Обновление прошивки D-Link DIR-815

Для теста обновлю прошивку на маршрутизаторе D-Link DIR-815 ревизии A1.
На маршрутизаторе установлена прошивка 1.00 (Fri 06 Aug 2010), на официальном FTP нашел версию 1.04, b03 (Wed 15 May 2013).

Чтобы обновить прошивку в маршрутизаторе D-Link DIR-815 выполним следующие необходимые действия по шагам:

1) Посмотрим ревизию на наклейке под маршрутизатором и скачаем под нее новую прошивку с официального FTP http://ftp.dlink.ru/pub/Router/DIR-815/Firmware/.
Обновление прошивки маршрутизатора не под ту ревизию может привести к его поломке.

2) Откроем настройки маршрутизатора набрав в браузере адрес http://192.168.0.1 (может быть 192.168.1.1) и введем стандартный логин — admin без пароля.

3) В открывшемся интерфейсе вверху откроем вкладку «Tools«, слева в меню выберем «Firmware«. На открывшейся странице будет отображена текущая версия прошивки, если она старее скачанной, то нажмем «Обзор» и выберем скачанный ранее файл новой прошивки, после чего нажмем «Upgrade» для запуска процесса обновления.

Дождемся завершения обновления, обычно около 5 минут. По окончанию маршрутизатор сам перезагрузится.
Категорически нельзя отключение питания в момент обновления прошивки.

Восстановление прошивки D-Link коммутаторов

Для теста восстановлю прошивку коммутатора D-Link DES-3200.

1) Скачаем прошивку на официальном сайте, ссылку я оставлял в этой статье — Обновление прошивки коммутатора D-Link DES-3200

2) Выключим питание коммутатора, подключим его консольным (RS-232) кабелем к компьютеру с операционной системой Linux, запустим minicom, выставим настройки подключения нажав клавиши Ctrl+A O, например для DES-3200 скорость потока 9600, без управления потоком и 8N1. Порт обычно ttyS0, если через USB адаптер, то ttyUSB0.
Смотрите также мою статью — Установка и использование Minicom

3) Включаем коммутатор, сразу при включении, когда отображается надпись «Power On Self Test», нажимаем одновременно две клавиши SHIFT+3.

4) В открывшемся окне должно отобразится:

Image Option: [Create]
Download Protocol: [zModem]
Baud Rate: [115200]

При необходимости выставим необходимое клавишей пробел как показано выше, стрелками на клавиатуре перейдем вниз выбрав «Apply» и нажмем клавишу Enter.
После этого необходимо изменить скорость подключения на 115200, нажмем Ctrl+A O чтобы перейти в настройки Minicom и выставим скорость, выйдем из настроек нажимая клавишу Esc.

5) Нажмем клавиши Ctrl+A S, чтоб открыть окно отправки файла, выберем zmodem, найдем файл прошивки на диске, отметим клавишей пробел и нажмем Enter, после этого начнется передача файла.

По окончании передачи файла вернем скорость на 9600, когда отобразится надпись:

Please change your baud rate to 9600 for normal operation !!

6) Если коммутатор не запустится с закачанной прошивки, то нужно указать что она загрузочная (в коммутаторе может находится до двух прошивок).
Аналогично при включении коммутатора нажмем клавиши SHIFT+3 и например выставим:

Image Option: [Set_Boot]
Select Image: [2]

После этого выберем «Apply», нажмем клавишу Enter, выберем «Reboot» и нажмем клавишу Enter для перезагрузки коммутатора.

Конфигурация после восстановления прошивки останется прежней.

Смотрите видео как это делал я:

Какой логин и пароль на D-Link DCM-202?

Спросили как-то у меня логин и пароль к docsis модему D-Link DCM-202 чтобы зайти в web интерфейс, так как admin/admin не подходили.
Так вот, по умолчанию логин admin с паролем password.
IP адрес модема — 192.168.100.1

Как ловить широковещательный флуд на коммутаторах D-Link

Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.

Естественно защита от петель на всех коммутаторах была включена (но флуд в моём случае был не от петли):

enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 600 interval 10 mode port-based
show loopdetect

Контроль широковещательных штормов тоже был включен:

config traffic control 1-24 broadcast enable action drop threshold 64 countdown 5 time_interval 5

Посмотреть трафик на портах можно командой (на примере с 1 по 24 порт, отсюда можно увидеть с какого порта идет broadcast):

show packet port 1-24

Пример отключения и включения порта:

config ports 11 state disable
config ports 11 state enable
show ports
show ports description

Через ACL можно также полностью запретить широковещательный трафик, но в этом случае пользователи не смогут получать по DHCP IP-адреса (будут работать только прописанные вручную IP):

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

В момент широковещательного флуда у пользователей подключенных в общей сети может плохо работать или вовсе не работать интернет, на коммутаторах обычно повышенная загрузку процессора и т.д., по этому его нужно заранее ограничивать всеми возможными подходящими функциями на всех коммутаторах.

Настройка коммутатора D-Link DES-3028

Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.

И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):

create vlan core tag 207
config vlan core add tagged 25

Назначим коммутатору IP адрес:

config ipif System vlan core ipaddress 192.168.1.2/24 state enable

Укажем маршрут по умолчанию:

create iproute default 192.168.1.1 1

Добавим аккаунт админа:

create account admin ИМЯ

Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:

create vlan local_smart tag 226
config vlan local_smart add tagged 25
config vlan local_smart add untagged 1-24,26-28
disable gvrp
config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Настроим защиту от широковещательного флуда:

config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:

enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:

config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим часовой пояс и синхронизацию времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000

Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:

create trusted_host 192.168.1.1
create trusted_host 192.168.5.20

Настроим защиту от DOS:

disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):

config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable

Настроим SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_write
create snmp community КОМЬЮНИТИ view CommunityView read_only
config snmp system_name ИМЯ
config snmp system_location ТЕКСТ
config snmp system_contact ТЕКСТ

Настроим защиту от сторонних DHCP серверов:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:

config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:

config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:

config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Все.

Настройка коммутатора D-Link DES-3528

Сегодня настроил очередной коммутатор D-Link DES-3528.

Выложу ниже конфигурацию и кратко опишу её.
При наборе команд можно использовать клавишу TAB чтобы коммутатор предлагал варианты, а также после любой команды через пробел можно написать знак вопроса «?» и увидеть возможные подкоманды.

Просмотреть текущую конфигурацию коммутатора можно командой:

show config current_config

Приступим к настройке.
Подключимся к коммутатору консольным кабелем на скорости 9600 или по стандартному IP-адресу 10.90.90.90 и добавим администратора (изначально вход без логина и пароля):

create account admin admin

Включим шифрование пароля чтобы он не хранился в конфиге открыто:

enable password encryption

Добавим vlan для управления и для пользователей (у меня 207 core для управления, 226 для пользователей, 25 порт использую как входящий):

create vlan core tag 207
config vlan core add tagged 25
create vlan local_smart tag 226
config vlan local_smart add untagged 1-28
config port_vlan 1-28 acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Изменим IP-адрес коммутатору и укажем шлюз:

config ipif System ipaddress 192.168.0.50/24 vlan core
create iproute default 192.168.0.1 1 primary

Включим ограничение широковещательного трафика на клиентских портах:

config traffic control 1-24,26-28 broadcast enable action drop broadcast_threshold 100 countdown 0 time_interval 5

Включим защиту от петель на клиентских портах:

enable loopdetect
config loopdetect recover_timer 300 interval 10 mode port-based
config loopdetect log state enable
config loopdetect ports 1-24,26-28 state enable
config loopdetect trap loop_detected

Включим сегментацию трафика, чтобы клиенты не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Включим блокировку DHCP-серверов со стороны клиентов чтобы они не раздавали IP:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Укажем с каких IP разрешено заходить администратору на коммутатор (чтобы пользователи не видели его):

create trusted_host network 192.168.0.2/32 snmp telnet ssh http https ping
create trusted_host network 192.168.1.5/32 snmp telnet ssh http https ping

Настроим SNMP если оно нужно:

enable snmp
delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_only

Включим защиту от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 2400
config bpdu_protection log none
config bpdu_protection ports 1-24,26-28 state enable
config bpdu_protection ports 1-28 mode drop

Включим защиту коммутатора, чтобы в случае полной загрузки процессора на него можно было зайти:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

По необходимости настроим синхронизацию времени с NTP сервером:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 10.0.0.18 poll-interval 5000

На этом основная настройка коммутатора D-Link DES-3528 завершена.

Обновление прошивки маршрутизатора D-Link DIR-300

На тесте буду прошивать маршрутизатор D-Link DIR-300 B5 v.1.2.94 на 2.15.12.
В моем случае после обновления прошивки настройки сбросились на заводские и добавились новые функции, например при выборе канала Wi-Fi можно увидеть уровни зашумленности каналов другими устройствами.

Опишу действия по шагам:
1) Найдем и скачаем новую прошивку с официального сайта http://ftp.dlink.ru/pub/Router/. Скачивать нужно прошивку только ту которая соответствует ревизии, например если роутер ревизии B5, то прошивку для B5, если B7, то для B7. Если прошить не той прошивкой, то маршрутизатор скорее всего перестанет работать.
2) Далее откроем настройки маршрутизатора набрав в браузере адрес http://192.168.0.1 (может быть 192.168.1.1) и введем стандартный логин — admin без пароля (может быть пароль admin).
3) В открывшемся интерфейсе выберем «Настройки» — «Система» — «Обновление ПО», нажмем «Обзор» и выберем скачанный ранее файл прошивки, после чего нажмем «Обновить» для запуска процесса обновления.

Ждем завершения обновления, обычно 2-5 минут. По окончанию маршрутизатор сам перезапустится.

Все.

Смотрите также мою статью: Восстановление маршрутизатора D-Link DIR-300NRU/B7

Обновление прошивки коммутатора D-Link DGS-3612

На тесте буду использовать коммутатор D-Link DGS-3612 с прошивкой 2.84.B48 и Boot PROM: 1.10-B09.
Обновлять буду на версию 3.00.B42.

Опишу по пунктам процедуру обновления:

1) Скачаем новую прошивку с официального сайта (там они именуются как DGS-3600) http://forum.dlink.ru/viewtopic.php?f=2&t=92700&sid=04ae57db59e0b60948ad8e76ecbbe0db
После скачивания поместим файл прошивки на TFTP сервер.

Если требуется смотрите как запустить TFTP сервер в других моих статьях:
Запуск TFTP сервера на Windows
Установка и настройка TFTP сервера в Ubuntu

2) Подключимся к коммутатору через telnet или консольным кабелем и посмотрим какая версия прошивки установлена на коммутаторе:

show switch
show boot_file

3) Сделаем на всякий случай резервную копию конфигурации:

upload cfg_toTFTP 192.168.1.2 dest_file 3612.cfg

4) Закачаем прошивку в коммутатор с TFTP сервера командой (файл прошивки нужно переименовать покороче, так как длинными коммутатор шиться не хотел):

download firmware_fromTFTP 192.168.1.2 src_file RUN3.HAD dest_file unit 1 C:\ RUN3.HAD boot_up

5) Последним шагом будет перезагрузка коммутатора, вводим команду и жмем «y» для соглашения на перезагрузку:

reboot

После прошивки настройки коммутатора остались без изменений. Прошивал дистанционно через telnet.

Обновление прошивки коммутатора D-Link DES-3828

На тесте буду обновлять коммутатор D-Link DES-3828 с прошивкой 4.50.B23 на 4.61.B35 (прошивка без WEB)

Первым делом сделаем резервную копию конфигурации на TFTP севрер:

upload cfg_toTFTP 192.168.1.1 3828.cfg

Посмотрим какая версия прошивки установлена и под каким ID:

show firmware information

У меня установлена под ID 1, по этому новую буду закачивать под ID 2:

download firmware_fromTFTP 10.0.0.18 DES3828R46_4.61.B35.had image_id 2

Сделаем прошивку под ID 2 загрузочной:

config firmware image_id 2 boot_up

После выполнения указанной выше команды, коммутатор предложит выполнить перезагрузку, на что согласимся нажав «y». Все, коммутатор запустится с новой прошивкой, настройки останутся без изменений.

P.S. Пробовал сделать загрузочной обратно прошивку под ID 1, после чего конфигурация осталась, но сбросился IP коммутатора на стандартный 10.90.90.90. Пришлось подключится к нему через консоль и прописать предыдущий IP, можно также потом загрузить сделанную раньше копию конфигурации в коммутатор командой:

download cfg_fromTFTP 192.168.1.1 3828.cfg

Обновление прошивки коммутатора D-Link DGS-3100

На тесте буду использовать коммутатор D-Link DGS-3100-24TG rev.A2 с прошивкой 3.60.44 и Boot PROM v.1.0.1.05.

Скачаем новую прошивку с официального сайта http://forum.dlink.ru/viewtopic.php?f=2&t=92700&sid=04ae57db59e0b60948ad8e76ecbbe0db
На момент написания статьи я скачал версию 3.60.45.
После скачивания поместим файл прошивки и если требуется файл загрузчика на TFTP сервер.
Как запустить TFTP сервер описывал в этих статьях:
Запуск TFTP сервера на Windows
Установка и настройка TFTP сервера в Ubuntu.

Теперь подключимся к коммутатору через telnet или консольным кабелем и наберем команду которая покажет версию прошивки коммутатора:

show switch

Перед прошивкой можно на всякий случай отправить файл конфигурации на TFTP сервер:

upload configuration 192.168.1.2 file.cfg

Если необходимо обновить загрузчик выполним команду:

download boot 192.168.1.2 DGS-3100_series_A1A2_Boot_1.01.05.rfb

Если после загрузки загрузчика или прошивки коммутатор не пойдет на перезагрузку — нужно выполнить команду:

reboot

Загрузим прошивку в коммутатор с TFTP сервера:

download firmware 192.168.1.2 DGS-3100-xx-3.60.45.ros

Снова перезагрузим коммутатор если он не сделает этот сам.

Через web-интерфейс коммутатор также можно прошить открыв вверху вкладку «Tools» — «Firmware Download«.
Обновить прошивку можно как через TFTP сервер, так и через HTTP-интерфейс выбрав файл прошивки на компьютере.

После прошивки настройки коммутатора остались без изменений. Прошивал дистанционно.

Процесс снял на видео: