Настройка Port Security на D-Link коммутаторах

В этой статье я приведу пример настройки port security на коммутаторах D-Link.

Благодаря функции Port Security, на портах коммутаторов D-Link можно ограничить количество устройств, которым разрешено подключаться к сети.
Читать далее «Настройка Port Security на D-Link коммутаторах»

Настройка Traffic Segmentation на D-Link коммутаторах

Приведу пример настройки Traffic Segmentation на D-Link коммутаторах.
Traffic Segmentation запрещает портам общаться между собой на прямую, на коммутаторах других производителей подобная функция называется как Protected Ports, Port Isolation и т.д.

Перед настройкой Traffic Segmentation нужно точно знать какой из портов Uplink, допустим на коммутаторе DES-3200-18 С1, 17 порт является входящим (uplink), то выполним следующие две команды:

Читать далее «Настройка Traffic Segmentation на D-Link коммутаторах»

Обновление прошивки D-Link DIR-815

Для теста обновлю прошивку на маршрутизаторе D-Link DIR-815 ревизии A1.
На маршрутизаторе установлена прошивка 1.00 (Fri 06 Aug 2010), на официальном FTP нашел версию 1.04, b03 (Wed 15 May 2013).

Чтобы обновить прошивку в маршрутизаторе D-Link DIR-815 выполним следующие необходимые действия по шагам:

1) Посмотрим ревизию на наклейке под маршрутизатором и скачаем под нее новую прошивку с официального FTP http://ftp.dlink.ru/pub/Router/DIR-815/Firmware/
Обновление прошивки маршрутизатора не под ту ревизию может привести к его поломке.

2) Откроем настройки маршрутизатора набрав в браузере адрес http://192.168.0.1 (может быть 192.168.1.1) и введем стандартный логин — admin без пароля.

3) В открывшемся интерфейсе вверху откроем вкладку «Tools«, слева в меню выберем «Firmware«. На открывшейся странице будет отображена текущая версия прошивки, если она старее скачанной, то нажмем «Обзор» и выберем скачанный ранее файл новой прошивки, после чего нажмем «Upgrade» для запуска процесса обновления.

Дождемся завершения обновления, обычно около 5 минут. По окончанию маршрутизатор сам перезагрузится.
Категорически нельзя отключение питания в момент обновления прошивки.

Восстановление прошивки D-Link коммутаторов

Для теста восстановлю прошивку коммутатора D-Link DES-3200.

1) Скачаем прошивку на официальном сайте, ссылку я оставлял в этой статье — Обновление прошивки коммутатора D-Link DES-3200

2) Выключим питание коммутатора, подключим его консольным (RS-232) кабелем к компьютеру с операционной системой Linux, запустим minicom, выставим настройки подключения нажав клавиши Ctrl+A O, например для DES-3200 скорость потока 9600, без управления потоком и 8N1. Порт обычно ttyS0, если через USB адаптер, то ttyUSB0.
Смотрите также мою статью — Установка и использование Minicom

3) Включаем коммутатор, сразу при включении, когда отображается надпись «Power On Self Test», нажимаем одновременно две клавиши SHIFT+3.

4) В открывшемся окне должно отобразится:

Image Option: [Create]
Download Protocol: [zModem]
Baud Rate: [115200]

При необходимости выставим необходимое клавишей пробел как показано выше, стрелками на клавиатуре перейдем вниз выбрав «Apply» и нажмем клавишу Enter.
После этого необходимо изменить скорость подключения на 115200, нажмем Ctrl+A O чтобы перейти в настройки Minicom и выставим скорость, выйдем из настроек нажимая клавишу Esc.

5) Нажмем клавиши Ctrl+A S, чтоб открыть окно отправки файла, выберем zmodem, найдем файл прошивки на диске, отметим клавишей пробел и нажмем Enter, после этого начнется передача файла.

По окончании передачи файла вернем скорость на 9600, когда отобразится надпись:

Please change your baud rate to 9600 for normal operation !!

6) Если коммутатор не запустится с закачанной прошивки, то нужно указать что она загрузочная (в коммутаторе может находится до двух прошивок).
Аналогично при включении коммутатора нажмем клавиши SHIFT+3 и например выставим:

Image Option: [Set_Boot]
Select Image: [2]

После этого выберем «Apply», нажмем клавишу Enter, выберем «Reboot» и нажмем клавишу Enter для перезагрузки коммутатора.

Конфигурация после восстановления прошивки останется прежней.

Смотрите видео как это делал я:

Какой логин и пароль на D-Link DCM-202?

Спросили как-то у меня логин и пароль к docsis модему D-Link DCM-202 чтобы зайти в web интерфейс, так как admin/admin не подходили.
Так вот, по умолчанию логин admin с паролем password.
IP адрес модема — 192.168.100.1

Как ловить широковещательный флуд на коммутаторах D-Link

Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.

Естественно защита от петель на всех коммутаторах была включена (но флуд в моём случае был не от петли):

enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect recover_timer 600 interval 10 mode port-based
show loopdetect

Контроль широковещательных штормов тоже был включен:

config traffic control 1-24 broadcast enable action drop threshold 64 countdown 5 time_interval 5

Посмотреть трафик на портах можно командой (на примере с 1 по 24 порт, отсюда можно увидеть с какого порта идет broadcast):

show packet port 1-24

Пример отключения и включения порта:

config ports 11 state disable
config ports 11 state enable
show ports
show ports description

Через ACL можно также полностью запретить широковещательный трафик, но в этом случае пользователи не смогут получать по DHCP IP-адреса (будут работать только прописанные вручную IP):

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny

В момент широковещательного флуда у пользователей подключенных в общей сети может плохо работать или вовсе не работать интернет, на коммутаторах обычно повышенная загрузку процессора и т.д., по этому его нужно заранее ограничивать всеми возможными подходящими функциями на всех коммутаторах.

Настройка коммутатора D-Link DES-3028

Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.

И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):

create vlan core tag 207
config vlan core add tagged 25

Назначим коммутатору IP адрес:

config ipif System vlan core ipaddress 192.168.1.2/24 state enable

Укажем маршрут по умолчанию:

create iproute default 192.168.1.1 1

Добавим аккаунт админа:

create account admin ИМЯ

Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:

create vlan local_smart tag 226
config vlan local_smart add tagged 25
config vlan local_smart add untagged 1-24,26-28
disable gvrp
config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Настроим защиту от широковещательного флуда:

config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:

enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим часовой пояс и синхронизацию времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000

Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:

create trusted_host 192.168.1.1
create trusted_host 192.168.5.20

Настроим защиту от DOS:

disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):

config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable

Настроим SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_write
create snmp community КОМЬЮНИТИ view CommunityView read_only
config snmp system_name ИМЯ
config snmp system_location ТЕКСТ
config snmp system_contact ТЕКСТ

Настроим защиту от сторонних DHCP серверов:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:

config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:

config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:

config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Все.

Настройка коммутатора D-Link DES-3528

Сегодня настроил очередной коммутатор D-Link DES-3528.

Выложу ниже конфигурацию и кратко опишу её.
При наборе команд можно использовать клавишу TAB чтобы коммутатор предлагал варианты, а также после любой команды через пробел можно написать знак вопроса «?» и увидеть возможные подкоманды.

Просмотреть текущую конфигурацию коммутатора можно командой:

show config current_config

Приступим к настройке.
Подключимся к коммутатору консольным кабелем на скорости 9600 или по стандартному IP-адресу 10.90.90.90 и добавим администратора (изначально вход без логина и пароля):

create account admin admin

Включим шифрование пароля чтобы он не хранился в конфиге открыто:

enable password encryption

Добавим vlan для управления и для пользователей (у меня 207 core для управления, 226 для пользователей, 25 порт использую как входящий):

create vlan core tag 207
config vlan core add tagged 25
create vlan local_smart tag 226
config vlan local_smart add untagged 1-28
config port_vlan 1-28 acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Изменим IP-адрес коммутатору и укажем шлюз:

config ipif System ipaddress 192.168.0.50/24 vlan core
create iproute default 192.168.0.1 1 primary

Включим ограничение широковещательного трафика на клиентских портах:

config traffic control 1-24,26-28 broadcast enable action drop broadcast_threshold 100 countdown 0 time_interval 5

Включим защиту от петель на клиентских портах:

enable loopdetect
config loopdetect recover_timer 300 interval 10 mode port-based
config loopdetect log state enable
config loopdetect ports 1-24,26-28 state enable
config loopdetect trap loop_detected

Включим сегментацию трафика, чтобы клиенты не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Включим блокировку DHCP-серверов со стороны клиентов чтобы они не раздавали IP:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Укажем с каких IP разрешено заходить администратору на коммутатор (чтобы пользователи не видели его):

create trusted_host network 192.168.0.2/32 snmp telnet ssh http https ping
create trusted_host network 192.168.1.5/32 snmp telnet ssh http https ping

Настроим SNMP если оно нужно:

enable snmp
delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_only

Включим защиту от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 2400
config bpdu_protection log none
config bpdu_protection ports 1-24,26-28 state enable
config bpdu_protection ports 1-28 mode drop

Включим защиту коммутатора, чтобы в случае полной загрузки процессора на него можно было зайти:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

По необходимости настроим синхронизацию времени с NTP сервером:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 10.0.0.18 poll-interval 5000

На этом основная настройка коммутатора D-Link DES-3528 завершена.

Обновление прошивки D-Link DIR-300

На тесте буду обновлять прошивку маршрутизатора D-Link DIR-300 B5 v.1.2.94 на 2.15.12.
В моем случае после обновления прошивки настройки сбросились на заводские и добавились новые функции, например при выборе канала Wi-Fi можно увидеть уровни зашумленности каналов другими устройствами.

Читать далее «Обновление прошивки D-Link DIR-300»

Обновление прошивки коммутатора D-Link DGS-3612

На тесте буду использовать коммутатор D-Link DGS-3612 с прошивкой 2.84.B48 и Boot PROM: 1.10-B09.
Обновлять буду на версию 3.00.B42.

Читать далее «Обновление прошивки коммутатора D-Link DGS-3612»