На примере для настройки буду использовать коммутатор D-Link DGS-3100-24TG с прошивкой 3.60.44.
Хочу отметить что данная модель давно снята с производства, у многих этот коммутатор работал не стабильно, некоторые заменили его на DGS-3120.
Для сброса пароля и настроек можно подключиться через консольный порт и при загрузке нажать комбинацию клавиш shift+6, далее следовать инструкциям.
Сначала настроим VLAN (у меня core — для управления, local — для пользователей):
config vlan default delete 1:(1-24) create vlan core tag 20 create vlan local tag 22 config vlan core add tagged 1:(9) config vlan local add tagged 1:(9) config vlan local add untagged 1:(1-8,10-24) config gvrp 1:(1-24) pvid 22
Назначим коммутатору IP-адрес:
config ipif System ipaddress 192.168.1.251/24 vlan core create iproute default 192.168.1.1
Добавим администратора:
create account admin ИМЯ password ПАРОЛЬ
Настраиваем SNMP:
create snmp community test view DefaultSuper read_only disable snmp traps disable snmp authenticate trap
Укажем с каких IP разрешено настраивать коммутатор:
create trusted_host 172.16.1.5 network 255.255.255.255 application all create trusted_host 192.168.1.0 network 255.255.255.0 application all
Настройка портов:
config ports 1:(1-24) flow_control auto config ports description 1:9 "VHOD"
Включение IGMP Snooping:
enable igmp_snooping config igmp_snooping multicast state enable
Фильтрация незарегистрированных multicast групп:
config multicast filtering_mode 1:(1-24) filter_unregistered_groups
Настройка контроля широковещательного трафика:
config traffic control 1:(1-24) state enable threshold 3500 storm_type broadcast
Включение STP и защиты от петель:
enable stp config stp lbd_recover_time 100 config stp ports 1:(1-24) p2p false fbpdu disable
Настройка SNTP параметров времени:
enable sntp config sntp primary 192.168.1.1 poll-interval 86400 config time_zone operator + hour 02 minute 00
Разрешаем идти трафику только на входящий порт, другими словами запрет хождения трафика между портами:
config traffic_segmentation 1:(1-8,10-24) forward_list 1:9 config traffic_segmentation 1:9 forward_list 1:(1-8,10-24)
Пример блокировки чужих DHCP серверов через ACL:
create access_profile profile_id 5 ip udp src_port_mask ffff config access_profile profile_id 5 add access_id 1 ip udp src_port 67 ports 1:9 permit config access_profile profile_id 5 add access_id 2 ip udp src_port 67 ports 1:1-1:8,1:10-1:24 deny
Пример блокировки мак адреса на порту:
create access_profile profile_id 6 ethernet source_mac FF-FF-FF-FF-FF-FF config access_profile profile_id 6 add access_id 6 ethernet source_mac 00-11-22-33-44-55 port 2 deny
Настрйока самозащиты коммутатора:
config safeguard_engine state enable rising 100 falling 90
Можно настроить отправку логов на syslog сервер:
create syslog host 1 ipaddress 192.168.1.1 severity warning facility local1
Настройка времени бездействия через которое будет завершена сессия администратора:
config serial_port auto_logout 15_minutes
Сохранение конфигурации:
save all
Смотрите также:
Обновление прошивки коммутатора D-Link DGS-3100