Архивы рубрик:Железо

Для примера возьму коммутатор D-Link DES-3200-18 С1 с прошивкой 4.36.B012. Команды аналогичны для коммутаторов с разным количеством портов, они могут немного отличатся лишь при разной версии прошивки и ревизии.

Создадим аккаунт администратора:

create account admin NAME
config admin local_enable

Хранение пароля администратора в зашифрованном виде:

enable password encryption

Включение возможности восстановления пароля:

enable password_recovery

Параметры serial порта:

config serial_port baud_rate 115200 auto_logout never

Включения доступа через web интерфейс:

enable web 80

Отключение управления коммутатором по SSH:

disable ssh

Включение доступа по telnet:

enable telnet 23

Настройка ширины окна терминала и отображение информации в постраничном режиме:

config terminal width 80
enable clipaging

Настройка количества отображаемых строк терминала:

config terminal_line default

Отключение логирования вводимых команд:

disable command logging

Удаление стандартного VLAN:

config vlan default delete 1-18
config vlan default advertisement enable

Создание отдельного VLAN для управления коммутатором (17 — uplink):

create vlan core tag 50
config vlan core add tagged 17 advertisement disable

Создание VLAN для пользователей:

create vlan local_smart tag 51
config vlan local_smart add tagged 17
config vlan local_smart add untagged 1-16,18 advertisement disable

Отключение инкапсуляции тегов VLAN в теги VLAN второго уровня:

disable qinq

Отключение авто настройки VLAN и назначение всем портам PVID клиентского VLAN:

disable gvrp
config port_vlan 1-18 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 51

Включение автоматического назначения PVID портам (включено по умолчанию):

enable pvid auto_assign

Назначение IP адресе коммутатору в VLAN для управления:

config ipif System ipaddress 192.168.1.100/24 vlan core
config ipif System dhcp_option12 state disable
disable autoconfig 
config autoconfig timeout 50

Добавление шлюза по умолчанию:

create iproute default 192.168.1.1 1 primary

Включение ограничения broadcast трафика для всех портов кроме uplink:

config traffic control 1-16,18 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 0 time_interval 5
config traffic control auto_recover_time 0
config traffic trap none
config traffic control log state enable

На всякий случай отключим зеркалирование портов:

disable mirror

Настройка логов:

config log_save_timing on_demand
disable syslog
config system_severity trap information
config system_severity log information

Разрешение больших jumbo frame пакетов и пример настройки портов:

enable jumbo_frame
config ports 1-16 speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type copper speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type fiber speed auto flow_control disable learning enable state enable
config ports 18 speed auto flow_control disable learning enable state enable

Разрешим управлять коммутатором только с указанных IP адресов:

create trusted_host network 192.168.1.1/24 snmp telnet ssh http https ping
create trusted_host network 172.16.100.100/32 snmp telnet ssh http https ping

Настройка snmp трапов:

disable snmp traps
disable snmp authenticate_traps 
disable snmp linkchange_traps
config snmp linkchange_traps ports 1-18 disable
config snmp coldstart_traps enable
config snmp warmstart_traps enable
config rmon trap rising_alarm enable
config rmon trap falling_alarm enable

Включение и пример настройки SNMP (где TEXT укажем желаемый пароль):

enable snmp
config snmp system_contact admin@ixnfo.com
delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
create snmp group public v1 read_view CommunityView notify_view CommunityView 
create snmp group public v2c read_view CommunityView notify_view CommunityView 
create snmp community public view CommunityView read_only
create snmp group TEXT v2c read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp community TEXT view CommunityView read_write
disable community_encryption

Отключение IGMP MULTICAST VLAN:

disable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable

Настройка и отключение PORT SECURITY:

config port_security system max_learning_addr no_limit
disable port_security trap_log
config port_security ports 1-18 admin_state disable max_learning_addr 32 lock_address_mode deleteonreset

Время хранения (сек) mac адреса в таблице:

config fdb aging_time 300
config block tx ports 1-18 unicast disable

Разрешим нулевые IP для связки адресов mac + ip:

config address_binding ip_mac ports 1-18 allow_zeroip enable

Можно включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:

config filter netbios 1-18 state enable
config filter extensive_netbios 1-18 state enable

Настройка фильтрации вредных DoS пакетов:

config dos_prevention dos_type land_attack action drop state enable 
config dos_prevention dos_type blat_attack action drop state enable 
config dos_prevention dos_type tcp_null_scan action drop state enable 
config dos_prevention dos_type tcp_xmasscan action drop state enable 
config dos_prevention dos_type tcp_synfin action drop state enable 
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable 
config dos_prevention dos_type ping_death_attack action drop state enable 
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable 
config dos_prevention trap disable
config dos_prevention log disable

Блокировка сторонних DHCP серверов на всех портах кроме входящего:

config filter dhcp_server ports all state disable
config filter dhcp_server ports 1-16,18 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Защита от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 300
config bpdu_protection trap none
config bpdu_protection log attack_detected
config bpdu_protection ports 1-16,18 state enable  
config bpdu_protection ports 1-18 mode drop

Включение функции SAFEGUARD ENGINE:

config safeguard_engine state enable utilization rising 98 falling 90 trap_log enable mode fuzzy

Отключение отправки сообщений на электронную почту по SMTP:

disable smtp

Настройка SNTP параметров времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 40000
config dst disable

Отключение управлением multicast трафиком и немного стандартных параметров:

disable igmp_snooping
disable mld_snooping

Параметры ARP:

config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable

Настройка уведомлений о изменении температуры:

config temperature threshold high 79
config temperature threshold low 11
config temperature trap state disable
config temperature log state enable

Сохранение конфигурации:

save all

Смотрите также мои статьи:
Настройка Traffic Segmentation
Настройка функции защиты от петель