Обновление прошивки D-Link DES-3200 A1/B1

На примере обновлю прошивку на нескольких коммутаторах, DES-3200-10, DES-3200-26, DES-3200-28.

Как обновить прошивку на D-Link DES-3200 C1 смотрите в моей статье:
Обновление прошивки D-Link DES-3200 C1

Читать далее «Обновление прошивки D-Link DES-3200 A1/B1»

Примеры ACL для D-Link коммутаторов

В этой статье я приведу несколько примеров блокировки IP адресов, MAC адресов, DHCP пакетов от DHCP серверов и т.д

Читать далее «Примеры ACL для D-Link коммутаторов»

Сброс настроек D-Link DES-3200

Для теста сброшу настройки и пароль коммутатора D-Link DES-3200-10 A1, для других моделей DES-3200 процесс сброса аналогичен.

Читать далее «Сброс настроек D-Link DES-3200»

Настройка Port Security на D-Link коммутаторах

В этой статье я приведу пример настройки port security на коммутаторах D-Link.

Благодаря функции Port Security, на портах коммутаторов D-Link можно ограничить количество устройств, которым разрешено подключаться к сети.
Читать далее «Настройка Port Security на D-Link коммутаторах»

Настройка Traffic Segmentation на D-Link коммутаторах

Приведу пример настройки Traffic Segmentation на D-Link коммутаторах.
Traffic Segmentation запрещает портам общаться между собой на прямую, на коммутаторах других производителей подобная функция называется как Protected Ports, Port Isolation и т.д.

Перед настройкой Traffic Segmentation нужно точно знать какой из портов Uplink, допустим на коммутаторе DES-3200-18 С1, 17 порт является входящим (uplink), то выполним следующие две команды:

Читать далее «Настройка Traffic Segmentation на D-Link коммутаторах»

Обновление прошивки D-Link DIR-815

Для теста обновлю прошивку на маршрутизаторе D-Link DIR-815 ревизии A1.
На маршрутизаторе установлена прошивка 1.00 (Fri 06 Aug 2010), на официальном FTP нашел версию 1.04, b03 (Wed 15 May 2013).

Чтобы обновить прошивку в маршрутизаторе D-Link DIR-815 выполним следующие необходимые действия по шагам:

1) Посмотрим ревизию на наклейке под маршрутизатором и скачаем под нее новую прошивку с официального FTP http://ftp.dlink.ru/pub/Router/DIR-815/Firmware/
Обновление прошивки маршрутизатора не под ту ревизию может привести к его поломке.

2) Откроем настройки маршрутизатора набрав в браузере адрес http://192.168.0.1 (может быть 192.168.1.1) и введем стандартный логин — admin без пароля.

3) В открывшемся интерфейсе вверху откроем вкладку «Tools«, слева в меню выберем «Firmware«. На открывшейся странице будет отображена текущая версия прошивки, если она старее скачанной, то нажмем «Обзор» и выберем скачанный ранее файл новой прошивки, после чего нажмем «Upgrade» для запуска процесса обновления.

Дождемся завершения обновления, обычно около 5 минут. По окончанию маршрутизатор сам перезагрузится.
Категорически нельзя отключение питания в момент обновления прошивки.

Восстановление прошивки D-Link коммутаторов

Для теста восстановлю прошивку коммутатора D-Link DES-3200.

1) Скачаем прошивку на официальном сайте, ссылку я оставлял в этой статье — Обновление прошивки коммутатора D-Link DES-3200

2) Выключим питание коммутатора, подключим его консольным (RS-232) кабелем к компьютеру с операционной системой Linux, запустим minicom, выставим настройки подключения нажав клавиши Ctrl+A O, например для DES-3200 скорость потока 9600, без управления потоком и 8N1. Порт обычно ttyS0, если через USB адаптер, то ttyUSB0.
Смотрите также мою статью — Установка и использование Minicom

3) Включаем коммутатор, сразу при включении, когда отображается надпись «Power On Self Test», нажимаем одновременно две клавиши SHIFT+3.

4) В открывшемся окне должно отобразится:

Image Option: [Create]
Download Protocol: [zModem]
Baud Rate: [115200]

При необходимости выставим необходимое клавишей пробел как показано выше, стрелками на клавиатуре перейдем вниз выбрав «Apply» и нажмем клавишу Enter.
После этого необходимо изменить скорость подключения на 115200, нажмем Ctrl+A O чтобы перейти в настройки Minicom и выставим скорость, выйдем из настроек нажимая клавишу Esc.

5) Нажмем клавиши Ctrl+A S, чтоб открыть окно отправки файла, выберем zmodem, найдем файл прошивки на диске, отметим клавишей пробел и нажмем Enter, после этого начнется передача файла.

По окончании передачи файла вернем скорость на 9600, когда отобразится надпись:

Please change your baud rate to 9600 for normal operation !!

6) Если коммутатор не запустится с закачанной прошивки, то нужно указать что она загрузочная (в коммутаторе может находится до двух прошивок).
Аналогично при включении коммутатора нажмем клавиши SHIFT+3 и например выставим:

Image Option: [Set_Boot]
Select Image: [2]

После этого выберем «Apply», нажмем клавишу Enter, выберем «Reboot» и нажмем клавишу Enter для перезагрузки коммутатора.

Конфигурация после восстановления прошивки останется прежней.

Смотрите видео как это делал я:

Какой логин и пароль на D-Link DCM-202?

Спросили как-то у меня логин и пароль к docsis модему D-Link DCM-202 чтобы зайти в web интерфейс, так как admin/admin не подходили.
Так вот, по умолчанию логин admin с паролем password.
IP адрес модема — 192.168.100.1

Как ловить широковещательный флуд на коммутаторах D-Link

Заметил как-то в одной общей сети скачки широковещательного трафика, обнаружить удалось естественно быстро, так как заранее настроил мониторинг через графики и триггеры используя Zabbix. Посмотрел графики широковещательного трафика с портов основного коммутатора, отсюда было видно откуда он начал идти, и так по цепочке определяем до клиентского коммутатора и порта. В системе мониторинга Zabbix удобно настраивать триггеры которые срабатывают при превышении лимита широковещательно трафика и сообщают об это на экране, электронную почту администратору и т.д.

Читать далее «Как ловить широковещательный флуд на коммутаторах D-Link»

Настройка коммутатора D-Link DES-3028

Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.

И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):

create vlan core tag 207
config vlan core add tagged 25

Назначим коммутатору IP адрес:

config ipif System vlan core ipaddress 192.168.1.2/24 state enable

Укажем маршрут по умолчанию:

create iproute default 192.168.1.1 1

Добавим аккаунт админа:

create account admin ИМЯ

Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:

create vlan local_smart tag 226
config vlan local_smart add tagged 25
config vlan local_smart add untagged 1-24,26-28
disable gvrp
config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Настроим защиту от широковещательного флуда:

config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:

enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим часовой пояс и синхронизацию времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000

Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:

create trusted_host 192.168.1.1
create trusted_host 192.168.5.20

Настроим защиту от DOS:

disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):

config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable

Настроим SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_write
create snmp community КОМЬЮНИТИ view CommunityView read_only
config snmp system_name ИМЯ
config snmp system_location ТЕКСТ
config snmp system_contact ТЕКСТ

Настроим защиту от сторонних DHCP серверов:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:

config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:

config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:

config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Все.