Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.
И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):
create vlan core tag 207 config vlan core add tagged 25
Назначим коммутатору IP адрес:
config ipif System vlan core ipaddress 192.168.1.2/24 state enable
Укажем маршрут по умолчанию:
create iproute default 192.168.1.1 1
Добавим аккаунт админа:
create account admin ИМЯ
Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:
create vlan local_smart tag 226 config vlan local_smart add tagged 25 config vlan local_smart add untagged 1-24,26-28 disable gvrp config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226 config vlan default delete 1-28
Настроим защиту от широковещательного флуда:
config traffic trap both config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5
Настроим защиту от петель:
enable loopdetect config loopdetect recover_timer 3000 config loopdetect interval 10 config loopdetect trap none config loopdetect port 1-24,26-28 state enabled config loopdetect port 25 state disabled
Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:
config traffic_segmentation 1-24,26-28 forward_list 25 config traffic_segmentation 25 forward_list 1-24,26-28
Настроим часовой пояс и синхронизацию времени:
enable sntp config time_zone operator + hour 2 min 0 config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000
Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:
create trusted_host 192.168.1.1 create trusted_host 192.168.5.20
Настроим защиту от DOS:
disable dos_prevention trap_log config dos_prevention dos_type land_attack action drop state enable config dos_prevention dos_type blat_attack action drop state enable config dos_prevention dos_type smurf_attack action drop state enable config dos_prevention dos_type tcp_null_scan action drop state enable config dos_prevention dos_type tcp_xmascan action drop state enable config dos_prevention dos_type tcp_synfin action drop state enable config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable
Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):
config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable
Настроим SNMP:
delete snmp community public delete snmp community private delete snmp user initial create snmp community КОМЬЮНИТИ view CommunityView read_write create snmp community КОМЬЮНИТИ view CommunityView read_only config snmp system_name ИМЯ config snmp system_location ТЕКСТ config snmp system_contact ТЕКСТ
Настроим защиту от сторонних DHCP серверов:
config filter dhcp_server ports 1-24,26-28 state enable config filter dhcp_server trap_log enable config filter dhcp_server illegal_server_log_suppress_duration 30min
От сторонних DHCP серверов можно также защитится через ACL:
create access_profile ip udp src_port 0xFFFF profile_id 1 config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
Настроим защиту от BPDU мусора:
config bpdu_protection ports 1-24,26-28 mode drop
Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:
config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy
Мелкие настройки FDB:
config fdb aging_time 300 config multicast port_filtering_mode 1-28 filter_unregistered_groups disable flood_fdb config flood_fdb log disable trap disable
Прочие мелкие настройки:
config serial_port baud_rate 9600 auto_logout 10_minutes enable password encryption config terminal_line default enable clipaging disable command logging enable password_recovery enable syslog config log_save_timing on_demand
Все.