Архивы рубрик:Железо

Настройка коммутатора ZyXEL ES-2108

Настроил недавно коммутатор ZyXEL ES-2108.
Стандартный IP 192.168.1.1, логин — admin, пароль — 1234.

Приведу ниже примеры команд.

Просмотрим текущую конфигурацию:

show running-config
show system-information

Перейдем в режим настройки:

configure

Сменим пароль администратора:

admin-password ПАРОЛЬ
password ПАРОЛЬ

Включим контроль флуда и защиту от петель:

storm-control
loopguard

Настроим VLAN для управления и пропишем IP (у меня 207 vlan тегом, 1 порт входящий):

vlan 207
  name core
  normal ""
  fixed 1
  forbidden 2-8
  untagged 2-8
  ip address default-management 192.168.1.20 255.255.255.0
  ip address default-gateway 192.168.1.1
exit

Настроим VLAN для пользователей (приходит без тега):

vlan 226
  name users
  normal ""
  fixed 1-8
  untagged 1-8
exit

Настроим входящий порт:

interface port-channel 1
  pvid 226
  vlan-trunking
exit

Настроим остальные клиентские порты:

interface port-channel 2-8
bmstorm-limit
bmstorm-limit 128
loopguard
pvid 226
exit

Настроим параметры времени:

time timezone 200
timesync server 192.168.1.1
timesync ntp

Настроим SNMP:

snmp-server set-community КОМПЬЮНИТИ
snmp-server trap-community КОМПЬЮНИТИ
snmp-server contact admin location РАСПОЛОЖЕНИЕ

Настроим логи:

syslog
syslog type system
syslog type interface
syslog type switch
syslog type aaa
syslog type ip

Укажем с каких IP разрешено администрировать коммутатор:

remote-management 1
remote-management 2
remote-management 1 start-addr 192.168.1.1 end-addr 192.168.1.1 service telnet ftp http icmp snmp ssh https
remote-management 2 start-addr 192.168.1.5 end-addr 192.168.1.5 service telnet ftp http icmp snmp ssh https

Выйдем из режима настройки:

exit

Посмотреть mac-адреса можно командой:

show mac address-table

Сохраним настройки:

write memory

Все.

Настройка коммутатора D-Link DES-3028

Сегодня настроил очередной коммутатор D-Link DES-3028, прошивка стояла 2.94.B07.

И так, подключимся консольным кабелем к коммутатору и добавим vlan управления (у меня он 207, 25 порт аплинк):

create vlan core tag 207
config vlan core add tagged 25

Назначим коммутатору IP адрес:

config ipif System vlan core ipaddress 192.168.1.2/24 state enable

Укажем маршрут по умолчанию:

create iproute default 192.168.1.1 1

Добавим аккаунт админа:

create account admin ИМЯ

Добавим клиентский VLAN (у меня он 226), укажем PVID и удалим стандартный VLAN:

create vlan local_smart tag 226
config vlan local_smart add tagged 25
config vlan local_smart add untagged 1-24,26-28
disable gvrp
config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid 226
config vlan default delete 1-28

Настроим защиту от широковещательного флуда:

config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:

enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:

config traffic_segmentation 1-24,26-28 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим часовой пояс и синхронизацию времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 7000

Укажем с каких IP разрешен доступ к WEB, telnet и SNMP коммутатора:

create trusted_host 192.168.1.1
create trusted_host 192.168.5.20

Настроим защиту от DOS:

disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):

config address_binding ip_mac ports 1-28 state disable allow_zeroip enable forward_dhcppkt enable

Настроим SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
create snmp community КОМЬЮНИТИ view CommunityView read_write
create snmp community КОМЬЮНИТИ view CommunityView read_only
config snmp system_name ИМЯ
config snmp system_location ТЕКСТ
config snmp system_contact ТЕКСТ

Настроим защиту от сторонних DHCP серверов:

config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:

config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:

config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:

config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:

config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Все.

Настройка MikroTik RB912UAG-2HPnD (BaseBox 2) + Ubiquiti Sector

Настраивал недавно MikroTik RB912UAG-2HPnD (BaseBox 2).
На наклейке написано что без подключенной антенны его не включать :), использоваться он будет с Ubiquiti Sector AM-2G15, к этому сектору я и подключил на два контакта.

Стандартный IP устройства 192.168.88.1, логин admin без пароля, DHCP выключен стандартно, по этому нужно прописать на компьютере вручную IP, например 192.168.88.2 с маской подсети 255.255.255.0.

Первым делом сменим пароль в «System» — «Users».

Настроим Wi-Fi параметры в «Wireless» — «Interfaces»:
Wireless Protocol: 802.11 чтобы можно было подключаться любым устройствам

В «Wireless» — «Security Profiles» настроим:
SSID (имя беспроводной сети)
Mode: dynamic keys
тип шифрования WPA2 PSK AES
WPA2 Pre-Shared Key (пароль на беспроводную сеть)

Теперь изменим устройству IP адрес, в IP — Addresses, той сети где он будет стоять. Например вместо 192.168.88.1 на 172.16.200.11, после этого на компьютере изменим вручную прописанный IP на IP из этой сети, например 172.16.200.12 чтобы можно было дальше выполнить настройку.
«IP» — «Routes» добавим шлюз, например Dst. Address: 0.0.0.0/0, Gateway: 172.16.200.1.

На этом основная настройка завершена, устройство будет работать бриджом как точка доступа, то есть IP будет выдавать не она, а устройство до неё или биллинг.

Обновление прошивки NanoStation M2

Обновлял однажды Nano Station M2 с прошивкой 5.5.6 на 5.6.5.
Версия 5.6.5 сразу не стала, так как не хватало памяти в устройстве для её закачки, по этому сначала пришлось обновить на 5.6.2, а потом уже 5.6.5.

Читать далее «Обновление прошивки NanoStation M2»

Как включить Web Server на Ubiquiti через SSH

Однажды попросили дистанционно проверить Ubiquiti NanoStation M2, в котором не открывался web-интерфейс ни по http, ни по https, предполагали что он отключен в настройках.
Само устройство отвечало на ping.
По SSH тоже получилось подключиться.

Читать далее «Как включить Web Server на Ubiquiti через SSH»

Инструкция по полному сбросу LG L80 Dual D380

Недавно делал полный сброс на LG L80 Dual D380 так как он медленно работал и быстро разряжалась батарея.

Опишу порядок действий:
1) Выключим телефон.
2) Зажмём громкость вниз и кнопку включения, когда появится картинка держа кнопку громкости отпустим кнопку питания и обратно нажмем.
3) Появиться меню сброса в котором кнопками громкости выберем «YES» и кнопкой питания подтвердим «OK», на второй вопрос аналогично выберем «YES» и «OK».

Телефон перезагрузится и будет выполнена очистка пользовательских данных и сброс к заводским настройкам, придется немного подождать, все.

SNMP MIBs и OIDs для Ubiquiti PowerBeam 5AC

Писал шаблон под Ubiquiti PowerBeam 5AC для Zabbix и исследовал несколько основных SNMP OID по которым нужно рисовать графики.
OID тестировал для устройств которые настроены в режиме Station и с прошивкой v7.1.4 (XC).

Проверить OID можно например из Linux командой:

snmpwalk -v 1 -c public 192.168.1.20 .1

Первым делом посмотрел какие есть интерфейсы (если добавлять VLAN и т.д. на устройстве, то их номер может сдвигаться):

snmpwalk -v 1 -c public 192.168.1.20 ifDescr

Следующими мибами можно считывать входящий и исходящий трафик (у меня LAN eth0 под индексом 4, WLAN ath0 под 10), например для LAN трафика:

ifInOctets.4
ifOutOctets.4

Средняя загрузка CPU за 1мин/5мин/15мин:

1.3.6.1.4.1.10002.1.1.1.4.2.1.3.1
1.3.6.1.4.1.10002.1.1.1.4.2.1.3.2
1.3.6.1.4.1.10002.1.1.1.4.2.1.3.3

TX и RX AP в килобайтах можно найти следующими OID:

1.3.6.1.4.1.41112.1.4.7.1.17.1.4.24.214
1.3.6.1.4.1.41112.1.4.7.1.18.1.4.24.214

Шумов OID можно найти по:

1.3.6.1.4.1.41112.1.4.7.1.4.1.4.24.214

Уровень сигнала: 1.3.6.1.4.1.41112.1.4.5.1.5.1
Частота: 1.3.6.1.4.1.41112.1.4.1.1.4.1
SSID: 1.3.6.1.4.1.41112.1.4.5.1.2.1
Uptime: 1.3.6.1.2.1.1.3.0
Свободно памяти: 1.3.6.1.4.1.10002.1.1.1.1.2.0
Всего памяти: 1.3.6.1.4.1.10002.1.1.1.1.1.0
MAC адрес точки доступа к которой подключено устройство: 1.3.6.1.4.1.41112.1.4.5.1.4.1
IP адрес точки доступа к которой подключено устройство: 1.3.6.1.4.1.41112.1.4.7.1.10.1.4.24.214.232.12.159
Тип антенны: 1.3.6.1.4.1.41112.1.4.1.1.9.1

Смотрите также:
Список SNMP OID и MIB для интерфейсов

SNMP OIDs для BDCOM OLT

Сегодня писал Zabbix шаблон для BDCOM P3310B чтоб было удобно мониторить его и исследовал несколько нужных OID.
Протестировать OID из терминала Linux можно например командой:

Читать далее «SNMP OIDs для BDCOM OLT»