Достался управляемый свич d-link 3010G, как сбросить на него пароль ? Как узнать какой у него IP? Как сбросить IP или сменить его ?
Управляемый свич от d-link 3010G (сбросить парлоль, сменить IP)
Управляемый свич от d-link 3010G (сбросить парлоль, сменить IP)
22.08.2014 22:17:11
|
|
|
|
22.08.2014 22:18:38
1. Подключаемся к коммутатору через консольный порт (RS-232) и запускаем утилиту minicom. Настройки COM-порта: 9600 8N1.
ИНСТРУКЦИЯ ПО СБРОСУ! 2. Подаем питание на коммутатор. 3. Наблюдаем за процесом загрузки. Дожижаемся момента загрузки прошивки 100%, и в этот момент зажимаем Shift+6. Boot Procedure 5.00.009 ------------------------------------------------------------------------------- Power On Self Test ...................................... 100 % MAC Address : 00-17-9A-BD-95-42 H/W Version : 0A3G Please wait, loading V6.00.B35 Runtime image ............ 100 % 4. После этого коммутатор переходит в режим сброса настроек: Boot Procedure 5.00.009 ------------------------------------------------------------------------------- Power On Self Test ...................................... 100 % MAC Address : 00-17-9A-BD-95-42 H/W Version : 0A3G Please wait, loading V6.00.B35 Runtime image ............ 100 % The switch is now entering Reset Configuration Mode......................... The switch is currently in Reset Configuration Mode. 5. В этом режиме возможны такие действия: - просмотр созданных аккаунтов (show account_list) - удаление всех аккаунтов (reset account) - удаление пароля для аккаунта (reset password <username>) - сброс на заводские настройки (reset factory) - перезагрузка коммутатора (restart) 6. Для примера, воспользуемся возможностью удаления всех аккаунтов: >reset account Command: reset account Are you sure to proceed with clean account?(y/n) y Press 'restart' to save for taking effect the modification. Success. >restart Command: restart Are you sure to proceed with the system reboot?(y/n)y Are you want to save configuration?(y/n)y Saving all configurations to NV-RAM... Done. Please wait, the switch is rebooting... 7. После перезагрузки коммутатора можно подключаться к нему, не указывая ни логина ни пароля |
|
|
|
22.08.2014 22:19:56
Задача: базовая настройка управляемого коммутатора, с использованием "интерфейса командной строки" (CLI).
Зайти на устройство можно через "консольный" порт (RS-232). Подключаем кабель (DB-9 cable): Рекомендованные производителем параметры подключения следующие: terminal - VT 100+; speed - 9600; parity - none; data bits - 8; stop bit - 1; sofware flow control - none; hardware flow control - none. Запускаем "minicom": $ minicom --device /dev/ttyS0 --baudrate 9600 --8bit --noinit Сразу идём в меню настроек утилиты "minicom" для корректировки параметров сеанса связи с коммутатором: "Ctrl+O". Переходим в подменю "Serial port setup". Нажав клавишу "F", выбираем значение "No" для опции "Hardware Flow Control". Подтверждаем выбор и выходим из меню конфигурирования. Готово, мы в коммутаторе: DES-3028 Fast Ethernet Switch Command Line Interface Firmware: Build 2.00.B27 Copyright© 2008 D-Link Corporation. All rights reserved. UserName: Просто нажимаем пару раз "Enter", проходя этапы ввода логина и пароля, и вот, мы можем просмотреть текущую конфигурацию устройства: # show switch Device Type : DES-3028 Fast Ethernet Switch MAC Address : MAC IP Address : 10.90.90.90 (Manual) VLAN Name : default Subnet Mask : 255.0.0.0 Default Gateway : 0.0.0.0 Boot PROM Version : Build 1.00.B06 Firmware Version : Build 2.00.B27 Hardware Version : A2 Serial Number : Serial System Name : System Location : System Contact : Spanning Tree : Disabled GVRP : Disabled IGMP Snooping : Disabled VLAN trunk : Disabled 802.1x : Disabled TELNET : Enabled(TCP 23) WEB : Enabled(TCP 80) RMON : Disabled SSH : Disabled SSL : Disabled Clipaging : Enabled Syslog Global State: Disabled Dual Image : Supported Password Encryption Status : Disabled Приступим к конфигурированию как таковому. На всякий случай явно отключаем автоматическую настройку с помощью DHCP: # disable autoconfig Назначим свой IP-адрес: # config ipif System ipaddress 192.168.1.2/24 state enable Удостоверимся в том, что изменения приняты: # show ipif Interface Name : System IP Address : 192.168.1.2 (MANUAL) Subnet Mask : 255.255.255.0 VLAN Name : default Admin. State : Enabled Link Status : Link UP Member Ports : 1-28 Обратите внимание на то, что "shell" устройства регистро-чувствительный, в частности, команда "System" так и вводится, с большой буквы, в то время как другие - с маленькой. Задаём маршрут по умолчанию, необходимый для обеспечения доступности управляющего функционала коммутатора: # create iproute default 192.168.1.1 1 Удостоверимся, что маршрут верно задан: # show iproute IP Address/Netmask Gateway Interface Hops Protocol ------------------ --------------- ----------- ------- -------- 0.0.0.0/0 192.168.1.1 System 1 Default 192.168.1.0/24 0.0.0.0 System 1 Local Проверим, достижим ли с коммутатора какой-нибудь удалённый ресурс: # ping 192.168.12.12 times 4 Reply from 192.168.12.12, time<10ms Reply from 192.168.12.12, time<10ms Reply from 192.168.12.12, time<10ms Ping Statistics for 192.168.12.12 Packets: Sent =4, Received =4, Lost =0 И так, теперь, когда железка доступна для подключения не только локального, но и удалённого, вынесем работу из гудящей и холодной серверной в кресло администратора, приняв меры, в то-же время, к обеспечению безопасности соединения. А точнее: дополним сетевую конфигурацию, заведём на коммутаторе административный аккаунт, инициируем SSH-сервер и предпишем работать через него. Отключаем расширенную систему авторизации на устройстве, оставляя локальную базу: # config authen_login default method local # config authen_enable default method local_enable # config authen parameter response_timeout 30 # config authen parameter attempt 5 # disable authen_policy # config admin local_enable Создаём парочку административных аккаунтов: # create account admin superadmin # create account admin trivialadmin Enter a case-sensitive new password:******** Enter the new password again for confirmation:******** Success. Когда придёт в голову сменить пароль, делаем это так: # config account trivialadmin Удостоверимся, что аккаунты созданы в том виде, как нам было угодно: # show account Username Access Level ------------------ ------------ superadmin Admin trivialadmin Admin Велим коммутатору шифровать сохранённые в энергонезависимой памяти пароли: # enable password encryption Включаем поддержку доступа к устройству по протоколу SSH: # enable ssh TELNET will be disabled when enable SSH. Success. Поддержку менее безопасного протокола доступа Telnet даже отключать не приходится, прошивка устройства не может работать одновременно и с SSH и с Telnet. Явно указываем, каким образом мы будем проходить проверку подлинности: # config ssh authmode password enable Задаём параметры подключения клиента SSH к серверу: # config ssh server maxsession 3 contimeout 600 authfail 10 rekey never Вводим заранее созданных пользователей в список допущенных для работы с SSH: # config ssh user superadmin authmode password # config ssh user trivialadmin authmode password Отдельно явно разрешаем использование протокола шифрования трафика SSH: # config ssh algorithm RSA enable Для самоуспокоения можно пробежаться по настройкам, с помощью команды "show" с соответствующими аргументами удостоверится, что желаемые настройки применены верно. После чего - сохраняем всё, и настройки и журнал событий, в энергонезависимую память: # save all Перезагружаем коммутатор: # reboot Теперь идём на своё рабочее место и подключаемся к устройству используя для это протокол SSH. Первым делом стоит подкорректировать настройки портов. Например таким образом: # config ports 1-24 speed auto flow_control enable state enable # config ports 25 speed 100_full state enable # config ports 26,28 speed 1000_full master flow_control enable state enable Здесь мы позволили клиентским портам принимать конфигурацию клиента, предлагая аппаратный контроль потока передаваемых данных, выделили один порт для связи с маршрутизатором на скорости 100 Мегабит с полным "дуплексом" и выделили два "гигабитных" порта для связи с другими коммутаторами. Очень желательно явно выставлять параметры интерфейсов, предназначенных для связи между коммутаторами и маршрутизаторами. На моей практике неоднократно наблюдались огромные, до 30%-40% потери пакетов из-за того, что оборудование не могло договорится о режимах работы в автоматической конфигурации. Следует иметь в виду, что у D-Link при конфигурировании "гигабитных" портов нужно явно указывать, какая сторона ведущая, а какая ведомая. В частности, если этот коммутатор "ведущий" (master), что на втором "гигабитные" порты должны быть инициированы как "ведомые" (slave), например: # config ports 25,27 speed 1000_full slave flow_control enable state enable Далее следует чуть подкорректировать общие настройки, имеющие отношение к обеспечению условий коммутации. Что-бы огорчить любителей повесить на порт нашего коммутатора свой коммутатор и нацеплять за ним кучу незарегистрированного оборудования, явно укажем не принимать запросы на порту более чем с одного MAC: # config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout Естественно, для "транков" ограничение на количество обслуживаемых MAC снимаем: # config port_security ports 25-28 admin_state disable Насколько я понял из документации, опция "DeleteOnTimeout" регламентирует периодичность пересмотра таблицы коммутации (Forwarding Database) MAC на портах. Надо полагать (вернее, так сказано в документации, но я мог неверно перевести), что MAC-адрес клиента неактивного порта будет удалён из таблицы и другому MAC-адресу будет позволено работать на нём именно после этого самого пересмотра таблицы. Сменить период пересмотра таблицы можно с помощью соответствующей команды (по умолчанию период составляет 300 секунд): # config fdb aging_time 120 На случай, если понадобится по быстрому, не дожидаясь истечения "таймаута" разблокировать какой-либо порт, очистив историю использования его клиентам, есть команда, которой мы очистим историю использования для портов со второго по седьмой: # clear port_security_entry port 2-7 Теперь активируем функционал "Storm Control" для борьбы с клиентами, сорящими "бродкастовыми" и "мультикастовыми" пакетами (зажимаем клиента по максимуму - у нас только традиционные сервисы, не подразумевающие рассылок; в обычной плоской сети реальный "флуд" диагностируется по показателю в 100 Kbs): # config traffic control 1-24 broadcast enable multicast enable unicast disable action drop threshold 64 countdown 5 time_interval 5 Можно попробовать применить новый функционал D-Link обнаружения и блокирования потенциальных DoS-атак, пока вреда от него я не замечал: # config dos_prevention dos_type all action drop state enable # config dos_prevention dos_type tcp_syn_srcport_less_1024 state disable # disable dos_prevention trap_log Типов атак несколько, вместо "all" можно включать и выключать их обнаружение индивидуально: Land Attack, Blat Attack, Smurf Attack, TCP Null Scan, TCP Xmascan, TCP SYNFIN, TCP SYN SrcPort less 1024 Видно, что выше я отключил обнаружение атак типа "TCP SYN SrcPort less 1024"; не углублялся в суть вопроса, но при активировании этой опции коммутатор воспринимает попытки взаимодействия Linux/BDS/Apple-машины с сетевым принтером как атаку, блокируя передачу данных. Для отлова "петель" на стороне клиента используем специализированный функционал коммутатора, регулярно посылающий тестовый пакет обнаружения "loopback" (это работает независимо от протокола STP): # enable loopdetect # config loopdetect ports 1-24 state enabled # config loopdetect ports 25-28 state disabled # config loopdetect recover_timer 180 interval 10 Где: recover_timer - время (в секундах), в течение которого порты будут отключены для стимулирования пользователя порта разобраться, "почему не работает"; interval - период (в секундах) между отправкой пакетов обнаружения петли. В качестве дополнительной меры обеспечения доступности сервисов, представляемых коммутатором, включим поддержку "Safeguard engine", режима, в котором отбрасываются или отправляются в конец очереди (с пониженным приоритетом) все ARP и "широковещательные" пакеты тогда, когда загрузка процессора возрастёт выше установленного порога: # config safeguard_engine state enable utilization rising 90 falling 30 trap_log disable mode fuzzy Где: rising 90 - процент загрузки процессора, выше которого включается режим "Safeguard engine"; falling 30 - процент загрузки, ниже которого выключается "Safeguard engine"; mode fuzzy - выбираем режим мягкого противодействия нагрузке, когда широковещательные и ARP пакеты не откидываются полностью, а лишь понижаются в приоритете при обработке. Далее - обще-системные мелочи. Велим коммутатору отправлять на удалённый сервер данные своего журнала событий: # enable syslog # create syslog host 4 ipaddress 192.168.12.12 severity all facility local1 state enable Научим наш коммутатор выспрашивать точное время у соответствующих серверов. Задаём "часовой пояс": # config time_zone operator + hour 6 min 0 Отключим перевод на "летнее время": # config dst disable Укажем наши сервера точного времени: # config sntp primary 192.168.12.12 secondary 192.168.0.12 poll-interval 21600 Включим подсистему: # enable sntp Далее отключим то, что не подпадает под понятие базовой настройки. Отключаем подсистему уведомлений о событиях на SMTP-сервер: # disable smtp Отключаем SNMP: # delete snmp community public # delete snmp community private # disable snmp traps # disable snmp authenticate traps # disable rmon Отключаем систему уведомления SNMP сервера о изменении MAC клиента на портах: # disable mac_notification Отключаем протокол оповещения и сбора информации о соседнем оборудовании (свободная замена таким протоколам, как: Cisco Discovery Protocol, Extreme Discovery Protocol, Foundry Discovery Protocol или Nortel Discovery Protocol). Вещь полезная, но в небольшой сети не особо нужная, особенно, если нет понимания целесообразности применения: # disable lldp Отключаем перенаправление DHCP запросов на целевой сервер: # disable dhcp_relay # disable dhcp_local_relay Отключаем зеркалирование портов (применяется для мониторинга и сбора статистики): # disable mirror Отключаем поддержку протокола STP: # disable stp Отключаем функционал единого адреса для стека коммутаторов: # disable sim Отключаем авторизацию клиентов на портах: # disable 802.1x Отключаем инкапсуляцию тегов VLAN в теги VLAN второго уровня (сеть у нас маленькая): # disable qinq Явно отключаем управление "мульткастом", раз уж он не используется: # disable igmp_snooping # disable mld_snooping Сохраняем конфигурацию: # save all Можно побродить по "web"-интерфейсу коммутатора. Уж не знаю, что там можно было наворотить, но "сайт" успешно завешивает Google Chrome (Linux); браузер начинает беспрерывно перезапрашивать один из "фреймов" панели управления, потребляя при этом половину ресурсов компьютера и не отображая при этом ничего, кроме аляповатого рисунка коммутатора на мозаичном фоне в стиле Web-0.9. Хорошо хоть Firefox (Linux) справился. Первым делом рекомендую забанить анимированную, очень детализированную, с искорками, вертящимися вокруг стилизованного земного шара, картинку-логотип в фрейме меню управления; лично у меня на "нетбуке" после этого обороты вентилятора сразу упали со средних до нулевого уровня. Рекомендую отключить "web"-интерфейс: # disable web # disable ssl CLI предоставляет достаточно инструментария для контроля и мониторинга устройства, например: # show error ports 1-24 Port Number : 2 RX Frames TX Frames --------- --------- CRC Error 0 Excessive Deferral 0 Undersize 0 CRC Error 0 Oversize 0 Late Collision 0 Fragment 1 Excessive Collision 0 Jabber 0 Single Collision 0 Drop Pkts 0 Collision 0 # show ports Port State/ Settings Connection Address MDI Speed/Dupl/FlowCtrl Speed/Dupl/FlowCtrl Learning ----- -------- ------------------- ------------------- -------- 1 Enabled Auto/Enabled 100M/Full/None Enabled Auto 2 Enabled Auto/Enabled 100M/Full/802.3x Enabled Auto 3 Enabled Auto/Enabled 10M/Full/802.3x Enabled Auto 4 Enabled Auto/Enabled LinkDown Enabled Auto 5 Enabled Auto/Enabled LinkDown Enabled Auto 6 Enabled Auto/Enabled 100M/Full/None Enabled Auto 7 Enabled Auto/Enabled LinkDown Enabled .... # show traffic control Port Thres Broadcast Multicast Unicast Action Count Time hold Storm Storm Storm down Interval ---- ----- --------- --------- -------- ------- ----- -------- 1 64 Enabled Enabled Disabled drop 5 5 2 64 Enabled Enabled Disabled drop 5 5 3 64 Enabled Enabled Disabled drop 5 5 4 64 Enabled Enabled Disabled drop 5 5 5 64 Enabled Enabled Disabled drop 5 5 .... # show utilization ports Port TX/sec RX/sec Util Port TX/sec RX/sec Util ---- -------- -------- ---- ---- -------- -------- ---- 1 0 0 0 22 0 0 0 2 0 0 0 23 0 0 0 3 0 0 0 24 0 0 0 4 0 0 0 25 16 19 1 5 0 0 0 26 14 10 1 6 0 0 0 27 0 0 0 7 0 0 0 28 0 1 1 .... # show arpenrty Interface IP Address MAC Address Type --------- ------------ ----------------- --------------- System .... FF-FF-FF-FF-FF-FF Local/Broadcast System .... .... Dynamic System .... .... Local System .... FF-FF-FF-FF-FF-FF Local/Broadcast .... # show packet ports 1-24 Port Number : 16 Frame Size Frame Counts Frames/sec Frame Type Total Total/sec ------------ ------------ ---------- ---------- --------- --------- 64 676290 0 RX Bytes 47389203 0 65-127 34487 0 RX Frames 713350 0 128-255 76 0 256-511 684 0 TX Bytes 1936090115 0 512-1023 1550 0 TX Frames 1330260 0 1024-1518 263 0 Unicast RX 713310 0 Multicast RX 0 0 Broadcast RX 40 0 В общем, все. Теперь можете приступать к чтению "мануалов", что бы осмыслить, как освоить оставшиеся здесь неосвещёнными 90% функционала устройства. |
|
|
|
22.08.2014 22:26:18
И еще немного:
Достоинства 3010G широкие возможности по фильтрации кадров и защите от штормов; широкие возможности по визуальному мониторингу; поддержка протокола 802.1x. Очевидные минусы: в системе управления имеется уязвимость – пользователь с низким уровнем привилегий может изменять конфигурацию; Если не использовать "пользовательские" учётные записи, то она не проявится. нет возможности просмотра статистики сразу по нескольким портам; некорректно работает индикатор скорости порта №9 в панели Веб-интерфейса: при скорости 100Мбит в сек. он показывает, что скорость 1000Мбит в сек.; необходимость вручную сохранять изменения конфигурации в NVRAM; не описана в документации, либо отсутствует, процедура восстановления забытого пароля. КАК МОНИТОРИТЬ: Для мониторинга коммутатор предоставляет богатые возможности. Графики отрисовываются с помощью Java. К сожалению, показ статистики сразу для нескольких портов не поддерживается, что довольно неудобно. Traffic Control Как уже было сказано, изначально Ethernet не поддерживает петлевых связей. В случае, если где-то в топологии такой сети появляется кольцо (оно же "замыкание ветвей"), то первый же широковещательный кадр будет бесконечно циркулировать по этому кольцу ввиду алгоритма работы Ethernet. Чтобы снизить последствия от ошибочно созданных петель и других генераторов анормальных потоков, коммутатор поддерживает функцию "Traffic control", которая позволяет обнаруживать аномальные потоки кадров и блокировать их В сравнении с более простыми коммутаторами, DES-3010G позволяет задавать параметры обнаружения таких потоков. В частности, можно указать, какого типа кадры анализировать: широковещательные, групповые, кадры с неизвестным получателем, и задавать размер полосы, при занятии указанным трафиком которой, коммутатор начнёт его блокировать. |
||||
|
|
|||