить перезагрузку, следует ввести команду:

console(Config)# reset-button reset-only 

Для этого необходимо отключить изучение MAC адресов в VLAN.  Команда в CLI для отключения изучения MAC адресов во всех VLAN:

console(config)# no mac address-table learning vlan all

Команда в CLI для отключения изучения MAC адресов в данной VLAN:

console(config)# no mac address-table learning vlanvlan_id

Коммутаторы MES позволяют резервировать конфигурацию на TFTP-сервере по таймеру или при сохранении текущей конфигурации.

Настройка:

1) Включаем автоматическое резервирование конфигурации на сервере

console(config)# backup auto

2) Указываем сервер, на который будет производиться резервирование конфигурации.

console(config)# backup server tftp://10.10.10.1

3) Указываем путь расположения файла на сервере

console(config)# backup path backup.conf

Примечание: При сохранении к префиксу будет добавляться текущая дата и время в формате ггггммддччммсс. Пример: MES5324A.conf_20240821064314

4) Включаем сохранение истории резервных копий

console(config)# backup history enable

5) Указываем промежуток  времени, по истечении которого будет осуществляться автоматическое резервирование конфигурации, в минутах.

console(config)# backup time-period 500

6) Включаем резервирование конфигурации при сохранении пользователем конфигурации

console(config)# backup write-memory

Начиная с версии 6.6.4.4 поддержана возможность отключения отправки пустого пакета для проверки наличия TFTP-сервера 

console(config)# no backup reachability-check tftp

Также доступно резервирование конфигурации на SCP-сервере. 

console(config)# backup server scp://user_scp:password_scp@scp_ip

console(config)# backup server scp://user1:passord1@10.10.10.1

В выводе конфигурации пароль будет храниться в открытом виде. Для хранения пароля в шифрованном виде применяются команды:

console(config)# ip ssh-client username user_scp
console(config)# ip ssh-client password password_scp

IP адрес сервера SCP указывается аналогично TFTP:

console(config)# backup server scp://10.10.10.1

Команды show backup и show backup history позволяют посмотреть информацию о настройках резервирования конфигурации и об удачных попытках резервирования на сервере.

Рассмотрим создание макроса на примере удаления порта из LAG.

Создать макрос можно командой:

macro name remove_g1_from_po1
config
interface gi1/0/24
no channel-group
switchport mode trunk
switchport trunk allowed vlan add 7,26,28,114,150,152,598-599,2794
@

Выполнение макроса можно запустить командой:

console# macro apply remove_g1_from_po1

Необходимо подключить коммутатор к компьютеру при помощи кабеля RS-232 (через порт "Console").

Используя терминальную программу (например, "HyperTerminal"), создайте подключение, произведя следующие настройки:

• выберите соответствующий последовательный порт.
• установите скорость передачи данных – 115200 бит/с.
• задайте формат данных: 8 бит данных, 1 стоповый бит, без контроля четности.
• отключите аппаратное и программное управление потоком данных.

Перезагрузите коммутатор и войдите в меню "Startup", прервав загрузку нажатием клавиши "Esc" или "Enter" в течение первых двух секунд после появления сообщения автозагрузки:

Autoboot in 2 seconds - press RETURN or Esc. to abort and enter prom.

В появившемся меню выберите пункт "Password Recovery Procedure", нажав клавишу "2".

Далее необходимо вернуться в меню "Startup", нажав клавишу "Enter",  и продолжить загрузку коммутатора, нажав клавишу "Esc".

При подключении имя пользователя и пароль будут проигнорированы.

Для этого необходимо воспользоваться командой:

console# show fiber-ports optical-transceiver interface{tengigabitethernette_port}

Пример:

console# show fiber-ports optical-transceiver interface TengigabitEthernet1/0/1

Port        Temp    Voltage      Current     Output     Input      LOS
            [C]     [Volt]       [mA]        Power      Power
                                             [mWatt]    [mWatt]
------     ------  -------       -------     -------    -------    ---
te1/0/1     23      3.29         3.49        0.50       0.49        No

Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts
Input Power - Measured RX received power in milliWatts
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, W - Warning, E - Error

Transceiver information:
Vendor name: FANG HANG
Serial number: A85371140603
Part number: FH-SP851TCDL03
Vendor revision: V02
Connector type: LC
Type: SFP/SFP+
Compliance code: 10GBASE-SR
Laser wavelength: 850 nm
Transfer distance: 80 m
Diagnostic: supported

Для просмотра использовать команду:

console# show cpu input-rate detailed

Команда для просмотра статистики для всех интерфейсов:

console# show interfaces utilization

Для просмотра статистики на определенном интерфейсе необходимо воспользоваться командой с указанием интерфейса:

console# show interfaces utilization {tengigabitethernet te_port | port-channel group}

Команда, которая позволяет посмотреть статистику по пакетам на физическом интерфейсе

console# show interfaces counters [interface-id]

Например, 

console# sh interfaces counters te 1/0/12

FCS Errors: 0

Принятые пакеты содержат ошибки контрольной суммы CRC

Single Collision Frames: 0

Количество кадров , принятых с единичной коллизией и впоследствии переданные успешно

Multiple Collision Frames: 0

Количество кадров , принятых больше, чем с одной коллизией и впоследствии переданные успешно

SQE Test Errors: 0

Количетство раз, когда принят SQE TEST ERROR.

Deferred Transmissions: 0

Количество кадров, для которых первая передача задерживается из-за занятости среды передачи

Late Collisionss: 0

Количество раз когда обнаружена Late Collisions

Carrier Sense Errors: 0

Количество раз, когда происходили ошибки из-за потери несущей при попытке передаче данных

Oversize Packets: 0

Количество принятых, кадров, превышающих максимально разрешенный размер кадра

Internal MAC Rx Errors: 0

Количество кадров, приём которых сопровождался внутренними ошибками на физическом уровне

Symbol Errors: 0

Количество раз, когда интерфейс не может интерпретировать принятый символ

 Received Pause Frames: 0

Количество принятых пакетов, содержащих pause-frame

Transmitted Pause Frames: 0

Количество переданных пакетов, содержащих pause-frame

Для просмотра использовать команду:

console# show tasks utilization

 Для этого необходимо воспользоваться командой:

console# show fiber-ports optical-transceiver detailed

Тип трансивера будет указан в поле «Transceiver Type».

Данная функция позволяет на основе сконфигурированных правил фильтрации по номерам внутренних VLAN (Customer VLAN) производить добавление внешнего SPVLAN (Service Provider’s VLAN), подменять Customer VLAN, а также запрещать прохождение трафика.

!!! Наличие хотя бы одного правила Selective Q-in-Q на интерфейсе запрещает включение функции логирования широковещательного шторма на этом интерфейсе.

Рассмотрим несколько типовых примеров настройки SQinQ

1) Задача: пропустить vlan 31 без изменения, на остальные vlan, приходящие в порт 11 добавить метку 30

interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 31 tagged
switchport general allowed vlan add 30 untagged
selective-qinq list ingress permit ingress_vlan 31
selective-qinq list ingress add_vlan 30
exit
!
interface gigabitethernet1/0/12
switchport mode trunk
switchport trunk allowed vlan add 30-31
exit

2) Для vlan 68,456,905 добавить метку 3. Для vlan 234,324,657 добавить метку 4 

interface gigabitethernet 1/0/1
switchport mode general
switchport general allowed vlan add 3,4 untagged
selective-qinq list ingress add_vlan 3 ingress_vlan 68,456,905
selective-qinq list ingress add_vlan 4 ingress_vlan 234,324,657
exit

3) Перемаркировка влан. Для входящего трафика vlan 856 -> vlan 3, vlan 68 -> vlan 4. Для исходящего трафика vlan 3 -> vlan 856, vlan 4 -> vlan 68

interface gigabitethernet 1/0/8
switchport mode general
switchport general allowed vlan add 3,4 tagged
selective-qinq list ingress override_vlan 3 ingress_vlan 856
selective-qinq list ingress override_vlan 4 ingress_vlan 68
selective-qinq list egress override_vlan 856 ingress_vlan 3
selective-qinq list egress override_vlan 68 ingress_vlan 4
exit

4) Для всего трафика приходящего на порт 11 добавить метку 30

interface gigabitethernet1/0/11
switchport mode general
switchport general allowed vlan add 30 untagged
selective-qinq list ingress add_vlan 30
exit

или

interface gigabitethernet 1/0/11 
switchport mode customer
switchport customer vlan 30
exit

Конфигурация будет выглядеть следующим образом:

(config)# vlan mode tr101
interface TenGigabitEthernet 1/0/1
  switchport mode customer
  switchport customer vlan <SVLAN> inner-vlan <CVLAN>
exit

Настройки на аплинк порту

interface TenGigabitEthernet 1/0/24
  switchport mode trunk
  switchport trunk allowed vlan add <SVLAN>
exit

Пример конфигурации портов:

SVLAN - 3000, CVLAN -101

interface TenGigabitEthernet1/0/1
description Customer
switchport mode customer
switchport customer vlan 3000 inner-vlan 101
exit
!
interface TenGigabitEthernet 1/0/24
description Uplink
switchport mode trunk
switchport trunk allowed vlan add 3000
exit

Конфигурация SW1:

qos advanced
qos advanced ports-trusted
qos advanced-mode trust dscp
ip access-list extended test
 permit ip any any any any ace-priority 20
exit
!
class-map test
 match access-group test3
exit
!
policy-map test
 class test
  set vlan 20
 exit
exit
!
interface gigabitethernet1/0/1
 switchport mode trunk
 switchport trunk allowed vlan add 20
 service-policy input test1 default-action permit-any
exit
!
interface gigabitethernet1/0/2
 switchport mode trunk
 switchport trunk allowed vlan add 20

Весь трафик с PC1 попадает в 20 vlan

Данная операция выполняется с помощью функционала PROTOCOL-BASED VLAN.

Ниже приведен пример добавления vlan 100 для приходящего на порт ARP трафика.

vlan database
vlan 100
map protocol 0806 ethernet protocols-group 1
exit
!
interface TengigabitEthernet 1/0/1
 switchport mode general
 switchport general allowed vlan add 100 untagged
 switchport general map protocols-group 1 vlan 100
exit

Настройка IPv6 адреса:

1) Stateless auto-configuration

Является режимом по-умолчанию. Включается следующим образом:

console(config)# interface vlan x
console(config)# ipv6 enable

После ввода команды устройство получает link-local адрес и может взаимодействовать с другими устройствами в данном сегменте сети.

Проверить наличие адреса командой:

console(config-if)# do sh ipv6 int

Interface    IP addresses                                    Type
----------- ------------------------------------------------ ------------
VLAN X      fe80::e2d9:e3ff:fef1:dc80                         linklayer
VLAN X      ff02::1                                           linklayer
VLAN X      ff02::1:fff1:dc80                                 linklayer

Адрес ff02::1, т.н. ‘all-nodes’ мультикаст-адрес, который прослушивается всеми узлами сети.

Адрес ff02::1:fff1:dc80 - ‘solicited-node’ мультикаст-адрес, имеет значение в локальном сегменте сети и служит для получения адреса 2-го уровня в рамках протокола NDP (аналог ARP в сетях IPv4).

Формирование link-layer адреса.

Link-local адреса всегда начинаются с префикса FE80::/10, к которому присоединяется идентификатор устройства, включающий мак-адрес. Данный идентификатор формируется по алгоритму EUI-64.

Пример:

Пусть коммутатор имеет мак-адрес e0:d9:e3:f1:dc:80. Согласно EUI-64 мак-адрес разбивается на 2 части по 24 бита - e0:d9:e3 и f1:dc:80, которые разделяются вставкой из 16 бит – FFFE. В первой 24-битной части инвертируется бит U/L. Таким образом, из имеющегося мак-адреса получаем link-local адрес fe80::/10 + e2d9e3 +fffe+f1dc80 -> fe80::e2d9:e3ff:fef1:dc80.

2) Настройка адреса вручную

Настройка вручную осуществляется следующим образом:

console(config)# interface vlan x
console(config)# ipv6 enable

Примечание: включение ipv6 является обязательным требованием

Далее можно задать желаемый global-scope адрес вручную:

console(config)# ipv6 address 2001::a/64

задать желаемый link-local адрес вручную:

console(config)# ipv6 address fe80::a/64 link-local

или использовать формирование адреса по алгоритму EUI-64:

console(config)# ipv6 address 2001::/64 eui-64

Если при назначении адреса вручную не указывать область действия (scope) адреса как link-local, то адреса будут доступны вне локального сегмента сети и будут маршрутизироваться в сетях.

Примечание: на коммутаторах MES не предусмотрено получение адреса с помощью DHCPv6.

Для настройки максимального количества MAC адресов, которое может изучить порт, необходимо перейти в режим конфигурирования интерфейса и выполнить следующие настройки:

• Установить режим ограничения изучения максимального количества MAC-адресов:

console(config-if)# port security mode max-addresses

• Задать максимальное количество адресов, которое может изучить порт, например, 1:

console(config-if)# port security max 1

• Включить функцию защиты на интерфейсе:

console(config-if)# port security

Voice VLAN используется для выделения VoIP-оборудования в отдельную VLAN. Для VoIP-фреймов могут быть назначены QoS-атрибуты для приоритезации трафика. Классификация фреймов, относящихся к фреймам VoIP-оборудования, базируется на OUI ( Organizationally Unique Identifier – первые 24 бита MAC-адреса) отправителя.

Функционал настраивается в 2 этапа:

1) Добавление Voice VLAN на стороне коммутатора

а) Динамически на основе OUI входящего фрейма:

Назначение Voice VLAN для интерфейса происходит автоматически - когда на порт поступает фрейм с OUI из таблицы Voice VLAN. Когда порт определяется, как принадлежащий Voice VLAN – данный порт добавляется во VLAN как tagged. 
Voice VLAN может быть активирован на портах, работающих в режиме trunk и general.

Активировать voice vlan и добавить запись в таблицу  OUI для используемого телефона 

console(config)# voice vlan oui-table add 002618 
console(config)# voice vlan id 10 
console(config)# voice vlan state oui-enabled

console(config)# !

console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# voice vlan enable
console(config-if)# exit

б) Статически:

console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# switchport general allowed vlan add 10 tagged

В примере VLAN 10 используется под голосовой трафик.

2) Назначение Voice VLAN на стороне оконечного оборудования

а) С помощью lldp-med политик

ID Voice VLAN будет присвоен VoIP оборудованию с помощью lldp-med фреймов. Инициатором получения Voice VLAN в данном случае является VoIP-оборудование. 

Настройка lldp-med политики с указанием номера voice vlan

console(config)# no lldp med network-policy voice auto
console(config)# lldp med network-policy 1 voice vlan 10 vlan-type tagged up 4

Привязать lldp-med политику, активировать voice vlan для интерфейса

console(config)# interface gigabitethernet 1/0/10
console(config-if)# switchport mode general
console(config-if)# lldp med enable network-policy
console(config-if)# lldp med network-policy add 1
console(config-if)# switchport general allowed vlan add 20 untagged
console(config-if)# switchport general pvid 20
console(config-if)# exit

В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.

Проверить работу voice vlan можно при помощи команд show voice vlan type oui GigabitEthernet1/0/10

console# show voice vlan type oui GigabitEthernet1/0/10
Aging timeout: 1440 minutes
CoS: 7
Remark: No

OUI table

MAC Address - Prefix Description
-------------------------- --------------------------------
00:26:18                         PC

Interface Enabled Secure Activated COS Mode
------------ ------------------ ------------- ----------------- ----------
gi1/0/12    Yes         No           Yes          src



б) Назначение Voice VLAN по DHCP

В ответе от DHCP-сервера присутствует опция 132 (VLAN ID), с помощью которой устройство автоматически назначает себе VLAN для маркировки трафика (Voice VLAN).

Данная схема не получила широкого применения.

Существует ещё 1 вариант настройки Voice VLAN.

Если VoIP-оборудование и ПК подключены к одному порту коммутатора и оба устройства передают нетегированный трафик, то для настройки отдельного vlan для телефонии можно воспользоваться функцией map mac. В примере VLAN 10 используется под голосовой трафик, VLAN 20 используется под DATA-трафик.

Настраиваем map mac, где используем mac address телефона:

vlan database
vlan 10,20
map mac aa:bb:cc:00:00:00 24 macs-group 1
exit

Выполняем настройку порта коммутатора:

interface gigabitethernet 1/0/10
switchport mode general
switchport general allowed vlan add 10,20 untagged
switchport general map macs-group 1 vlan 10
switchport general pvid 20
exit

Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой, необходимо воспользоваться функцией изоляция портов.

Данная функция позволяет изолировать группу портов (в пределах одного коммутатора), находящихся в одном широковещательном домене между собой, позволяя при этом обмен трафиком с другими портами, находящимися в этом же широковещательном домене, но не принадлежащими к этой группе.

Например, необходимо на MES5332A изолировать порты TengigabitEthernet 1/0/1 и TengigabitEthernet 1/0/2.

Для этого нужно включить функцию на данных портах:

console# configure
console(config)# interface range TengigabitEthernet 1/0/1-2
console(config-if-range)# switchport protected-port

console# show interfaces protected-ports

Interface     State     Community

--------- ------------- ---------

 te1/0/1    Protected   Isolated

 te1/0/2    Protected   Isolated

 te1/0/3   Unprotected  Isolated 

 te1/0/4   Unprotected  Isolated 

 te1/0/5   Unprotected  Isolated 

 te1/0/6   Unprotected  Isolated 

 te1/0/7   Unprotected  Isolated 

 te1/0/8   Unprotected  Isolated

Начиная с версии ПО 6.6.3.5, на коммутаторах MES5400-xx/MES5410-48/MES5500-32 появилась возможность настройки режима breakout на 100G-портах.

На коммутаторах MES5400-24, MES5400-48, MES5410-48 в режиме расщепления HG-интерфейса поддерживается работа порта на скоростях 1 Гбит/с, 10 Гбит/с и 25 Гбит/с. Режим расщепления позволяет расщепить до 6 HG-интерфейсов, что в сумме дает 24 TWE-интерфейса. На коммутаторе MES5500-32 в режиме расщепления HG-интерфейса поддерживается работа на скоростях 1 Гбит/с, 10 Гбит/с и 25 Гбит/с. Режим расщепления позволяет расщепить до 30 HG-интерфейсов, что в сумме дает 120 TWE-интерфейсов.

Важно! На MES5400-24 в режиме расщепления могут работать 100G-интерфейсы HG3–HG6. На интерфейсах HG1, HG2 данный режим не поддерживается. На MES5400-24 rev.B поддержка расщепления есть на всех 100G-интерфейсах.

Важно! Обновление ПО коммутаторов MES5400-XX и MES5410-48 выполняется по стандартной инструкции по обновлению. Обновление ПО коммутаторов MES5500-32 при переходе с версии 6.6.3.4 и более ранних на 6.6.3.5 (с поддержкой breakout) и более поздние необходимо выполнять согласно инструкции "Инструкция по обновлению версии ПО в сетевых коммутаторах MES5500-32 при переходе с версии 6.6.3.4 и более ранних на 6.6.3.5 (с поддержкой breakout) и более поздние", которую можно скачать с официального сайта из раздела Документы и файлы - ПО: https://eltex-co.ru/catalog/kommutator_tsod_mes5500-32#docsAndFiles

Порядок действий, который необходимо выполнить для расщепления 100G порта:

1) На интерфейсе Hu1/0/x применяем команду hardware profile portmode 4x25g:

console(config)#interface HundredGigabitEthernet1/0/1
console(config-if)#hardware profile portmode 4x25g

Для применения команды необходимо сохранить конфигурацию и перезагрузить коммутатор, о чем будет предупреждение:

This setting will take effect only after copying running configuration to startup configuration and resetting the device

До перезагрузки коммутатора можно проверить командой show hardware profile portmode, что режим расщепления установлен и применится после перезагрузки (столбец Port Mode after reset):

Interface     Port Mode after reset   Port Mode   Expanded interfaces 
---------------- ---------------------- ----------- ---------------------
   hu1/0/1               4x25G            1x100G         twe1/0/1-4      
   hu1/0/2               1x100G           1x100G         twe1/0/5-8      
   hu1/0/3               1x100G           1x100G         twe1/0/9-12     
   hu1/0/4               1x100G           1x100G        twe1/0/13-16     
   hu1/0/5               1x100G           1x100G        twe1/0/17-20     
   hu1/0/6               1x100G           1x100G        twe1/0/21-24     
   hu1/0/7               1x100G           1x100G        twe1/0/25-28     
   hu1/0/8               1x100G           1x100G        twe1/0/29-32     
   hu1/0/9               1x100G           1x100G        twe1/0/33-36     
   hu1/0/10              1x100G           1x100G        twe1/0/37-40

2) После загрузки коммутатора нужно проверить, что порт перешел в режим расщепления (столбец Port Mode):

Interface     Port Mode after reset   Port Mode   Expanded interfaces 
---------------- ---------------------- ----------- ---------------------
   hu1/0/1               4x25G             4x25G         twe1/0/1-4      
   hu1/0/2               1x100G           1x100G         twe1/0/5-8      
   hu1/0/3               1x100G           1x100G         twe1/0/9-12     
   hu1/0/4               1x100G           1x100G        twe1/0/13-16     
   hu1/0/5               1x100G           1x100G        twe1/0/17-20     
   hu1/0/6               1x100G           1x100G        twe1/0/21-24     
   hu1/0/7               1x100G           1x100G        twe1/0/25-28     
   hu1/0/8               1x100G           1x100G        twe1/0/29-32     
   hu1/0/9               1x100G           1x100G        twe1/0/33-36     
   hu1/0/10              1x100G           1x100G        twe1/0/37-40

Либо через show interface status, где вместо Hu1/0/x будут указаны twe интерфейсы:

Port       Type         Duplex  Speed  Neg      ctrl State         (d,h:m:s)   Pressure Mode    Port Mode (VLAN)       
---------- ------------ ------  ------ -------- ---- ----------- ------------- -------- ------- ------------------------                       
twe1/0/1   25G-Fiber    Full    25000  Disabled Off  Up          00,00:00:58   Disabled Off     Access (4095)          
twe1/0/2   25G-Fiber    Full    25000  Disabled Off  Up          00,00:00:30   Disabled Off     Access (4095)          
twe1/0/3   25G-Fiber    Full    25000  Disabled Off  Up          00,00:00:24   Disabled Off     Access (4095)          
twe1/0/4   25G-Fiber    Full    25000  Disabled Off  Up          00,00:00:19   Disabled Off     Access (4095)             

Порядок действий, который необходимо выполнить, чтобы убрать расщепление с 100G порта:

На интерфейсе Hu1/0/x применить команду hardware profile portmode 1x100g:

console(config)#interface HundredGigabitEthernet1/0/1
console(config-if)#hardware profile portmode 1x100g

После применения команды необходимо сохранить конфигурацию и перезагрузить коммутатор, о чем будет предупреждение:

This setting will take effect only after copying running configuration to startup configuration and resetting the device

Важно! Расщепленный twe-порт помимо работы на скорости 25G может также работать на скорости 1G или 10G, для этого необходимо задать скорость на интерфейсе командой speed 1000 или speed 10000 соответственно.

Для этого необходимо в режиме глобального конфигурирования воспользоваться командой rate-limit

rate-limit vlan_id rate burst

Где

• vlan_id – номер VLAN;
• rate – средняя скорость трафика (CIR), кбит/с;
• burst – размер сдерживающего порога (ограничение скорости) в байтах.

Необходимо перейти в настройки интерфейса и ввести команду:

no ip address dhcp

Например, отключить DHCP-клиент на интерфейсе VLAN1 (DHCP-клиент включен по умолчанию):

console(config)# interface vlan 1
console(config-if)# no ip address dhcp

Переключение Ethertype кадра показано на примере порта TenGigabitEthernet 1/0/12. Производится подмена 0х8100 на 0х9100.

Ниже приведен пример конфигурации: 

vlan database
vlan 10
exit
!
interface TenGigabitEthernet 1/0/12
 switchport mode trunk
 switchport trunk allowed vlan add 10
 switchport dot1q ethertype ingress stag add 9100
 switchport dot1q ethertype egress stag 9100
exit
!
interface TenGigabitEthernet 1/0/24
 switchport mode customer
 switchport customer vlan 10
exit

Для режима trunk:

console(config-if)# switchport trunk allowed vlan remove all

Для режима general:

console(config-if)# switchport general allowed vlan remove all

Функция mac-based vlan позволяет определять принадлежность трафика к определённому vlan, основываясь на mac-адресе источника.

Рассмотрим самый простейший пример настройки mac-based vlan.

На ПК1 настроен адрес 192.168.1.1, на ПК2 192.168.1.2

Порт gigabitethernet 1/0/12 настроен в vlan 10

interface gigabitethernet1/0/12
switchport access vlan 10

Для ПК1 настроим перенаправление трафика на основе MAC address.

Создаем правило, где mac ПК1 -  f4:f2:6d:03:42:31,  40 - битовая маска, macs-group 1 - идентификатор группы

vlan database
vlan 10
  map mac f4:f2:6d:03:42:31 40 macs-group 1
exit

Настраиваем порт interface gigabitethernet1/0/11

interface gigabitethernet1/0/11
switchport general map macs-group 1 vlan 10
switchport mode general
switchport general allowed vlan add 10 untagged

В результате  настроек ПК1 и ПК2 окажутся в одном vlan 10.

С помощью данной функции можно предоставить с порта несколько услуг, например, телефонную и передачу данных.

Пример настройки vlan 69 - телефония, vlan 112 - передача данных, macs-group 1 - группа mac адресов телефонов:

vlan database
vlan 112,69
   map mac 00:26:1e:00:00:00 32 macs-group 1
exit

interface gigabitethernet 1/0/10
switchport mode general
switchport general allowed vlan add 69,112 untagged
switchport general map macs-group 1 vlan 69
switchport general pvid 112
exit

Данный механизм позволяет устройству отслеживать закольцованные порты. Петля на порту обнаруживается путём отсылки коммутатором кадра (frame) с MAC-адресом порта коммутатора в поле Source MAC, и широковещательным (по умолчанию) адресом в поле Destination MAC.

Настройка loopback detection возможна как на порту, так и в VLAN.

Пример конфигурирования при настройке на порту (настройка позволяет защитить коммутатор от петли между портами коммутатора):

• Включить механизм обнаружения петель глобально для коммутатора:

console(config)# loopback-detection enable

• Включить механизм обнаружения петель на портах:

console(config)# interface range GigabitEthernet1/0/1-24
console (config-if-range)# loopback-detection enable

• Включить автоматическое восстановление интерфейса через заданный таймер:

console(config)# errdisable recovery cause loopback-detection
console(config)# errdisable recovery interval 30

Широковещательный шторм – это размножение широковещательных сообщений в каждом узле, которое приводит к лавинообразному росту их числа и парализует работу сети. Коммутаторы MES имеют функцию, позволяющую ограничить скорость передачи широковещательных кадров, принятых коммутатором.

Пример настройки.

• Перейти в режим конфигурирования интерфейса.
• Включить функцию. Ограничения настраиваются, либо при помощи указания полосы пропускания в kbps, либо в процентах от полосы пропускания - level

console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast level 2
console(config-if)# storm-control broadcast kbps 8500

• Для настройки ограничения в PPS необходимо изменить режим в глобальной конфигурации:

console(config)# traffic-limiter mode pps
console(config)# interface tengigabitethernet 1/0/1
console(config-if)# storm-control broadcast pps 200

С настройками по умолчанию трафик выше настроенного предела просто отбрасывается, без блокировки порта и отправки сообщения в лог. 

Для настройки блокировки порта при превышении предела сушествует опция shutdown

console(config-if)# storm-control broadcast level 2 shutdown

Такой порт отправляется в errdisable, для настройки автоматического восстановления порта необходимо воспользоваться функционалом errdisable recovery:

console(config)# errdisable recovery interval 30
console(config)# errdisable recovery cause storm-control

Для включения записи в журнал сообщений (trap) при срабатывании storm-control:

console(config-if)# storm-control broadcast level 2 trap

Функция зеркалирования портов предназначена для контроля сетевого трафика путем пересылки копий входящих и/или исходящих пакетов с одного или нескольких контролируемых портов на один контролирующий порт.

 К контролирующему порту применяются следующие ограничения:

• Порт не может быть контролирующим и контролируемым портом одновременно;

• Порт не может быть членом группы портов;

• IP-интерфейс должен отсутствовать для этого порта;

• Протокол GVRP должен быть выключен на этом порту.

К контролируемым портам применяются следующие ограничения:

• Порт не может быть контролирующим и контролируемым портом одновременно.

Пример настройки RSPAN.

Организуем мониторинг трафика с порта TengigabitEthernet 1/0/1 через vlan 100 в порт TengigabitEthernet 1/0/2 (обычно в качестве reflector-port используется Uplink интерфейс). На reflector-port (TenGigabitEthernet1/0/2) добавлять remote-vlan в trunk не требуется.

vlan database
vlan 20,90,100
exit
!
interface TenGigabitEthernet1/0/1
description DOWNLINK
switchport mode trunk
switchport trunk allowed vlan add 20, 90
exit
!
interface TenGigabitEthernet1/0/2
description UPLINK
switchport mode trunk
switchport trunk allowed vlan add 20,90
exit
!
interface vlan 100
remote-span
exit
!
monitor session 1 destination remote vlan 100 reflector-port TenGigabitEthernet1/0/2 network
monitor session 1 source interface TenGigabitEthernet1/0/1 both

На промежуточных коммутаторах, где прописан vlan 100 должен быть отключен mac learning в данном vlan (no mac address-table learning vlan 100).

P.S. Если в качестве транзитного коммутатора используется коммутатор серии MES5448/MES7048, то на нем обучение MAC-адресов отключается следующим образом:

MES5448(config)# vlan 100
MES5448(config)(Vlan 100)# remote-span

Также на данной линейке необходимо увеличить MTU на портах, т.к. за счет дополнительного заголовка размер отзеркалированного пакета увеличивается.

MES5448(config)# interface 1/0/1
MES5448(Interface 1/0/1# mtu 9000

При необходимости удаленного зеркалирования большого количества портов в один интерфейс, нельзя назначать более 8 source-int на один destination-int. Однако возможно воспользоваться следующей схемой:

где te1/0/1-te1/0/16 - контролируемые порты;

te1/0/17-te1/0/19 - физическая петля для session 1 (te1/0/17 выступает в качестве destination-int для session 1);

te1/0/18-te1/0/20 - физическая петля для session 2 (te1/0/18 выступает в качестве destination-int для session 2);

te1/0/23 - выходной интерфейс отзеркалированного трафика.

Распределим зеркалирование трафика с портов te1/0/1-te1/0/16 между сессиями. Например, к 1-ой сессии можно назначить в качестве "source int" нечетные порты, тогда ко второй сессии - четные порты. Выглядит это следующим образом:

monitor session 1 destination interface TenGigabitEthernet1/0/17
monitor session 2 destination interface TenGigabitEthernet1/0/18
monitor session 1 source interface TenGigabitEthernet1/0/1 both
monitor session 1 source interface TenGigabitEthernet1/0/3 both
monitor session 1 source interface TenGigabitEthernet1/0/5 both
monitor session 1 source interface TenGigabitEthernet1/0/7 both
monitor session 1 source interface TenGigabitEthernet1/0/9 both
monitor session 1 source interface TenGigabitEthernet1/0/11 both
monitor session 1 source interface TenGigabitEthernet1/0/13 both
monitor session 1 source interface TenGigabitEthernet1/0/15 both
monitor session 2 source interface TenGigabitEthernet1/0/2 both
monitor session 2 source interface TenGigabitEthernet1/0/4 both
monitor session 2 source interface TenGigabitEthernet1/0/6 both
monitor session 2 source interface TenGigabitEthernet1/0/8 both
monitor session 2 source interface TenGigabitEthernet1/0/10 both
monitor session 2 source interface TenGigabitEthernet1/0/12 both
monitor session 2 source interface TenGigabitEthernet1/0/14 both
monitor session 2 source interface TenGigabitEthernet1/0/16 both

Далее необходимо произвести настройку конфигурации портов с физическими петлями.  В нашем случае это te1/0/18-te1/0/20. В первую очередь необходимо на данных интерфейсах отключить работу протокола STP и установить режим обработки пакетов BPDU filtering. Необходимо это для того, чтобы не происходило закольцовывание STP BPDU. 

Далее необходимо сделать так, чтобы входящий трафик на портах te1/0/19 и te1/0/20 коммутировался на выход интерфейса te1/0/23. Для этого на te1/0/19 и te1/0/20 добавляется метка 1001 и 1002 соответственно, а интерфейс te1/0/23 настраивается под них. Таким образом, конфигурация ключевых интерфейсов будет выглядеть следующим образом:

interface TenGigabitEthernet1/0/17
spanning-tree disable
spanning-tree bpdu filtering

interface TenGigabitEthernet1/0/18
spanning-tree disable
spanning-tree bpdu filtering

interface TenGigabitEthernet1/0/19
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 1001

interface TenGigabitEthernet1/0/20
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 1002

Пример настройки интерфейса для всего отзеркалированного трафика:

interface TenGigabitEthernet1/0/23
switchport mode general
switchport general allowed vlan add 1001-1002 untagged
exit

Также для корректной коммутации трафика на интерфейс te1/0/23 необходимо отключить в режиме глобальной конфигурации mac-learning на VLAN, метки которых мы добавляли на входе te1/0/19 и te1/0/20 (1001 и 1002 соответственно).

no mac address-table learning vlan 1001

no mac address-table learning vlan 1002

Для настройки удаленного зеркалирования, где трафик из физических интерфейсов или из vlan зеркалируется в несколько аплинков, можно воспользоваться следующей схемой:

Где te1/0/1 — контролируемый порт;

te1/0/15,  te1/0/16 — аплинки;

te1/0/2, te1/0/3  — физическая петля для Q-in-Q.

Трафик с контролируемого порта te1/0/1 зеркалируется с помощью SPAN на te1/0/2, с этого порта трафик выходит в тех vlan, что и изначально.

Порт te1/0/2 физически соединён с портом te1/0/3, где на весь зеркалируемый трафик добавляется вторая метка 100. В этом vlan зеркалированный трафик будет передаваться дальше через аплинки, поэтому на промежуточных коммутаторах, где прописан vlan 100, должен быть отключен mac learning в данном vlan.

vlan database
vlan 10,100
exit
!
no mac address-table learning vlan 100
!
interface TenGigabitEthernet1/0/1
switchport mode general
switchport general allowed vlan add 10 tagged
exit
!
interface TenGigabitEthernet1/0/2
spanning-tree disable
spanning-tree bpdu filtering
exit
!
interface TenGigabitEthernet1/0/3
spanning-tree disable
spanning-tree bpdu filtering
switchport mode customer
switchport customer vlan 100
exit
!
interface TenGigabitEthernet1/0/15
switchport mode customer
switchport customer vlan 100
exit
!
interface TenGigabitEthernet1/0/16
switchport mode customer
switchport customer vlan 100
exit
!
monitor session 1 destination interface TenGigabitEthernet1/0/2
monitor session 1 source interface TenGigabitEthernet1/0/1 both
!
end