Настройка коммутатора D-Link DES-3200

Для примера возьму коммутатор D-Link DES-3200-18 С1 с прошивкой 4.36.B012. Команды аналогичны для коммутаторов с разным количеством портов, они могут немного отличатся лишь при разной версии прошивки и ревизии.

Создадим аккаунт администратора:

create account admin NAME
config admin local_enable

Хранение пароля администратора в зашифрованном виде:

enable password encryption

Включение возможности восстановления пароля:

enable password_recovery

Параметры serial порта:

config serial_port baud_rate 115200 auto_logout never

Включения доступа через web интерфейс:

enable web 80

Отключение управления коммутатором по SSH:

disable ssh

Включение доступа по telnet:

enable telnet 23

Настройка ширины окна терминала и отображение информации в постраничном режиме:

config terminal width 80
enable clipaging

Настройка количества отображаемых строк терминала:

config terminal_line default

Отключение логирования вводимых команд:

disable command logging

Удаление стандартного VLAN:

config vlan default delete 1-18
config vlan default advertisement enable

Создание отдельного VLAN для управления коммутатором (17 — uplink):

create vlan core tag 50
config vlan core add tagged 17 advertisement disable

Создание VLAN для пользователей:

create vlan local_smart tag 51
config vlan local_smart add tagged 17
config vlan local_smart add untagged 1-16,18 advertisement disable

Отключение инкапсуляции тегов VLAN в теги VLAN второго уровня:

disable qinq

Отключение авто настройки VLAN и назначение всем портам PVID клиентского VLAN:

disable gvrp
config port_vlan 1-18 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 51

Включение автоматического назначения PVID портам (включено по умолчанию):

enable pvid auto_assign

Назначение IP адресе коммутатору в VLAN для управления:

config ipif System ipaddress 192.168.1.100/24 vlan core
config ipif System dhcp_option12 state disable
disable autoconfig 
config autoconfig timeout 50

Добавление шлюза по умолчанию:

create iproute default 192.168.1.1 1 primary

Включение ограничения broadcast трафика для всех портов кроме uplink:

config traffic control 1-16,18 broadcast enable multicast disable unicast disable action drop threshold 100 countdown 0 time_interval 5
config traffic control auto_recover_time 0
config traffic trap none
config traffic control log state enable

На всякий случай отключим зеркалирование портов:

disable mirror

Настройка логов:

config log_save_timing on_demand
disable syslog
config system_severity trap information
config system_severity log information

Разрешение больших jumbo frame пакетов и пример настройки портов:

enable jumbo_frame
config ports 1-16 speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type copper speed auto flow_control disable learning enable state enable mdix auto
config ports 17 medium_type fiber speed auto flow_control disable learning enable state enable
config ports 18 speed auto flow_control disable learning enable state enable

Разрешим управлять коммутатором только с указанных IP адресов:

create trusted_host network 192.168.1.1/24 snmp telnet ssh http https ping
create trusted_host network 172.16.100.100/32 snmp telnet ssh http https ping

Настройка snmp трапов:

disable snmp traps
disable snmp authenticate_traps 
disable snmp linkchange_traps
config snmp linkchange_traps ports 1-18 disable
config snmp coldstart_traps enable
config snmp warmstart_traps enable
config rmon trap rising_alarm enable
config rmon trap falling_alarm enable

Включение и пример настройки SNMP (где TEXT укажем желаемый пароль):

enable snmp
config snmp system_contact admin@ixnfo.com
delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
create snmp group public v1 read_view CommunityView notify_view CommunityView 
create snmp group public v2c read_view CommunityView notify_view CommunityView 
create snmp community public view CommunityView read_only
create snmp group TEXT v2c read_view CommunityView write_view CommunityView notify_view CommunityView 
create snmp community TEXT view CommunityView read_write
disable community_encryption

Отключение IGMP MULTICAST VLAN:

disable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable

Настройка и отключение PORT SECURITY:

config port_security system max_learning_addr no_limit
disable port_security trap_log
config port_security ports 1-18 admin_state disable max_learning_addr 32 lock_address_mode deleteonreset

Время хранения (сек) mac адреса в таблице:

config fdb aging_time 300
config block tx ports 1-18 unicast disable

Разрешим нулевые IP для связки адресов mac + ip:

config address_binding ip_mac ports 1-18 allow_zeroip enable

Можно включить фильтрацию NetBios на портах, так сказать запретить доступ к расшареным дискам:

config filter netbios 1-18 state enable
config filter extensive_netbios 1-18 state enable

Настройка фильтрации вредных DoS пакетов:

config dos_prevention dos_type land_attack action drop state enable 
config dos_prevention dos_type blat_attack action drop state enable 
config dos_prevention dos_type tcp_null_scan action drop state enable 
config dos_prevention dos_type tcp_xmasscan action drop state enable 
config dos_prevention dos_type tcp_synfin action drop state enable 
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable 
config dos_prevention dos_type ping_death_attack action drop state enable 
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable 
config dos_prevention trap disable
config dos_prevention log disable

Блокировка сторонних DHCP серверов на всех портах кроме входящего:

config filter dhcp_server ports all state disable
config filter dhcp_server ports 1-16,18 state enable
config filter dhcp_server illegal_server_log_suppress_duration 30min
config filter dhcp_server trap_log enable

Защита от BPDU флуда:

enable bpdu_protection
config bpdu_protection recovery_timer 300
config bpdu_protection trap none
config bpdu_protection log attack_detected
config bpdu_protection ports 1-16,18 state enable  
config bpdu_protection ports 1-18 mode drop

Включение функции SAFEGUARD ENGINE:

config safeguard_engine state enable utilization rising 98 falling 90 trap_log enable mode fuzzy

Отключение отправки сообщений на электронную почту по SMTP:

disable smtp

Настройка SNTP параметров времени:

enable sntp
config time_zone operator + hour 2 min 0
config sntp primary 192.168.1.1 secondary 0.0.0.0 poll-interval 40000
config dst disable

Отключение управлением multicast трафиком и немного стандартных параметров:

disable igmp_snooping
disable mld_snooping

Параметры ARP:

config arp_aging time 20
config gratuitous_arp send ipif_status_up enable
config gratuitous_arp send dup_ip_detected enable
config gratuitous_arp learning enable

Настройка уведомлений о изменении температуры:

config temperature threshold high 79
config temperature threshold low 11
config temperature trap state disable
config temperature log state enable

Сохранение конфигурации:

save all

Смотрите также мои статьи:
Настройка Traffic Segmentation
Настройка функции защиты от петель

Подписаться на IT Blog (RU) по Email
Subscribe to IT Blog (EN) by Email

Did my article help you? How about buying me a cup of coffee as an encouragement? Buy me a coffe.

Настройка коммутатора D-Link DES-3200: 2 комментария

    1. Если функция сегментации настроена на коммутаторе, то например пользователь включенный в порт 1 не будет видеть пользователя в порте 2, они будут видеть только порт указанный как forward_list (на котором шлюз интернета например).

Добавить комментарий