Коммутаторы
Актуальная версия: 2.3.20 и выше.
- Управление:
1. Не могу подключиться по telnet к Арлан®-3000FE? Что я делаю не так?
Ответ: Если управление коммутатором осуществляется по протоколу Telnet, то, прежде чем использовать CLI, необходимо убедиться, что для устройства определен IP-адрес, имеются соответствующие права на управление, и рабочая станция, используемая для управления, подключена к коммутатору.
Ввести команду «telnet» и IP-адрес устройства. Появится строка для ввода имени пользователя и пароля. По умолчанию IP-адрес устройства 192.168.0.225/24.
• Ввести имя пользователя и пароль. Будет выполнен вход в привилегированный режим. Имя пользователя по умолчанию «admin», пароль по умолчанию «admin».
• Настроить устройство, введя необходимые команды.
• Для завершения сеанса настройки ввести команду «exit».
Если всё-таки не удалось подключиться по telnet, возможно не включен telnet (в конфигурационном режиме ввести команду "ip telnet server").
2. Как узнать сколько времени коммутатор уже находится в работе?
Ответ: команда «show version» в разделе uptime.
support@Support-sw# show version
Software version:
Hardware version:
Uptime: 0 days, 6 hours, 2 minutes
3. Мне необходимо увеличить время нахождения в сессии управления. Максимум я могу находится там пять минут.
Ответ: Пропишите команду "terminal no session timeout" для отключения таймаута неактивности пользователя (равносильно для console/Telnet/SSH).
4. Подскажите как настроить вход через ssh в Арлане-3424GE?
Ответ: 1. Ввести следующие команды:
configure terminal
ssh server enable
ssh key rsa 1024
end
show ssh key
2. Присвоить IP-адрес на необходимый интерфейс VLAN (подключить сетевой кабель в нужный порт коммутатора).
configure terminal
interface vlan 1
ip address xxx.xxx.xxx.xxx zzz.zzz.zzz.zzz //xxx - IP-адрес, zzz - маска подсети
end
Проверка с помощью ping xxx.xxx.xxx.xxx //убеждаемся, что устройство опознано.
3. Заходим, например, в PuTTY и выбираем SSH (порт 22) и задаём нужный ip-адрес для подключения.
4. Затем нажимаем кнопку "OPEN". В случае появления предупреждения нажимаем "Да".
5. Вводим логин.
6. При правильном выполнении действий алгоритма, вход через SSH будет успешно установлен.
5. Попытался зайти через WEB-интерфейс на Арлан®-3424FE, но безуспешно. Никакие настройки не менял через CLI. Может быть я что-то делаю неправильно?
Ответ: Пропишите настройку в CLI "ip http server".
6. Подскажите возможно ли ограничить скорость работы порта не по примеру 10 Мб/с 100 1000 10000, а например, 128 кбит/с?
Ответ: Да. Необходимо использовать команду "traffic-shape" или "traffic-shape queue".
7. До версии ПО 2.3.15, по умолчанию был доступен Telnet и Web? В новых версиях он недоступен. Почему?
Ответ: Это сделано с точки зрения безопасности. Включить данные протоколы можно с помощью команд из конфигурационного режима: "ip telnet server" и "ip http server".
8. Какие средства удаленного управления есть коммутаторах Арлан®?
Ответ: Вся линейка коммутаторов поддерживает управление через протоколы Telnet, SSH и Web-интерфейс. SSH работает без необходимости закупки лицензий и каких-либо ограничений.
9. Как на коммутаторах Арлан®-3000 настраивать часовой пояс?
Ответ: "clock timezone YEKT 5 0" (п. 4.3.4 РЭ-2).
10. Как проверить NTP-клиент?
Ответ: Коммутаторы могут получать текущее время по протоколу SNTP. Настройка с помощью команды "ntp server".
11. Есть ли поддержка разграничения прав управления с разными уровнями доступа?
Ответ: Устройство поддерживает разграничение прав с разными уровнями привилегий с разными уровнями доступа. Настройка осуществляется с помощью команды privelege level. Возможно настроить до 15 уровней привилегий.
12. С помощью каких систем мониторинга можно производить мониторинг по протоколу SNMP v.2c и v.3?
Ответ: Популярные системы мониторинга: Polygon SNMP Manager, CA Spectrum, MPTG, Zabbix, SNMPc Castle Rock.
13. Настроен только IP-адрес на коммутаторе Арлан®-3xxx. В итоге это-запрос (ping) идет только от ПК на коммутатор, от коммутатора до ПК нет ping.
Ответ: Скорее всего у идет конфликт с брандмауэром операционной системы. Необходимо выключить его принудительно и повторить попытку.
- Аппаратные характеристики:
1. Как посмотреть какие устройства подключены к интерфейсам по MAC-адресам?
Ответ: Следующая команда позволить это сделать: «show mac-address table».
2. Какая распайка у кабеля управления F?
Ответ: Ответ: 3 – TxD, 4 – RxD, 6 – GND.
Обратите внимание, что управление коммутатором через консоль работает на скорости 115200.
3. Есть ли возможность подключить к Combo-портам 2 кабеля: т.е. и по оптике и по стыку меди RJ45?
Ответ: Нет. Вы определяете, какой из разъемов COMBO-порта будет применяться, путем подключения необходимого кабеля в соответствующий разъем универсального порта. В случае подключения к обоим разъемам COMBO-порта соответствующих кабелей, Вы можете отдать приоритет любому порту по команде "media-type {rj-45|sfp} auto-failover". Подробнее в РЭ-2, п. 4.9.12.
4. Совместим ли SFP-модуль 155 Мбит/с с Combo-портом (SFP)?
Ответ: Да, работа ведётся с SFP-модулями 155 Mb и 1,25 Gb при использовании версии не ниже 2.3.17.
- Характеристики портов:
1. Не передаются Jumbo-frame. Может быть нужно что-то настроить?
Ответ: Пропишите следующую команду в режиме конфигурации:
admin@Switch(config)#port jumbo-frame
2. Есть ли в Ваших коммутаторах поддержка PoE (PowerOverEthernet)?
Ответ: Да. Модели Арлан®-3424PFE, Арлан®-3448PGE, Арлан®-3226PGE, Арлан®-3250PGE.
- DHCP:
1. Как настроить DHCP-сервер на коммутаторах Арлан®-3xxx?
Ответ: ПО должно быть не ниже 2.3.20.
Рассмотрим задачу с примером:
Необходимо раздавать IP-адреса по протоколу DHCP в сети 10.2.168.2-10.2.168.170 /24.
DNS-сервер имеет IP-адрес 10.2.168.1.
Шлюз имеет IP-адрес 10.2.168.2.
Необходимо назначить имя домена «test_dhcp.ru».
Необходимо зарезервировать адрес 10.2.168.5 для киента с MAC-адресом 00:1B:28:11:55:99.
Добавить следующий диапазон IP-адресов в список исключений: 10.2.168.20-10.2.168.30.
1. Добавим IP-адреса 10.2.168.20-10.2.168.30 в список исключений:
configure terminal
ip dhcp excluded-address 10.2.168.20-10.2.168.30
2. Создадим пул сетей DHCP:
ip dhcp pool network Net_Pool
address low 10.2.168.3 high 10.2.168.170 /24
default-router 10.2.168.2
dns-server 10.2.168.1
domain-name test_dhcp.ru
exit
3. Создадим пул хостов для клиента с MAC-адресом 00:1B:28:11:55:99 и включим DHCP-сервер:
ip dhcp pool host Host_Pool
address 10.2.168.5 hardware-address 00:1B:28:11:55:99
default-router 10.2.168.2
dns-server 10.2.168.1
domain-name test_dhcp.ru
exit
ip dhcp server
exit
4. Проверим параметры и сохраним файл конфигурации:
show ip dhcp
show ip dhcp pool network Net_Pool
show ip dhcp pool host Host_Pool
copy running-config startup-config
- Стекирование:
1. Как включить стекирование на Арлан®-3424xE?Ответ:
Предварительная настройка:
→ перейти в режим настройки с помощью команды "configure terminal";
→ назначить номер устройства с помощью команды "switch stack id N", где N – номер устройства в стеке.
Необходимо первому устройству назначить номер 1, а остальным назначать последующий номер.
Например, если устройств в стеке 2, то необходимо назначить номера 1 и 2.
→ сохранить настройки путем ввода команд:
–exit;
–copy running-config startup-config;
→ дождаться завершения команд (вывода приглашения к вводу команд);
→ отключить устройство.
Подключение устройств в стеке:
→ подключить устройства по следующим портам:
–последние два порта Combo 1G на Арлан®-3xxxFE-S (по номеру);
–последние два порта 10G на Арлан®-34xxGE-S (по номеру);
–специальные стековые разъемы на Арлан®-32xxGE-S.
→включить питание на всех устройствах.
- Функции VLAN:
1. Покажите на примере как создавать VLAN?
Ответ: здесь приведён пример примерной конфигурации настроек для VLAN.
1. Входим в режим конфигурации:
admin@Switch#configure terminal
2. Переходим в режим настройки VLAN:
switch(config)#vlan database
3. Добавляем необходимые VLAN в виде списка:
switch(config-vlan)#vlan 2,3,4,10-15
4. Завершаем настройку VLAN: «exit»
5. Переходим в режим настройки интерфейса:
switch(config)#interface gi0/1 //для варианта ПО 2.x.x.x "gi" нужно прописывать полностью "gigabitethernet"
6. Настраиваем режимы и параметры для порта «Trunk»:
6.1 Устанавливаем режим:
switch(config-if)#switchport mode trunk
6.2 Устанавливаем Native VLAN равным 4 (нетегированный VLAN):
switch(config-if)#switchport trunk native vlan 4
6.3 Указываем, какие VLAN могут ходить в порту, для примера VLAN 10-15:
switch(config-if)#switchport trunk allowed vlan add 10-15
7. Настраиваем режимы и параметры для порта «Access»:
7.1 Устанавливаем режим:
switch(config-if)#switchport mode access
7.2 Устанавливаем Access VLAN равным 10:
switch(config-if)#switchport access vlan 10
8. Завершаем настройки: «end»
9. Сохраняем настройки: «copy running-config startup-config»
2. Скажите как добавить несколько VLAN в один порт, чтобы он их всех пропускал на Арлан®-3424FE? Пример на схеме ниже:
Ответ: Для настройки, необходимо ввести следующие команды:
configure terminal
vlan 2-3
exit
interface range fastethernet 0/1-2
switchport mode trunk
switchport trunk native vlan 2
exit
interface range fastethernet 0/19-24
switchport mode trunk
switchport trunk native vlan 3
exit
interface gigabitethernet 0/1
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan add 2,3
end
3. Подскажите как настроить Арлан®-3424FE в соответствии со схемой (рисунком) ниже. У нас сейчас заводские настройки на Арлан®-3424FE. Ещё одно требование, чтобы обычному пользователю не были доступны порты FE №1, №2 и GE №26.
Ответ:
configure terminal
//создаём vlan 2
vlan 2
exit
//помещаем нужные порты в vlan 2
interface range fa0/1-2,gi0/2
switchport mode trunk
switchport trunk native vlan 2
switchport protected-port //настройка защищённых портов
exit
//создаём сообщества защищённых портов для каждого
interface fa0/1
switchport community 1
exit
interface fa0/2
switchport community 2
exit
interface gi0/2
switchport community 3
end
show vlan // вывод информации по VLAN[/B]
show interfaces protected-ports //вывод информации по защищенным портам[/B]
copy running-config startup-config //сохранение настроек[/B]
4. Подскажите, мы хотим подключить IP-телефон Cisco CP-7975G к коммутатору Арлан®-3424GE. Какие настройки нужно произвести в командах голосового VLAN?
Ответ: Исходные данные:
1. Арлан-3424GE.
2. К порту коммутатора gi0/2 подключен Cisco CP-7975G IP Phone.
3. В качестве Voice VLAN взят VLAN 10.
Коммутатор добавляет порт gi0/2 в VLAN 10 примерно через 2-3 секунды после подключения телефона (выводится сообщение VLAN 10 UP).
Конфигурация с Voice VLAN:
configure terminal
vlan 10
exit
interface gi0/2
switchport mode access
switchport access vlan 10
switchport voice vlan 10
exit
После эксперимента с включением LLDP-MED, коммутатор так же добавляет порт gi0/2 в VLAN 10.
Конфигурация с LLDP-MED:
configure terminal
vlan 10
exit
interface gi0/2
switchport mode access
switchport access vlan 10
switchport voice vlan 10
exit
lldp timer 5
interface gigabitethernet0/2
lldp run
lldp receive
lldp transmit
exit
Вывод LLDP:
console# show lldp neighbors
Port Device ID Port ID System Name Capabilities TTL
--------- ----------------- ------------- ----------------- ------------ -----
gi0/2 01 0a 1e 05 09 001EF72890C0: SEP001EF72890C0 B, T 161 P1
5. Есть задача пробросить несколько VLAN через Арлан®-3424GE из одной точки в другую (сделать канал второго уровня). Можно ли сделать так, учитывая, что на этих интерфейсах EAPS?
По одному из таких vlan будет передаваться голосовой трафик (TDMoIP). Как лучше настроить для него приоритезацию на всем пути следования в этом VLAN?
configure terminal
vlan 200-299
exit
vlan 200
name yyy
exit
vlan 201
name zzz
exit
interface range te0/1-4
switchport trunk allowed vlan add 200-299
Ответ: Лучше прописать в trunk. Вы же все добавленные VLAN передавайте как есть.
Для нормальной приоритезации нужно ее включить на портах с помощью команды "trust". На устройствах TDMoP нужно настроить приоритеты для трафика вручную (специфично для каждого оборудования).
6. Не пропускается тегированный трафик? Почему?
Ответ: Для того, чтобы тегированный трафик пропускался, необходимо прописать "swithport trunk allowed vlan add ..."
7. Вместо Арлан – 3424FE у нас используется Cisco 2960 и Cisco 4507. Проходит ли трафик между vlan Арлан и Cisco?
Ответ: Были собраны две схемы тестирования. Пакеты передаются. Схемы ниже.
___________________________________________________________________________________________________
- Зеркалирование портов:
1. Как произвести мониторинг портов на Арлане-3000FE?
Ответ:
configure terminal
monitor session 1 //создать сессию мониторинга (зеркалирования) трафика
source {interface|vlan} [rx|tx|both] //добавление порта(ов)-источники в сессию мониторинга трафика
destination {interface} remote vlan //настройка порта назначения сессии мониторинга трафика
no shutdown // активизация сессии мониторинга трафика
- Агрегация портов:
1. Какие типы балансировок поддерживает функция агрегирования каналов 802.3ad?
Ответ: поддерживается балансировка по Src/Dest MAC, Src/Dest IP, Srs/Dest MAC + Src/Dest IP. Подробнее п. 4.39.2 РЭ-2.
2. Возможно ли использовать агрегирование каналов 802.3ad при использовании
стека коммутаторов Арлан®-3000FE-S, используя одновременно порты на разных коммутаторах в стеке в качестве членов агрегированного канала?
То есть можно ли сделать то, что в Cisco называется "Cross-Stack EtherChannel"?
Ответ: Агрегация портов от разных членов одного стека реализована. В качестве протокола динамической агрегации используется LACP.
3. Есть ли пример настроек организации агрегирования канала?
Ответ: configure terminal
interface range gigabitethernet 0/2-3
channel-group 1 active
spanning-tree bpdufilter enable
exit
exit
- Spanning-Tree и резервирование соединений:
1. Как работает механизм обнаружения петель на портах (Loopback Detection) и есть ли какие-либо особенности?
Ответ: Данный механизм работает при явно включенном Loopback Detection на портах. При обнаружении петли порты помечаются символом *. После удаления петли, интерфейсы включаются командой "set interface active".
2. Поддерживает ли коммутатор такие протоколы как STP, RSTP, MSTP?
Ответ: Да, а также механизм portfast. Просмотр состояния spanning-tree выполняется с помощью команд "show spanning-tree" и/или "show spanning-tree summary".
- QoS и ACL:
1. ACL IPv4 применяется к трафику L3 вне зависимости от ого, является данный порт L3 интерфейсом или L2?
Ответ: Да, все верно.
- Многоадресная рассылка:
1. Поддерживается ли [COLOR=#FF6600]MVR на Арлан®-3000FE? Если да, то, как настроить?
Ответ: Да, поддерживается. Рассмотрим пример.
К примеру, на первый порт Арлан®-3000FE приходит два VLAN в режиме trunk. Это 100 (unicast), 200 (multicast). При этом Арлан®-3000FE должен будет раздавать на порты с 1-24 unicast и multicast в MVR.
bridge multicast filtering //включение фильтрации мультикастовых адресов
/*Коммутатор поддерживает анализ проходящего трафика IGMP/MLD для организации эффективной мультикастовой рассылки пакетов (например, для IPTV)*/
ip igmp snooping //включение IGMP Snooping
ip igmp snooping vlan 100 //включение IGMP на vlan 100 (unicast)
ip igmp snooping vlan 200 //включение IGMP на vlan 200 (multicast)
ip igmp snooping vlan 200 multicast-tv x.x.x.x //задание мультикастовых адресов котоыре относятся к vlan (также можно указать диапазон через count)
vlan database
vlan 100 //создание 100-го vlan
vlan 200 //создание 200-го vlan
exit
interface fa 0/1
switchport mode trunk
switchport trunk native vlan 100
switchport trunk allowed vlan add 100,200
exit
interface range fa 0/1-24
switchport access vlan 100
switchport access multicast-tv vlan 200
exit
В случае нестабильной работы включить команду:
ip igmp snooping 200 querier
ip igmp snooping 100 querier
2. Сколько максимум можно задать мультикастовых адресов? И можно ли задать сразу, например, диапазон в 500 адресов.
Ответ: Можно задать сразу диапазон, но только до 256 адресов.
Коммутатор поддерживает до 256 статических и динамических мультикастовых групп. Статические мультикастовые группы назначаются пользователем, а динамические определяются в процессе анализа трафика IGMP/MLD.
- Журналирование:
- Статистика и подсчет трафика:
1. Как посмотреть загрузку интерфейса коммутатора Арлан-3424GE?
Ответ: Возможно посмотреть информацию по командам "show interfaces summary" и "show interfaces counters".
2. Как можно посмотреть порт на наличие ошибок?
show interfaces counters fastethernet 0/1
show interfaces counters gigabitethernet 0/1
show controllers ethernet-controller fastethernet 0/1
show controllers ethernet-controller gigabitethernet 0/1
- Маршрутизация/Функции L3:
1. Реализованы ли в коммутаторах серии Арлан-3xxx протоколы OSPFv2, VRRP, BGPv4?
Ответ: Да, начиная с версии ПО 2.3.18.4.
- Безопасность, аутентификация, авторизация и аккаунтинг:
1. Как сделать порты защищёнными?
Ответ: Команда switchport protected-port, которая позволит сделать защищённый порт на определённом интерфейсе. Также нужно выполнить команду switchport community, чтобы добавить защищённый порт в сообщество. Рекомендуется после задания соответствующих настроек проверить командой show interfaces protected-ports на правильность задания защищённых портов.
2. Необходимо ограничить доступ для клиента только с одного MAC-адреса на определенном порту. Как это сделать?
Ответ:
1. Выбрать режим ограничения количества MAC-адресов с помощью команды (например, на первом порту):
configure terminal
interface gigabitethernet 0/1
switchport port-security mac-address
2. Установить "защищенный" режим работы порта с помощью команды настройки интерфейса:
switchport port-security violation restrict
3. Установить ограничение количества MAC-адресов с помощью команды:
switchport port-security maximum 1
3. Подскажите как настроить RADIUS на Арлан®-3424FE/GE?
Ответ: На RADIUS:
В файл "clients" FreeRADIUS добавляем клиента с паролем "123":
| Код |
|---|
client 192.168.0.163 {
secret = 123
shortname = arlan
}
|
В файл "users" FreeRADIUS добавляем пользователя "admin" с паролем "admin" и максимальными привилегиями
| Код |
|---|
(shell:priv-lvl=15): "admin" Cleartext-Password := "admin" Cisco-AVPair = "shell:priv-lvl=15" |
На Арлан®:
configure terminal
interface vlan 1
ip address 192.168.0.163 255.255.255.0
exit
radius-server host 192.168.0.126 key 123
aaa authentication login default radius local
username admin password encrypted d033e22ae348aeb5660fc2140aec35850c4da997 privilege 15
ip telnet server
4. Подскажие как мне настроить TACACS+ на Арлан®-3424FE/GE?
Ответ: На TACACS+:
Назначаем ключ для клиента TACACS+:
| Код |
|---|
host = 192.168.0.163 {
key = 123
}
|
Назначаем пользователя "admin" с паролем "admin" и максимальными привилегиями:
| Код |
|---|
user = admin {
name = "Administrator"
login = cleartext "admin"
service = exec {
priv-lvl = 15
}
}
|
На Арлан®:
configure terminal
interface vlan 1
ip address 192.168.0.163 255.255.255.0
exit
aaa authentication login default tacacs local
username admin password encrypted d033e22ae348aeb5660fc2140aec35850c4da997 privilege 15
tacacs-server host 192.168.0.126 key 123
ip telnet server
5. Работает ли авторизация по TACACS+ на коммутаторах Арлан®-3000?
Ответ: Да, коммутаторы Арлан®-3xxx поддерживают авторизацию по протоколу TACACS+.
6. Есть ли поддержка ААА через Radius?
Ответ: Да. Вам потребуется помощь раздела 4.33 РЭ-2.
Команды "aaa authentication login default radius", "aaa authentication dot1x default radius".
7. Я сделал ограничение для клиента только с одного MAC-адреса на определенном порту, однако это не мешает ему подменить MAC-адрес на адрес нашего маршрутизатора и нарушить работу сети. Как этого избежать?
1. Если используется схема построения сети типа "дерево", то можно просто задать на коммутаторе доступа статический MAC-адрес маршрутизатора на uplink-порту с помощью команды mac address-table static mac address vlan id interface gi 0/1 //см. 2.23.17 РЭ-2
2. Если используется кольцевая топология сети, то необходимо использовать MAC ACL:
2.1. Создайте MAC ACL с помощью команды глобальной настройки:
mac access-list extended AntiHack
2.2. Добавьте правило для пакетов с SA равным MAC-адресу маршрутизатора:
deny 00:11:22:33:44:55 00:00:00:00:00:00 any
2.3. Добавьте правило для остальных пакетов:
permit any any
exit
2.4. Настройте ACL на требуемом интерфейсе:
interface gi0/1
service-acl input AntiHack
end
2.5. Для надежности очистите таблицу от динамических MAC-адресов:
clear mac address-table dynamic
8. Как проверить возможность использования протокола SSHv2 и SSL/TLS?
Ответ: Вся линейка коммутаторов на данный момент поддерживает управление по HTTP.
- Обновление ПО и конфигурации:
1. Не обновляется ПО для Арлан®-3424FE-SL. Скачали версию для FE?
Ответ: Посмотрите в выводе команды "show inventory" название аппарата. Скорее всего у Вас Арлан®-3424PFE и Вам необходимо ПО для PFE.
2. При выводе команды "show running-config" была полная конфигурация. После обновления на версию 2.3.19 конфигурация стала урезанной. Что это значит?
Ответ: По многочисленным просьбам наших клиентов, начиная с версии ПО 2.3.18 команда "show running-config" теперь отображает только отличия от конфигурации по умолчанию. Также есть команда "show running-config all" для отображения текущей конфигурации в полном формате.
- Электропитание:
1. После изменения настроек на Арлан®-3424xE, на коммутаторе не сохраняются настройки, если отключить аппарат по питанию. Почему?Ответ: Необходимо перед выключением питания, перезагрузить коммутатор программно с помощью команды reload. После этого коммутатор можно выключать по питанию.
- Прочее:
1. Есть ли у Вас данные с каким оборудованием совместимы ваши коммутаторы?
Ответ: Например, Cisco 2950/2960s/7606/2621/3560/3750/28xx/72xx/3945/K9, Juniper EX4200/SRX-240H, D-link DES-1210-28,
