Консольный порт расположен с фронтальной стороны коммутатора. Для подключения необходим обычный консольный кабель и USB2COM переходник, если на ноутбуке или ПК отсутствует COM-порт. В настройках терминальной программы, например, PuTTY, необходимо выбрать соответсвующий serial-порт и выставить скорость 115200. Конфигурация по-умолчанию не содержит никаких учетных записей и сразу можно приступать к настройке, перейдя в привилегированный режим командой enable. Переходите в режим конфигурации командой conf и задайте hostname.
console>
console>enable
console#conf
console(config)#hostname mes2124p
mes2124p(config)#
Обновление прошивки Eltex MES
На сайте eltex.nsk.ru на странице коммутатора есть ссылка на архив с крайней версией прошивки, которую рекомендуется установить. Для начала необходимо установить на ноутбуке tftp-сервер, например, tftpd32. Распаковать архив прошивки в любой каталог, который будет указан в качестве корневого для tftp-сервера. Далее нужно прописать ip-адрес на любом интерфейсе коммутатора.
Вебинар Стекирование Коммутаторов Eltex
mes2124p(config)#int gi1/0/23
mes2124p(config-if)#ip address 1.0.0.2 255.0.0.0
mes2124p(config-if)#exit
mes2124p(config)#exit
mes2124p#
Прописать на ноутбуке адрес из той же подсети 1.0.0.1 255.0.0.0, подключиться в настроенный порт и проверить доступность.
mes2124p#ping 1.0.0.1
Pinging 1.0.0.1 with 18 bytes of data:
18 bytes from 1.0.0.1: icmp_seq=1. time=7 ms
18 bytes from 1.0.0.1: icmp_seq=2. time=1 ms
18 bytes from 1.0.0.1: icmp_seq=3. time=8 ms
Скопировать прошивку на коммутатор.
copy tftp://1.0.0.1/mes2000-1145.ros image
Выбрать новую прошивку для загрузки.
mes2124p#sh bootvar
Image Filename Version Date Status
—— ——— ——————- ——————— ————
1 image-1 1.1.36 17-Feb-2015 16:46:12 Active*
2 image-2 1.1.45[5bb753fb] 30-May-2016 12:24:53 Not active
«*» designates that the image was selected for the next boot
mes2124p#boot system image-2
mes2124p#sh bootvar
Image Filename Version Date Status
—— ——— ——————- ——————— ————
1 image-1 1.1.36 17-Feb-2015 16:46:12 Active
2 image-2 1.1.45[5bb753fb] 30-May-2016 12:24:53 Not active*
«*» designates that the image was selected for the next boot
Сохранить конфигурацию командой write и перезагрузить командой reload.
Особенности новой версии ПО
Начиная с версии 1.1.40 для MES2124P реализовано автоматическое отключение/включение вентиляторов в зависимости от температуры встроенного датчика. Реализованы следующие пороги температуры:
45-60: включен правый вентилятор;
>=55: включены оба вентилятора.
Для MES2124P revB и revC автоматическая регулировка скорости вращения вентиляторов в зависимости от температуры.
Первичная настройка коммутаторов MES
Организация удаленного доступа к коммутатору и подключение в существующую сеть
Предполагается, что все коммутаторы в существующей сети уже настроены, в сети настроен MSTP, порты, которыми соединены коммутаторы ЛВС настроены для работы в режиме trunk.
Выполняется начальная конфигурация MSTP, где количество инстансов и название региона идентичны настройкам коммутатора, к которому будет подключаться eltex mes.
spanning-tree mode mst
spanning-tree bpdu filtering
spanning-tree mst configuration
instance 1 vlan 1-4094
name abc
revision 1
exit
Создается vlan управления коммутатора и прописываются сетевые настройки. В случае небольшой сети vlan для управления может быть один для всего оборудования.
mes2124p(config)#vlan database
mes2124p(config-vlan)#vlan 111 name management
mes2124p(config-vlan)#exit
mes2124p(config)#int vlan 111
mes2124p(config-if)#ip address 192.168.10.100 255.255.255.0
mes2124p(config-if)#exit
mes2124p(config)#ip default-gateway 192.168.10.1
Настраивается транковый порт, которым eltex mes будет подключаться к вышестоящему коммутатору. В конкретном примере это 24 медный порт, но можно использовать любые, в том числе и combo-порты.
mes2124p(config)#int gi1/0/24
mes2124p(config-if)#switchport mode trunk
mes2124p(config-if)#switchport trunk allowed vlan add all
mes2124p(config-if)#description uplink
Принципиальное отличие от коммутаторов cisco в том, то в IOS можно указать только «switchport mode trunk» и сразу в порту будут разрешены все vlan без ограничения. Здесь же в отсутствии строки «switchport trunk allowed vlan add» разрешен только первый (1) vlan, через который передаются нетегированные фреймы. «all» в конфигурации порта заменяется на список всех созданных на коммутаторе vlan’ов.
Теперь надо проверить работу mstp и убедиться что роль «Root» есть на аплинке.
mes2124p#sh spanning-tree active
*********************************** Process 0 ***********************************
Spanning tree enabled mode MSTP
Default port cost method: long
Loopback guard: Disabled
Gathering information .
###### MST 0 Vlans Mapped:
CST Root ID Priority 28672
Address 00:15:63:00:5d:80
The IST ROOT is the CST ROOT
Root Port gi1/0/24
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
IST Master ID Priority 28672
Address 00:15:63:00:5d:80
Path Cost 220000
Rem hops 18
Bridge ID Priority 32768
Address a8:f9:4b:a6:4a:c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Max hops 20
Name State Prio.Nbr Cost Sts Role PortFast Type
——— ——— ——— ——— —— —- ——— ——————
gi1/0/23 enabled 128.71 200000 Frw Desg No P2P Intr
gi1/0/24 enabled 128.72 200000 Frw Root No P2P Intr
###### MST 1 Vlans Mapped: 1,111
Root ID Priority 28672
Address 00:15:63:00:5d:80
Path Cost 220000
Root Port gi1/0/24
Rem hops 18
Bridge ID Priority 32768
Address a8:f9:4b:a6:4a:c0
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
——— ——— ——— ——— —- —- ——— ———-
gi1/0/23 enabled 128.71 200000 Frw Desg No P2P Inter
gi1/0/24 enabled 128.72 200000 Frw Root No P2P Inter
Если настройки MSTP выполнены некорректно, например, имя региона не совпадает с именем региона на соседнем коммутаторе или оно написано в другом регистре (abc не идентично ABC), то статус будет как в примере ниже. В общем случае, необходимо перепроверить настройки на соседних коммутаторах.
mes2124p#sh spanning-tree active
*********************************** Process 0 ***********************************
Spanning tree enabled mode MSTP
Default port cost method: long
Loopback guard: Disabled
Gathering information .
###### MST 0 Vlans Mapped:
CST Root ID Priority 28672
Address 00:15:63:00:5d:80
Path Cost 200000
Root Port gi1/0/24
This switch is the IST master
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32768
Address a8:f9:4b:a6:4a:c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Max hops 20
Name State Prio.Nbr Cost Sts Role PortFast Type
——— ——— ——— ——— —— —- ——— ——————
gi1/0/23 enabled 128.71 200000 Frw Desg No P2P Intr
gi1/0/24 enabled 128.72 200000 Frw Root No P2P Bound (RSTP)
###### MST 1 Vlans Mapped: 1,111
Root ID Priority 32768
Address a8:f9:4b:a6:4a:c0
This switch is the regional Root
Interfaces
Name State Prio.Nbr Cost Sts Role PortFast Type
——— ——— ——— ——— —- —- ——— ———-
gi1/0/23 enabled 128.71 200000 Frw Desg No P2P Inter
gi1/0/24 enabled 128.72 200000 Frw Mstr No P2P Bound (RSTP)
Остается создать учетную запись администратора с максимальным уровнем привилегий. До работы с учетными записями рекомендую выполнить сохранение конфигурации. Если забудется пароль или еще что-нибудь, то всегда можно перезагрузить и попробовать еще раз.
mes2124p(config)#username oper privilege 15 password gfhjkm
mes2124p(config)#aaa authentication login default local
mes2124p(config)#exit
mes2124p#exit
Если все сделано корректно, то появится приглашение «User Name:» и у вас получится авторизоваться в качестве локального администратора. После этого можно еще раз сохранить конфигурацию.
Источник: prosto-seti.blogspot.com
Как сделать начальную настройку коммутаторов mes Eltex?
Выбрать используемый COM порт указать скорость подключения Speed 115200.
Если консоли нет под рукой, можно подключиться по витой паре:
На компьютере установите IP-адрес вручную, например 192.168.1.1/24, подключитесь в любой порт коммутатора и зайдите по стандартому IP-адресу 192.168.1.239/24. (Адрес будет действителен, если коммутатор не подключали в сеть с DHCP-сервером).
Стандартный логин/пароль admin/admin
Имя коммутатора меняется командой hostname:
Далее создадим пользователя и зададим ему пароль на консоль:
TEST-SW1(config)# username admin1 password eltex privilege 15
Проверить пароль можно выйдя из коммутатора, дважды введя команду exit – возврата на одну ступень назад по уровням настройки и привилегий и введя новые логин и пароль.
*Настройка VLAN и управления*
В стандартной конфигурации коммутатора присутствует только один vlan 1, который привязан ко всем портам и в котором и происходит вся передача данных.
Для того, чтобы обычные пользователи не могли получить доступ по IP адресу коммутатора, создаем отдельный vlan, и помещаем в него новый IP адрес коммутатора, таким образом изолировав его от других пользователей коммутатора.
!Не забудьте перед этим заранее добавить влан на какой-нибудь порт, чтобы не потерять управление, если настраиваете без консоли.
Создадим новый vlan 10:
Подготовим порт управления
TEST-SW1(config)#int GigabitEthernet 1/0/24 — где 24 – это номер порта на коммутаторе
TEST-SW1(config-if)#switchport access vlan 10
Зайдем в настройки интерфейса vlan 10 и добавим в него IP-адрес
TEST-SW1 (config)# interface vlan 10
TEST-SW1 (config-if)# ip address 192.168.16.144 /24
Не забудьте переключиться в порт 24 для восстановления подключения и сменить IP на компьютере для новой сети 192.168.16.1/24
Групповая настройка портов делается с приставкой range
TEST-SW1(config)#interface range GigabitEthernet1/0/1-10 – настройка первых 10 интерфейсов.
Из всех режимов портов чаще всего используются access и trunk. Access – для портов оконечных устройств, trunk – для портов в сторону других коммутаторов/маршрутизаторов (для передачи нескольких vlan)
В режиме access мы настраивали ранее, в режим trunk настраивается так:
TEST-SW1(config-if)#switchport mode trunk
TEST-SW1(config-if)#switchport mode trunk allowed vlan add 10
*Изоляция абонентов*
Для того, чтобы пользователи, подключенные к разным портам коммутатора, не могли обмениваться трафиком между собой надо на эти порты добавить команду.
*Проверка STP*
По-умолчанию на коммутаторе включен RSTP
TEST-SW1#show spanning tree
TEST-SW1#show spanning tree active
TEST-SW1 (config)#(no) spanning-tree
Следующим шагом мы научимся объединять порты в агрегированные каналы.
Для создания такого канала выбранные нами порты должны быть идентичны по настройкам и скорости работы.
Пример настройки агрегированного канала из двух первый портов:
TEST-SW1(config)#interface range GigabitEthernet1/0/1-2
TEST-SW1(config-if-range)#channel-group 1 mode auto
После соответствующей настройки будет создан интерфейс Port-Channel1.
Для обеспечения его работы на соседнем устройстве тоже должен быть настроен агрегированный канал. Все дальнейшие настройки порта необходимо делать именно с ним. При настройке обычных портов, входящих в агрегированный канал есть риск нарушения работы канала.
*Настройка DHCP-сервера*
Коммутаторы MES могут выступать как dhcp клиенты, так и серверы. Рассмотрим пример настройки сервера:
Включим DHCP-сервер и настроить пул выдаваемых адресов:
TEST-SW1(config)#ip dhcp server
TEST-SW1(config)#ip dhcp pool network Test
Настроим диапазон адресов, который будет выдаваться сервером:
TEST-SW1(config)#address low 192.168.101.10 high 192.168.101.254 255.255.255.0
Можно настроить адрес DNS-сервера, который будет выдаваться dhcp-клиентам. Удобно для предоставления доступа в интернет
Зададим для интерфейса VLAN100 IP-адрес и сетевую маску (это будет адрес DHCP-сервера) :
TEST-SW1(config)#interface vlan 100
TEST-SW1(config-if)#ip address 192.168.101.1 255.255.255.0
Назначить VLAN10 на Ethernet порт, к которому подключен пользователь (например, gi1/0/1):
TEST-SW1(config)#interface gigabitethernet 1/0/1
TEST-SW1(config-if)#switchport access vlan 100
*Настройка статической маршрутизации*
Создадим маршрут для взаимодействия с сетью Internet, используя в качестве nexthop шлюз провайдера (128.107.1.1):
TEST-SW1(config)# ip route 0.0.0.0/0 128.107.1.1
Смысл этой команды можно понять буквально: сеть 0.0.0.0 с маской /0 находится за адресом 128.107.1.1.
*Настройка ACL*
Для примера создадим Management ACL с указанием IP-адреса источника:
TEST-SW1(config)#management access-list IP
TEST-SW1(config-macl)#permit ip-source 192.168.1.12
Применим созданный Management ACL:
TEST-SW1(config)#management access-class IP
Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:
TEST-SW1#show management access-list
Не забудьте сохранить настройки, иначе после перезагрузки все изменения будут утеряны.
Overwrite file [startup-config]. (Y/N)[N] ?Y
Чтобы программно сбросить настройки до заводских, используется команда:
Delete startup-config? (Y/N)[N] Y
*Стекирование*
Настраивается стекирование достаточно просто:
TEST-SW1(config)#stack configuration unit-id links te1-2 (te1-2 означает, что будут использоваться 1 и 2 10GE порты)
Далее перезагружаем коммутаторы (сохранять ничего не нужно) и при загрузке он уже будет искать другие коммутаторы для создания стека.
Если все сделано правильно, после перезагрузки коммутаторы объединятся в стек, что будет видно по индикации на корпусах, а в консоли будет доступно для настройки больше портов.
Например, помимо портов с индексом gi1/0/5 появятся порты gi2/0/5, где первая цифра будет означать номер юнита в стеке.
Проверить список устройств в стеке можно при помощи команды
TEST-SW1#show stack
Источник: yandex.ru
Коммутатор Eltex MES 23XX. Шаблон базовой конфигурации
Добрый день, коллеги! В этой статье я попытался создать шаблон базовой настройки коммутаторов Eltex MES 23XX для использования в корпоративных сетях, имеющих вспомогательные сервисы администрирования и мониторинга. Разумеется, невозможно описать весь функционал коммутатора или рассмотреть все системы, применяющиеся для обслуживания сетей передачи данных. Но базовые настройки мы разберем.
Итак, всё начинается с имени устройства. Имя можно назначить любое, но оно должно нести информацию, помогающую администратору ориентироваться в своей сети. Такие имена, как switch1, sg1231fa или qwerty, неинформативны. Подробные, например ekb-malisheva51-floor.13-serv3-shkaf5-unit27, неудобны в работе. Лучше краткий вариант имени с указанием местоположения, например ekb-tower-lan1, поскольку остальные сведения можно указать в схемах сетей, системах мониторинга и баннерах.
Теперь займемся локальной учетной записью с полными правами (на учетной записи admin обязательно нужно изменить пароль) и паролем к привилегированному режиму:
username admin password ****** privilege 15
username not_admin password ****** privilege 15
enable password level 15 ******
Включаем SSH, протокол удаленного управления с шифрованием:
Затем – баннеры. Их применяют при получении удаленного доступа:
- предупреждающий баннер при попытке входа. Он используется для уведомления того, кто осуществляет попытку подключения, о том, что несанкционированные подключения незаконны и расцениваются как попытка взлома;
- приветственный баннер после успешной аутентификации. В нем можно разместить любую информацию от сведений о местоположении и назначении устройства до картинки из символов.
Особенность настройки баннера: необходимо выбрать разделительный символ, с которого баннер начнется, и которым закончится. При этом выбранный символ не должен использоваться в самом баннере:
—-UNAUTHORIZED ACCESS IS PROHIBITED—-
———-Switch is located in the Ekaterinburg, Malisheva 51——-
Далее нам потребуется сервер AAA. В небольших сетях такие решения не применяются (и для доступа на оборудование используется локальная учетная запись), но в крупных корпоративных или провайдерских сетях они незаменимы для создания гибких и масштабируемых политик доступа (часто с привлечением доменных политик Active Directory). ААА (Authentication, Authorization, Accounting) – три независимых друг от друга процесса, которые выполняются при предоставлении доступа пользователю к устройству:
- Authentication – определение наличия пользователя и проверка правильности введенного пароля, аутентификация по логину и паролю;
- Authorization – определение уровня прав пользователя, какие команды ему позволено выполнять и на каких устройствах;
- Accounting – логирование всех действий пользователя на AAA-сервере.
Самые распространенные протоколы ААА – TACACS+ и Radius, причем TACACS+ считается более надежным. На сервере ААА создается объект для каждого узла в сети:
На узле сети задается соответствующая конфигурация: назначаются основной и резервный серверы ААА. Также указывается порядок проверок учетных записей: сначала c помощью сервера ААА, а если он недоступен, то через локальную базу в конфигурации устройства:
tacacs-server host 192.168.50.1 key ************
tacacs-server host 192.168.50.2 key ************ priority 1
aaa authentication enable default tacacs enable
aaa authentication login default tacacs local
aaa authentication login authorization default tacacs local
aaa accounting commands stop-only default tacacs
Осталось настроить интерфейс SVI для удаленного доступа. Разумеется, в корпоративных сетях для сегментации сетей используются VLAN. Пусть в нашем примере VLAN для управления сетевым оборудованием будет 15:
interface vlan 15
description Management SVI
ip address 192.168.2.21 255.255.255.0
ip default-gateway 192.168.2.254
После успешного входа мы получаем оба баннера:
Теперь нужно регламентировать все внешние подключения к коммутатору, настроив доступ к так называемой плоскости управления. В своем варианте я разрешаю узкому кругу хостов и подсетей удаленный доступ по SSH и мониторинг по SNMP. В результате возможность подключения по Telnet и HTTP будет заблокирована:
management access-list remote-access
permit ip-source 192.168.33.1 service ssh
permit ip-source 172.16.0.0 mask 255.255.255.240 service ssh
permit ip-source 10.0.0.1 service snmp
management access-class remote-access
Кстати об SNMP. Используем самый простой вариант с SNMPv2c, без шифрования:
snmp-server community ******** ro
И можем сразу переходить к мониторингу. Zabbix отлично подходит для этой задачи:
Следующий шаг – настройка точного времени и отправка логов на Syslog-сервер. Для анализа событий в сети необходимо иметь единую точку отсчета времени, поэтому на всех узлах сети нужно настроить синхронизацию времени по протоколу NTP:
clock timezone MSK +3
clock source sntp
sntp unicast client enable
sntp server 10.0.0.1
Осталось сформировать удобочитаемые логи:
logging host 192.168.2.22
logging origin-id hostname
logging buffered informational
Разумеется, система анализа логов в крупной сети – сложный, комплексный продукт. В примере же я использую простую демонстрацию:
2021-08-27T10:04:26+03:00 ekb-tower-lan1 COPY — TRAP — The copy operation was completed successfully 192.168.2.21 27/08 14:04:26.726
2021-08-27T10:04:26+03:00 ekb-tower-lan1 GCLI — CMD-EXEC — source:10.0.0.2 destination:192.168.2.21 user:eltex_user cmd:wr 192.168.2.21 27/08 14:04:26.788
Еще один важный элемент конфигурации — её автоматическое сохранение на стороннем ресурсе. Есть различные подходы к этой задаче — использование готовых коммерческих или свободно распространяемых решений, например NOC, автоматизированная выгрузка конфигураций и их размещение, например, на GitHub, использование встроенных инструментов для использования FTP/TFTP-хранилищ. Мы рассмотрим автоматическую выгрузку конфигурации после ее сохранения на TFTP-сервер, размещенный в корпоративной сети (Eltex позволяет такжеиспользовать SCP). Для этого необходимо в конфигурации указать адрес TFTP-сервера, действие для выгрузки, и путь на сервере (я так же добавляю имя устройства, а коммутатор при формировании файла добавит в название временную метку):
backup server tftp://10.0.0.1
backup path eltex/ekb-tower-lan1
В результате, после сохранения файла, мы получим отчет в логе устройства, и новый файл на TFTP-сервере:
Пора настроить порты. Начнем с порта доступа. Не углубляясь в параметры безопасности, зададим принадлежность VLAN, защиту от BPDU при появлении постороннего коммутатора, быстрый переход порта в состояние передачи и выключим LLDP (пользователям необязательно знать, какое именно оборудование мы используем в своей сети):
description «Simple PC access»
switchport mode access
switchport access vlan 10
spanning-tree bpduguard enable
no lldp transmit
no lldp receive
Порт для соединения с другими сетевыми устройствами (uplink) настраивается в режиме trunk с запретом на прохождение native vlan и формированием полноценной выдачи информации по протоколу LLDP:
description «Link to CORE1 (192.168. )»
switchport mode trunk
switchport trunk allowed vlan add 10,15
switchport trunk native vlan 99
lldp optional-tlv port-desc sys-name sys-desc sys-cap
lldp management-address automatic
Теперь соседнее устройство будет знать о нашем коммутаторе чуть больше:
Соберем нашу конфигурацию в один шаблон, который можно легко адаптировать под простую архитектуру локальной сети:
username admin password ****** privilege 15
username not_admin password ****** privilege 15
enable password level 15 ******
—-UNAUTHORIZED ACCESS IS PROHIBITED—-
Источник: habr.com