Настройка коммутатора D-Link DES-3028

Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.

И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):

create vlan core tag 207
config vlan core add tagged 25

Назначим коммутатору IP адрес:

config ipif System vlan core ipaddress 192.168.1.2/24 state enable

Укажем маршрут по умолчанию:

create iproute default 192.168.1.1 1

Добавим аккаунт админа:

create account admin ИМЯ

Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:

create vlan local_smart tag 226
config vlan local_smart add tagged 25
config vlan local_smart add untagged 1-24,26-28
disable gvrp
config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Настроим защиту от широковещательного флуда:

config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:

enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим часовой пояс и синхронизацию времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000

Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:

create trusted_host 192.168.1.1
create trusted_host 192.168.5.20

Настроим защиту от DOS:

disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):

config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable

Настроим SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_write
create snmp community КОМЬЮНИТИ view CommunityView read_only
config snmp system_name ИМЯ
config snmp system_location ТЕКСТ
config snmp system_contact ТЕКСТ

Настроим защиту от сторонних DHCP серверов:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:

config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:

config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:

config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Все.

Настройка коммутатора D-Link DES-3528

Сегодня настроил очередной коммутатор D-Link DES-3528.

Выложу ниже конфигурацию и кратко опишу её.
При наборе команд можно использовать клавишу TAB чтобы коммутатор предлагал варианты, а также после любой команды через пробел можно написать знак вопроса «?» и увидеть возможные подкоманды.

Просмотреть текущую конфигурацию коммутатора можно командой:

show config current_config

Приступим к настройке.
Подключимся к коммутатору консольным кабелем на скорости 9600 или по стандартному IP-адресу 10.90.90.90 и добавим администратора (изначально вход без логина и пароля):

create account admin admin

Включим шифрование пароля чтобы он не хранился в конфиге открыто:

enable password encryption

Добавим vlan для управления и для пользователей (у меня 207 core для управления, 226 для пользователей, 25 порт использую как входящий):

create vlan core tag 207
config vlan core add tagged 25
create vlan local_smart tag 226
config vlan local_smart add untagged 1-28
config port_vlan 1-28 acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Изменим IP-адрес коммутатору и укажем шлюз:

config ipif System ipaddress 192.168.0.50/24 vlan core
create iproute default 192.168.0.1 1 primary

Включим ограничение широковещательного трафика на клиентских портах:

config traffic control 1-24,26-28 broadcast enable action drop broadcast_threshold 100 countdown 0 time_interval 5

Включим защиту от петель на клиентских портах:

enable loopdetect
config loopdetect recover_timer 300 interval 10 mode port-based
config loopdetect log state enable
config loopdetect ports 1-24,26-28 state enable
config loopdetect trap loop_detected

Включим сегментацию трафика, чтобы клиенты не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Включим блокировку DHCP-серверов со стороны клиентов чтобы они не раздавали IP:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Укажем с каких IP разрешено заходить администратору на коммутатор (чтобы пользователи не видели его):

create trusted_host network 192.168.0.2/32 snmp telnet ssh http https ping
create trusted_host network 192.168.1.5/32 snmp telnet ssh http https ping

Настроим SNMP если оно нужно:

enable snmp
delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_only

Включим защиту от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 2400
config bpdu_protection log none
config bpdu_protection ports 1-24,26-28 state enable
config bpdu_protection ports 1-28 mode drop

Включим защиту коммутатора, чтобы в случае полной загрузки процессора на него можно было зайти:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

По необходимости настроим синхронизацию времени с NTP сервером:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 10.0.0.18 poll-interval 5000

На этом основная настройка коммутатора D-Link DES-3528 завершена.

Обновление прошивки D-Link DIR-300

На тесте буду обновлять прошивку маршрутизатора D-Link DIR-300 B5 v.1.2.94 на 2.15.12.
В моем случае после обновления прошивки настройки сбросились на заводские и добавились новые функции, например при выборе канала Wi-Fi можно увидеть уровни зашумленности каналов другими устройствами.

Читать далее «Обновление прошивки D-Link DIR-300»

Обновление прошивки D-Link DGS-3612

На тесте буду использовать коммутатор D-Link DGS-3612 с прошивкой 2.84.B48 и Boot PROM: 1.10-B09.
Обновлять буду на версию 3.00.B42.

Читать далее «Обновление прошивки D-Link DGS-3612»

Обновление прошивки D-Link DSL-2540U

Опишу необходимые действия по шагам:

1) Скачаем новую прошивку с официального сайта
http://www.dlink.ru/ru/products/3/964_d.html

2) Откроем настройки набрав в браузере адрес модема, например http://192.168.1.1 или 192.168.0.1 и введем логин/пароль.

3) В открывшемся интерфейсе откроем «Система» — «Обновление ПО«. На открывшейся странице нажмем «Обзор» и выберем скачанный ранее файл новой прошивки, после чего нажмем «Обновить» для запуска процесса обновления.

Дождемся завершения обновления, обычно 2-5 минут. По окончанию устройство перезагрузится.

Все.