Скрытие MikroTik маршрутизатора в сети

Так как на MikroTik роутерах стандартно используется протокол MNDP (Neighbor Discovery Protocol) позволяющий выдать информацию об устройстве, то отключить его можно следующим образом:

1) Через графический интерфейс или Winbox. Открыть меню IP -> Neighbors -> вкладка Discovery Interfaces -> выбрать нужный интерфейс -> нажать «красный крестик».
2) Через командную строку. Набрав команду ip neighbor discovery set ether2 discover=no.

Настройка коммутатора D-Link DGS-3100

На примере для настройки буду использовать коммутатор D-Link DGS-3100-24TG с прошивкой 3.60.44.
Хочу отметить что данная модель давно снята с производства, у многих этот коммутатор работал не стабильно, некоторые заменили его на DGS-3120.

Для сброса пароля и настроек можно подключиться через консольный порт и при загрузке нажать комбинацию клавиш shift+6, далее следовать инструкциям.

Сначала настроим VLAN (у меня core — для управления, local — для пользователей):

config vlan default delete 1:(1-24) 
create vlan core tag 20 
create vlan local tag 22 
config vlan core add tagged 1:(9) 
config vlan local add tagged 1:(9) 
config vlan local add untagged 1:(1-8,10-24)
config gvrp 1:(1-24) pvid 22

Назначим коммутатору IP-адрес:

config ipif System ipaddress 192.168.1.251/24 vlan core 
create iproute default 192.168.1.1

Добавим администратора:

create account admin ИМЯ password ПАРОЛЬ

Настраиваем SNMP:

create snmp community test view DefaultSuper read_only 
disable snmp traps 
disable snmp authenticate trap

Укажем с каких IP разрешено настраивать коммутатор:

create trusted_host 172.16.1.5 network 255.255.255.255 application all
create trusted_host 192.168.1.0 network 255.255.255.0 application all

Настройка портов:

config ports 1:(1-24) flow_control auto
config ports description 1:9 "VHOD"

Включение IGMP Snooping:

enable igmp_snooping
config igmp_snooping multicast state enable

Фильтрация незарегистрированных multicast групп:

config multicast filtering_mode 1:(1-24) filter_unregistered_groups

Настройка контроля широковещательного трафика:

config traffic control 1:(1-24) state enable threshold 3500 storm_type broadcast

Включение STP и защиты от петель:

enable stp 
config stp lbd_recover_time 100 
config stp ports 1:(1-24) p2p false fbpdu disable

Настройка SNTP параметров времени:

enable sntp 
config sntp primary 192.168.1.1 poll-interval 86400 
config time_zone operator + hour 02 minute 00

Разрешаем идти трафику только на входящий порт, другими словами запрет хождения трафика между портами:

config traffic_segmentation 1:(1-8,10-24) forward_list 1:9
config traffic_segmentation 1:9 forward_list 1:(1-8,10-24)

Пример блокировки чужих DHCP серверов через ACL:

create access_profile profile_id 5 ip udp src_port_mask ffff 
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 ports 1:9 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 ports 1:1-1:8,1:10-1:24 deny

Пример блокировки мак адреса на порту:

create access_profile profile_id 6 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 6 add access_id 6 ethernet source_mac 00-11-22-33-44-55 port 2 deny

Настрйока самозащиты коммутатора:

config safeguard_engine state enable rising 100 falling 90

Можно настроить отправку логов на syslog сервер:

create syslog host 1 ipaddress 192.168.1.1 severity warning facility local1

Настройка времени бездействия через которое будет завершена сессия администратора:

config serial_port auto_logout 15_minutes

Сохранение конфигурации:

save all

Смотрите также:
Обновление прошивки коммутатора D-Link DGS-3100

Управление оборудованием Ubiquiti по SSH

Для подключения по SSH к оборудованию Ubiquiti (UBNT) из Windows можно использовать популярную утилиту PuTTY.
Из Linux можно подключиться набрав команду:

Читать далее «Управление оборудованием Ubiquiti по SSH»

Обновление прошивки TP-Link TL-WR740N

Перед прошивкой необходимо проверить аппаратную версию устройства. Обновление прошивки не от той версии устройства может испортить его!
Также нельзя обновлять прошивку по Wi-Fi и отключать питание роутера во время прошивки!

Читать далее «Обновление прошивки TP-Link TL-WR740N»

Обновление прошивки teXet TB-116FL

Перед обновлением прошивки необходимо сохранить всю имеющуюся в памяти информацию, так как все данные будут удалены, а также извлечь карту памяти из электронной книги.

Читать далее «Обновление прошивки teXet TB-116FL»

Как прошить роутер

Для обновления прошивки маршрутизатора (роутера) необходимо отключить все ненужные кабеля, оставив лишь питание и патчкор подключенный к одному из LAN портов и компьютеру. Обновлять через Wi-Fi в большинстве случаев не рекомендуется! Далее набрать в браузере адрес http://192.168.1.1 или http://192.168.0.1 тем самым открыв его web-интерфейс. Адрес может быть другим, его можно узнать посмотрев IP-адрес шлюза в настройках сети.

Читать далее «Как прошить роутер»

Нет вкладки Wireless в меню маршрутизатора Mikrotik

Заметил что во многих Mikrotik маршрутизаторах в меню нету вкладки Wireless, хотя Wi-Fi устройством поддерживается.

Читать далее «Нет вкладки Wireless в меню маршрутизатора Mikrotik»

Настройка коммутатора D-Link DES-3200

Для примера возьму коммутатор D-Link DES-3200-18 С1 с прошивкой 4.36.B012. Команды аналогичны для коммутаторов с разным количеством портов, они могут немного отличатся лишь при разной версии прошивки и ревизии.

Создадим аккаунт администратора:

create account admin NAME
config admin local_enable

Хранение пароля администратора в зашифрованном виде:

enable password encryption

Включение возможности восстановления пароля:

enable password_recovery

Параметры serial порта:

config serial_port baud_rate 115200 auto_logout never

Включения доступа через web интерфейс:

enable web 80

Отключение управления коммутатором по SSH:

disable ssh

Включение доступа по telnet:

enable telnet 23

Настройка ширины окна терминала и отображение информации в постраничном режиме:

config terminal width 80
enable clipaging

Настройка количества отображаемых строк терминала:

config terminal_line default

Отключение логирования вводимых команд:

disable command logging

Удаление стандартного VLAN:

config vlan default delete 1-18
config vlan default advertisement enable

Создание отдельного VLAN для управления коммутатором (17 — uplink):

create vlan core tag 50
config vlan core add tagged 17 advertisement disable

Создание VLAN для пользователей:

create vlan local_smart tag 51
config vlan local_smart add tagged 17
config vlan local_smart add untagged 1-16,18 advertisement disable

Отключение инкапсуляции тегов VLAN в теги VLAN второго уровня:

disable qinq

Отключение авто настройки VLAN и назначение всем портам PVID клиентского VLAN:

disable gvrp
config port_vlan 1-18 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 51

Включение автоматического назначения PVID портам (включено по умолчанию):

enable pvid auto_assign

Назначение IP адресе коммутатору в VLAN для управления:

config ipif System ipaddress 192.168.1.100/24 vlan core
config ipif System dhcp_option12 state disable
disable autoconfig 
config autoconfig timeout 50

Добавление шлюза по умолчанию:

create iproute default 192.168.1.1 1 primary

Включение ограничения broadcast трафика для всех портов кроме uplink:

config traffic control 1-16,18 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 0 time_interval 5
config traffic control auto_recover_time 0
config traffic trap none
config traffic control log state enable

На всякий случай отключим зеркалирование портов:

disable mirror

Настройка логов:

config log_save_timing on_demand
disable syslog
config system_severity trap information
config system_severity log information

Разрешение больших jumbo frame пакетов и пример настройки портов:

enable jumbo_frame
config ports 1-16 speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type copper speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type fiber speed auto flow_control disable learning enable state enable
config ports 18 speed auto flow_control disable learning enable state enable

Разрешим управлять коммутатором только с указанных IP адресов:

create trusted_host network 192.168.1.1/24 snmp telnet ssh http https ping
create trusted_host network 172.16.100.100/32 snmp telnet ssh http https ping

Настройка snmp трапов:

disable snmp traps
disable snmp authenticate_traps 
disable snmp linkchange_traps
config snmp linkchange_traps ports 1-18 disable
config snmp coldstart_traps enable
config snmp warmstart_traps enable
config rmon trap rising_alarm enable
config rmon trap falling_alarm enable

Включение и пример настройки SNMP (где TEXT укажем желаемый пароль):

enable snmp
config snmp system_contact admin@ixnfo.com
delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
create snmp group public v1 read_view CommunityView notify_view CommunityView 
create snmp group public v2c read_view CommunityView notify_view CommunityView 
create snmp community public view CommunityView read_only
create snmp group TEXT v2c read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp community TEXT view CommunityView read_write
disable community_encryption

Отключение IGMP MULTICAST VLAN:

disable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable

Настройка и отключение PORT SECURITY:

config port_security system max_learning_addr no_limit
disable port_security trap_log
config port_security ports 1-18 admin_state disable max_learning_addr 32 lock_address_mode deleteonreset

Время хранения (сек) mac адреса в таблице:

config fdb aging_time 300
config block tx ports 1-18 unicast disable

Разрешим нулевые IP для связки адресов mac + ip:

config address_binding ip_mac ports 1-18 allow_zeroip enable

Можно включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:

config filter netbios 1-18 state enable
config filter extensive_netbios 1-18 state enable

Настройка фильтрации вредных DoS пакетов:

config dos_prevention dos_type land_attack action drop state enable 
config dos_prevention dos_type blat_attack action drop state enable 
config dos_prevention dos_type tcp_null_scan action drop state enable 
config dos_prevention dos_type tcp_xmasscan action drop state enable 
config dos_prevention dos_type tcp_synfin action drop state enable 
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable 
config dos_prevention dos_type ping_death_attack action drop state enable 
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable 
config dos_prevention trap disable
config dos_prevention log disable

Блокировка сторонних DHCP серверов на всех портах кроме входящего:

config filter dhcp_server ports all state disable
config filter dhcp_server ports 1-16,18 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Защита от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 300
config bpdu_protection trap none
config bpdu_protection log attack_detected
config bpdu_protection ports 1-16,18 state enable  
config bpdu_protection ports 1-18 mode drop

Включение функции SAFEGUARD ENGINE:

config safeguard_engine state enable utilization rising 98 falling 90 trap_log enable mode fuzzy

Отключение отправки сообщений на электронную почту по SMTP:

disable smtp

Настройка SNTP параметров времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 40000
config dst disable

Отключение управлением multicast трафиком и немного стандартных параметров:

disable igmp_snooping
disable mld_snooping

Параметры ARP:

config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable

Настройка уведомлений о изменении температуры:

config temperature threshold high 79
config temperature threshold low 11
config temperature trap state disable
config temperature log state enable

Сохранение конфигурации:

save all

Смотрите также мои статьи:
Настройка Traffic Segmentation
Настройка функции защиты от петель