Сегодня настроил очередной коммутатор D-Link DES-3528.
Выложу ниже конфигурацию и кратко опишу её.
При наборе команд можно использовать клавишу TAB чтобы коммутатор предлагал варианты, а также после любой команды через пробел можно написать знак вопроса «?» и увидеть возможные подкоманды.
Просмотреть текущую конфигурацию коммутатора можно командой:
show config current_config
Приступим к настройке.
Подключимся к коммутатору консольным кабелем на скорости 9600 или по стандартному IP-адресу 10.90.90.90 и добавим администратора (изначально вход без логина и пароля):
create account admin admin
Включим шифрование пароля чтобы он не хранился в конфиге открыто:
enable password encryption
Добавим vlan для управления и для пользователей (у меня 207 core для управления, 226 для пользователей, 25 порт использую как входящий):
create vlan core tag 207 config vlan core add tagged 25 create vlan local_smart tag 226 config vlan local_smart add untagged 1-28 config port_vlan 1-28 acceptable_frame admit_all pvid 226 config vlan default delete 1-28
Изменим IP-адрес коммутатору и укажем шлюз:
config ipif System ipaddress 192.168.0.50/24 vlan core create iproute default 192.168.0.1 1 primary
Включим ограничение широковещательного трафика на клиентских портах:
config traffic control 1-24,26-28 broadcast enable action drop broadcast_threshold 100 countdown 0 time_interval 5
Включим защиту от петель на клиентских портах:
enable loopdetect config loopdetect recover_timer 300 interval 10 mode port-based config loopdetect log state enable config loopdetect ports 1-24,26-28 state enable config loopdetect trap loop_detected
Включим сегментацию трафика, чтобы клиенты не видели друг друга:
config traffic_segmentation 1-24,26-28 forward_list 25 config traffic_segmentation 25 forward_list 1-24,26-28
Включим блокировку DHCP-серверов со стороны клиентов чтобы они не раздавали IP:
config filter dhcp_server ports 1-24,26-28 state enable config filter dhcp_server illegal_server_log_suppress_duration 30min config filter dhcp_server trap_log enable
Укажем с каких IP разрешено заходить администратору на коммутатор (чтобы пользователи не видели его):
create trusted_host network 192.168.0.2/32 snmp telnet ssh http https ping create trusted_host network 192.168.1.5/32 snmp telnet ssh http https ping
Настроим SNMP если оно нужно:
enable snmp delete snmp community public delete snmp community private delete snmp user initial create snmp community КОМЬЮНИТИ view CommunityView read_only
Включим защиту от BPDU флуда:
enable bpdu_protection config bpdu_protection recovery_timer 2400 config bpdu_protection log none config bpdu_protection ports 1-24,26-28 state enable config bpdu_protection ports 1-28 mode drop
Включим защиту коммутатора, чтобы в случае полной загрузки процессора на него можно было зайти:
config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy
По необходимости настроим синхронизацию времени с NTP сервером:
enable sntp config time_zone operator + hour 2 min 0 config sntp primary 10.0.0.18 poll-interval 5000
На этом основная настройка коммутатора D-Link DES-3528 завершена.