Настройка коммутатора D-Link DES-3528

Сегодня настроил очередной коммутатор D-Link DES-3528.

Выложу ниже конфигурацию и кратко опишу её.
При наборе команд можно использовать клавишу TAB чтобы коммутатор предлагал варианты, а также после любой команды через пробел можно написать знак вопроса «?» и увидеть возможные подкоманды.

Просмотреть текущую конфигурацию коммутатора можно командой:

show config current_config

Приступим к настройке.
Подключимся к коммутатору консольным кабелем на скорости 9600 или по стандартному IP-адресу 10.90.90.90 и добавим администратора (изначально вход без логина и пароля):

create account admin admin

Включим шифрование пароля чтобы он не хранился в конфиге открыто:

enable password encryption

Добавим vlan для управления и для пользователей (у меня 207 core для управления, 226 для пользователей, 25 порт использую как входящий):

create vlan core tag 207
config vlan core add tagged 25
create vlan local_smart tag 226
config vlan local_smart add untagged 1-28
config port_vlan 1-28 acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Изменим IP-адрес коммутатору и укажем шлюз:

config ipif System ipaddress 192.168.0.50/24 vlan core
create iproute default 192.168.0.1 1 primary

Включим ограничение широковещательного трафика на клиентских портах:

config traffic control 1-24,26-28 broadcast enable action drop broadcast_threshold 100 countdown 0 time_interval 5

Включим защиту от петель на клиентских портах:

enable loopdetect
config loopdetect recover_timer 300 interval 10 mode port-based
config loopdetect log state enable
config loopdetect ports 1-24,26-28 state enable
config loopdetect trap loop_detected

Включим сегментацию трафика, чтобы клиенты не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Включим блокировку DHCP-серверов со стороны клиентов чтобы они не раздавали IP:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Укажем с каких IP разрешено заходить администратору на коммутатор (чтобы пользователи не видели его):

create trusted_host network 192.168.0.2/32 snmp telnet ssh http https ping
create trusted_host network 192.168.1.5/32 snmp telnet ssh http https ping

Настроим SNMP если оно нужно:

enable snmp
delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_only

Включим защиту от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 2400
config bpdu_protection log none
config bpdu_protection ports 1-24,26-28 state enable
config bpdu_protection ports 1-28 mode drop

Включим защиту коммутатора, чтобы в случае полной загрузки процессора на него можно было зайти:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

По необходимости настроим синхронизацию времени с NTP сервером:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 10.0.0.18 poll-interval 5000

На этом основная настройка коммутатора D-Link DES-3528 завершена.

Добавить комментарий