Ничего сложного, просто создаем ACL правило, благодаря которому на определенных портах коммутатор будет отбрасывать либо пропускать пакеты которые идут на 67 порт клиента от DHCP сервера и таким образом он не получит IP от ненужных DHCP серверов.
Читать далее «Блокировка DHCP пакетов на D-Link DES-38xx»Архивы рубрик:Железо
Настройка коммутатора Foxgate S6224-S2
Приведу пример команд конфигурации коммутатора Foxgate-6224-S2, для других коммутаторов команды почти аналогичны.
Вход в режим конфигурации:
enable config hostname имя sysLocation UA sysContact admin@example.com
Шифруем все пароли:
service password-encryption
Включаем/выключаем доступ по telnet:
telnet-server enable no telnet-server enable
Устанавливаем параметры вреени:
sntp polltime 14400 sntp server x.x.x.x clock timezone Kiev add 2 0
Настроим snmp сервер:
snmp-server enable snmp-server securityip 192.168.0.5 snmp-server securityip 172.16.99.99 snmp-server community ro 0 public
Настройка защиты от петель:
loopback-detection interval-time 5 3 loopback-detection control-recovery timeout 300 interface ethernet 1/1-24 loopback-detection control shutdown/block exit interface ethernet 1/26 loopback-detection control shutdown/block exit show loopback-detection debug loopback-detection no debug loopback-detection
Устанавиливаем пароль коммутатора:
enable password 0 пароль Устанавливаем пароль пользователя: username admin privilege 15 password 0 пароль authentication line vty login local
Пример удаления пользователя:
no username имя
Включение веб-сервера:
ip http server authentication line web login local
Создаем отдельный vlan для управления:
vlan 5 name Core !
Назначаем коммутатору IP в управляемом влане:
interface Vlan5 ip address 192.168.1.5 255.255.255.0 !
Указываем стандартный шлюз:
ip default-gateway 192.168.0.1
Удаление стандартного ip (обычно это 192.168.1.1) во vlan1:
interface Vlan1 no ip address ! no interface vlan 1
Создаем vlan сети пользователей:
vlan 4 name Local !
Создаем мультикаст vlan:
vlan 229 !
Настройка igmp snooping в качестве IPTV querier:
show ip igmp snooping
Включаем контроль мультикаст-потока:
multicast destination-control
Включаем igmp snooping:
ip igmp snooping
Указываем что vlan 229 является мультикастовым:
ip igmp snooping vlan 229
Включаем функцию querier:
ip igmp snooping vlan 229 l2-general-querier
Указываем что querier и есть наш коммутатор:
ip igmp snooping vlan 229 l2-general-querier-source 192.168.1.5
Включаем функцию immediately-leave:
ip igmp snooping vlan 229 immediately-leave
Указываем версию querier, 2 наиболее поддерживаемая, особенно клиентскими роутерами:
ip igmp snooping vlan 229 L2-general-querier-version 2 no ip igmp snooping vlan 229 limit config t ip igmp snooping vlan 229 limit group 300 source 200 ip igmp snooping vlan 229 query-interval 130 ip igmp snooping vlan 229 query-mrsp 18 ip igmp snooping vlan 229 query-robustness 3 ip igmp snooping vlan 229 report source-address 10.1.1.1 ip igmp snooping vlan 229 suppression-query-time 270 sh ip igmp snooping vlan 229 groups
Настройки портов:
Interface Ethernet0/0/1 storm-control broadcast 63 switchport access vlan 4 loopback-detection control shutdown ! Interface Ethernet0/0/24 storm-control broadcast 63 switchport access vlan 229 loopback-detection control shutdown !
Чтобы отключить или изменить режим скорости порта:
Interface Ethernet0/0/1 spped-duplex !
25 порт делаем транковым так как он будет магистральным и по нему будет ходить несколько vlan:
Interface Ethernet0/0/25 switchport mode trunk !
Выходим из режима config и сохраняем конфигурацию:
exit write
Пример просмотра логов:
show logging buffered level warnings
Пример копирования конфигурации на tftp сервер:
copy startup.cfg tftp://192.168.1.1/foxgate_startup.cfg
Смотрите также:
Блокировка DHCP серверов на коммутаторах FoxGate
Как ловить широковещательный флуд на коммутаторах FoxGate
Get FDB from D-Link switches
Скрипт считывания таблицы мак адресов с управляемых коммутаторов D-Link.
Чтобы это работало, необходимо поместить код в файл и выполнить его в Unix системе.
#!/bin/bash
HOST=$1
PORTPARAM=$2
if [[ -n "$PORTPARAM" && ( "$PORTPARAM" -lt 0 || "$PORTPARAM" -gt 24 ) ]]; then
echo "Error port number!"
exit
fi
for string in `snmpwalk -v 2c -c public $HOST 1.3.6.1.2.1.17.7.1.2.2.1.2 -O qn|sed -e "s/^\.//g" -e "s/ /./g"`; do
decmac=$(echo $string|awk -F "." '{print $15";"$16";"$17";"$18";"$19";"$20}')
vlan=$(echo $string|awk -F "." '{print $14 }')
mac=""
for hex in `echo "obase=16; $decmac"|bc`; do
if [ ${#hex} == "1" ]; then
hex="0"$hex
fi
if [ -z $mac ]; then
mac=$hex
else
mac=$mac":"$hex
fi
done
port=$(echo $string|awk -F "." '{print $21}')
if [ -z "$PORTPARAM" ]; then
printf $vlan"\t"$mac"\t"$port"\n"
elif [ $PORTPARAM == $port ]; then
printf $vlan"\t"$mac"\t"$port"\n"
fi
done
Обзор настроек беспроводных точек доступа Ubiquiti
Коротко опишу настройки беспроводных точек доступа Ubiquiti:
За пример взята прошивка XM.v5.5.4 (16501) и Rocket M5
Стандартный IP: 192.168.1.20, пароль и логин ubnt.
ВКЛАДКА WIRELESS
Basic Wireless Settings:
Wireless Mode — беспроводной режим работы точки. Доступны для выбора: Station (Станция, режим для конечного оборудования), Access Point (точка доступа к которой подключаются другие беспроводные устройства), AP-Repeater (режим повторителя, тоесть точка принимает сигнал как станция и транслирует дальше как точка доступа)
SSID (Service Set Identifier) — идентификатор сети. Hide SSID — поставив галочку точка перестанет вещать свой SSID, тогда клиентам при первом подключении его нужно будет ввести в настройки станции вручную.
Country Code — В каждой стране есть ограничения на использование того или иного диапазона частот, поэтому нужно выбирать страну в которой будет стоять устройство.
IEEE 802.11 Mode — Выбор радио стандарта
Channel Width — Ширина спектра канала. Спектр канала может быть с шириной: 5, 10, 20, 30, 40, Auto 20MHz/40MHz. Чем больше тем больше скорость соединения, уменьшение позволит увеличить расстояние соединения.
Channel Shifting — смещение частоты канала, полезно в целях безопасности. Включение позволит скрыть точку от многих Wi-Fi устройств.
Frequency, MHz — выбор частоты беспроводного канала. Список частот может быть разным в зависимости от выбора страны, Channel Width, радио стандарта, ширины спектра канала.
Extension Channel — позволяет использовать два канала одновременно. Допустимо только на частоте 40Mhz в режиме Access Point.
Frequency List, MHz — Список частот. Если выше Frequency, MHz выбрано как Auto, то точка будет использовать только частоты из этого списка. AirSelect тоже бедет использовать их из этого списка.
Antenna — установка усиления антены, используется только с точками которые подключены к внешней антенне.
Cable Loss — увеличивает мощность передатчика, используется когда по кабелю есть потери сигнала.
Output Power — установка уровня мощности.
Max TX Rate, Mbps — установка скорости передачи данных. Лучше поставить галочку Automatic, так как в случае потери сигнала на больших скоростях точки могут вообще не соединится, а так автоматически будет выбрано меньшее значение.
Wireless Security:
Security — выбор режима шифрования. Доступны режимы: none (без шифрования), WEP (Wired Equivalent Privacy старый и слабый режим шифрования), WPA, WPA-TKIP, WPA-AES, WPA2, WPA2-TKIP, WPA2-AES (самый надежный режим блочного шифрования). Стоит заметить что шифрование снижает скорость передачи данных.
RADIUS MAC Authentication — аутентификация клиентов через Radius сервер.
MAC ACL — позволяет разрешить или запретить клиентским устройствам подключаться к точке доступа. Если добавить в список мак устройства с политикой Allow (разрешено), то всем остальным устройствам которые не добавлены в список с политикой Allow доступ будет закрыт.
ВКЛАДКА ADVANCED
Advanced Wireless Settings:
RTS Threshold — установка размера передаваемого пакета. Возможные значения 0 — 2346. Флажок Off означает что RTS будет отключено и будет использовать максимально возможный размер 2346.
Distance — указывается расстояние между точками. Расстояние влияет на ACK Timeout, то есть когда точка доступа передает станции данные, она ждет определенное время от нее ответный ACK фрейм об их успешном получении. В случае сопряжения с точкой другого производителя и отсутствия прямой видимости, реальное расстояние лучше выставить вручную с добавкой +1км, если используются точки Ubnt серии «М», тогда нужно ставить галочку «Auto», точки сами высчитают расстояние и прибавят сколько нужно. Чересчур занижать или сильно завышать расстояние не рекомендуется, это повлечет за собой снижение пропускной способности.
Aggregation — позволяет объединять мелкие фреймы в большой у которых один и тот же источник, получатель и класс трафика.
Multicast Data — разрешение или запрет прохождения многоадресного трафика. На мой взгляд лучше отключить, дабы не вывалилось случайно в беспроводную сеть IPTV, разные широковещалки и т.д.
Extra Reporting — добавляет в управляющие фреймы дополнительную информацию, например имя хоста.
Client Isolation — при включении этой функции станции подключенные к точке доступа не смогут передавать трафик между собой. Полезно чтобы клиенты не могли видеть друг друга.
Sensitivity Threshold, dBm — установка минимального уровня сигнала для станций с которым они могут подключиться к точке.
Advanced Ethernet Settings:
Enable PoE Passthrough — в серии Nano M эта функция позволяет передать POE питание с главного порта на второстепенный.
LAN0 Speed — выбор скорости передачи данных, 10 или 100Мбит/с.
Signal LED Thresholds:
Thresholds, dBm — установка предела уровня сигнала после которого будет включатся световой индикатор.
ВКЛАДКА SERVICES
Ping WatchDog — функция позволяет пинговать какой нибудь хост, например шлюз и если от него перестанут приходить ответы, то устройство автоматически перезагрузится.
SNMP Agent — используется в основном для мониторинга устройства. То есть на сервере можно сделать скрипт который будет рисовать графики из полученных по SNMP данных от точки, например скорость передаваемых данных, загрузку процессора и т.д.
Web Server — включает и отключает доступ к точке через WEB интерфейс.
SSH Server — включает и отключает доступ к точке по SSH.
Telnet Server — включает и отключает доступ к точке по telnet.
NTP Client — клиент позволяющий синхронизировать время точки с NTP сервером.
Dynamic DNS — чтобы заходить на точку доступа из любой точки мира и не брать у провайдера выделенный IP адрес, можно зарегистрироваться в каком нибудь DDNS сервисе, они выдадут поддомен, по кторому можно будет зайти.
System Log — функция позволяет записывать информацию о событиях в системный журнал. Также можно указать адрес удаленного syslog сервера.
Дополнительные инструменты Tools
Align Antenna — утилита полезная для точной настройки антенны.
Site Survey — утилита позволяющая сканировать беспроводные частоты и отобразить инофрмацию об устройствах, их SSID, MAC, частоту, имя, шифрование, сигнал/шум.
Discovery — Утилита Device Discovery позволяющая выполнить поиск устройств в текущей подсети у которых включена эта функция (SERVICES > галочка на Device Discovery) и показать информацию.
Ping — эта утилита проверяет качество соединения и задержки между вашим устройством и устройством адрес которого укажете в «Select Destination IP».
Traceroute — утилита показывающая путь прохождения пакетов к хосту адрес которого указать в «Destination Host».
Speed Test — утилита позволяющая измерить скорость передачи данных между двумя AirOS устроствами.
AirView — утилита по которой можно увидеть шумы и загруженность радиочастот.
ВКЛАДКА SYSTEM
Firmware Update — обновление програмного обеспечения.
Device — имя устройства.
System Accounts — установка имени и пароля адиминистратора и пользователя с правами только для чтения.
Reset Button — включение или отключение возможности сброса настроек физически нажав на кнопку на устройстве.
Reboot Device — перезагрузка устройства.
Support Info — Нажав кнопку сгенерируется файл с различной информацией об устройстве. Может быть потребован техподдержкой Ubiquiti.
Date Settings — установка текущей даты и времени.
Location — ширина и долгота местонахождения устройства.
Configuration Management:
Back Up Configuration — скачивание конфигурации файлом на компьютер.
Upload Configuration — загрузка конфигурации фалом из компьютера.
Reset to Factory Defaults — восстановление настроек на заводские.
UBIQUITI (UBNT) OID’s & MIB’s
Приведу ниже список возможных OID и MIB:
Читать далее «UBIQUITI (UBNT) OID’s & MIB’s»D-Link CLI
Приведу краткий пример команд для коммутаторов D-link, в частности для DES-3200 и некоторых DGS коммутаторов:
Подключаемся к коммутатору по telnet на порт 23 либо через консольный кабель.
VT100, ANSI, стандартный IP коммутаторов: 10.90.90.90 255.255.255.0
Также в режиме консоли при включении свича: Shift+6 восстановление, Shift+3 режим прошивки.
Команду «show» можно использовать в сокращенном виде как «sh», также можно сокращенно вводить другие команды, ну об этом позже.
show switch show address_binding ip_mac all show address_binding blocked all show session enable web 80 enable telnet 23 show ipif show fdb (отображает таблицу MACов) config arp_aging time (in minutes) config ipif System ipaddress 10.15.1.92/8 vlan имявлан state enable hostname switch237 show terminal_line config terminal_line 30 enable clipaging cable_diag ports all show arpentry clear arptable
*JUMBO FRAME
(это сверхдлинные Ethernet-кадры, которые используются в высокопроизводительных сетях для увеличения производительности на длинных расстояниях, а также уменьшения нагрузки на центральный процессор. Jumbo-кадры имеют размер, превышающий стандартный размер MTU: от 1518 до 16000 [1] байт. Удобно при: сервер — свич — сервер, но не клиентские порты).
show jumbo_frame disable jumbo_frame
АККАУНТЫ
show account create account admin/user имя config account имя enable password encryption
*BPDU ATTACK PROTECTION
show bpdu_protection show bpdu_protection ports enable bpdu_protection config bpdu_protection ports 1 state enable mode drop/block/shutdown config bpdu_protection recovery_timer 120 (sec) config bpdu_protection trap both config bpdu_protection log both
*SAFEGUARD ENGINE
(При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты.)
show safeguard_engine config safeguard_engine state enable utilization rising 70 falling 30 trap_log enable mode strict/fuzzy
*TRAFFIC SEGMENTATION
show traffic_segmentation
Допустим имеем на комутаторе входящий порт 9 и хотим ограничить порты друг от друга.
config traffic_segmentation 1-8,10-24 forward_list 9 config traffic_segmentation 9 forward_list 1-8,10-24
*TRAFFIC CONTROL
show packet ports 1-28 config traffic control 1-24,26-28 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5
*SNTP
show sntp enable sntp config time_zone operator + hour 2 min 0 config sntp primary 91.203.15.142 secondary 0.0.0.0 poll-interval 5000 show time config time 1jun2012 12:00:00
*DHCP RELAY
enable dhcp_relay config dhcp_relay add ipif 192.168.1.1
НАСТРОЙКА ПОРТОВ
show ports show ports description config ports 25-28 speed 1000_full state enable learning enable
*SNMP
show snmp enable snmp show snmp community delete snmp community private delete snmp community public delete snmp user initial delete snmp group initial create snmp community имя view CommunityView read_only/read_write[code] <strong>*TRUSTED HOST</strong> [code]show trusted_host create trusted_host network айпи/16
*SMTP
show smtp enable smtp config smtp server айпи server_port 25 add mail_receiver admin@domain.com smtp send_testmsg
*PORT SECURITY
Функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnReset
*VLAN
show vlan create vlan имя tag айди config vlan имя add/delete tagged/untagged/forbidden 1-24 advertisement enable/disable config vlan default delete 1-24 config gvrp 1-28 state disable ingress_checking enable acceptable_frame admit_all pvid вланайди disable gvrp show port_vlan config port_vlan 1:9 gvrp_state disable ingress_checking enable acceptable_frame tagged_only/admit_all pvid 1
Для правильной установки сначала необходимо создать отдельный управляемый Vlan, в котором должны находится только управляемое оборудование и в config ipif прописан этот Vlan. На входящий порт на всех Vlan ставится tag, на порты на которых висит управляемое оборудование в необходимом Vlan ставится tag, на неуправляемое untag, если порт не находится в данном Vlan — not memeber. В PVID на магистральных тагированых портах я ставлю VID управляемого влана, если же порт untagged в каком-то влане, то необходимо ставить vid этого влана.
Edgress(разрешенный) — определяет что порт является статическим членом VLAN.
Forbidden(запрещенный) — определяет что порт не является членом VLAN и динамически не может никак к нему подключиться.
non-member — определяет что порт не является членом VLAN, но порт может динамически к нему подключиться.
*DHCP SERVER SCREENING
show filter dhcp_server
config filter dhcp_server add permit server_ip { client_mac } ports [ | all ] |delete permit server_ip { client_mac } ports [ | all ] | ports /all state enable/disable
config filter dhcp_server ports 1-24 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 1min/5min/30min
*IGMP SNOOPING
(процесс отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (свитчам) отслеживать IGMP-обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика. Функция IGMP Snooping применяется в сетях групповой рассылки для того, чтобы рабочие станции, не запросившие
групповой трафик, не получали его.)
enable igmp_snooping create igmp_snooping multicast_vlan имявлан айдивлан config igmp_snooping multicast_vlan имявлан add member_port 1,5 state enable config igmp_snooping multicast_vlan_group имявлан add 225.1.1.1 show igmp_snooping multicast_vlan_group имявлан enable igmp_snooping multicast_vlan show igmp_snooping multicast_vlan
DGS-3612G for IPTV:
enable igmp_snooping config igmp_snooping vlan multicast report_suppression disable config igmp_snooping vlan multicast state enable fast_leave enable config igmp_snooping querier vlan multicast query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 3 config limited_multicast_addr ports 1-12 state disable
3828:
config igmp_snooping querier multicast query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state enable
[| all] {query_interval | max_response_time | robustness_variable | last_member_query_interval | state [enable | disable]
*DOS PREVENTION
show dos_prevention config dos_prevention dos_type land_attack blat_attack state enable action drop enable dos_prevention trap_log show dos_prevention land_attack show dos_prevention blat_attack clear dos_prevention counters
*LOOPBACK DETECTION (Включается на клиентских портах и неуправляемых магистралях. На магистралях между управляемым оборудованием вместо LBD необходимо включать STP)
show loopdetect show loopdetect ports 1-24 enable loopdetect config loopdetect trap both config loopdetect ports 1-24 state enabled config loopdetect recover_timer 0 interval 20 mode vlan-based config loopdetect recover_timer 60 interval 10 mode port-based
(recover_timer – время, в течение которого порты будут отключены. Interval – интервалы между отправкой пакетов обнаружения петли.)
*SPANNING TREE PROTOCOL (STP) (протокол остовного дерева)
Основной задачей STP является устранение петель в топологии произвольной сети Ethernet, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.
config stp ports 1-24 edge true fbpdu disable restricted_role true restricted_tcn true state enable config stp ports 25-26 restricted_tcn true restricted_role false fbpdu disable state enable enable stp
*ACCESS CONTROL LIST (ACL)
show access_profile
Запрет на подмену DHCP:
create access_profile ip udp src_port_mask 0xFFFF profile_id 5 profile_name 67dhcp config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 25 permit config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
На DGS-3120-24 например уже немного по другому:
create access_profile profile_id 5 profile_name 67dhcp ip udp src_port_mask 0xffff config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 1:9 permit config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 1:1-1:8, 1:10-1:24 deny
Запрет Netbios и Windows sharing (для udp также):
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 15 config access_profile profile_id 15 add access_id 15 ip tcp dst_port 135 port 1-24 deny config access_profile profile_id 15 add access_id 16 ip tcp dst_port 139 port 1-24 deny config access_profile profile_id 15 add access_id 17 ip tcp dst_port 445 port 1-24 deny
Разрешение только одного айпи на порт:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny
Запрещаем broadcast трафик:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 7 config access_profile profile_id 7 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-24 deny
Запрещаем все чужие VPN:
create access_profile ip destination_ip_mask 0.0.0.0 tcp dst_port_mask 0xFFFF profile_id 11 config access_profile profile_id 11 add access_id 11 ip destination_ip 0.0.0.0 tcp dst_port 1723 port 1-24 deny
Разрешаем прохождения трафика через коммутатор только для одного IP и блокируем для всех остальных:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny
*CPU Interface Filtering
Некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения — это MAC-адрес коммутатора. (ping на IP-адрес коммутатора). Решение: CPU Interface Filtering. (Software ACL)
Блокируем доступ к коммутатору с определенного IP:
enable cpu_interface_filtering create cpu access_profile ip source_ip_mask 255.255.255.128 icmp profile_id 1 config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.31.3.2 icmp deny
*ARP SPOOFING PREVENTION
show arp_spoofing_prevention config arp_spoofing_prevention add gateway_ip 10.254.254.251 gateway_mac 00-00-00-11-11-11 ports 1-2
*TECHNICAL SUPPORT
show tech_support upload tech_support_toTFTP айпи tech_support_20120101.txt
Обновление прошивки:
download firmware_fromTFTP 192.168.0.1 src_file DES3200R_4.36.B008.had dest_file DES3200R_4.36.B008.had
или
download firmware_fromTFTP 192.168.0.1 DES-3200R_1.81.B003.had image_id 2 config firmware image_id 1/2 boot_up/delete show firm info show sta
Отправка и закачка конфига:
upload cfg_toTFTP/log_toTFTP айпи путь_имяфайла download cfg_fromTFTP айпи путь_имяфайла upload cfg_toTFTP 192.168.0.1 dest_file back.cfg * upload cfg_toTFTP 192.168.0.1 config_id 1 back.cfg
3200 C1
download firmware_fromTFTP 192.168.0.1 src_file DES3200R_4.34.B009.had download cfg_fromTFTP 192.168.0.1 src_file 3200-26-c1.cfg
МАРШРУТЫ
show iproute show iproute static delete iproute 0.0.0.0/0 192.168.0.1 create iproute 0.0.0.0/0 192.168.0.1 create iproute default 192.168.1.1 1 ping 192.168.12.12 times 4
*SYSLOG
show syslog enable syslog create syslog host 1 ipaddress 10.68.88.1 severity informational/warning/all facility local0/local1/local2/local3/local4/local5/local6/local7 udp_port 514 state enable delete syslog host 1 show log_save_timing config log_save_timing time_interval 30 (в минутах) /on demand (когда сохранит пользователь)
QOS
QoS ACL для Multicast видео-потока:
create access_profile ip destination_ip_mask 224.0.0.0 profile_id 10 config access_profile profile_id 10 add access_id auto_assign 1 ip destination_ip 224.0.0.0 port 1-26 permit priority 5 replace_dscp_with 48
Сохранение/перезагрузка/выход:
save config/log/all reboot logout
Список OID для коммутаторов D-Link
Приведу и опишу ниже список некоторых популярных OID для коммутаторов D-Link.
Список интерфейсов и их index можно увидеть мибом ifDescr, мибами ifInOctets.индекс и ifOutOctets.индекс можно считывать с них входящий и исходящий трафик.
DGS-3100:
CPU Utilization 5 min: 1.3.6.1.4.1.171.10.94.89.89.1.7.0
CPU Utilization 1 min: 1.3.6.1.4.1.171.10.94.89.89.1.8.0
CPU Utilization 5 min: 1.3.6.1.4.1.171.10.94.89.89.1.9.0
Clear FDB table: 1.3.6.1.4.1.171.10.94.89.89.1.2.0 i 7
DGS-3120 temperature:
1.3.6.1.4.1.171.12.11.1.8.1.2.1
Пример через командную строку: snmpwalk -v2c -c public 10.0.0.100 1.3.6.1.4.1.171.12.11.1.8.1.2.1
CPU Utilization 5 sec: 1.3.6.1.4.1.171.12.1.1.6.1.0
CPU Utilization 1 min: 1.3.6.1.4.1.171.12.1.1.6.2.0
CPU Utilization 5 min: 1.3.6.1.4.1.171.12.1.1.6.3.0
DES-3200:
CPU Utilization 5 sec: 1.3.6.1.4.1.171.12.1.1.6.1
CPU Utilization 1 min: 1.3.6.1.4.1.171.12.1.1.6.2
CPU Utilization 5 min: 1.3.6.1.4.1.171.12.1.1.6.3
Версии загруженных прошивок (B1):
1.3.6.1.4.1.171.12.1.2.7.1.2.1
1.3.6.1.4.1.171.12.1.2.7.1.2.2
Статус петель на портах (1-normal, 2-loop, 3-error, 4-none):
1.3.6.1.4.1.171.11.113.1.3.2.21.2.1.1.4
DGS-36xx:
CPU Utilization 5 sec: 1.3.6.1.4.1.171.12.1.1.6.1.0
CPU Utilization 1 min: 1.3.6.1.4.1.171.12.1.1.6.2.0
CPU Utilization 5 min: 1.3.6.1.4.1.171.12.1.1.6.3.0
Общее количество динамических записей в FDB: 1.3.6.1.2.1.17.7.1.2.1.1.2.айдивлан
Show IP table: 1.3.6.1.2.1.4.22.1.3
Show MAC table: 1.3.6.1.2.1.4.22.1.2
cpu utilization 5 minutes:
.1.3.6.1.4.1.171.12.1.1.6.3.0 – 3028
.1.3.6.1.4.1.171.11.63.1.2.2.1.3.3.0 – 3010G
.1.3.6.1.4.1.171.11.63.3.2.1.3.3.0 – 3026
.1.3.6.1.4.1.171.11.63.2.2.1.3.3.0 -3018
.1.3.6.1.4.1.171.12.1.1.6.3.0 – 3526
.1.3.6.1.4.1.171.12.1.1.6.3.0 – 3528
Трафик и пакеты:
Входящий трафик (64bit):
.1.3.6.1.2.1.31.1.1.1.6.1-28
Исходящий трафик (64bit):
.1.3.6.1.2.1.31.1.1.1.10.1-28
Счетчик принятых Unicast пакетов:
.1.3.6.1.2.1.2.2.1.11.X
Счетчик отправленных Unicast пакетов:
.1.3.6.1.2.1.2.2.1.17.X
Счетчик принятых Broadcast пакетов:
.1.3.6.1.2.1.31.1.1.1.3.X
Счетчик отправленных Broadcast пакетов:
.1.3.6.1.2.1.31.1.1.1.5.X
Счетчик принятых Multicast пакетов:
.1.3.6.1.2.1.31.1.1.1.2.X
Счетчик отправленных Multicast пакетов:
.1.3.6.1.2.1.31.1.1.1.4.X
Счетчик принятых пакетов с ошибками:
.1.3.6.1.2.1.2.2.1.14.X
Счетчик отправленных пакетов с ошибками:
.1.3.6.1.2.1.2.2.1.20.X
Статус порта (1=up/2=down):
.1.3.6.1.2.1.2.2.1.8.X
OID для DES-3350SR, DES-3052P, DES-3028P, DES-3250TG, DGS-3120:
CPU Utilization 5 sec: 1.3.6.1.4.1.171.12.1.1.6.1.0
CPU Utilization 1 min: 1.3.6.1.4.1.171.12.1.1.6.2.0
CPU Utilization 5 min: 1.3.6.1.4.1.171.12.1.1.6.3.0
Смотрите также:
Список SNMP OID и MIB для интерфейсов
Очистка FDB таблицы на D-Link DGS-3100 из CRON
В 2013 году я придумал примитивный вариант решения проблемы с коммутатором D-Link DGS-3100, который при средней нагрузке часто может переставать пропускать через себя трафик.
Читать далее «Очистка FDB таблицы на D-Link DGS-3100 из CRON»