Обновление прошивки Asus RT-N12E

Для того чтобы обновить прошивку маршрутизатора Asus RT-N12E, необходимо зайти в его настройки набрав в браузере адрес http://192.168.0.1 и ввести логин — admin, пароль — admin, посмотреть версию прошивки которая установлена, обычно она пишется в самом верху, например «Версия микропрограммы:2.0.0.16».

Читать далее «Обновление прошивки Asus RT-N12E»

Использование кабельного модема Scientific-Atlanta WebSTAR DPC2100

Данная модель модема используется в DOCSIS сетях.
На передней панели расположено 5 светодиодных индикаторов:

Читать далее «Использование кабельного модема Scientific-Atlanta WebSTAR DPC2100»

Настройка Huawei SmartAX MA5683T

Стандартный логин: root, пароль: admin.
На BIOS может быть: huawei123, admin123, Huawei@123.
Стандартный IP: 10.11.104.2
Стандартные данные для подключения через консольный порт: Скорость 9600, 8bits, stopbits 1, flow control none, VT100/auto.

Читать далее «Настройка Huawei SmartAX MA5683T»

Настройка и использование Traffic Flow в Mikrotik

Включение Traffic Flow на маршрутизаторе Mikrotik:

ip traffic-flow set enabled=yes cache-entries=4k set active-flow-timeout=30m inactive-flow-timeout=15s interfaces=all

Просмотр настроек:

ip traffic-flow print

Указание IP-адреса и порта компьютера, который будет принимать пакеты Traffic-Flow:

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=9 v9-template-refresh=20 v9-template-timeout=30m

или

ip traffic-flow target add address=192.168.88.240:1234 disabled=no version=5

Просмотр настроек:

ip traffic-flow target print

Для настройки через графический интерфейс настройки можно найти в меню IP -> Traffic Flow.

Для мониторинга под Windows можно установить программу ManageEngine NetFlow Analyzer, которая будет работать как сервер, принимать пакеты с указанного порта и формировать графики и статистику через web-сервер, которые можно открыть браузером.

Для мониторинга под Linux можно установить и настроить например flow-tools.

Блокировка социальных сетей на маршрутизаторах Mikrotik

Запретить доступ к социальным сетям и прочим сайтам на маршрутизаторах Mikrotik можно несколькими способами.

Первый и наиболее эффективный

способ, это включить web-proxy, запретить в нем конкретные сайты, в фаерволе во вкладке NAT добавить правило которое будет нужные IP направлять на web-proxy.
Добавляется правило в IP — Firewall — NAT (Chain: dstnat, protocol: tcp, Dst. port: 80, Action: redirect, To Ports: 8080, в Src. Address или Src. Address List указываем кого необходимо направить на Web proxy)
Включаем Web proxy поставив галочку в IP — Web proxy — Enabled, смотрим чтобы порт был 8080.
Добавляем сайты которые нужно заблокировать в IP — Web proxy — Access (например Dst. host: vk.com, Action: deny)

Второй и один из простых

это добавить статическую DNS запись, тогда все кто подключены к маршрутизатору не смогут зайти на сайт.
Для этого необходимо нажать «IP» — «DNS» — «Add New», в поле «Name» указать домен сайта, в «Address» — 127.0.0.1.
Пример добавления через командную строку:

ip dns static add name youtube.com address=127.0.0.1
ip dns static add name www.youtube.com address=127.0.0.1
ip dns static add name name=".*\.vk\.com" address=127.0.0.1

Команда просмотра статических DNS записей на маршрутизаторе:

ip dns static print

Однако этот запрет можно обойти прописав вручную на компьютерах сторонний DNS сервер, например Google DNS — 8.8.8.8 и 8.8.4.4.

Третий вариант

это посмотреть на каких ip-адресах находится сайт, например набрав в командной строке Windows команду nslookup vk.com, потом в фаерволе заблокировать доступ к ним для всех пользователей или конкретным. Вместо кучи ip адресов можно указать подсеть, например 87.240.131.0/24 (это ip 87.240.131.1-254). На сайтах типа «http://bgp.he.net/AS47541#_prefixes» можно посмотреть диапазоны IP адресов принадлежащие AS компании.
Пример команд:

ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment="Social Network" disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.97 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.117 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.120 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Четвертый вариант

через протокол седьмого уровня (все пакеты в которых будут встречаться указанные выражения будут отбрасываться, таким образом могут блокироваться даже сообщения в чате, в которых встречаются выражения):

ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$"
ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social

Смотрите также мои статьи:
Блокировка социальных сетей на Cisco
Блокировка социальных сетей используя iptables

Запрет доступа в интернет на Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» — «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

Читать далее «Запрет доступа в интернет на Mikrotik»

Проброс портов на маршрутизаторах Mikrotik

Чтобы пробросить порт на маршрутизаторе Mikrotik, необходимо открыть меню «IP»«Firewall», выбрать вкладку «NAT» и добавить новое правило нажав «Add new» или «+«.

Читать далее «Проброс портов на маршрутизаторах Mikrotik»

Настрока маршрутизатора ASUS RT-G32

Для настройки маршрутизатора ASUS RT-G32 необходимо открыть в браузере адрес 192.168.1.1, ввести логин admin и пароль admin.
Основное что необходимо сделать, это указать имя беспроводной сети, выбрать тип шифрования WPA2-Personal AES (лучший вариант по безопасности, скорости передачи данных) и ввести ключ шифрования (пароль). Потом в целях безопасности отключить WPS если он включен.
Далее в WAN параметрах прописать MAC адрес своего компьютера, чтобы маршрутизатор мог получить тот же IP что и компьютер, это нужно для того если у интернет-провайдера идет привязка по IP+MAC, если ее нет, то можно этот шаг пропустить.

Ниже указано видео по быстрой настройке маршрутизатора ASUS RT-G32 через web интерфейс:
Читать далее «Настрока маршрутизатора ASUS RT-G32»

Настройка коммутатора D-Link DGS-3612G

На примере буду использовать коммутатор 3 уровня D-Link DGS-3612G с прошивкой 2.84.B48

Добавление администратора:

create account admin имя пароль

Команда для смены пароля:

config account имя

Включение хранения пароля в зашифрованном виде:

enable password encryption

Настройка отключения подключений через консоль после 10 минутного бездействия:

config serial_port auto_logout 10_minutes

Включение telnet:

enable telnet 23

Включение web интерфейса:

enable web 80

Включение отображения информации в постраничном режиме:

enable clipaging

Включение возможности сброса пароля:

enable password_recovery

DEBUG функции:

debug config state disable
debug config error_reboot enable

Включение контроля широковещательного трафика:

config traffic control auto_recover_time 0
config traffic trap none
config traffic control 1-12 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 5 time_interval 5

Включение защиты от петель (9 порт входящий, поэтому там не включаем):

enable loopdetect
config loopdetect trap loop_detected 
config loopdetect ports 1-8,10-12 state enabled

Отключение функции единого адреса для стека коммутаторов. Стандартные параметры sim:

config sim candidate
disable sim
config sim dp_interval 30
config sim hold_time 100

Настройка ведения логов:

enable syslog
config system_severity log information
config system_severity trap information
create syslog host 1 severity informational facility local1 udp_port 514 ipaddress 192.168.1.1 state enable 
config log_save_timing on_demand

Отключение функции зеркалирования трафика (используется для мониторинга и сбора статистики):

disable mirror

Настройка сегментации трафика (запрет хождения между портами, 9 порт — входящий):

config traffic_segmentation 1-8,10-12 forward_list 9
config traffic_segmentation 9 forward_list 1-8,10-12

Отключение SSL:

disable ssl

Примеры настройки портов:

enable jumbo_frame
config jumbo_frame ports 1-12 state enable
config ports 1-3,5-8 speed 1000_full  flow_control disable learning enable state enable
config ports 4 speed 1000_full  flow_control disable learning enable state enable description текст
config ports 9-12 medium_type copper speed auto capability_advertised 10_half 10_full 100_half 100_full 1000_full flow_control disable learning enable state enable
config ports 9-12 medium_type fiber speed 1000_full  flow_control disable learning enable state enable

Стандартные настройки DDM:

config ddm trap disable
config ddm log enable
config ddm ports 1-12 state enable shutdown none

Отключение port security:

config port_security ports 1-12 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnReset

Параметры SNMP:

delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
create snmp community комьюнити1 view CommunityView read_only
create snmp community комьюнити2 view CommunityView read_write
disable community_encryption
enable snmp traps
enable snmp authenticate_traps
enable snmp
disable snmp linkchange_traps
disable rmon
config snmp linkchange_traps ports 1-12 disable

Доступ к управлению коммутатором только для указанных адресов:

create trusted_host network 192.168.1.1/255.255.255.255
create trusted_host network 192.168.1.5/255.255.255.255

Пример настройки VLAN:

disable pvid auto_assign
config vlan default delete 1-12
create vlan core tag 20
config vlan core add tagged 9
create vlan local tag 22
config vlan local add tagged 9 advertisement disable
config vlan local add untagged 1-8,10-12 advertisement disable
disable qinq
disable gvrp
disable vlan_trunk

Указываем pvid для портов, необходимо для каждого порта указывать pvid влана в котором стоит untag:

config gvrp 1-12 state disable ingress_checking enable acceptable_frame admit_all pvid 22

Отключение double vlan:

disable double_vlan
config vlan_precedence port 1-12 mac_based_vlan

Отключение RSPAN:

disable rspan

Отключение авторизации клиентов на портах. Стандартные параметры 8021X:

disable 802.1x
config 802.1x auth_mode port_based
config 802.1x auth_protocol radius_eap
config 802.1x fwd_pdu system disable
config 802.1x max_users 4000
config 802.1x authorization network radius enable
config 802.1x capability ports 1-12 none
config 802.1x auth_parameter ports 1-12 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable 
config 802.1x auth_parameter ports 1-12 max_users 16

Отключение CPU ACL:

disable cpu_interface_filtering

Настройка времени хранения в секундах mac-адреса в таблице коммутатора:

config fdb aging_time 300

Стандартные параметры address binding:

config address_binding ip_mac ports 1-12 forward_dhcppkt enable
disable address_binding dhcp_snoop
disable address_binding dhcp_snoop ipv6
disable address_binding nd_snoop
enable address_binding trap_log
config address_binding dhcp_snoop max_entry ports 1-12 limit no_limit

Включение отброса пакетов от чужих DHCP серверов на всех портах кроме девятого входящего:

config filter dhcp_server port all state disable
config filter dhcp_server port 1-8,10-12 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Параметры MAC ADDRESS TABLE NOTIFICATION:

disable mac_notification
config mac_notification interval 1 historysize 1
config mac_notification ports 1-12 disable

Отключение STP:

disable stp
config stp version rstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 3 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60 nni_bpdu_addr dot1ad
config stp ports 1-12 fbpdu enable

Отключение bpdu tunnel:

disable bpdu_tunnel

Настройка защиты от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 600
config bpdu_protection log attack_detected
config bpdu_protection ports 1-8,10-12 state enable  
config bpdu_protection ports 1-12 mode drop

Настройка SAFEGUARD ENGINE:

config safeguard_engine state enable utilization rising 100 falling 75 trap_log enable mode fuzzy

Отключение SSH:

disable ssh

Отключение DNS RESOLVER:

disable dns_resolver
config name_server timeout 3

Отключение сохранения истории введенных команд:

disable command logging

Включение ответа на широковещательный ping:

enable broadcast_ping_reply

Активация SNTP клиента:

enable sntp

Установка часового пояса:

config time_zone operator + hour 2 min 0

Указание sntp сервера времени, для синхронизации с ним:

config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 99999

Отключение перехода на летнее время:

config dst disable

Стандартные настройки LACP:

config link_aggregation algorithm ip_source
config lacp_port 1-12 mode passive

Настройка IP:

config ipif System ipaddress 192.168.1.10/24 vlan core
config ipif System proxy_arp disable local disable
create ipif local 10.10.0.10/16 local state enable 
config ipif local proxy_arp disable local disable
config ipif local ip_mtu 1500
config ipif System ip_mtu 1500
config ipif local dhcpv6_client disable
config ipif System dhcpv6_client disable
config ipif local ip_directed_broadcast disable
config ipif System ip_directed_broadcast disable
disable autoconfig

Отключение ERPS

disable erps
config erps log disable 
config erps trap disable

Отключение DHCP сервера:

config dhcp ping_packets 2 
config dhcp ping_timeout 500 
disable dhcp_server

Стандартные параметры WAC:

config wac switch_http_port 80
config wac method radius
config wac authorization attributes local enable
config wac authorization attributes radius enable
disable wac
config wac ports 1-12 aging_time 1440 idle_time infinite block_time 60

Стандартные параметры JWAC:

config jwac switch_http_port 80
config jwac clear_quarantine_server_url
config jwac radius_protocol pap
disable jwac quarantine_server_monitor
config jwac quarantine_server_error_timeout 30
enable jwac forcible_logout
enable jwac udp_filtering
enable jwac redirect
config jwac redirect destination quarantine_server delay_time 1
disable jwac
config jwac authenticate_page english
config jwac authorization attributes radius enable
config jwac authorization attributes local enable
config jwac ports 1-12 auth_mode host_based max_authenticating_host 50 aging_time 1440 idle_time infinite block_time 60

Стандартные параметры LLDP:

disable lldp
config lldp message_tx_interval 30
config lldp tx_delay 2
config lldp message_tx_hold_multiplier 4
config lldp reinit_delay 2
config lldp notification_interval 5
config lldp ports 1-12 notification disable
config lldp ports 1-12 admin_status tx_and_rx

Стандартные параметры MBA:

disable mac_based_access_control
config mac_based_access_control authorization network radius enable local enable
config mac_based_access_control ports 1-12 state disable
config mac_based_access_control method local
config mac_based_access_control password default
config mac_based_access_control max_users 128

Включение фильтрации незарегистрированных multicast групп:

config multicast filtering_mode multicast filter_unregistered_groups

Параметры IGMP SNOOPING:

enable igmp_snooping
config igmp_snooping vlan local_smart report_suppression disable
config igmp_snooping vlan local_smart state disable fast_leave disable
config igmp_snooping querier vlan local_smart query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 3
config igmp_snooping vlan local_smart2 report_suppression disable
config igmp_snooping vlan local_smart2 state disable fast_leave disable
config igmp_snooping querier vlan local_smart2 query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 3
config igmp_snooping vlan multicast report_suppression disable
config igmp_snooping vlan multicast state enable fast_leave disable
config igmp_snooping querier vlan multicast query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 3
config limited_multicast_addr ports 1-12 add multicast_range range1 
config limited_multicast_addr ports 1-12 access permit state enable

Стандартные параметры ACCESS AUTHENTICATION CONTROL:

config authen_login default method local
config authen_enable default method  local_enable
config authen application console login default
config authen application console enable default
config authen application telnet login default
config authen application telnet enable default
config authen application ssh login default
config authen application ssh enable default
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 30
config authen parameter attempt 3
disable authen_policy
config accounting service network state disable
config accounting service shell state disable
config accounting service system state disable
config admin local_enable

Стандартные параметры RIPng:

disable ripng
config ripng method split_horizon
config ripng update 30
config ripng expire 180
config ripng garbage_collection 120
config ripng ipif System state disable metric 1
config ripng ipif local state disable metric 1

Параметры ARP:

config arp_aging time 300
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable
Пример добавления статической записи:
create arpentry 192.168.1.50 00-11-22-33-44-55[code]

Маршруты:
[code]config route preference static 60
config route preference default 1
config route preference rip 100
config route preference ospfIntra 80
config route preference ospfInter 90
config route preference ospfExt1 110
config route preference ospfExt2 115
config route preference ebgp 70
config route preference ibgp 130
create iproute default 192.168.1.1 1 primary
config ecmp algorithm ip_destination crc_low   
enable ecmp ospf

Отключение dhcpv6 relay:

config dhcpv6_relay hop_count  4 
disable dhcpv6_relay

Отключение DHCPv6 сервера:

disable dhcpv6_server

Настройки IGMP:

config igmp ipif System version 3 query_interval 125 max_response_time 10 robustness_variable 2 state enable
config igmp ipif System last_member_query_interval 1  
config igmp check_subscriber_source_network ipif System enable  
config igmp ipif local version 3 query_interval 125 max_response_time 10 robustness_variable 2 state disable
config igmp ipif local last_member_query_interval 1  
config igmp check_subscriber_source_network ipif local enable

Отключение PIMSM:

disable pim

Отключение DVMRP:

disable dvmrp
config dvmrp ipif System metric 1 probe 10 neighbor_timeout 35 state disable 
config dvmrp ipif local metric 1 probe 10 neighbor_timeout 35 state disable 
config dvmrp ipif docsis metric 1 probe 10 neighbor_timeout 35 state disable 
config dvmrp ipif lift_real metric 1 probe 10 neighbor_timeout 35 state disable 
config dvmrp ipif local_smart metric 1 probe 10 neighbor_timeout 35 state disable 
config dvmrp ipif local_smart3 metric 1 probe 10 neighbor_timeout 35 state disable

Отключение RIP:

disable rip
config rip ipif System tx_mode disable state disable
config rip ipif System rx_mode disable state disable 
config rip ipif local tx_mode disable state disable
config rip ipif local rx_mode disable state disable

Отключение OSPFv3:

config ospfv3 router_id 0.0.0.0
disable ospfv3

Отключение DNSR:

disable dnsr
config dnsr primary nameserver 0.0.0.0
config dnsr secondary nameserver 0.0.0.0
disable dnsr cache
disable dnsr static

Отключение MLD:

config mld ipif System query_interval 125 max_response_time 10 robustness_variable 2 last_listener_query_interval 1 version 2 state disable 
config mld ipif local query_interval 125 max_response_time 10 robustness_variable 2 last_listener_query_interval 1 version 2 state disable

Параметры DHCP_RELAY:

enable dhcp_relay
config dhcp_relay hops 4 time 0 
config dhcp_relay option_82 state disable
config dhcp_relay option_82 check disable
config dhcp_relay option_82 policy replace
config dhcp_relay option_60 state disable
config dhcp_relay option_61 state disable
config dhcp_relay add ipif local 192.168.1.1
config dhcp_relay option_60 default mode drop
config dhcp_relay option_61 default drop
disable dhcp_local_relay

Отключение VRRP (Virtual Router Redundancy Protocol):

config vrrp ipif System authtype none
config vrrp ipif local authtype none
disable vrrp
disable vrrp ping

Сохранение конфигурации:

save all