Diegiant vidutinius ir didesnius vietinius tinklus yra ieškomi pilnai valdomi, stabiliai ir patikimai veikiantys komutatoriai. Pagal kainos ir kokybės santykį dažnai yra pasirenkami HP tinklo įrenginiai. HP komutatoriai pasižymi aukšta kokybe, galima teigti net prilygsta rinkos lyderiui Cisco (net konfigūravimo komandos yra panašios). Taip pat turi gerą garantinį aptarnavimą. Neseniai HP Enterprise savo tinklo sprendimus perdavė savo sukurtai dukterinei įmonei, kurią pavadino Aruba. Todėl šiai diena visi nauji komutatoriai bus pažymėti oranžiniu Aruba logotipu. Tačiau išvaizda ir pagrindinės funkcijos išlieka tos pačios, kaip ir HP vardą turinčiuose tinklo įrenginiuose.
Aprašysime vieno iš Aruba komutatoriaus konfigūravimą ir paruošimą darbui vietiniame tinkle, prieigos lygyje (anlg. Access layer). Konkrečiau tai bus modelis Aruba 2530-8 (J9780A).
Prijungus komutatoriaus maitinimą, įrenginys atliks savo būklės patikrinimą. Baigus tikrinimą, jei techninė įranga veikia taip kaip gamykloje numatyta, startuos komutatoriaus programinė įranga ir bus galima jungtis prie komutatoriaus. Kad pasiekti konfigūravimo langą reikės jungtis naudojant laidą, kuris turi nuosekliąją jungtį (anlg. Serial port) arba USB prievadą. Prie šio modelio laidų dėžutėje nerasite, todėl teks įsigyti vieną iš jų. Mes naudosime USB adapterį/konverterį su nuosekliąją jungtimi.
Prisijungus prie komutatoriaus pirmą kartą išvysite konfigūravimo komandinę eilutę, be prisijungimo slaptažodžių, ir jau bus galima konfigūruoti.
configure terminal
Pradiniai nustatymai
Pirmiausia suteiksime pavadinimą komutatoriui „SW1“
hostname SW1
Kad matyti įvykių pranešimus su teisingais laikais, reikia nustatyti laiko zonas ir darbo stotį iš kurios komutatorius sinchronizuos laiką automatiškai.
Nustatome laiko zoną, kuri Lietuvoje pagal HP yra 120. Taip pat reikia nustatyti pakeitimus, kada būna vasaros ar žiemos laikas.
time timezone 120
time daylight-time-rule user-defined begin-date 03/27 end-date 10/30
Taip pat paleidžiame ir nustatome NTP servisus, kad komutatorius sinchronizuotųsi laiką iš vidiniame tinkle esančių darbinių stočių, kuriose veikia NTP servisas. Naudosime kelias darbines stotis, kurių IP adresai 192.168.100.250 ir 192.168.100.251. Naudosime srauto transliavimo būdą (anlg. Unicast), o informacija atnaujinsime kas 5 minutes.
timesync sntp
sntp unicast
sntp server priority 1 192.168.100.250
sntp server priority 2 192.168.100.251
sntp 300
Laiką galima patikrinti taip:
show time
Tinkle esančius įrenginius reikia stebėti visą laiką. Todėl reikės aprašyti SNMP protokolą, kurio pagalba surinksime informaciją į tinklo būklės stebėjimo darbinė stotį. Nustatysime grupę „monit“ ir visą informaciją apie būklę siųsime adresu 192.168.100.210.
SNMP
snmp-server community "monit" manager
snmp-server host 192.168.100.210 community "monit" trap-level all
snmp-server contact "IT Skyrius" location "Klaipedos g. 10"
Parinktas komutatorius turi 8 prievadus su galimybė tiekti elektros maitinimą prijungtiems tinklo įrenginiams pagal gamyklinius nustatymus. Tiesa – galima tiekimą išjungti ir įjungti tik tada, kad jo mums tikrai reikia.
Licenzijos
Nenaudosime, todėl deaktyvuojame.
aruba-central disable
activate software-update disable
activate provision disable
POE
Išjungiame maitinimą visiems 8 – niems prievadams.
interface 1-8
no power-over-ethernet
Įjungiame maitinima 8 – tame prievade.
interface 8
power-over-ethernet
Pasitikriname statusus – išjungtus prievadus rodys „No“, o įjungtus „Yes“ stulpelyje „Pwr Enab“.
show power-over-ethernet brief
Komutatoriaus prievadams galima sukurti aprašymus pagal paskirtį. Paprastas dalykas, tačiau palengvina reikiamų prievadų suradimą ir paskirtį.
Prievadui 1 suteksime pavadinimą „Kasa“, o prievadams 2-3 suteiksime pavadinimus „Kompiuteriai“.
interface 1
name Kasa
exit
interface 2-3
name Kompiuteriai
exit
Pašalinsime visus pavadinimus nuo 1-3 prievado.
interface 1-3
no name
L2 nustatymai
Nustatome normalų transliavimo (anlg. Broadcast) srauto kiek iki 20%.
interface 1-10
rate-limit bcast in percent 20
Apsirašome reikalingus virtualius tinklus (angl. VLAN). Pirmiausia apsirašome tinklo įrenginių administravimo potinklį, iš kurio valdome visus tinkle esančių įrenginius.
vlan 10 name Valdymas
management-vlan 10
Jei tinkle yra naudojami VOIP telefonai, kurie turi savo potinklį reikia aprašyti dar viena virtualų tinklą. Komutatoriuje pažymime, kad tai skirtas tel. komunikacijai „voice“.
vlan 111 name VOIP
voice
Komutatorius bus jungiamas prieigos lygyje (angl. Access layer) prie kito paskirstomojo lygio (anlg. Distribution layer) komutatoriaus. Sujungimui naudosime komutatoriaus prievadą 10 ir priskirsime jį prie magistralinio tipo prievado (anlg. Trunk) su galimybė ateityje prijungti kitą komutatoriaus prievadą, į tą patį magistralinį prievadą. Kad apjungti ir paskirstyti duomenų srautus bus panaudotas LCAP protokolas.
Trunk link
trunk 10 trk1 lacp
Priskiriame prievadus prie sukurtų virtualių potinklių. Šiek tiek apie prievadų priskyrimą ir (802.1Q).
Aruba (HP) komutatoriuose galimos IP etiketės (802.1Q) yra šios: untagged, tagged, no tagged, forbid.
- untagged – etiketė reiškia, kad į/iš prievado patenka tik priskirto virtualaus potinklio IP paketai. Prie šių prievadų jungiami vartotojų tinklo įrenginiai.
- tagged – etiketė reiškia, kad į/iš prievado patenka 2 ir daugiau priskirtų virtualių potinklių IP paketų. Prie šių prievadų jungiama tinklo įranga, kurios prievaduose taip pat yra aprašytos tokios etiketės. Dažniausiai tokie prievadai vadinami magistralinio tipo prievadais (anlg. Trunk), o prie jungiami komutatoriai, AP ar VOIP telefonai.
- no tagged – etiketė reiškia, kad prievadas nepriskirtas jokiam virtualiam potinkliui.
- forbid – etiketė reiškia, kad prievadas negali būti priskirtas nurodytame virtualiame potinklyje.
Mano sukurtu magistralinio tipo prievadu trk1 (anlg. Trunk) turės keliauti kelių virtualių potinklių IP paketai. Todėl reikia priskirti atitinkamų virtualių potinklių etiketes vlan 20, 30, 40.
vlan 20 tagged trk1
vlan 30 tagged trk1
vlan 40 tagged trk1
Toliau šių potinklių IP paketai turės nukeliauti į jiems priskirtus komutatorius prievadus. Mes aktyvuosime 1-4 prievadus ir išeinantiems IP paketams pašalinsime 802.1Q etiketes. Taip leisime galiniai įrangai gauti tik jiems skirtus duomenų paketus.
interface 1-4 enable
vlan 20 untagged 1-2
vlan 30 untagged 3
vlan 40 untagged 4
L3 nustatymai
Komutatoriui suteiksime IP 192.168.100.100 adresą iš tinklo įrenginių administravimo potinklio.
vlan 10
ip address 192.168.100.100 255.255.255.0
Dažniausiai tinklų sąsajos (angl. gateway) IP adresas priskiriamas iš tinklo įrenginių administravimo potinklio.
ip default-gateway 192.168.100.254
Saugumas
Kad niekas negalėtų panaudotų laisvų prievadų komutatoriuje, visus prievadus išjungiame. Aktyvuosime tik tada, kada prijungsime tinklo įrenginius.
interface 1-10 disable
Dar verta užsiminti yra galimybė įjungti prievadų saugumą (anlg. port security) ir nustatytį kokius ir kiek MAC adresų leisti, o esant pažeidimui, kada išjungti prievadą. Ši saugumo priemonė yra efektyvi, ten kur yra numatyti ir žinomi, kokie bus prijungiami į komutatorių įrenginiai.
Uždraudžiame SNMP grupę „Public“.
snmp-server community "public" restricted
Jei nesiruošiate naudoti, galima tiesiog pašalinti.
no snmp-server community "public"
Išjungsime komutatoriaus paslaugas (angl. services), kurių mes nenaudosime. Tarp jų Telnet, TFTP ir galimybė keisti įrenginio nustatymus naudojantis interneto naršykle.
no telnet-server
no tftp server
no tftp client
no web-management
Išjungiame žemo lygio protokolus, jei nenaudojami.
no cdp run
no lldp run
Užtikrinant, kad į komutatorių jungtųsi tik iš tinklo įrenginių administravimo potinklio aprašyme taip.
ip authorized-managers 192.168.100.0 255.255.255.0 access manager
Beveik visada prie komutatoriaus patariame jungtis SSH protokolu ir atlikti visus konfigūravimo darbus. Todėl reikia sustiprinti SSH saugumą. Parinksime saugesnes šifravimo koduotes.
no ip ssh cipher aes192-ctr
no ip ssh cipher aes128-cbc
no ip ssh cipher 3des-cbc
no ip ssh cipher aes192-cbc
no ip ssh cipher aes256-cbc
no ip ssh cipher rijndael-cbc@lysator.liu.se
no ip ssh cipher aes128-ctr
no ip ssh cipher aes192
no ip ssh mac hmac-md5
no ip ssh mac hmac-sha1-96
no ip ssh mac hmac-md5-96
ip ssh cipher aes-256-ctr
ip ssh mac hmac-sha1
Priskirsime slaptažodį tiek „operator“, tiek „manager“ varototojams tą patį.
password all
Jei yra poreikis galima priskirti skirtingus slaptažodžius.
password operator
password manager
Sumažinsime prisijungimų skaičių ir nustatysime, kad po 3 minučių neaktyvus susijungimas būtų automatiškai nutrauktas visose įrenginio valdymo terminaluose (anlg. console)
console idle-timeout 180
console idle-timeout serial-usb 180
console max-sessions 2
Išjungiame IP stack palaikymą, jei nanaudojame.
no stack
DHCP apsaugos įjungimas globaliai.
dhcp-snooping
Nepersiunčiame DHCP užklausų (DHCP relay)
no dhcp-snooping option 82
Netikriname ar kliento adresas sutampa su šaltinio (source) MAC adresu IP pakete.
no dhcp-snooping verify mac
Neblokuojame DHCP kliento IP paketų, kurie jau turi opciją 82 (anlg. option 82).
dhcp-snooping option 82 untrusted-policy keep
Priskiriame, kuriuose potinkliuose įjungiame apsaugą.
dhcp-snooping vlan 99-150
Priskiriame saugius tinklo prievadus, į/iš kurių keliaus DHCP tinklo paslaugos užklausos. Šiuo atveju 10 tinklo komutatoriaus prievadas.
interface 10
dhcp-snooping 10 trust
ARP apsaugos įjungimas rekomenduojamas, jei įjugiate DHCP apsaugą.
arp-protect
arp-protect vlan 99-150
Priskiriame saugius tinklo prievadus, į/iš kurių keliaus DHCP tinklo paslaugos užklausos. Šiuo atveju 10 tinklo komutatoriaus prievadas.
interface 10
arp-protect trust
