Accton Edge Core ES 3528M

Материал из Wiki
Перейти к: навигация, поиск

Загрузка

Очень похоже на 3528XA

--- Performing Power-On Self Tests (POST) ---
DUMMY Test 1 ................. PASS
UART Loopback Test ........... PASS
DRAM Test .................... PASS
Timer Test ................... PASS
Done All Pass.
------------------ DONE ---------------------


Loading Runtime Image File : ES3528_52M_opcode_V1.3.4.0.bix
Runtime 1.3.4.0

DNS_ResolverInit..OK
DNS_Proxy_init ....OK
root init done

Set Transition mode ...
[get stackingMac done ret_val] = 1
Assigned Unit ID:[1]
stacking DB: unit = 0, module type = 0

Finish Set Transition mode ...
Enter Transition mode ...
Finish Transition mode ...
Enter Master mode ...
Load certificate files : Starting
Load certificate files : Finished

Finish Master mode ...

Performing startup provision ...
CLI enter main (PROVISION)

..............................................................................................................................................................
CLI provision has been completed

Notify provision complete


Provision Complete ...
Finish Provision Complete ...
[get stackingMac done ret_val] = 1
XFER: End of config sync.
***************************************************************

WARNING - MONITORED ACTIONS AND ACCESSES



Station's information:


Floor / Row / Rack / Sub-Rack
 /  /  /
DC power supply:
Power Source A: Floor / Row / Rack / Electrical circuit
 /  /  /

Number of LP:
Position MUX:
IP LAN:
Note:
***************************************************************
 CTRL-A Z for help |  9600 8N1 | NOR | Minicom 2.4    | VT102 |      Offline




User Access Verification

Username: admin
Password:

      CLI session with the ES3528M is opened.
      To end the CLI session, enter [Exit].

No configured settings for reloading.
Console#


Обновляю прошивку

Console#copy tftp file
TFTP server IP address: 172.31.0.1
Choose file type:
 1. config:  2. opcode:  4. diag:  5. loader: <1,2,4,5>: 2
Source file name: ES3528_52M_opcode_V1.3.7.10.bix
Destination file name: ES3528_52M_opcode_V1.3.7.10.bix
Write to flash programming.
Programming flash started.
Success.

Console#dir
          File name                        File type       Startup Size (byte)
 -------------------------------------     --------------  ------- -----------
 Unit1:
          ES3528_52M_diag_V1.2.0.1.bix     Boot-Rom Image  Y          1406420
          ES3528_52M_opcode_V1.3.4.0.bix   Operation Code  Y          4413192
          ES3528_52M_opcode_V1.3.7.10.bix  Operation Code  N          4484284
          Factory_Default_Config.cfg       Config File     N              455
          Fixup-ip                         Config File     N             3891
          startup1.cfg                     Config File     Y             3984
 ---------------------------------------------------------------------------
                                                  Total free space:   4718592
Console#


Выбрать новый образ как основной:

Console(config)#boot system 1:opcode:ES3528_52M_opcode_V1.3.7.10.bix

Я попробовал последовательно все прошивки, но по информации от сотрудников "Монблан" переход с ветки 1.3 на 1.4 возможет через прошивку 1.4.4.0, т.е. 1.3.Х.Х --> 1.4.4.0 --> Последняя
На момент написания статьи последняя прошивка:

ES3528_52M_opcode_V1.4.8.0.bix

После обновления:

Console#sh ver
Unit 1
 Serial Number:           034002803
 Hardware Version:        R01
 Chip Device ID:          Marvell 98DX106-B0, 88E6095[F]
 EPLD Version:            0.07
 Number of Ports:         28
 Main Power Status:       Up
 Redundant Power Status:  Not present

Agent (Master)
 Unit ID:                 1
 Loader Version:          1.0.2.0
 Boot ROM Version:        1.2.0.1
 Operation Code Version:  1.4.8.0

Субъективно кажется, что эта прошивка загружалась дольше чем другие.

Конфигурирование VLANs

Вцелом, свитч напомиает cisco (есть некоторые неудобства, но это дело привычки).
Есть проблема с удалением порта из 1-го VLAN, делается это не совсем очевидным способом.
Имеем, например:

Console#sh run int ethernet 1/28
interface ethernet 1/28
 description ---=== UPLINK ===--
 switchport allowed vlan add 1 untagged
 switchport allowed vlan add 1,1001 tagged
 switchport mode trunk

VLAN 4090 - добавлен только на этот порт, соответвенно, весь нетегированный траффик на порту 28 коммутирваться никуда не будет. Проблема с тем, что нетегированный траффик оказавшийся на trunk-порту попадает в 1-й влан (явно или неявно, в конфиге это может быть никак не описано) достаточно распространена, я встречался с таким на 3COM (4400 если я не ошибаюсь) и (вроде бы) Nortel BPS2000. При наличии такого workaround я не считаю это серьезным недостатоком.

Console#conf
Console(config)#interface ethernet 1/28
Console(config-if)#switchport mode  hybrid
Console(config-if)#switchport allowed vlan add  4090 untagged
Console(config-if)#switchport native vlan 4090
Console(config-if)#switchport allowed vlan  remove 1
Console(config-if)#switchport  mode trunk
Console(config-if)#
Console#sh run int e 1/28
interface ethernet 1/28
 description ---=== UPLINK ===--
 switchport allowed vlan add 4090 untagged
 switchport native vlan 4090
 switchport allowed vlan remove 1
 switchport allowed vlan add 1001,4090 tagged
 switchport mode trunk

DHCP Snooping + IP SOURCE GUARD

Введение

Основная мысль использования "умных" свитчей - это запретить абонентам самовольно менять адреса, и разрешить в сети только те адреса которые выдал DHCP сервер. Который, в свою очередь управляется биллингом.

Делаю 3 группы адресов в сети (в примере все - фейковые, в реальной сети возможны различные варианты.)

  1. Клиенты, которые оплатили услуги. Про них известно: мак+порт+свитч. На основе этих данных выдается IP. перед началом работы клиенты ввели свой логин и пароль, на основании этих данных и были сопоставлены данные.
  2. Клиенты, которые просрочили платежи. Им нужно выдавать другой адрес и давать доступ на биллинг с соответвующим сообщением.
  3. Неизвестные или только что подключенные. Для этих клиентов нужно выдавать сообщение о том, что они не авторизованы и просить ввести свой логин и пароль.


Авторизация:

  • Клиент получил IP из гостевого пула.
  • Перенаправле на станичку авторизации.
  • Ввел свой логин и пароль.
  • Зная IP (web-сервер может определить с какого IP заход) - можно определить мак (из DHCPd) и порт свитча.
  • На основании этих данных сделать привязку.
  • клиент переполучит IP уже из пула "нормальных"
  • поменять руками IP клиент не сможет, т.к. этому препятвует ip-source-guard

Настройка коммутатора

Клиентский влан на этом коммутаторе - 2001. Включаю dhcp snooping глобально и для этогь влана.

!
ip dhcp snooping
ip dhcp snooping vlan 2001
ip dhcp snooping information option
!
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source port: 68 (68)
    Destination port: 67 (67)
    Length: 328
    Checksum: 0xf8f3 [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
Bootstrap Protocol
    Message type: Boot Request (1)
    Hardware type: Ethernet
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x5e7c1cd3
    Seconds elapsed: 26
        [Expert Info (Note/Malformed): Seconds elapsed (26) appears to be encoded as little-endian]
            [Message: Seconds elapsed (26) appears to be encoded as little-endian]
            [Severity level: Note]
            [Group: Malformed]
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0 (0.0.0.0)
    Your (client) IP address: 0.0.0.0 (0.0.0.0)
    Next server IP address: 0.0.0.0 (0.0.0.0)
    Relay agent IP address: 0.0.0.0 (0.0.0.0)
    Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: (OK)
    Option: (t=53,l=1) DHCP Message Type = DHCP Discover
        Option: (53) DHCP Message Type
        Length: 1
        Value: 01
    Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
        Option: (116) DHCP Auto-Configuration [TODO]
        Length: 1
        Value: 01
    Option: (t=61,l=7) Client identifier
        Option: (61) Client identifier
        Length: 7
        Value: 01525400123456
        Hardware type: Ethernet
        Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Option: (t=12,l=4) Host Name = "chat"
        Option: (12) Host Name
        Length: 4
        Value: 63686174
    Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
        Option: (60) Vendor class identifier
        Length: 8
        Value: 4D53465420352E30
    Option: (t=55,l=11) Parameter Request List
        Option: (55) Parameter Request List
        Length: 11
        Value: 010F03062C2E2F1F21F92B
        1 = Subnet Mask
        15 = Domain Name
        3 = Router
        6 = Domain Name Server
        44 = NetBIOS over TCP/IP Name Server
        46 = NetBIOS over TCP/IP Node Type
        47 = NetBIOS over TCP/IP Scope
        31 = Perform Router Discover
        33 = Static Route
        249 = Private/Classless Static Route (Microsoft)
        43 = Vendor-Specific Information
    Option: (t=82,l=18) Agent Information Option
        Option: (82) Agent Information Option
        Length: 18
        Value: 0106000407D10101020800067072CF1AFE8F
        Agent Circuit ID: 000407D10101
        Agent Remote ID: 00067072CF1AFE8F
    End Option
    Padding
    Next server IP address: 0.0.0.0 (0.0.0.0)
    Relay agent IP address: 0.0.0.0 (0.0.0.0)
    Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: (OK)
    Option: (t=53,l=1) DHCP Message Type = DHCP Discover
        Option: (53) DHCP Message Type
        Length: 1
        Value: 01
    Option: (t=116,l=1) DHCP Auto-Configuration [TODO]
        Option: (116) DHCP Auto-Configuration [TODO]
        Length: 1
        Value: 01
    Option: (t=61,l=7) Client identifier
        Option: (61) Client identifier
        Length: 7
        Value: 01525400123456
        Hardware type: Ethernet
        Client MAC address: 52:54:00:12:34:56 (52:54:00:12:34:56)
    Option: (t=12,l=4) Host Name = "chat"
        Option: (12) Host Name
        Length: 4
        Value: 63686174
    Option: (t=60,l=8) Vendor class identifier = "MSFT 5.0"
        Option: (60) Vendor class identifier
        Length: 8
        Value: 4D53465420352E30
    Option: (t=55,l=11) Parameter Request List
        Option: (55) Parameter Request List
        Length: 11
        Value: 010F03062C2E2F1F21F92B
        1 = Subnet Mask
        15 = Domain Name
        3 = Router
        6 = Domain Name Server
        44 = NetBIOS over TCP/IP Name Server
        46 = NetBIOS over TCP/IP Node Type
        47 = NetBIOS over TCP/IP Scope
        31 = Perform Router Discover
        33 = Static Route
        249 = Private/Classless Static Route (Microsoft)
        43 = Vendor-Specific Information
    Option: (t=82,l=22) Agent Information Option
        Option: (82) Agent Information Option
        Length: 22
        Value: 0106000407D10101020C030A3137322E33312E302E32
        Agent Circuit ID: 000407D10101
        Agent Remote ID: 030A3137322E33312E302E32
    End Option
    Padding

SNMP

Man of Honour Пн окт 11 2010 12:16:57
1.3.6.1.4.1.259.6.10.94.1.24.1.1.0 i 2 - соурс - running
1.3.6.1.4.1.259.6.10.94.1.24.1.3.0 i 3 - dest - startup
1.3.6.1.4.1.259.6.10.94.1.24.1.8.0 i 2 - скопировать
Man of Honour Пн окт 11 2010 12:17:06
1.3.6.1.4.1.259.6.10.94.1.24.1.9.0 посмотреть статус
Man of Honour Пн окт 11 2010 12:17:30
это пример копирования running-config в startupconfig

Полезности

Сброс настроек в default

Console(config)#boot system config: Factory_Default_Config.cfg
Success.
Console(config)#reload

Перезагрузка в назначенное время

Как и в Cisco (в отличие от длинка) есть возможность перезагрузить коммутатор в/через определенное время. Сложно переоценить полезность этого функционала.

Console(config)#reload ?
  at          Configures reloading switch at time
  cancel      Cancels the specified reload setting
  in          Configures reloading switch in time
  regularity  Configures reloading switch at periodic intervals
Console(config)#reload in ?

Авторизация через радиус

Так как я не собираюсь жить вечно время от времени приходиться удалять и добовлять пользователей то гораздо удобнее делать это через центральную базу авторизации. Радиус проще чем tacacs+ и у меня с ним больше опыта - по тому и использую
На коммутаторе

!
radius-server 1 host 172.16.255.1 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key c3dpdGNo
!
authentication login radius local
authentication enable radius local
!
aaa authorization exec default group RADIUS-GROUP
!
!
aaa group server radius RADIUS-GROUP
server 1
!

На радиус-сервере:
users:

DEFAULT         Auth-Type = Local
                Fall-Through = 1

adminuser       Cleartext-Password := "<ТутПароль>"
                User-Service-Type = Shell-User,
                cisco-avpair += "shell:priv-lvl=1"

$enab15$        Cleartext-Password := "<ТутENABLEПароль>"
                Cisco-AVPair = "shell:priv-lvl=15"

adminuser имеет привилении enable сразу.

Запускаю так (у меня несколько экземпляров radiusd c разными конфигами:

LD_LIBRARY_PATH=/usr/lib64/freeradius/ /usr/sbin/radiusd -d /usr/local/freeradius-local/raddb/

Ссылки на полезности

http://mounblan.com/faq.php?prodid=0&deviceid=260&id=70
http://www.mounblan.com/loadcenter.php?prodid=12&deviceid=257&findwhat=rom&showbut=+%CF%EE%EA%E0%E7%E0%F2%FC+&sstr=%3C%EA%EB%FE%F7%E5%E2%EE%E5+%F1%EB%EE%E2%EE%3E