Опубликовано: 30 апреля 2016

• Сетевые устройства

   Опишу способы бэкапирования конфиги. Сделать это можно из CLI и извне, так сказать, т.е. по протоколу SNMP.

Из CLI:

upload cfg_fromTFTP <ipaddr> <path_filename 64> - указываем IP сервера на котором поднят TFTP и имя сохраняемого файла.

По протоколу SNMP всё несколько сложнее, но выполнимо:

Опубликовано: 06 сентября 2016

• Сетевые устройства
• Tacacs

Авторизация через TACACS

 В статье про настройку TACACS+ для Windows упоминал про настройки сетевых устройств. Пришло время. Описанием каждой команды заниматься не буду. Смысл сводится к тому, что если не доступен TACACS сервер, работающий на 49 порту, то доступна локальная авторизация. Так же указываются протоколы через которые можно авторизоваться на устройстве.

Опубликовано: 20 июля 2016

• Сетевые устройства

• Фильтрация по мас адресу.

Возникла необходимость запретить прохождение определённых мас адресов в определённых vlan. В первую очередь создаём списки мас адресов которые подвергнем гонениям :)

mac access-list extended office-secure
 permit host 00ee.bd60.4d60 any
 permit host 0454.53c7.7e47 any
 permit host 847a.8876.20d2 any
 permit host 0015.002c.3ad0 any
 permit host 5cf8.a13f.7764 any
 permit host 889b.392d.d7b9 any

mac access-list extended peronal-no-guest
 permit host 844b.f5bd.4393 any
 permit host 844b.f5bd.44b5 any
 permit host 844b.f5bd.29a5 any
 permit host dca9.7111.7d3a any

Опубликовано: 06 сентября 2016

• Сетевые устройства

   На этих коммутаторах D-Link DES серии 30xx есть возможность ограничить скорость передачи данных на порту. Делается это в один присест:

config bandwidth_control 10 rx_rate <64-1024000> tx_rate <64-1024000>

Значения приёма-передачи в килобитах/сек. Например:

show bandwidth_control 10

Command: show bandwidth_control 10

Bandwidth Control Table

Port   RX Rate      TX Rate        Effective RX       Effective TX
        (Kbit/sec)    (Kbit/sec)     (Kbit/sec)          (Kbit/sec)
----    ----------       ----------        ----------------       ----------------
10      1024          1024          1024                1024

Опубликовано: 04 октября 2016

• Сетевые устройства

   Что бы запретить прохождение в определённой VLAN определённых MAC адресов воспользуемся возможностями ACL. Для этого создадим общую ACL с маской FF-FF-FF-FF-FF-FF.

create access_profile  ethernet  vlan source_mac FF-FF-FF-FF-FF-FF  profile_id 1

Это означает, что дальнейшие правила должны содержать  в себе полное указание MAC адреса источника и VLAN к которому применяется правило. Блокируем трёх диверсантов:

config access_profile profile_id 1  add access_id 1  ethernet  vlan office source_mac C0-18-85-73-88-A1  port 11-12 deny
config access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config access_profile profile_id 1  add access_id 3  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny

Это означает, что во VLAN office запрещены фреймы с адресом источника C0-18-85-73-88-A1, 3C-83-75-E4-99-90 и 00-EE-BD-60-4D-60 на 11 и 12 портах.

То же самое можно сделать применив ACL с обработкой фреймов ASIC.

Первым делом включаем возможность обработки фреймов ASIC:

enable cpu_interface_filtering

Дальше тоже самое что и в предыдущем примере, с небольшим изменением в начале команд:

create cpu access_profile profile_id 1 ethernet  vlan source_mac FF-FF-FF-FF-FF-FF
config cpu access_profile profile_id 1  add access_id 2  ethernet  vlan office source_mac 00-EE-BD-60-4D-60  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 4  ethernet  vlan office source_mac 3C-83-75-E4-99-90  port 11-12 deny
config cpu access_profile profile_id 1  add access_id 5  ethernet  vlan office source_mac C8-0E-77-04-7D-E0  port 11-12 deny